De AVG, Algemene Verordening Gegevensbescherming

Wat is de AVG?

De AVG is de Nederlandse naam voor de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. Het doel van de wet is om de privacy van Europese burgers beter te beschermen en hen meer controle te geven over hun persoonsgegevens.

De AVG vervangt de oude Wet bescherming persoonsgegevens (Wbp) en heeft een veel breder toepassingsgebied. De wet stelt duidelijke eisen aan hoe persoonsgegevens mogen worden verzameld, verwerkt, opgeslagen en gedeeld. Organisaties moeten altijd kunnen verantwoorden waarom zij bepaalde gegevens nodig hebben en hoe zij deze beveiligen.

Concreet betekent dit dat systemen zo ingericht moeten zijn dat ze privacy-by-design ondersteunen: beveiliging en gegevensbescherming zijn ingebouwd vanaf het begin van de softwareontwikkeling of systeemkeuze.

Wat is het verschil tussen de AVG en de GDPR?

De termen AVG en GDPR worden vaak door elkaar gebruikt, maar er is een klein verschil in betekenis. GDPR staat voor General Data Protection Regulation, de officiële Engelse benaming van de Europese verordening. AVG is simpelweg de Nederlandse vertaling daarvan.

Inhoudelijk is er dus geen verschil. Het gaat in beide gevallen om exact dezelfde wetgeving. Afhankelijk van de context kom je de Engelse of Nederlandse term tegen. Binnen internationale bedrijven wordt vaak de term GDPR gebruikt, terwijl in Nederland vooral de term AVG gangbaar is.

Voor wie geldt de AVG?

De AVG geldt voor alle organisaties die persoonsgegevens verwerken van inwoners van de Europese Unie, ongeacht de grootte of de sector. Het maakt dus niet uit of je een multinational bent of een kleine eenmanszaak. Zodra je persoonsgegevens verwerkt, moet je je aan de AVG houden.

Daarnaast geldt de AVG niet alleen voor organisaties die binnen de EU zijn gevestigd. Ook bedrijven buiten de EU die diensten aanbieden aan Europese burgers, zoals webshops of sociale mediaplatforms, moeten zich aan de regels houden. Kortom, vrijwel elk systeem valt onder deze wet: hr-software, crm-databases, cloudopslag en zelfs iot-apparatuur.

Wat zijn de basisprincipes van de AVG?

De AVG rust op een aantal basisprincipes die richtinggevend zijn voor elke verwerking van persoonsgegevens:

1. Rechtmatigheid, behoorlijkheid en transparantie.
2. Doelbinding.
3. Dataminimalisatie.
4. Juistheid.
5. Opslagbeperking.
6. Integriteit en vertrouwelijkheid.
7. Verantwoordingsplicht.

Deze principes vertalen als volgt naar technische maatregelen:

• Doelbinding & dataminimalisatie: alleen noodzakelijke velden in databases opslaan.
• Juistheid: koppelingen met basisregistraties en automatische controles.
• Integriteit & vertrouwelijkheid: firewalls, siem-systemen en multifactor-authenticatie.

Hoe wordt je organisatie AVG-compliant?

Voor organisaties kan het een uitdaging zijn om volledig AVG-compliant te worden. Een aantal stappen helpt daarbij:

1. Inventarisatie: maakt een verwerkingsregister van alle applicaties en cloudoplossingen.
2. Grondslag bepalen: voor elk systeem checken of er een juridische basis is.
3. Privacybeleid: duidelijkheid over encryptie, logging en toegangsbeheer.
4. Beveiliging: regelmatige penetratietesten en security patches.
5. Rechten van betrokkenen: selfserviceportals waar klanten hun gegevens kunnen inzien of verwijderen.
6. Verwerkersovereenkomsten: controle met leveranciers zoals AWS of Google Cloud.
7. Training: ict-supportmedewerkers leren phishing te herkennen en datalekken te melden.

Wat is de rol van de AP voor de AVG?

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder op de naleving van de AVG. De AP heeft een onafhankelijke positie en ziet erop toe dat organisaties zorgvuldig omgaan met persoonsgegevens. De belangrijkste taken van de AP zijn klachten behandelen, onderzoeken uitvoeren, advies geven en sancties opleggen. De AP heeft al vaker ingegrepen bij gebrekkige beveiliging en kan audits uitvoeren op beveiliging, logging en datalekprocedures.

Wat gebeurt er als je niet AVG-compliant bent?

Wanneer een organisatie zich niet aan de AVG houdt, kan dat verstrekkende gevolgen hebben: waarschuwingen, dwangsommen of hoge boetes. Nalatigheid zoals slecht beveiligde systemen of gebrekkige logging direct kan leiden tot sancties en reputatieschade.

Wat valt onder persoonlijke data bij de AVG?

De definitie van persoonsgegevens is breed. Het gaat om alle gegevens die direct of indirect te herleiden zijn naar een persoon. Ook metadata en technische gegevens vallen hieronder, zoals IP-adressen, cookies en locatiegegevens.

Zijn er AVG boetes?

Ja, de AVG voorziet in stevige boetes om naleving af te dwingen: tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Boetes zijn vaak het gevolg van gebrekkige beveiliging of onvoldoende logging.

Hoe lang mogen gegevens bewaard worden volgens de AVG?

Gegevens mogen niet langer worden bewaard dan nodig is voor het doel. Er bestaan geen vaste termijnen; organisaties moeten zelf beleid vastleggen. Dat betekent dat men automatische dataretentie en veilige verwijdering moet inrichten.

Hoeveel impact heeft de AVG op ict?

De AVG heeft de manier waarop organisaties met persoonsgegevens omgaan structureel veranderd. Burgers hebben meer rechten gekregen en organisaties moeten transparanter en zorgvuldiger omgaan met data. De impact is groot: systemen moeten voldoen aan de principes van de AVG, van dataminimalisatie tot opslagbeperking en van beveiliging tot logging.

Praktisch gezien investeren grotere organisaties in:

• Data governance tools voor centrale controle.
• Security frameworks zoals ISO27001 of NIST.
• Privacy by design in softwareontwikkeling.

Wie dit goed doet, voorkomt boetes én wint vertrouwen bij klanten en medewerkers.

Laatste AVG artikelen

Governance & Privacy

Strengere privacy-wetgeving jaagt juist privacy-bedrijven weg

Overheid

Vrijblijvendheid troef bij Nederlandse Digitaliseringsstrategie

Security & Awareness

Compliance is belangrijk maar reactief, informatiebeveiliging in de zorg kan en moet beter

Governance & Privacy

Digitale soevereiniteit, wat is dat eigenlijk?