facebook-pixel

AVG Uitgelegd in Gewone Taal: Complete Gids voor 2026

L
Lunyb Beveiligingsteam
··9 min read

De AVG (Algemene Verordening Gegevensbescherming) bestaat al sinds 2018, maar voor veel Nederlanders blijft het een wet die vooral bekend is van de irritante cookiebanners. In werkelijkheid geeft deze wet je stevige rechten over je persoonsgegevens: van het opvragen van je data tot het laten verwijderen ervan. In deze gids leggen we de AVG uit in gewone taal, zonder juridisch jargon, en laten we zien hoe je in 2026 je rechten daadwerkelijk gebruikt.

Wat is de AVG in gewone taal?

De AVG is een Europese wet die regelt hoe bedrijven, overheden en organisaties mogen omgaan met jouw persoonsgegevens. Kort gezegd: iedereen die iets doet met gegevens die naar jou herleidbaar zijn, moet zich aan strikte regels houden. Doen ze dat niet, dan riskeren ze boetes tot 20 miljoen euro of 4% van hun wereldwijde omzet.

De wet heet officieel Verordening (EU) 2016/679 en is in het Engels bekend als GDPR (General Data Protection Regulation). In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving.

Wat zijn persoonsgegevens precies?

Alles wat direct of indirect naar jou als persoon te herleiden is, telt als persoonsgegeven. Denk aan:

  • Naam, adres, telefoonnummer, e-mailadres
  • BSN, paspoortnummer, kentekens
  • IP-adressen en cookies met een uniek ID
  • Foto's, stemopnames, vingerafdrukken
  • Locatiegegevens van je telefoon
  • Aankoopgeschiedenis en surfgedrag

Sommige gegevens zijn extra gevoelig en vallen onder "bijzondere persoonsgegevens": gezondheid, religie, politieke voorkeur, seksuele geaardheid, etnische afkomst en biometrische gegevens. Hiervoor gelden nog strengere regels.

De 7 kernprincipes van de AVG

De hele AVG is gebouwd op zeven principes die elke organisatie moet volgen als ze jouw data verwerken. Ken je deze, dan snap je meteen wanneer een bedrijf de fout in gaat.

  1. Rechtmatigheid, behoorlijkheid en transparantie – Organisaties moeten eerlijk zijn over wat ze doen en een geldige juridische grond hebben.
  2. Doelbinding – Data verzameld voor doel A mag niet zomaar voor doel B gebruikt worden.
  3. Minimale gegevensverwerking – Alleen data verzamelen die echt nodig is.
  4. Juistheid – Gegevens moeten kloppen en actueel zijn.
  5. Opslagbeperking – Data mag niet langer bewaard worden dan nodig.
  6. Integriteit en vertrouwelijkheid – Passende beveiliging tegen hacks en lekken.
  7. Verantwoordingsplicht – Organisaties moeten kunnen aantonen dat ze zich aan de regels houden.

Wanneer mag een bedrijf jouw gegevens gebruiken?

Een organisatie mag jouw persoonsgegevens alleen verwerken als er een van zes wettelijke grondslagen bestaat. Zonder zo'n grondslag is verwerking illegaal.

GrondslagVoorbeeld
ToestemmingJe vinkt een nieuwsbrief-checkbox aan
Uitvoering overeenkomstWebshop heeft je adres nodig om te leveren
Wettelijke verplichtingBank moet transacties bewaren voor de Belastingdienst
Vitaal belangZiekenhuis behandelt bewusteloos slachtoffer
Algemeen belang / openbaar gezagGemeente verwerkt data voor paspoortaanvraag
Gerechtvaardigd belangFraudepreventie door een verzekeraar

Toestemming: wanneer telt die echt?

Veel bedrijven leunen op "toestemming", maar die moet aan strenge eisen voldoen. Toestemming is alleen geldig als het:

  • Vrij is gegeven (geen dwang, geen verstopte checkboxes)
  • Specifiek is voor een bepaald doel
  • Geïnformeerd is (je weet waar je voor tekent)
  • Ondubbelzinnig is (een actieve handeling, geen vooraf aangevinkte vakjes)
  • Even makkelijk in te trekken is als te geven

Jouw 8 rechten onder de AVG in 2026

Dit is het praktische hart van de AVG. Als burger heb je acht concrete rechten die je bij elk bedrijf of instantie kunt uitoefenen.

1. Recht op inzage

Je mag vragen welke gegevens een organisatie over jou heeft. Ze moeten dit binnen een maand kosteloos leveren, vaak in een leesbaar bestand.

2. Recht op rectificatie

Kloppen je gegevens niet? Dan mag je correctie eisen. Handig als een bedrijf je oude adres of verkeerde naam gebruikt.

3. Recht op vergetelheid

In veel gevallen mag je vragen dat een organisatie al je data wist. Zeker als de verwerking niet meer nodig is of je je toestemming intrekt. Lees onze uitgebreide handleiding over hoe je een verzoek tot vergetelheid indient.

4. Recht op beperking

Je kunt een organisatie verplichten de verwerking van je data tijdelijk stop te zetten, bijvoorbeeld terwijl een klacht loopt.

5. Recht op dataportabiliteit

Je mag je data in een gangbaar formaat opvragen en meenemen naar een andere dienst. Handig bij overstappen tussen banken, streamingdiensten of e-mailproviders.

6. Recht van bezwaar

Vooral tegen direct marketing en profilering kun je altijd bezwaar maken. Doe je dat, dan moet het onmiddellijk stoppen.

7. Recht bij geautomatiseerde besluitvorming

Als een algoritme een belangrijk besluit over jou neemt (bijv. weigering hypotheek), heb je recht op menselijke tussenkomst en uitleg.

8. Recht op informatie

Vóór verwerking moet een organisatie proactief uitleggen wat ze met je data doen. Dit is waarom privacyverklaringen bestaan.

Hoe dien je een AVG-verzoek in?

Een verzoek indienen klinkt formeel maar is eenvoudig. Volg deze zes stappen:

  1. Zoek de contactgegevens – In de privacyverklaring staat vaak een specifiek e-mailadres of formulier.
  2. Wees duidelijk – Vermeld welk recht je uitoefent (bijv. "recht op inzage").
  3. Identificeer jezelf – Ze mogen om identiteitsbewijs vragen, maar niet meer info dan nodig.
  4. Bewaar bewijs – Verstuur per e-mail of aangetekend, houd verzendbewijs bij.
  5. Wacht maximaal een maand – Bij complexe verzoeken mogen ze twee maanden extra nemen, maar moeten dat uitleggen.
  6. Klaag bij de AP – Bij weigering of geen reactie kun je gratis een klacht indienen bij de Autoriteit Persoonsgegevens.

AVG en cookies: wat mag wel en niet?

Cookies zijn kleine bestandjes die websites op je apparaat plaatsen. Onder de AVG en de aparte cookiewet (ePrivacy) gelden strikte regels.

Functionele cookies

Deze zijn nodig om de site te laten werken (winkelmandje, taalvoorkeur). Hiervoor is geen toestemming nodig.

Analytische cookies

Voor privacyvriendelijke analytics zonder identificatie is vaak geen toestemming nodig. Bij Google Analytics met tracking wel.

Tracking- en marketingcookies

Hiervoor is ALTIJD expliciete toestemming vereist. De "Accepteer alles"-knop mag niet groter of prominenter zijn dan "Weigeren". Een cookiebanner zonder gelijkwaardige weigerknop is illegaal, en de AP deelt hier steeds vaker boetes voor uit.

Wil je je überhaupt afschermen van trackers? Lees onze gids over trackers blokkeren op je telefoon.

Datalekken: wat gebeurt er als het misgaat?

Een datalek is elke situatie waarin persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden. Denk aan een gehackte database, een verloren laptop, of een e-mail met CC in plaats van BCC.

Meldplicht voor organisaties

Bij een datalek met risico voor betrokkenen moet een organisatie binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Bij hoog risico moeten ook de getroffen personen persoonlijk geïnformeerd worden.

Wat kun jij doen bij een datalek?

  • Wijzig direct het wachtwoord bij de getroffen dienst
  • Check of je hetzelfde wachtwoord elders gebruikte
  • Activeer tweestapsverificatie waar mogelijk
  • Let op phishing die volgt op het lek
  • Overweeg een klacht bij de AP en schadevergoeding claimen

Uit datalekken komen vaak telefoonnummers, wat leidt tot meer spam-oproepen en oplichtingspogingen via de telefoon.

AVG op de werkvloer: wat mag je werkgever?

Werkgevers verwerken veel persoonsgegevens: van salarisgegevens tot ziekmeldingen. Ook zij moeten zich aan de AVG houden.

Wat mag wel

  • NAW-gegevens en BSN voor loonadministratie
  • Registreren dat je ziek bent (niet: wat je hebt)
  • Zakelijke e-mail monitoren, mits vooraf gemeld
  • Camera's op de werkvloer, mits proportioneel en zichtbaar

Wat mag niet

  • Vragen naar je gezondheidsdiagnose
  • Verborgen camera's zonder zwaarwegend belang
  • Structureel al je privé-berichten op je zakelijke telefoon lezen
  • Persoonlijkheidstests zonder duidelijk doel bewaren

AVG en URL-verkorters

Ook URL-verkorters vallen onder de AVG. Elke klik op een verkorte link genereert data: IP-adres, tijdstip, apparaat. Sommige diensten verkopen deze data door of gebruiken die voor advertenties.

Een privacyvriendelijke dienst zoals Lunyb verzamelt alleen wat strikt nodig is voor de werking van de link en verkoopt geen data door. Wanneer je vaak links deelt, is het de moeite waard om te kiezen voor een verkorter die transparant is over dataverwerking en zich houdt aan het beginsel van minimale gegevensverwerking.

Boetes en handhaving in 2026

De Autoriteit Persoonsgegevens is de laatste jaren steeds actiever geworden. In 2026 zien we vooral boetes rond:

  • Onwettige cookiebanners (dark patterns)
  • Onvoldoende beveiliging leidend tot datalekken
  • Illegaal delen van data met Amerikaanse Big Tech
  • AI-systemen die zonder grondslag persoonsgegevens verwerken
  • Doorverkoop van klantdata zonder toestemming

Grote namen zoals Meta, Amazon en Google kregen boetes van honderden miljoenen. Ook Nederlandse organisaties zoals ziekenhuizen, gemeentes en verzekeraars zijn beboet.

Praktische AVG-checklist voor 2026

Om je privacy actief te beschermen kun je deze checklist maandelijks doorlopen:

  1. Check welke apps toegang hebben tot je locatie, contacten en camera
  2. Verwijder accounts die je niet meer gebruikt (vraag om vergetelheid)
  3. Controleer je Google/Apple-account op ingelogde apparaten
  4. Zet je socialmedia-privacy op de strengste stand
  5. Gebruik unieke wachtwoorden en een wachtwoordmanager
  6. Wees kritisch op cookiebanners: weiger als "accepteer alles" te dominant is
  7. Denk twee keer na voor je persoonsgegevens invult op formulieren
  8. Beveilig je verbinding op openbare wifi-netwerken

Veelgemaakte AVG-mythes

"Onder de AVG mag niks meer"

Fout. De AVG verbiedt niets, mits je een grondslag hebt en zorgvuldig omgaat met data. Ondernemen blijft prima mogelijk.

"Voor kleine bedrijven geldt de AVG niet"

Ook een ZZP'er of eenmanszaak valt onder de AVG als er persoonsgegevens verwerkt worden. Wel gelden er minder administratieve verplichtingen.

"Toestemming is altijd nodig"

Nee. Toestemming is slechts één van de zes grondslagen. Vaak is "uitvoering overeenkomst" of "gerechtvaardigd belang" van toepassing.

"Alle data moet in Europa staan"

Niet per se, maar bij doorgifte buiten de EU gelden strenge voorwaarden. Sinds het EU-VS Data Privacy Framework mag doorgifte naar gecertificeerde Amerikaanse bedrijven weer, al ligt dat kader juridisch onder vuur.

Conclusie

De AVG is geen bureaucratisch monster maar een krachtig instrument dat jou als burger controle geeft over je eigen gegevens. Door je acht rechten te kennen en actief te gebruiken, houd je bedrijven en instanties scherp. Combineer deze juridische bescherming met praktische stappen — sterke wachtwoorden, bewuste keuzes bij cookies, privacyvriendelijke diensten — en je bent in 2026 uitstekend beschermd.

Veelgestelde vragen

Wat is het verschil tussen AVG en GDPR?

Geen. AVG is de Nederlandse naam, GDPR de Engelse. Het gaat om dezelfde Europese verordening uit 2016, van toepassing sinds 25 mei 2018.

Kan ik schadevergoeding krijgen bij een AVG-overtreding?

Ja. Zowel materiële schade (bijv. financiële schade) als immateriële schade (stress, reputatieschade) komen in aanmerking. Je kunt dit via de rechter claimen, vaak ondersteund door een klacht bij de AP.

Hoe lang mag een organisatie mijn gegevens bewaren?

Alleen zolang nodig voor het doel. Voor loonadministratie geldt bijvoorbeeld 7 jaar (fiscale bewaarplicht), voor sollicitatiedata maximaal 4 weken zonder toestemming. Bij twijfel mag je vragen naar het bewaarbeleid.

Geldt de AVG ook voor buitenlandse websites?

Ja, als ze zich richten op de Europese markt (Nederlandse taal, prijzen in euro's, levering in NL). Zelfs Amerikaanse of Aziatische bedrijven moeten zich dan aan de AVG houden.

Wat kost het om een AVG-klacht in te dienen bij de AP?

Niets. Klachten indienen bij de Autoriteit Persoonsgegevens is gratis. Je hebt ook geen advocaat nodig — een goed onderbouwde e-mail volstaat.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles