AVG/GDPR Privacy-compliance
Minder Delen, Minder Gedoe
Bestuurlijke rust ontstaat niet door optimisme, maar door heldere verantwoordelijkheid en aantoonbare opvolging.
In AVG/GDPR Privacy-compliance zit de winst in routine: verifiëren via tweede kanaal en niet handelen onder digitale druk.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van AVG/GDPR Privacy-compliance is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Waarom privacy een bestuurszaak is
De Algemene Verordening Gegevensbescherming (AVG) – internationaal bekend als GDPR – is sinds 25 mei 2018 van kracht. Toch beschouwen veel bestuurders de AVG nog steeds als een juridisch-administratieve verplichting die u uitbesteedt aan een privacy-officer en vervolgens vergeet.
Dat is een kostbare vergissing. De Autoriteit Persoonsgegevens (AP) legt steeds hogere boetes op, en de trend is duidelijk: toezichthouders worden strenger, niet soepeler.
Kernboodschap: De AVG is geen papieren tijger. Het is een wet met boetes tot 20 miljoen euro of 4% van uw wereldwijde jaaromzet. En die boetes worden daadwerkelijk uitgedeeld – ook in Nederland.
De basis: wat u moet weten
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Dat gaat veel verder dan naam en adres.
| Type | Voorbeelden |
|---|---|
| Direct identificerend | Naam, BSN, paspoortnummer, foto |
| Indirect identificerend | IP-adres, cookie-ID, personeelsnummer, kenteken |
| Bijzondere categorieen | Gezondheid, politieke voorkeur, religie, biometrie, strafrechtelijke gegevens |
| Gevoelig in de praktijk | Locatiegegevens, browsegeschiedenis, financiele gegevens |
De vuistregel: als u twijfelt of iets een persoonsgegeven is, ga er dan vanuit dat het dat wel is. De definitie is bewust breed geformuleerd.
De zes grondslagen voor verwerking
U mag persoonsgegevens alleen verwerken als u een geldige grondslag heeft. De AVG kent er zes:
| Grondslag | Wanneer van toepassing | Voorbeeld |
|---|---|---|
| Toestemming | De betrokkene geeft vrije, specifieke, geïnformeerde toestemming | Nieuwsbriefabonnement |
| Overeenkomst | Noodzakelijk voor uitvoering van een contract | Salarisadministratie, levering bestelling |
| Wettelijke verplichting | De wet schrijft de verwerking voor | Belastingaangifte, bewaarplicht |
| Vitaal belang | Bescherming van iemands leven | Medische noodsituatie |
| Publiek belang | Uitvoering van een taak van algemeen belang | Overheidsregistraties |
| Gerechtvaardigd belang | Uw belang weegt zwaarder dan de privacy van betrokkene | Fraudepreventie, netwerk-beveiliging |
Let op: “toestemming” is in de praktijk de zwakste grondslag. Toestemming moet vrij zijn – een werknemer die zijn werkgever toestemming “geeft”, doet dat zelden echt vrij. En toestemming kan altijd worden ingetrokken. Kies waar mogelijk een andere grondslag.
Uw verplichtingen als organisatie
Functionaris Gegevensbescherming (FG / DPO)
U bent verplicht een Functionaris Gegevensbescherming aan te stellen als u een overheidsinstantie bent, op grote schaal bijzondere persoonsgegevens verwerkt, of stelselmatig mensen observeert (tracking, profiling). De FG moet onafhankelijk opereren en rechtstreeks rapporteren aan het hoogste management.
Register van verwerkingsactiviteiten
Vrijwel elke organisatie is verplicht een register bij te houden van alle verwerkingen van persoonsgegevens. Het register bevat per verwerking:
| Onderdeel | Omschrijving |
|---|---|
| Doel | Waarom verwerkt u deze gegevens? |
| Categorieen gegevens | Welke persoonsgegevens verwerkt u? |
| Categorieen betrokkenen | Van wie verwerkt u gegevens? |
| Ontvangers | Met wie deelt u de gegevens? |
| Doorgifte | Gaan gegevens naar buiten de EU? |
| Bewaartermijn | Hoe lang bewaart u de gegevens? |
| Beveiligingsmaatregelen | Hoe beschermt u de gegevens? |
Data Protection Impact Assessment (DPIA)
Een DPIA is verplicht wanneer een verwerking een hoog risico oplevert voor betrokkenen – denk aan grootschalige profilering, verwerking van bijzondere persoonsgegevens, monitoring van openbare ruimten of inzet van nieuwe technologieen (AI, biometrie, IoT). De AP heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is. Controleer deze lijst.
Datalekken: de 72-uursklem
Een datalek is elke inbreuk die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens. Dat is breder dan u denkt: ransomware die bestanden versleutelt, een e-mail naar de verkeerde ontvanger, een kwijtgeraakte USB-stick, een medewerker die een dossier bekijkt zonder zakelijke reden – het zijn allemaal datalekken.
Het meldingsregime
| Wanneer | Aan wie | Termijn |
|---|---|---|
| Bij elk datalek | Intern registreren | Direct |
| Als er een risico is voor betrokkenen | Autoriteit Persoonsgegevens | Binnen 72 uur na ontdekking |
| Als er een hoog risico is voor betrokkenen | Ook de betrokkenen zelf | Onverwijld |
Praktijktip: Die 72 uur begint te lopen op het moment dat u het lek ontdekt – niet op het moment dat u het bevestigt. Wacht niet tot u alles uitgezocht heeft. Meld op tijd en vul later aan. Te laat melden is op zichzelf al een overtreding.
Internationale doorgifte van gegevens
Binnen de EER mogen persoonsgegevens vrij worden uitgewisseld. Maar zodra gegevens naar een land buiten de EER gaan, gelden strenge regels.
| Mechanisme | Toelichting |
|---|---|
| Adequaatheidsbesluit | De Europese Commissie oordeelt dat het land voldoende bescherming biedt (bijv. Japan, Zuid-Korea, VK) |
| EU-US Data Privacy Framework | Specifiek kader voor doorgifte naar gecertificeerde Amerikaanse bedrijven |
| Standaardcontractbepalingen (SCC’s) | Modelcontracten van de Europese Commissie |
| Binding Corporate Rules (BCR’s) | Interne gedragsregels voor multinationals |
Doorgifte naar de VS blijft juridisch complex. Het EU-US Data Privacy Framework biedt een basis, maar is niet onomstreden. Zorg dat uw Amerikaanse leveranciers gecertificeerd zijn onder het framework.
Boetes: de realiteit
De AVG kent twee boetecategorieen:
| Categorie | Maximum | Overtredingen |
|---|---|---|
| Lager | 10 miljoen EUR of 2% wereldwijde jaaromzet | Schending verwerkings-, beveiligings- of meldverplichtingen |
| Hoger | 20 miljoen EUR of 4% wereldwijde jaaromzet | Schending verwerkingsbeginselen, rechten betrokkenen, doorgifte |
Boetes in de praktijk
| Organisatie | Boete | Reden |
|---|---|---|
| Meta (Ierland, 2023) | 1,2 miljard EUR | Onrechtmatige doorgifte persoonsgegevens naar VS |
| Amazon (Luxemburg, 2021) | 746 miljoen EUR | Onrechtmatige verwerking voor advertentiedoeleinden |
| KNLTB (Nederland, 2020) | 525.000 EUR | Verkoop van ledengegevens aan sponsors zonder toestemming |
| HagaZiekenhuis (Nederland, 2019) | 460.000 EUR | Onvoldoende beveiliging medische dossiers (interne toegangscontrole) |
| Booking.com (Nederland, 2021) | 475.000 EUR | Te late melding van een datalek (22 dagen te laat) |
| DPG Media (Nederland, 2022) | 525.000 EUR | Cookies plaatsen zonder geldige toestemming |
| Nationale Politie (Nederland, 2024) | Berisping | Tekortkomingen in informatiebeveiliging |
Het patroon: de AP richt zich steeds vaker op tekortkomingen in beveiliging en te late meldingen. Het ontbreken van technische maatregelen – zoals goede toegangscontrole, logging en encryptie – wordt gezien als een schending van artikel 32 AVG.
Beveiliging en privacy: twee kanten van dezelfde medaille
Artikel 32 AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen – bijna dezelfde formulering als NIS2. De twee wetten vullen elkaar aan.
| Beveiligingsmaatregel | Privacy-effect |
|---|---|
| Encryptie | Beschermt bij diefstal of verlies van apparatuur |
| Toegangscontrole (RBAC) | Voorkomt ongeoorloofde inzage |
| Logging en monitoring | Maakt datalekken detecteerbaar en aantoonbaar |
| Pseudonimisering | Vermindert risico bij uitlekken |
| Back-ups | Beschermt beschikbaarheid van gegevens |
| Bewustzijnstraining | Vermindert menselijke fouten |
| Pentesten | Vindt kwetsbaarheden voordat aanvallers dat doen |
Zonder goede beveiliging is er geen privacy. De AP beoordeelt niet alleen of u een beleid heeft, maar ook of uw maatregelen in de praktijk werken. Vooral logging en monitoring zijn cruciaal: zij maken datalekken detecteerbaar en aantoonbaar. De technische inrichting hiervan wordt uitgebreid behandeld in Logging, Monitoring & SIEM.
Rechten van betrokkenen
Betrokkenen hebben uitgebreide rechten die u moet kunnen honoreren:
| Recht | Wat het inhoudt | Reactietermijn |
|---|---|---|
| Inzage | Kopie van alle persoonsgegevens die u verwerkt | 1 maand |
| Rectificatie | Onjuiste gegevens corrigeren | 1 maand |
| Verwijdering | Gegevens wissen wanneer niet meer nodig | 1 maand |
| Beperking | Tijdelijk stoppen met verwerking | 1 maand |
| Dataportabiliteit | Gegevens overdragen in machineleesbaar formaat | 1 maand |
| Bezwaar | Bezwaar tegen verwerking op basis van gerechtvaardigd belang | Onverwijld |
Doe dit deze maand
| Stap | Actie | Prioriteit |
|---|---|---|
| 1 | Stel vast of u een FG/DPO nodig heeft en wijs er een aan | Hoog |
| 2 | Breng alle verwerkingen van persoonsgegevens in kaart (register) | Hoog |
| 3 | Bepaal voor elke verwerking de grondslag | Hoog |
| 4 | Beoordeel of een DPIA nodig is voor risicovolle verwerkingen | Hoog |
| 5 | Stel een datalekprocedure op met duidelijke rollen en termijnen | Hoog |
| 6 | Controleer internationale doorgiften en implementeer passende waarborgen | Hoog |
| 7 | Implementeer technische beveiligingsmaatregelen (encryptie, toegangscontrole, logging) | Hoog |
| 8 | Richt een proces in voor het afhandelen van rechten van betrokkenen | Midden |
| 9 | Beoordeel verwerkersovereenkomsten met leveranciers | Midden |
| 10 | Organiseer bewustzijnstraining voor alle medewerkers | Midden |
| 11 | Plan regelmatige audits en pentests op systemen die persoonsgegevens verwerken | Doorlopend |
| 12 | Houd het register en uw DPIA’s actueel bij wijzigingen | Doorlopend |
| 13 | Zorg dat uw privacybeleid begrijpelijk en vindbaar is | Midden |
| 14 | Test uw datalekprocedure minstens jaarlijks met een oefening | Doorlopend |
De samenhang met NIS2
De AVG en NIS2 zijn complementair:
- NIS2 verplicht u om uw systemen te beveiligen
- De AVG verplicht u om de persoonsgegevens in die systemen te beschermen
Een datalek is vaak tegelijk een NIS2-incident en een AVG-incident, met gescheiden meldplichten bij verschillende toezichthouders. Zorg dat uw incidentresponsproces beide meldstromen afdekt.
Onthoud: goede beveiliging is de basis van privacy-compliance. Investeer in technische maatregelen en u slaat twee vliegen in een klap: compliance met zowel de AVG als NIS2, en bescherming van het vertrouwen van uw klanten, medewerkers en partners.
De AVG maakt duidelijk dat privacy-compliance geen eenmalig project is, maar een doorlopende bestuurlijke verantwoordelijkheid. Die verantwoordelijkheid heeft consequenties – persoonlijke consequenties. In het volgende hoofdstuk over bestuurdersaansprakelijkheid leest u wat er juridisch op het spel staat wanneer u als bestuurder tekortschiet in uw zorgplicht, en hoe u zich daartegen kunt wapenen.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: