GDPR-proof polling — wat moet je weten

De AVG (in Engelstalige landen GDPR genoemd) is sinds 2018 van kracht, maar in 2026 zien we nog steeds organisaties die per ongeluk de wet schenden bij iets simpels als een interne peiling. In dit artikel lopen we door wat je moet weten — geen juridisch jargon, gewoon praktisch.

Geldt de AVG ook voor mijn peiling?

Kort antwoord: ja, in bijna alle gevallen.

Iedere keer dat je persoonsgegevens verzamelt — en dat omvat een naam, e-mailadres, IP-adres of zelfs een combinatie van antwoorden die naar één persoon herleidbaar is — val je onder de AVG. Een peiling onder collega's? Ja. Een klanttevredenheidsonderzoek? Zeker. Een anonieme survey waarbij je alsnog hun e-mailadres bewaart om reminders te sturen? Helaas ook.

De vier basisregels

1. Verzamel alleen wat je nodig hebt

De AVG gebruikt het principe van dataminimalisatie. Vraag jezelf bij elke vraag: "Heb ik dit echt nodig?" Een geboortedatum voor een vraag over werkomgeving? Waarschijnlijk niet. E-mailadres voor reminders? Misschien — maar maak het optioneel.

2. Wees transparant

Mensen moeten vooraf weten:

• Wat je met hun gegevens doet;
• Hoelang je ze bewaart;
• Met wie je ze deelt (bijv. cloud-providers);
• Welke rechten ze hebben.

Een korte privacy-mededeling onderaan je peiling is voldoende: "We verzamelen je antwoorden om ... We bewaren ze voor ... Verwijdering kun je aanvragen via ..."

3. Hosting in de EU (of met juiste safeguards)

Veel populaire tools hosten in de VS. Sinds het Schrems II-arrest is dit problematisch zonder aanvullende maatregelen. Kies bij voorkeur een aanbieder met EU-hosting. Bij Peiley draait alles op servers in Frankfurt en Amsterdam — geen Amerikaanse omleiding nodig.

4. Respecteer de rechten van respondenten

Onder de AVG hebben respondenten het recht om:

• Hun gegevens in te zien;
• Hun gegevens te corrigeren;
• Hun gegevens te laten verwijderen;
• Bezwaar te maken tegen verwerking.

Zorg dat je een proces hebt om aan deze verzoeken te voldoen.

De checklist: AVG-proof in 7 stappen

Hier is je praktische checklist voor je volgende peiling:

1. ✅ Bepaal de grondslag. Toestemming, contract, of gerechtvaardigd belang? Schrijf het op.
2. ✅ Minimaliseer de data. Verwijder elke vraag die je niet absoluut nodig hebt.
3. ✅ Voeg een privacymededeling toe. Eén of twee zinnen onderaan met link naar je beleid.
4. ✅ Kies een EU-aanbieder. Of zorg voor passende safeguards.
5. ✅ Bepaal de bewaartermijn. En houd je eraan — verwijder data automatisch na de termijn.
6. ✅ Documenteer. Schrijf op wie verantwoordelijk is, wat je verzamelt en waar het staat.
7. ✅ Wees responsief. Als iemand vraagt om verwijdering: doe het binnen 30 dagen.

Drie veelvoorkomende fouten

Fout 1: "Het is anoniem, dus geen probleem"

Anonimiteit is een spectrum. Als je vraag stelt over een uniek kenmerk ("Welke afdeling werk je?") in een klein bedrijf, is je peiling niet meer anoniem. Wees voorzichtig met combinaties van antwoorden.

Fout 2: "Ik gebruik een gratis tool van een Amerikaans bedrijf"

Veel gratis tools verkopen je gegevens, hebben servers in de VS en bieden geen verwerkersovereenkomst. Lees de kleine lettertjes voor je iets verstuurt waarmee je niet trots in de Volkskrant wilt komen te staan.

Fout 3: "Ik bewaar de data 'voor het geval dat'"

Data die je niet meer gebruikt is data die alleen risico oplevert. Stel een bewaartermijn in en houd je eraan.

Hoe Peiley dit oplost

We hebben Peiley vanaf de eerste dag gebouwd met privacy als uitgangspunt:

• Alle data in EU-datacenters;
• Verwerkersovereenkomst standaard;
• Anonieme polling als optie;
• Automatische data-verwijdering na ingestelde termijn;
• Eén klik om respondenten-data te exporteren of verwijderen.

Geen aanvullende juridische gymnastiek nodig.

Conclusie

GDPR-proof polling is geen rocket science. Verzamel alleen wat je nodig hebt, wees transparant, kies de juiste tool en respecteer rechten. Doe je dit, dan ben je voor 95% in compliance.

Voor de andere 5% — schrijf naar info@peiley.net of overleg met je DPO. Beter even checken dan een boete.

Disclaimer: dit artikel is informatief, geen juridisch advies. Consulteer een privacy-jurist voor specifieke situaties.