AVG Uitgelegd in Gewone Taal: Complete Gids voor 2026
De AVG (Algemene Verordening Gegevensbescherming) bestaat al sinds 2018, maar voor veel Nederlanders blijft het een wet die vooral bekend is van de irritante cookiebanners. In werkelijkheid geeft deze wet je stevige rechten over je persoonsgegevens: van het opvragen van je data tot het laten verwijderen ervan. In deze gids leggen we de AVG uit in gewone taal, zonder juridisch jargon, en laten we zien hoe je in 2026 je rechten daadwerkelijk gebruikt.
Wat is de AVG in gewone taal?
De AVG is een Europese wet die regelt hoe bedrijven, overheden en organisaties mogen omgaan met jouw persoonsgegevens. Kort gezegd: iedereen die iets doet met gegevens die naar jou herleidbaar zijn, moet zich aan strikte regels houden. Doen ze dat niet, dan riskeren ze boetes tot 20 miljoen euro of 4% van hun wereldwijde omzet.
De wet heet officieel Verordening (EU) 2016/679 en is in het Engels bekend als GDPR (General Data Protection Regulation). In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving.
Wat zijn persoonsgegevens precies?
Alles wat direct of indirect naar jou als persoon te herleiden is, telt als persoonsgegeven. Denk aan:
- Naam, adres, telefoonnummer, e-mailadres
- BSN, paspoortnummer, kentekens
- IP-adressen en cookies met een uniek ID
- Foto's, stemopnames, vingerafdrukken
- Locatiegegevens van je telefoon
- Aankoopgeschiedenis en surfgedrag
Sommige gegevens zijn extra gevoelig en vallen onder "bijzondere persoonsgegevens": gezondheid, religie, politieke voorkeur, seksuele geaardheid, etnische afkomst en biometrische gegevens. Hiervoor gelden nog strengere regels.
De 7 kernprincipes van de AVG
De hele AVG is gebouwd op zeven principes die elke organisatie moet volgen als ze jouw data verwerken. Ken je deze, dan snap je meteen wanneer een bedrijf de fout in gaat.
- Rechtmatigheid, behoorlijkheid en transparantie – Organisaties moeten eerlijk zijn over wat ze doen en een geldige juridische grond hebben.
- Doelbinding – Data verzameld voor doel A mag niet zomaar voor doel B gebruikt worden.
- Minimale gegevensverwerking – Alleen data verzamelen die echt nodig is.
- Juistheid – Gegevens moeten kloppen en actueel zijn.
- Opslagbeperking – Data mag niet langer bewaard worden dan nodig.
- Integriteit en vertrouwelijkheid – Passende beveiliging tegen hacks en lekken.
- Verantwoordingsplicht – Organisaties moeten kunnen aantonen dat ze zich aan de regels houden.
Wanneer mag een bedrijf jouw gegevens gebruiken?
Een organisatie mag jouw persoonsgegevens alleen verwerken als er een van zes wettelijke grondslagen bestaat. Zonder zo'n grondslag is verwerking illegaal.
| Grondslag | Voorbeeld |
|---|---|
| Toestemming | Je vinkt een nieuwsbrief-checkbox aan |
| Uitvoering overeenkomst | Webshop heeft je adres nodig om te leveren |
| Wettelijke verplichting | Bank moet transacties bewaren voor de Belastingdienst |
| Vitaal belang | Ziekenhuis behandelt bewusteloos slachtoffer |
| Algemeen belang / openbaar gezag | Gemeente verwerkt data voor paspoortaanvraag |
| Gerechtvaardigd belang | Fraudepreventie door een verzekeraar |
Toestemming: wanneer telt die echt?
Veel bedrijven leunen op "toestemming", maar die moet aan strenge eisen voldoen. Toestemming is alleen geldig als het:
- Vrij is gegeven (geen dwang, geen verstopte checkboxes)
- Specifiek is voor een bepaald doel
- Geïnformeerd is (je weet waar je voor tekent)
- Ondubbelzinnig is (een actieve handeling, geen vooraf aangevinkte vakjes)
- Even makkelijk in te trekken is als te geven
Jouw 8 rechten onder de AVG in 2026
Dit is het praktische hart van de AVG. Als burger heb je acht concrete rechten die je bij elk bedrijf of instantie kunt uitoefenen.
1. Recht op inzage
Je mag vragen welke gegevens een organisatie over jou heeft. Ze moeten dit binnen een maand kosteloos leveren, vaak in een leesbaar bestand.
2. Recht op rectificatie
Kloppen je gegevens niet? Dan mag je correctie eisen. Handig als een bedrijf je oude adres of verkeerde naam gebruikt.
3. Recht op vergetelheid
In veel gevallen mag je vragen dat een organisatie al je data wist. Zeker als de verwerking niet meer nodig is of je je toestemming intrekt. Lees onze uitgebreide handleiding over hoe je een verzoek tot vergetelheid indient.
4. Recht op beperking
Je kunt een organisatie verplichten de verwerking van je data tijdelijk stop te zetten, bijvoorbeeld terwijl een klacht loopt.
5. Recht op dataportabiliteit
Je mag je data in een gangbaar formaat opvragen en meenemen naar een andere dienst. Handig bij overstappen tussen banken, streamingdiensten of e-mailproviders.
6. Recht van bezwaar
Vooral tegen direct marketing en profilering kun je altijd bezwaar maken. Doe je dat, dan moet het onmiddellijk stoppen.
7. Recht bij geautomatiseerde besluitvorming
Als een algoritme een belangrijk besluit over jou neemt (bijv. weigering hypotheek), heb je recht op menselijke tussenkomst en uitleg.
8. Recht op informatie
Vóór verwerking moet een organisatie proactief uitleggen wat ze met je data doen. Dit is waarom privacyverklaringen bestaan.
Hoe dien je een AVG-verzoek in?
Een verzoek indienen klinkt formeel maar is eenvoudig. Volg deze zes stappen:
- Zoek de contactgegevens – In de privacyverklaring staat vaak een specifiek e-mailadres of formulier.
- Wees duidelijk – Vermeld welk recht je uitoefent (bijv. "recht op inzage").
- Identificeer jezelf – Ze mogen om identiteitsbewijs vragen, maar niet meer info dan nodig.
- Bewaar bewijs – Verstuur per e-mail of aangetekend, houd verzendbewijs bij.
- Wacht maximaal een maand – Bij complexe verzoeken mogen ze twee maanden extra nemen, maar moeten dat uitleggen.
- Klaag bij de AP – Bij weigering of geen reactie kun je gratis een klacht indienen bij de Autoriteit Persoonsgegevens.
AVG en cookies: wat mag wel en niet?
Cookies zijn kleine bestandjes die websites op je apparaat plaatsen. Onder de AVG en de aparte cookiewet (ePrivacy) gelden strikte regels.
Functionele cookies
Deze zijn nodig om de site te laten werken (winkelmandje, taalvoorkeur). Hiervoor is geen toestemming nodig.
Analytische cookies
Voor privacyvriendelijke analytics zonder identificatie is vaak geen toestemming nodig. Bij Google Analytics met tracking wel.
Tracking- en marketingcookies
Hiervoor is ALTIJD expliciete toestemming vereist. De "Accepteer alles"-knop mag niet groter of prominenter zijn dan "Weigeren". Een cookiebanner zonder gelijkwaardige weigerknop is illegaal, en de AP deelt hier steeds vaker boetes voor uit.
Wil je je überhaupt afschermen van trackers? Lees onze gids over trackers blokkeren op je telefoon.
Datalekken: wat gebeurt er als het misgaat?
Een datalek is elke situatie waarin persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden. Denk aan een gehackte database, een verloren laptop, of een e-mail met CC in plaats van BCC.
Meldplicht voor organisaties
Bij een datalek met risico voor betrokkenen moet een organisatie binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Bij hoog risico moeten ook de getroffen personen persoonlijk geïnformeerd worden.
Wat kun jij doen bij een datalek?
- Wijzig direct het wachtwoord bij de getroffen dienst
- Check of je hetzelfde wachtwoord elders gebruikte
- Activeer tweestapsverificatie waar mogelijk
- Let op phishing die volgt op het lek
- Overweeg een klacht bij de AP en schadevergoeding claimen
Uit datalekken komen vaak telefoonnummers, wat leidt tot meer spam-oproepen en oplichtingspogingen via de telefoon.
AVG op de werkvloer: wat mag je werkgever?
Werkgevers verwerken veel persoonsgegevens: van salarisgegevens tot ziekmeldingen. Ook zij moeten zich aan de AVG houden.
Wat mag wel
- NAW-gegevens en BSN voor loonadministratie
- Registreren dat je ziek bent (niet: wat je hebt)
- Zakelijke e-mail monitoren, mits vooraf gemeld
- Camera's op de werkvloer, mits proportioneel en zichtbaar
Wat mag niet
- Vragen naar je gezondheidsdiagnose
- Verborgen camera's zonder zwaarwegend belang
- Structureel al je privé-berichten op je zakelijke telefoon lezen
- Persoonlijkheidstests zonder duidelijk doel bewaren
AVG en URL-verkorters
Ook URL-verkorters vallen onder de AVG. Elke klik op een verkorte link genereert data: IP-adres, tijdstip, apparaat. Sommige diensten verkopen deze data door of gebruiken die voor advertenties.
Een privacyvriendelijke dienst zoals Lunyb verzamelt alleen wat strikt nodig is voor de werking van de link en verkoopt geen data door. Wanneer je vaak links deelt, is het de moeite waard om te kiezen voor een verkorter die transparant is over dataverwerking en zich houdt aan het beginsel van minimale gegevensverwerking.
Boetes en handhaving in 2026
De Autoriteit Persoonsgegevens is de laatste jaren steeds actiever geworden. In 2026 zien we vooral boetes rond:
- Onwettige cookiebanners (dark patterns)
- Onvoldoende beveiliging leidend tot datalekken
- Illegaal delen van data met Amerikaanse Big Tech
- AI-systemen die zonder grondslag persoonsgegevens verwerken
- Doorverkoop van klantdata zonder toestemming
Grote namen zoals Meta, Amazon en Google kregen boetes van honderden miljoenen. Ook Nederlandse organisaties zoals ziekenhuizen, gemeentes en verzekeraars zijn beboet.
Praktische AVG-checklist voor 2026
Om je privacy actief te beschermen kun je deze checklist maandelijks doorlopen:
- Check welke apps toegang hebben tot je locatie, contacten en camera
- Verwijder accounts die je niet meer gebruikt (vraag om vergetelheid)
- Controleer je Google/Apple-account op ingelogde apparaten
- Zet je socialmedia-privacy op de strengste stand
- Gebruik unieke wachtwoorden en een wachtwoordmanager
- Wees kritisch op cookiebanners: weiger als "accepteer alles" te dominant is
- Denk twee keer na voor je persoonsgegevens invult op formulieren
- Beveilig je verbinding op openbare wifi-netwerken
Veelgemaakte AVG-mythes
"Onder de AVG mag niks meer"
Fout. De AVG verbiedt niets, mits je een grondslag hebt en zorgvuldig omgaat met data. Ondernemen blijft prima mogelijk.
"Voor kleine bedrijven geldt de AVG niet"
Ook een ZZP'er of eenmanszaak valt onder de AVG als er persoonsgegevens verwerkt worden. Wel gelden er minder administratieve verplichtingen.
"Toestemming is altijd nodig"
Nee. Toestemming is slechts één van de zes grondslagen. Vaak is "uitvoering overeenkomst" of "gerechtvaardigd belang" van toepassing.
"Alle data moet in Europa staan"
Niet per se, maar bij doorgifte buiten de EU gelden strenge voorwaarden. Sinds het EU-VS Data Privacy Framework mag doorgifte naar gecertificeerde Amerikaanse bedrijven weer, al ligt dat kader juridisch onder vuur.
Conclusie
De AVG is geen bureaucratisch monster maar een krachtig instrument dat jou als burger controle geeft over je eigen gegevens. Door je acht rechten te kennen en actief te gebruiken, houd je bedrijven en instanties scherp. Combineer deze juridische bescherming met praktische stappen — sterke wachtwoorden, bewuste keuzes bij cookies, privacyvriendelijke diensten — en je bent in 2026 uitstekend beschermd.
Veelgestelde vragen
Wat is het verschil tussen AVG en GDPR?
Geen. AVG is de Nederlandse naam, GDPR de Engelse. Het gaat om dezelfde Europese verordening uit 2016, van toepassing sinds 25 mei 2018.
Kan ik schadevergoeding krijgen bij een AVG-overtreding?
Ja. Zowel materiële schade (bijv. financiële schade) als immateriële schade (stress, reputatieschade) komen in aanmerking. Je kunt dit via de rechter claimen, vaak ondersteund door een klacht bij de AP.
Hoe lang mag een organisatie mijn gegevens bewaren?
Alleen zolang nodig voor het doel. Voor loonadministratie geldt bijvoorbeeld 7 jaar (fiscale bewaarplicht), voor sollicitatiedata maximaal 4 weken zonder toestemming. Bij twijfel mag je vragen naar het bewaarbeleid.
Geldt de AVG ook voor buitenlandse websites?
Ja, als ze zich richten op de Europese markt (Nederlandse taal, prijzen in euro's, levering in NL). Zelfs Amerikaanse of Aziatische bedrijven moeten zich dan aan de AVG houden.
Wat kost het om een AVG-klacht in te dienen bij de AP?
Niets. Klachten indienen bij de Autoriteit Persoonsgegevens is gratis. Je hebt ook geen advocaat nodig — een goed onderbouwde e-mail volstaat.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
AP Klacht Indienen: Stap voor Stap Handleiding 2026
Een klacht indienen bij de Autoriteit Persoonsgegevens hoeft niet ingewikkeld te zijn. In deze complete handleiding lees je stap voor stap hoe je een AP-klacht voorbereidt, indient en opvolgt. Inclusief praktijkvoorbeelden, een overzichtstabel en veelgemaakte fouten om te vermijden.
AVG in België: Je Rechten Uitgelegd (Complete Gids 2026)
Ontdek al je AVG-rechten als inwoner van België: van inzage tot vergetelheid. Deze complete gids legt uit hoe je verzoeken indient, klachten stuurt naar de GBA en je privacy actief beschermt.
AVG Uitgelegd in Gewone Taal (2026): De Complete Gids
De AVG uitgelegd in gewone Nederlandse taal: wat het is, welke rechten je hebt, wat bedrijven moeten doen en wat er in 2026 verandert. Praktische gids met voorbeelden, boetes en tips om je privacy actief te beschermen.
GBA België: Hoe een Klacht Indienen (Stappenplan 2026)
Wanneer een organisatie jouw persoonsgegevens onrechtmatig verwerkt, kun je in België een klacht indienen bij de GBA. Deze complete gids toont je stap voor stap hoe je dat doet, welke documenten je nodig hebt en wat je kunt verwachten van de procedure.