facebook-pixel

Privacy in Nederland: Jouw Rechten op een Rij (2026)

L
Lunyb Beveiligingsteam
··10 min read

Privacy is geen luxe, maar een grondrecht. In Nederland wordt jouw persoonlijke informatie beschermd door de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Deze wetten geven je concrete rechten die je actief kunt inroepen bij bedrijven, overheden en andere organisaties die jouw gegevens verwerken. Toch weet slechts een klein deel van de Nederlanders precies welke rechten ze hebben en hoe ze deze kunnen uitoefenen.

In dit artikel zetten we alle privacyrechten in Nederland op een rij. Je leert wat elk recht inhoudt, wanneer je het kunt gebruiken en hoe je in de praktijk een verzoek indient bij een organisatie of een klacht bij de Autoriteit Persoonsgegevens (AP).

Wat is privacy volgens de Nederlandse wet?

Privacy is het recht om zelf te bepalen wie welke informatie over jou verzamelt, gebruikt en deelt. In Nederland is dit recht verankerd in artikel 10 van de Grondwet, artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en sinds mei 2018 vooral in de AVG (in het Engels: GDPR).

De AVG geldt in alle EU-lidstaten en beschermt persoonsgegevens: alle informatie die direct of indirect naar jou als persoon te herleiden is. Denk aan je naam, adres, e-mailadres, IP-adres, foto's, medische gegevens en zelfs online gedragspatronen.

Wie houdt toezicht op privacy in Nederland?

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland. De AP controleert of organisaties zich aan de AVG houden, behandelt klachten van burgers en kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf.

De 8 belangrijkste privacyrechten in Nederland

Onder de AVG heb je acht fundamentele rechten. Hieronder bespreken we ze één voor één met praktische voorbeelden.

1. Recht op informatie

Elke organisatie die jouw persoonsgegevens verwerkt, moet je actief informeren over wat er gebeurt met die gegevens. Dit gebeurt meestal via een privacyverklaring op de website. Je moet duidelijk kunnen zien:

  • Welke gegevens worden verzameld
  • Waarvoor ze gebruikt worden (het doel)
  • Op welke juridische grondslag (toestemming, contract, wettelijke plicht, etc.)
  • Hoe lang de gegevens bewaard worden
  • Met wie ze gedeeld worden
  • Welke rechten je hebt

2. Recht op inzage

Je hebt het recht om te vragen welke persoonsgegevens een organisatie over jou heeft. Dit heet een inzageverzoek. De organisatie moet binnen één maand een kopie verstrekken van alle gegevens die ze over je bewaart, inclusief informatie over herkomst en gebruik.

Praktijkvoorbeeld: Je kunt bij je zorgverzekeraar opvragen welke medische claims ze hebben opgeslagen, of bij een webshop een overzicht van je gehele klantprofiel.

3. Recht op rectificatie (correctie)

Kloppen jouw gegevens niet? Dan heb je het recht om ze te laten corrigeren. Dit geldt voor foutieve, verouderde of onvolledige informatie. Denk aan een verkeerd adres bij de gemeente, een fout geboortejaar bij een verzekeraar of een onjuiste betalingsstatus bij een incassobureau.

4. Recht op verwijdering (recht om vergeten te worden)

Onder bepaalde voorwaarden kun je eisen dat een organisatie jouw gegevens volledig verwijdert. Dit kan onder andere als:

  1. De gegevens niet meer nodig zijn voor het oorspronkelijke doel
  2. Je jouw toestemming intrekt en er geen andere grondslag is
  3. De verwerking onrechtmatig was
  4. Je bezwaar maakt en er geen dwingende gerechtvaardigde gronden zijn
  5. Je jonger was dan 16 toen je toestemming gaf voor een dienst

Let op: dit recht is niet absoluut. Belastingdienst-gegevens, medische dossiers en informatie die nodig is voor juridische verplichtingen mag een organisatie behouden.

5. Recht op beperking van de verwerking

Als tijdelijke maatregel kun je vragen om de verwerking van je gegevens te "bevriezen". De organisatie mag ze dan wel bewaren, maar niet actief gebruiken. Dit is handig bij een lopend geschil, bijvoorbeeld wanneer je de juistheid van gegevens betwist.

6. Recht op dataportabiliteit

Je hebt het recht om je persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat (zoals CSV of JSON) te ontvangen. Zo kun je ze eenvoudig overdragen aan een andere dienstverlener. Dit geldt vooral bij digitale diensten zoals streamingplatformen, sociale media en cloudopslag.

7. Recht van bezwaar

Je mag bezwaar maken tegen de verwerking van jouw gegevens, vooral bij direct marketing. Als je bezwaar maakt tegen marketing, moet de organisatie de verwerking onmiddellijk stoppen. Bij andere verwerkingen op grond van "gerechtvaardigd belang" moet de organisatie zwaarwegende redenen aantonen om door te gaan.

8. Recht op menselijke tussenkomst bij geautomatiseerde besluiten

Beslissingen die uitsluitend door algoritmes worden genomen en die jou aanmerkelijk treffen (zoals een geautomatiseerde afwijzing van een lening of verzekering), mogen niet zomaar. Je hebt het recht op menselijke beoordeling, uitleg van de logica achter het besluit en de mogelijkheid om het besluit aan te vechten.

Overzicht: privacyrechten in één tabel

Recht Wat het inhoudt Reactietermijn
Informatie Duidelijkheid over wat er met gegevens gebeurt Bij verzameling
Inzage Kopie van alle gegevens opvragen 1 maand
Rectificatie Foutieve gegevens laten corrigeren 1 maand
Verwijdering Gegevens laten wissen 1 maand
Beperking Verwerking tijdelijk stopzetten 1 maand
Dataportabiliteit Gegevens meenemen naar andere dienst 1 maand
Bezwaar Verwerking stoppen (m.n. marketing) Direct bij marketing
Menselijke tussenkomst Geen algoritmische beslissingen zonder review Bij besluit

Hoe dien je een privacyverzoek in?

Een verzoek indienen bij een organisatie is gratis en relatief eenvoudig. Volg deze stappen:

  1. Zoek het juiste contactadres. In de privacyverklaring van de organisatie staat vaak een specifiek e-mailadres, bijvoorbeeld privacy@bedrijf.nl of de contactgegevens van de functionaris voor gegevensbescherming (FG).
  2. Schrijf een duidelijk verzoek. Vermeld welk recht je uitoefent (bijvoorbeeld inzage of verwijdering), welke gegevens het betreft en waarom.
  3. Identificeer jezelf. De organisatie moet zeker weten dat jij het bent. Meestal volstaat een kopie van je ID (met BSN en pasfoto afgeschermd) of een verificatie via je account.
  4. Wacht op reactie. Binnen één maand moet de organisatie reageren. Bij complexe verzoeken mag deze termijn met twee maanden verlengd worden, maar dan moet je daarover geïnformeerd worden.
  5. Niet tevreden? Dien een klacht in bij de AP.

Voorbeeldbrief inzageverzoek

"Geachte heer/mevrouw, Op grond van artikel 15 van de AVG verzoek ik u mij inzage te geven in alle persoonsgegevens die uw organisatie over mij verwerkt. Graag ontvang ik binnen één maand een kopie, evenals informatie over de verwerkingsdoelen, ontvangers en bewaartermijnen. Bijgevoegd vindt u een kopie van mijn identiteitsbewijs ter verificatie. Met vriendelijke groet, [naam]."

Klacht indienen bij de Autoriteit Persoonsgegevens

Reageert een organisatie niet, of ben je het oneens met de reactie? Dan kun je een klacht indienen bij de AP via autoriteitpersoonsgegevens.nl. Je klacht is gratis en de AP onderzoekt binnen redelijke termijn of er sprake is van een overtreding.

Voor Belgische inwoners is er een vergelijkbare procedure via de Gegevensbeschermingsautoriteit. Meer daarover lees je in ons stappenplan voor klachten bij de GBA in België.

Bijzondere categorieën persoonsgegevens

Sommige gegevens genieten extra bescherming onder de AVG. Deze mogen in principe niet verwerkt worden, tenzij er een specifieke uitzondering geldt (zoals uitdrukkelijke toestemming of medische noodzaak).

  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuiging
  • Lidmaatschap vakbond
  • Genetische gegevens
  • Biometrische gegevens (vingerafdruk, gezichtsscan)
  • Gegevens over gezondheid
  • Gegevens over seksueel gedrag of geaardheid

Het Burgerservicenummer (BSN) is in Nederland ook streng gereguleerd. Alleen instanties met een wettelijke basis (Belastingdienst, zorgverleners, gemeenten) mogen om je BSN vragen. Een sportschool of webshop mag dit dus niet.

Praktische tips om je privacy zelf te versterken

Naast het uitoefenen van je rechten kun je zelf veel doen om je online privacy te beschermen. Enkele concrete tips:

Beveilig je accounts

  • Gebruik sterke, unieke wachtwoorden per dienst. Een goede wachtwoordmanager helpt hier enorm bij. Bekijk onze vergelijking van de beste wachtwoordmanagers in 2026.
  • Zet tweefactorauthenticatie (2FA) aan waar mogelijk.
  • Controleer regelmatig of jouw e-mailadres in datalekken voorkomt via diensten zoals Have I Been Pwned.

Verminder digitale sporen

  • Gebruik privacyvriendelijke browsers zoals Firefox of Brave.
  • Stel een encrypted DNS-provider in (bijvoorbeeld Cloudflare 1.1.1.1 of Quad9) voor extra bescherming op netwerkniveau.
  • Wees kritisch bij het delen van links. Wanneer je een lange URL wilt inkorten zonder trackingparameters, kun je een privacyvriendelijke oplossing zoals Lunyb gebruiken die geen persoonlijke tracking toevoegt.
  • Beperk de app-permissies op je smartphone tot wat echt nodig is.

Wees voorzichtig op openbare netwerken

Openbare wifi-netwerken (op stations, in cafés of hotels) vormen een risico voor je gegevens. Lees onze complete gids over openbare wifi voor concrete beveiligingstips.

Privacy in specifieke situaties

Op je werkplek

Ook op het werk heb je privacyrechten. Je werkgever mag jouw e-mail en internetgebruik niet zomaar controleren. Dit mag alleen als er een legitieme reden is (bijvoorbeeld vermoeden van fraude), de controle proportioneel is en je vooraf geïnformeerd bent via een gedragscode of reglement. Camera's op de werkplek moeten aangekondigd worden en mogen niet gericht zijn op individuele werknemers zonder aanleiding.

Bij de overheid en gemeente

Overheidsinstanties verwerken veel gegevens over burgers. Zij zijn gebonden aan strenge regels en moeten een functionaris voor gegevensbescherming aanstellen. Je hebt volledig recht op inzage in je eigen dossier, met uitzondering van gegevens waarvan geheimhouding noodzakelijk is (bijvoorbeeld lopend strafrechtelijk onderzoek).

Als kind of jongere

Voor kinderen onder de 16 jaar geldt dat ouders toestemming moeten geven voor het verwerken van persoonsgegevens door online diensten. Sociale netwerken en apps moeten hier extra rekening mee houden.

Wat kost het niet-naleven van de AVG?

Organisaties die zich niet aan de AVG houden, riskeren fikse boetes. De AP heeft de afgelopen jaren meerdere miljoenenboetes uitgedeeld aan bedrijven en overheden. Enkele bekende voorbeelden:

  • De Belastingdienst kreeg 3,7 miljoen euro boete voor de zwarte lijst FSV.
  • Een grote webshop werd beboet vanwege onvoldoende beveiliging van klantgegevens.
  • Ziekenhuizen zijn beboet voor het onvoldoende beperken van toegang tot medische dossiers.

Deze boetes onderstrepen hoe serieus de Nederlandse toezichthouder privacyrechten neemt en waarom het loont om jouw rechten actief uit te oefenen.

Grensoverschrijdende privacy: Nederland en de EU

Omdat de AVG in de hele EU geldt, kun je jouw rechten ook uitoefenen bij organisaties in andere EU-landen. Bij grensoverschrijdende klachten werkt de AP samen met andere Europese toezichthouders. Voor lezers in België hebben we een uitgebreide gids over privacy online in België 2026, die veel raakvlakken heeft met de Nederlandse situatie.

Voor doorgifte van gegevens naar landen buiten de EU (zoals de VS) gelden extra strenge regels. Sinds het Schrems II-arrest moeten organisaties aanvullende waarborgen treffen bij het gebruik van bijvoorbeeld Amerikaanse cloudleveranciers.

Veelgestelde vragen (FAQ)

Kost het geld om mijn privacyrechten uit te oefenen?

Nee, in principe is een verzoek gratis. Alleen bij duidelijk ongegronde of buitensporige verzoeken (bijvoorbeeld herhaalde verzoeken zonder reden) mag een organisatie een redelijke vergoeding vragen of het verzoek weigeren.

Hoe lang mag een bedrijf mijn gegevens bewaren?

Er is geen vaste algemene termijn. Het uitgangspunt is dat gegevens niet langer bewaard mogen worden dan noodzakelijk voor het doel. Voor sommige gegevens gelden wettelijke bewaartermijnen (bijvoorbeeld 7 jaar voor fiscale gegevens). Vraag altijd naar de specifieke bewaartermijn via een inzageverzoek.

Wat is het verschil tussen de AVG en de UAVG?

De AVG is de Europese verordening die in alle lidstaten geldt. De Uitvoeringswet AVG (UAVG) is de Nederlandse wet die de AVG aanvult op specifieke punten waar de verordening ruimte laat voor nationale invulling, zoals regels rond het BSN en journalistieke uitzonderingen.

Kan ik een organisatie dwingen mijn gegevens te verwijderen?

Ja, mits aan één van de voorwaarden voor verwijdering is voldaan. Er zijn wel uitzonderingen: als er een wettelijke bewaarplicht bestaat (bijvoorbeeld voor de belastingaangifte) of als de gegevens nodig zijn voor de instelling of verdediging van een rechtsvordering, mag de organisatie ze behouden.

Wat doe ik bij een datalek waarbij mijn gegevens betrokken zijn?

Organisaties moeten datalekken met een risico voor betrokkenen melden bij de AP en, bij hoog risico, ook bij jou als betrokkene. Ontvang je zo'n melding, wijzig dan direct je wachtwoord voor de betreffende dienst en overweeg om je wachtwoorden bij andere diensten waar je hetzelfde wachtwoord gebruikt ook te wijzigen. Houd verdachte activiteit op je accounts en bankrekening in de gaten.

Conclusie

Privacy is in Nederland stevig verankerd in wet- en regelgeving. Met de acht rechten uit de AVG heb je krachtige instrumenten om controle te houden over jouw persoonsgegevens. Van inzage en correctie tot volledige verwijdering: elke burger kan actief opkomen voor zijn of haar privacy.

Maak gebruik van deze rechten wanneer je dat nodig vindt, en combineer dit met praktische maatregelen zoals sterke wachtwoorden, een privacyvriendelijke browser en bewuste online keuzes. Zo houd je in 2026 de regie over jouw digitale leven.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles