2LRN4 security awareness platform
← Terug naar kennisbank

Gegevensbescherming en privacy: AVG-essentials voor medewerkers

Praktische uitleg over gegevensbescherming en privacy avg voor organisaties die veilig gedrag structureel willen verbeteren.

Recent bijgewerkt

Van inzicht naar actie

Ontdek hoe je dit onderwerp omzet in een concreet awarenessprogramma met training, phishing simulaties en heldere managementrapportage.

Plan demo Bekijk de primaire oplossingspagina
Alain Rees
Oprichter & Security Awareness Specialist · 2LRN4

De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 het fundament onder al uw verwerkingen van persoonsgegevens. In 2026 staat ze niet meer alleen: de Cyberbeveiligingswet, NIS2 en de AI Act haken erop aan. Maar voor de meeste medewerkers blijft de AVG het kompas dat zegt: wat mag wel met persoonsgegevens, wat niet, en wat moet ik doen wanneer er iets misgaat? Een werkbare uitleg, zonder juridisch jargon.

Wat is een persoonsgegeven, en waarom is dat een gevoelig begrip?

Een persoonsgegeven is elke informatie die een persoon direct of indirect identificeert. Naam en e-mailadres natuurlijk, maar ook telefoonnummer, IP-adres, BSN, een foto, een combinatie van geboortedatum en postcode, en in sommige gevallen zelfs een ipv6-adres of een browser-vingerafdruk. De definitie is bewust breed.

Daarbinnen onderscheidt de AVG bijzondere categorieën van persoonsgegevens: gegevens over gezondheid, ras of etnische afkomst, politieke opvattingen, religie, vakbondslidmaatschap, seksuele geaardheid, biometrische gegevens en genetische gegevens. Deze gegevens vragen om strengere bescherming en mogen alleen in specifieke uitzonderingsgevallen worden verwerkt.

Voor uw werk betekent dit: behandel iedere lijst, mail of database met naam-en-meer als persoonsgegevens, en behandel gezondheid, identiteitsnummers en biometrie als bijzonder gevoelig. In de praktijk vergissen mensen zich niet op die definities, maar op de gevolgen: zij weten dat iets persoonsgegevens zijn, maar handelen er nonchalant mee, vooral wanneer de werkdruk hoog is.

De zes principes die de AVG van u vraagt

Artikel 5 van de AVG legt zes principes vast. U hoeft ze niet uit het hoofd te kennen, maar ze terugzien in uw gedrag helpt enorm:

  • Rechtmatigheid, behoorlijkheid en transparantie. U mag persoonsgegevens alleen verwerken op een wettelijke basis (toestemming, contract, wettelijke plicht, etcetera) en moet daar transparant over zijn.
  • Doelbinding. Gegevens die zijn verzameld voor doel A, gebruikt u niet zomaar voor doel B. Een klantbestand voor facturatie is geen marketingbestand.
  • Minimale gegevensverwerking. Verzamel alleen wat u echt nodig hebt. Tien velden in een formulier waarvan er maar drie worden gebruikt, is geen AVG-conform formulier.
  • Juistheid. Gegevens moeten kloppen en actueel zijn. Een verkeerd e-mailadres mag gecorrigeerd worden op verzoek; in sommige gevallen is dat verplicht.
  • Opslagbeperking. Bewaar gegevens niet langer dan nodig. Een sollicitatiebrief van een afgewezen kandidaat na vier weken vernietigen is meestal de norm; in beleid afgesproken termijnen helpen hierbij.
  • Integriteit en vertrouwelijkheid. Zorg voor passende beveiliging tegen verlies, ongeoorloofde toegang en wijziging. Hier raken AVG en cybersecurity elkaar direct.

De rechten van betrokkenen, en wat u moet doen

Personen wier gegevens u verwerkt, hebben rechten die u moet kunnen honoreren. De belangrijkste:

Het recht op inzage: een betrokkene mag opvragen welke gegevens u over hem heeft. U bent in de regel verplicht binnen één maand te reageren, met een verlenging tot drie maanden bij complexe verzoeken.

Het recht op correctie en verwijdering ("vergetelheid"): onjuiste gegevens moeten worden gecorrigeerd en, in veel gevallen, op verzoek verwijderd. Uitzonderingen bestaan, vooral bij wettelijke bewaarplichten.

Het recht op beperking en bezwaar: een betrokkene kan vragen verwerking te pauzeren of bezwaar te maken tegen bepaalde verwerkingen (bijvoorbeeld marketing).

Voor medewerkers betekent dit: krijgt u een AVG-verzoek (per mail, brief of telefoon), stuur het direct door naar de privacy-officer of het centrale meldpunt. Reageer niet zelf met een afwijzing of belofte; de termijnen lopen vanaf het moment van ontvangst.

Datalek: wat het is en wat u doet

Een datalek is een inbreuk op de beveiliging die leidt tot verlies van persoonsgegevens, ongeoorloofde toegang of wijziging. Voorbeelden: een laptop verloren, een mail naar de verkeerde ontvanger, een gehackt systeem, een per ongeluk publiek gedeelde map met klantgegevens.

De meldplicht is strikt. Een datalek met risico voor betrokkenen moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AVG artikel 33). Bij hoog risico moeten ook de betrokkenen worden geïnformeerd (artikel 34). De klok start zodra de organisatie kennis krijgt van het lek, dus zodra u het meldt.

Praktisch: meld een vermoedelijk datalek direct intern bij IT, de privacy-officer of het beveiligingsteam. Niet zelf inschatten of het "wel" een datalek is; dat is een formele beoordeling die de privacy-officer maakt. Liever tien valse meldingen dan één gemiste echte. Werk daarna mee aan onderzoek, terugkoppeling en eventueel klantcommunicatie.

AVG, AI Act en NIS2: hoe ze samenwerken

De AVG raakt vrijwel altijd aan andere wettelijke kaders. Drie combinaties die u in 2026 dagelijks tegenkomt:

AVG en AI Act. Wanneer een AI-systeem persoonsgegevens verwerkt, gelden beide wetten. De AVG vraagt om rechtmatige grondslag, transparantie en betrokkenenrechten; de AI Act vraagt om risicoclassificatie, transparantie van het systeem en, sinds 2 februari 2025, AI-geletterdheid van uw medewerkers. Het beleid voor AI-gebruik moet beide eisen reflecteren.

AVG en NIS2/Cbw. Een datalek is vaak ook een meldenswaardig cybersecurity-incident. Onder de Cbw geldt een eigen meldplicht (24/72 uur) bij significante incidenten; onder de AVG de 72-uurs meldplicht voor persoonsgegevens. Een goed responsproces meldt beide tegelijk waar dat moet.

AVG en DORA. Voor financiële instellingen gelden de AVG én DORA. Bij een ICT-incident dat persoonsgegevens raakt, moeten beide meldingen lopen, soms aan dezelfde toezichthouder (DNB) maar via andere routes.

Hoe u dit verankert in een awareness-programma

AVG-bewustzijn hoort in elk basisprogramma. Praktische opbouw: een module van zes tot acht minuten over de zes principes plus de meldroute, een verdiepingsmodule voor functies die veel met persoonsgegevens werken (HR, marketing, klantenservice, zorg), en jaarlijkse opfrissing met actuele voorbeelden.

Combineer dat met praktische zichtbaarheid: een korte handleiding "wat doe ik bij een vermoedelijk datalek?" in de mailclient, een rolgebaseerd onderdeel in het onboarding-traject, en jaarlijkse rapportage aan het bestuur over aantal en aard van datalekken. Dat laatste is bij toezichthouders relevant en helpt bij verdere prioritering.

Onder de Cbw is documentatie cruciaal. Een goed platform legt automatisch vast wie wanneer welke AVG-module heeft afgerond, en levert auditrapportages op aanvraag. Een statische lijst in een gedeelde map is bij een audit zelden voldoende; aantoonbaarheid eist administratie die bij inspectie eenvoudig terug te halen is.

Van uitleg naar aanpak

Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar programma met training, phishing simulatie en managementrapportage.

Bekijk de NIS2-pagina

Gerelateerde artikelen

Bronnen

FAQ

Wat is een persoonsgegeven precies?

Elke informatie die een persoon direct of indirect identificeert: naam, e-mail, telefoonnummer, IP-adres, foto, BSN, soms zelfs een combinatie van geboortedatum en postcode. Bijzondere categorieën (gezondheid, biometrie, religie) vragen extra bescherming.

Wanneer is iets een datalek?

Een inbreuk op de beveiliging met verlies, ongeoorloofde toegang of wijziging van persoonsgegevens. Voorbeelden: verloren laptop, mail naar verkeerde ontvanger, gehackt systeem, per ongeluk publiek gedeelde map met klantgegevens.

Binnen hoeveel tijd moet een datalek gemeld worden?

Bij risico voor betrokkenen binnen 72 uur aan de Autoriteit Persoonsgegevens. Bij hoog risico ook aan de betrokkenen zelf. De klok start zodra de organisatie kennis krijgt van het lek.

Wat moet ik doen als ik een AVG-verzoek krijg?

Direct doorsturen naar de privacy-officer of het centrale meldpunt. Niet zelf reageren met een afwijzing of belofte; de termijnen lopen vanaf ontvangst en de afhandeling vereist juridische beoordeling.

Mag ik een gratis online vertaler gebruiken voor een document met klantgegevens?

Liever niet, tenzij de dienst door uw organisatie is goedgekeurd. Veel gratis diensten houden invoer vast voor verdere modeltraining, wat een doorgifte aan een derde partij is zonder verwerkersovereenkomst. Dat is een AVG-issue.

Wat is doelbinding?

Het principe dat persoonsgegevens die voor doel A zijn verzameld, niet zomaar voor doel B mogen worden gebruikt. Een klantbestand voor facturatie is bijvoorbeeld geen marketingbestand.

Hoe verhoudt de AVG zich tot de AI Act?

Wanneer een AI-systeem persoonsgegevens verwerkt, gelden beide. AVG voor grondslag en betrokkenenrechten, AI Act voor risicoclassificatie, transparantie en, sinds februari 2025, AI-geletterdheid van medewerkers.

Externe bron: Digital Trust Center - NIS2

Lees ook
Welke compliance-eisen vereisen training in beveiligingsbewustzijn? → Beleid voor aanvaardbaar gebruik (AUP): wat er in moet staan →
Volgende stap

Gebruik dit artikel als basis en bekijk daarna hoe 2LRN4 dit onderwerp praktisch vertaalt naar doelgroepsegmentatie, training en rapportage.

Plan demo Download gids Meer artikelen