Wat is het verschil tussen gegevensprivacy en gegevensbeveiliging?

Gegevensbeveiliging beschermt gegevens tegen ongeautoriseerde toegang, inbreuken en aanvallen door technische controles (versleuteling, toegangscontroles, firewalls). Gegevensprivacy regelt hoe gegevens worden verzameld, gebruikt en gedeeld in overeenstemming met regelgeving en individuele rechten. Beveiliging is een voorwaarde voor privacy — u kunt geen privacy hebben zonder beveiliging, maar beveiliging alleen garandeert geen privacy. Privacy voegt doelbinding, toestemmingsbeheer en rechten van betrokkenen toe bovenop beveiligingscontroles.

Wat is Privacy by Design?

Privacy by Design is een framework dat vereist dat privacy wordt ingebouwd in het ontwerp van systemen, processen en bedrijfspraktijken vanaf het begin, in plaats van achteraf toegevoegd. De zeven principes omvatten: proactief in plaats van reactief, privacy als standaardinstelling, privacy ingebed in het ontwerp, volledige functionaliteit (positieve-som), end-to-end beveiliging, zichtbaarheid en transparantie, en respect voor de privacy van gebruikers. Privacy by Design wordt vereist door AVG Artikel 25.

Wat is een gegevensbeschermingseffectbeoordeling (DPIA)?

Een DPIA is een systematische beoordeling van hoe een gegevensverwerkingsactiviteit de privacy van individuen beinvloedt. Het identificeert privacyrisico's, evalueert hun ernst en waarschijnlijkheid, en bepaalt mitigatiemaatregelen. DPIA's zijn vereist onder AVG Artikel 35 wanneer verwerking waarschijnlijk een hoog risico oplevert voor individuen, zoals grootschalige profilering, systematische monitoring of verwerking van bijzondere categorieen van persoonsgegevens.

Wat zijn de rechten van betrokkenen onder de AVG?

De AVG verleent individuen acht belangrijke rechten: Recht op inzage (Artikel 15), Recht op rectificatie (Artikel 16), Recht op gegevenswissing/recht om vergeten te worden (Artikel 17), Recht op beperking van verwerking (Artikel 18), Recht op gegevensoverdraagbaarheid (Artikel 20), Recht van bezwaar (Artikel 21), Rechten met betrekking tot geautomatiseerde besluitvorming en profilering (Artikel 22), en Recht op informatie (Artikelen 13-14). Organisaties moeten binnen een maand reageren.

Wat is een register van verwerkingsactiviteiten (RvVA)?

Een register van verwerkingsactiviteiten (RvVA) is een gedocumenteerd overzicht van alle verwerkingsactiviteiten van persoonsgegevens binnen een organisatie. Vereist door AVG Artikel 30, moet het bevatten: verwerkingsdoeleinden, categorieen van betrokkenen en persoonsgegevens, ontvangers, internationale doorgifte, bewaartermijnen en technische/organisatorische beveiligingsmaatregelen. Het RvVA dient als basis voor privacycompliance en auditgereedheid.

Wat is gegevensminimalisatie?

Gegevensminimalisatie is het principe van het verzamelen en verwerken van alleen de minimale persoonsgegevens die nodig zijn voor een specifiek, legitiem doel. AVG Artikel 5(1)(c) vereist dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is. Het implementeren van gegevensminimalisatie vermindert de impact van inbreuken, vereenvoudigt compliance, verlaagt opslagkosten en bouwt vertrouwen bij gebruikers op. Beoordeel gegevensverzamelingsformulieren, API's en analytics om onnodige gegevenspunten te elimineren.

Welke complianceframeworks vereisen gegevensprivacycontroles?

AVG (uitgebreide gegevensbeschermingsverordening), ISO 27001 (A.5.34 — Privacy en bescherming van persoonsgegevens), SOC 2 (Privacycriteria — Kennisgeving, keuze, toestemming, verzameling, gebruik, bewaring, openbaarmaking, toegang, kwaliteit, monitoring), NIS2 (Artikel 21 — verwijzingen naar bescherming van persoonsgegevens), DORA (Artikel 19 — melding van inbreuken op persoonsgegevens), CCPA/CPRA, LGPD en sectorspecifieke regelgeving zoals HIPAA vereisen allemaal gegevensprivacycontroles.

Gegevensprivacy: de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Gegevensprivacy: de complete gids voor compliance- en beveiligingsteams

Q: Wat is gegevensprivacy?

Gegevensprivacy is het recht van individuen om te bepalen hoe hun persoonlijke informatie wordt verzameld, gebruikt, opgeslagen en gedeeld. Voor organisaties omvat gegevensprivacy het beleid, de processen en technologieen die ervoor zorgen dat persoonsgegevens worden verwerkt in overeenstemming met toepasselijke wetgeving (AVG, CCPA, LGPD) en in overeenstemming met de verwachtingen en toestemming van individuen. Het bestrijkt de gehele levenscyclus van gegevens, van verzameling tot verwijdering.

Leer hoe u gegevensprivacycontroles implementeert die voldoen aan AVG, ISO 27001, SOC 2, NIS2 en DORA. Behandelt dataclassificatie, toestemmingsbeheer, DPIA's, rechten van betrokkenen en compliancebewijs.

gegevensprivacy

AVG

gegevensbescherming

privacy by design

compliance

Wat is gegevensprivacy?

Gegevensprivacy is de discipline die ervoor zorgt dat persoonsgegevens worden verzameld, verwerkt, opgeslagen en gedeeld in overeenstemming met wettelijke vereisten en individuele rechten. Het regelt de regels rond hoe organisaties persoonsgegevens verwerken — van toestemming voor verzameling tot verwijdering — en biedt individuen controle over hun informatie.

In het regelgevingslandschap van de AVG, CCPA en opkomende privacywetgeving wereldwijd is gegevensprivacy een bestuurskwestie geworden die specifieke processen, technologieen en governancestructuren vereist.

Privacyprincipes

Principe	Beschrijving	AVG-artikel
Rechtmatigheid, behoorlijkheid, transparantie	Gegevens rechtmatig, behoorlijk en transparant verwerken	Art. 5(1)(a)
Doelbinding	Gegevens verzamelen voor gespecificeerde, uitdrukkelijke, gerechtvaardigde doeleinden	Art. 5(1)(b)
Gegevensminimalisatie	Alleen verzamelen wat noodzakelijk is	Art. 5(1)(c)
Juistheid	Persoonsgegevens nauwkeurig en actueel houden	Art. 5(1)(d)
Opslagbeperking	Gegevens alleen bewaren zolang noodzakelijk	Art. 5(1)(e)
Integriteit en vertrouwelijkheid	Gegevens beschermen met passende beveiliging	Art. 5(1)(f)
Verantwoordingsplicht	Naleving van alle principes aantonen	Art. 5(2)

Rechtsgrondslagen voor verwerking

Rechtsgrondslag	Wanneer te gebruiken	Voorbeelden
Toestemming	Individu geeft vrijelijk geinformeerde instemming	Marketing-e-mails, cookies, analytics
Overeenkomst	Verwerking noodzakelijk voor uitvoering van een overeenkomst	Orderverwerking, dienstverlening
Wettelijke verplichting	Verwerking wettelijk vereist	Belastingaangifte, regelgevende meldingen
Vitale belangen	Bescherming van iemands leven	Noodmedische gegevensdeling
Algemeen belang	Verwerking voor publiek belang	Volksgezondheid, archivering
Gerechtvaardigd belang	Bedrijfsbehoefte afgewogen tegen individuele rechten	Fraudepreventie, netwerkbeveiliging

Rechten van betrokkenen

Recht	AVG-artikel	Reactietijd	Belangrijkste vereisten
Inzage	Art. 15	1 maand	Kopie van alle persoonsgegevens verstrekken
Rectificatie	Art. 16	1 maand	Onjuiste gegevens corrigeren
Gegevenswissing	Art. 17	1 maand	Gegevens verwijderen wanneer niet langer nodig
Beperking	Art. 18	1 maand	Verwerking beperken tijdens geschilbeslechting
Overdraagbaarheid	Art. 20	1 maand	Gegevens in machineleesbaar formaat verstrekken
Bezwaar	Art. 21	1 maand	Verwerking op basis van gerechtvaardigde belangen stopzetten
Geautomatiseerde besluiten	Art. 22	1 maand	Recht om niet onderworpen te worden aan geautomatiseerde besluiten

Gegevensbeschermingseffectbeoordeling (DPIA)

Fase	Activiteiten	Resultaat
Screening	Bepalen of DPIA vereist is (verwerkingen met hoog risico)	DPIA-noodzakelijkheidsbeoordeling
Beschrijving	Verwerkingsactiviteit, gegevensstromen, doeleinden documenteren	Verwerkingsbeschrijving
Noodzakelijkheidsbeoordeling	Proportionaliteit en gegevensminimalisatie evalueren	Noodzakelijkheids- en proportionaliteitsanalyse
Risico-identificatie	Risico's voor rechten en vrijheden van individuen identificeren	Risicoregister
Risicomitigatie	Maatregelen bepalen om geidentificeerde risico's aan te pakken	Mitigatieplan
FG-consultatie	Advies van de Functionaris Gegevensbescherming inwinnen	FG-advies
Documentatie	Beoordeling, beslissingen en restrisico's vastleggen	DPIA-rapport

Bewaartermijnenframework

Gegevenscategorie	Typische bewaartermijn	Rechtsgrondslag	Verwijderingsmethode
Klantovereenkomsten	Duur + 6 jaar	Wettelijke verplichting (verjaringstermijn)	Veilige verwijdering
Personeelsdossiers	Duur + 7 jaar	Wettelijke verplichting (fiscaal, arbeidsrecht)	Veilige verwijdering
Marketingtoestemming	Tot intrekking	Toestemming	Onmiddellijke verwijdering
Websiteanalytics	26 maanden	Gerechtvaardigd belang	Automatische opschoning
Beveiligingslogboeken	1-5 jaar	Gerechtvaardigd belang / wettelijke verplichting	Automatische opschoning
Backupgegevens	90 dagen roterend	Gerechtvaardigd belang	Automatische rotatie

Internationale doorgifte van gegevens

Mechanisme	Toepassingsgeval	Complexiteit
Adequaatheidsbesluit	Doorgifte naar landen met adequaat beschermingsniveau	Laag
Standaardcontractbepalingen (SCC's)	Meest gebruikte mechanisme voor doorgifte naar derde landen	Gemiddeld
Bindende bedrijfsvoorschriften (BCR's)	Intra-groepsdoorgifte bij multinationals	Hoog
Afwijkingen	Uitdrukkelijke toestemming, contractuele noodzaak	Per geval
EU-VS Data Privacy Framework	Doorgifte naar gecertificeerde VS-bedrijven	Gemiddeld

Compliancevereisten

Frameworkmapping

Vereiste	AVG	ISO 27001	SOC 2	NIS2
Privacybeleid	Art. 13-14	A.5.34	P1.1	Art. 21
Toestemmingsbeheer	Art. 6-7	A.5.34	P3.1	—
Rechten van betrokkenen	Art. 15-22	A.5.34	P4.1-P8.1	—
Register van verwerking	Art. 30	A.5.34	P1.2	—
DPIA	Art. 35	A.5.34	—	Art. 21(2)(a)
Melding gegevenslek	Art. 33-34	A.5.24	CC7.3	Art. 23
Internationale doorgifte	Art. 44-49	A.5.34	P5.1	—
Functionaris gegevensbescherming	Art. 37-39	—	—	—

Auditbewijs

Bewijstype	Beschrijving	Framework
Privacybeleid	Gepubliceerde, actuele privacyverklaring	Alle frameworks
Register van verwerking (RvVA)	Volledig overzicht van verwerkingsactiviteiten	AVG, ISO 27001
Toestemmingsrecords	Bewijs van geldige toestemmingsverzameling en -beheer	AVG
DPIA-rapporten	Voltooide beoordelingen voor verwerkingen met hoog risico	AVG, NIS2
Logboek verzoeken betrokkenen	Records van ontvangen verzoeken en reacties	AVG
Verwerkersovereenkomsten	Overeenkomsten met verwerkers onder Artikel 28	AVG
Mechanismen internationale doorgifte	SCC's, BCR's of adequaatheidsdocumentatie	AVG
Bewaartermijnschema	Gedocumenteerde bewaartermijnen met rechtsgrondslag	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Voor alles op toestemming vertrouwen	Toestemmingsmoeheid, ongeldige toestemming, intrekkingsrisico	Gebruik passende rechtsgrondslag — toestemming is een van zes opties
Geen gegevensinventarisatie	Kan niet voldoen aan RvVA of rechten van betrokkenen	Maak en onderhoud uitgebreide gegevensmapping
Bewaartermijnen negeren	Gegevens onbeperkt bewaren vergroot impact van inbreuken	Implementeer geautomatiseerd bewaar- en verwijderbeleid
Privacybeleid als afvinkoefening	Non-compliance, handhavingsactie	Zorg dat beleid daadwerkelijke praktijken weerspiegelt
Geen DPIA-proces	Ontbrekende risicobeoordelingen voor verwerkingen met hoog risico	Implementeer DPIA-screening en -beoordelingsproces
Privacy behandelen als alleen-IT	Mist bedrijfsproces- en juridische dimensies	Multifunctioneel privacyprogramma met juridisch, IT en business

Hoe Orbiq gegevensprivacycompliance ondersteunt

Orbiq helpt u gegevensprivacycontroles aan te tonen:

Bewijsverzameling — Centraliseer privacybeleid, DPIA's, RvVA en toestemmingsrecords
Continue monitoring — Volg effectiviteit van privacycontroles en compliancepercentages
Trust Center — Deel uw privacyhouding via uw Trust Center
Compliancemapping — Koppel privacycontroles aan AVG, ISO 27001, SOC 2 en NIS2
Auditgereedheid — Kant-en-klare bewijspakketten voor auditors en AP-beoordeling

Verder lezen

Dataclassificatie — Gegevens classificeren voor passende privacycontroles
Encryptie — Technische bescherming van persoonsgegevens
Identiteits- en toegangsbeheer — Toegangscontrole voor persoonsgegevens
Incidentrespons — Procedures voor melding van datalekken
Derdenrisicobeheer — Beheer van risico's bij verwerkers
ISMS — Privacy binnen het informatiebeveiligingsmanagementsysteem