Wat moet je weten over de AVG? Wat moet je weten over de AVG?
IT-recht
IT-contracten en continuïteitsregelingen voor on-premise software en cloudsystemen
Privacy
Privacyrecht, AVG en het treffen van daaraan gerelateerde maatregelen binnen je organisatie
Intellectueel eigendom (IE)
Vaststellen, vastleggen, waarderen, verpanden en overdragen van IE-rechten en software

Wat moet je weten over de AVG?
12 februari 2026

Origineel is van 8 juli 2021

Wat betekent de AVG voor jou of jouw organisatie? Dat hangt af van een aantal factoren: wie je bent (persoon / organisatie), wat je doet (wat is je functie) en welke rol heb je (verwerker / verwerkingsverantwoorderlijke)? 

In dit artikel lees je wat je als organisatie moet weten over de AVG.

Wat is de AVG?

De AVG (Algemene Verordening Gegevensbescherming, Engels: GDPR) is de Europese privacywet die sinds 25 mei 2018 bepaalt hoe organisaties met persoonsgegevens moeten omgaan.

De wet regelt onder andere:

  • wie verantwoordelijk is voor de verwerking van persoonsgegevens;
  • welke rechten mensen hebben (zoals inzage of verwijdering);
  • welke beveiligingseisen organisaties moeten nemen;
  • en welke boetes kunnen volgen bij overtredingen.

Wat betekent dat voor persoonsgegevens?

Heel concreet: de AVG geeft personen meer inzicht en controle over persoonsgegevens die jij opslaat en gebruikt in jouw organisatie. Zij mogen altijd vragen welke gegevens jouw organisatie verwerkt, waarom dat gebeurt en wat hun opties zijn.

Verwerken van persoonsgegevens

Verwerk je persoonsgegevens en bepaal jij het doel en de middelen? Dan ben je (mede) verwerkingsverantwoordelijke en krijg je stevige verplichtingen: je moet persoonsgegevens rechtmatig, veilig en transparant verwerken.

Verwerk je persoonsgegevens in opdracht van een ander (bijvoorbeeld als IT-leverancier of dienstverlener)? Dan ben je vaak verwerker. Ook dan heb je duidelijke plichten en moet je aantoonbaar voldoen aan afspraken en beveiligingseisen.

Rechtmatige verwerking

Een belangrijk uitgangspunt van de AVG is dat een verwerking niet verder mag gaan dan het gestelde doel van de verwerking (doelbinding) en rechtmatig moet zijn. Stel je zelf dus altijd eerst deze 2 vragen voordat je persoonsgegevens gaat verwerken:

  1. Wat is het doel van de verwerking?
  2. Welke grondslag past daarbij?

De AVG noemt zes grondslagen. Denk bijvoorbeeld aan toestemming of verwerking die nodig is voor de uitvoering van een overeenkomst.

Daarnaast geldt: je verwerkt niet meer persoonsgegevens dan nodig voor jouw doel. Soms moet je vooraf een Data Protection Impact Assessment (DPIA) uitvoeren om risico’s in kaart te brengen en maatregelen te bepalen.

Meer informatie?

Informeren en verantwoorden AVG

Als organisatie moet je mensen informeren over wat je met persoonsgegevens doet. Dat gebeurt vaak via een privacyverklaring (en op websites meestal aangevuld met een cookieverklaring). Intern zie je dit vaak terug in een privacybeleid of (bedrijfs)reglement, bijvoorbeeld bij een arbeidsrelatie of socialmediagebruik. 

Naast informeren moet je ook kunnen aantonen dat je de regels naleeft. Je moet aan de Autoriteit Persoonsgegevens (AP) uitleggen:

  • waarom je gegevens verwerkt;
  • welke gegevens je gebruikt;
  • hoe je ze beveiligt;
  • en hoe lang je ze bewaart.

Rechten betrokkenen faciliteren

Degene wiens persoonsgegevens worden verwerkt (de betrokkene) heeft een aantal rechten in de AVG, waaronder:

  • Inzage vragen in je gegevens;
  • Gegevens laten corrigeren;
  • Bezwaar maken tegen bepaalde verwerkingen;
  • In sommige gevallen gegevens laten verwijderen;
  • En je gegevens ontvangen of overdragen in een bruikbaar bestand (dataportabiliteit).

Als verwerkingsverantwoordelijke ben je verplicht om deze verzoeken te beantwoorden binnen één maand. Je mag zelf invulling geven aan hoe je dit faciliteert.

Concrete verplichtingen zijn onder andere:

  • een verwerkingsregister bijhouden;
  • verwerkersovereenkomsten afsluiten met partijen die namens jou gegevens verwerken;
  • en procedures op orde hebben voor datalekken (wanneer je moet melden aan de AP en betrokkenen).

Wat moet je nu concreet inregelen?

Als verwerkingsverantwoordelijke (en vaak ook als verwerker) is dit een praktische checklist. Stel jezelf deze vragen:

  • Welke grondslag is van toepassing?
  • Welke technische en organisatorische beveiligingsmaatregelen zijn nodig?
  • Wanneer moet ik een DPIA uitvoeren?
  • Hoe handel ik verzoeken over rechten van betrokkenen af?
  • Is mijn cookiebanner en cookiestroom AVG-compliant?
  • Welke afspraken maak ik met verwerkers en andere derden?
  • Welke bewaartermijnen gelden per type gegeven?
  • Hoe leg ik verantwoording af aan betrokkenen en aan de AP?
  • Wat is mijn datalekprocedure (detectie, beoordeling, melding, opvolging)?
  • Hoe beoordeel ik of een datalek meldplichtig is?
  • Hoe controleer ik of mijn verwerker zich aan de afspraken houdt?

Advies nodig over de AVG wetgeving?

De IT-Jurist helpt jou of je organisatie graag om te voldoen aan de regels rondom persoonsgegevens en de AVG. Van meedenken over privacybeleid tot het opstellen of beoordelen van overeenkomsten en documentatie: we helpen je praktisch en gericht verder. 

Bekijk onze privacy expertisepagina 

of neem direct contact op.

Tags

     

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen

Dag van de Privacy: privacy in tijden van AI
Is jouw organisatie en het gebruik van AI echt AVG-proof, of alleen op papier?
Samen software ontwikkelen – waar ligt het auteursrecht?
Softwareprogramma’s worden bijna nooit helemaal door één persoon of organisatie ontwikkeld.
Vernieuwde NLdigital Voorwaarden: wat betekent dit voor jouw IT-contracten?
Dit is hét moment om kritisch te kijken of jouw eigen voorwaarden nog toekomstbestendig zijn.