Normen uitgelegd
Alle Categorieën
Laatst bijgewerkt: 18 februari 2026

AVG/GDPR uitgelegd: de privacywet

De AVG, of in het Engels GDPR, is de Europese privacywet. Bijna elke organisatie heeft ermee te maken. Maar wat houdt het precies in? We leggen het uit.

Wat is de AVG?

AVG staat voor "Algemene Verordening Gegevensbescherming". In het Engels is dit GDPR: "General Data Protection Regulation". Het is een Europese wet die sinds 25 mei 2018 geldt.

De kern: De AVG beschermt persoonsgegevens van EU-burgers. Organisaties mogen niet zomaar gegevens verzamelen, opslaan of delen. Er zijn strenge regels.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon:

  • Naam
  • Adres
  • E-mailadres
  • Telefoonnummer
  • BSN (burgerservicenummer)
  • IP-adres
  • Foto's
  • Locatiegegevens

Er zijn ook "bijzondere persoonsgegevens" die extra beschermd zijn:

  • Gezondheidsgegevens
  • Religie
  • Seksuele geaardheid
  • Politieke voorkeur
  • Biometrische gegevens

De 7 basisprincipes van de AVG

De AVG is gebaseerd op 7 principes:

1. Rechtmatigheid

Je mag alleen gegevens verwerken als je daar een geldige reden voor hebt (bijv. toestemming of contract).

2. Doelbinding

Je mag gegevens alleen gebruiken voor het doel waarvoor je ze hebt verzameld.

3. Dataminimalisatie

Verzamel alleen de gegevens die je echt nodig hebt. Niet "misschien handig", maar echt nodig.

4. Juistheid

Zorg dat gegevens correct en actueel zijn.

5. Opslagbeperking

Bewaar gegevens niet langer dan nodig.

6. Integriteit en vertrouwelijkheid

Beveilig de gegevens goed.

7. Verantwoording

Je moet kunnen aantonen dat je aan al het bovenstaande voldoet.

Rechten van mensen (betrokkenen)

De AVG geeft mensen rechten over hun eigen gegevens:

  • Recht op informatie - Mensen moeten weten wat je met hun gegevens doet
  • Recht op inzage - Mensen mogen zien welke gegevens je hebt
  • Recht op correctie - Fouten moeten gecorrigeerd worden
  • Recht op vergetelheid - In sommige gevallen moeten gegevens verwijderd worden
  • Recht op dataportabiliteit - Mensen kunnen hun gegevens meenemen
  • Recht op bezwaar - Mensen kunnen bezwaar maken tegen verwerking

Wat moet je als organisatie doen?

Verwerkingsregister bijhouden

Je moet documenteren welke persoonsgegevens je verwerkt, waarom, en met wie je ze deelt.

Privacy by design

Bij nieuwe systemen of processen moet je vanaf het begin nadenken over privacy.

Data Protection Impact Assessment (DPIA)

Bij risicovolle verwerkingen moet je vooraf een analyse maken.

Functionaris Gegevensbescherming (FG)

Sommige organisaties moeten een FG aanstellen die toezicht houdt.

Datalekken melden

Als er een datalek is, moet je dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens.

Wat zijn de boetes?

De AVG kent forse boetes:

  • Tot 10 miljoen euro of 2% van de jaaromzet voor lichtere overtredingen
  • Tot 20 miljoen euro of 4% van de jaaromzet voor zware overtredingen

In Nederland deelt de Autoriteit Persoonsgegevens regelmatig boetes uit.

Hoe helpt ComplyGuide?

ComplyGuide helpt je bij AVG-compliance door:

  • Een overzicht te geven van alle AVG-eisen
  • Je verwerkingsregister te beheren
  • Taken toe te wijzen aan je team
  • Bewijs te verzamelen dat je compliant bent

Bekijk de AVG module

Was dit artikel nuttig?

Contact support