AVG-compliance in 2026: beginselen, rechten en bewijs

AVG-compliance in 2026: beginselen, rechten en bewijs

AVG-compliance betekent dat u persoonsgegevens van mensen in de EU en de EER strikt in lijn met Verordening (EU) 2016/679 verwerkt — op basis van een gedocumenteerde rechtsgrond, met inachtneming van de zeven beginselen van artikel 5, met respect voor de rechten van betrokkenen, met beveiliging onder artikel 32, met melding van datalekken binnen 72 uur en — onder het verantwoordingsbeginsel — met het vermogen om dit alles op verzoek te bewijzen. Acht jaar na de inwerkingtreding op 25 mei 2018 is de AVG geen project met een einddatum meer: het is de basisnorm voor elk B2B-bedrijf dat Europese gegevens raakt, en het ene regelboek waarop andere Europese wetten — NIS2, DORA, de EU AI Act — nu voortbouwen.

Dit pijlerartikel is de gids voor het hele kader op het niveau van de hoofdterm. Voor de gedetailleerde mechaniek per artikel — verwerkersovereenkomsten, beveiligingsmaatregelen en datalekmelding — zie ons begeleidende naslagartikel over de AVG-artikelen 28, 32, 33 en 34.

Belangrijkste punten

• De AVG rust op zeven beginselen (artikel 5) en zes rechtsgronden (artikel 6). Elke verwerkingsactiviteit heeft vóór aanvang ten minste één gedocumenteerde rechtsgrond nodig.
• Verantwoording is het beginsel dat compliance in bewijs verandert. U moet niet alleen naleven — u moet de naleving kunnen aantonen met registers, beleid en effectbeoordelingen.
• De handhaving versnelt, ze koelt niet af. Toezichthouders legden in 2025 ~1,2 miljard euro aan boetes op; in het eerste kwartaal van 2026 stegen de boetes met bijna 400% op jaarbasis, aangevoerd door de Franse CNIL en de Britse ICO.
• De kaart loopt uiteen. De UK Data (Use and Access) Act 2025 maakt de UK GDPR vanaf februari 2026 aanzienlijk flexibeler, terwijl Noorwegen en de EER op de ongewijzigde EU-AVG blijven — grensoverschrijdende bedrijven moeten zich naar de strengste norm voegen.
• AVG-bewijs is herbruikbaar. Dezelfde registers, maatregelen en certificaten die de AVG bewijzen, beantwoorden ook NIS2, DORA en beveiligingsvragenlijsten van klanten — als u ze bundelt in een Europees Trust Center.

Ga naar:

• Wie de AVG moet naleven
• De 7 AVG-beginselen (artikel 5)
• De 6 rechtsgronden (artikel 6)
• Rechten van betrokkenen (artikelen 12–22)
• Kernverplichtingen en de checklist 2026
• Boetes en handhaving in 2025–2026
• Wat veranderde in 2026: omnibus, doorgiften, AI
• De AVG buiten de EU-27: UK en Noorwegen
• AVG, NIS2 en DORA: één bewijsbasis
• Van AVG-bewijs naar een Europees Trust Center

---

Wie de AVG moet naleven

De AVG is van toepassing op de verwerking van persoonsgegevens zodra de betrokkene zich in de EU of EER bevindt — niet waar het bedrijf gevestigd is. Op grond van artikel 3 (territoriale reikwijdte) bereikt de verordening elke organisatie die ofwel in de Unie is gevestigd, ofwel goederen of diensten aanbiedt aan personen in de Unie, ofwel hun gedrag volgt. Een SaaS-aanbieder uit São Paulo of San Francisco die aan een Münchense klant verkoopt, valt er volledig onder.

Twee rollen zijn bepalend, en de meeste B2B-bedrijven vervullen ze tegelijk:

• Verwerkingsverantwoordelijke — u bepaalt het waarom en hoe van de verwerking. Voor eigen medewerker-, prospect- en klantcontactgegevens bent u verantwoordelijke.
• Verwerker — u verwerkt persoonsgegevens namens een andere verantwoordelijke, op diens gedocumenteerde instructie. Voor de gegevens die uw klanten in uw platform laden, bent u hun verwerker.

Deze dubbelrol verklaart waarom AVG-compliance nooit louter een privacyverklaring-oefening is. Als verantwoordelijke heeft u plichten jegens betrokkenen; als verwerker plichten jegens uw klanten onder de verwerkersovereenkomsten van artikel 28. Beide richtingen goed beheersen, is het verschil tussen het doorstaan van een inkoop-securityreview en het verliezen van de deal.

De 7 AVG-beginselen (artikel 5)

Alles in de AVG vloeit voort uit de zeven beginselen van artikel 5. De eerste zes staan in artikel 5, lid 1; het zevende — verantwoording — staat in artikel 5, lid 2 en is het beginsel dat "wij voldoen" verandert in "wij kunnen het bewijzen".

#	Beginsel (artikel)	Wat het in de praktijk vereist
1	Rechtmatigheid, behoorlijkheid, transparantie — art. 5, lid 1, a)	Verwerken op ten minste één rechtsgrond uit artikel 6; geen onverwacht of misleidend gebruik; helder informeren via privacyverklaringen.
2	Doelbinding — art. 5, lid 1, b)	Verzamelen voor welbepaalde, uitdrukkelijke en gerechtvaardigde doeleinden; geen onverenigbaar hergebruik. Archivering, onderzoek en statistiek onder art. 89, lid 1 gelden niet als onverenigbaar.
3	Minimale gegevensverwerking — art. 5, lid 1, c)	Alleen gegevens die toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doel.
4	Juistheid — art. 5, lid 1, d)	Gegevens juist en zo nodig actueel houden; onjuiste gegevens onverwijld wissen of rectificeren.
5	Opslagbeperking — art. 5, lid 1, e)	Identificeerbare gegevens niet langer bewaren dan nodig; langer alleen voor archivering/onderzoek onder art. 89, lid 1 met waarborgen.
6	Integriteit en vertrouwelijkheid — art. 5, lid 1, f)	Passende beveiliging met technische en organisatorische maatregelen — de brug naar artikel 32.
7	Verantwoordingsplicht — art. 5, lid 2	De verantwoordelijke is verantwoordelijk voor de naleving van beginselen 1–6 en moet die kunnen aantonen.

Het verantwoordingsbeginsel is het stille zwaartepunt. De eerste vraag van een toezichthouder na een incident is zelden "voldeed u?" — maar "laat het zien". Het verwerkingsregister (artikel 30), uw effectbeoordelingen (artikel 35), uw maatregelen en de due diligence op uw verwerkers zijn de bewijsstukken die dat beantwoorden. Organisaties die dit bewijs als verspreide e-mailketens en spreadsheets opslaan, zakken voor de verantwoordingstoets, zelfs als hun onderliggende praktijk solide is.

De 6 rechtsgronden (artikel 6)

Een verwerking is alleen rechtmatig als ten minste één van de zes gronden uit artikel 6, lid 1 van toepassing is. De juiste grond per activiteit kiezen — en documenteren — is de meest voorkomende lacune die auditors aantreffen.

1. Toestemming — art. 6, lid 1, a). Vrij, specifiek, geïnformeerd en ondubbelzinnig, voor een of meer specifieke doeleinden. De grond met de meeste wrijving: intrekken moet even eenvoudig zijn als geven.
2. Overeenkomst — art. 6, lid 1, b). Verwerking noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene, of voor precontractuele maatregelen op diens verzoek.
3. Wettelijke verplichting — art. 6, lid 1, c). Verwerking noodzakelijk om te voldoen aan een EU- of lidstaatrechtelijke verplichting die op u rust.
4. Vitale belangen — art. 6, lid 1, d). Verwerking noodzakelijk om iemands leven of fysieke integriteit te beschermen — doorgaans noodsituaties.
5. Taak van algemeen belang — art. 6, lid 1, e). Verwerking noodzakelijk voor een taak van algemeen belang of openbaar gezag dat bij wet is geregeld. Vooral voor overheidsorganen.
6. Gerechtvaardigde belangen — art. 6, lid 1, f). Verwerking noodzakelijk voor de gerechtvaardigde belangen van de verantwoordelijke of een derde, behalve wanneer de rechten van de betrokkene zwaarder wegen — een gedocumenteerde afwegingstoets, nooit beschikbaar voor overheden bij de uitoefening van hun taken.

Een praktische regel: baseer niet alles op toestemming. In B2B-SaaS dragen overeenkomst en gerechtvaardigde belangen het grootste deel van de verwerking, terwijl toestemming voorbehouden blijft aan marketing en niet-noodzakelijke cookies. Een verkeerd geëtiketteerde grond — bijvoorbeeld gerechtvaardigde belangen waar toestemming nodig was — is zelf een overtreding.

Rechten van betrokkenen (artikelen 12–22)

De AVG geeft individuen afdwingbare rechten die u doorgaans binnen één maand moet kunnen uitvoeren (met twee maanden verlengbaar voor complexe verzoeken onder artikel 12, lid 3):

• Informatie (artikelen 13–14) — transparante privacyverklaringen bij verzameling.
• Inzage (artikel 15) — een kopie van de gegevens en de verwerkingsdetails, op verzoek.
• Rectificatie (artikel 16) — correctie van onjuiste gegevens.
• Wissing / "recht op vergetelheid" (artikel 17).
• Beperking van de verwerking (artikel 18).
• Overdraagbaarheid (artikel 20) — een gestructureerde, machineleesbare export.
• Bezwaar (artikel 21) — inclusief een absoluut recht van bezwaar tegen direct marketing.
• Rechten rond geautomatiseerde besluitvorming en profilering (artikel 22).

De regulatoire focus voor 2026 is hier scherper geworden. De gecoördineerde handhavingsprioriteit van de EDPB verschoof naar de transparantieverplichtingen (artikelen 12–14), en de Britse hervorming (hieronder) herschrijft expliciet de regels rond inspanning bij inzageverzoeken en geautomatiseerde besluiten — de afhandeling van rechten is daarmee het terrein waar de divergentie nu het zichtbaarst is.

Kernverplichtingen en de checklist 2026

Beginselen en rechten vertalen zich in een concrete reeks operationele verplichtingen. Dit is de checklist op het niveau van de hoofdterm; elke regel verwijst naar de diepere referentie waar die bestaat.

Verplichting	Artikel	Hoe "klaar" eruitziet
Verwerkingsregister	Art. 30	Een bijgehouden inventaris van elke verwerking, doel, grond en ontvanger.
Rechtsgrond per activiteit	Art. 6	Een gedocumenteerde grond gekoppeld aan elke activiteit in het register.
Privacyverklaringen	Art. 12–14	Heldere, toegankelijke verklaringen op elk verzamelpunt.
Werkproces voor rechten van betrokkenen	Art. 15–22	Een herhaalbaar proces om inzageverzoeken binnen één maand af te handelen.
Verwerkersovereenkomsten	Art. 28	Een ondertekende verwerkersovereenkomst met elke verwerker, plus een bijgehouden subverwerkerslijst.
Technische en organisatorische maatregelen	Art. 32	Gedocumenteerde, risicogerichte beveiligingsmaatregelen (versleuteling, toegangscontrole, veerkracht, tests).
Effectbeoordelingen bij hoog risico	Art. 35	Een afgeronde effectbeoordeling vóór de start van risicovolle verwerking.
Functionaris voor gegevensbescherming	Art. 37	Een FG aangesteld waar vereist (grootschalige monitoring of bijzondere gegevens).
Datalekmelding — toezichthouder	Art. 33	Melding aan de toezichthouder binnen 72 uur na ontdekking.
Datalekmelding — betrokkenen	Art. 34	Betrokkenen onverwijld informeren bij hoog risico.
Waarborgen voor internationale doorgiften	Art. 44–49	SCC's, adequaatheid of een ander mechanisme uit hoofdstuk V voor elke doorgifte buiten de EER.

Kunt u voor elke regel op verzoek bewijs leveren, dan bent u niet alleen compliant — u bent aantoonbaar compliant, en dat is de verantwoordingsnorm. De terugkerende faalmodus is de kloof tussen praktijk en bewijs: organisaties die het juiste doen maar het niet binnen de termijn van een toezichthouder of koper kunnen tonen.

Boetes en handhaving in 2025–2026

Artikel 83 kent twee boeteniveaus, telkens "afhankelijk van welk bedrag hoger is":

• Lager niveau — tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (bijv. tekortkomingen in register, verwerking, melding).
• Hoger niveau — tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (bijv. schending van beginselen, rechtsgrond of rechten van betrokkenen).

De cijfers zijn allang niet meer theoretisch. Het cumulatieve AVG-boetebedrag sinds 2018 wordt door de CMS Enforcement Tracker geraamd op ongeveer 6,3 miljard euro, met de hoogste enkelvoudige boete nog steeds de 1,2 miljard euro van Meta in Ierland. In 2025 legden toezichthouders in de orde van 1,2 miljard euro op, waaronder de 530 miljoen euro-boete van de Ierse DPC tegen TikTok wegens onrechtmatige doorgiften, vastgelegd in het EDPB-jaarverslag 2025.

Het signaal voor 2026 is het tempo. Volgens handhavingstrackers bereikten de boetes in het eerste kwartaal van 2026 ongeveer 68 miljoen euro Europabreed — een stijging van bijna 400% ten opzichte van de ~13,8 miljoen euro in het eerste kwartaal van 2025. De Franse CNIL droeg het grootste deel bij met circa 47 miljoen euro (waaronder 27 miljoen tegen Free Mobile, 15 miljoen tegen Free en 5 miljoen tegen France Travail), terwijl de Britse ICO ongeveer 16,9 miljoen euro oplegde, met als blikvanger een baanbrekende boete tegen Reddit wegens kindergegevens en leeftijdsverificatie. De richting is duidelijk: de handhaving verbreedt van spraakmakende Big Tech-zaken naar alledaagse verantwoordingstekortkomingen in het middensegment.

Wat veranderde in 2026: omnibus, doorgiften, AI

Drie bewegende delen die elke Europese compliance-verantwoordelijke in 2026 zou moeten volgen:

De AVG-procedureverordening. Op 4 juli 2023 door de Commissie voorgesteld om de grensoverschrijdende handhaving via het éénloketmechanisme te stroomlijnen, en in juni 2025 politiek overeengekomen, moet deze hervorming samenwerkingstermijnen en procedurele rechten (recht om gehoord te worden, inzage in het dossier) tussen toezichthouders harmoniseren. Zolang de definitieve tekst niet formeel is gepubliceerd en van toepassing is, is dit een signaal voor de handhavingsrichting, geen nieuwe operationele deadline.

De "Digital Omnibus"-vereenvoudiging. Gepubliceerd op 19 november 2025 stelt het Digital Omnibus-pakket van de Commissie voor om delen van het EU-gegevensregelboek te vereenvoudigen — inclusief de registerverplichtingen van de AVG — en wordt het onderhandeld naast aanpassingen aan de AI Act-tijdlijn. Medio 2026 is het nog niet definitief; behandel het als een richting, niet als een voldongen feit, en ontmantel uw controles niet vooruitlopend.

Doorgiften en het Data Privacy Framework. Het adequaatheidsbesluit voor het EU-VS Data Privacy Framework (2023) werd op 3 september 2025 door het Gerecht van de EU bevestigd in de zaak Latombe / Commissie (T-553/23), maar de zaak is in hoger beroep. Het DPF blijft voorlopig operationeel geldig; voorzichtige organisaties houden SCC's achter de hand mocht het beroep het verstoren.

AVG en de EU AI Act. De AI Act (in werking sinds 1 augustus 2024) vervangt de AVG niet. AI-systemen die persoonsgegevens verwerken, hebben nog steeds een rechtsgrond, minimale gegevensverwerking, transparantie en — vaak — een effectbeoordeling nodig. De AI Act legt eigen verplichtingen daarbovenop, met transparantieregels (waaronder het labelen van AI-gegenereerde inhoud) die vanaf 2 augustus 2026 gelden en termijnen voor AI met hoog risico die door een politiek akkoord van mei 2026 zijn verlengd. Meer hierover in onze gids voor de EU AI Act.

De AVG buiten de EU-27: UK en Noorwegen

AVG-compliance is een Europees vraagstuk, niet alleen EU-27 — en de kaart loopt nu actief uiteen.

Verenigd Koninkrijk. Na de Brexit behield het VK de EU-AVG als "UK GDPR" naast de Data Protection Act 2018, gereguleerd door de ICO. De Data (Use and Access) Act 2025 (DUAA) kreeg op 19 juni 2025 koninklijke goedkeuring, waarbij de meeste gegevensbeschermingsbepalingen op 5 februari 2026 in werking traden. Belangrijke afwijkingen van de EU-AVG:

• "Erkende gerechtvaardigde belangen" die voor bepaalde doeleinden (bijv. criminaliteitspreventie, bescherming van kwetsbaren, noodsituaties) geen afwegingstoets vereisen.
• Soepelere regels voor geautomatiseerde besluiten bij niet-gevoelige gegevens, met waarborgen gericht op "significante besluiten" en bijzondere gegevens.
• Een "redelijke en evenredige" zoeknorm bij inzageverzoeken, met een klokstop terwijl u verduidelijking inwint.
• Een adequaatheids-/doorgiftetoets "niet wezenlijk lager" in plaats van de strengere EU-norm "in wezen gelijkwaardig".
• PECR-(cookie-)boetes op AVG-niveau — tot 17,5 miljoen pond of 4% van de wereldwijde omzet — en de omvorming van de ICO tot de Information Commission.

Noorwegen en de EER. Noorwegen is geen EU-lid maar past via de EER-overeenkomst de ongewijzigde EU-AVG toe (overgenomen via Besluit nr. 154/2018 van het Gemengd Comité van de EER), uitgevoerd door de Personopplysningsloven (wet persoonsgegevens), van kracht sinds 20 juli 2018 en onder toezicht van Datatilsynet. Noorwegen kent geen uitzondering "erkende gerechtvaardigde belangen", behoudt de volledige beperkingen van artikel 22 voor geautomatiseerde besluiten en past de norm "in wezen gelijkwaardig" toe — het volgt dus de EU, niet het VK.

Het praktische gevolg voor elk bedrijf dat in het VK en in de EU/EER actief is: waar beide regimes gelden, moet u het strengste naleven. Britse versoepelingen reiken niet tot in de EER; wie naar de EU-norm bouwt, is tegelijk compliant in Noorwegen, Duitsland, Frankrijk, Nederland en het VK.

AVG, NIS2 en DORA: één bewijsbasis

De AVG staat niet meer op zichzelf. De Europese cyberbeveiligings- en weerbaarheidswetten hergebruiken hetzelfde controlevocabulaire, en het bewijs overlapt sterk:

Vereiste	AVG	NIS2	DORA
Risicogebaseerde beveiligingsmaatregelen	Art. 32	Art. 21, lid 2	Art. 5–15 (ICT-risico)
Incident-/datalekmelding	Art. 33–34 (72 u)	Art. 23 (vroege waarschuwing 24 u)	Art. 19 (ernstige ICT-incidenten)
Derdepartij-/ketenborging	Art. 28 (verwerkers)	Art. 21, lid 2, d)	Art. 28–30 (ICT-dienstverleners)
Governance en verantwoording	Art. 5, lid 2	Art. 20 (aansprakelijkheid bestuur)	Art. 5 (leidinggevend orgaan)

Een bedrijf dat onder alle drie valt, heeft geen drie programma's nodig — het heeft één bewijsbasis nodig die naar drie regimes is gemapt. Uw maatregelen onder artikel 32 voldoen grotendeels aan NIS2 artikel 21, lid 2; uw verwerker-due-diligence onder artikel 28 is de ruggengraat van DORA's derdepartijrisicobeheer. Ze als losse projecten behandelen, is de manier om compliancebudgetten te verspillen. Zie onze gidsen over de NIS2-richtlijn en DORA-compliance voor de gedetailleerde mapping.

Van AVG-bewijs naar een Europees Trust Center

Het verantwoordingsbeginsel en artikel 28, lid 3, onder h) creëren dezelfde operationele behoefte vanuit twee richtingen: u moet bewijs leveren — aan toezichthouders (inkomend) en aan klanten (uitgaand). Een Trust Center is de plek waar dat bewijs leeft.

Als verantwoordelijke structureert een Trust Center de due diligence op uw eigen verwerkers: hun verwerkersovereenkomsten, maatregelen, subverwerkerslijsten en certificaten, bijgehouden en gemonitord in plaats van jaarlijks opnieuw verzameld. Als verwerker beantwoordt het de verzoeken van uw klanten onder artikel 28, lid 3, onder h) — verwerkersovereenkomst, maatregelen, ISO 27001-/SOC 2-rapporten, subverwerkerslijst, registerfragmenten — vanaf één plek met toegangscontrole en altijd actueel, in plaats van een nieuwe e-mailketen en een handmatige documentenzoektocht per deal.

Voor Europese kopers telt ook de dimensie van gegevenslokalisatie: een in de EU gehost Trust Center omzeilt de doorgiftevragen die het Latombe-beroep levend houdt. Met continue monitoring blijft het bewijs automatisch actueel, zodat verantwoording niet langer een kwartaalkrachttoer is maar een staande capaciteit. Precies dat beloont dit hele kader: de overgang van compliance doen naar compliance aantonen.

Maak van AVG-bewijs een koopklaar Europees Trust Center. Ontdek hoe Orbiq uw verwerkersovereenkomsten, maatregelen en certificaten bundelt, zodat elke toezichthouder en prospect al bij het eerste verzoek een actueel antwoord krijgt.

---

Bronnen en referenties

1. Verordening (EU) 2016/679 (AVG) — volledige tekst — Publicatieblad van de Europese Unie.
2. gdpr-info.eu — Artikel 5 (Beginselen van verwerking) — De zeven beginselen.
3. gdpr-info.eu — Artikel 6 (Rechtmatigheid van verwerking) — De zes rechtsgronden.
4. gdpr-info.eu — Artikel 83 (Algemene voorwaarden voor boetes) — De twee boeteniveaus.
5. CMS GDPR Enforcement Tracker — Statistieken — Cumulatieve boetes en hoogste enkelvoudige sancties.
6. EDPB-jaarverslag 2025 — TikTok 530 miljoen euro en handhaving 2025.
7. AVG-boetes Q1 2026 — Acompli — Boetes Q1 2026 (~68 miljoen euro), CNIL- en ICO-acties.
8. Europese Commissie — AVG-procedureverordening — Hervorming van grensoverschrijdende handhaving en politiek akkoord van juni 2025.
9. Reed Smith — The Great GDPR Divergence: UK DUAA vs EU Omnibus — Analyse van de UK/EU-divergentie.
10. DLA Piper — Inwerkingtreding DUAA-gegevensbeschermingsbepalingen (feb. 2026) — DUAA van kracht op 5 februari 2026.
11. ICO — Data (Use and Access) Act 2025 — Richtsnoeren van de Britse toezichthouder.
12. Datatilsynet — Noorse gegevensbeschermingsautoriteit — De Noorse AVG via de EER.
13. Gerecht van de EU — Latombe / Commissie (T-553/23) — EU-VS Data Privacy Framework bevestigd op 3 september 2025 (in beroep).

---

Verder lezen

• AVG-artikelen 28, 32, 33 en 34: de naslagreferentie
• Subverwerkerbeheer onder AVG-artikel 28
• De NIS2-richtlijn: vereisten, deadlines en handhaving
• DORA-compliance voor financiële entiteiten
• Wat is een Europees Trust Center?
• Continue monitoring