facebook-pixel

AVG Uitgelegd in Gewone Taal (2026): De Complete Gids

L
Lunyb Beveiligingsteam
··9 min read

De AVG (Algemene Verordening Gegevensbescherming) bestaat inmiddels bijna acht jaar, maar voor veel mensen blijft het een wollig juridisch verhaal. In deze gids leggen we de AVG in 2026 uit in gewone Nederlandse taal: wat het is, welke rechten je hebt, wat bedrijven moeten doen en wat er dit jaar is veranderd.

Wat is de AVG eigenlijk?

De AVG is de Europese privacywet die sinds 25 mei 2018 geldt in alle EU-landen. In het Engels heet deze wet GDPR (General Data Protection Regulation). De wet regelt hoe organisaties met jouw persoonsgegevens moeten omgaan.

Simpel gezegd: als een bedrijf, overheid of vereniging iets over jou vastlegt (naam, e-mailadres, IP-adres, foto, enzovoort), dan moeten ze zich aan strikte regels houden. Doen ze dat niet, dan kunnen ze forse boetes krijgen van de Autoriteit Persoonsgegevens (AP).

Waarom bestaat de AVG?

Voor 2018 had elk EU-land zijn eigen privacywet. In Nederland was dat de Wet bescherming persoonsgegevens (Wbp). Dat was onhandig voor bedrijven die in meerdere landen actief zijn, en het beschermingsniveau verschilde per land. Met de AVG kwam er een uniforme regeling voor de hele EU, met veel sterkere rechten voor burgers.

Welke gegevens vallen onder de AVG?

Onder de AVG vallen alle persoonsgegevens: informatie waarmee je een persoon direct of indirect kunt identificeren. Dat is breder dan veel mensen denken.

Voorbeelden van persoonsgegevens

  • Naam, adres, woonplaats
  • E-mailadres en telefoonnummer
  • IP-adres en cookies
  • Foto's en video's waarop je herkenbaar bent
  • Locatiegegevens van je telefoon
  • Kentekens
  • Bankrekeningnummers
  • Klant- en personeelsnummers

Bijzondere persoonsgegevens (extra beschermd)

Sommige gegevens zijn zo gevoelig dat ze extra bescherming krijgen. Deze mag een organisatie in principe helemaal niet verwerken, tenzij er een specifieke wettelijke grondslag is:

  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuiging
  • Lidmaatschap van een vakbond
  • Genetische en biometrische gegevens (zoals vingerafdrukken)
  • Gezondheidsgegevens
  • Gegevens over seksueel gedrag of geaardheid
  • Strafrechtelijke gegevens

De 6 grondbeginselen van de AVG

De AVG rust op zes basisprincipes waar elke organisatie zich aan moet houden bij het verwerken van persoonsgegevens.

  1. Rechtmatigheid, behoorlijkheid en transparantie – Je moet weten wat er met je gegevens gebeurt en waarom.
  2. Doelbinding – Gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld.
  3. Minimale gegevensverwerking – Niet meer verzamelen dan strikt nodig.
  4. Juistheid – Gegevens moeten kloppen en actueel zijn.
  5. Opslagbeperking – Gegevens niet langer bewaren dan noodzakelijk.
  6. Integriteit en vertrouwelijkheid – Passende beveiliging tegen verlies of misbruik.

De 6 wettelijke grondslagen om gegevens te verwerken

Een organisatie mag jouw gegevens alleen verwerken als er een geldige juridische reden voor is. De AVG kent zes grondslagen. Zonder een van deze zes is de verwerking illegaal.

GrondslagWanneer geldig?Voorbeeld
ToestemmingVrijwillig, specifiek, geïnformeerd en ondubbelzinnig gegevenNieuwsbrief-inschrijving
Uitvoering overeenkomstNodig om een contract uit te voerenBezorgadres voor webshop
Wettelijke verplichtingVerplicht door een andere wetBelastingdienst-gegevens
Vitale belangenLeven of gezondheid staat op het spelMedische noodgevallen
Algemeen belangPublieke taakGemeentelijke registratie
Gerechtvaardigd belangZakelijk belang dat zwaarder weegt dan privacyFraudepreventie

Jouw 8 rechten onder de AVG

De AVG geeft jou als burger acht concrete rechten. Deze kun je gratis uitoefenen bij elke organisatie die gegevens over jou verwerkt.

1. Recht op informatie

Organisaties moeten je duidelijk vertellen welke gegevens ze verzamelen, waarom, hoe lang ze deze bewaren en aan wie ze deze doorgeven. Dit staat meestal in de privacyverklaring.

2. Recht op inzage

Je mag opvragen welke gegevens een organisatie over jou heeft. Ze moeten binnen één maand reageren en een kopie verstrekken.

3. Recht op rectificatie

Kloppen de gegevens niet? Dan mag je correctie eisen. Denk aan een verkeerd geboortejaar of oud adres.

4. Recht op vergetelheid

In veel gevallen kun je vragen om verwijdering van je gegevens. Lees onze uitgebreide gids over het indienen van een verwijderingsverzoek voor stap-voor-stap uitleg.

5. Recht op beperking

Je kunt vragen om het gebruik van je gegevens tijdelijk te bevriezen, bijvoorbeeld terwijl je bezwaar loopt.

6. Recht op dataportabiliteit

Je mag je gegevens in een gangbaar bestandsformaat opvragen en meenemen naar een andere aanbieder. Handig bij het overstappen van bijvoorbeeld sociale media of streamingdiensten.

7. Recht van bezwaar

Tegen bepaalde verwerkingen mag je bezwaar maken, zoals direct marketing of profilering.

8. Rechten bij geautomatiseerde besluitvorming

Beslissingen die volledig door een algoritme worden genomen en juridische gevolgen voor jou hebben, mogen niet zomaar. Je hebt recht op menselijke tussenkomst. Dit wordt steeds belangrijker met de opkomst van AI – lees meer over wat er in 2026 verandert rond AI en privacy.

Voor een compleet overzicht van al je privacyrechten in Nederland, zie onze volledige gids over privacy in Nederland.

Wat moeten organisaties doen?

De AVG legt bedrijven, verenigingen en overheden concrete verplichtingen op. Hier de belangrijkste in gewone taal.

Verwerkingsregister bijhouden

Organisaties met 250+ medewerkers (en kleinere die risicovolle gegevens verwerken) moeten een register bijhouden van alle verwerkingen: welke gegevens, waarom, hoe lang, aan wie doorgegeven.

Privacyverklaring publiceren

Elke website die persoonsgegevens verzamelt moet een duidelijke privacyverklaring hebben. Verstopt in de footer is toegestaan, maar de tekst moet begrijpelijk zijn.

Verwerkersovereenkomst sluiten

Werkt een bedrijf met externe partijen die gegevens verwerken (bijvoorbeeld een hostingpartij of e-mailmarketing tool), dan moet er een verwerkersovereenkomst zijn.

Datalekken melden

Bij een datalek moet dit binnen 72 uur worden gemeld bij de AP als er risico is voor betrokkenen. Bij hoog risico moeten ook de betrokken personen zelf worden geïnformeerd.

DPIA uitvoeren bij risicovolle verwerkingen

Een Data Protection Impact Assessment (DPIA) is verplicht bij verwerkingen met hoog privacyrisico, zoals grootschalige camerabewaking of profilering.

Functionaris Gegevensbescherming (FG) aanstellen

Overheden en organisaties die op grote schaal gegevens verwerken moeten een FG hebben. Dit is een interne toezichthouder.

Boetes: hoe hoog kunnen ze oplopen?

De AVG is een van de zwaarste wetten qua boetes. De Autoriteit Persoonsgegevens kan boetes opleggen tot:

  • €10 miljoen of 2% van de wereldwijde jaaromzet (voor lichtere overtredingen)
  • €20 miljoen of 4% van de wereldwijde jaaromzet (voor zware overtredingen)

Het hoogste van de twee bedragen wordt gehanteerd. In 2023 en 2024 zagen we boetes van honderden miljoenen euro's tegen techgiganten, en ook Nederlandse bedrijven zoals de Belastingdienst en meerdere ziekenhuizen kregen forse sancties.

Wat is er nieuw in 2026?

De AVG zelf is niet gewijzigd, maar de context verandert snel. Deze ontwikkelingen zijn relevant:

AI-verordening in werking

Sinds augustus 2025 is de EU AI Act volledig van toepassing. Deze werkt nauw samen met de AVG, vooral rond geautomatiseerde besluitvorming en profilering. Hoog-risico AI-systemen moeten voldoen aan strenge transparantie-eisen.

Strengere handhaving door de AP

De Autoriteit Persoonsgegevens heeft in 2025 en 2026 extra budget gekregen en focust actief op cookie-walls, datalekken bij zorginstellingen en AI-toepassingen.

Data Act en Data Governance Act

Deze nieuwe EU-wetten regelen data-uitwisseling tussen bedrijven en overheden, en werken samen met de AVG.

Grensoverschrijdende doorgifte

Na de Schrems II-uitspraak blijven er onduidelijkheden over doorgifte naar de VS. Het EU-VS Data Privacy Framework staat in 2026 nog steeds onder juridische druk.

Praktische tips: hoe bescherm je jezelf?

De AVG geeft je rechten, maar je moet ze wel gebruiken. Hier concrete acties.

  1. Lees de privacyverklaring – Bij nieuwe diensten. Duurt vijf minuten en scheelt veel gedoe.
  2. Weiger onnodige cookies – Alleen functionele cookies zijn zonder toestemming toegestaan.
  3. Beperk wat je deelt – Vraagt een webshop je geboortedatum voor een aankoop? Dat mag niet zomaar.
  4. Vraag inzage op – Wil je weten wat een organisatie over je weet? Stuur een inzageverzoek.
  5. Gebruik privacyvriendelijke tools – Kies voor diensten die minimale gegevens verzamelen. Bij het delen van links kun je bijvoorbeeld Lunyb gebruiken, een URL-verkorter die geen persoonsgegevens verkoopt en werkt met een minimalistisch data-model.
  6. Controleer wat er online over je staat – Doe regelmatig een omgekeerde afbeelding-zoekopdracht om te zien of foto's van jou ongewenst circuleren.
  7. Dien een klacht in bij de AP – Als een organisatie niet reageert of je rechten schendt.

AVG voor kleine ondernemers en verenigingen

Ook als eenmanszaak, ZZP'er of sportvereniging val je onder de AVG. Dit zijn de minimale acties:

  • Zorg voor een privacyverklaring op je website
  • Vraag actief toestemming voor je nieuwsbrief (geen vooraf aangevinkte vakjes)
  • Beveilig klantgegevens (versleutelde opslag, sterke wachtwoorden)
  • Sluit verwerkersovereenkomsten met partners zoals je boekhouder of hostingbedrijf
  • Weet wat je moet doen bij een datalek
  • Bewaar gegevens niet langer dan nodig

Veelvoorkomende misverstanden over de AVG

"Ik mag geen namenlijsten meer publiceren"

Onjuist. Namenlijsten (bijvoorbeeld deelnemerslijsten) mogen wel, mits er een grondslag is en betrokkenen zijn geïnformeerd.

"Toestemming is altijd nodig"

Onjuist. Toestemming is één van de zes grondslagen. Vaak is 'uitvoering overeenkomst' of 'gerechtvaardigd belang' toepasselijker.

"De AVG geldt niet voor kleine bedrijven"

Onjuist. De AVG geldt voor iedereen die persoonsgegevens verwerkt, ongeacht omvang. Wel gelden sommige extra verplichtingen (zoals FG) alleen voor grotere organisaties.

"Zakelijke e-mailadressen zijn geen persoonsgegevens"

Onjuist. Als het adres herleidbaar is naar een persoon (voornaam.achternaam@bedrijf.nl), is het een persoonsgegeven.

Wanneer schakel je de Autoriteit Persoonsgegevens in?

Als een organisatie niet binnen een maand reageert op je verzoek, of als je vermoedt dat de wet wordt overtreden, kun je een klacht indienen bij de AP via autoriteitpersoonsgegevens.nl. De AP kan onderzoek doen en handhavend optreden. Je hebt ook altijd het recht om naar de rechter te stappen voor schadevergoeding.

Veelgestelde vragen

Geldt de AVG ook buiten de EU?

Ja, indirect. Bedrijven buiten de EU die diensten aanbieden aan EU-burgers of hun gedrag monitoren, moeten zich ook aan de AVG houden. Denk aan Amerikaanse tech-bedrijven die Nederlandse klanten hebben.

Wat is het verschil tussen AVG en GDPR?

Geen. AVG is de Nederlandse afkorting (Algemene Verordening Gegevensbescherming), GDPR is de Engelse (General Data Protection Regulation). Het is precies dezelfde wet.

Mag mijn werkgever mij monitoren onder de AVG?

Beperkt. Werkgevers hebben een gerechtvaardigd belang bij enige monitoring, maar het moet proportioneel zijn, medewerkers moeten worden geïnformeerd en er moet meestal een DPIA worden uitgevoerd. Volledig verborgen monitoring is verboden.

Hoe lang mag een bedrijf mijn gegevens bewaren?

Zo lang als nodig voor het doel. Er zijn geen vaste termijnen in de AVG, maar wel in andere wetten (bijvoorbeeld 7 jaar voor fiscale administratie). Voor marketingdoeleinden geldt: zolang de relatie loopt plus een korte redelijke termijn daarna.

Kan ik schadevergoeding eisen bij een AVG-overtreding?

Ja. Zowel materiële schade (bijvoorbeeld gestolen geld na een datalek) als immateriële schade (stress, reputatieschade) komt in aanmerking. Nederlandse rechters kennen doorgaans bedragen toe tussen enkele honderden en enkele duizenden euro's, afhankelijk van de ernst.

Conclusie

De AVG is geen bureaucratisch monster, maar een wet die jou als burger krachtige rechten geeft over je eigen gegevens. In 2026 wordt de handhaving steviger, komen er nieuwe uitdagingen door AI, en zijn organisaties beter dan ooit bewust van hun verplichtingen. Ken je rechten, gebruik ze actief en bescherm je digitale leven bewust. Zowel als burger als ondernemer heb je daar direct baat bij.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles