Kantyra Kantyra

← Alle artikelen

Algemeen

Wat vraagt de AVG van jouw organisatie?

Alain Rees · 12-07-2026 · 11 min leestijd

De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR, is de Europese wet die bepaalt hoe organisaties met persoonsgegevens mogen omgaan. De AVG draait om een aantal grondbeginselen en om een verantwoordingsplicht, wat betekent dat je niet alleen zorgvuldig moet handelen, maar het ook moet kunnen aantonen. In dit artikel lees je wat de AVG inhoudt, welke grondbeginselen en grondslagen er gelden, welke rechten mensen hebben en hoe je aantoonbaar voldoet zonder in een wildgroei aan losse documenten te belanden.

In het kort

  • De AVG geldt zodra je persoonsgegevens verwerkt, dus zodra je gegevens over herkenbare mensen vastlegt of gebruikt.
  • Je mag persoonsgegevens alleen verwerken als je daarvoor een geldige grondslag hebt.
  • Mensen hebben rechten over hun gegevens, zoals inzage, correctie en verwijdering.
  • De verantwoordingsplicht betekent dat je je naleving aantoonbaar moet maken, en daarvoor begin je met een verwerkingsregister.
  • Bij een datalek met risico moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
  • De naleving valt samen met de vier fasen van het Kantyra-model: signaleren, beoordelen, oplossen en aantonen.

Wat is de AVG?

De AVG (Verordening (EU) 2016/679) is Europese wetgeving die de bescherming van persoonsgegevens in de hele Europese Unie regelt. Een persoonsgegeven is elk gegeven over een herkenbaar persoon, van een naam of e-mailadres tot een locatie of een klantnummer. Verwerken is elke handeling met die gegevens, dus ook verzamelen, bewaren, raadplegen of verwijderen.

De AVG is meer dan een bureaucratische formaliteit: zij rust op een duidelijke gedachte. Persoonsgegevens zijn van de mensen zelf, en een organisatie die ze gebruikt, doet dat onder voorwaarden en legt daarover verantwoording af. Die verantwoordingsplicht is het hart van de wet.

Een verordening en geen richtlijn

Net als de AI-verordening is de AVG een verordening, en die is rechtstreeks van toepassing in alle lidstaten. Er is dus geen aparte Nederlandse privacywet waar je in plaats daarvan aan voldoet. Dat is een verschil met de NIS2-richtlijn, die eerst in nationale wetgeving moest worden omgezet, in Nederland de Cyberbeveiligingswet, de Cbw.

Nederland heeft wel een aanvullende wet, de Uitvoeringswet AVG, maar die vult de verordening op enkele punten aan en vervangt haar niet. De AVG blijft leidend. Het toezicht ligt bij de Autoriteit Persoonsgegevens, die bij overtredingen boetes kan opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Voor wie geldt de AVG?

De AVG maakt onderscheid tussen twee rollen, en je verplichtingen hangen af van welke rol je hebt.

De verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt. Dat is meestal jouw organisatie zelf, bijvoorbeeld als je klant- of personeelsgegevens vastlegt. De verwerkingsverantwoordelijke draagt de meeste verplichtingen.

De verwerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke, zonder zelf het doel te bepalen. Een leverancier die namens jou gegevens host of verwerkt, is een verwerker. Met zo'n partij leg je de afspraken vast in een verwerkersovereenkomst.

Belangrijk is dat de AVG ook geldt voor organisaties buiten de Europese Unie, zodra ze gegevens verwerken van mensen die zich in de Unie bevinden. De reikwijdte is dus breder dan alleen Europese organisaties.

De grondbeginselen van de AVG

De AVG kent zes grondbeginselen die bij elke verwerking gelden, plus de overkoepelende verantwoordingsplicht. Deze beginselen zijn de meetlat waarlangs een toezichthouder je verwerking legt.

  • Rechtmatigheid, behoorlijkheid en transparantie betekenen dat je gegevens eerlijk verwerkt en open bent over wat je doet.
  • Doelbinding betekent dat je gegevens alleen verzamelt voor vooraf bepaalde, welomschreven doelen.
  • Minimale gegevensverwerking betekent dat je niet meer gegevens verwerkt dan voor dat doel nodig is.
  • Juistheid betekent dat je de gegevens correct en actueel houdt.
  • Opslagbeperking betekent dat je gegevens niet langer bewaart dan nodig.
  • Integriteit en vertrouwelijkheid betekenen dat je de gegevens passend beveiligt.

De verantwoordingsplicht bindt dit alles samen. Je moet niet alleen aan de beginselen voldoen, maar ook kunnen laten zien dat je dat doet.

Wanneer mag je persoonsgegevens verwerken?

Je mag persoonsgegevens alleen verwerken als je daarvoor een geldige grondslag hebt. De AVG kent er zes, en je kiest er per verwerking één:

  • toestemming van de betrokkene, die vrij, specifiek en ondubbelzinnig moet zijn;
  • de uitvoering van een overeenkomst met de betrokkene;
  • het voldoen aan een wettelijke verplichting;
  • de bescherming van een vitaal belang, bijvoorbeeld iemands leven;
  • de vervulling van een taak van algemeen belang of openbaar gezag;
  • een gerechtvaardigd belang, mits dat zwaarder weegt dan de belangen van de betrokkene.

Voor bijzondere persoonsgegevens, zoals gegevens over gezondheid, geloof of politieke opvatting, gelden strengere regels. Die mag je in beginsel niet verwerken, tenzij een specifieke uitzondering van toepassing is.

De rechten van betrokkenen

De AVG geeft mensen een reeks rechten over hun eigen gegevens. Je moet die rechten kunnen honoreren, meestal binnen een maand. De belangrijkste zijn:

  • het recht op inzage in de gegevens die je verwerkt;
  • het recht op rectificatie van onjuiste gegevens;
  • het recht op verwijdering, ook wel het recht om vergeten te worden;
  • het recht op beperking van de verwerking;
  • het recht op overdraagbaarheid van de gegevens;
  • het recht van bezwaar tegen een verwerking;
  • het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen.

Dat laatste recht raakt aan de AI-verordening, want geautomatiseerde besluiten worden steeds vaker door AI-systemen genomen. De twee wetten grijpen op dat punt in elkaar.

Je belangrijkste verplichtingen

Naast de beginselen en de grondslagen legt de AVG een aantal concrete verplichtingen op. De belangrijkste zijn de volgende:

  • Je houdt een verwerkingsregister bij, oftewel een overzicht van alle verwerkingen van persoonsgegevens.
  • Je sluit een verwerkersovereenkomst met elke partij die namens jou gegevens verwerkt.
  • Je voert een gegevensbeschermingseffectbeoordeling (DPIA) uit bij verwerkingen met een hoog risico.
  • Je past gegevensbescherming door ontwerp en door standaardinstellingen toe, zodat privacy vanaf het begin is ingebouwd.
  • Je beveiligt de gegevens met passende technische en organisatorische maatregelen.
  • Je stelt een functionaris voor gegevensbescherming aan wanneer dat verplicht is.

Veel van deze verplichtingen lopen parallel aan wat je vanuit informatiebeveiliging al doet. De beveiligingseis uit de AVG sluit bijvoorbeeld direct aan op de maatregelen uit je informatiebeveiliging. Dat is precies het aanknopingspunt om privacy niet als een losstaand traject te behandelen.

Wat doe je bij een datalek?

Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens verloren gaan of in verkeerde handen komen. Denk aan een gestolen laptop, een verkeerd verstuurde e-mail of een geslaagde aanval.

Levert een datalek een risico op voor de betrokkenen, dan moet je het binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Is het risico hoog, dan moet je ook de betrokkenen zelf informeren. Elk datalek leg je bovendien vast in een intern overzicht, ongeacht of je het meldt. Dat overzicht is meteen je bewijs dat je datalekken serieus en gestructureerd afhandelt.

In Kantyra loopt een datalek via het incidentenregister: je markeert een incident als datalek, legt vast of het bij de Autoriteit Persoonsgegevens is gemeld, en onderbouwt in het afwegingsveld ook het besluit om níét te melden. Het interne datalekoverzicht dat de AVG vraagt, is daarmee een filter op het register dat je toch al bijhoudt, en de datalekken tellen mee in het dashboard en de incidenttrend van de managementrapportage.

Van losse verplichtingen naar samenhangend beheer

Hier zit de stap die veel organisaties overslaan. Je kunt de AVG niet naleven als je geen overzicht hebt van je verwerkingen. De basis van alles is daarom het verwerkingsregister, oftewel een actueel overzicht van elke verwerking, met het doel, de grondslag, de categorieën gegevens, de bewaartermijn en de betrokken partijen.

In Kantyra is dat register de kern van de privacymodule. Per verwerking leg je het doel, de grondslag (een van de zes uit de AVG), de categorieën betrokkenen en gegevens, de ontvangers en verwerkers, de bewaartermijn en de beveiligingsmaatregelen vast, en markeer je of er doorgifte buiten de EER plaatsvindt en of een DPIA vereist is. Elke verwerking heeft een eigenaar en een herzieningsdatum: nadert die datum, dan krijgt de eigenaar automatisch een taak, zodat het register aantoonbaar actueel blijft, precies wat artikel 30 vraagt. Die laatste markering werkt: een verwerking waarvoor een DPIA vereist is maar ontbreekt, kleurt rood in het register totdat de DPIA er is.

Vanuit dat register lopen de lijnen naar je andere verplichtingen. De DPIA zelf voer je uit als assessment, met een vast sjabloon langs artikel 35 (beschrijving, noodzaak en evenredigheid, risico's voor betrokkenen, maatregelen en het advies van de functionaris gegevensbescherming), een reviewronde volgens het vier-ogenprincipe en een PDF-export. De verwerkersovereenkomsten leg je vast in het leveranciersregister: per leverancier markeer je of hij persoonsgegevens verwerkt en of de verwerkersovereenkomst is getekend, met bewaking van de contractdatum en de periodieke beoordeling. En het AVG-kader zit als normenkader in het compliance-register, net als ISO 27701 (de privacy-uitbreiding op ISO 27001), zodat je per eis de status, de eigenaar en het bewijs bijhoudt.

Die administratie sluit direct aan op je informatiebeveiliging en risicomanagement (ISMS). De beveiligingsmaatregelen die de AVG vraagt, beheer je net zo als je andere maatregelen, in lijn met ISO 27001. Privacy en beveiliging vormen zo twee kanten van dezelfde beheersing.

Waar zit de AVG in het Kantyra-model?

Net als bij risicomanagement, compliance-management en de AI-verordening valt de naleving van de AVG niet in één fase van het Kantyra-model te vangen: het is de cyclus van het model, toegepast op persoonsgegevens.

Het begint bij signaleren: weten welke gegevens je verwerkt, nieuwe verwerkingen en wijzigingen opmerken, en datalekken registreren. Daarna volgt beoordelen: per verwerking de grondslag bepalen, en bij een hoog risico een DPIA uitvoeren. In de fase oplossen tref je de passende maatregelen: beveiliging, verwerkersovereenkomsten en gegevensbescherming door ontwerp. En de fase aantonen heeft bij de AVG een eigen naam en een wettelijke status: de verantwoordingsplicht. Het verwerkingsregister, het datalekoverzicht en het AVG-kader met bewijs vormen samen die verantwoording.

De naleving van de AVG naast de vier fasen van het Kantyra-model: verwerkingen in beeld brengen hoort bij signaleren, de grondslag en de DPIA bij beoordelen, de passende maatregelen bij oplossen, en de verantwoordingsplicht bij aantonen

Dat maakt de AVG binnen de reeks bijzonder: waar andere kaders het aantonen impliciet veronderstellen, heeft de AVG er een grondbeginsel van gemaakt. Wie het model volgt, hoeft de verantwoordingsplicht dus niet apart te organiseren: zij ontstaat vanzelf uit de cyclus.

Werk je met losse documenten of met een GRC-platform?

Je kunt je verwerkingsregister en de bijbehorende overzichten in losse bestanden bijhouden, en als start is dat verdedigbaar. Maar naarmate het aantal verwerkingen groeit en de toezichthouder om aantoonbaarheid vraagt, loop je tegen dezelfde grenzen aan als bij elk ander nalevingstraject. Losse bestanden raken uit de pas, en je mist het overzicht en de historie die je nodig hebt.

In een GRC-platform beheer je het verwerkingsregister, de afspraken met verwerkers, de DPIA's en de datalekken als gekoppelde overzichten binnen één omgeving, en de koppeling met je informatiebeveiliging voorkomt dat je hetzelfde werk twee keer doet.

Met Kantyra beheer je de AVG in dezelfde omgeving als je ISMS. Of je privacy nu als losse verplichting ziet of als onderdeel van je bredere beheersing, je verwerkingen, je risico's en je maatregelen komen samen op één plek, in lijn met ISO 27001 en ISO 27701. Zo maak je je privacybeheer net zo aantoonbaar als je informatiebeveiliging.

In vijf stappen aan de slag met de AVG

  1. Breng je verwerkingen in kaart. Maak een verwerkingsregister van alle plekken waar je persoonsgegevens gebruikt.
  2. Bepaal per verwerking de grondslag. Leg vast waarom je de gegevens mag verwerken en met welk doel.
  3. Regel de afspraken met derden. Sluit een verwerkersovereenkomst met elke partij die namens jou gegevens verwerkt.
  4. Beoordeel de risico's. Voer een DPIA uit bij verwerkingen met een hoog risico en tref passende beveiliging.
  5. Beheer alles in samenhang. Koppel je verwerkingsregister aan je risicomanagement en je ISMS, en houd het actueel.

Veelgestelde vragen over de AVG

Wat is het verschil tussen de AVG en de GDPR? Er is geen verschil. AVG is de Nederlandse naam, GDPR de Engelse. Het gaat om dezelfde Europese verordening.

Wanneer geldt de AVG voor mijn organisatie? De AVG geldt zodra je persoonsgegevens verwerkt, dus zodra je gegevens over herkenbare mensen vastlegt of gebruikt. Er is geen ondergrens in omvang: ook een kleine organisatie valt eronder.

Heb ik altijd toestemming nodig om gegevens te verwerken? Nee. Toestemming is één van de zes grondslagen, maar vaak niet de meest geschikte. Een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang kan net zo goed een geldige grondslag zijn.

Wat moet ik doen bij een datalek? Levert het datalek een risico op voor de betrokkenen, dan meld je het binnen 72 uur bij de Autoriteit Persoonsgegevens. Bij een hoog risico informeer je ook de betrokkenen zelf. Elk datalek leg je vast in een intern overzicht.

Moet ik een functionaris voor gegevensbescherming aanstellen? Dat hoeft niet altijd. Het is verplicht voor overheidsorganisaties en voor organisaties die op grote schaal mensen volgen of bijzondere gegevens verwerken. In andere gevallen mag het vrijwillig.

Aan de slag met de AVG in Kantyra

Wil je de naleving van de AVG niet in losse bestanden beheren, maar in één omgeving die aansluit op je informatiebeveiliging? Met de privacymodule van Kantyra houd je het verwerkingsregister bij, voer je DPIA's uit met een vast sjabloon en reviewronde, leg je de verwerkersafspraken vast bij je leveranciers en handel je datalekken af in het incidentenregister, met het AVG-kader en het bewijs in het compliance-register. Vraag een demo aan en ontdek hoe je de AVG bovenop je bestaande ISMS inricht.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement, privacy en naleving aantoonbaar beheren, in lijn met normen als ISO 27001, ISO 22301 en ISO 27701 en met wetgeving als de AVG, de Cyberbeveiligingswet en de AI-verordening.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen