Algemene Verordening Gegevensbescherming (AVG)

AVG, GDPR, General Data Protection Regulation, Privacywet, Europese privacywetgeving, Gegevensbeschermingsverordening, EU-privacyverordening, GDPR-wetgeving
De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die regelt hoe organisaties persoonsgegevens van EU-burgers moeten verzamelen, verwerken en beschermen.
Privacy & Compliance

Wat is de Algemene Verordening Gegevensbescherming (AVG)?

De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als General Data Protection Regulation (GDPR), is de Europese privacywetgeving die op 25 mei 2018 van kracht is geworden. Deze verordening regelt hoe organisaties binnen en buiten de Europese Unie persoonsgegevens van EU-burgers moeten verzamelen, verwerken, opslaan en beschermen.

De AVG vervangt de oude nationale privacywetten en zorgt voor één uniforme privacywetgeving binnen de gehele EU. Het doel is burgers meer controle te geven over hun persoonlijke gegevens en organisaties te verplichten transparant te zijn over hoe zij met deze gegevens omgaan.

Belangrijkste principes van de AVG

De AVG is gebaseerd op een aantal fundamentele principes die organisaties moeten naleven:

  • Rechtmatigheid en transparantie: Persoonsgegevens moeten op rechtmatige en transparante wijze worden verwerkt
  • Doelbinding: Gegevens mogen alleen worden verzameld voor specifieke, expliciete en legitieme doeleinden
  • Dataminimalisatie: Alleen de strikt noodzakelijke gegevens mogen worden verzameld
  • Juistheid: Persoonsgegevens moeten accuraat en actueel zijn
  • Opslagbeperking: Gegevens mogen niet langer worden bewaard dan noodzakelijk
  • Integriteit en vertrouwelijkheid: Passende beveiligingsmaatregelen moeten worden getroffen
  • Verantwoordingsplicht: Organisaties moeten kunnen aantonen dat zij aan de AVG voldoen

Rechten van betrokkenen

De AVG geeft burgers uitgebreide rechten met betrekking tot hun persoonsgegevens:

  • Recht op inzage: Het recht om te weten welke gegevens een organisatie over je verwerkt
  • Recht op rectificatie: Het recht om onjuiste gegevens te laten corrigeren
  • Recht op vergetelheid: Het recht om gegevens te laten verwijderen onder bepaalde voorwaarden
  • Recht op dataportabiliteit: Het recht om je gegevens over te dragen naar een andere organisatie
  • Recht op bezwaar: Het recht om bezwaar te maken tegen bepaalde verwerkingen
  • Recht op beperking: Het recht om de verwerking van gegevens te beperken

Verplichtingen voor organisaties

Organisaties die persoonsgegevens verwerken hebben verschillende verplichtingen onder de AVG:

  • Privacy by design en by default: Privacy moet vanaf het begin worden ingebouwd in systemen en processen
  • Verwerkersovereenkomsten: Schriftelijke afspraken met partijen die gegevens in opdracht verwerken
  • Datalekken melden: Binnen 72 uur een datalek melden bij de toezichthouder
  • Privacy impact assessment: Risicoanalyse uitvoeren bij nieuwe verwerkingen met hoog risico
  • Functionaris voor gegevensbescherming: In bepaalde gevallen een Data Protection Officer (DPO) aanstellen
  • Register van verwerkingsactiviteiten: Bijhouden van alle verwerkingen van persoonsgegevens

Boetes en handhaving

De AVG kent aanzienlijke boetes voor overtredingen. Afhankelijk van de ernst van de overtreding kunnen boetes oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk voor de handhaving van de AVG.

Toepassingen van de AVG

Website en webshops

Voor websites en webshops heeft de AVG directe gevolgen voor verschillende aspecten:

  • Cookie consent: Bezoekers moeten actief toestemming geven voor niet-noodzakelijke cookies voordat deze worden geplaatst
  • Privacy statement: Een duidelijke privacyverklaring waarin wordt uitgelegd welke gegevens worden verzameld en waarom
  • Contactformulieren: Alleen noodzakelijke gegevens vragen en duidelijk aangeven waarvoor deze worden gebruikt
  • Nieuwsbrieven: Expliciete toestemming vragen voor het versturen van marketing e-mails met opt-in checkbox
  • Klantaccounts: Mogelijkheid bieden voor klanten om hun gegevens in te zien, te wijzigen of te verwijderen
  • Analytics: Privacy-vriendelijke configuratie van tools zoals Google Analytics met IP-anonimisering

E-commerce en marketing

Voor e-commerce bedrijven en marketing activiteiten zijn specifieke AVG-maatregelen essentieel:

  • Klantenbestanden: Veilige opslag van klantgegevens met passende beveiligingsmaatregelen
  • E-mailmarketing: Toestemming vereist voor commerciële communicatie met duidelijke uitschrijfoptie
  • Retargeting: Toestemming nodig voor het plaatsen van tracking pixels en retargeting cookies
  • Betalingsgegevens: Extra zorgvuldige omgang met financiële en betaalgegevens
  • Orderhistorie: Bewaartermijnen hanteren en oude gegevens periodiek verwijderen
  • Marketing automation: Transparantie over geautomatiseerde besluitvorming en profiling

Data-analyse en tracking

Bij het gebruik van analytics en tracking tools moet rekening worden gehouden met de AVG:

  • Google Analytics: Verwerkersovereenkomst afsluiten en privacy-vriendelijke instellingen gebruiken
  • Tag management: Controle over welke tags wanneer worden geladen op basis van toestemming
  • Heatmaps en sessie-opnames: Toestemming vereist en anonimisering van gevoelige informatie
  • A/B testing tools: Privacy-vriendelijke configuratie en toestemming voor tracking
  • CRM-systemen: Beveiligde opslag en beperkte toegang tot klantgegevens

Social media en adverteren

Social media en online adverteren vereisen specifieke AVG-compliance maatregelen:

  • Facebook Pixel: Toestemming nodig voor het plaatsen van tracking pixels
  • Custom audiences: Zorgvuldige omgang met het uploaden van klantgegevens naar advertentieplatforms
  • Leadformulieren: Duidelijke informatie over gegevensgebruik bij social media lead ads
  • Remarketing lists: Toestemming voor het verzamelen van data voor remarketing doeleinden

Bedrijfsprocessen en organisatie

De AVG heeft ook impact op interne bedrijfsprocessen:

  • HR-systemen: Zorgvuldige omgang met personeelsgegevens en sollicitanten
  • Leveranciersmanagement: Verwerkersovereenkomsten met alle partijen die toegang hebben tot persoonsgegevens
  • Beveiliging: Technische en organisatorische maatregelen om gegevens te beschermen
  • Training: Medewerkers opleiden over AVG-compliance en privacy
  • Incidentmanagement: Procedures voor het detecteren en melden van datalekken
  • Privacy governance: Beleid en procedures voor privacy compliance binnen de organisatie

Veelgestelde vragen

De AVG geldt voor alle organisaties die persoonsgegevens verwerken van personen die zich in de Europese Unie bevinden, ongeacht waar de organisatie zelf is gevestigd. Dit betekent dat ook bedrijven buiten de EU aan de AVG moeten voldoen als zij goederen of diensten aanbieden aan EU-burgers of hun gedrag monitoren.

De verordening geldt voor zowel grote als kleine organisaties, van multinationals tot eenmanszaken en verenigingen. Alleen de verwerking van persoonsgegevens voor puur persoonlijke of huishoudelijke doeleinden valt buiten de reikwijdte van de AVG.

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit omvat directe identificatoren zoals naam, adres, e-mailadres, telefoonnummer en BSN, maar ook indirecte identificatoren zoals IP-adressen, cookie-ID's, locatiegegevens en online gedragsinformatie.

Ook bijzondere categorieën persoonsgegevens vallen onder de AVG, zoals gegevens over ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, gezondheid, seksuele gerichtheid en biometrische gegevens. Voor deze gevoelige gegevens gelden extra strenge regels.

Toestemming moet volgens de AVG vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Dit betekent dat je geen vooraf aangevinkte vakjes mag gebruiken en dat mensen actief moeten instemmen, bijvoorbeeld door een checkbox aan te vinken of een knop te klikken.

Je moet duidelijk uitleggen waarvoor je toestemming vraagt, voor welke specifieke doeleinden je de gegevens gaat gebruiken en hoe lang je ze bewaart. Mensen moeten hun toestemming ook net zo gemakkelijk kunnen intrekken als geven. Bovendien moet je kunnen aantonen dat iemand toestemming heeft gegeven, dus bewaar registraties van gegeven toestemmingen.

Let op: toestemming is slechts één van de zes rechtsgrondslagen voor gegevensverwerking. In veel gevallen kun je ook een andere rechtsgrondslag gebruiken, zoals contractuele noodzaak of gerechtvaardigd belang.

Auteur & updates

Auteur: Wouter
Publicatiedatum: 16-02-2026
Laatste update: 16-02-2026