• Wat is AVG in eenvoudige bewoordingen?
  • Waarom AVG is ingevoerd
  • Voor wie geldt de AVG?
  • Wat valt er onder de AVG onder persoonsgegevens?
  • Wat is de wettelijke basis voor de verwerking van persoonsgegevens?
  • De 7 belangrijkste principes van de AVG
  • Rechten van gebruikers met betrekking tot hun gegevens volgens de AVG
  • Wat is toestemming volgens de AVG en hoe wordt die verkregen?
  • Hoe bedrijven aan de AVG-vereisten kunnen voldoen
  • Handhaving van de AVG en sancties bij overtredingen
  • Geldt de AVG in de VS?
  • Wat is de rol van cookies onder de AVG?
  • Veelvoorkomende misvattingen over de AVG
  • Veelgestelde vragen over de AVG
  • Wat is AVG in eenvoudige bewoordingen?
  • Waarom AVG is ingevoerd
  • Voor wie geldt de AVG?
  • Wat valt er onder de AVG onder persoonsgegevens?
  • Wat is de wettelijke basis voor de verwerking van persoonsgegevens?
  • De 7 belangrijkste principes van de AVG
  • Rechten van gebruikers met betrekking tot hun gegevens volgens de AVG
  • Wat is toestemming volgens de AVG en hoe wordt die verkregen?
  • Hoe bedrijven aan de AVG-vereisten kunnen voldoen
  • Handhaving van de AVG en sancties bij overtredingen
  • Geldt de AVG in de VS?
  • Wat is de rol van cookies onder de AVG?
  • Veelvoorkomende misvattingen over de AVG
  • Veelgestelde vragen over de AVG

Waar staat AVG voor? Eenvoudige AVG gids voor EU

Uitgelicht 13.05.2026 21 minuten
Jennifer Pelegrin
Geschreven door Jennifer Pelegrin
Katarina Glamoslija
Beoordeeld door Katarina Glamoslija
Kate Davidson
Bewerkt door Kate Davidson
illustration_what is the gdpr- simple guide to eu data protection

Als je organisatie persoonsgegevens van mensen in de EU verzamelt, gebruikt of bijhoudt, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Het maakt niet uit waar je bedrijf gevestigd is: deze Europese privacywet heeft wereldwijde reikwijdte en zorgt ervoor dat bedrijven anders met persoonsgegevens omgaan.

De AVG, die in 2016 is aangenomen en sinds mei 2018 van kracht is, stelt duidelijke regels vast over wat onder persoonsgegevens valt, hoe deze mogen worden gebruikt en welke rechten mensen hebben met betrekking tot hun gegevens.

In deze gids lees je waar AVG voor staat, voor wie hij geldt en wat bedrijven moeten weten om aan de regels te blijven voldoen.

Wat is AVG in eenvoudige bewoordingen?

AVG is een EU-privacywet die de persoonsgegevens van mensen in de EU beschermt. Dit omvat alle informatie waarmee iemand direct of indirect kan worden geïdentificeerd, zoals namen, e-mailadressen, IP-adressen of cookies.

AVG geeft mensen meer zeggenschap over hun gegevens. Het verplicht bedrijven ook om deze gegevens op een eerlijke manier te verwerken, uit te leggen waarom ze deze verzamelen en ze goed te beveiligen. Toen de verordening op 25 mei 2018 van kracht werd, verving ze de oudere EU-regels inzake gegevensbescherming.

Waarom AVG is ingevoerd

Vóór AVG was de gegevensbescherming in de EU gebaseerd op de Richtlijn gegevensbescherming uit 1995. Toen was het internet nog nieuw en verwerkten bedrijven veel minder persoonsgegevens. Naarmate de technologie zich verder ontwikkelde en online diensten een vast onderdeel van het dagelijks leven werden, werd het duidelijk dat die oude regels niet meer volstonden.

In 2012 stelde de Europese Commissie nieuwe wetgeving voor om het recht op privacy te versterken en aan te passen aan de digitale economie. Na jaren van discussie werd de AVG in 2016 aangenomen en trad hij in 2018 in werking.

In tegenstelling tot de oude richtlijn is deze rechtstreeks van toepassing in alle EU-landen, waardoor er uniforme normen worden vastgesteld en mensen meer rechten krijgen met betrekking tot hun persoonsgegevens.

In een verbonden wereld is privacy belangrijker dan ooit, en wetten zoals de AVG zijn bedoeld om gebruikers weer de controle over hun gegevens te geven.

Voor wie geldt de AVG?

De AVG geldt voor elke organisatie die persoonsgegevens van mensen in de EU verzamelt, gebruikt of opslaat, ongeacht of het bedrijf binnen of buiten de Europese Economische Ruimte (EER) is gevestigd. De wet is gebaseerd op de gegevens, niet op de locatie van het bedrijf.

De verordening definieert twee belangrijke functies:

  • Verantwoordelijke voor de verwerking: Bepaalt waarom en hoe persoonsgegevens worden verwerkt.
  • Verwerker: Verwerkt gegevens in opdracht van de verwerkingsverantwoordelijke, zoals cloudproviders of betalingsverwerkers.

Gdpr Nl 1

Bedrijven in de EER

De EER omvat de 27 EU-lidstaten plus IJsland, Liechtenstein en Noorwegen. Elke organisatie die binnen de EER is gevestigd, moet zich bij de verwerking van persoonsgegevens aan de AVG houden, zelfs als die verwerking buiten Europa plaatsvindt. Zo moet een bedrijf dat in Nederland en België is gevestigd en servers in de VS gebruikt, zich nog steeds aan de AVG-regels houden.

Bedrijven buiten de EER

Het feit dat een organisatie buiten de EER gevestigd is, betekent niet dat ze niet onder de AVG valt. Als je bedrijf op de volgende manieren met persoonsgegevens van EU-inwoners werkt, is de wet nog steeds van toepassing:

  • Biedt goederen of diensten aan aan mensen in de EU, gratis of tegen betaling.
  • Controleer het gedrag van mensen in de EU, bijvoorbeeld door online activiteiten via cookies te volgen of door profielen op te stellen.

Zo moet een onderwijsplatform dat gevestigd is in de VS} maar zich richt op studenten in België zich aan de AVG houden. En elk bedrijf buiten de EER dat als gegevensverwerker optreedt voor een bedrijf binnen de EER, moet zich hier ook aan houden.

Als een dienst slechts incidenteel toegankelijk is vanuit de EU, zonder zich specifiek op EU-gebruikers te richten of hun persoonsgegevens te verwerken, valt deze mogelijk buiten het toepassingsgebied van de AVG. Maar als een bedrijf geen duidelijke pogingen doet om EU-inwoners uit te sluiten, kunnen toezichthouders toch besluiten dat de AVG van toepassing is.

Daarnaast zijn er specifieke soorten gegevens die onder de verordening vallen, zoals gegevens die worden verzameld voor nationale veiligheid, ordehandhaving of puur voor persoonlijke, binnenlandse doeleinden.

Wat valt er onder de AVG onder persoonsgegevens?

Volgens de AVG zijn persoonsgegevens alle gegevens die betrekking hebben op een levende persoon die direct of indirect kan worden geïdentificeerd. Specifieke voorbeelden zijn:

  • Volledige namen
  • Adressen.
  • E-mailadressen met iemands naam
  • Nummer van je identiteitskaart of paspoort
  • IP-adressen
  • Cookie-ID’s
  • Reclame-ID’s op apparaten
  • Medische dossiers

De AVG maakt ook onderscheid tussen gepseudonimiseerde gegevens, die nog steeds aan iemand kunnen worden gekoppeld, en echt geanonimiseerde gegevens, wat niet kan. Alleen dat laatste valt buiten het toepassingsgebied van de verordening.

Daarnaast worden in de AVG speciale categorieën persoonsgegevens genoemd, zoals ras of etnische afkomst, religieuze overtuigingen, politieke opvattingen en biometrische gegevens. Het verwerken van dit soort informatie is verboden, behalve onder zeer specifieke omstandigheden, vanwege de grotere risico’s die hieraan verbonden zijn.

Wat is de wettelijke basis voor de verwerking van persoonsgegevens?

De AVG staat niet toe dat organisaties persoonsgegevens verwerken alleen maar omdat ze dat willen. Er moet een duidelijke, wettelijke reden zijn, en de verordening noemt zes mogelijkheden:

  • Toestemming: Als iemand duidelijk toestemming heeft gegeven om zijn of haar gegevens te gebruiken. Toestemming moet vrijwillig worden gegeven, specifiek zijn en gemakkelijk kunnen worden ingetrokken. Geen reactie of vooraf aangevinkte vakjes zijn niet toegestaan.
  • Contract: De verwerking is nodig om een overeenkomst met de betrokkene na te komen (bijvoorbeeld het verwerken van betalingsgegevens om een aankoop af te ronden).
  • Wettelijke verplichting: Soms verplicht de wet een organisatie om persoonsgegevens te verwerken, bijvoorbeeld wanneer ziekenhuizen medische dossiers moeten bijhouden.
  • Belangrijke zaken: Het verwerken van gegevens is nodig om iemands leven te redden, bijvoorbeeld bij een medisch noodgeval.
  • Openbare opdracht: Gegevensverwerking is nodig om een officiële taak of opdracht uit te voeren in het algemeen belang (vaak van toepassing op overheidsinstanties).
  • Gerechtvaardigde belangen: Hierdoor mogen organisaties gegevens verwerken als ze daar een geldige reden voor hebben die niet zwaarder weegt dan de rechten van de betrokkene, zoals het gebruik van gegevens om cyberbeveiligingssystemen in stand te houden.

De 7 belangrijkste principes van de AVG

De AVG is gebaseerd op zeven kernbeginselen die bepalen hoe er met persoonsgegevens moet worden omgegaan. Deze principes bepalen de normen voor eerlijkheid, veiligheid en verantwoordelijkheid bij het verwerken van gegevens.
Gdpr Nl 2

1. Rechtmatigheid, eerlijkheid en transparantie

Dit principe houdt in dat gegevens alleen mogen worden verzameld en gebruikt om geldige redenen die volgens de AVG zijn toegestaan, zoals toestemming van de betrokkene of omdat de gegevens nodig zijn om een dienst te verlenen. Het betekent ook dat je gegevens op een eerlijke manier gebruikt, zonder mensen te misleiden of hun gegevens te gebruiken op manieren die ze niet zouden verwachten. Tot slot is transparantie essentieel: organisaties moeten in eenvoudige bewoordingen uitleggen welke gegevens ze verzamelen, waarom, en hoe ze die willen gebruiken.

2. Begrenzing van het doel

Volgens de AVG mogen persoonsgegevens alleen voor een specifiek, duidelijk doel worden verzameld. Organisaties moeten mensen op het moment zelf uitleggen waarom hun gegevens worden verzameld. Als de gegevens eenmaal zijn verzameld, mogen ze niet worden gebruikt voor doeleinden die niet in overeenstemming zijn met dat oorspronkelijke doel.

3. Beperking van gegevensverwerking

De AVG schrijft voor dat organisaties alleen persoonsgegevens mogen verzamelen die nodig zijn voor een specifiek doel. Dit principe helpt om de hoeveelheid gegevens die over iemand worden bewaard te beperken, waardoor de risico’s worden verminderd als die gegevens ooit verloren gaan of misbruikt worden. Zo blijft het verzamelen van gegevens doelgericht en relevant.

4. Nauwkeurigheid

Persoonsgegevens moeten correct zijn. Als een organisatie gegevens over een persoon bewaart, moet ze ervoor zorgen dat die gegevens correct zijn en indien nodig worden bijgewerkt. Als er gegevens veranderen of als er fouten worden ontdekt, is de organisatie verantwoordelijk voor het corrigeren daarvan. Door gegevens accuraat te houden, voorkom je fouten die gevolgen kunnen hebben voor mensen, vooral als die informatie wordt gebruikt om beslissingen over hen te nemen.

5. Opslagbeperking

Organisaties zouden persoonsgegevens niet langer moeten bewaren dan nodig is. Zodra de gegevens hun doel hebben gediend, moeten ze worden verwijderd of geanonimiseerd. Dit principe zorgt ervoor dat gegevens niet zomaar ‘voor het geval dat’ worden bewaard zonder duidelijke reden. Het helpt ook om de risico’s te verminderen die gepaard gaan met het onnodig opslaan van informatie, zoals datalekken of privacy problemen.

6. Integriteit en vertrouwelijkheid

Het is essentieel om persoonsgegevens goed te beveiligen. Organisaties moeten ervoor zorgen dat deze gegevens niet kunnen worden ingezien, gestolen of gewijzigd door mensen die daar geen toegang toe mogen hebben. Dit betekent dat er goede beveiligingsmaatregelen moeten zijn als het gaat om technologie en gegevensverwerking.

7. Verantwoordelijkheid

Verantwoordingsplicht houdt in dat van organisaties niet alleen wordt verwacht dat ze zich aan de AVG-regels houden, maar dat ze dat ook moeten aantonen. Dit houdt in dat ze moeten aantonen dat ze de nodige maatregelen hebben genomen om persoonsgegevens te beschermen, zoals het bijhouden van een register van hoe ze die gegevens verwerken, het opleiden van personeel en het opstellen van een privacybeleid.

Rechten van gebruikers met betrekking tot hun gegevens volgens de AVG

Recht op informatie

Je hebt het recht om te weten wanneer een organisatie je persoonsgegevens verzamelt en waarom. Dit betekent dat bedrijven vanaf het begin duidelijk moeten zijn over welke gegevens ze verzamelen, hoe ze die willen gebruiken en met wie ze die eventueel delen.

De informatie moet duidelijk zijn, zodat je een weloverwogen beslissing kunt nemen of je je gegevens wel wilt delen.

Recht op inzage

Dit betekent dat je elke organisatie kunt vragen welke persoonsgegevens ze over je hebben. Je kunt een kopie van de gegevens opvragen, samen met informatie over hoe deze worden gebruikt en met wie ze worden gedeeld. Organisaties moeten deze informatie binnen een redelijke termijn verstrekken.

Dit recht is echter niet absoluut; het mag geen afbreuk doen aan de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen of intellectuele eigendom.

Recht op gegevenscorrectie

Als je persoonsgegevens die door een organisatie worden bewaard onjuist of onvolledig zijn, heb je het recht om te vragen dat deze worden gecorrigeerd. Of het nu gaat om een verkeerd gespelde naam, een verouderd adres of ontbrekende gegevens, de organisatie moet het oplossen.

Recht op verwijdering (recht om vergeten te worden)

Je kunt een organisatie vragen om je persoonsgegevens te verwijderen als er geen geldige reden meer is om ze te bewaren. Dit wordt vaak het 'recht om vergeten te worden' genoemd. Dit geldt wanneer de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, of wanneer de organisatie je gegevens onrechtmatig heeft verwerkt.

Dit recht is echter ook niet absoluut, want bedrijven mogen de gegevens bewaren als ze daartoe wettelijk verplicht zijn of als daar andere geldige redenen voor zijn.

Recht op beperking van de verwerking

Met dit recht kun je een organisatie vragen om het gebruik van je persoonsgegevens te beperken. Je kunt hierom vragen als je denkt dat de gegevens onjuist zijn, als ze onrechtmatig zijn verwerkt, of als de organisatie ze niet langer nodig heeft maar je wilt dat ze worden bewaard met het oog op een juridische claim. Zolang deze beperking geldt, mag de organisatie de gegevens wel opslaan, maar niet voor andere doeleinden gebruiken, tenzij je daarvoor toestemming geeft of er wettelijke gronden voor zijn.

Recht op gegevensoverdraagbaarheid

Dit recht geeft je het recht om een kopie van je persoonsgegevens te krijgen in een toegankelijk formaat. Je kunt ook vragen of de gegevens rechtstreeks naar een andere organisatie kunnen worden gestuurd, als dat technisch mogelijk is. Het idee is om je meer controle te geven over je gegevens, zodat je makkelijker van dienst kunt wisselen of je gegevens ergens anders naartoe kunt verplaatsen zonder helemaal opnieuw te moeten beginnen.

Recht van bezwaar

Je hebt het recht om bezwaar te maken tegen de manier waarop je persoonsgegevens worden gebruikt, vooral als dat voor direct marketingdoeleinden is. Als je bezwaar maakt, moet de organisatie stoppen met het gebruik van je gegevens, tenzij ze kunnen aantonen dat ze een gegronde, legitieme reden hebben om ze te blijven verwerken.

Rechten met betrekking tot geautomatiseerde besluitvorming

Je hebt ook het recht om bezwaar te maken tegen beslissingen die volledig via geautomatiseerde processen over jou zijn genomen, vooral als die beslissing grote gevolgen heeft, zoals of je een lening of een baan krijgt. De AVG geeft je het recht om in deze gevallen om menselijke tussenkomst te vragen; je kunt vragen of iemand de beslissing wil beoordelen in plaats van deze volledig aan algoritmen of geautomatiseerde systemen over te laten.

Wat is toestemming volgens de AVG en hoe wordt die verkregen?

Toestemming volgens de AVG moet aan strenge eisen voldoen om geldig te zijn. Om geldig te zijn, moet je toestemming:
Gdpr Nl 3 1

  • Vrijuit gegeven: Je moet een echte keuze hebben, zonder druk of negatieve gevolgen als je nee zegt.
  • Concreet en goed geïnformeerd: De organisatie moet je vertellen wie ze zijn, welke gegevens ze verzamelen, waarom ze die nodig hebben en hoe die gegevens worden gebruikt.
  • Duidelijk: Toestemming moet voortkomen uit een duidelijke, bevestigende handeling, zoals het aanvinken van een vakje of het ondertekenen van een formulier. Als je niets zegt of als de vakjes al aangevinkt zijn, telt dat niet mee.

Mensen hebben ook het recht om hun toestemming op elk moment in te trekken, en dat moet net zo gemakkelijk zijn als het geven ervan. Zodra je je toestemming hebt ingetrokken, moet het bedrijf stoppen met het gebruik van je gegevens voor dat doel.

Voor diensten die gericht zijn op gebruikers jonger dan 16 jaar is meestal toestemming van de ouders nodig, hoewel sommige EU-landen deze leeftijdsgrens hebben verlaagd naar 13 jaar.

Hoe bedrijven aan de AVG-vereisten kunnen voldoen

Er zijn bepaalde stappen die elke organisatie moet nemen om aan de AVG te blijven voldoen en de privacy te beschermen.

Registratie van verwerkingsactiviteiten (RoPA)

Artikel 30 van de AVG verplicht bedrijven om vast te leggen hoe ze met persoonsgegevens omgaan. Deze gegevens moeten de redenen voor de verwerking, de soorten verzamelde gegevens, met wie ze worden gedeeld, de bewaartermijnen en de getroffen beveiligingsmaatregelen bevatten.

Hoewel kleine bedrijven mogelijk zijn vrijgesteld als hun gegevensverwerking sporadisch plaatsvindt en weinig risico met zich meebrengt, is het bijhouden van deze gegevens essentieel om aan te tonen dat je aan de AVG voldoet als de autoriteiten daar om vragen.

Gegevenseffectbeoordelingen (GEB’s)

Als een bedrijf van plan is persoonsgegevens te verwerken op een manier die een groot risico kan vormen voor de rechten en vrijheden van mensen, moet het een GEB uitvoeren. Dit is verplicht bij zaken als het gebruik van nieuwe technologieën, grootschalige bewaking van openbare ruimtes of uitgebreide verwerking van bijzondere categorieën gegevens.

Het doel van een GEB is om mogelijke risico’s in kaart te brengen en te beperken voordat er met de gegevensverwerking wordt begonnen. Als er ondanks de genomen maatregelen nog steeds grote risico’s bestaan, moet het bedrijf eerst de Autoriteit Persoonsgegevens (AP) raadplegen – de nationale instantie in elk EU-land die verantwoordelijk is voor het toezicht op de naleving van de AVG – voordat het verdergaat.

Het aanstellen van een Functionaris voor de Gegevensbescherming (FG)

Sommige organisaties zijn verplicht om op grond van de AVG een functionaris voor gegevensbescherming aan te stellen. Deze persoon houdt toezicht op hoe er binnen het bedrijf met persoonsgegevens wordt omgegaan en zorgt ervoor dat de AVG-voorschriften worden nageleefd.
Gdpr Nl 4Je moet een functionaris voor gegevensbescherming aanstellen als:

  • Je houdt gebruikers regelmatig of systematisch op grote schaal in de gaten, bijvoorbeeld door hun online gedrag te volgen.
  • Je verwerkt op grote schaal bijzondere categorieën gegevens, zoals gezondheids-, genetische of biometrische gegevens.
  • Je bent een overheidsinstantie of -orgaan (met uitzondering van rechtbanken of onafhankelijke gerechtelijke instanties).

De functionaris voor gegevensbescherming kan een medewerker zijn of een externe deskundige die via een dienstverleningsovereenkomst wordt ingehuurd. Hoe dan ook, ze moeten zelfstandig werken, het personeel adviseren, toezicht houden op de maatregelen voor gegevensbescherming en fungeren als het belangrijkste aanspreekpunt voor de gegevensbeschermingsautoriteiten.

Waarborgen voor gegevensoverdracht

Bij de doorgifte van persoonsgegevens buiten de EU verplicht de AVG bedrijven ervoor te zorgen dat de gegevens hetzelfde beschermingsniveau genieten. Bedrijven moeten beveiligingsmaatregelen nemen om de gegevens te beschermen en aan de AVG-normen te voldoen.

Er zijn verschillende beproefde manieren om gegevensoverdracht te beveiligen:

  • Beslissingen over de toereikendheid: Gegevens mogen worden doorgegeven aan landen waarvan de EU heeft vastgesteld dat ze een passend niveau van gegevensbescherming bieden.
  • Contractuele waarborgen: Bedrijven kunnen specifieke bepalingen opnemen in contracten met ontvangers buiten de EU om de gegevensbescherming te waarborgen.
  • Afwijkingen: In sommige gevallen is het doorgeven van gegevens toegestaan als de betrokkene daar uitdrukkelijk toestemming voor heeft gegeven of als dit om contractuele redenen nodig is.

Beveiligingsmaatregelen en versleuteling volgens de AVG

Organisaties moeten ook strenge beveiligingsmaatregelen invoeren om persoonsgegevens te beschermen tegen ongeoorloofde toegang, wijziging of verlies. Hieronder vallen technische maatregelen, zoals versleuteling, en organisatorische maatregelen, zoals het beperken van de toegang tot alleen bevoegd personeel.

Versleuteling speelt een cruciale rol bij het beschermen van privacy en vrijheid in open samenlevingen, en het blijft een van de meest effectieve middelen tegen datalekken.

Melding van datalekken

Als een datalek de rechten of vrijheden van personen in gevaar brengt, moeten bedrijven dit binnen 72 uur melden bij de betreffende gegevensbeschermingsautoriteit. Als het risico groot is, moeten de betrokkenen ook op de hoogte worden gebracht.

Als een datalek niet binnen de vereiste termijn wordt gemeld, kan dat boetes tot gevolg hebben. Daarom is het belangrijk dat bedrijven duidelijke procedures hebben om datalekken efficiënt op te sporen, te beoordelen en erop te reageren.

Bewustwording en training van medewerkers

Naleving van de AVG hangt niet alleen af van het beleid, maar ook van hoe goed medewerkers dat beleid begrijpen en toepassen. Medewerkers hebben duidelijke richtlijnen en regelmatige training nodig om op verantwoorde wijze met persoonsgegevens om te gaan en de rechten van mensen te respecteren. Dit bewustzijn binnen de hele organisatie helpt inbreuken te voorkomen en ondersteunt de voortdurende inspanningen op het gebied van naleving.

Handhaving van de AVG en sancties bij overtredingen

Elk land in de EER heeft een gegevensbeschermingsautoriteit die toeziet op de naleving van de regels voor gegevensbescherming door organisaties. Deze instanties kunnen onderzoeken uitvoeren, documenten opvragen en zelfs controles uitvoeren om ervoor te zorgen dat bedrijven aan hun verplichtingen voldoen.

Als blijkt dat een bedrijf de AVG overtreedt, kunnen de boetes behoorlijk hoog oplopen. De ernstigste overtredingen kunnen leiden tot boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van het bedrijf. Naast geldboetes kunnen de autoriteiten ook corrigerende maatregelen opleggen, zoals het bedrijf opdragen om te stoppen met het verwerken van bepaalde gegevens of om zijn maatregelen voor gegevensbescherming te verbeteren.

Deze handhavingsbevoegdheden zorgen ervoor dat naleving van de AVG geen keuze is. Bedrijven die met persoonsgegevens werken, moeten hun verantwoordelijkheid serieus nemen, anders krijgen ze te maken met dure gevolgen.

Geldt de AVG in de VS?

De AVG is een EU-verordening, maar de reikwijdte ervan reikt verder dan de grenzen van Europa. Amerikaanse bedrijven kunnen onder de werkingssfeer vallen als ze persoonsgegevens van personen in de EU verwerken. Dit betekent dat bedrijven in de VS, zelfs als ze geen fysieke vestiging in Europa hebben, mogelijk toch aan de AVG moeten voldoen als hun activiteiten aan bepaalde criteria voldoen.

AVG compliance voor Amerikaanse bedrijven

Volgens artikel 3 van de AVG moeten Amerikaanse bedrijven zich aan de regels houden als ze een vestiging in de EU hebben of als ze goederen of diensten aanbieden aan personen in de EU, zelfs als de dienst gratis is. Het volgen van het online gedrag van EU-burgers, bijvoorbeeld via cookies, tracking of gerichte reclame, zorgt er ook voor dat een Amerikaans bedrijf onder de AVG valt.

Om hieraan te voldoen, moeten Amerikaanse bedrijven:

  • Controleer welke soorten persoonsgegevens ze verzamelen.
  • Zorg voor een duidelijke rechtsgrond voor de verwerking van elk type gegevens, zoals toestemming of een contractuele noodzaak.
  • Beoordeel alle gegevensoverdrachten van de EU naar de VS en zorg ervoor dat er passende waarborgen zijn, zoals modelcontractbepalingen (SCC’s).
  • Stel een AVG-vertegenwoordiger aan binnen de EU als ze daar geen fysieke vestiging hebben.
  • Vraag vooraf toestemming voor het verzamelen van gegevens op de website en voor het gebruik van cookies.
  • Pas het privacybeleid aan zodat het voldoet aan de AVG-verplichtingen en de rechten van betrokkenen.

AVG versus CCPA en CPRA

Terwijl de AVG duidelijke toestemming vereist voordat persoonsgegevens worden verwerkt, hanteren de California Consumer Privacy Act ( CCPA) en de wijziging daarvan, de California Privacy Rights Act ( CPRA), een andere aanpak door uit te gaan van een opt-out-model.

In Californië hebben bedrijven over het algemeen geen voorafgaande toestemming nodig om persoonsgegevens te verzamelen of te verwerken, behalve in specifieke gevallen zoals het verkopen of delen van gegevens, het verwerken van gegevens van minderjarigen of het verwerken van gevoelige informatie.

In plaats daarvan richten deze wetten zich op transparantie: bedrijven moeten gebruikers informeren over hoe ze met gegevens omgaan en eenvoudige manieren bieden om zich af te melden voor de verkoop of het delen van hun persoonsgegevens. Over het algemeen ligt de nadruk in Californië meer op controle en inzicht voor de gebruiker dan op voorafgaande toestemming.

Voor Amerikaanse bedrijven benadrukt dit een belangrijk verschil: De strenge toestemmingsvereisten van de AVG gelden niet in de VS, dus bedrijven die in beide regio’s actief zijn, moeten hun werkwijze hierop aanpassen.

Wat is de rol van cookies onder de AVG?

Volgens de AVG worden cookies waarmee een persoon kan worden geïdentificeerd of waarmee zijn of haar online gedrag kan worden gevolgd, beschouwd als persoonsgegevens. Hieronder vallen ook technieken die verder gaan dan traditionele cookies, zoals browser fingerprinting, waarmee gebruikers op basis van hun apparaat- en browserinstellingen op unieke wijze kunnen worden geïdentificeerd.
Gdpr Nl 5
Websites moeten gebruikers de mogelijkheid bieden om te kiezen welke soorten cookies ze accepteren; dit staat bekend als gedetailleerde toestemming. Voor strikt noodzakelijke cookies is echter geen toestemming nodig.

Hoewel de AVG bepaalt hoe toestemming moet worden verkregen, valt het gebruik van cookies in de EU ook onder de e-privacy verordening, die de AVG aanvult door specifiek online trackingtechnologieën zoals cookies te reguleren. Daarom tonen veel websites EU-bezoekers een cookiebanner, waarin ze worden gevraagd hun voorkeuren in te stellen voordat er niet-essentiële cookies worden geplaatst.

Als je tijdens het surfen zo min mogelijk gegevens wilt laten achterlaten, kan het gebruik van een virtueel privénetwerk (VPN) je helpen om anoniemer te surfen door je IP-adres te verbergen en je internetverkeer te versleutelen.

Veelvoorkomende misvattingen over de AVG

Hoewel de AVG al jaren van kracht is, bestaan er nog steeds veel misvattingen over wat de AVG nu eigenlijk voor bedrijven betekent. Laten we ze even op een rijtje zetten.

De AVG geldt alleen voor bedrijven in de EU

Er wordt vaak gedacht dat de AVG alleen gevolgen heeft voor bedrijven binnen de EU, maar de verordening heeft een veel groter bereik. Elk bedrijf dat buiten de EU is gevestigd, bijvoorbeeld in de VS , moet zich aan de regels houden als het goederen of diensten aanbiedt aan mensen in de EU of hun online gedrag volgt, bijvoorbeeld via trackingtechnologieën.

Er is altijd toestemming nodig

Een andere veel voorkomende misvatting is dat de AVG altijd toestemming vereist voor het verwerken van persoonsgegevens. In werkelijkheid is toestemming slechts één van de verschillende rechtsgrondslagen. Bedrijven kunnen zich ook beroepen op een contract, een wettelijke verplichting, een vitaal belang, een openbare taak of een gerechtvaardigd belang, op voorwaarde dat de rechten van personen worden gerespecteerd. Toestemming is essentieel als er geen andere rechtsgrond van toepassing is.

Bij de AVG draait het alleen maar om boetes

Veel mensen zien de AVG puur als een manier om hoge boetes op te leggen, maar het belangrijkste doel ervan is om het recht op privacy te versterken en verantwoord omgaan met gegevens te bevorderen. Hoewel de boetes behoorlijk hoog kunnen oplopen, gaat het er vooral om dat organisaties op een transparante en veilige manier met persoonsgegevens omgaan, met inachtneming van de rechten van mensen.

De AVG maakt een einde aan alle marketing

Er bestaat ook de misvatting dat de AVG marketing onmogelijk maakt. De verordening verbiedt marketing niet helemaal; ze stelt juist grenzen om ervoor te zorgen dat persoonsgegevens op een eerlijke manier worden gebruikt. Als er een passende rechtsgrond is, of dat nu toestemming of een gerechtvaardigd belang is, kunnen bedrijven hun marketingactiviteiten gericht op personen in de EU voortzetten, zolang de privacyrechten maar worden gerespecteerd.

Veelgestelde vragen over de AVG

Waar kan ik de volledige tekst van de AVG vinden?

De volledige tekst van de Algemene Verordening Gegevensbescherming (AVG) vind je op de EUR-Lex-website, waar alle officiële EU-wetgeving te vinden is. De authentieke en rechtsgeldige versie is gepubliceerd in het Publicatieblad van de Europese Unie en is ook te vinden via EUR-Lex.

Wat zijn de criteria om op grond van de AVG te verzoeken om verwijdering van je gegevens?

Je kunt vragen om verwijdering van je persoonsgegevens wanneer deze niet langer nodig zijn, wanneer je je toestemming intrekt of wanneer ze onrechtmatig zijn verwerkt. Het recht op verwijdering geldt ook als de gegevens zijn verzameld toen je nog minderjarig was.

Wat is een inzageverzoek?

Met een inzageverzoek kun je een organisatie vragen om te bevestigen of ze jouw persoonsgegevens hebben. Je kunt ook een kopie opvragen en vragen hoe deze wordt verwerkt.

Wat houdt beperking van gegevensverwerking in?

Beperking van gegevensverwerking houdt in dat alleen die persoonsgegevens worden verzameld die nodig zijn om een specifiek doel te bereiken. Organisaties mogen geen extra of niet-relevante informatie vragen, waardoor het risico op misbruik of inbreuken wordt verkleind.

Wie ziet toe op de naleving van de AVG?

Elke EU-lidstaat heeft een Autoriteit Persoonsgegevens (AP) die toeziet op de naleving van de Algemene Verordening Gegevensbescherming (AVG). Gegevensbeschermingsautoriteiten kunnen klachten onderzoeken, bedrijven controleren en boetes opleggen bij niet-naleving.

Zet de eerste stap om jezelf online te beschermen. Probeer ExpressVPN zonder risico.

Krijg ExpressVPN
Content Promo ExpressVPN for Teams
Jennifer Pelegrin

Jennifer Pelegrin

Jennifer Pelegrin is a writer at the ExpressVPN Blog, where she creates clear, engaging content on digital privacy, cybersecurity, and technology. With experience in UX writing, SEO, and technical content, she specializes in breaking down complex topics for a wider audience. Before joining ExpressVPN, she worked with global brands across different industries, bringing an international perspective to her writing. When she’s not working, she’s traveling, exploring new cultures, or spending time with her cat, who occasionally supervises her writing.

  • GERELATEERD BERICHT
  • MEER VAN DEZE SCHRIJVER
Geen netwerkverbinding: Hoe gebeurt het en hoe blijf je veilig
Geen netwerkverbinding: Hoe gebeurt het en hoe blijf je veilig
Ernest Sheptalo 13.05.2026 22 minuten
Essentiële reisgadgets om beschermd te blijven tijdens het WK voetbal 2026
Essentiële reisgadgets om beschermd te blijven tijdens het WK voetbal 2026
Alex Popa 12.05.2026 8 minuten
Laat je niet misleiden door kortingsbonfraudes tijdens Black Friday en Cyber Monday
Laat je niet misleiden door kortingsbonfraudes tijdens Black Friday en Cyber Monday
Kelvin Kiogora 12.05.2026 21 minuten
Wat doen als je je telefoon kwijt bent of wordt gestolen
Wat doen als je je telefoon kwijt bent of wordt gestolen
Ernest Sheptalo 11.05.2026 15 minuten
Heb je een VPN nodig tijdens het WK? Wanneer en waarom je er een gebruikt
Heb je een VPN nodig tijdens het WK? Wanneer en waarom je er een gebruikt
Elly Hancock 08.05.2026 12 minuten
2.4 GHz vs 5 GHz: welke wifi-frequentie past bij jou?
2.4 GHz vs 5 GHz: welke wifi-frequentie past bij jou?
Jennifer Pelegrin 01.12.2025 11 minuten
Beste veilige zoekmachines: vind de juiste voor jou
Beste veilige zoekmachines: vind de juiste voor jou
Jennifer Pelegrin 13.11.2025 18 minuten
Wat is incognitomodus en is het echt privé?
Wat is incognitomodus en is het echt privé?
Jennifer Pelegrin 03.11.2025 9 minuten
Schermtijd iPhone instellen (snel en eenvoudig stappenplan)
Schermtijd iPhone instellen (snel en eenvoudig stappenplan)
Jennifer Pelegrin 24.10.2025 10 minuten
Wat is doxing en hoe kun je online veilig blijven?
Wat is doxing en hoe kun je online veilig blijven?
Jennifer Pelegrin 23.10.2025 22 minuten
2 van de 5 mensen hebben last van abonnementsmoeheid: ben jij een van hen?
2 van de 5 mensen hebben last van abonnementsmoeheid: ben jij een van hen?
Jennifer Pelegrin 29.09.2025 14 minuten
Is Telegram gevaarlijk? Privacy, versleuteling en risico's.
Is Telegram gevaarlijk? Privacy, versleuteling en risico's.
Jennifer Pelegrin 28.08.2025 13 minuten

ExpressVPN ondersteunt met trots

Kies taal
Aan de slag