General Data Protection Regulation (GDPR)

GDPR, AVG, Algemene Verordening Gegevensbescherming, EU-privacyverordening, Europese privacywet, EU-privacywet, Gegevensbeschermingsverordening, Privacy verordening
De General Data Protection Regulation (GDPR) of AVG is de Europese privacywetgeving die regelt hoe organisaties persoonsgegevens van EU-burgers moeten verzamelen, verwerken en beschermen.
Privacy & Compliance

Wat is General Data Protection Regulation (GDPR)?

De General Data Protection Regulation (GDPR), in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG), is een uitgebreide privacywetgeving die op 25 mei 2018 van kracht werd in de Europese Unie. Deze verordening vervangt de oude Europese privacyrichtlijn uit 1995 en biedt een geharmoniseerd juridisch kader voor gegevensbescherming in alle EU-lidstaten.

De GDPR heeft als doel de privacy van EU-burgers te beschermen en hen meer controle te geven over hun persoonsgegevens. De verordening is van toepassing op alle organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht waar de organisatie gevestigd is. Dit betekent dat ook bedrijven buiten de EU zich aan de GDPR moeten houden als zij diensten aanbieden aan of het gedrag monitoren van personen in de EU.

Kernprincipes van de GDPR

De GDPR is gebaseerd op zeven fundamentele principes voor gegevensverwerking:

  • Rechtmatigheid, behoorlijkheid en transparantie: Persoonsgegevens moeten op rechtmatige, behoorlijke en transparante wijze worden verwerkt
  • Doelbinding: Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden
  • Minimale gegevensverwerking: Alleen de gegevens verzamelen die noodzakelijk zijn voor het doel
  • Juistheid: Persoonsgegevens moeten accuraat en actueel zijn
  • Opslagbeperking: Gegevens mogen niet langer worden bewaard dan noodzakelijk
  • Integriteit en vertrouwelijkheid: Passende beveiliging van persoonsgegevens
  • Verantwoordingsplicht: De verwerkingsverantwoordelijke moet kunnen aantonen dat aan alle principes wordt voldaan

Rechten van betrokkenen

De GDPR versterkt de rechten van individuen aanzienlijk. Betrokkenen hebben onder meer de volgende rechten:

  • Recht op informatie: Transparante informatie over hoe gegevens worden verwerkt
  • Recht op inzage: Toegang tot de eigen persoonsgegevens
  • Recht op rectificatie: Correctie van onjuiste gegevens
  • Recht op gegevenswissing (recht op vergetelheid): Verwijdering van persoonsgegevens onder bepaalde voorwaarden
  • Recht op beperking van de verwerking: Tijdelijke opschorting van gegevensverwerking
  • Recht op dataportabiliteit: Overdracht van gegevens naar een andere dienstverlener
  • Recht van bezwaar: Bezwaar maken tegen bepaalde vormen van gegevensverwerking
  • Geautomatiseerde besluitvorming: Niet onderworpen worden aan volledig geautomatiseerde beslissingen

Boetes en handhaving

De GDPR kent aanzienlijke boetes voor overtredingen. Organisaties kunnen worden beboet met maximaal €20 miljoen of 4% van de wereldwijde jaaromzet (welke van de twee het hoogst is). De hoogte van de boete isafhankelijk van de ernst en aard van de overtreding. Toezichthoudende autoriteiten, zoals de Autoriteit Persoonsgegevens in Nederland, zijn verantwoordelijk voor de handhaving.

Toepassingen van GDPR

Website en cookie compliance

Voor websites betekent de GDPR dat bezoekers actief toestemming moeten geven voor het plaatsen van niet-essentiële cookies. Dit heeft geleid tot de implementatie van cookie banners en consent management platforms. Websites moeten duidelijk uitleggen welke cookies ze gebruiken, voor welke doeleinden, en bezoekers de mogelijkheid bieden om hun voorkeuren aan te passen.

Belangrijke vereisten voor websites:

  • Privacyverklaring die voldoet aan GDPR-eisen
  • Cookie consent mechanisme met opt-in voor niet-essentiële cookies
  • Mogelijkheid voor gebruikers om hun rechten uit te oefenen
  • Beveiligde verwerking van persoonsgegevens
  • Verwerkersovereenkomsten met derde partijen

E-commerce en webshops

Online retailers moeten bij het verzamelen van klantgegevens extra zorgvuldig zijn. Dit omvat namen, adressen, e-mailadressen, betaalgegevens en aankoopgeschiedenis. E-commerce bedrijven moeten:

  • Expliciete toestemming vragen voor nieuwsbrieven en marketingcommunicatie
  • Klantgegevens beveiligd opslaan en verwerken
  • Klanten in staat stellen hun gegevens in te zien, te wijzigen of te verwijderen
  • Datalekken binnen 72 uur melden bij de toezichthouder
  • Privacy by design en privacy by default implementeren

Marketing en e-mailmarketing

De GDPR heeft grote impact op marketing activiteiten. Voor e-mailmarketing geldt dat organisaties alleen berichten mogen sturen aan personen die hier expliciet toestemming voor hebben gegeven (opt-in). Cold calling en ongevraagde marketing zijn sterk beperkt.

Marketing compliance vereisten:

  • Double opt-in procedures voor nieuwsbrieven
  • Duidelijke uitschrijfmogelijkheden in elke e-mail
  • Transparantie over gebruik van gegevens voor profilering
  • Legitiem belang aantonen bij bepaalde verwerkingen
  • Segmentatie en targeting binnen wettelijke kaders

Analytics en tracking

Het gebruik van web analytics tools zoals Google Analytics vereist toestemming van bezoekers. Organisaties moeten verwerkersovereenkomsten afsluiten met analytics providers en ervoor zorgen dat IP-adressen worden geanonimiseerd. Het is belangrijk om transparant te zijn over welke data wordt verzameld en voor welke doeleinden.

Social media en advertenties

Bij het gebruik van social media pixels, retargeting en gepersonaliseerde advertenties moet toestemming worden gevraagd. Organisaties die social media gebruiken voor marketing moeten:

  • Toestemming vragen voor het plaatsen van tracking pixels
  • Duidelijk maken welke gegevens worden gedeeld met social media platforms
  • Gebruikers controle geven over hun advertising preferences
  • Verwerkersovereenkomsten hebben met advertentieplatforms

CRM en klantendatabases

Customer Relationship Management systemen bevatten vaak uitgebreide persoonsgegevens. Organisaties moeten ervoor zorgen dat:

  • Alleen noodzakelijke gegevens worden opgeslagen
  • Toegang tot gegevens strikt wordt gecontroleerd
  • Gegevens regelmatig worden geactualiseerd en opgeschoond
  • Klanten hun gegevens kunnen inzien en wijzigen
  • Data retention policies worden nageleefd

Internationale datatransfers

Bij het overdragen van persoonsgegevens naar landen buiten de EU/EER moeten organisaties zorgen voor adequate bescherming. Dit kan via Standard Contractual Clauses (SCC's), Binding Corporate Rules of door gebruik te maken van dienstverleners in landen met een adequaatheidsbesluit van de Europese Commissie.

Veelgestelde vragen

Om GDPR-compliant te worden moet je een aantal essentiële stappen doorlopen:

  • Inventariseer alle persoonsgegevens: Breng in kaart welke persoonsgegevens je verzamelt, waar ze worden opgeslagen, wie er toegang toe heeft en voor welke doeleinden ze worden gebruikt
  • Stel een privacyverklaring op: Creëer een heldere, begrijpelijke privacyverklaring die voldoet aan alle GDPR-vereisten
  • Implementeer consent mechanismes: Zorg voor duidelijke opt-in procedures voor cookies, nieuwsbrieven en andere verwerkingen die toestemming vereisen
  • Sluit verwerkersovereenkomsten af: Maak afspraken met alle partijen die namens jou persoonsgegevens verwerken
  • Implementeer beveiligingsmaatregelen: Zorg voor technische en organisatorische maatregelen om gegevens te beschermen
  • Stel procedures in voor datasubject requests: Maak het mogelijk voor personen om hun rechten uit te oefenen
  • Voer een DPIA uit: Bij risicovolle verwerkingen moet een Data Protection Impact Assessment worden uitgevoerd

De GDPR maakt een belangrijk onderscheid tussen twee rollen:

Verwerkingsverantwoordelijke: Dit is de partij die het doel en de middelen van de verwerking van persoonsgegevens bepaalt. De verwerkingsverantwoordelijke heeft de uiteindelijke verantwoordelijkheid voor naleving van de GDPR en moet kunnen aantonen dat aan alle verplichtingen wordt voldaan. Bijvoorbeeld: een webshop die klantgegevens verzamelt is verwerkingsverantwoordelijke voor die gegevens.

Verwerker: Dit is de partij die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt volgens de instructies van de verwerkingsverantwoordelijke. Een verwerker heeft minder verantwoordelijkheden maar moet wel aan bepaalde verplichtingen voldoen. Bijvoorbeeld: een e-mailmarketingplatform dat namens de webshop nieuwsbrieven verstuurt is een verwerker.

Tussen verwerkingsverantwoordelijke en verwerker moet altijd een verwerkersovereenkomst worden afgesloten waarin afspraken worden vastgelegd over de verwerking, beveiliging en andere GDPR-verplichtingen.

Een datalek (data breach) moet worden gemeld bij de toezichthoudende autoriteit wanneer het een risico vormt voor de rechten en vrijheden van betrokkenen. Dit moet gebeuren binnen 72 uur nadat je van het datalek op de hoogte bent.

Wanneer is er sprake van een meldingsplichtig datalek?

  • Wanneer er ongeautoriseerde toegang is geweest tot persoonsgegevens
  • Bij verlies of vernietiging van persoonsgegevens
  • Wanneer gegevens onbedoeld zijn gedeeld met onbevoegden
  • Bij ransomware aanvallen waarbij gegevens zijn versleuteld

Wanneer moet je ook de betrokkenen informeren?

Als het datalek waarschijnlijk een hoog risico inhoudt voor de persoonlijke levenssfeer van betrokkenen, moet je ook de betrokkenen zelf informeren. Dit geldt bijvoorbeeld bij:

  • Gestolen inloggegevens of wachtwoorden
  • Financiële gegevens die zijn gelekt
  • Bijzondere persoonsgegevens (gezondheid, religie, etc.)
  • Gegevens die kunnen leiden tot identiteitsfraude

Het is verstandig om een datalek protocol te hebben waarin staat hoe je moet handelen bij een datalek, wie verantwoordelijk is en hoe communicatie verloopt.

Auteur & updates

Auteur: Wouter
Publicatiedatum: 16-02-2026
Laatste update: 16-02-2026