Van intake tot audit trail: de complete compliance-checklist voor je platform
Als leadgenerator draai je geen los proces, maar een platform waarop publishers aanleveren en afnemers afnemen, en op elk knooppunt moet duidelijk zijn op welke grondslag jij verwerkt, wat je deelt en wat je kunt aantonen. Eén zwakke schakel, bij één publisher of één afnemer, maakt de hele operatie kwetsbaar.
Deze gids loopt die keten stap voor stap door, vanuit het perspectief van de operator die het platform runt. Per fase leggen we uit wat er compliance-technisch op het spel staat en geven we een concrete checklist die je direct kunt afvinken, platformbreed, over al je publishers en labels heen. Het is geschreven vanuit de praktijk van lead-verwerking onder de AVG: niet als theorie, maar als een werkbaar overzicht van wat aantoonbaar in orde moet zijn.
De rode draad is de verantwoordingsplicht die bij jou als operator ligt. De AVG vraagt niet alleen dat je het goed doet, maar dat je het kunt bewijzen, voor elke lead die door je platform gaat. Wie herkomst en consent, kwaliteit en levering pas achteraf probeert te reconstrueren, mist per definitie de stappen die niet zijn vastgelegd. Bouw verantwoording daarom in je platform in, precies op de momenten die hieronder aan bod komen.
Intake & bronnen
Compliance begint niet bij de levering aan een afnemer, maar bij de eerste seconde dat een aanvraag jouw platform binnenkomt. Op dat moment bepaal je of een lead überhaupt rechtmatig verwerkt kan worden, en alles wat je hier mist, kun je later niet meer reconstrueren. Een aanvraag zonder vastgelegde bron is een aanvraag zonder bewijs, ongeacht hoeveel publishers er op je platform actief zijn.
Breng eerst in kaart via welke kanalen leads bij jouw operatie binnenkomen: eigen formulieren, landingspagina’s van publishers, API’s van partners, importbestanden of telefonie. Elk kanaal heeft zijn eigen risicoprofiel. Een publisher die je zelf hebt aangesloten en beheert is beter te verantwoorden dan een batch-import van een onbekende derde. Zorg dat je per kanaal en per publisher weet wie de gegevens aanlevert en onder welke afspraken.
Checklist
- Alle intake-kanalen (formulier, publisher-landingspagina’s, API, import, telefonie) zijn geïnventariseerd en gedocumenteerd.
- Per kanaal en per publisher is bekend wie de leverende partij is en welke afspraken er gelden.
- Importbestanden en API-aanleveringen worden bij binnenkomst gevalideerd op formaat en verplichte velden.
- Onbekende of niet-aangesloten bronnen worden geweigerd in plaats van stilzwijgend verwerkt.
- Het intake-moment (tijdstip en kanaal) wordt automatisch geregistreerd bij elke aanvraag, platformbreed.
Herkomst vastleggen
Herkomst is het antwoord op de vraag: waar komt deze aanvraag vandaan en hoe is hij tot stand gekomen? Voor een toezichthouder, een afnemer of een betrokkene die om uitleg vraagt, is dit het hart van je verantwoording als leadgenerator. Zonder herleidbare herkomst is een lead in juridische zin een zwarte doos, en dat risico ligt bij jou als operator van het platform, niet bij de individuele publisher.
Leg daarom meer vast dan alleen een bronnaam. Denk aan de specifieke landingspagina of campagne, de publisher die de aanvraag aanleverde, het tijdstip, het IP-adres of de techniek waarmee de aanvraag is gedaan, en eventuele tussenpartijen. Hoe rijker de herkomstdata per publisher, hoe sterker je positie wanneer een lead wordt betwist of een klacht binnenkomt.
Checklist
- Per aanvraag wordt de exacte bron vastgelegd: kanaal, campagne, landingspagina of publisher.
- Tijdstip van binnenkomst wordt onveranderlijk geregistreerd.
- Bij doorlevering via een publisher of partner is de volledige keten herleidbaar tot de oorspronkelijke bron.
- Technische context (zoals herkomst-URL of referrer) wordt bewaard waar dat relevant en proportioneel is.
- Herkomstdata is gekoppeld aan de lead en kan niet achteraf ongemerkt worden gewijzigd, ook niet door de publisher zelf.
Toestemming (consent)
Toestemming is voor lead-verwerking veruit de meest gebruikte en meestal de zuiverste grondslag. Maar toestemming telt alleen mee als ze geldig is: vrij gegeven, specifiek, geïnformeerd en met een ondubbelzinnige actieve handeling. Een vooraangevinkt vakje, een verstopte voorwaarde of een onduidelijk doel maken de toestemming ongeldig, en daarmee de hele verwerking onrechtmatig. Als operator draag je die verantwoordelijkheid ook wanneer de toestemming door een publisher is opgehaald.
Het volstaat niet om toestemming te vragen; je moet ze ook kunnen bewijzen, per publisher en per lead. Leg vast wélke tekst de betrokkene zag, op welk moment en via welk kanaal hij akkoord ging, en zorg dat intrekken net zo eenvoudig is als geven. Bewaar het consent-bewijs gekoppeld aan de lead in je platform, zodat je het later los kunt overleggen, ook als de publisher inmiddels niet meer actief is.
Checklist
- Toestemming wordt actief gegeven (geen vooraangevinkte vakjes) en is specifiek voor het doel: delen met afnemers.
- De exacte consent-tekst die de betrokkene zag, wordt bewaard bij de lead, per publisher herleidbaar.
- Tijdstip, kanaal en versie van de toestemming worden geregistreerd als bewijs.
- Het doel van de verwerking en de (categorieën) ontvangers zijn vooraf helder gecommuniceerd.
- Intrekken van toestemming is even eenvoudig als geven en wordt direct platformbreed verwerkt.
Verificatie & kwaliteit
Een rechtmatige lead is nog niet automatisch een bruikbare lead. Verificatie controleert of de gegevens kloppen en consistent zijn voordat ze worden gerouteerd naar een afnemer: bestaat het e-mailadres, klopt het telefoonnummer, past de aanvraag bij de bron en zijn er signalen van fraude of dubbele invoer? Kwaliteit aan de poort voorkomt dat je foutieve of frauduleuze gegevens namens jouw label doorgeeft, wat zowel een compliance- als een reputatierisico is voor je hele leadnetwerk.
Het beginsel van juistheid uit de AVG vraagt dat je werkt met gegevens die kloppen en herleidbaar zijn. Leg daarom niet alleen de uitkomst van een check vast, maar ook dát er gecontroleerd is, en door welke publisher de lead is aangeleverd. Zo kun je later, richting afnemer of toezichthouder, aantonen dat elke geleverde lead een kwaliteitsdrempel heeft gehaald, ongeacht welke publisher hem aanleverde.
Checklist
- E-mail en telefoonnummer worden gevalideerd op formaat en, waar mogelijk, op bestaan.
- Aanvragen worden gecontroleerd op consistentie en op signalen van fraude of dubbele invoer, ook tussen publishers onderling.
- Leads die de kwaliteitsdrempel niet halen, worden afgewezen in plaats van geleverd.
- De uitkomst van elke verificatiestap wordt vastgelegd bij de lead.
- Validatieregels zijn platformbreed gedocumenteerd, zodat afwijzingen uitlegbaar en herhaalbaar zijn.
Matching & dataminimalisatie
Matching bepaalt welke afnemer een lead ontvangt. Vanuit compliance is hier de centrale regel: deel niet méér dan nodig en niet met méér partijen dan waarvoor toestemming is gegeven. Dataminimalisatie betekent dat een afnemer alleen de velden krijgt die hij voor zijn doel nodig heeft, niet het volledige profiel omdat het toevallig beschikbaar is in jouw systeem.
Bewaak ook de doelbinding: een lead die via een publisher voor doel A is verzameld, mag niet zomaar voor doel B aan een andere afnemer worden doorgezet. Matchingregels horen binnen de grenzen van de gegeven toestemming te blijven. Maak die grenzen expliciet in je routinglogica, zodat een verwerking nooit per ongeluk buiten het afgesproken kader treedt, ook niet wanneer je meerdere labels of verticals op één platform draait.
Checklist
- Afnemers ontvangen uitsluitend de gegevensvelden die voor hun doel noodzakelijk zijn.
- Matchingregels respecteren de grenzen van de gegeven toestemming en het oorspronkelijke doel.
- Een lead wordt niet gedeeld met meer of andere ontvangers dan gecommuniceerd, ongeacht hoeveel afnemers op het platform actief zijn.
- Niet-noodzakelijke velden worden niet meegestuurd of vooraf geanonimiseerd.
- De toegepaste matchingregels zijn gedocumenteerd en herleidbaar per levering.
Routing
Routing is het daadwerkelijke moment van delen: de lead verlaat jouw platform en bereikt een afnemer. Dit is een verwerkingshandeling met juridisch gewicht, want hier vindt de doorgifte plaats die je richting de betrokkene hebt beloofd. Elke levering moet daarom traceerbaar zijn: wie ontving wat, wanneer, via welke publisher aangeleverd en op welke grond.
Behandel een mislukte of dubbele levering net zo zorgvuldig als een geslaagde. Een lead die per ongeluk twee keer naar verschillende afnemers gaat, kan een schending van de doelbinding zijn, en raakt direct de betrouwbaarheid van je hele leadnetwerk. Registreer de status van elke levering (geleverd, geweigerd, in dispuut), zodat je verantwoording aansluit op wat er feitelijk is gebeurd, platformbreed en per afnemer.
Checklist
- Elke levering wordt vastgelegd met ontvanger, tijdstip, geleverde velden en status.
- Dubbele of onbedoelde leveringen worden voorkomen of gesignaleerd, ook over publishers en labels heen.
- De grondslag waarop wordt geleverd is gekoppeld aan elke routing-actie.
- Mislukte leveringen worden geregistreerd en niet stilzwijgend genegeerd.
- De leveringsstatus (geleverd, geweigerd, in dispuut) is op elk moment inzichtelijk in je dashboard.
Audit trail
De audit trail is de ruggengraat van je verantwoordingsplicht als operator. De AVG vraagt niet alleen dat je zorgvuldig verwerkt, maar dat je het kunt aantonen, voor elke lead, van elke publisher, naar elke afnemer. Een audit trail die elke verwerkingsstap onveranderlijk vastlegt, van intake en consent tot matching, levering en verwijdering, verandert “wij doen het goed” in “hier is het bewijs”, ongeacht hoeveel partijen er op je platform samenkomen.
Een bruikbare audit trail is volledig, onveranderlijk en exporteerbaar. Volledig, zodat er geen gaten in de keten zitten, ook niet tussen publisher en afnemer. Onveranderlijk, zodat het bewijs betrouwbaar is. Exporteerbaar, zodat je het bij een verzoek of controle daadwerkelijk kunt overleggen aan een afnemer of toezichthouder. Wie de audit trail pas achteraf probeert samen te stellen, mist per definitie de stappen die hij niet heeft gelogd.
Checklist
- Elke verwerkingsstap (intake, consent, verificatie, matching, levering, verwijdering) wordt gelogd.
- Logregels zijn onveranderlijk en voorzien van tijdstip en, waar relevant, actor of publisher.
- De audit trail is per lead en over de hele keten heen te raadplegen, van publisher tot afnemer.
- Logs zijn exporteerbaar als bewijs richting toezichthouder, afnemer of betrokkene.
- Er zijn geen gaten in de keten: van eerste binnenkomst tot eindstatus is alles herleidbaar, platformbreed.
Bewaartermijnen
Het beginsel van bewaarbeperking schrijft voor dat je persoonsgegevens niet langer bewaart dan nodig voor het doel. In de praktijk betekent dat: per lead-status een termijn, en automatische verwijdering wanneer die termijn is bereikt, over al je publishers en afnemers heen. Een afgewezen lead hoort niet even lang te blijven staan als een geleverde lead met een lopende garantie richting een afnemer.
Maak bewaartermijnen concreet en handhaaf ze actief op platformniveau. Handmatig opschonen wordt vroeg of laat vergeten, zeker bij groeiend volume; geautomatiseerde expiry verloopt volgens beleid. De verwijdering is een echte verwerkingshandeling: de gegevens verdwijnen daadwerkelijk uit de actieve opslag, terwijl de audit trail vastlegt dát en wanneer een record is verlopen.
Checklist
- Aan elke lead-status is een gemotiveerde bewaartermijn gekoppeld.
- Gegevens worden automatisch verwijderd zodra de termijn is bereikt: geen handmatig opschonen, ook niet bij hoog volume.
- Verwijdering is een actieve handeling: de gegevens verdwijnen uit de actieve opslag.
- De audit trail registreert dát en wanneer een record is verlopen, zonder de inhoud te bewaren.
- Bewaartermijnen zijn vastgelegd in beleid en uitlegbaar per categorie, publisher of label.
Datalek-procedure
Een datalek is elk incident waarbij persoonsgegevens onbedoeld worden ingezien, gewijzigd, gelekt of vernietigd. De AVG verplicht de verwerkingsverantwoordelijke om een meldplichtig lek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens, en bij hoog risico ook de betrokkenen te informeren. Onder die tijdsdruk wint een vooraf vastgelegde procedure het altijd van improvisatie, zeker wanneer een incident meerdere publishers of afnemers raakt.
Zorg dat de route klaarligt: hoe je detecteert, beoordeelt, intern escaleert en meldt, ook wanneer een incident zich bij een aangesloten publisher voordoet. Als verwerker meld je een incident onverwijld aan de verwerkingsverantwoordelijke, zodat die op tijd de wettelijke melding kan doen. Houd het hele verloop herleidbaar: de afhandeling van een lek is zelf ook iets wat je als operator moet kunnen aantonen.
Checklist
- Er is een vastgelegde datalek-procedure met heldere stappen en verantwoordelijken.
- Monitoring, toegangslogs en de audit trail signaleren afwijkend gedrag, platformbreed.
- Een incident wordt beoordeeld op aard, omvang en risico voor betrokkenen, ook als het via een publisher binnenkomt.
- Als verwerker wordt een incident onverwijld gemeld aan de verwerkingsverantwoordelijke.
- De 72-uurstermijn en eventuele informatie aan betrokkenen zijn geborgd en herleidbaar vastgelegd.
Rollen & verwerkers
Wie is waarvoor verantwoordelijk? De AVG onderscheidt de verwerkingsverantwoordelijke (die doel en middelen bepaalt) van de verwerker (die in opdracht verwerkt). Onhelderheid over wie welke rol heeft, is een van de meest voorkomende compliance-fouten in lead-ketens, en juist als operator met meerdere publishers, labels en afnemers op één platform loopt het zonder heldere afspraken snel mis.
Leg de rolverdeling expliciet vast en sluit met elke publisher, afnemer en verwerker die je aansluit een passende overeenkomst. Werk daarnaast met toegang per rol binnen je platform: niemand (geen publisher, geen afnemer, geen teamlid) ziet meer gegevens dan zijn functie vereist. Houd een actueel register van verwerkingen en sub-verwerkers bij, zodat je op elk moment kunt laten zien wie betrokken is en onder welke voorwaarden, ongeacht hoeveel partijen je platform inmiddels bedient.
Checklist
- Per partij (publisher, afnemer, sub-verwerker) is vastgelegd of zij verwerkingsverantwoordelijke of verwerker is.
- Met elke (sub-)verwerker is een verwerkersovereenkomst gesloten.
- Toegang tot gegevens is per rol en context geregeld binnen je platform: niemand ziet meer dan nodig.
- Er is een actueel register van verwerkingen en sub-verwerkers.
- Verwerkersafspraken worden periodiek herzien en zijn op te vragen als bewijs richting afnemer of toezichthouder.
De keten als geheel
De tien fasen hierboven horen niet als losse maatregelen te bestaan, maar als één doorlopende keten die je als operator bewaakt. De kracht zit in de samenhang: consent die gekoppeld blijft aan herkomst, een verificatie-uitkomst die meereist naar de levering, een bewaartermijn die aansluit op de status, en een audit trail die het allemaal verbindt tot bewijs, over al je publishers en afnemers heen. Zodra die schakels in elkaar grijpen, wordt verantwoording een bijproduct van je platform in plaats van een project op zich.
Gebruik deze checklist als nulmeting én als terugkerende controle. Wetgeving, publishers, kanalen en afnemers veranderen; je platform groeit mee. Door periodiek elke fase langs te lopen, houd je de keten gesloten en blijf je aantoonbaar in controle, ongeacht hoeveel volume erdoorheen gaat of hoeveel partijen je inmiddels bedient.
Dit is geen juridisch advies
Deze gids biedt een praktisch overzicht en is geen juridisch advies. De toepassing van de AVG hangt af van jouw specifieke verwerkingen, rollen en context als operator. Raadpleeg voor je eigen situatie een gekwalificeerde jurist of functionaris voor gegevensbescherming. OXIAE ondersteunt je compliance met techniek, vastlegging en heldere rolverdeling binnen je platform, maar vervangt geen juridische beoordeling.