Skip to content

Algemene verordening gegevensbescherming

De algemene verordening gegevensbescherming (AVG) van de EU bepaalt hoe persoons­gegevens van natuurlijke personen in de EU mogen worden verwerkt en doorgegeven.

Wat is de AVG?

De AVG is de strengste privacy- en beveiligings­wetgeving ter wereld.

Met de AVG is de richtlijn gegevens­bescherming van 1995 aangepast aan de huidige tijd. De AVG werd aangenomen in 2016 en trad in werking op 25 mei 2018.

De AVG bepaalt:

  • de grondrechten van natuurlijke personen in het digitale tijdperk
  • de plichten van degenen die gegevens verwerken
  • de methoden om naleving af te dwingen
  • sancties voor overtreders

Rechten van natuurlijke personen

De AVG geeft een overzicht van de rechten van de betrokkene, dat wil zeggen van de natuurlijke persoon van wie de persoons­gegevens worden verwerkt. Hierdoor hebben natuurlijke personen meer controle over hun persoons­gegevens. Enkele voorbeelden:

  • iemand moet duidelijke toestemming geven voor de verwerking van hun persoonsgegevens
  • eenvoudigere toegang voor de betrokkene tot hun persoonsgegevens
  • het recht op rectificatie, het recht op wissing en het recht op vergetelheid
  • het recht om bezwaar te maken, onder meer tegen het gebruik van persoonsgegevens met het oog op "profilering"
  • het recht om gegevens mee te nemen van de ene dienstverlener naar de andere

In de AVG is vastgelegd welke rechten natuurlijke personen hebben en aan welke verplichtingen de verwerker van de gegevens en de verwerkings­verantwoordelijke zich moeten houden.

Plichten voor bedrijven en organisaties

De AVG geeft een nauwkeurige omschrijving van de algemene verplichtingen van de verwerkings­verantwoordelijken en degenen die de persoons­gegevens namens die verantwoordelijken verwerken (verwerkers).

Zo moeten verantwoordelijken passende veiligheids­maatregelen toepassen, die in verhouding staan tot de risico's van hun gegevens­verwerkings­activiteiten.

In bepaalde gevallen moeten verwerkings­verantwoordelijken ook verplicht gegevenslekken melden. Overheidsinstanties en ondernemingen die bepaalde risicovolle gegevens­verwerkings­activiteiten verrichten, moeten een functionaris voor gegevens­bescherming aanwijzen.

Toepassing gegevensbeschermingsregels

De AVG bepaalt net als eerdere wetgeving dat de lidstaten een onafhankelijke nationale toezichthouder moeten hebben. Ook wordt een mechanisme ingevoerd voor consistente toepassing van de gegevens­beschermings­wetgeving overal in de EU.

Verder bepaalt de AVG dat in grensoverschrijdende gevallen waarbij meerdere nationale toezichthouders betrokken zijn er één toezichts­besluit wordt genomen. Dit beginsel, ook bekend als het "éénloketsysteem" (one-stop shop), houdt in dat een onderneming met dochter­ondernemingen in verschillende lidstaten uitsluitend te maken heeft met de gegevens­beschermings­autoriteit in de lidstaat waar haar hoofdkantoor staat.

Het Europees Comité voor gegevensbescherming ziet erop toe dat de AVG volledig en consistent wordt uitgevoerd. Dit comité bestaat uit vertegenwoordigers van alle 27 onafhankelijke toezichthouders.

Op 17 november 2025 heeft de Raad EU-wetgeving aangenomen, die in 2026 in werking moet treden. Die wet zorgt voor snellere en efficiëntere samenwerking tussen nationale gegevens­beschermings­autoriteiten bij de behandeling van AVG-klachten die meerdere EU-landen aangaan. De regels vereenvoudigen de administratieve procedures en moeten zorgen voor:

  • snelle behandeling van grensoverschrijdende klachten en een betere samenwerking
  • onderzoek naar de rechten van klagers en partijen

Vanuit de AVG gelden er zeer strenge straffen tegen verwerkings­verantwoordelijken of verwerkers die de gegevens­beschermings­regels overtreden. Zo kan de boete voor verwerkings­verantwoordelijken oplopen tot € 20 miljoen of 4% van hun algemene jaaromzet.

Daarnaast kunnen natuurlijke personen een klacht indienen bij een toezichthouder en hebben zij recht op een voorziening in rechte en op schadevergoeding. Het besluit van hun gegevens­beschermings­autoriteit kunnen ze laten toetsen door de rechter in eigen land, ongeacht in welke lidstaat de betrokken verwerkings­verantwoordelijke gevestigd is.

Doorgifte naar landen buiten de EU

De AVG heeft ook betrekking op de doorgifte van persoons­gegevens aan landen buiten de EU en aan internationale organisaties. De Commissie heeft als taak te onderzoeken welke graad van bescherming een grondgebied of een verwerkings­sector in een land buiten de EU biedt.

Als de Commissie (nog) niet heeft geoordeeld of gegevens in een bepaald(e) gebied of sector voldoende worden beschermd, kunnen persoons­gegevens in bijzondere gevallen, of wanneer er passende waarborgen zijn, toch worden doorgegeven.

Een gestileerde afbeelding van een digitale vingerafdruk met errond gele sterren, binaire cijfers, en een pictogram van een hangslot, als symbool voor gegevensbescherming en privacy in de Europese Unie.
Gegevensbescherming in de EU

Gegevensbescherming in de EU

Een gloeiend digitaal hangslot voor een blauwe printplaat, wat staat voor gegevensbeveiliging en -bescherming.
Gegevensbescherming bij rechtshandhaving

Gegevensbescherming bij rechtshandhaving

Laatst bijgewerkt: 22 mei 2026