De AVG, de Nederlandse naam voor de GDPR (Verordening (EU) 2016/679), is de Europese wet die de verwerking van persoonsgegevens regelt en van toepassing is sinds 25 mei 2018 in alle EU-lidstaten, voor vrijwel elke organisatie die persoonsgegevens verwerkt. Overtreding van de AVG kan een boete opleveren tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
De AVG geeft mensen rechten over hun eigen gegevens en verplicht organisaties die persoonsgegevens verwerken tot passende bescherming daarvan. Omdat het een verordening is en geen richtlijn, werkt de AVG rechtstreeks: lidstaten hoeven de regels niet eerst in nationale wetgeving om te zetten.
De reikwijdte van de AVG is breed. De wet geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt van mensen in de EU, ongeacht de omvang van die organisatie of de sector waarin ze actief is.
In Nederland houdt de Autoriteit Persoonsgegevens toezicht op naleving van de AVG. Voor de ernstigste overtredingen kan een boete volgen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, het hoogste van de twee bedragen (Verordening (EU) 2016/679, art. 83).
Begin daarom met een verwerkingsregister en een nulmeting van de huidige beveiligingsmaatregelen, zodat duidelijk is welke persoonsgegevens verwerkt worden en waar de risico’s zitten.
Wat is de AVG?
De Algemene Verordening Gegevensbescherming is de Europese wet die de verwerking van persoonsgegevens regelt. De naam is de Nederlandse vertaling van de GDPR, de General Data Protection Regulation, formeel Verordening (EU) 2016/679 (Verordening (EU) 2016/679, 2016).
De AVG bepaalt wie welke persoonsgegevens mag verwerken, onder welke voorwaarden en met welke waarborgen. Een organisatie die het doel en de middelen van een verwerking vaststelt heet de verwerkingsverantwoordelijke; een partij die in opdracht verwerkt heet de verwerker.
De verordening is sinds 25 mei 2018 van toepassing en verving daarmee de oude Wet bescherming persoonsgegevens en de Europese privacyrichtlijn uit 1995 (Autoriteit Persoonsgegevens, 2026).
Voor wie geldt de AVG?
De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van mensen in de EU, ongeacht de omvang van de organisatie of de sector waarin ze actief is. Dat geldt voor een eenmanszaak met een klein klantenbestand net zo goed als voor een multinational.
- Elke sector: van webshop tot ziekenhuis, van bouwbedrijf tot gemeente. De AVG kent geen lijst van aangewezen sectoren, in tegenstelling tot NIS2.
- Elke omvang: ook een zzp’er met een klein klantenbestand valt onder de AVG.
- Ook buiten de EU: organisaties buiten de EU die goederen of diensten aanbieden aan mensen in de EU, of hun gedrag volgen, vallen eveneens onder de AVG (Verordening (EU) 2016/679, art. 3).
Die brede reikwijdte is het belangrijkste verschil met NIS2, dat alleen geldt voor aangewezen sectoren van hoog kritiek en kritiek belang. Vrijwel elke organisatie verwerkt persoonsgegevens van personeel, klanten of leveranciers, dus de AVG raakt vrijwel elk bedrijf, terwijl NIS2 een selecte groep sectoren raakt.
Is de AVG verplicht?
Ja, de AVG is verplicht en van kracht sinds 25 mei 2018. Als Europese verordening werkt de AVG rechtstreeks in elke lidstaat, zonder dat een aparte Nederlandse wet de regels eerst hoeft over te nemen.
- Rechtstreeks werkend: de AVG is een verordening, geen richtlijn, dus de regels gelden direct.
- Toezicht in Nederland: de Autoriteit Persoonsgegevens houdt toezicht op naleving en onderzoekt klachten en datalekken.
- Boetes bij overtreding: de toezichthouder kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet; het hoogste bedrag geldt voor de ernstigste overtredingen (Verordening (EU) 2016/679, art. 83).
Anders dan bijvoorbeeld een ISO 27001-certificaat is de AVG geen keuze. Elke organisatie die persoonsgegevens verwerkt moet er gewoon aan voldoen, van dag één.
Wat zijn de belangrijkste verplichtingen onder de AVG?
De AVG legt organisaties een aantal concrete verplichtingen op. De zeven belangrijkste op een rij:
- Verwerkingsregister: een overzicht van alle verwerkingen van persoonsgegevens, met per verwerking het doel, de grondslag en de bewaartermijn.
- Grondslag voor verwerking: voor elke verwerking moet een van de wettelijke grondslagen uit de AVG van toepassing zijn, bijvoorbeeld toestemming, een overeenkomst of een gerechtvaardigd belang.
- Rechten van betrokkenen: mensen hebben onder meer recht op inzage, correctie en vergetelheid, het verwijderen van hun eigen gegevens.
- Meldplicht datalekken: een datalek dat risico oplevert voor betrokkenen meld je binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens (Verordening (EU) 2016/679, art. 33).
- DPIA’s voor hoog-risico verwerkingen: bij verwerkingen met een hoog risico voor betrokkenen is een Data Protection Impact Assessment verplicht, een risicobeoordeling vooraf.
- Verwerkersovereenkomsten: met elke partij die in opdracht persoonsgegevens verwerkt leg je de afspraken vast in een verwerkersovereenkomst.
- Privacy by design en by default: bij het inrichten van systemen en processen houd je vanaf het begin rekening met gegevensbescherming, en sta je standaard alleen de noodzakelijke gegevensverwerking toe.
De AVG vergeleken met andere normen en wetten
De AVG staat niet op zichzelf: de wet hangt samen met NIS2 en met normen als ISO 27001 en NEN 7510. Twee vergelijkingen zijn het belangrijkst.
AVG vs NIS2
Het verschil tussen de AVG en NIS2 zit in het beschermde object. De AVG beschermt persoonsgegevens en geldt voor vrijwel elke organisatie; NIS2 beschermt netwerk- en informatiesystemen en geldt alleen voor aangewezen sectoren.
Beide wetten kennen een vergelijkbare meldplicht bij incidenten, met een verschillende termijn. Onder de AVG meld je een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens; onder NIS2 meld je een significant incident binnen 24 uur bij het CSIRT. Eén ransomware-aanval waarbij persoonsgegevens zijn gestolen kan beide meldingen tegelijk vereisen.
AVG en ISO 27001
De AVG schrijft in artikel 32 “passende technische en organisatorische maatregelen” voor om persoonsgegevens te beveiligen, maar legt niet vast hoe die maatregelen eruitzien. ISO 27001 vult die invulling in: een werkend ISMS met de Annex A-maatregelen, zoals toegangsbeheer, encryptie, logging en incidentrespons, toont aan dat de passende beveiliging er daadwerkelijk is.
Voor sectoren met een eigen norm werkt dit hetzelfde. NEN 7510 vult de AVG in voor de zorg, de BIO voor de overheid, en beide normen zijn zelf weer gebouwd op ISO 27001.
Zo helpt ClickOn met de AVG
Het grootste deel van de technische kant van de AVG, de “passende beveiliging” uit artikel 32, is IT-beheer: toegangsbeheer, encryptie, monitoring, back-up en recovery, en logging. Precies het werk dat een managed service provider dagelijks doet, ingericht volgens ISO 27001. ClickOn is zelf sinds 2021 ISO 27001-gecertificeerd en doorstond tot nu toe 100 procent van 25 audits.
ClickOn doet dat met twee aanbiedingen. De Compliance Sprint brengt de technische beveiligingsmaatregelen binnen 30 dagen audit-klaar, tegen een vaste prijs per werkplek. Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: Microsoft 365-werkplekken inclusief 24/7 bewaking en support, binnen 24 uur compliant ingericht, voor €148 per werkplek per maand, zonder lock-in.
Wat buiten scope blijft: het opstellen van verwerkersovereenkomsten en het uitvoeren van een DPIA als juridisch document zijn juridisch-organisatorisch werk, geen IT-beheer. ClickOn levert de technische maatregelen en het bewijs daarvan; verwerkersovereenkomsten, DPIA’s en de overige juridische en governance-kant van de AVG blijven bij je privacyjurist of Functionaris Gegevensbescherming.
Liever het hele vraagstuk uit handen geven? Lees hoe je je voorbereidt op een audit met ISO 27001 audit-readiness, of hoe je IT-beveiliging uitbesteedt aan een IT-partner.
Persoonsgegevens verwerken en de technische beveiliging op orde brengen? Start de Compliance Sprint Bekijk compliant werkplekbeheer
Veelgestelde vragen over de AVG
Is de AVG verplicht?
Ja. De AVG is een Europese verordening en werkt sinds 25 mei 2018 rechtstreeks in Nederland, zonder dat daar eerst nationale wetgeving voor nodig is. De Autoriteit Persoonsgegevens houdt toezicht op naleving.
Voor wie geldt de AVG?
De AVG geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt van mensen in de EU, ongeacht omvang of sector. Ook organisaties buiten de EU die goederen of diensten aan EU-inwoners aanbieden vallen eronder.
Wat is het verschil tussen de AVG en NIS2?
De AVG beschermt persoonsgegevens en geldt voor vrijwel elke organisatie; NIS2 beschermt netwerk- en informatiesystemen en geldt alleen voor aangewezen sectoren. Beide kennen een meldplicht bij incidenten: 72 uur voor de AVG, 24 uur voor NIS2.
Wat is de meldplicht datalekken onder de AVG?
Een datalek dat risico oplevert voor betrokkenen meld je binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Levert het datalek een hoog risico op voor de betrokkenen zelf, dan moet je hen daarnaast rechtstreeks informeren.
Wat zijn de boetes onder de AVG?
Voor de ernstigste overtredingen kan de toezichthouder een boete opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, het hoogste bedrag van de twee (Verordening (EU) 2016/679, art. 83). Lagere categorieën overtredingen kennen een lager maximum.