AVG Uitgelegd in Gewone Taal (2026): Complete Gids voor Iedereen
De Algemene Verordening Gegevensbescherming (AVG) klinkt ingewikkeld, maar de kern is simpel: het is de Europese wet die bepaalt hoe organisaties met jouw persoonlijke gegevens mogen omgaan. In deze gids leggen we de AVG uit in gewone taal, zonder juridisch jargon, met concrete voorbeelden en praktische tips voor 2026.
Wat is de AVG? Een Definitie in Één Zin
De AVG (in het Engels: GDPR) is de privacywet die sinds 25 mei 2018 in de hele Europese Unie geldt en die burgers controle geeft over hun persoonsgegevens. Simpel gezegd: de AVG bepaalt wat bedrijven, overheden en verenigingen wel en niet met jouw data mogen doen.
De wet heeft twee kernprincipes:
- Rechten voor burgers: jij bepaalt wat er met jouw gegevens gebeurt.
- Plichten voor organisaties: wie gegevens verwerkt, moet dat zorgvuldig, transparant en met een goede reden doen.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving. In 2026 is de AVG nog steeds het fundament van het Europese privacyrecht, met aanvullende regels zoals de AI-Act en de Data Act eromheen.
Wat Zijn Persoonsgegevens Precies?
Persoonsgegevens zijn alle gegevens waarmee je een persoon direct of indirect kunt identificeren. Dat gaat veel verder dan alleen je naam en adres.
Voorbeelden van Persoonsgegevens
- Naam, adres, telefoonnummer, e-mailadres
- IP-adres en cookie-ID's
- Locatiegegevens van je smartphone
- Foto's en video's waarop je herkenbaar bent
- Kentekenplaten
- Bankrekeningnummers
- Stemopnames
Bijzondere Persoonsgegevens (Extra Beschermd)
Sommige gegevens zijn zo gevoelig dat ze extra bescherming krijgen. Verwerking is in principe verboden, tenzij er een uitdrukkelijke wettelijke grondslag is:
- Ras of etnische afkomst
- Politieke opvattingen
- Religieuze overtuigingen
- Gezondheidsgegevens
- Seksuele geaardheid
- Biometrische gegevens (vingerafdruk, gezichtsscan)
- Lidmaatschap van een vakbond
De 7 Basisprincipes van de AVG
Elke organisatie die persoonsgegevens verwerkt, moet zich houden aan zeven basisprincipes. Onthoud deze en je begrijpt 90% van de AVG.
- Rechtmatigheid, behoorlijkheid en transparantie: gegevens verwerken mag alleen met een geldige reden, op een eerlijke manier, en de betrokkene moet weten wat er gebeurt.
- Doelbinding: je verzamelt gegevens voor een specifiek doel en gebruikt ze niet zomaar voor iets anders.
- Minimale gegevensverwerking: verzamel niet meer dan strikt nodig is.
- Juistheid: zorg dat gegevens kloppen en up-to-date zijn.
- Opslagbeperking: bewaar gegevens niet langer dan nodig.
- Integriteit en vertrouwelijkheid: bescherm gegevens tegen verlies, diefstal en onbevoegde toegang.
- Verantwoordingsplicht: je moet kunnen aantonen dat je aan bovenstaande principes voldoet.
Jouw 8 Rechten Onder de AVG
Als burger heb je acht concrete rechten. Deze mag je uitoefenen bij elke organisatie die jouw gegevens verwerkt, en je hoeft er meestal geen reden voor op te geven.
| Recht | Wat betekent het? | Reactietermijn |
|---|---|---|
| Recht op informatie | Je moet weten waarom en hoe je gegevens worden verwerkt | Direct (bij verzameling) |
| Recht op inzage | Opvragen welke gegevens een organisatie van jou heeft | 1 maand |
| Recht op rectificatie | Onjuiste gegevens laten corrigeren | 1 maand |
| Recht op vergetelheid | Gegevens laten wissen | 1 maand |
| Recht op beperking | Verwerking tijdelijk stopzetten | 1 maand |
| Recht op dataportabiliteit | Je gegevens meenemen naar een andere partij | 1 maand |
| Recht van bezwaar | Bezwaar maken tegen verwerking (bv. marketing) | 1 maand |
| Recht bij geautomatiseerde besluiten | Menselijke tussenkomst eisen bij AI-beslissingen | Op verzoek |
Wil je een verzoek indienen? Lees dan onze stap-voor-stap gids voor het recht op vergetelheid of bekijk het volledige overzicht in Privacy in Nederland: Jouw Rechten op een Rij.
Wanneer Mag een Organisatie Jouw Gegevens Verwerken?
Een organisatie mag alleen persoonsgegevens verwerken als er een wettelijke grondslag is. De AVG kent zes grondslagen, en er moet altijd minstens één van toepassing zijn.
De Zes Grondslagen
- Toestemming: je geeft expliciet en vrijwillig toestemming (bijvoorbeeld voor een nieuwsbrief).
- Uitvoering overeenkomst: nodig om een contract met jou uit te voeren (bijvoorbeeld je adres voor een bestelling).
- Wettelijke verplichting: de wet schrijft het voor (bijvoorbeeld belastingaangifte).
- Vitaal belang: nodig om iemands leven te beschermen (bijvoorbeeld medisch noodgeval).
- Algemeen belang: publieke taak (bijvoorbeeld gemeenten).
- Gerechtvaardigd belang: organisatie heeft een legitieme reden die zwaarder weegt dan jouw privacy (bijvoorbeeld fraudepreventie).
Belangrijk: toestemming moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes tellen niet. En je mag je toestemming altijd weer intrekken.
Plichten voor Organisaties in 2026
Elk bedrijf, elke vereniging en elke overheidsinstantie die persoonsgegevens verwerkt, heeft een aantal concrete plichten. Deze zijn in 2026 alleen maar strenger geworden door aanvullende regelgeving.
Kernverplichtingen op een Rij
- Verwerkingsregister bijhouden: een overzicht van alle verwerkingen (verplicht vanaf 250 medewerkers, of eerder bij risicovolle verwerking).
- Privacyverklaring publiceren: duidelijk uitleggen wat er met gegevens gebeurt.
- Beveiligingsmaatregelen treffen: passende technische en organisatorische maatregelen (encryptie, toegangsbeheer, back-ups).
- Datalekken melden: binnen 72 uur bij de AP melden als er een datalek is met risico voor betrokkenen.
- Functionaris Gegevensbescherming (FG): verplicht voor overheden en organisaties die op grote schaal gevoelige gegevens verwerken.
- DPIA uitvoeren: een Data Protection Impact Assessment bij risicovolle verwerkingen.
- Verwerkersovereenkomsten sluiten: met alle partijen die namens jou gegevens verwerken (hosting, mailplatforms, boekhouders).
Boetes en Sancties: Wat Kost een Overtreding?
De AVG heeft tanden. De Autoriteit Persoonsgegevens kan flinke boetes opleggen, en doet dat ook regelmatig.
Twee Boetecategorieën
| Categorie | Maximale boete | Voorbeelden overtreding |
|---|---|---|
| Lagere categorie | €10 miljoen of 2% wereldwijde jaaromzet | Geen verwerkingsregister, geen FG aangesteld, datalek niet gemeld |
| Hogere categorie | €20 miljoen of 4% wereldwijde jaaromzet | Geen grondslag, rechten betrokkenen niet respecteren, doorgifte naar onveilige landen |
In 2026 zijn de bekendste boetes in Nederland uitgedeeld aan grote techbedrijven, maar ook aan gemeenten, ziekenhuizen en webshops. Naast een boete kan de AP ook een last onder dwangsom opleggen of een verwerking geheel verbieden.
Datalekken: Wat Zijn Ze en Wat Moet Je Doen?
Een datalek is elk incident waarbij persoonsgegevens in handen komen van onbevoegden, verloren gaan of ongeoorloofd worden gewijzigd. Denk aan een gestolen laptop, een verkeerd verstuurde e-mail met bijlage, of een hack.
Stappen bij een Datalek (voor Organisaties)
- Detecteer en documenteer: leg vast wat er is gebeurd, wanneer en welke gegevens.
- Beoordeel het risico: is er kans op schade voor de betrokkenen?
- Meld bij de AP binnen 72 uur: als er risico is voor betrokkenen.
- Informeer betrokkenen: bij hoog risico moeten de personen zelf ook worden ingelicht.
- Neem maatregelen: los het lek op en voorkom herhaling.
Ben je zelf slachtoffer van een datalek? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens als een organisatie het niet goed afhandelt.
AVG en Nieuwe Technologieën in 2026
De AVG is technologieneutraal geschreven, maar in 2026 zijn er specifieke aandachtspunten voor moderne toepassingen.
Kunstmatige Intelligentie
Met de komst van de AI-Act in 2026 gelden er extra regels bovenop de AVG. Vooral bij geautomatiseerde besluitvorming (zoals kredietscores of sollicitatie-screening) heb je recht op uitleg en menselijke tussenkomst. Meer hierover lees je in onze gids AI en Privacy: Wat Verandert er in 2026.
Cookies en Trackers
Websites mogen alleen niet-noodzakelijke cookies plaatsen na jouw expliciete toestemming. Cookiebanners met alleen een 'Accepteren'-knop en geen gelijkwaardige weiger-optie zijn in strijd met de AVG.
Slimme Apparaten en IoT
Slimme deurbellen, camera's en assistenten verzamelen enorme hoeveelheden data. Fabrikanten moeten privacy by design toepassen: privacy als standaardinstelling, niet als optie.
Praktische Tips: Bescherm Je Eigen Gegevens
De AVG geeft je rechten, maar je kunt zelf ook veel doen om je privacy te beschermen.
- Deel minder: vul alleen verplichte velden in bij online formulieren.
- Gebruik sterke, unieke wachtwoorden: en een wachtwoordmanager.
- Zet tweestapsverificatie aan: bij alle belangrijke accounts.
- Controleer app-machtigingen: geeft een zaklampapp echt je locatie nodig?
- Gebruik een privacyvriendelijke browser en zoekmachine: zoals Firefox, Brave of DuckDuckGo.
- Wees voorzichtig met links: deel geen persoonlijke links op sociale media. Diensten zoals Lunyb laten je URL's inkorten met privacybescherming en klikstatistieken zonder invasieve tracking.
- Vraag je rechten uit: gebruik je recht op inzage of vergetelheid actief.
AVG voor Kleine Ondernemers en ZZP'ers
Ook als eenmanszaak of kleine onderneming val je onder de AVG. Veel ZZP'ers denken dat de wet alleen voor grote bedrijven geldt, maar dat klopt niet.
Minimale Checklist voor ZZP'ers
- Publiceer een duidelijke privacyverklaring op je website
- Vraag alleen gegevens die je écht nodig hebt
- Bewaar klantgegevens niet langer dan wettelijk verplicht (fiscaal: 7 jaar)
- Beveilig je laptop, telefoon en cloudopslag met sterke wachtwoorden en encryptie
- Sluit verwerkersovereenkomsten met je boekhouder, mailplatform en hostingpartij
- Weet wat je moet doen bij een datalek
- Ken de rechten van je klanten en reageer op verzoeken binnen 1 maand
Veelgemaakte Misverstanden Over de AVG
Misverstand 1: "De AVG verbiedt alles"
Onjuist. De AVG verbiedt niets, maar stelt voorwaarden. Je mag prima gegevens verwerken, mits je een grondslag hebt en de principes respecteert.
Misverstand 2: "Ik moet voor elk mailtje toestemming vragen"
Onjuist. Voor bestaande klanten mag je vaak op basis van gerechtvaardigd belang mailen, mits je een afmeldoptie biedt.
Misverstand 3: "Foto's op social media mogen niet meer"
Onjuist. Persoonlijk gebruik (bijvoorbeeld je vakantiefoto's) valt onder de huishoudelijke uitzondering. Bij zakelijk gebruik of foto's van kinderen op scholen gelden wel strengere regels.
Misverstand 4: "Alleen EU-bedrijven hoeven zich aan de AVG te houden"
Onjuist. Elk bedrijf dat gegevens verwerkt van EU-burgers moet zich aan de AVG houden, ook Amerikaanse of Aziatische bedrijven.
Wat Verandert er in 2026?
De AVG zelf is niet gewijzigd, maar het bredere landschap wel:
- AI-Act: volledig van kracht met strenge regels voor hoog-risico AI-systemen
- Data Act: nieuwe regels voor datadeling tussen bedrijven en overheden
- Digital Services Act: extra plichten voor grote onlineplatforms
- e-Privacy Verordening: nog steeds in ontwikkeling, met impact op cookies en tracking
- Strengere handhaving door de AP: meer boetes, ook voor mkb
Veelgestelde Vragen
Geldt de AVG ook voor verenigingen en stichtingen?
Ja. Elke organisatie die persoonsgegevens verwerkt, ongeacht rechtsvorm, valt onder de AVG. Sportverenigingen, kerkgenootschappen en goede doelen dus ook. Alleen puur persoonlijk of huishoudelijk gebruik is uitgezonderd.
Moet ik als klein bedrijf een Functionaris Gegevensbescherming aanstellen?
Meestal niet. Een FG is verplicht als je overheidsorganisatie bent, op grote schaal betrokkenen monitort, of grootschalig bijzondere gegevens verwerkt. De meeste mkb'ers en ZZP'ers hoeven geen FG aan te stellen, maar het is wel aan te raden iemand intern verantwoordelijk te maken voor privacy.
Wat is het verschil tussen verwerkingsverantwoordelijke en verwerker?
De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking (bijvoorbeeld jij als webshopeigenaar). De verwerker verwerkt gegevens namens de verantwoordelijke (bijvoorbeeld je hostingpartij of mailplatform). Tussen beide moet een verwerkersovereenkomst worden gesloten.
Hoe lang mag ik klantgegevens bewaren?
Dat hangt af van het doel. Voor de fiscale administratie geldt een bewaarplicht van 7 jaar. Voor marketing mag je gegevens bewaren zolang de relatie actief is. Sollicitatiegegevens mag je maximaal 4 weken bewaren, of 1 jaar met toestemming. Zorg dat je per gegevenscategorie een bewaartermijn vaststelt.
Wat doe ik als een organisatie mijn AVG-verzoek negeert?
Stuur eerst een herinnering en verwijs naar de wettelijke termijn van 1 maand. Reageert de organisatie nog steeds niet, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Wij hebben daar een complete stap-voor-stap handleiding voor. In ernstige gevallen kun je ook naar de rechter stappen en schadevergoeding eisen.
Conclusie
De AVG is geen bureaucratisch monster, maar een wet die jou macht geeft over je eigen gegevens. In gewone taal: bedrijven mogen je data alleen gebruiken met een goede reden, moeten er zorgvuldig mee omgaan, en jij hebt altijd het recht om te weten wat er gebeurt, om correcties te vragen en om je gegevens te laten verwijderen.
Of je nu burger, ondernemer of medewerker bent: kennis van de AVG maakt je sterker. Gebruik je rechten, stel vragen, en aarzel niet om een klacht in te dienen als het misgaat. Privacy is geen luxe, het is een grondrecht.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
AP Klacht Indienen: Stap voor Stap Handleiding (2026)
Wil je een klacht indienen bij de Autoriteit Persoonsgegevens? In deze complete gids lees je stap voor stap hoe je een AP klacht opstelt, welke bewijzen je nodig hebt en wat je kunt verwachten qua doorlooptijd en uitkomst. Inclusief voorbeeldbrief en praktische tips.
GBA België: Hoe een Klacht Indienen bij de Gegevensbeschermingsautoriteit (2026)
Wanneer een organisatie uw persoonsgegevens onrechtmatig verwerkt, kunt u klacht indienen bij de Belgische Gegevensbeschermingsautoriteit (GBA). Deze complete gids toont u stap voor stap hoe u een sterke klacht opbouwt, wat u kunt verwachten van de procedure, en hoe u uw slaagkansen maximaliseert.
AVG in België: Je Rechten Uitgelegd (Complete Gids 2026)
De AVG geeft elke Belg sterke rechten over zijn persoonsgegevens, maar weinigen weten hoe ze deze kunnen uitoefenen. Deze complete gids legt alle acht rechten uit, met praktische stappen, voorbeelden en de procedure om klacht in te dienen bij de GBA.
AP Klacht Indienen: Stap voor Stap Handleiding (2026)
Wanneer een organisatie jouw privacyrechten schendt, kun je een klacht indienen bij de Autoriteit Persoonsgegevens (AP). Deze gids legt stap voor stap uit hoe je dat doet, welke informatie je nodig hebt en wat je kunt verwachten na je melding.