Algemene verordening gegevensbescherming
De algemene verordening gegevensbescherming (AVG) van de EU bepaalt hoe persoonsgegevens van natuurlijke personen in de EU mogen worden verwerkt en doorgegeven.
Wat is de AVG?
De AVG is de strengste privacy- en beveiligingswetgeving ter wereld.
Met de AVG is de richtlijn gegevensbescherming van 1995 aangepast aan de huidige tijd. De AVG werd aangenomen in 2016 en trad in werking op 25 mei 2018.
De AVG bepaalt:
- de grondrechten van natuurlijke personen in het digitale tijdperk
- de plichten van degenen die gegevens verwerken
- de methoden om naleving af te dwingen
- sancties voor overtreders
Rechten van natuurlijke personen
De AVG geeft een overzicht van de rechten van de betrokkene, dat wil zeggen van de natuurlijke persoon van wie de persoonsgegevens worden verwerkt. Hierdoor hebben natuurlijke personen meer controle over hun persoonsgegevens. Enkele voorbeelden:
- iemand moet duidelijke toestemming geven voor de verwerking van hun persoonsgegevens
- eenvoudigere toegang voor de betrokkene tot hun persoonsgegevens
- het recht op rectificatie, het recht op wissing en het recht op vergetelheid
- het recht om bezwaar te maken, onder meer tegen het gebruik van persoonsgegevens met het oog op "profilering"
- het recht om gegevens mee te nemen van de ene dienstverlener naar de andere
In de AVG is vastgelegd welke rechten natuurlijke personen hebben en aan welke verplichtingen de verwerker van de gegevens en de verwerkingsverantwoordelijke zich moeten houden.
Plichten voor bedrijven en organisaties
De AVG geeft een nauwkeurige omschrijving van de algemene verplichtingen van de verwerkingsverantwoordelijken en degenen die de persoonsgegevens namens die verantwoordelijken verwerken (verwerkers).
Zo moeten verantwoordelijken passende veiligheidsmaatregelen toepassen, die in verhouding staan tot de risico's van hun gegevensverwerkingsactiviteiten.
In bepaalde gevallen moeten verwerkingsverantwoordelijken ook verplicht gegevenslekken melden. Overheidsinstanties en ondernemingen die bepaalde risicovolle gegevensverwerkingsactiviteiten verrichten, moeten een functionaris voor gegevensbescherming aanwijzen.
Toepassing gegevensbeschermingsregels
De AVG bepaalt net als eerdere wetgeving dat de lidstaten een onafhankelijke nationale toezichthouder moeten hebben. Ook wordt een mechanisme ingevoerd voor consistente toepassing van de gegevensbeschermingswetgeving overal in de EU.
Verder bepaalt de AVG dat in grensoverschrijdende gevallen waarbij meerdere nationale toezichthouders betrokken zijn er één toezichtsbesluit wordt genomen. Dit beginsel, ook bekend als het "éénloketsysteem" (one-stop shop), houdt in dat een onderneming met dochterondernemingen in verschillende lidstaten uitsluitend te maken heeft met de gegevensbeschermingsautoriteit in de lidstaat waar haar hoofdkantoor staat.
Het Europees Comité voor gegevensbescherming ziet erop toe dat de AVG volledig en consistent wordt uitgevoerd. Dit comité bestaat uit vertegenwoordigers van alle 27 onafhankelijke toezichthouders.
Op 17 november 2025 heeft de Raad EU-wetgeving aangenomen, die in 2026 in werking moet treden. Die wet zorgt voor snellere en efficiëntere samenwerking tussen nationale gegevensbeschermingsautoriteiten bij de behandeling van AVG-klachten die meerdere EU-landen aangaan. De regels vereenvoudigen de administratieve procedures en moeten zorgen voor:
- snelle behandeling van grensoverschrijdende klachten en een betere samenwerking
- onderzoek naar de rechten van klagers en partijen
Vanuit de AVG gelden er zeer strenge straffen tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. Zo kan de boete voor verwerkingsverantwoordelijken oplopen tot € 20 miljoen of 4% van hun algemene jaaromzet.
Daarnaast kunnen natuurlijke personen een klacht indienen bij een toezichthouder en hebben zij recht op een voorziening in rechte en op schadevergoeding. Het besluit van hun gegevensbeschermingsautoriteit kunnen ze laten toetsen door de rechter in eigen land, ongeacht in welke lidstaat de betrokken verwerkingsverantwoordelijke gevestigd is.
- Europees Comité voor gegevensbescherming
- Raad neemt nieuwe EU-wetgeving aan om behandeling van grensoverschrijdende klachten over gegevensbescherming te versnellen (persmededeling, 17 november 2025)
- Gegevensbescherming: Raad akkoord over standpunt handhavingsregels AVG (persmededeling, 13 juni 2024)
Doorgifte naar landen buiten de EU
De AVG heeft ook betrekking op de doorgifte van persoonsgegevens aan landen buiten de EU en aan internationale organisaties. De Commissie heeft als taak te onderzoeken welke graad van bescherming een grondgebied of een verwerkingssector in een land buiten de EU biedt.
Als de Commissie (nog) niet heeft geoordeeld of gegevens in een bepaald(e) gebied of sector voldoende worden beschermd, kunnen persoonsgegevens in bijzondere gevallen, of wanneer er passende waarborgen zijn, toch worden doorgegeven.
Zie ook
Gegevensbescherming in de EU
Gegevensbescherming bij rechtshandhaving
Laatst bijgewerkt: 22 mei 2026