Ga naar hoofdinhoud
Home / Blog / AVG wetgeving: dit moet je weten

Wat je als bedrijf moet weten over de AVG wetgeving

Elke keer dat je een website bezoekt, een online formulier invult of een app gebruikt, laat je digitale sporen achter. Denk aan IP-adressen, locatiegegevens, e-mailadressen of zelfs browsegedrag. Voor bedrijven biedt deze data kansen om gebruikers beter te bedienen, maar er kleven ook grote verantwoordelijkheden aan. Organisaties die zich niet aan de regels houden, riskeren hoge boetes en reputatieschade. Eerder waren dit vooral grote techbedrijven, maar nu komt het mkb ook steeds vaker in beeld bij controles.

In dit blog lees je alles over de actuele verplichtingen rondom de AVG in 2025, inclusief praktische tips om jouw organisatie AVG-proof te maken.

Floor Floor Laatst gewijzigd: 04-09-2025
Alles over de nieuwe AVG regels
Inhoud
  1. Wat is de AVG/GDPR?
  2. Voor wie geldt de AVG?
  3. Wat zijn persoonsgegevens volgens de AVG?
  4. De 7 principes van de AVG
  5. Toestemming en cookies in 2025
  6. Stand van zaken ePrivacy-verordening
  7. Praktische verantwoordelijkheden voor bedrijven
  8. Verwerkingsregister bijhouden
  9. Verwerkersovereenkomsten sluiten
  10. Rechten van betrokkenen waarborgen
  11. DPIA (Data Protection Impact Assessment)
  12. Actuele ontwikkelingen en trends
  13. AI & automatische besluitvorming
  14. Topics API: het nieuwe trackingmodel van Google
  15. Internationale dataoverdracht
  16. Wat zijn de gevolgen van niet-naleving?
  17. AVG-controles en handhaving door de Autoriteit Persoonsgegevens
  18. Klantvertrouwen met AVG-proof ondernemen

Wat is de AVG/GDPR?

De AVG, voluit Algemene Verordening Gegevensbescherming, is de Europese privacywet die sinds 25 mei 2018 van kracht is. Internationaal staat deze regelgeving bekend onder de afkorting GDPR (General Data Protection Regulation).

Beide termen verwijzen naar dezelfde wetgeving, die binnen de gehele Europese Unie geldt en ervoor zorgt dat persoonsgegevens van burgers beschermd worden, ongeacht in welk land binnen de EU deze data wordt verwerkt. Ook organisaties buiten de EU vallen onder deze wet als ze data van EU-burgers verwerken.

Belangrijk uitgangspunt van de AVG is enerzijds het beschermen van persoonsgegevens, en anderzijds het mogelijk maken van vrij verkeer van data binnen de EU. Dat betekent dat organisaties gegevens mogen verzamelen en gebruiken, mits ze transparant zijn, duidelijke doelen hebben en passende beveiligingsmaatregelen treffen.

Voor wie geldt de AVG?

De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, ongeacht hun omvang of sector. Dat betekent dat zowel bedrijven, overheidsinstanties, scholen, zorginstellingen als verenigingen, stichtingen en zzp’ers onder de wet vallen zodra zij data verzamelen die herleidbaar is tot een persoon.

De wet geldt ook voor organisaties die buiten de Europese Unie zijn gevestigd, zolang zij diensten aanbieden aan, of gedrag volgen van, personen binnen de EU. Een Amerikaanse webshop die levert aan Nederlandse klanten of een app die wordt gedownload door Europese gebruikers, valt dus ook onder de AVG. Ook binnen de B2B-sector is de AVG relevant: zodra een contactpersoon met naam, telefoonnummer of e-mailadres wordt opgeslagen, gaat het om persoonsgegevens.

Er wordt geen uitzondering gemaakt voor het soort bedrijf of het doel van de verwerking, alle verwerkingen van persoonsgegevens vallen onder de AVG.

avg-wetgeving<h2 id=“wat-zijn-persoonsgegevens-volgens-de-avg” data-togoto=“wat-zijn-persoonsgegevens-volgens-de-avg”>Wat zijn persoonsgegevens volgens de AVG?

De AVG definieert persoonsgegevens als alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Het gaat dus niet alleen om voor de hand liggende gegevens zoals een naam of telefoonnummer, maar ook om gegevens die in combinatie iemands identiteit kunnen onthullen.

Voorbeelden van persoonsgegevens zijn: voor- en achternaam, e-mailadres, IP-adres, locatiegegevens, bankrekeningnummer, BSN, foto’s, geboortedatum, maar ook cookies en online identifiers. Zelfs pseudonieme gegevens vallen onder de AVG wanneer deze met aanvullende informatie alsnog herleidbaar zijn tot een individu.

De 7 principes van de AVG

De AVG is gebaseerd op 7 basisprincipes. Dit zijn de spelregels waar je als organisatie altijd aan moet voldoen:

1 Transparantie
Je moet als organisatie duidelijk en begrijpelijk communiceren over welke gegevens je verzamelt, waarom je dat doet, en wat je ermee doet. Bijvoorbeeld, een webshop vermeldt in begrijpelijke taal in de privacyverklaring dat e-mailadressen worden gebruikt voor orderbevestigingen en marketingdoeleinden.

2 Doelbeperking
Gegevens mogen alleen worden verzameld voor een specifiek, uitdrukkelijk omschreven en gerechtvaardigd doel. Hergebruik voor andere doeleinden is verboden. Je mag gegevens verzameld voor een nieuwsbrief bijvoorbeeld niet zonder toestemming gebruiken voor telefonische verkoop.

3 Gegevensminimalisatie
Verzamel niet méér gegevens dan noodzakelijk is voor het beoogde doel. Zo vraag je bij een contactformulier alleen om naam en e-mailadres, niet om geboortedatum of adres als dat niet nodig is.

4 Juistheid
Persoonsgegevens moeten correct en actueel zijn. Onjuiste gegevens moeten worden gecorrigeerd of verwijderd. Klanten moeten hun gegevens in hun account kunnen aanpassen of een correctieverzoek indienen.

5 Opslagbeperking
Gegevens mogen niet langer worden bewaard dan nodig. Je moet een bewaartermijn hanteren en deze onderbouwen. Voorbeeld: Sollicitatiegegevens worden na vier weken verwijderd, tenzij de kandidaat expliciet toestemming geeft om ze langer te bewaren.

6 Integriteit en vertrouwelijkheid
Gegevens moeten worden beschermd tegen verlies, toegang door onbevoegden of misbruik. Kies bijvoorbeeld voor een CRM-systeem alleen toegankelijk is via tweefactorauthenticatie.

7 Verantwoording
Je moet kunnen aantonen dat je voldoet aan de AVG, bijvoorbeeld met een verwerkingsregister, privacyverklaring of DPIA. Dus, een organisatie houdt een intern register bij van alle gegevensverwerkingen en bijbehorende verwerkers.

Toestemming en cookies in 2025

Volgens de AVG moet toestemming voor het verwerken van persoonsgegevens expliciet, vrij gegeven, geïnformeerd en ondubbelzinnig zijn. Dit geldt ook voor het gebruik van cookies die persoonsgegevens verzamelen.

Bezoekers moeten vooraf weten waarvoor zij toestemming geven en deze keuze actief kunnen maken. Dit betekent bijvoorbeeld een cookiebanner die aparte opties voor functionele, analytische en marketingcookies toont, met duidelijke uitleg per categorie.

Cookie walls zijn verboden, dus je mag gebruikers niet dwingen om cookies te accepteren om toegang tot de website te krijgen. Daarnaast geldt dat scrollen of swipen geen geldige toestemming vormt. Alleen een expliciete handeling, zoals een klik op “Akkoord”, is geldig. Wil je zeker weten dat je dit goed geregeld hebt? Cross internet implementeert altijd AVG-proof cookiebanners bij oplevering van websites.

avg-wet<h2 id=“stand-van-zaken-eprivacy-verordening” data-togoto=“stand-van-zaken-eprivacy-verordening”>Stand van zaken ePrivacy-verordening

De ePrivacy-verordening, bedoeld als aanvulling op de AVG, is anno 2025 nog niet formeel aangenomen. Deze verordening moet uniforme regels bieden voor elektronische communicatie (zoals e-mail, chatapps, tracking).

Hoewel de invoering al jaren op zich laat wachten, houden toezichthouders wél steeds vaker rekening met de principes ervan. Er wordt dus streng gekeken naar cookies, trackers en online profiling, ook zonder dat de ePrivacy officieel in werking is getreden.

Praktische verantwoordelijkheden voor bedrijven

De AVG stelt niet alleen regels, maar eist ook dat organisaties aantoonbaar compliant zijn. Dat betekent dat je als organisatie duidelijke maatregelen moet nemen en documenteren hoe je met persoonsgegevens omgaat. Hieronder de vier belangrijkste verantwoordelijkheden.

Verwerkingsregister bijhouden

Elke organisatie die structureel persoonsgegevens verwerkt, is verplicht een verwerkingsregister bij te houden. Hierin noteer je welke soorten gegevens je verwerkt, voor welk doel, op basis van welke grondslag en hoe lang je de data bewaart.

Verwerkersovereenkomsten sluiten

Wanneer je persoonsgegevens laat verwerken door een externe partij (zoals een hostingbedrijf, boekhouder of nieuwsbriefsoftware), moet je een verwerkersovereenkomst afsluiten. Daarin leg je vast hoe de externe partij omgaat met de data en welke beveiligingsmaatregelen worden genomen.

Rechten van betrokkenen waarborgen

De AVG geeft betrokkenen, oftewel de personen van wie je gegevens verwerkt, een aantal fundamentele rechten:

  • Recht op inzage
  • Recht op correctie
  • Recht op verwijdering (recht op vergetelheid)
  • Recht op dataportabiliteit
  • Recht op bezwaar tegen verwerking

Je moet duidelijke procedures hebben om aan deze rechten te voldoen, inclusief binnen de wettelijke termijn van één maand.

DPIA (Data Protection Impact Assessment)

Bij verwerkingen met een hoog risico voor de privacy van betrokkenen moet je vooraf een DPIA (Data Protection Impact Assessment) uitvoeren. Dit is een gestructureerde risicoanalyse van de impact van je gegevensverwerking.
Voorbeelden van verplichte DPIA’s:

  • AI-gestuurde beslissystemen (zoals kredietbeoordeling)
  • Gedragsprofilering op basis van trackingdata
  • Grootschalige verwerking van gevoelige gegevens

De digitale wereld verandert snel en daarmee ook de toepassing van de AVG. Hieronder vier ontwikkelingen die relevant zijn voor bedrijven.

AI & automatische besluitvorming

De inzet van AI is in opmars, maar de AVG stelt hier duidelijke grenzen aan. Artikel 22 van de AVG verbiedt geautomatiseerde besluitvorming zonder menselijke tussenkomst als dit juridische of vergelijkbare significante gevolgen heeft.

In de praktijk betekent dit dat als je een AI-systeem gebruikt om automatisch te beslissen over bijvoorbeeld het toekennen van een lening, sollicitatie of verzekering, je expliciete toestemming nodig hebt, of een menselijke tussenkomst moet inbouwen, en een DPIA moet uitvoeren.

De inzet van Large Language Models (LLM’s) zoals ChatGPT in klantinteractie of besluitvorming vereist extra waakzaamheid: transparantie, uitlegbaarheid en recht op bezwaar moeten gewaarborgd zijn.

Topics API: het nieuwe trackingmodel van Google

Na de afschaffing van third-party cookies werkt Google aan een alternatief: de Topics API, onderdeel van het bredere Privacy Sandbox-initiatief.

In plaats van individuele gebruikers te volgen, groepeert de browser mensen op basis van interesses (topics) die lokaal worden opgeslagen. Adverteerders zien alleen deze algemene ‘interest groups’, waardoor het privacyrisico kleiner wordt.

Let op: in de EU staat de implementatie onder toezicht van privacytoezichthouders. Veel autoriteiten onderzoeken of de Topics API voldoet aan de AVG-vereisten.

Internationale dataoverdracht

Na het Schrems II-arrest in 2020 werd het Privacy Shield tussen de EU en de VS ongeldig verklaard. Sinds 2023 is het Data Privacy Framework (DPF) de opvolger. Hiermee mogen gegevens van EU-burgers weer onder voorwaarden naar gecertificeerde Amerikaanse organisaties worden verzonden. Toch blijft dit een gevoelig punt, want er is kritiek op de effectiviteit van toezicht en gegevensbescherming in de VS.

We adviseren om bij elke doorgifte buiten de EU een zorgvuldige risicoanalyse uit te voeren, en waarborgen die je hebt genomen te documenteren.

avg-regels<h2 id=“wat-zijn-de-gevolgen-van-niet-naleving” data-togoto=“wat-zijn-de-gevolgen-van-niet-naleving”>Wat zijn de gevolgen van niet-naleving?

De gevolgen van het niet naleven van de AVG kunnen aanzienlijk zijn. Afhankelijk van de ernst van de overtreding kan de boete oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. In de praktijk zijn er inmiddels meerdere grote én kleinere organisaties bestraft:

  • Google kreeg een boete van €50 miljoen van de Franse toezichthouder CNIL vanwege een gebrek aan transparantie en ongeldige toestemming bij gepersonaliseerde advertenties.
  • H&M werd in Duitsland beboet met €35 miljoen na het onrechtmatig verwerken van persoonsgegevens van werknemers.
  • Een Nederlandse vermogensbeheerder kreeg een boete van €48.000 omdat een klant geen inzage kreeg in zijn persoonlijke gegevens en niet wist met wie deze waren gedeeld.

Naast financiële sancties kan ook reputatieschade optreden, vooral als het om datalekken of schendingen van klantvertrouwen gaat. Dit kan leiden tot rechtszaken, verlies van klanten of investeerders en langdurige schade aan het merk.

AVG-controles en handhaving door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor het toezicht op naleving van de AVG. Sinds 2022 voert de AP actiever toezicht uit, mede door de inzet van automatische opsporingssoftware. Deze software scant websites op bijvoorbeeld illegale cookiebanners of ontbrekende privacyverklaringen.

Er is daarbij specifieke aandacht voor het mkb, omdat veel kleinere bedrijven onvoldoende op de hoogte zijn van hun verplichtingen. De controles zijn vaak gericht op sectoren die veel persoonsgegevens verwerken, zoals de zorgsector (patiëntgegevens), het onderwijs (leerling- en studentgegevens), en de marketingbranche (tracking en profiling).

De AP kan bij overtredingen niet alleen boetes opleggen, maar ook waarschuwingen, dwangsommen of een tijdelijke stop op gegevensverwerking afdwingen. Het is daarom erg belangrijk om je AVG-compliance proactief op orde te hebben, ook als je organisatie (nog) niet is gecontroleerd.

Klantvertrouwen met AVG-proof ondernemen

De AVG regels dwingen bedrijven om bewuster om te gaan met klantengegevens, en dat is maar goed ook. Transparante dataverwerking maakt je bedrijf toekomstbestendig. Privacy wordt steeds belangrijker, en juist met duidelijkheid en verantwoordelijkheid win je het vertrouwen van klanten. Zorg dat je ook in 2025 voldoet aan de regels, zeker als je gebruikmaakt van AI, analytics of internationale tools. Juist dan is het belangrijk dat je dataveiligheid en naleving op orde hebt.

Bij Cross Internet bouwen we niet alleen razendsnelle websites en slimme API-koppelingen, we zorgen er ook voor dat jouw digitale infrastructuur voldoet aan de nieuwste privacyregels. Geen onduidelijke cookiebanners of AVG-stress, maar gewoon duidelijkheid, vertrouwen en resultaat. Klaar voor een privacy-proof online strategie? Neem contact met ons op voor advies op maat!

Floor FloorLaatst gewijzigd: 04-09-2025
Meer lezen
Online webbureau Communicatiebureau Marketing communicatie bureau Online marketing bureau Online marketing bureau Online marketing bureau Limburg Online marketing bureau Breda Online marketing bureau Eindhoven Online marketing Online marketing Google optimalisatie Copywriting Content specialist Online adverteren Social media uitbesteden Restaurant marketing AI marketing Bol marketing Bol adverteren SEO bureau Linkbuilding bureau Google Ads bureau Grafisch bureau Software ontwikkeling bureau Softwarebedrijf API koppeling laten maken Laravel webapplicatie laten maken Website optimalisatie Website optimalisatie Website laten maken Limburg Website laten maken Budel Website laten maken Breda Website laten maken Eindhoven Website laten maken Helmond Website laten maken Heythuysen Website laten maken in Maastricht Website laten maken Maasgouw Website laten maken Nijmegen Website laten maken Ospel Website laten maken Roermond Website laten maken Sittard Website laten maken Someren Website laten maken Stramproy Website laten maken in Tilburg Website laten maken Weert Maatwerk website Maatwerk website Webdesign Asten Webdesign Boxmeer Webdesign Brunssum Webdesign Heerlen Webdesign Kerkrade Webdesign Venray Webdesign Veldhoven Webdesign Veghel Online promotie MKB internet advies
Onze formule voor meer klanten +31 (0)495 45 11 70 Werkdagen van 08:30 - 17:00 Whatsapp +31 (0)637 45 3827 Werkdagen van 08:30 - 17:00 Stuur een bericht We reageren binnen 24 uur (op werkdagen)
Cookies op Cross Internet Cross Internet gebruikt zowel functionele als analytische cookies. Hierdoor kan de website goed functioneren en worden bezoeken op de website goed gemeten. Daarnaast kunnen er marketingcookies worden geplaatst als je deze accepteert. Met marketingcookies kunnen wij de ervaring op onze website persoonlijker en meer gestroomlijnd maken. We kunnen je namelijk nuttige advertenties laten zien en zo je ervaring persoonlijker maken. Liever toch geen marketingcookies? Dan kun je deze hieronder weigeren. We plaatsen dan enkel het standaardpakket van functionele en analytische cookies. Je kunt je voorkeuren later nog aanpassen op de voorkeuren pagina.
Accepteren Weigeren