AVG Privacy Compliance Applicatie

Home - Clan de Banlieue

Overzicht en kerngegevens van het bedrijf. (Bronnen: officiele site, KVK-verwijzingen)

Omschrijving

BANLIEUE is een lifestyle/streetwear merk, ontstaan in 2014 in Rotterdam, met wortels in de "banlieues"-cultuur en focus op community en authentieke stijl. Het merk werd initieel als schoolproject opgezet en groeide uit tot een volwaardig label.

*Merkniveau opgericht in 2014; de B.V.-entiteit volgde later (zie rechts).

Kerngegevens

Statutaire entiteit: Clan de Banlieue B.V.
Inschrijving (B.V.): 2019 (KvK-nr: 76033953)
Hoofdkantoor (winkel/adres): Korte Lijnbaan 7, 3012 EC Rotterdam
Sector: Detailhandel / Apparel & Fashion (streetwear)
Website: clandebanlieue.com
Oprichters (merk, 2014): Sinan Karaca, Levie Merckens, Richard Lopes Mendes
Omvang (indicatie): ~11-50 medewerkers

Contact

E-mail / Contact

Social / Kanalen

Missie & Community

BANLIEUE staat voor rauwe, authentieke stijl en inzet voor de community, met initiatieven die lokale talenten ondersteunen (o.a. via de foundation).

Functionaris Gegevensbescherming (FG)

Naam: Anissa El-Hadouri
E-mail: fg@clandebanlieue.com
Telefoon: +31 (0)10 123 45 67
Beschikbaar: ma-vr 09:00-17:00 CET
Standplaats: Korte Lijnbaan 7, 3012 EC Rotterdam

De FG is het eerste aanspreekpunt voor privacyvragen van betrokkenen, toezichthouder en interne teams.

Verantwoordelijkheden & taken FG

Toezicht houden op naleving van de AVG, intern beleid en afspraken met partners.
Adviseren over DPIA's, privacy-by-design/default en risicobeheersing.
Trainings- en bewustwordingsprogramma's coordineren voor medewerkers.
Primair contact richting Autoriteit Persoonsgegevens en betrokkenen.
Monitoren van datalekken, logging en opvolging van corrigerende maatregelen.

18. Privacyprocedure voor medewerkers

Toepassing van de AVG-werkwijze binnen deze applicatie. Volg onderstaande stappen en gebruik de genoemde onderdelen in de zijbalk.

1. Doel en reikwijdte

Geldt voor alle medewerkers, stagiaires en ingehuurde krachten die persoonsgegevens verwerken (kassa, e-mail, klantdatabase, marketing). Doel: verwerken volgens rechtmatigheid, doelbinding, dataminimalisatie en passende beveiliging.

Zie ook: Home voor FG-contactgegevens.

2.1 Stap 1 — Controleer het doel

Verzamel of gebruik persoonsgegevens alleen wanneer dit noodzakelijk is voor een duidelijk omschreven doel.

Controleer de grondslag via Grondslagen (s5).
Bevestig/verfijn het doel en scope in Verwerkingsregister (s2): verwerking, categorie persoonsgegevens, ontvangers.
Bij twijfel: raadpleeg de FG (gegevens op Home).

2.2 Stap 2 — Verwerk zo weinig mogelijk

Vraag of verwerk uitsluitend noodzakelijke gegevens.

Leg de minimaal benodigde velden vast in Verwerkingsregister (s2) en Bewaartermijnen (s7).
Gebruik waar mogelijk pseudonimisering of anonymiseren; documenteer maatregelen in Beveiligingsmaatregelen (s9).

2.3 Stap 3 — Informeer transparant

Informeer betrokkenen wat er met hun gegevens gebeurt.

Werk de Privacyverklaring bij in Privacyverklaring (s3) en verwijs daarnaar bij intake/contact.
Maak geen mondelinge toezeggingen; verwijs naar de in de app vastgelegde bewaartermijnen (s7) en procedures.

2.4 Stap 4 — Beveilig actief

Gebruik alleen goedgekeurde en beveiligde kanalen.

Vink toepasselijke maatregelen aan in Beveiligingsmaatregelen (s9) en Upload beveiligingsplan.
Registreer logging en reviews in Logging & Audit Trail (s11); plan pentests/audits.

2.5 Stap 5 — Verwerkers en platforms

Gebruik alleen goedgekeurde software met overeenkomst.

Controleer/registreer contracten in Verwerkersovereenkomsten (s14) en upload bewijs.
Beoordeel externe partijen via Externe partijen (compliance) (s16); leg risico’s en mitigatie vast.

2.6 Stap 6 — Rechten van betrokkenen

Registreer en behandel verzoeken correct.

Ga naar Rechten van betrokkenen (s6). Kies het rechtstype en volg de instructies.
Verifieer identiteit en Upload bewijs (identificatie/correspondentie) in s6.
Log de afhandeling in Logging & Audit Trail (s11) voor accountability.

2.7 Stap 7 — Meld datalekken direct

Meld binnen 2 uur en registreer in de app.

Open Datalekregister (s1). Vul incidentgegevens, maatregelen en meldingen in; upload bewijs.
Gebruik de beslisboom in s1 om meldplicht aan AP/betrokkenen te bepalen.
Neem bij twijfel contact op met de FG (zie Home).

2.8 Stap 8 — Houd actueel & verwijder tijdig

Controleer noodzaak en bewaartermijnen structureel.

Beheer bewaartermijnen in Bewaartermijnen (s7) en voer wissing uit via Gegevensverwijdering (s8).
Upload bewijs verwijdering in s8 en log in Logging & Audit (s11).

3. Beveiligings- en vertrouwelijkheidsregels

Iedereen heeft geheimhoudingsplicht.
Regel rolgebaseerde toegang in Toegangsbeheer (s13); registreer autorisatie-reviews.
Controleer ontvangers vóór verzending; leg gevoelige uitwisselingen vast in Logging & Audit (s11).

4. Controle en ondersteuning

Plan en volg audits op via Logging & Audit (s11) – gebruik de sectie Geplande audits (actueel).
Documenteer bevindingen en corrigerende maatregelen per audit in s11.
Vragen of nieuwe verwerkingen? Neem contact op met de FG (Home) en registreer in Verwerkingsregister (s2).

5. Training en bewustwording

Volg de verplichte privacy- en securitytraining bij start en jaarlijks.
Zie Logging & Audit (s11) bij Trainingen personeel (actueel) voor planning en status.

6. Samenvatting

Door deze stappen in de applicatie te volgen, borgen we transparante en veilige verwerking. Privacy is een gezamenlijke taak; bij twijfel, vraag de FG.

1. Datalekregister

Voldoet aan art. 33(1)&(5), 34, 5(2) AVG - documentatie, meldplicht (72 uur), informeren betrokkenen, rapportages.

Wie doet wat bij een (mogelijk) datalek, binnen welke termijn en via welk kanaal.

Rol	Actie	Termijn	Communicatie
Medewerker	Signaleer incident en registreer in dit formulier (Incidentgegevens + Maatregelen & meldingen). Upload bewijs.	Binnen 2 uur melden	E-mail naar privacy@clandebanlieue.com en informeer leidinggevende
Teamleider	Beperk impact (toegang intrekken, data veiligstellen) en verifieer details met medewerker.	Direct, binnen 4 uur	Bevestig ontvangst aan medewerker; Escaleer naar FG/IT via interne kanalen
IT/Security	Forensisch onderzoek, logs veiligstellen, wachtwoorden resetten, systemen hardenen. Documenteer acties.	Start binnen 4 uur	Ticketing (IT) en update in dit register (Maatregelen & meldingen)
FG (Functionaris Gegevensbescherming)	Beoordeel meldplicht AP/betrokkenen met beslisboom hieronder. Bewaak 72-uurs termijn.	Beoordeling binnen 24 uur	AP-melding via AP-portaal; communicatievoorstel richting betrokkenen
Directie/Communicatie	Stem berichtgeving af; informeer betrokkenen als sprake is van hoog risico.	Concept binnen 24 uur	E-mail/brief/website; Q&A voor klantcontact

Richtlijnen communicatie

Feiten, aard van het lek, getroffen gegevens en mogelijke gevolgen.
Genomen maatregelen en wat de betrokkene kan doen (bijv. wachtwoord wijzigen).
Contactpunt (FG) en tijdslijnen voor updates.

Templates (concept)

AP-melding: samenvatting incident, aantallen, categorieën, maatregelen, contact.
Betrokkenenbrief: wat is gebeurd, welke gegevens, risico’s, aanbevelingen, supportkanaal.

Incidentgegevens

Datum & tijd ontdekking

Nodig om 72-uurs termijn te toetsen (art. 33(1)).

Omschrijving (aard & oorzaak)

Aantal & type persoonsgegevens / betrokkenen

Mogelijke gevolgen voor betrokkenen

Maatregelen & meldingen

Beveiligingsmaatregelen & herstelacties

Melding aan AP gedaan?

Datum melding AP

Betrokkenen geinformeerd?

Wijze van informeren

Upload bewijs/documentatie (meldformulier, forensisch rapport, communicatie)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
forensics_rapport.pdf	2025-10-10
melding_ap_concept.docx	2025-10-11

Accountability (art. 5(2))

Juridische toelichting

Art. 33(1)&(5) AVG (meldplicht/documentatie), art. 34 (informeren), art. 5(2) (verantwoordingsplicht).

Voorbeeldmeldingen (dummy data)

Fictieve incidentrecords ter illustratie. Gebruik een eigen export voor daadwerkelijke rapportage.

Incident	Ontdekt op	Type gegevens	Oorzaak	Melding AP	Betrokkenen genformeerd	Status
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

Beslisboom meldplicht datalek

Beantwoord de vragen om vast te stellen of melding aan de AP en/of betrokkenen nodig is.

Vraag 1. Is er sprake van een inbreuk op de beveiliging van persoonsgegevens (verlies, wijziging, ongeoorloofde toegang, verstrekking of vernietiging)?

Vraag 2. Betreft het persoonsgegevens (dus niet alleen anonieme of volledig gepseudonimiseerde data)?

Vraag 3. Is het datalek volledig intern gebleven en direct opgelost zonder dat onbevoegden toegang hadden?

Vraag 4. Zijn de gegevens adequaat beschermd (bijvoorbeeld sterke encryptie, hashing en geen sleutel gelekt)?

Vraag 5. Leidt het datalek waarschijnlijk tot een risico voor de rechten en vrijheden van betrokkenen (bijvoorbeeld discriminatie, identiteitsfraude, reputatie- of financiele schade)?

Vraag 6. Is er sprake van een waarschijnlijk hoog risico (bijvoorbeeld medische gegevens, BSN, financiele data of een grootschalig lek)?

2. Verwerkingsregister

Voldoet aan art. 30 AVG - registerplicht en export.

Verwerking

Verwerking ID

Naam verwerking

Verwerkingsverantwoordelijke

FG contactpersoon

Afdeling

Verwerkingsdoeleinden

Categorie verwerking

Rechtsgrond

Bijzondere persoonsgegevens

Gerelateerde DPIA ID(s)

Betrokkenen & ontvangers

Categorieën van betrokkenen

Categorieën van persoonsgegevens

Categorieën van ontvangers

Doorgifte / verwerking binnen of buiten de EU en EER

Reguliere verwerking binnen de EER. Geen aanvullende waarborgen nodig; volg art. 32 AVG.

Beveiligingsmaatregel (koppeling)

Bewaartermijn

Upload/Export (CSV/XLSX/PDF)

Gebruik voor delen met toezichthouders of audits.

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
register_export.csv	2025-10-12
verwerking_memo.pdf	2025-10-13

Voorbeeldregister (dummy data)

Gebruik deze fictieve records om de veldopbouw te begrijpen; vervang bij productie door een eigen export.

Verwerking ID	Naam verwerking	Verwerkingsverantwoordelijke	Afdeling	Verwerkingsdoeleinden	Categorie verwerking	Rechtsgrond	Categorieën van betrokkenen	Categorieën van persoonsgegevens	Bijzondere persoonsgegevens	Categorieën van ontvangers	Doorgifte / binnen-buiten EU/EER	Beveiligingsmaatregel	DPIA koppeling	Bewaartermijn
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

3. Privacyverklaring

Voldoet aan art. 13-14 AVG - transparantie & informatieplichten.

Kerninformatie

Identiteit & contact organisatie

Contact FG (indien aangewezen)

Doeleinden & grondslag

Ontvangers / categorieen ontvangers

Overig verplicht

Doorgifte buiten EER + basis

Bewaartermijnen / criteria

Privacyrechten (inzage, rect., wissing, beperking, bezwaar, overdraagbaarheid)

Intrekken toestemming

Klacht bij AP

Automatische besluitvorming / profilering (logica & gevolgen)

Upload privacyverklaring (PDF/DOCX)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
privacyverklaring_site_2025.pdf	2025-10-01

Datum upload privacyverklaring

4. Vormgeving & Toegankelijkheid (art. 12)

Laag-voor-laag, duidelijke taal, kinderdoelgroep indien relevant.

Transparantie-instellingen

Laag-voor-laag presentatie (kerninfo + details)

Duidelijke, eenvoudige taal (geen jargon)

Aangepaste versie voor kinderen < 16 jaar (toon & stijl)

Voorbeeld weergave

Kerninformatie

Wie, hoe bereikbaar, verwerkingen met grootste impact

Detailinformatie

Volledige toelichting per artikel (13/14)

5. Grondslagen (art. 6)

Koppel per verwerking een passende grondslag en valideer.

Koppeling

Verwerking

Grondslag

Toelichting

Validatie (indicatief)

Plaats voor toekomstige checks (bijv. gerechtvaardigd belang-test, bewijs toestemming).

6. Rechten van betrokkenen (art. 12-22)

Registratie, opvolging, termijnen, gratis afhandeling (tenzij misbruik).

Nieuw verzoek

Soort verzoek

Instructies

Kies een recht om de bijbehorende instructies te tonen.

Naam betrokkene

Datum ontvangst

Beschrijving verzoek

Upload bewijs (identificatie, correspondentie)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
id_check.png	2025-10-15
correspondentie.pdf	2025-10-16

ID-check: GEDAAN

Termijn: 1 maand (art. 12(3))

Termijnbewaking & kosten

Gratis afhandeling (art. 12(5))

Verlengen met 2 maanden (complexiteit) - motiveer

Motivatie verlenging / afwijzing

Overzicht verzoeken (dummy data)

Voorbeeldregistraties van AVG-verzoeken, inclusief status, termijnbewaking en toegewezen eigenaar.

Referentie	Type verzoek	Betrokkene	Ontvangen op	Status	Reactiedatum	Owner	Notities
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

7. Bewaartermijnen

Opslagbeperking (art. 5(1)(e)), koppeling aan register (art. 30), wissing (art. 17).

Definieer regels

Categorie gegevens

Bewaartermijn tot

Actie na afloop

Signalering & rapportage

Signaleer (bijna) verlopen termijnen

8. Gegevensverwijdering

Wissing/anonymisatie, uitzonderingen (art. 17(3)), beveiligd (art. 32), audit trail (art. 5(2)).

Uitvoeren

Categorie / Betrokkene

Methode

Upload bewijs verwijdering (PDF)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
wissing_bevestiging_12345.pdf	2025-10-17

Uitzonderingen

Wettelijke bewaarplicht / archivering / rechtsvordering

9. Beveiligingsmaatregelen (art. 32)

Technisch & organisatorisch, risicogebaseerd, periodieke toetsing, koppeling datalekken.

Technisch

Encryptie (data at rest / in transit)

Pseudonimisering

Toegangscontrole / MFA

Logging/Monitoring

Upload beveiligingsplan

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
security_plan_Q4_2025.pdf	2025-10-15

Organisatorisch & toetsing

Beleid & training

Geheimhoudingsovereenkomsten

Incidentprocedures

Periodieke reviews / pentests / audits

Bedrijfsbeleid privacy & beveiliging

Governance: privacy board en FG evalueren beleid ieder kwartaal en rapporteren aan directie.
Bewustwording: jaarlijks trainingsprogramma, onboarding modules en phish-simulaties voor alle medewerkers.
Toegangsbeheer: least-privilege, MFA verplicht voor kritieke systemen en maandelijkse review van autorisaties.
Beveiligingstechniek: encryptie in rust en transport, logmonitoring met escalatieprocedure, incident response plan.
Leveranciers: contractuele eisen (art. 28 AVG), risicobeoordeling en periodieke audit van subverwerkers.
Rechten van betrokkenen: SLA van 30 dagen, registratie in rechtenregister en extra checks voor kwetsbare groepen.
Documentatie: beleid wordt jaarlijks herzien conform AVG en ISO 27001-controlemaatregelen.

Upload bedrijfsbeleid (PDF/DOCX)

Laatste update beleid: 2024-03-15. Beleid is beschikbaar voor medewerkers, partners en toezichthouders op verzoek.

Standaardinstellingen (privacyvriendelijk)

Instelling	Standaard
Locatie delen	Uit
Tracking cookies	Uit
Nieuwsbrief	Opt-in
Accountgegevens	Alleen minimale velden

Beveiligingsmaatregelen (toegepast)

Encryptie

MFA (multifactorauthenticatie)

Logging & monitoring

Pseudonimisering

Toegangscontrole (least privilege)

Review / Audit log (privacycontroles)

Datum	Uitvoerder	Bevindingen	Actie
2025-10-10	FG	Default settings conform art. 25	Geen actie
2025-10-12	Security officer	Logging uitgebreid voor kritieke events	Monitoren Q4

Gebruikersweergave (frontend)

Bij het aanmaken van een account staan niet-noodzakelijke opties standaard uit. De gebruiker kan expliciet keuzes maken (opt-in) voor marketing en datadeling.

Privacyvriendelijke defaults bij registratie.
Heldere uitleg bij elk keuzevlak (transparantie).
Instellingen later aanpasbaar via profiel (controle).

10. Privacy by design/default (art. 25)

Dataminimalisatie, standaardinstellingen, documentatie en DPIA-koppeling.

Ontwerpprincipes

Dataminimalisatie

Privacyvriendelijke defaults

Checklist ontwikkelaars

Documentatie & DPIA

Upload DPIA / ontwerpdocumentatie

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
dpia_hosting_v1.pdf	2025-10-09

Geüploade beleidsdocumenten (dummy)

Bestand	Versie	Uploaddatum
Privacybeleid_2024.pdf	v1.2	2024-03-15
Beveiligingsbeleid_ISMS_v3.docx	v3.0	2024-05-22
Incident_Response_Procedure.pdf	v2.1	2024-08-10

11. Logging & Audit Trail

Wie/wat/wanneer, beveiliging logs, bewaartermijn, reviews (art. 30, 32, 5(1)(e), 5(2)).

Logregistratie

Actie

Uitgevoerd door

Datum/tijd

Exacte einddatum log

Verantwoordelijke

Upload logbestand (CSV/XLSX)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
audit_log_2025-10-14.csv	2025-10-14

Beheer & review

Bewaartermijn logs (proportioneel)

Behaalde certificering

Geldig tot

Periodieke review door FG/security officer

Geplande & afgeronde audits (verouderd voorbeeld)

Voorbeelden van interne en externe audits met uitkomst en corrigerende maatregelen.

Audit	Datum	Auditor	Scope	Uitkomst	Corrigerende maatregelen	Status	Opvolgactie
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

Geplande audits (actueel)

Geplande audits staan na 2025-10-15; vul uitkomsten aan na afronding.

Audit	Datum	Auditor	Scope	Uitkomst	Corrigerende maatregelen	Status	Opvolgactie
Interne audit privacybeleid	2025-11-20	FG + Security officer	Beleid, rechtenprocedures, registers	N.v.t. (gepland)	n.t.b.	Gepland	Scope bevestigen en agenda versturen
Pentest webshop	2025-12-08	Externe partij (TBD)	Webapp + API + SSO	N.v.t. (gepland)	n.t.b.	Gepland	Testplan + NDA laten tekenen
ISO 27001 surveillance audit	2026-01-15	Certificerende instantie	ISMS, Annex A controls	N.v.t. (gepland)	n.t.b.	Gepland	Voorbereidende interne review Q4 2025

Trainingen personeel (actueel)

Geplande trainingen staan na 2025-10-15; vul status/acties aan na uitvoering.

Training	Doelgroep	Datum	Status	Opvolgactie
Privacy awareness (jaarlijks)	Alle medewerkers	2025-11-05	Gepland	Uitzetten via LMS + aankondiging
Phishing simulatie Q4	Alle medewerkers	2025-12-03	Gepland	Simulatiescenario's voorbereiden
Secure coding fundamentals	Development team	2026-01-14	Gepland	Trainer bevestigen + uitnodigingen
DPIA basics	Marketing/PM	2026-03-18	Gepland	Casussen voorbereiden

Trainingen personeel (verouderd voorbeeld)

Overzicht van afgeronde en geplande privacy- en securitytrainingen voor medewerkers.

Training	Doelgroep	Datum	Status	Opvolgactie
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

12. Risicoanalyses (DPIA)

Art. 35-36, 25, 39 - beschrijving, noodzaak/proportionaliteit, risico's, mitigerende maatregelen, raadpleging AP.

Nieuwe DPIA

Verwerking

Beschrijving (doelen, gegevens, betrokkenen, systemen)

Noodzaak & proportionaliteit

Risico's & maatregelen

Risico's voor rechten & vrijheden

Mitigerende maatregelen

Upload DPIA (PDF/DOCX)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
dpia_hr_afgerond.pdf	2025-10-02

Opgeslagen DPIA's (dummy data)

Fictieve DPIA-registraties met status, risiconiveau en opvolging.

Naam DPIA	Scope / verwerking	Risiconiveau	Status	Laatste update	Voorafgaande raadpleging AP	Eigenaar	Belangrijkste risico	Mitigerende maatregel	Volgende actie
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

13. Toegangsbeheer

RBAC, dataminimalisatie, periodieke herziening, MFA, logging (art. 32, 5(1)(c), 30).

Rollen & rechten

Rol/functie

Toegangsrechten

Sterke authenticatie (MFA)

Upload autorisatiematrix

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
auth_matrix_v2.xlsx	2025-10-06

Herziening & logging

Periodieke herziening autorisaties

Log wijzigingen rechten (wie/wat/wanneer)

14. Verwerkersovereenkomsten (art. 28)

Registratie, verplichtingen a-h, subverwerkers, signalering einddata, archivering.

Overeenkomst

Naam verwerker

Startdatum

Einddatum

Contractuele verplichtingen (a-h)

Upload overeenkomst (PDF/DOCX)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
verwerkersovereenkomst_retailX.pdf	2025-10-05

Beheer

Signalering afloopdatum (vernieuwing/heronderhandeling)

Archivering beeindigd contract

15. Toestemming beheren

Bewijs (art. 7(1)), intrekken (7(3)), granulariteit (overw. 32), transparantie (12-13).

Registratie

Betrokkene

Datum

Status

Doeleinde(n) (granulair)

Context (wijze van verkrijgen)

Upload toestemmingsbewijs

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
optin_event_2025.pdf	2025-10-07

Transparantie

Informatie bij vragen toestemming

Toestemmingsregister (dummy data)

Voorbeeldregistraties van verleende, ingetrokken en te herzien toestemmingen.

Referentie	Betrokkene	Datum	Doeleinden	Status	Bewijs	Herziening / vervaldatum	Opmerkingen
PROC-2024-CRM	Klantbeheer (CRM)	Clan de Banlieue B.V.	Customer Service	Relatiebeheer, facturatie, serviceopvolging	Customer relationship management	Overeenkomst	Klanten / consumenten	NAW, contactgegevens, bestel- & betalingshistorie	N.v.t.	Salesforce EMEA, SendGrid	Opslag EU (Frankfurt); geen doorgifte buiten EER	Encryptie & sleutelbeheer	DPIA-2024-CRM	7 jaar na laatste aankoop (fiscaal)
PROC-2024-MKT	Marketing nieuwsbrief	Clan de Banlieue B.V.	Marketing	Nieuwsbrief, promoties, eventuitnodigingen	Marketing en communicatie	Toestemming	Prospects / leads	E-mail, voorkeuren, klikgedrag (pseudoniem)	N.v.t.	Mailchimp EU cluster	Doorgifte naar VS (SCCs) voor e-maillevering	MFA en logging voor marketingplatforms	DPIA-2024-BI	Zolang toestemming actief is + 6 maanden
PROC-2024-HR	HR personeelsdossier	Clan de Banlieue B.V.	HR & Payroll	Loonadministratie, verlof, performance	HR en personeelsbeheer	Wettelijke verplichting / overeenkomst	Medewerkers	NAW, BSN, contractgegevens, salaris, evaluaties	Medische verklaringen (indien verstrekt)	AFAS Payroll, ArboDienst Beter	Alle verwerking binnen Nederland/EU	Rolgebaseerde toegang + awareness	DPIA-2024-HR	7 jaar na uitdiensttreding (fiscaal); 2 jaar voor beoordelingen
DPIA-2024-HR	HR personeelsdossier (controller)	Middel	Afgerond	2024-03-05	N.v.t.	FG	Toegang tot gevoelige HR-data door te brede rechten	Rolgebaseerde toegang + automatische offboarding	Hercontrole autorisatiematrix Q4 2024
DPIA-2024-HOST	Hosting en infrastructuur dienstverlening	Middel	Concept	2024-02-27	N.v.t.	Security officer	Afhankelijkheid cloudprovider buiten EER	SCC + versleuteling + monitoring contractverplichtingen	DTO check en TIA update 2024-05-30
DPIA-2024-MKT-VER	Marketing automation voor opdrachtgever	Laag	Gepland	2024-04-20	N.v.t.	Privacy champion marketing	Profilering kan buiten afgesproken scope vallen	Segmentatie beperken + transparantieafspraken	Review DPF-certificering leveranciers 2024-06-15

16. Externe partijen (privacy compliance)

Controleer verwerkers, leveranciers en partners op contractuele afspraken, beveiliging en risicobeheersing.

Partnergegevens

Naam partij

Rol

Contactpersoon

Diensten / verwerkingen

Categorie gegevens

Locatie gegevensverwerking

Opmerkingen onboarding

Contract & juridische basis

Verwerkersovereenkomst / contract aanwezig (art. 28)

Startdatum overeenkomst

Einddatum / reviewdatum

DPIA vereist?

Juridische verplichtingen

Upload contract / evaluatie (PDF/DOCX)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
contract_kassaleverancier.pdf	2025-10-04

Beveiliging & controles

Beveiligingsmaatregelen

MFA verplicht voor toegang

Encryptie van gegevens in rust en transport

Jaarlijkse audit / assurance rapport beschikbaar

Laatste auditdatum

Audit type

Upload auditrapport (PDF)

Geüploade bestanden (dummy)

Bestand	Uploaddatum	Acties
isae3402_rapport_2025.pdf	2025-10-03

Risico-inventarisatie & acties

Risiconiveau

Belangrijkste risico's

Mitigerende maatregelen

Opvolgacties & deadlines

Art. 28, 32, 35 AVG

17. Verwerkersregister (verwerker)

Voldoet aan art. 30(2) AVG – register vanuit verwerkersperspectief.

Algemene gegevens

Verwerker record ID

Naam verwerker

Contactgegevens verwerker

Verwerkingsverantwoordelijke(n)

Vertegenwoordiger binnen EU (indien vereist)

Startdatum verwerking

Einddatum verwerking

Laatste update register

Verwerkersovereenkomst (link/verwijzing)

Verwerkingen & doeleinden

Categorieën verwerkingen

Doel van de verwerking

Rechtsgrond (verantwoordelijke)

Gegevens & betrokkenen

Categorie betrokkenen

Detaillering persoonsgegevens

Bijzondere persoonsgegevens

Categorieën ontvangers

Doorgifte buiten EER

Maatregelen & subverwerkers

Beveiligingsmaatregel (samenvatting)

Subverwerkers

Technische & organisatorische maatregelen

Voorbeeldregister (dummy data)

Record ID	Verwerker	Verwerkingsverantwoordelijke	Categoriën	Doorgifte	T&O maatregelen	Subverwerkers	Doel	VWO	Persoonsgegevens & betrokkenen	DPIA	Laatste update
VPROC-2024-HOST	Clan de Banlieue B.V. - Cloud Ops	RetailCustomer BV	Hosting, databasebeheer	Geen buiten EER	Encryptie, MFA, logging	AWS Frankfurt, SendGrid	Beschikbaar maken webshop	VWO-2021-041	Klanten: NAW, bestelgeschiedenis	DPIA-2024-HOST	2024-03-30
VPROC-2024-MKT	Clan de Banlieue B.V. - Marketing	FashionHolding NV	E-mailmarketing, segmentatie	VS met SCC	MFA, logging	Mailchimp, Looker Studio	Marketingautomatisering	VWO-2022-091	Leads: e-mail, voorkeuren	DPIA-2024-MKT-VER	2024-02-12