AVG-conforme E-mail API: Wat je echt nodig hebt
AVG-compliance voor transactionele e-mail wordt vaak te ingewikkeld gemaakt. Dit is wat er echt toe doet en hoe je het goed implementeert.
Wat de AVG vereist voor e-mail
Voor transactionele e-mail geldt de AVG voor de persoonsgegevens die je verwerkt—voornamelijk e-mailadressen en personalisatiegegevens in de e-mailinhoud.
De kernvereisten
- Rechtmatige grondslag — Transactionele e-mails vallen typisch onder "gerechtvaardigd belang" of "uitvoering overeenkomst"
- Dataminimalisatie — Alleen verwerken wat je nodig hebt
- Opslagbeperking — Gegevens niet eeuwig bewaren
- Beveiliging — Versleuteling tijdens verzending en opslag
- Doorgifte-waarborgen — Als data de EU verlaat, heb je juridische mechanismen nodig
Het datadoorgifte-probleem
De meeste e-mail APIs zijn US-gebaseerd. Wanneer je een e-mail verstuurt via Resend, SendGrid of Postmark, reist het e-mailadres van je klant naar US-servers.
Dit vereist:
- Standard Contractual Clauses (SCCs) — Juridische overeenkomsten voor de doorgifte
- Transfer Impact Assessment — Jouw risico-evaluatie
- Aanvullende maatregelen — Extra waarborgen die je implementeert
Dit is niet illegaal, maar het creëert doorlopende compliance-overhead.
De eenvoudigere aanpak: EU-dataresidentie
Als je data nooit de EU verlaat, elimineer je het doorgifte-probleem volledig:
- Geen SCCs nodig voor de e-mailprovider
- Geen Transfer Impact Assessment
- Eenvoudigere verwerkersovereenkomst
- Makkelijkere audit trail
AVG-conforme e-mail implementeren met Truncus
1. Verwerkersovereenkomst
Truncus biedt een standaard verwerkersovereenkomst die dekt:
- Verwerkingsomvang (e-mailadressen, berichtinhoud)
- Beveiligingsmaatregelen (TLS, versleuteling bij opslag)
- Subverwerkers-lijst (AWS EU, geen US-transfers)
- Gegevensverwijderingsprocedures
2. Technische implementatie
import { Truncus } from '@truncus/node';
const truncus = new Truncus({
apiKey: process.env.TRUNCUS_API_KEY,
// Data blijft in EU
region: 'eu-west-1',
});
// Verzend met alleen noodzakelijke gegevens
await truncus.emails.send({
from: 'noreply@jouwapp.com',
to: gebruikerEmail,
subject: 'Je orderbevestiging',
html: orderBevestigingHtml,
// Retentie instellen voor AVG-compliance
metadata: {
retention_days: 30,
},
});3. Webhook-gegevensverwerking
Wanneer je webhooks ontvangt, verwerk ze gepast:
// Webhook handler
app.post('/webhooks/email', async (req, res) => {
const event = req.body;
// Log bezorgstatus (gerechtvaardigd belang)
await logDeliveryEvent({
messageId: event.message_id,
status: event.type, // delivered, bounced, etc.
timestamp: event.timestamp,
});
// Bewaar niet de volledige payload langdurig
// Houd alleen wat je nodig hebt voor operaties
res.status(200).send('OK');
});4. Gegevensretentie
Truncus verwijdert automatisch:
- E-mailinhoud: 30 dagen na verzending
- Bezorglogs: 90 dagen
- Analysegegevens: Geaggregeerd, geen persoonsgegevens bewaard
Je kunt eerdere verwijdering aanvragen via de API.
Checklist: AVG-conforme e-mail setup
| Vereiste | Hoe Truncus helpt |
|---|---|
| Verwerkersovereenkomst | Standaard overeenkomst beschikbaar |
| EU-dataresidentie | Alle data blijft in EU |
| Versleuteling tijdens verzending | TLS 1.3 vereist |
| Versleuteling bij opslag | AES-256 versleuteling |
| Toegangscontroles | API key scoping, audit logs |
| Gegevensverwijdering | Automatische retentielimieten + API |
| Subverwerker-transparantie | Gepubliceerde subverwerkers-lijst |
Wat je nog moet doen
Een AVG-conforme e-mail API gebruiken maakt je niet automatisch compliant. Je hebt nog steeds nodig:
- Privacyverklaring — Vermelden dat je transactionele e-maildiensten gebruikt
- Rechtmatige grondslag — Documenteren waarom je elk type e-mail verstuurt
- Dataminimalisatie — Geen onnodige persoonsgegevens in e-mails
- Inzageverzoeken — Verzoeken binnen 30 dagen verwerken
Aan de slag
- Account aanmaken
- Download de verwerkersovereenkomst uit je dashboard
- Configureer je domein
- Verstuur je eerste e-mail
Vragen over AVG-compliance? Neem contact op via privacy@truncus.co