AVG-compliance, geautomatiseerd en continu
Ga verder dan checkbox-compliance. Matproof automatiseert uw verwerkingsregisters, DPIA-workflows en rechten van betrokkenen — zodat u continu AVG-conform blijft.
Demo aanvragenWat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG), formeel EU-verordening 2016/679, is de baanbrekende gegevensbeschermingswet van de Europese Unie die fundamenteel heeft veranderd hoe organisaties wereldwijd omgaan met persoonsgegevens. Van kracht sinds 25 mei 2018 heeft de AVG een uniform gegevensbeschermingskader gevestigd in alle EU- en EER-lidstaten, ter vervanging van het lappendeken aan nationale wetten gebaseerd op de Databeschermingsrichtlijn van 1995. Het wordt algemeen beschouwd als de meest uitgebreide en invloedrijke gegevensbeschermingsverordening ter wereld.
De AVG is gebouwd op zeven kernprincipes die alle verwerking van persoonsgegevens beheersen: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; integriteit en vertrouwelijkheid; en verantwoordingsplicht. Deze principes zijn niet slechts aspirationeel - ze vormen de juridische basis waaraan alle verwerkingsactiviteiten worden getoetst. Organisaties moeten naleving van elk principe kunnen aantonen, een concept dat bekendstaat als het verantwoordingsbeginsel onder artikel 5, lid 2.
Een van de meest significante kenmerken van de AVG is de extraterritoriale reikwijdte. Op grond van artikel 3 is de verordening niet alleen van toepassing op organisaties gevestigd in de EU, maar ook op elke organisatie wereldwijd die goederen of diensten aanbiedt aan ingezetenen van de EU of hun gedrag monitort. Dit betekent dat een technologiebedrijf in de Verenigde Staten, een fintech-startup in Singapore of een SaaS-aanbieder in Israël moet voldoen aan de AVG als zij persoonsgegevens verwerken van personen in de EU - ongeacht waar de gegevens daadwerkelijk worden verwerkt.
In Nederland wordt de AVG aangevuld met de Uitvoeringswet AVG (UAVG), die nationale bepalingen toevoegt op gebieden waar de AVG ruimte biedt aan lidstaten. De Autoriteit Persoonsgegevens (AP) is de toezichthoudende autoriteit die verantwoordelijk is voor de handhaving van de AVG in Nederland. De AP heeft de bevoegdheid om onderzoeken in te stellen, bindende aanwijzingen te geven en aanzienlijke boetes op te leggen bij overtredingen.
Wie moet voldoen aan de AVG?
De AVG is van toepassing op vrijwel elke organisatie die persoonsgegevens verwerkt van personen in de EU/EER, zowel als verwerkingsverantwoordelijke (die het doel en de middelen van verwerking bepaalt) als verwerker (die gegevens verwerkt namens een verwerkingsverantwoordelijke). De verordening kent geen omzetdrempel of minimale bedrijfsgrootte - zelfs zzp'ers en micro-ondernemingen moeten eraan voldoen.
Verwerkingsverantwoordelijken
- Elk EU-gevestigd bedrijf dat persoonsgegevens verwerkt
- Niet-EU-bedrijven die goederen/diensten aanbieden aan EU-ingezetenen
- Niet-EU-bedrijven die gedrag van EU-ingezetenen monitoren
- Overheidsinstanties en publieke lichamen
- Zorgverleners en farmaceutische bedrijven
- Financiële dienstverleners en verzekeringsmaatschappijen
Verwerkers
- Cloud- en hostingproviders
- SaaS-platforms die klantgegevens verwerken
- Salaris- en HR-dienstverleners
- Marketing- en analyseplatforms
- IT-outsourcing en managed service providers
- Klantenservice- en callcenterproviders
Bijzondere aandacht geldt voor organisaties die bijzondere categorieën van persoonsgegevens verwerken (artikel 9) - waaronder gezondheidsgegevens, biometrische gegevens, genetische gegevens, ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap en gegevens over seksueel gedrag of seksuele geaardheid. Verwerking van dergelijke gegevens vereist het voldoen aan een van de specifieke voorwaarden in artikel 9, lid 2, en organisaties die deze categorieën op grote schaal verwerken moeten een FG aanstellen en doorgaans een DPIA uitvoeren.
Not sure if you're compliant?
Take the free GDPR readiness assessment — 10 questions, 3 minutes.
AVG-kernvereisten in detail
1. Rechtmatige grondslag voor verwerking (artikel 6)
Elke verwerkingsactiviteit moet een geldige rechtsgrond hebben. De AVG biedt zes rechtsgronden: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, taak van algemeen belang en gerechtvaardigd belang. Organisaties moeten de rechtsgrond voor elke verwerkingsactiviteit identificeren en documenteren voordat de verwerking begint. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn - en moet even eenvoudig in te trekken zijn als te geven. Gerechtvaardigd belang vereist een gedocumenteerde belangenafweging.
2. Rechten van betrokkenen (artikelen 12-22)
De AVG kent personen acht rechten toe: het recht op informatie (transparantie), recht van inzage, recht op rectificatie, recht op gegevenswissing (recht om vergeten te worden), recht op beperking van verwerking, recht op overdraagbaarheid van gegevens, recht van bezwaar en rechten met betrekking tot geautomatiseerde besluitvorming en profilering. Organisaties moeten binnen één maand op verzoeken van betrokkenen reageren (verlengbaar met twee maanden bij complexe verzoeken) en het antwoord in de meeste gevallen kosteloos verstrekken.
3. Register van verwerkingsactiviteiten (artikel 30)
Verwerkingsverantwoordelijken en verwerkers met meer dan 250 werknemers - of die gegevens verwerken die risico's inhouden, bijzondere categorieën betreffen of verband houden met strafrechtelijke veroordelingen - moeten gedetailleerde registers van verwerkingsactiviteiten (verwerkingsregister) bijhouden. Deze registers moeten de doeleinden van verwerking, categorieën betrokkenen en persoonsgegevens, ontvangers, internationale doorgiften, bewaartermijnen en een beschrijving van beveiligingsmaatregelen bevatten. De registers moeten op verzoek beschikbaar zijn voor de toezichthoudende autoriteit.
4. Gegevensbeschermingseffectbeoordelingen (artikel 35)
Een DPIA is verplicht wanneer verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Dit omvat systematische en uitgebreide profilering met significante gevolgen, grootschalige verwerking van bijzondere categorieën gegevens en systematische monitoring van openbaar toegankelijke ruimten. De DPIA moet de verwerkingsactiviteiten beschrijven, noodzakelijkheid en evenredigheid beoordelen, risico's evalueren en maatregelen identificeren om die risico's aan te pakken. Als risico's na mitigatie hoog blijven, is voorafgaande raadpleging van de toezichthoudende autoriteit vereist op grond van artikel 36.
5. Functionaris voor gegevensbescherming (artikelen 37-39)
Een FG moet worden aangesteld door overheidsinstanties, organisaties wiens kernactiviteiten regelmatige en systematische observatie van personen op grote schaal vereisen, of organisaties die op grote schaal bijzondere categorieën gegevens verwerken. In Nederland geldt deze verplichting ook voor organisaties die op basis van de UAVG bijzondere gegevens op grote schaal verwerken. De FG moet over deskundige kennis van gegevensbeschermingsrecht beschikken, onafhankelijk opereren, rechtstreeks rapporteren aan het hoogste managementniveau en mag niet worden ontslagen of bestraft voor het uitvoeren van zijn taken.
6. Melding van inbreuken (artikelen 33-34)
Inbreuken in verband met persoonsgegevens moeten binnen 72 uur nadat de verwerkingsverantwoordelijke ervan kennis heeft genomen, worden gemeld bij de bevoegde toezichthoudende autoriteit, tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor personen. De melding moet de aard van de inbreuk omvatten, het geschatte aantal getroffen betrokkenen en gegevensrecords, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen. Als de inbreuk waarschijnlijk een hoog risico inhoudt voor personen, moeten zij ook rechtstreeks en zonder onredelijke vertraging worden geïnformeerd. Verwerkers moeten verwerkingsverantwoordelijken zonder onredelijke vertraging informeren nadat zij kennis hebben genomen van een inbreuk.
7. Internationale doorgifte van gegevens (artikelen 44-49)
Doorgifte van persoonsgegevens buiten de EU/EER is alleen toegestaan als het ontvangende land een adequaat beschermingsniveau biedt (adequaatheidsbesluit) of als passende waarborgen zijn getroffen. Standaardcontractbepalingen (SCC's) zijn het meest gebruikte doorgiftemechanisme, hoewel Binding Corporate Rules (BCR's) beschikbaar zijn voor doorgifte binnen een concern. Na het Schrems II-arrest moeten organisaties die SCC's gebruiken ook een Transfer Impact Assessment (TIA) uitvoeren om de gegevensbeschermingswetten van het ontvangende land te evalueren en aanvullende maatregelen te implementeren indien nodig.
8. Verwerkersovereenkomsten (artikel 28)
Wanneer een verwerkingsverantwoordelijke een verwerker inschakelt, moet een schriftelijke verwerkersovereenkomst worden opgesteld. De verwerkersovereenkomst moet het onderwerp en de duur van de verwerking specificeren, de aard en het doel van de verwerking, de soorten persoonsgegevens, categorieën betrokkenen en de verplichtingen en rechten van de verwerkingsverantwoordelijke. Verwerkers moeten voldoende garanties bieden voor het implementeren van passende technische en organisatorische maatregelen en mogen geen subverwerkers inschakelen zonder toestemming van de verwerkingsverantwoordelijke.
Sancties bij niet-naleving van de AVG
De AVG introduceerde de hoogste gegevensbeschermingsboetes ooit, en de handhavingsactiviteit is sinds 2018 jaar na jaar aanzienlijk toegenomen. Per 2025 hebben toezichthoudende autoriteiten in heel Europa cumulatief meer dan EUR 4 miljard aan boetes opgelegd.
Boetes van de hogere categorie voor schendingen van verwerkingsprincipes, rechten van betrokkenen en regels voor internationale doorgifte (het hoogste bedrag geldt)
Boetes van de lagere categorie voor administratieve en organisatorische overtredingen, waaronder verwerkingsregisters, aanstelling van FG en beveiligingsmaatregelen
De Nederlandse UAVG voorziet in aanvullende handhavingsmogelijkheden, en opzettelijke onrechtmatige gegevensverwerking kan strafrechtelijke gevolgen hebben
Betrokkenen hebben recht op schadevergoeding voor materiële en immateriële schade (artikel 82), wat collectieve rechtszaken in de hele EU mogelijk maakt
Opmerkelijke AVG-boetes zijn onder meer Meta (EUR 1,2 miljard voor internationale doorgiften), Amazon (EUR 746 miljoen voor gerichte reclame) en WhatsApp (EUR 225 miljoen voor transparantietekorten). Deze zaken tonen aan dat handhaving bedrijven van alle groottes in alle sectoren treft.
Hoe u AVG-compliance bereikt
AVG-compliance is geen eenmalig project maar een doorlopend programma. Hier volgt een gestructureerde aanpak voor het opbouwen en onderhouden van een uitgebreid AVG-compliancekader:
- 1
Gegevensinventarisatie en verwerkingsregisters
Breng alle stromen van persoonsgegevens in uw organisatie in kaart: welke gegevens u verzamelt, waar ze vandaan komen, hoe ze worden verwerkt, wie er toegang toe heeft, waar ze worden opgeslagen en met wie ze worden gedeeld. Maak en onderhoud uw register van verwerkingsactiviteiten. Dit vormt de basis voor alle andere AVG-compliance-activiteiten en moet actueel worden gehouden wanneer verwerkingsactiviteiten wijzigen.
- 2
Beoordeling rechtsgrond en privacyverklaringen
Bepaal en documenteer voor elke verwerkingsactiviteit de juiste rechtsgrond. Werk privacyverklaringen bij om te voldoen aan de AVG-transparantievereisten (artikelen 13-14), waarin duidelijk wordt gecommuniceerd welke gegevens u verzamelt, waarom, op welke rechtsgrond, hoe lang u ze bewaart en welke rechten personen hebben. Beoordeel en actualiseer toestemmingsmechanismen waar toestemming de rechtsgrond is.
- 3
Aanstelling FG en governance
Bepaal of uw organisatie verplicht is een Functionaris voor Gegevensbescherming aan te stellen. Stel een gegevensbeschermingsgovernancestructuur op met duidelijke rollen, verantwoordelijkheden en rapportagelijnen. Implementeer regelmatige privacytraining voor alle medewerkers die persoonsgegevens verwerken.
- 4
Processen voor rechten van betrokkenen
Implementeer processen en systemen om verzoeken van betrokkenen binnen de vereiste termijn van één maand af te handelen. Dit omvat inzageverzoeken, verwijderingsverzoeken, overdraagbaarheidsverzoeken en bezwaren. Zorg ervoor dat u alle persoonsgegevens met betrekking tot een persoon kunt identificeren en ophalen uit alle systemen, en dat verwijderingsprocessen doorwerken naar alle relevante gegevensopslagplaatsen en verwerkers.
- 5
Inbreukdetectie en -melding
Implementeer technische maatregelen om datalekken snel te detecteren en stel een incidentresponsplan op dat voldoet aan de 72-uursmeldingsverplichting. Definieer escalatieprocedures, meldingssjablonen en beslissingscriteria voor het beoordelen van risico's voor betrokkenen. Voer regelmatig oefeningen uit om ervoor te zorgen dat uw team onder echte druk aan de strakke termijnen kan voldoen.
- 6
Leveranciersbeheer en internationale doorgiften
Beoordeel alle verwerkersrelaties en zorg ervoor dat passende verwerkersovereenkomsten aanwezig zijn. Implementeer voor internationale gegevensdoorgiften passende waarborgen (SCC's, BCR's of adequaatheidsbesluiten) en voer Transfer Impact Assessments uit waar vereist. Gebruik Matproof om leverancierscompliance centraal te beheren, verwerkersovereenkomsten te automatiseren en doorlopend toezicht op uw verwerkingsketen te onderhouden.
Veelgestelde vragen over de AVG
Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG), officieel EU-verordening 2016/679, is de uitgebreide gegevensbeschermingswet van de Europese Unie. Van kracht sinds 25 mei 2018 regelt zij hoe organisaties persoonsgegevens van personen in de EU/EER verzamelen, verwerken, opslaan en doorgeven. De AVG verving de Databeschermingsrichtlijn van 1995 en is rechtstreeks van toepassing in alle EU-lidstaten zonder nationale omzetting te vereisen, hoewel lidstaten aanvullende bepalingen kunnen toevoegen.
Geldt de AVG voor bedrijven buiten de EU?
Ja. De AVG heeft extraterritoriale reikwijdte op grond van artikel 3. Zij is van toepassing op elke organisatie - ongeacht waar gevestigd - die persoonsgegevens verwerkt van personen in de EU/EER, als zij goederen of diensten aan hen aanbiedt of hun gedrag binnen de EU/EER monitort. Dit betekent dat een Amerikaans SaaS-bedrijf met EU-klanten moet voldoen aan de AVG, inclusief het aanstellen van een EU-vertegenwoordiger op grond van artikel 27.
Wat zijn de sancties bij AVG-overtredingen?
De AVG kent een tweeledig sanctiesysteem. De hogere categorie kent boetes tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet (het hoogste bedrag geldt) voor schendingen van verwerkingsprincipes, rechten van betrokkenen en regels voor internationale doorgifte. De lagere categorie legt boetes op tot EUR 10 miljoen of 2% van de omzet voor administratieve en organisatorische overtredingen.
Heb ik een Functionaris voor Gegevensbescherming (FG) nodig?
Op grond van de AVG is een FG verplicht voor overheidsinstanties, organisaties wiens kernactiviteiten regelmatige en systematische observatie van personen op grote schaal inhouden, of organisaties die op grote schaal bijzondere categorieën gegevens verwerken. De FG kan intern of extern zijn en moet over deskundige kennis van gegevensbeschermingsrecht beschikken.
Wat is een DPIA en wanneer is deze verplicht?
Een gegevensbeschermingseffectbeoordeling (DPIA) is een risicobeoordeling die op grond van artikel 35 vereist is wanneer verwerking 'waarschijnlijk een hoog risico oplevert' voor betrokkenen. Dit omvat systematische profilering, grootschalige verwerking van bijzondere categorieën gegevens en systematische monitoring van openbare ruimten. Toezichthoudende autoriteiten publiceren ook lijsten van verwerkingsactiviteiten waarvoor een DPIA vereist is. De DPIA moet de verwerking beschrijven, noodzakelijkheid en evenredigheid beoordelen, risico's evalueren en mitigerende maatregelen identificeren.
Wat is de 72-uursmeldingsverplichting bij inbreuken?
Op grond van artikel 33 moeten verwerkingsverantwoordelijken een inbreuk in verband met persoonsgegevens binnen 72 uur nadat zij ervan kennis hebben genomen melden bij de bevoegde toezichthoudende autoriteit, tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van personen. De melding moet de aard van de inbreuk, de getroffen betrokkenen, waarschijnlijke gevolgen en genomen maatregelen beschrijven. Als de inbreuk waarschijnlijk een hoog risico inhoudt voor personen, moeten zij ook rechtstreeks worden geïnformeerd op grond van artikel 34.
GDPR Readiness Assessment
Evaluate your data protection compliance
Belangrijkste functies
Register van verwerkingsactiviteiten
Onderhoud automatisch het artikel 30-register. Volg verwerkingsactiviteiten, rechtsgronden, bewaartermijnen en gegevensstromen.
Gegevensbeschermingseffectbeoordelingen
Geautomatiseerde DPIA-workflows voor verwerkingen met een hoog risico. Stapsgewijze beoordelingen met risicoscoring en mitigatietracking.
Beheer van rechten van betrokkenen
Verwerk inzage-, verwijderings- en overdraagbaarheidsverzoeken binnen de wettelijke termijnen. Volledige audittrail voor elk verzoek.
Workflows voor inbreukmeldingen
72-uurs workflows voor inbreukmeldingen. Genereer automatisch rapporten voor toezichthoudende autoriteiten en getroffen betrokkenen.
Toestemmingsbeheer
Volg toestemming over alle verwerkingsactiviteiten. Beheer opt-ins, intrekkingen en toestemmingsvernieuwingscycli.
Gegevensverwerking door derden
Beheer verwerkersovereenkomsten, subverwerkerstracking en waarborgen voor internationale doorgifte (SCCs, adequaatheidsbesluiten).
Waarom Matproof
AVG-compliance, compliance in heel Duitsland
Vind stadsspecifieke compliancegidsen voor uw financiële instelling.
GDPR Readiness Assessment
Evaluate your data protection compliance
Klantverhalen
Teams die niet meer opzien tegen het auditseizoen.
Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.
Head of Compliance
Series B Fintech, Germany
* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.