facebook-pixel

Privacy in Nederland: Jouw Rechten op een Rij (2026)

L
Lunyb Beveiligingsteam
··10 min read

Jouw persoonsgegevens zijn waardevol, en de Nederlandse wetgeving geeft je krachtige middelen om te bepalen wat er met die gegevens gebeurt. Onder de Algemene Verordening Gegevensbescherming (AVG), in Nederland uitgevoerd door de Uitvoeringswet AVG (UAVG), heb je acht specifieke privacyrechten die door elke organisatie gerespecteerd moeten worden. In dit artikel zetten we al jouw rechten helder op een rij, leggen we uit hoe je ze uitoefent en wat je kunt doen als een organisatie niet meewerkt.

Wat is privacy in Nederland juridisch gezien?

Privacy in Nederland is het recht om zelf te bepalen wie welke informatie over jou heeft en hoe die informatie gebruikt wordt. Dit recht is verankerd in artikel 10 van de Grondwet, artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en sinds mei 2018 in de AVG.

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder die controleert of organisaties zich aan deze regels houden. Bij overtredingen kan de AP boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet — welk bedrag hoger is.

Wie moet zich aan de AVG houden?

Elke organisatie die persoonsgegevens verwerkt van mensen in Nederland moet zich aan de AVG houden. Dit geldt voor:

  • Bedrijven van eenmanszaak tot multinational
  • Overheidsinstanties zoals gemeenten en de Belastingdienst
  • Scholen, ziekenhuizen en zorginstellingen
  • Verenigingen en stichtingen
  • Websites en apps die cookies of tracking gebruiken

De 8 privacyrechten onder de AVG

De AVG geeft je acht concrete rechten die je bij elke organisatie kunt inroepen. Hieronder bespreken we ze stuk voor stuk.

1. Recht op informatie

Je hebt het recht om te weten of en hoe een organisatie jouw persoonsgegevens verwerkt. Voordat een organisatie gegevens verzamelt, moet zij je informeren over:

  • Welke gegevens worden verzameld
  • Met welk doel dit gebeurt
  • Op welke wettelijke grondslag dit rust
  • Hoe lang de gegevens worden bewaard
  • Met wie de gegevens worden gedeeld
  • Contactgegevens van de functionaris gegevensbescherming (FG)

Deze informatie vind je meestal in de privacyverklaring van een organisatie. Een onduidelijke of ontbrekende privacyverklaring is een AVG-overtreding.

2. Recht op inzage

Je mag opvragen welke persoonsgegevens een organisatie precies van jou heeft. De organisatie moet binnen een maand een kopie verstrekken van alle gegevens die zij verwerkt. Denk aan:

  • Naam-, adres-, en contactgegevens
  • Klant- of dossiernummers
  • Aankoop- of transactiehistorie
  • Communicatiegeschiedenis (e-mails, chats, telefoonnotities)
  • Profielen en scores (bijvoorbeeld kredietwaardigheid)

3. Recht op rectificatie

Kloppen jouw gegevens niet? Dan heb je het recht om correctie te eisen. Denk aan een verkeerd geboortejaar, een verouderd adres of een fout in een medisch dossier. De organisatie moet de correctie zonder onnodige vertraging doorvoeren en ook doorgeven aan partijen met wie de gegevens zijn gedeeld.

4. Recht op vergetelheid (verwijdering)

Dit is misschien wel het meest bekende recht: je kunt eisen dat een organisatie jouw gegevens verwijdert. Dit recht geldt in situaties zoals:

  • De gegevens zijn niet meer nodig voor het oorspronkelijke doel
  • Je trekt je toestemming in
  • De verwerking is onrechtmatig
  • Je maakt bezwaar en er is geen dwingende reden om te blijven verwerken
  • Wettelijke bewaartermijnen zijn verstreken

Let op: dit recht is niet absoluut. Een werkgever mag bijvoorbeeld salarisgegevens 7 jaar bewaren voor de Belastingdienst, en een ziekenhuis moet medische dossiers 20 jaar bewaren.

5. Recht op beperking van verwerking

Soms wil je niet dat je gegevens worden verwijderd, maar wel dat het gebruik ervan tijdelijk stopt. Bijvoorbeeld tijdens een lopend geschil of terwijl je de juistheid van gegevens laat controleren. De organisatie mag de gegevens dan alleen bewaren, niet actief gebruiken.

6. Recht op dataportabiliteit

Je hebt het recht om jouw gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te ontvangen (zoals CSV of JSON), zodat je ze kunt meenemen naar een andere dienstverlener. Denk aan het overstappen van energieleverancier, streamingsdienst of sociaal netwerk.

7. Recht van bezwaar

Je kunt bezwaar maken tegen de verwerking van jouw gegevens, vooral bij:

  • Direct marketing (dit recht is absoluut — de organisatie moet altijd stoppen)
  • Verwerking op basis van gerechtvaardigd belang
  • Profilering en geautomatiseerde besluitvorming

8. Recht om niet onderworpen te worden aan automatische besluitvorming

Beslissingen met significante gevolgen (zoals kredietaanvragen, sollicitatieafwijzingen of uitkeringsbeoordelingen) mogen niet volledig door algoritmes worden genomen. Je hebt recht op menselijke tussenkomst, uitleg en de mogelijkheid om het besluit aan te vechten.

Overzicht: alle rechten in één tabel

RechtWat het inhoudtReactietermijn
InformatieWeten welke gegevens worden verwerkt en waaromVooraf
InzageKopie opvragen van jouw gegevens1 maand
RectificatieOnjuiste gegevens laten corrigeren1 maand
VergetelheidVerwijdering van gegevens eisen1 maand
BeperkingVerwerking tijdelijk stopzetten1 maand
DataportabiliteitGegevens meenemen in leesbaar formaat1 maand
BezwaarVerwerking stopzetten1 maand
Geen automatische beslissingenMenselijke beoordeling eisenDirect

Hoe oefen je jouw rechten uit? Stap voor stap

Het uitoefenen van je privacyrechten is gratis en hoeft niet ingewikkeld te zijn. Volg dit stappenplan:

  1. Bepaal welk recht je wilt inroepen. Wil je inzage, verwijdering of bezwaar maken? Wees zo specifiek mogelijk.
  2. Zoek de juiste contactpersoon. Kijk in de privacyverklaring naar de contactgegevens van de functionaris gegevensbescherming (FG) of het privacyloket.
  3. Dien een schriftelijk verzoek in. Gebruik e-mail of aangetekende brief. Vermeld je volledige naam, contactgegevens en welk recht je uitoefent.
  4. Toon je identiteit aan. De organisatie mag verificatie vragen, maar mag géén kopie van je paspoort eisen zonder BSN en pasfoto af te schermen.
  5. Wacht op een reactie. Binnen een maand moet de organisatie inhoudelijk reageren. Bij complexe verzoeken mag deze termijn met twee maanden worden verlengd, mits je hierover geïnformeerd wordt.
  6. Bij weigering: onderneem actie. Vraag om schriftelijke motivatie en overweeg een klacht bij de AP.

Voorbeeldbrief voor inzageverzoek

Onderwerp: Verzoek tot inzage op grond van artikel 15 AVG

Geachte heer/mevrouw,

Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming verzoek ik u om binnen één maand een kopie te verstrekken van alle persoonsgegevens die uw organisatie van mij verwerkt, evenals informatie over de doeleinden, ontvangers en bewaartermijnen. Mijn gegevens: [naam, geboortedatum, klantnummer].

Met vriendelijke groet, [naam]

Wat als een organisatie niet meewerkt?

Krijg je geen reactie, een onvolledige reactie of een weigering zonder goede reden? Dan heb je verschillende opties:

1. Klacht indienen bij de Autoriteit Persoonsgegevens

De AP is de nationale toezichthouder en kan onderzoek doen naar overtredingen. Een klacht indienen is gratis. Lees onze uitgebreide stap-voor-stap handleiding voor een AP-klacht om zeker te weten dat je jouw zaak sterk maakt.

2. Gang naar de rechter

Je kunt de organisatie voor de civiele rechter dagen om nakoming van je rechten af te dwingen en schadevergoeding eisen. Sinds de AVG hebben rechters al meerdere malen vergoedingen toegekend voor immateriële schade.

3. Collectieve actie

Stichtingen zoals Bits of Freedom en de Consumentenbond voeren regelmatig collectieve procedures tegen grote overtreders. Aansluiten bij zo'n actie versterkt je positie.

Specifieke situaties in Nederland

Privacy op de werkvloer

Werkgevers mogen niet zomaar alles monitoren. Cameratoezicht moet vooraf worden aangekondigd, e-mailcontrole vereist een gerechtvaardigd belang, en het lezen van privéberichten is verboden. De ondernemingsraad heeft instemmingsrecht bij nieuwe monitoringsystemen.

Medische gegevens

Medische gegevens vallen onder bijzondere persoonsgegevens en genieten extra bescherming. Zorgverleners mogen deze alleen delen met expliciete toestemming of op basis van een wettelijke grondslag. Via MedMij en PGO-apps kun je je eigen medisch dossier inzien.

Kinderen en privacy

In Nederland ligt de leeftijd voor digitale toestemming op 16 jaar. Onder deze leeftijd is toestemming van een ouder of voogd vereist voor online diensten die persoonsgegevens verwerken.

Cookies en tracking

Websites mogen alleen tracking cookies plaatsen na expliciete toestemming. Cookiewalls die je dwingen alles te accepteren zijn in strijd met de AVG. Analytische cookies zonder tracking mogen soms zonder toestemming, mits geanonimiseerd.

Praktische tips om je privacy in eigen hand te nemen

Naast je wettelijke rechten kun je proactief je privacy versterken:

  1. Beperk wat je deelt. Elke gegeven dat je niet deelt, kan ook niet lekken of misbruikt worden.
  2. Gebruik privacyvriendelijke tools. Kies voor zoekmachines zoals DuckDuckGo, browsers zoals Brave of Firefox met tracking-bescherming, en encrypted DNS-diensten om je netwerkverkeer te beschermen.
  3. Controleer je digitale voetafdruk regelmatig. In onze gids over digitale voetafdruk beheren lees je stap voor stap hoe je oude accounts en gelekte gegevens opruimt.
  4. Wees bewust van datahandelaren. Veel gegevens worden achter de schermen verhandeld. Ontdek in ons overzicht wie jouw persoonlijke gegevens verkoopt en hoe je jezelf uitschrijft.
  5. Bescherm links die je deelt. Wanneer je online links doorstuurt, kunnen tracking-parameters informatie over jou verraden. Met een privacygerichte URL-verkorter zoals Lunyb deel je schone, korte links zonder onnodige tracking, met controle over analytics en levensduur.
  6. Gebruik sterke, unieke wachtwoorden. Combineer dit met tweefactorauthenticatie en een wachtwoordmanager.
  7. Lees privacyverklaringen bij belangrijke diensten. Vooral bij financiële diensten, zorg en overheid loont dit.

De rol van de Autoriteit Persoonsgegevens

De AP is meer dan een klachteninstantie. Ze publiceert richtlijnen, onderzoekt sectoren proactief en legt boetes op. In 2024 en 2025 heeft de AP onder meer boetes uitgedeeld aan grote techbedrijven, gemeenten die te veel gegevens verwerkten en zorginstellingen met datalekken.

De AP publiceert al haar besluiten openbaar op autoriteitpersoonsgegevens.nl. Dit is een waardevolle bron om te zien hoe de wet in de praktijk wordt uitgelegd.

Privacy voor ondernemers: jouw plichten

Ben je zelf ondernemer? Dan heb je niet alleen rechten maar ook plichten. Elk bedrijf dat persoonsgegevens verwerkt moet onder meer:

  • Een verwerkingsregister bijhouden
  • Een privacyverklaring publiceren
  • Datalekken binnen 72 uur melden bij de AP
  • Verwerkersovereenkomsten sluiten met leveranciers
  • Passende technische en organisatorische maatregelen nemen

Voor uitgebreidere informatie over informatiebeveiliging voor kleinere organisaties, bekijk onze gids over cybersecurity voor kleine bedrijven. Hoewel geschreven vanuit Belgisch perspectief, gelden de meeste principes ook voor Nederlandse mkb'ers.

Veelgestelde vragen

Kost het uitoefenen van mijn privacyrechten geld?

Nee, het uitoefenen van je AVG-rechten is in principe gratis. Alleen bij duidelijk buitensporige of ongegronde verzoeken (zoals honderd verzoeken per maand) mag een organisatie een redelijke vergoeding vragen of het verzoek weigeren.

Hoe lang mag een organisatie mijn gegevens bewaren?

Zolang als noodzakelijk voor het doel waarvoor ze zijn verzameld. Wettelijke bewaartermijnen kunnen wel dwingen tot langere opslag: fiscale gegevens 7 jaar, medische dossiers 20 jaar, personeelsdossiers meestal 2 jaar na uitdiensttreding. Na afloop moeten gegevens verwijderd of geanonimiseerd worden.

Kan ik ook privacyrechten uitoefenen bij buitenlandse bedrijven?

Ja, mits het bedrijf diensten aanbiedt binnen de EU of gegevens van EU-inwoners verwerkt. De AVG geldt extraterritoriaal. Grote Amerikaanse techbedrijven hebben speciale privacyportalen voor EU-burgers. Bij problemen kun je klagen bij de AP, die contact kan opnemen met de toezichthouder in het land waar het bedrijf gevestigd is.

Wat is het verschil tussen de AVG en de UAVG?

De AVG is de Europese verordening die in alle EU-lidstaten geldt. De Uitvoeringswet AVG (UAVG) is de Nederlandse wet die de AVG op nationaal niveau uitvoert en aanvult op punten waar de AVG ruimte laat, zoals de leeftijdsgrens voor toestemming (16 jaar in Nederland) en specifieke regels voor BSN-gebruik.

Wat als een organisatie mijn identiteit betwijfelt?

De organisatie mag redelijke verificatie vragen, maar niet meer gegevens dan strikt noodzakelijk. Een kopie van je paspoort met afgeschermd BSN en pasfoto is vaak voldoende. Vraagt een organisatie om onevenredig veel identificatiegegevens, dan is dat zelf ook een AVG-overtreding waar je bezwaar tegen kunt maken.

Conclusie

De AVG geeft Nederlandse burgers een van de sterkste privacybeschermingen ter wereld. Met acht concrete rechten, gratis handhaving via de Autoriteit Persoonsgegevens en de mogelijkheid tot schadevergoeding via de rechter, sta je stevig in je schoenen. Het uitoefenen van deze rechten begint bij bewustzijn: weet welke gegevens over jou circuleren, welke organisaties ze verwerken en waarom.

Combineer je wettelijke rechten met slim gedrag online — bewust delen, privacyvriendelijke tools gebruiken en regelmatig je digitale voetafdruk opruimen — en je hebt maximale controle over je persoonlijke informatie in 2026 en daarna.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles