GDPR

De GDPR (AVG) is de Europese privacywet die regels stelt voor het verwerken van persoonsgegevens. Deze pagina is bedoeld als compacte referentie: wat valt eronder, welke plichten komen vaak terug in audits, en welke artikelen worden het meest gebruikt in handhaving.

Wanneer is de GDPR van toepassing?

• Je verwerkt persoonsgegevens van natuurlijke personen (EU-context).
• De verwerking gebeurt door een verwerkingsverantwoordelijke of verwerker.
• Ook buiten de EU kan de GDPR gelden bij aanbieden aan EU-betrokkenen of monitoring van gedrag.

Kernprincipes (waar audits op stuklopen)

• Doelbinding en dataminimalisatie.
• Transparantie (heldere informatie aan betrokkenen).
• Beveiliging (passende technische/organisatorische maatregelen).
• Accountability: je moet kunnen aantonen dat je compliant bent.

Rechten van betrokkenen (praktisch)

De meest relevante voor operationele teams:

• Inzage, rectificatie, verwijdering ("recht op vergetelheid"), beperking.
• Bezwaar (o.a. tegen direct marketing) en dataportabiliteit.
• Niet uitsluitend onderworpen worden aan geautomatiseerde besluitvorming (context-afhankelijk).

Verplichtingen die vaak bewijs vragen

• Rechtsgrond per verwerkingsdoel (incl. consent waar relevant).
• Verwerkersovereenkomsten en subverwerkers.
• DPIA waar sprake is van hoog risico.
• Datalekken: detectie, beoordeling, melding en documentatie.
• Bewaartermijnen + deletion/retention controls.

Handhaving en boetes (hoog over)

De GDPR kent een boetestelsel met twee “tiers” (o.a. art. 83). In de praktijk telt niet alleen het maximum, maar ook factoren zoals ernst, duur, verwijtbaarheid, medewerking en herhaling.

Bronnen

• EUR-Lex — Regulation (EU) 2016/679 (GDPR)
• Autoriteit Persoonsgegevens (NL toezichthouder)
• European Data Protection Board (EDPB)

Voor gerelateerde primaire bronnen (NL cookies, enforcement, datasets): zie Bronnen.