In één zin. AVG artikel 5 codificeert de zes inhoudelijke beginselen van gegevensverwerking plus de zelfstandige verantwoordingsplicht (accountability) — schending wordt door de AP bestraft in de hoogste boetecategorie (tot 20 M EUR of 4% wereldwijde omzet).
Belangrijkste punten
- Zes inhoudelijke beginselen: rechtmatigheid, doelbinding, minimalisatie, juistheid, opslagbeperking, integriteit/vertrouwelijkheid.
- Zevende lid: accountability — aantoonbaar naleven.
- Boetecategorie hoogste niveau (art. 83 lid 5).
- AP toetst beginselen in elk groot onderzoek (Uber, NS, Belastingdienst).
- UAVG geen aanvullende eisen — directe werking AVG.
1. Rechtmatigheid, behoorlijkheid en transparantie
Verwerking moet een geldige rechtsgrond hebben — een van de zes rechtsgronden van artikel 6 of art. 9 — behoorlijk zijn (geen misleiding) en transparant (betrokkene weet wat er gebeurt). Uber-zaak 2024: onrechtmatigheid door ontbreken doorgiftegrondslag. Belastingdienst toeslagenaffaire: onbehoorlijke verwerking door discriminerende selectie.
2. Doelbinding (doelbeperking)
Persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Hergebruik voor onverenigbare doelen is verboden zonder nieuwe grondslag. Verenigbaarheidstoets (art. 6 lid 4): verband oorspronkelijk doel, context, aard gegevens, gevolgen, waarborgen. Marketing op basis van bestelhistorie is doorgaans verenigbaar; doorverkoop aan datamakelaars niet.
3. Minimale gegevensverwerking
Toereikend, ter zake dienend en beperkt tot wat noodzakelijk is. AP-boete OLVG (2025) deels gestoeld op niet-noodzakelijke toegang van te veel medewerkers tot patientendossiers. Praktijk: standaard need-to-know toegang, geen overbodige velden in formulieren, geen “voor de zekerheid” gegevens opslaan.
4. Juistheid
Persoonsgegevens moeten correct en zo nodig bijgewerkt zijn. Betrokkene heeft recht op rectificatie (art. 16). Bijzondere relevantie bij credit scoring (BKR), profilering (banken), HR-systemen. BKR-boete 2020 omvatte ook juistheidstekortkomingen — onmogelijk voor consument om foutieve registratie efficiënt te corrigeren.
5. Opslagbeperking (bewaartermijnen)
Persoonsgegevens worden niet langer bewaard dan noodzakelijk. Verplichte bewaartermijnen wet (fiscaal 7 jaar, arbeidsovereenkomst 2-7 jaar, medische dossiers 20 jaar Wgbo) bieden grondslag. Geen geldige reden = wissen of anonimiseren. Houd een bewaartermijnenmatrix bij — onderdeel van het register verwerkingsactiviteiten.
| Categorie | Wettelijke termijn | Bron |
|---|---|---|
| Fiscale gegevens | 7 jaar | AWR art. 52 |
| Loon- en personeelsadm. | 7 jaar | AWR |
| Sollicitatie (afgewezen) | 4 weken | AP-richtlijn |
| Medisch dossier | 20 jaar | Wgbo art. 7:454 |
| Camerabeelden | 4 weken | AP-richtlijn |
| Klantgegevens (overeenkomst) | overeenkomst + 5 jaar | BW art. 3:307 |
6. Integriteit en vertrouwelijkheid (beveiliging)
Passende technische en organisatorische maatregelen tegen onbevoegde toegang, verlies en vernietiging. Verbinding met art. 32 (concrete beveiligingsplicht). NS-boete 600 K EUR (2024) en OLVG 440 K EUR (2025) tonen aan dat AP dit principe operationeel toetst — niet alleen papier maar werkende controls.
7. Accountability (art. 5 lid 2)
De verantwoordelijke moet kunnen aantonen dat de zes principes worden nageleefd. Documentatie: register verwerkingen, DPIA’s, beleidsstukken, training records, audit logs, datalekregister, contracten met verwerkers. AP vraagt deze documenten standaard op bij elk onderzoek. Ontbreken = zelfstandige overtreding.
8. Sancties en boetecategorie
Schending art. 5 valt onder art. 83 lid 5 AVG: tot 20 M EUR of 4% wereldwijde jaaromzet (hoogste van beide). De AP-boetebeleidsregels plaatsen art. 5-schending in categorie III (basisboete 525 K EUR) of IV (750 K EUR). Recidive of grootschaligheid verhoogt verder.
9. Verhouding tot andere AVG-artikelen
Artikel 5 is het kader; andere artikelen zijn invulling. Art. 6 (rechtsgrond) operationaliseert beginsel 1. Art. 13-14 (informatieplicht) operationaliseert transparantie. Art. 32 invult beveiliging. Art. 25 (privacy by design) bevordert minimalisatie. AP cumuleert vaak overtreding art. 5 met overtreding specifieke artikelen.
10. Rechtspraak: Schrems II en art. 5
HvJ EU Schrems II (juli 2020) bevestigde dat doorgifte naar landen zonder adequaat beschermingsniveau de rechtmatigheid uit art. 5 lid 1 onder a doorbreekt. Hierop baseerde de AP de Uber-boete 290 M EUR (2024). Praktijkles: doorgifte VS vereist Transfer Impact Assessment plus aanvullende maatregelen — zie de gids over internationale doorgifte naar derde landen.
11. Implementatie: praktisch stappenplan
- Maak per verwerking één pagina: doel, grondslag, gegevens, ontvangers, bewaartermijn, beveiliging.
- Toets aan zes beginselen — schrijf per beginsel uit hoe u eraan voldoet.
- Documenteer afwegingen (gerechtvaardigd belang, doelbinding, bewaartermijn).
- Implementeer technische controls (encryptie, RBAC, logging, automatische wissing).
- Train medewerkers jaarlijks op beginselen.
- Audit periodiek met externe auditor of FG.
Een uitgewerkte versie van dit stappenplan vindt u in de AVG-checklist voor bedrijven.
12. Veel gemaakte fouten
- “Voor de zekerheid” extra gegevens vragen (schending minimalisatie).
- Hergebruik HR-data voor marketing (doelbinding).
- Eeuwige bewaring “voor het geval dat” (opslagbeperking).
- Onleesbare privacy notices (transparantie).
- Toegang voor hele afdeling in plaats van rolgebaseerd (integriteit).
- Geen documentatie van afwegingen (accountability).
“Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.” (art. 5 lid 1 sub a AVG)
13. EDPB-guidelines en CJEU-rechtspraak
EDPB Guidelines 5/2020 (toestemming) en 3/2018 (territoriale toepassing) leggen art. 5 verder uit. CJEU SCHUFA (C-634/21, december 2023): geautomatiseerde scoring valt onder art. 22 én art. 5 lid 1 (rechtmatigheid + transparantie). HvJ EU C-184/20 (Vyriausioji, 2022): publicatie belangenverstrengelingen op overheidssite schendt minimalisatie en doelbinding. Voor Nederland: Hoge Raad oordeelde in 2023 dat zorgverleners ondanks Wgbo aan accountability moeten voldoen via gestructureerd dossier-management.
14. Compliance-checklist per beginsel
| Beginsel | Toets | Bewijsstuk |
|---|---|---|
| Rechtmatigheid | Grondslag art. 6/9 vastgesteld? | Register, DPIA |
| Behoorlijkheid | Geen misleiding/discriminatie? | Algoritme-audit |
| Transparantie | Privacyverklaring in B1-taal? | Notice + screenshot |
| Doelbinding | Doel concreet omschreven? | Register, intern beleid |
| Minimalisatie | Alleen noodzakelijke velden? | Formulier-review |
| Juistheid | Update- en rectificatieproces? | SLA, ticketsysteem |
| Opslagbeperking | Bewaartermijnen geautomatiseerd? | Retention-matrix |
| Integriteit | Encryptie + RBAC + logging? | Pentest, audit |
| Accountability | Documentatie centraal? | DMS, register |
Zie ook AVG Art. 32 beveiliging voor het beveiligingsbeginsel en AP boetes 2025 voor hoe deze beginselen in de handhavingspraktijk uitwerken.
15. Officiële bronnen en richtsnoeren
De brontekst van artikel 5 AVG is rechtstreeks te raadplegen via EUR-Lex; de Autoriteit Persoonsgegevens publiceert per beginsel praktische uitleg en normuitleg voor de Nederlandse handhavingspraktijk. Voor de Europese lijn zijn de richtsnoeren van de European Data Protection Board leidend — met name over transparantie (Guidelines 4/2020) en toestemming (Guidelines 5/2020). Leg bij elke verwerking vast op welke bron u zich baseert; die vindplaats is onderdeel van uw accountability-dossier en bespaart tijd wanneer de AP om onderbouwing vraagt. In de praktijk is dit het verschil tussen een register dat een norm alleen benoemt en een register dat de norm ook juridisch verankert.
FAQ
Hoeveel beginselen kent AVG artikel 5?
Zes inhoudelijke beginselen plus de verantwoordingsplicht (accountability) in lid 2. De zes: rechtmatigheid/behoorlijkheid/transparantie, doelbinding, minimalisatie, juistheid, opslagbeperking, integriteit/vertrouwelijkheid.
Wat is het verschil tussen artikel 5 en artikel 6 AVG?
Artikel 5 bevat de algemene beginselen. Artikel 6 specificeert de zes rechtsgronden waarop verwerking rechtmatig kan zijn. Art. 5 zegt “verwerking moet rechtmatig zijn”, art. 6 zegt “rechtmatig betekent een van zes grondslagen”.
Is accountability een echte verplichting?
Ja, art. 5 lid 2 is een zelfstandige norm. De AP heeft meerdere boetes opgelegd uitsluitend wegens gebrek aan documentatie (geen register, geen DPIA, geen verwerkersovereenkomsten) ondanks dat de onderliggende verwerking grotendeels in orde was.
Hoe lang mag ik klantgegevens bewaren?
Geen wettelijke vaste termijn. Algemeen: gedurende de overeenkomst plus 5 jaar (verjaringstermijn BW art. 3:307) voor mogelijke claims. Fiscaal relevante facturen 7 jaar (AWR). Daarna anonimiseren of wissen.
Wat is een Transfer Impact Assessment?
Een verplichte beoordeling sinds Schrems II voor doorgiftes naar landen zonder adequaatheidsbesluit. Inhoud: analyse van het rechtsstelsel, risico’s voor betrokkenen, aanvullende maatregelen (encryptie, pseudonimisering, contractuele clausules). De Uber-boete van 290 M EUR (2024) toont dat het ontbreken van een TIA tot maximale sancties leidt.
Hoe bewijs ik accountability bij een AP-onderzoek?
Centraal documentbeheer: register verwerkingen (art. 30), DPIA’s (art. 35), verwerkersovereenkomsten (art. 28), beleidsstukken, training records, audit logs, datalekregister (art. 33 lid 5), gerechtvaardigd-belang-balansen. AP vraagt deze structureel op binnen 4 weken (art. 5:16 Awb). Ontbreken of late aanlevering wordt als zelfstandige overtreding gezien en is verzwarende factor.
Geldt artikel 5 ook voor verwerkers?
Verwerker is zelf gebonden aan beveiliging (art. 32) en aan accountability voor zijn handelen. De zes inhoudelijke beginselen rusten primair op de verantwoordelijke, maar de verwerker mag niet meewerken aan onrechtmatige verwerking. KPN-boete 2025 (215 K EUR) toont dat verwerkers via art. 28 én art. 5 indirect worden aangesproken.
Zie ook: het recht op rectificatie, doelbinding en dataminimalisatie.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial