facebook-pixel
L
Lunyb

AVG Uitgelegd in Gewone Taal 2026: Complete Gids voor Nederlandse Ondernemers

L
Lunyb Beveiligingsteam
··9 min read

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywetgeving die bepaalt hoe bedrijven en organisaties met persoonsgegevens moeten omgaan. Sinds de invoering in 2018 zijn er verschillende updates en verduidelijkingen gekomen, waardoor het belangrijk is om in 2026 op de hoogte te blijven van de laatste ontwikkelingen.

Voor Nederlandse ondernemers kan de AVG complex lijken, maar met de juiste uitleg wordt het een stuk begrijpelijker. Deze gids legt de AVG uit in gewone taal, zodat je precies weet waar je aan toe bent en hoe je jouw bedrijf AVG-compliant kunt maken.

Wat is de AVG Precies?

De Algemene Verordening Gegevensbescherming is een Europese wet die de privacy van burgers beschermt. Het doel is ervoor te zorgen dat bedrijven zorgvuldig omgaan met persoonlijke informatie van klanten, medewerkers en andere betrokkenen.

De AVG geldt voor alle bedrijven die:

  1. Gevestigd zijn in de Europese Unie
  2. Persoonsgegevens van EU-burgers verwerken
  3. Goederen of diensten aanbieden aan mensen in de EU

Dit betekent dat ook bedrijven buiten Europa aan de AVG moeten voldoen als ze met EU-burgers zakendoen. Voor Nederlandse ondernemers is de AVG dus altijd van toepassing.

Belangrijkste Wijzigingen in 2026

Sinds de invoering zijn er verschillende verduidelijkingen en aanpassingen gekomen:

  • Strengere handhaving: Toezichthouders gaan actiever controleren en beboeten
  • Nieuwe technologie-richtlijnen: Specifieke regels voor AI en algoritmes
  • Verduidelijking cookies: Scherpere eisen voor cookie-consent
  • Internationale datatransfers: Nieuwe afspraken met landen buiten de EU

Persoonsgegevens: Wat Telt Allemaal?

Persoonsgegevens zijn alle informatie waarmee je een persoon kunt identificeren, direct of indirect. Dit is veel breder dan veel mensen denken.

Directe Identificatie

Dit zijn gegevens waarmee je iemand direct kunt herkennen:

  • Voor- en achternaam
  • Adresgegevens
  • E-mailadres
  • Telefoonnummer
  • BSN (Burgerservicenummer)
  • Bankgegevens
  • Foto's waarop gezichten herkenbaar zijn

Indirecte Identificatie

Deze gegevens kunnen in combinatie tot identificatie leiden:

  • IP-adressen
  • Cookie-ID's
  • Apparaat-identificaties
  • Locatiegegevens
  • Online gedragspatronen
  • Voorkeuren en interesses

Bijzondere Persoonsgegevens

Sommige gegevens krijgen extra bescherming:

  • Gezondheidsgegevens
  • Politieke opvattingen
  • Religieuze overtuigingen
  • Seksuele gerichtheid
  • Biometrische gegevens
  • Strafrechtelijke gegevens

De Zes Grondslagen voor Gegevensverwerking

Voor elke verwerking van persoonsgegevens heb je een geldige grondslag nodig. De AVG kent zes verschillende grondslagen, waarvan er altijd minimaal één moet gelden.

GrondslagUitlegVoorbeelden
ToestemmingDe persoon heeft expliciet ja gezegdNieuwsbrief aanmelden, cookies accepteren
ContractsuitvoeringNodig om een contract uit te voerenVerzendadres voor bestelling, factuurgegevens
Wettelijke verplichtingVerplicht door de wetBelastinggegevens bewaren, identiteitscontrole
Vitaal belangLevensbelang van de persoonMedische noodsituaties
Publieke taakUitvoering van overheidstakenGemeentelijke administratie
Gerechtvaardigd belangLegitiem bedrijfsbelang dat opweegt tegen privacyFraudepreventie, beveiligingscamera's

Toestemming in de Praktijk

Toestemming moet voldoen aan strikte eisen:

  1. Vrijelijk gegeven: Geen dwang of koppeling aan dienstverlening
  2. Specifiek: Duidelijk per doeleinde
  3. Geïnformeerd: Persoon weet waarvoor het wordt gebruikt
  4. Ondubbelzinnig: Actieve handeling vereist, geen stilzwijgen

Rechten van Betrokkenen

De AVG geeft mensen acht belangrijke rechten over hun persoonsgegevens. Als ondernemer moet je weten hoe je met verzoeken omgaat.

Recht op Informatie

Mensen hebben het recht om te weten:

  • Welke gegevens je van hen hebt
  • Waarom je deze gebruikt
  • Hoe lang je ze bewaart
  • Met wie je ze deelt
  • Welke rechten ze hebben

Recht op Inzage

Iedereen kan vragen welke persoonsgegevens je van hen verwerkt. Je hebt één maand om te reageren met:

  • Een kopie van alle gegevens
  • Informatie over het gebruik
  • Details over de herkomst

Recht op Rectificatie

Als gegevens onjuist zijn, kunnen mensen correctie vragen. Je moet binnen één maand:

  • Fouten herstellen
  • Ontbrekende gegevens aanvullen
  • Derden informeren over wijzigingen

Recht op Vergetelheid

In bepaalde situaties kunnen mensen vragen om verwijdering:

  • Gegevens zijn niet langer nodig
  • Toestemming wordt ingetrokken
  • Gegevens zijn onrechtmatig verwerkt
  • Wettelijke verplichting tot verwijdering

Recht op Beperking

Soms willen mensen niet dat je hun gegevens verwijdert, maar ook niet dat je ze gebruikt. Dan kun je ze 'bevriezen'.

Recht op Overdraagbaarheid

Mensen kunnen hun gegevens opvragen in een gangbaar bestand om over te zetten naar een andere dienstverlener.

Recht van Bezwaar

Tegen verwerking op basis van gerechtvaardigd belang kan bezwaar worden gemaakt. Je moet dan stoppen, tenzij je zwaarwegende belangen kunt aantonen.

Rechten Betreffende Geautomatiseerde Besluitvorming

Bij automatische beslissingen (zoals algoritmes) hebben mensen het recht op:

  • Uitleg over de logica
  • Menselijke tussenkomst
  • Betwisting van de beslissing

Praktische AVG-Compliance voor Bedrijven

AVG-compliance begint met een goede basis en doorlopende aandacht voor privacy. Hier zijn de praktische stappen die elk bedrijf moet nemen.

Stap 1: Inventarisatie van Gegevensverwerking

Begin met het in kaart brengen van alle persoonsgegevens in je bedrijf:

  1. Welke gegevens verzamel je? Denk aan contactformulieren, online bestellingen, CCTV, personeelsadministratie
  2. Waar komen ze vandaan? Directe inzameling, derden, openbare bronnen
  3. Waarom verzamel je ze? Voor elke verwerking moet een doel zijn
  4. Wie heeft toegang? Interne medewerkers, externe partijen
  5. Hoe lang bewaar je ze? Per categorie gegevens

Stap 2: Verwerkingsregister Opstellen

Bedrijven met meer dan 250 medewerkers moeten verplicht een verwerkingsregister bijhouden. Voor kleinere bedrijven is het sterk aangeraden.

OnderdeelBeschrijvingVoorbeeld
Doel verwerkingWaarom verwerk je de gegevensKlantenservice, marketing, boekhouding
Categorieën gegevensWelke soorten gegevensContactgegevens, koopgedrag, voorkeuren
Categorieën betrokkenenVan wie zijn de gegevensKlanten, prospects, medewerkers
OntvangersWie krijgt toegangHostingprovider, boekhouder, marketingbureau
BewaartermijnenHoe lang bewaar je gegevens7 jaar (administratie), 2 jaar (marketing)

Stap 3: Privacyverklaring Opstellen

Een goede privacyverklaring is transparant en begrijpelijk. Vermeld altijd:

  • Contactgegevens van je bedrijf
  • Doeleinden van gegevensverwerking
  • Gebruikte grondslagen
  • Bewaartermijnen
  • Rechten van betrokkenen
  • Contactgegevens voor privacyvragen

Stap 4: Technische en Organisatorische Maatregelen

Zorg voor adequate beveiliging:

  • Technische maatregelen: Encryptie, sterke wachtwoorden, firewalls, regelmatige updates
  • Organisatorische maatregelen: Toegangsbeperking, training personeel, incidentprocedures
  • Fysieke maatregelen: Afsluitbare kasten, beperkte toegang tot werkplekken

Website Privacy en Cookies

Voor websites gelden specifieke AVG-regels, vooral rond cookies en tracking. In 2026 zijn de eisen nog strenger geworden.

Cookie-Categorieën

Type CookieToestemming Nodig?Voorbeelden
Noodzakelijke cookiesNeeInloggen, winkelmandje, beveiligingscookies
Functionele cookiesJaTaalvoorkeuren, chatfuncties
Analytische cookiesJaGoogle Analytics, heatmaps
Marketing cookiesJaAdvertentie-tracking, retargeting

Cookiewall vs Cookie-banner

Een cookiewall die de toegang tot de website blokkeert zonder acceptatie is niet toegestaan. Gebruikers moeten altijd:

  • De website kunnen gebruiken zonder marketing/analytische cookies
  • Even gemakkelijk kunnen weigeren als accepteren
  • Hun keuze later kunnen wijzigen

Best Practices voor Website Privacy

  1. Minimale gegevensverzameling: Verzamel alleen wat je echt nodig hebt
  2. Duidelijke cookie-banner: Leg uit welke cookies je gebruikt en waarom
  3. Opt-in voor marketing: Geen vooraf aangevinkte vakjes
  4. Gemakkelijke opt-out: Simpele afmeldlink in alle communicatie

Voor URL-shorteners zoals Lunyb geldt dat ze transparant moeten zijn over het bijhouden van klikstatistieken en de bewaartermijn van deze gegevens.

Datalekken en Meldplicht

Een datalek is een incident waarbij persoonsgegevens verloren gaan, gestolen worden of onbevoegd worden ingezien. De AVG stelt strikte eisen aan het omgaan met datalekken.

Wanneer Moet je een Datalek Melden?

Je moet een datalek melden aan de Autoriteit Persoonsgegevens (AP) binnen 72 uur als:

  • Het lek waarschijnlijk risico oplevert voor rechten en vrijheden van mensen
  • Er persoonlijke of gevoelige gegevens zijn gelekt
  • Het lek gevolgen kan hebben voor de betrokkenen

Stappen bij een Datalek

  1. Direct actie ondernemen: Stop het lek, voorkom verdere schade
  2. Inventariseren: Welke gegevens zijn gelekt, van hoeveel mensen?
  3. Risicobeoordeling: Wat zijn de mogelijke gevolgen?
  4. Melden AP: Binnen 72 uur, via het online meldsysteem
  5. Informeren betrokkenen: Als er hoog risico is voor hun rechten
  6. Documenteren: Leg alles vast voor eventuele controle

Inhoud Datalekmelding

Een melding aan de AP moet bevatten:

  • Beschrijving van het incident
  • Categorieën en aantal betrokkenen
  • Soorten persoonsgegevens
  • Waarschijnlijke gevolgen
  • Getroffen maatregelen
  • Contactpersoon voor meer informatie

Boetes en Handhaving

De AVG kent aanzienlijke boetes voor overtredingen. In 2026 zijn de boetes nog steeds een belangrijk instrument voor handhaving.

Boetecategorieën

OvertredingMaximale BoeteVoorbeelden
Administratieve overtredingen2% van jaaromzet of €10 miljoenGeen verwerkingsregister, geen DPO
Materiële overtredingen4% van jaaromzet of €20 miljoenGeen toestemming, datalek niet melden

Factoren bij Boetebepaling

De AP kijkt naar verschillende factoren:

  • Ernst van overtreding: Opzettelijk vs per ongeluk
  • Omvang: Aantal betrokkenen en gegevens
  • Duur: Hoe lang duurde de overtreding
  • Cooperatie: Werking mee aan onderzoek
  • Vorige overtredingen: Recidive
  • Maatregelen achteraf: Wat deed je om het te herstellen

Nederlandse Boetes in de Praktijk

Voorbeelden van Nederlandse boetes:

  • Booking.com (2022): €475.000 voor onvoldoende beveiliging
  • WhatsApp (2021): €225 miljoen voor onduidelijke privacy-informatie
  • Haga Ziekenhuis (2022): €460.000 voor datalek

Functionaris Gegevensbescherming (FG/DPO)

Sommige organisaties moeten verplicht een Functionaris Gegevensbescherming (Data Protection Officer) aanstellen.

Wanneer is een FG Verplicht?

Je moet een FG aanstellen als:

  • Je een overheidsinstelling bent
  • Je kernactiviteiten bestaan uit grootschalige systematische monitoring
  • Je grootschalig bijzondere persoonsgegevens verwerkt

Taken van de FG

  • Toezien op AVG-naleving
  • Training en voorlichting geven
  • Advies geven over privacy-effectbeoordelingen
  • Contactpunt zijn voor de AP
  • Samenwerken met toezichthouders

Internationale Gegevensdoorgifte

Het doorsturen van persoonsgegevens naar landen buiten de EU heeft speciale regels. In 2026 zijn er nieuwe afspraken met verschillende landen.

Toegestane Doorgifte

Gegevens mogen naar landen met:

  • Adequaatheidsbesluit: EU erkent vergelijkbaar beschermingsniveau
  • Passende waarborgen: Contractuele bescherming of bindende bedrijfsregels
  • Specifieke situaties: Toestemming, contractsuitvoering, publiek belang

Landen met Adequaatheidsbesluit (2026)

  • Verenigd Koninkrijk
  • Zwitserland
  • Canada (commerciële organisaties)
  • Japan
  • Zuid-Korea
  • Nieuw-Zeeland
  • Verenigde Staten (EU-US Data Privacy Framework)

Toekomst van de AVG

De AVG blijft evolueren. Belangrijke ontwikkelingen voor 2026 en verder:

Nieuwe Technologie-uitdagingen

  • Kunstmatige Intelligentie: Specifieke regels voor AI-systemen
  • Internet of Things: Privacy by design voor slimme apparaten
  • Biometrische gegevens: Strengere regels voor gezichtsherkenning
  • Blockchain: Uitdagingen rond recht op vergetelheid

Europese Digitale Strategie

De EU werkt aan verschillende nieuwe wetten:

  • Digital Services Act: Regels voor online platforms
  • Digital Markets Act: Regels voor grote techbedrijven
  • AI Act: Specifieke regels voor kunstmatige intelligentie
  • Data Governance Act: Regels voor hergebruik van overheidsinformatie

Voor bedrijven die met privacy-tools werken wordt het steeds belangrijker om op de hoogte te blijven van deze ontwikkelingen.

Veelgestelde Vragen over de AVG

Hoelang mag ik persoonsgegevens bewaren?

Er is geen standaard bewaartermijn in de AVG. Je moet zelf bepalen wat redelijk is voor jouw doeleinden. Voor administratieve gegevens geldt vaak de wettelijke termijn van 7 jaar, voor marketingdoeleinden is 2 jaar gebruikelijk. Het belangrijkste principe: bewaar niet langer dan noodzakelijk.

Moet ik toestemming vragen voor bedrijfs-e-mailadressen?

Voor B2B-marketing naar bedrijfs-e-mailadressen hoef je niet altijd toestemming te vragen. Je mag gebruik maken van 'gerechtvaardigd belang' als je producten of diensten aanbiedt die relevant zijn voor hun bedrijfsvoering. Wel moet je altijd een afmeldmogelijkheid bieden.

Wat zijn de gevolgen als ik geen AVG-conform ben?

De gevolgen kunnen variëren van een waarschuwing tot een boete van maximaal 4% van je jaaromzet of €20 miljoen. Daarnaast kunnen betrokkenen schadevergoeding eisen en kan je reputatie schade oplopen. Preventie is altijd beter en goedkoper dan achteraf herstellen.

Geldt de AVG ook voor eenmanszaken en ZZP'ers?

Ja, zodra je persoonsgegevens verwerkt voor je bedrijf, valt je onder de AVG. Dit kan al bij het bewaren van contactgegevens van klanten of het gebruik van een website met cookies. De schaal van je bedrijf maakt niet uit, wel kunnen de verplichtingen lichter zijn.

Hoe bereid ik me voor op een controle van de Autoriteit Persoonsgegevens?

Zorg ervoor dat je een actueel verwerkingsregister hebt, een duidelijke privacyverklaring, bewijs van toestemming kunt tonen, beveiligingsmaatregelen hebt getroffen, en procedures voor het afhandelen van verzoeken van betrokkenen. Documenteer alles goed - dit toont aan dat je serieus bezig bent met privacy.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

AVG Uitgelegd in Gewone Taal 2026: Complete Gids voor Particulieren

De AVG uitgelegd in begrijpelijke taal: alles over je privacy-rechten, hoe organisaties met je gegevens om mogen gaan en praktische tips voor betere gegevensbescherming in 2026. Een complete gids voor elke Nederlander.

6 min

AP Klacht Indienen: Complete Stap-voor-Stap Handleiding 2024

Leer stap-voor-stap hoe je een klacht indient bij de Autoriteit Persoonsgegevens (AP) wanneer organisaties de AVG overtreden. Complete handleiding met praktische tips en veelgemaakte fouten.

7 min