AVG Uitgelegd in Gewone Taal 2026: Wat Betekent de Privacywet voor Jou?
De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 dé Europese privacywet. Maar laten we eerlijk zijn: de officiële tekst leest als een juridische puzzel. In deze gids van 2026 leggen we de AVG uit in gewone taal, zodat jij precies weet welke rechten je hebt, wat bedrijven met jouw gegevens mogen doen en hoe je actie onderneemt als het misgaat.
Wat is de AVG in één zin?
De AVG is een Europese wet die regelt hoe organisaties met persoonsgegevens van burgers moeten omgaan. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op naleving. De wet geeft jou als burger de controle terug over wat er met jouw gegevens gebeurt — van je naam en e-mailadres tot je locatie, gezondheidsdata en surfgedrag.
De Engelse afkorting is GDPR (General Data Protection Regulation). Beide termen betekenen exact hetzelfde.
Waarom is de AVG er eigenlijk gekomen?
Voor 2018 hadden alle Europese landen losse privacywetten. Bedrijven konden eenvoudig "shoppen" in het land met de soepelste regels. Tegelijk groeide de datahonger van techbedrijven explosief. De AVG zorgde voor één uniforme regel in heel Europa, met flinke boetes (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet) om bedrijven scherp te houden.
Welke gegevens vallen onder de AVG?
De AVG beschermt "persoonsgegevens": alle informatie waarmee je een persoon direct of indirect kunt identificeren. Dat is breder dan veel mensen denken.
Voorbeelden van persoonsgegevens
- Direct identificeerbaar: naam, adres, telefoonnummer, e-mail, BSN, pasfoto
- Indirect identificeerbaar: IP-adres, cookie-ID, locatiegegevens, kentekenplaat
- Bijzondere persoonsgegevens (extra streng beschermd): gezondheid, ras, religie, seksuele geaardheid, politieke opvattingen, biometrische data, vakbondslidmaatschap
- Strafrechtelijke gegevens: veroordelingen, strafblad
Zelfs zoiets als "de man met de rode auto op nummer 23" kan een persoonsgegeven zijn als die persoon herkenbaar is.
De 6 grondbeginselen van de AVG
Elk bedrijf dat persoonsgegevens verwerkt, moet zich aan zes basisprincipes houden. Onthoud deze — ze zijn jouw checklist als je twijfelt of een organisatie het goed doet.
- Rechtmatigheid, behoorlijkheid en transparantie: verwerking moet eerlijk en uitlegbaar zijn
- Doelbinding: gegevens mogen alleen worden gebruikt voor het doel waarvoor ze verzameld zijn
- Minimale gegevensverwerking: niet meer verzamelen dan strikt nodig
- Juistheid: gegevens moeten kloppen en up-to-date zijn
- Opslagbeperking: niet langer bewaren dan noodzakelijk
- Integriteit en vertrouwelijkheid: gegevens moeten goed beveiligd zijn
Een webshop mag bijvoorbeeld jouw adres opslaan om een pakket te bezorgen (doelbinding), maar dat adres niet zomaar verkopen aan een reclamebureau.
Jouw 8 rechten onder de AVG
De kern van de AVG is dat jij baas bent over jouw gegevens. Je hebt acht concrete rechten die je bij elke organisatie kunt inroepen — gratis, en meestal binnen 30 dagen te beantwoorden.
1. Recht op informatie
Een bedrijf moet je vooraf duidelijk vertellen welke gegevens het verzamelt, waarom, hoe lang en met wie het deelt. Dit staat meestal in de privacyverklaring op de website.
2. Recht op inzage
Je mag opvragen welke gegevens een organisatie van jou heeft. Stuur een mailtje naar de privacy- of klantenservice en je krijgt een overzicht.
3. Recht op rectificatie
Kloppen je gegevens niet? Je hebt het recht om ze te laten corrigeren of aanvullen.
4. Recht op vergetelheid (verwijdering)
In veel gevallen mag je vragen om volledige verwijdering van je gegevens. Bijvoorbeeld als je toestemming intrekt, of als de gegevens niet meer nodig zijn voor het oorspronkelijke doel.
5. Recht op beperking van verwerking
Je kunt eisen dat een organisatie je gegevens "bevriest" — niet verwijdert, maar ook niet meer actief gebruikt — bijvoorbeeld tijdens een geschil.
6. Recht op dataportabiliteit
Je mag je gegevens in een leesbaar formaat (CSV, JSON) opvragen en meenemen naar een andere dienst. Denk aan je Spotify-afspeellijsten of Facebook-foto's.
7. Recht van bezwaar
Je kunt bezwaar maken tegen verwerking, bijvoorbeeld tegen direct marketing. Een organisatie moet dan stoppen, tenzij er dwingende gerechtvaardigde gronden zijn.
8. Rechten rond geautomatiseerde besluitvorming
Word je beoordeeld door een algoritme (kredietcheck, sollicitatie-AI)? Je hebt recht op menselijke tussenkomst en uitleg over hoe de beslissing tot stand kwam.
Wanneer mag een bedrijf jouw gegevens verwerken?
Een organisatie heeft één van zes rechtsgrondslagen nodig om jouw gegevens te mogen verwerken. Geen grondslag = geen recht om te verwerken.
| Grondslag | Voorbeeld |
|---|---|
| Toestemming | Je vinkt aan dat je een nieuwsbrief wilt ontvangen |
| Uitvoering van overeenkomst | Je adres voor een webshopbestelling |
| Wettelijke verplichting | Werkgever moet loongegevens bewaren voor de Belastingdienst |
| Vitaal belang | Medische gegevens delen bij een spoedopname |
| Publieke taak | Gemeente die paspoorten uitgeeft |
| Gerechtvaardigd belang | Fraudepreventie door een bank (mits proportioneel) |
Bij toestemming geldt: deze moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes? Niet geldig. Doorklikken om de cookiemelding weg te krijgen? Ook niet geldig.
Cookies en de AVG in 2026
Cookies zijn kleine bestandjes die websites op je apparaat plaatsen. Onder de AVG (gecombineerd met de ePrivacy-richtlijn) gelden strikte regels.
Welke cookies mogen zonder toestemming?
- Functionele cookies: bijvoorbeeld je winkelmandje of taalvoorkeur
- Strikt noodzakelijke analytische cookies: mits anoniem en zonder doorgifte aan derden
Welke cookies vereisen toestemming?
- Tracking- en marketingcookies
- Social media-cookies
- Personalisatie-cookies
De cookiebanner moet een "weigeren"-knop bevatten die net zo prominent is als de "accepteren"-knop. Stiekem werkende dark patterns (zoals een grijze weigerknop tegenover een felgekleurde accepteerknop) zijn in 2026 actief beboet door de AP.
Wat moet een bedrijf doen bij een datalek?
Een datalek is elk incident waarbij persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden — denk aan een gehackt klantenbestand, een gestolen laptop of een e-mail naar de verkeerde ontvanger.
- Binnen 72 uur: melden bij de Autoriteit Persoonsgegevens (tenzij het risico verwaarloosbaar is)
- Zonder onnodige vertraging: de betrokken personen informeren als er een hoog risico is
- Documenteren: alle datalekken intern vastleggen, ook de niet-gemelde
Heb je een mail gehad over een datalek? Controleer dan direct of je wachtwoord ergens is uitgelekt. In onze gids Is Mijn Wachtwoord Gelekt? leggen we stap voor stap uit hoe je dat doet.
Wie moet zich aan de AVG houden?
Eigenlijk iedereen die persoonsgegevens verwerkt — van multinationals tot de plaatselijke sportvereniging. Er zijn enkele uitzonderingen:
- Puur huishoudelijk gebruik: je privé-adresboek op je telefoon valt niet onder de AVG
- Journalistieke en artistieke vrijheid: beperkte uitzonderingen voor journalistiek werk
- Anonieme data: echt anonieme data (niet pseudoniem) valt buiten de wet
Heb je een eigen webshop, blog, ZZP-praktijk of vereniging? Dan moet je voldoen aan de AVG. Dat betekent minimaal: een privacyverklaring, een verwerkingsregister, en passende beveiligingsmaatregelen.
Boetes en handhaving: wat gebeurt er bij overtredingen?
De AP kan twee soorten boetes opleggen:
- Lage categorie: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet
- Hoge categorie: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet
In de praktijk variëren boetes flink. Een kleine vereniging die slordig met ledendata omgaat, krijgt eerder een waarschuwing. Een groot techbedrijf dat structureel toestemmingsregels overtreedt, kan honderden miljoenen kwijt zijn — getuige de boetes voor onder andere Meta en Amazon in recente jaren.
Hoe gebruik je jouw AVG-rechten in de praktijk?
Veel mensen kennen hun rechten wel, maar gebruiken ze nooit. Zonde, want het is verrassend eenvoudig.
Stap-voor-stap een inzageverzoek indienen
- Zoek het privacy-mailadres of contactformulier (vaak privacy@bedrijf.nl of in de privacyverklaring)
- Schrijf een korte mail: "Hierbij dien ik een verzoek tot inzage in op basis van artikel 15 AVG. Graag ontvang ik een overzicht van alle persoonsgegevens die u van mij verwerkt."
- Vermeld je naam, klant-/accountnummer en eventueel een kopie van je ID (gegevens als BSN mag je afdekken)
- Het bedrijf heeft één maand de tijd om te reageren
- Geen reactie? Klagen bij de AP via autoriteitpersoonsgegevens.nl
Voorbeeldzin voor een verwijderingsverzoek
"Op grond van artikel 17 AVG verzoek ik u alle persoonsgegevens die u van mij verwerkt te verwijderen. Tevens trek ik eerder gegeven toestemming voor marketingdoeleinden in."
AVG en moderne technologie: AI, biometrie en tracking
De wet uit 2018 wordt in 2026 toegepast op technologieën die toen nog nauwelijks bestonden. Een paar belangrijke ontwikkelingen:
AI en machine learning
Sinds de inwerkingtreding van de AI Act (gefaseerd vanaf 2024-2026) gelden extra regels voor AI-systemen die persoonsgegevens gebruiken. Hoog-risico AI (zoals in sollicitaties of kredietverlening) moet transparant zijn, en jij hebt recht op uitleg.
Biometrische gegevens
Gezichtsherkenning, vingerafdrukken en stempatronen zijn "bijzondere persoonsgegevens". Verwerking is in principe verboden, tenzij je expliciete toestemming geeft of er een specifieke wettelijke grondslag is.
Online tracking
Onzichtbare tracking via pixels, fingerprinting en third-party scripts staat onder verscherpt toezicht. Wil je online minder gevolgd worden? Lees onze complete gids over online privacy voor praktische tips.
Praktische tips: zo bescherm je jezelf naast de AVG
De AVG is een geweldige basis, maar zelf maatregelen nemen blijft cruciaal. Een paar concrete adviezen:
- Gebruik unieke, sterke wachtwoorden per account, opgeslagen in een wachtwoordmanager
- Schakel tweestapsverificatie in overal waar het kan
- Wees alert op phishing: herken verdachte berichten in onze gids Hoe Herken je een Oplichting Telefoonnummer
- Controleer of je telefoon veilig is: bekijk de 10 waarschuwingssignalen van een gehackte telefoon
- Bescherm gedeelde links: gebruik een dienst als Lunyb om bij het delen van URL's je echte bron te verbergen, statistieken inzichtelijk te maken en geen onnodige tracking door te geven
- Doe een omgekeerde afbeelding zoekopdracht om te zien waar jouw foto's online staan — zie onze gids voor omgekeerde afbeelding zoeken
De toekomst van privacywetgeving
De AVG krijgt in de komende jaren gezelschap van nieuwe regels: de ePrivacy-verordening (vervangt de cookiewet), de Data Act, de Data Governance Act en de AI Act. Samen vormen ze een Europees raamwerk dat verder gaat dan welk ander continent ook. Voor jou als burger betekent dat: meer rechten, meer transparantie en meer controle.
Veelgestelde vragen over de AVG
Geldt de AVG ook voor bedrijven buiten Europa?
Ja. Elk bedrijf dat goederen of diensten aanbiedt aan EU-burgers, of hun gedrag volgt, moet zich aan de AVG houden. Daarom zie je ook Amerikaanse en Aziatische sites met cookiebanners en privacyverklaringen in het Nederlands.
Hoe lang mag een bedrijf mijn gegevens bewaren?
De AVG noemt geen vaste termijn — gegevens mogen niet langer bewaard worden dan nodig voor het doel. Voor de fiscus moet bijvoorbeeld zeven jaar aan administratie bewaard blijven. Marketinggegevens zonder activiteit worden meestal na 2-3 jaar opgeschoond. Twijfel je? Vraag het op.
Kan ik een schadevergoeding eisen bij een AVG-overtreding?
Ja. Bij materiële of immateriële schade (zoals stress door een datalek) kun je een schadevergoeding eisen. Sinds 2023 erkennen Europese rechters ook "niet-materiële schade" vaker, al moet je die wel kunnen onderbouwen.
Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?
De verwerkingsverantwoordelijke bepaalt waarom en hoe gegevens worden verwerkt (bijvoorbeeld de webshop). De verwerker voert de verwerking namens hen uit (bijvoorbeeld de hostingpartij of mailingdienst). Beiden hebben verplichtingen onder de AVG.
Moet een eenmanszaak ook aan de AVG voldoen?
Ja, ook als ZZP'er of eenmanszaak ben je verwerkingsverantwoordelijke voor klant- en leveranciersgegevens. Je moet minimaal een privacyverklaring publiceren, een verwerkingsregister bijhouden en gegevens goed beveiligen. Een Functionaris Gegevensbescherming (FG) is meestal niet verplicht voor kleine bedrijven.
Conclusie
De AVG is geen ingewikkelde juridische rompslomp, maar een krachtige set rechten die jij dagelijks kunt gebruiken. Door te weten welke gegevens worden verwerkt, op welke grondslag, en wat je kunt eisen, krijg jij de regie over je digitale leven terug. Wacht niet tot er iets misgaat — vraag eens een inzageverzoek aan bij een bedrijf waar je al jaren klant bent. Je zult versteld staan van wat ze van je weten, en hoe makkelijk het is om controle terug te pakken.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
GBA België: Hoe een Klacht Indienen bij de Gegevensbeschermingsautoriteit (2026)
Wanneer je vermoedt dat een organisatie je privacyrechten schendt, kun je gratis klacht indienen bij de Belgische Gegevensbeschermingsautoriteit (GBA). Deze gids legt stap voor stap uit hoe je een sterk dossier opbouwt, welke documenten je nodig hebt en wat je kunt verwachten van de procedure.
AP Klacht Indienen: Stap voor Stap Gids 2026
Een klacht indienen bij de Autoriteit Persoonsgegevens hoeft niet ingewikkeld te zijn. In deze stap-voor-stap gids leer je wanneer je klacht kansrijk is, hoe je bewijs verzamelt en wat je van de AP kunt verwachten.
AVG in Belgie: Je Rechten Volledig Uitgelegd (2026)
De AVG geeft Belgische burgers acht concrete rechten over hun persoonsgegevens. Deze gids legt elk recht uit met praktische voorbeelden, stappenplannen voor verzoeken en informatie over klachten bij de GBA.
AVG Uitgelegd in Gewone Taal 2026: Wat Je Moet Weten
De AVG in gewone taal uitgelegd voor 2026. Ontdek je acht privacyrechten, wat bedrijven moeten regelen, hoe boetes werken en praktische tips om je persoonsgegevens te beschermen in een wereld vol AI en tracking.