In één zin. Een bedrijf naleeft de AVG door twaalf kernverplichtingen aantoonbaar te documenteren, want de Autoriteit Persoonsgegevens beoordeelt niet alleen of u maatregelen treft, maar of u dit kunt bewijzen — accountability is de hoeksteen van artikel 5 lid 2 AVG.
Belangrijkste punten
- Twaalf verplichtingen vormen het minimum: rechtsgrond, register, FG, DPIA, verwerkersovereenkomsten, beveiliging, datalekprotocol, rechten betrokkenen, transparantie, doorgifte, bewaartermijnen, training.
- AP-boetes stijgen: Uber 290 M EUR (2024), NS 600 K EUR (2024), Booking 475 K EUR (2021).
- 67% van AP-onderzoeken komt voort uit klachten van betrokkenen of datalekmeldingen.
- Documentatieplicht is afdwingbaar onder UAVG art. 14: ontbrekend register = automatische overtreding.
- AP-handhavingsbeleid 2026: AI-systemen, datahandel, kindergegevens, biometrie.
1. Bepaal of de AVG van toepassing is
De AVG (EUR-Lex, CELEX 32016R0679) is van toepassing wanneer uw organisatie persoonsgegevens verwerkt in het kader van een vestiging in de EU (art. 3 lid 1) of wanneer u goederen of diensten aanbiedt aan betrokkenen in de EU (art. 3 lid 2). Voor buitenlandse bedrijven die de Nederlandse markt bedienen geldt de aanstelling van een EU-vertegenwoordiger (art. 27). Zie ook onze analyse over toepassing buiten de EU.
2. Inventariseer alle verwerkingen
Maak een volledig overzicht van verwerkingen: HR, klanten, leveranciers, marketing, beveiligingscamera’s, websiteanalytics, cookies. Per verwerking noteert u doel, rechtsgrond, categorieën gegevens, ontvangers, bewaartermijn en beveiligingsmaatregelen. Dit is de basis voor het register verwerkingsactiviteiten (art. 30).
3. Bepaal de rechtsgrond per verwerking
Artikel 6 AVG kent zes rechtsgronden: toestemming, uitvoering overeenkomst, wettelijke verplichting, vitaal belang, taak van algemeen belang, gerechtvaardigd belang. Bijzondere gegevens (art. 9: gezondheid, religie, vakbond) vereisen aanvullende grondslag. De AP toetst streng of de gekozen grondslag past — Uber werd beboet omdat doorgifte naar de VS geen geldige grondslag had na Schrems II.
4. Stel het register verwerkingsactiviteiten op
Verplicht voor organisaties vanaf 250 medewerkers, en voor kleinere organisaties bij structurele verwerking of bijzondere gegevens (art. 30 lid 5). In de praktijk vraagt de AP het register bij elk onderzoek. Inhoud: verwerkingsverantwoordelijke, doel, categorieën betrokkenen en gegevens, ontvangers, doorgifte buiten EU, bewaartermijn, beveiligingsmaatregelen.
5. Benoem een Functionaris Gegevensbescherming (FG)
Verplicht (art. 37) voor overheid, organisaties met grootschalige monitoring of grootschalige verwerking bijzondere gegevens — zie wanneer een FG verplicht is. De AP interpreteert “grootschalig” ruim — ziekenhuizen, verzekeraars, recruitmentbureaus boven enkele duizenden dossiers vallen er meestal onder. Aanmelding van de FG bij de AP is verplicht.
6. Voer DPIA’s uit bij hoog risico
Een Data Protection Impact Assessment (art. 35) is verplicht bij hoog risico voor betrokkenen. De Autoriteit Persoonsgegevens publiceerde een lijst met verplichte DPIA-categorieën: grootschalige monitoring openbare ruimte, biometrie, profilering met rechtsgevolgen, kindgegevens grootschalig. Niet uitvoeren = boete-categorie A (UAVG art. 18).
| Verplichting | AVG-artikel | UAVG | Boetecategorie |
|---|---|---|---|
| Register verwerkingen | art. 30 | art. 14 | tot 10 M EUR / 2% omzet |
| FG aanmelden | art. 37 | art. 39 | tot 10 M EUR / 2% omzet |
| Datalek 72u melden | art. 33 | art. 33 | tot 10 M EUR / 2% omzet |
| Rechten betrokkenen | art. 12-22 | art. 34 | tot 20 M EUR / 4% omzet |
| Doorgifte derde landen | art. 44-49 | — | tot 20 M EUR / 4% omzet |
7. Sluit verwerkersovereenkomsten
Met elke verwerker (cloudprovider, payroll, marketingbureau, IT-dienstverlener) sluit u een verwerkersovereenkomst conform art. 28. De AP controleert sinds 2023 actief of organisaties Standard Contractual Clauses gebruiken voor Amerikaanse leveranciers. Ontbreken = sanctie voor beide partijen.
8. Implementeer passende beveiliging
Artikel 32 vraagt om passende technische en organisatorische maatregelen. Concreet: encryptie van laptops en mobiele apparaten, two-factor authentication, toegangsbeheer op need-to-know basis, logging, periodieke penetratietests, back-up beleid, incident response procedure. NS kreeg 600 K EUR boete (2024) voor onvoldoende beveiliging reisgegevens.
9. Stel een datalekprotocol op
Sinds 2016 (Meldplicht datalekken Wbp, nu AVG art. 33) moet elk datalek binnen 72 uur aan de AP gemeld worden bij risico voor betrokkenen. Bij hoog risico ook melding aan betrokkenen (art. 34). Houd een intern datalekregister bij — ook van niet-meldingsplichtige incidenten. AP ontving 25.000+ meldingen in 2024.
10. Faciliteer rechten van betrokkenen
Reageer binnen één maand op verzoeken: inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar (art. 15-22). Onderbouw weigeringen schriftelijk. Booking.com (475 K EUR boete 2021) en VoetbalTV (575 K EUR) tonen aan dat de AP rechten serieus toetst.
11. Zorg voor transparante informatieverstrekking
Privacyverklaring conform art. 13-14 op website, in arbeidscontracten, op formulieren. Inhoud: identiteit verwerkingsverantwoordelijke, doel, rechtsgrond, ontvangers, bewaartermijn, rechten, klachtrecht bij AP. Layered notices (kort + uitgebreid) zijn toegestaan en aanbevolen.
12. Train personeel en evalueer jaarlijks
Verplichte awareness-training voor medewerkers die persoonsgegevens verwerken. Jaarlijkse audit, update register, herziening DPIA’s bij nieuwe verwerkingen. Documenteer alles — accountability (art. 5 lid 2) is een zelfstandige verplichting waar de AP op toetst.
13. AP-handhavingscases als waarschuwing
| Verantwoordelijke | Jaar | Bedrag | Inbreuk |
|---|---|---|---|
| Uber | 2024 | 290 M EUR | Doorgifte VS |
| NS | 2024 | 600 K EUR | Beveiliging reisgegevens |
| OLVG | 2025 | 440 K EUR | Onbevoegde toegang dossiers |
| BKR | 2020 | 830 K EUR | Inzage-drempels |
| Bouwinvest | 2025 | 525 K EUR | Inzage-drempels huurders |
| UWV | 2020 | 900 K EUR | Beveiliging werkgeversportaal |
| Booking.com | 2021 | 475 K EUR | Datalek te laat gemeld |
| Marktplaats | 2025 | 380 K EUR | Datalek + scraping |
| Belastingdienst | 2021 | 2,75 M EUR | Discriminerende profiling |
Patroon: AP straft systemische tekortkomingen bij grote organisaties. Voor MKB volgt vaak eerst een waarschuwing — recidive verhoogt direct; zie de aparte gids AVG voor MKB en het overzicht van boetecategorieën. Zie AP boetes 2025.
14. Veelvoorkomende fouten
- Register-Excel “ooit gemaakt” maar nooit ge-update.
- Verwerkersovereenkomsten getekend zonder controle subverwerkers.
- DPIA als checklist-formaliteit, geen echte risico-analyse.
- Privacyverklaring kopie-paste van concurrent.
- Geen training nieuwe medewerkers.
- Doorgifte VS-cloud zonder TIA of DPF-verificatie.
- Datalekken intern gehouden uit reputatievrees.
- Bewaartermijnen alleen op papier, niet geautomatiseerd.
Zie ook AVG Art. 5 beginselen voor de zes verwerkingsprincipes en AVG Art. 32 beveiliging voor de TOM-eisen.
FAQ
Wat is de hoogste AVG-boete in Nederland?
Uber kreeg in 2024 een boete van 290 miljoen EUR voor onrechtmatige doorgifte van chauffeursgegevens naar de Verenigde Staten. Daarvoor stond Booking.com (475 K EUR, 2021) hoog op de lijst.
Moet elk bedrijf een FG hebben?
Nee. Verplicht voor overheid, organisaties met grootschalige monitoring of grootschalige verwerking bijzondere gegevens (art. 37). Vrijwillige FG mag, maar valt dan onder dezelfde regels.
Wanneer is een DPIA verplicht?
Bij hoog risico voor betrokkenen (art. 35). AP-lijst bevat onder andere biometrie, profilering, grootschalige monitoring en kindergegevens. Bij twijfel: DPIA uitvoeren.
Hoeveel datalekken moet ik melden?
Alle datalekken met risico voor betrokkenen, binnen 72 uur na ontdekking. Bij hoog risico ook melden aan betrokkenen. Niet-meldingsplichtige incidenten registreren in intern logboek.
Wat kost AVG-compliance voor een MKB-bedrijf?
Een initieel compliancetraject voor een MKB van 20-100 medewerkers kost doorgaans 15.000-40.000 EUR (audit, register, DPIA, verwerkersovereenkomsten, beleid). Jaarlijks onderhoud 5.000-15.000 EUR.
Hoe wordt accountability getoetst?
AP vraagt bij elk onderzoek standaard binnen 4 weken op (art. 5:16 Awb): register verwerkingen, DPIA’s, verwerkersovereenkomsten, datalekregister, training records, beleidsstukken. Late aanlevering of onvolledige set is verzwarende factor en op zichzelf een overtreding van art. 5 lid 2. HvJ EU Deutsche Wohnen (2023) bevestigt dat de rechtspersoon zelf aansprakelijk is, niet alleen individuele medewerkers.
Welke handhavingsprioriteiten heeft AP 2026?
AI-systemen (samenhang EU AI Act), datahandel en datamakelaars, kindergegevens online, biometrische surveillance, werkgever-werknemer monitoring, cyberveiligheid kritieke sectoren (NIS2-raakvlak). Sector-specifiek: platforms, zorg, financieel, overheid. Voor bedrijven in deze sectoren: extra investering in DPIA-kwaliteit en transparantie.
Wat is de samenloop met NIS2?
NIS2 (Cyberbeveiligingswet 2025) verplicht essentiële en belangrijke entiteiten tot beveiligingsmaatregelen, incidentmelding aan NCSC binnen 24 uur en ketenbeveiliging. Voor entiteiten onder beide regimes: cumulatieve naleving, gecoördineerde sanctie tussen AP en NIS2-toezichthouder. AVG art. 32 dekt grotendeels NIS2-basisvereisten. Zie Datalekken melden voor AP-meldroute.
Zie ook: AVG voor verenigingen en stichtingen, de Uitvoeringswet AVG (UAVG) en AVG-audittools.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial