Gids Gegevensprivacy Naleving

GDPR-compliance voor bedrijven in de EU: wat u eigenlijk moet hebben

Acht jaar nadat GDPR van kracht werd, heeft een aanzienlijk aantal organisaties nog steeds hiaten in de basis: geen gedocumenteerde wettelijke basis, plannen voor respons op inbreuken waarbij de meldingstermijn van 72 uur wordt overgeslagen en gegevensverwerkingsgegevens die nooit zijn bijgewerkt. Deze gids behandelt de verplichtingen die er het meest toe doen en hoe u deze praktisch kunt aanpakken.

CT
Cyvra-team
Cyvra-advies
29 april 2026
8 minuten lezen
Belangrijkste afhaalrestaurants
  • GDPR is van toepassing op elke organisatie die gegevens van EU-inwoners verwerkt, ongeacht waar die organisatie gevestigd is
  • Elke verwerkingsactiviteit moet een gedocumenteerde wettelijke basis hebben voordat deze wordt gestart, en niet nadat een klacht is ontvangen
  • U heeft 72 uur de tijd om uw toezichthoudende autoriteit op de hoogte te stellen nadat u een inbreuk heeft ontdekt die een risico voor individuen inhoudt
  • Verzoeken om rechten van betrokkenen moeten binnen een maand worden beantwoord, zonder kosten voor het individu
  • Tier 2-boetes kunnen oplopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is

Op wie is GDPR van toepassing

De extraterritoriale reikwijdte van GDPR is het onderdeel dat de meeste organisaties onderschatten. Artikel 3 zorgt ervoor dat de verordening van toepassing is op elke organisatie die persoonsgegevens van individuen in de EU of EER verwerkt, ongeacht waar de organisatie gevestigd is. Een bedrijf gevestigd in New York dat softwareabonnementen verkoopt aan Nederlandse bedrijven, of een Braziliaans bedrijf dat het surfgedrag van Franse websitebezoekers monitort, valt onder GDPR. Locatie van uw servers of uw rechtspersoon is niet de bepalende factor. Het verwerken van gegevens van EU-inwoners is.

De verordening maakt onderscheid tussen twee rollen. A gegevensbeheerder is elke organisatie die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. A gegevensverwerker handelt namens een verwerkingsverantwoordelijke. Beide rollen brengen verplichtingen met zich mee onder GDPR, maar controllers dragen de primaire verantwoordelijkheid. Als u een tool van derden gebruikt om klantgegevens te verwerken, bent u de verwerkingsverantwoordelijke en is die leverancier uw verwerker: hun tekortkomingen in de naleving kunnen uw blootstelling aan de regelgeving worden.

Gegevens uit speciale categorieën

GDPR hanteert strengere regels voor gegevens van speciale categorieën: gezondheids- en medische informatie, biometrische gegevens die worden gebruikt voor identificatie, genetische gegevens, ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van een vakbond en gegevens over seksuele geaardheid of seksleven. Voor het verwerken van deze gegevens is naast een standaard rechtsgrondslag een aanvullende voorwaarde uit artikel 9 vereist. Zorgorganisaties, HR-afdelingen en elk platform dat gezondheidsgerelateerde informatie verzamelt, moeten hun artikel 9-grondslag zorgvuldig herzien.

De zes wettelijke grondslagen voor verwerking

Elke verwerkingsactiviteit moet berusten op een van de zes wettelijke grondslagen in artikel 6. Het kiezen van de juiste is van belang omdat deze bepaalt welke rechten van toepassing zijn en wat u aan individuen moet communiceren. Organisaties geven vaak geen toestemming wanneer een geschiktere basis beter zou dienen en minder doorlopende verplichtingen zou creëren.

1
Toestemming
Het individu heeft duidelijke, geïnformeerde, vrijelijk gegeven en intrekbare toestemming gegeven. Geschikt voor optionele services en marketing. Toestemming moet net zo gemakkelijk kunnen worden ingetrokken als gegeven.
2
Contract
De verwerking is noodzakelijk om een ​​contract met het individu uit te voeren, of om op diens verzoek precontractuele stappen te ondernemen. Omvat de verwerking van klantgegevens om een ​​betaalde dienst te leveren.
3
Wettelijke verplichting
Verwerking is vereist door de EU-wetgeving of de wetgeving van de lidstaten. Omvat loonbelastinggegevens, controles ter bestrijding van het witwassen van geld en andere wettelijk verplichte activiteiten.
4
Vitale belangen
Verwerking is noodzakelijk om iemands leven te beschermen. Een smalle basis, relevant in medische noodgevallen waarbij geen toestemming kan worden verkregen.
5
Publieke taak
De verwerking is noodzakelijk voor een taak die wordt uitgevoerd in het algemeen belang of in het kader van de uitoefening van openbaar gezag. Geldt voornamelijk voor overheidsinstanties en bepaalde gereguleerde activiteiten.
6
Gerechtvaardigde belangen
De verwerking is noodzakelijk voor de legitieme belangen van de verwerkingsverantwoordelijke of een derde partij, op voorwaarde dat deze belangen niet terzijde worden geschoven door de rechten van het individu. Vereist een gedocumenteerde balanceringstest.

Gerechtvaardigde belangen zijn de meest flexibele basis, maar ook de meest onderzochte. Er is een test in drie delen nodig: het identificeren van het legitieme belang, het bevestigen dat de verwerking noodzakelijk is voor dat belang, en het afwegen ervan tegen de rechten van het individu. Die afwegingstoets moet worden gedocumenteerd en niet alleen maar worden aangenomen.

Uw vier kernverplichtingen

Registratie van verwerkingsactiviteiten

Artikel 30 vereist dat organisaties een Register van Verwerkingsactiviteiten (RoPA) bijhouden: een schriftelijke inventarisatie van elke manier waarop u persoonsgegevens verwerkt. Elke invoer moet betrekking hebben op het doel van de verwerking, de betrokken categorieën gegevens en betrokkenen, eventuele derde partijen waarmee u gegevens deelt, overdrachten naar landen buiten de EER en hoe lang de gegevens worden bewaard.

Organisaties met minder dan 250 werknemers zijn technisch gezien vrijgesteld van de volledige RoPA-vereiste, tenzij hun verwerking niet incidenteel plaatsvindt, gegevens uit een speciale categorie betreft of een risico voor individuen met zich meebrengt. In de praktijk zouden de meeste bedrijven die klantgegevens, werknemersgegevens of gezondheidsinformatie verwerken, er één moeten bijhouden. Het vormt de basis van elke andere compliance-activiteit, en toezichthouders vragen er bij de start van vrijwel elk onderzoek om.

Gegevensbeschermingseffectbeoordelingen

Een gegevensbeschermingseffectbeoordeling (DPIA) is vereist voordat wordt begonnen met een verwerking die waarschijnlijk een hoog risico voor individuen met zich meebrengt. Artikel 35 specificeert dat een DPIA altijd vereist is voor grootschalige verwerking van gegevens van speciale categorieën, systematische en uitgebreide profilering die aanzienlijke gevolgen heeft voor individuen, en grootschalige monitoring van publiek toegankelijke gebieden. Toezichthoudende autoriteiten publiceren ook lijsten met verwerkingstypen waarvoor in hun rechtsgebied een DPIA vereist is.

Een DPIA is geen eenmalige oefening. Als u een verwerkingsactiviteit die onder een bestaande DPIA valt wezenlijk wijzigt, moet de beoordeling worden beoordeeld en bijgewerkt.

Melding van inbreuk

Artikel 33 vereist dat u uw nationale toezichthoudende autoriteit op de hoogte stelt binnen 72 uur nadat u zich bewust bent geworden van een inbreuk in verband met persoonsgegevens die waarschijnlijk een risico voor de rechten en vrijheden van individuen zal opleveren. Als u niet binnen 72 uur alle details kunt verstrekken, moet u dit melden met wat u weet en meer informatie verstrekken zodra deze beschikbaar komt. De 72-uursklok gaat in op het moment dat u zich bewust wordt van de inbreuk, niet op het moment dat deze heeft plaatsgevonden.

Wanneer de inbreuk waarschijnlijk een hoog risico voor personen met zich meebrengt, vereist artikel 34 ook dat u de getroffen personen rechtstreeks en zonder onnodige vertraging op de hoogte stelt. Er is geen minimumdrempel voor wat als een inbreuk telt: een verkeerd geadresseerde e-mail met persoonlijke gegevens is een inbreuk en moet worden beoordeeld aan de hand van deze meldingsvereisten.

72u
om uw toezichthoudende autoriteit op de hoogte te stellen nadat u een inbreuk heeft ontdekt die een risico voor individuen inhoudt
€ 20 miljoen
maximale Tier 2-boete, of 4% van de wereldwijde jaaromzet, afhankelijk van welke van de twee hoger is
8
individuele rechten die betrokkenen kunnen uitoefenen met betrekking tot hun persoonsgegevens

Functionaris voor gegevensbescherming

Een FG is op grond van artikel 37 verplicht in drie situaties: u bent een overheidsinstantie of -orgaan; uw kernactiviteiten vereisen grootschalige, systematische monitoring van individuen; of uw kernactiviteiten omvatten grootschalige verwerking van bijzondere gegevens. De DPO moet de middelen krijgen om zijn taken onafhankelijk uit te voeren en rechtstreeks te rapporteren aan het hoogste managementniveau.

Zelfs als een DPO niet wettelijk verplicht is, geeft het aanstellen van een DPO of het aanwijzen van een senior databeschermingsleider aan dat er verantwoording wordt afgelegd aan de toezichthouders en wordt ervoor gezorgd dat iemand eigenaar is van het complianceprogramma. Toezichthoudende autoriteiten merken voortdurend op dat het ontbreken van enige interne verantwoordelijkheid voor gegevensbescherming een verzwarende factor is bij handhavingsbeslissingen.

Rechten van betrokkenen

GDPR verleent individuen acht rechten over hun persoonlijke gegevens. Op al deze verzoeken moet u binnen één kalendermaand kosteloos kunnen reageren. Verlengingen van maximaal twee extra maanden zijn mogelijk voor complexe of talrijke verzoeken, maar u moet de persoon binnen de eerste maand op de hoogte stellen van de verlenging.

1
Recht om geïnformeerd te worden
Individuen moeten duidelijke, transparante informatie ontvangen over de manier waarop u hun gegevens verwerkt, meestal via een privacyverklaring op het moment van verzamelen.
2
Recht op toegang
Individuen kunnen een kopie opvragen van de persoonlijke gegevens die u over hen bewaart, evenals informatie over de manier waarop deze worden verwerkt.
3
Recht op rectificatie
Individuen kunnen van u eisen dat u onjuiste persoonsgegevens corrigeert of onvolledige gegevens aanvult.
4
Recht op verwijdering
Ook wel het recht om vergeten te worden genoemd. Individuen kunnen verzoeken om verwijdering van hun gegevens als er geen dwingende reden is om de verwerking ervan voort te zetten.
5
Recht om de verwerking te beperken
Individuen kunnen u verzoeken de manier waarop u hun gegevens gebruikt in bepaalde omstandigheden te beperken, bijvoorbeeld wanneer de nauwkeurigheid wordt betwist.
6
Recht op dataportabiliteit
Wanneer de verwerking gebaseerd is op toestemming of contract en geautomatiseerd wordt uitgevoerd, kunnen individuen hun gegevens opvragen in een gestructureerd, machinaal leesbaar formaat.
7
Recht om bezwaar te maken
Individuen kunnen bezwaar maken tegen verwerking op basis van legitieme belangen of voor direct marketing. Bezwaren tegen direct marketing moeten onmiddellijk en onvoorwaardelijk worden gehonoreerd.
8
Rechten aangaande. geautomatiseerde beslissingen
Individuen hebben het recht om niet uitsluitend te worden onderworpen aan geautomatiseerde besluiten die aanzienlijke gevolgen voor hen hebben, tenzij er specifieke voorwaarden van toepassing zijn.
Gemeenschappelijk faalpunt

De responsperiode van één maand voor verzoeken om toegang van betrokkenen overrompelt veel organisaties omdat de gegevens die ze moeten ophalen meerdere systemen bestrijken: CRM, e-mail, HR-software, ondersteuningstickets en back-ups. Zonder een duidelijk proces en een benoemde eigenaar overschrijden aanvragen vaak de deadline. Een laattijdige of onvolledige reactie kan door het individu zelfstandig worden gemeld aan de toezichthoudende autoriteit.

De fijne structuur

GDPR-boetes gelden op twee niveaus, en het onderscheid is van belang omdat het hoogste niveau de meest voorkomende nalevingsfouten dekt.

Niveau 1 boetes hebben betrekking op minder ernstige overtredingen, voornamelijk procedurele en technische verplichtingen: het niet bijhouden van adequate gegevens over de verwerking, het niet implementeren van passende technische maatregelen, het niet aanstellen van een DPO wanneer dat nodig is. Tier 1 kan €10 miljoen of 2% van de wereldwijde jaaromzet bereiken.

Niveau 2 boetes zijn van toepassing op de ernstigste inbreuken: het schenden van de kernbeginselen van verwerking (wettigheid, eerlijkheid, transparantie, doelbinding, gegevensminimalisatie), verwerking zonder geldige wettelijke basis, inbreuk op de rechten van betrokkenen en onwettige internationale overdrachten. Tier 2-boetes kunnen oplopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is.

Boetes zijn niet het enige beschikbare handhavingsinstrument. Toezichthoudende autoriteiten kunnen waarschuwingen, berispingen, tijdelijke of permanente verwerkingsverboden en bevelen uitvaardigen om getroffen personen op de hoogte te stellen. De Autoriteit Persoonsgegevens is steeds actiever geworden: haar gepubliceerde handhavingsbesluiten bestrijken alles van onvoldoende toestemming voor cookies tot onvoldoende melding van inbreuken bij grote werkgevers.

Je programma op orde krijgen

Als uw gegevensbeschermingsprogramma onlangs niet is herzien, begin dan met de RoPA. Een actueel, nauwkeurig verwerkingsregister maakt elke andere compliance-activiteit eenvoudiger: beoordelingen van wettelijke basis, DPIAs, updates van privacyverklaringen en reacties op inbreuken zijn allemaal afhankelijk van weten wat u verwerkt en waarom.

  • Controleer uw huidige verwerkingsactiviteiten en documenteer ze allemaal in uw RoPA, inclusief de wettelijke basis voor elke activiteit.
  • Controleer uw privacyverklaringen om er zeker van te zijn dat ze overeenkomen met wat u daadwerkelijk doet, en niet met wat u van plan was te doen toen ze voor het laatst werden geschreven.
  • Bouw een procedure voor reactie op inbreuken waarin de 72-uurs meldingsstap expliciet is opgenomen, waarbij een met naam genoemde persoon verantwoordelijk is voor de communicatie over regelgeving.
  • Breng uw gegevensstromen in kaart naar externe verwerkers. Elke verwerkersrelatie moet worden geregeld door een gegevensverwerkingsovereenkomst zoals vereist door artikel 28.
  • Controleer of u persoonsgegevens buiten de EER doorgeeft. Post-Brexit UK en eventuele overdrachten naar landen zonder adequaatheidsbesluit vereisen passende overdrachtsmechanismen, zoals standaardcontractbepalingen.
  • Test uw reactie op toegangsverzoeken van het onderwerp met een gesimuleerd verzoek voordat er een echt verzoek binnenkomt.
  • If you process special category data or conduct large-scale monitoring, confirm whether a DPIA is required and, if one exists, whether it is current.

The Autoriteit Persoonsgegevens accepts voluntary breach reports and questions from organisations working through compliance gaps. Regulators treat organisations that arrive with a remediation plan more favourably than those found non-compliant during an audit. Our audits and compliance team works with organisations at every stage of building a GDPR programme, from initial gap assessments to ongoing DPO support.

The full GDPR text with article-by-article navigation is available through GDPR.eu. The European Data Protection Board publishes binding guidelines on consent, breach notification, data transfers, and lawful basis at edpb.europa.eu.

Veelgestelde vragen

Is GDPR van toepassing op mijn bedrijf als we buiten de EU gevestigd zijn?

Ja. GDPR is van toepassing op elke organisatie die de persoonsgegevens van individuen in de EU of EER verwerkt, ongeacht waar de organisatie zelf gevestigd is. Dit is de extraterritoriale reikwijdte zoals uiteengezet in artikel 3. Als u goederen of diensten verkoopt aan inwoners van de EU, of het gedrag van individuen in de EU monitort, bent u onderworpen aan GDPR, zelfs als u geen kantoor of rechtspersoon binnen de EU heeft.

Wat is een Registratie van Verwerkingsactiviteiten en hebben wij deze nodig?

Een Register van Verwerkingsactiviteiten (RoPA) is een gedocumenteerde inventaris van elke manier waarop uw organisatie persoonlijke gegevens verwerkt: welke gegevens u bewaart, met wie u deze deelt, hoe lang u deze bewaart en de wettelijke basis voor verwerking. Artikel 30 vereist dat organisaties met 250 of meer werknemers een volledige RoPA onderhouden. Kleinere organisaties hoeven alleen gegevens bij te houden voor verwerkingen die niet incidenteel plaatsvinden, waarbij gegevens uit een speciale categorie betrokken zijn of die de rechten van individuen in gevaar kunnen brengen. In de praktijk zouden de meeste organisaties die klant-, werknemers- of gezondheidsgegevens verwerken, er één moeten bijhouden, ongeacht hun grootte.

Wanneer moeten wij een Functionaris Gegevensbescherming aanstellen?

Een functionaris voor gegevensbescherming is verplicht op grond van artikel 37 van GDPR in drie situaties: als u een overheidsinstantie of -orgaan bent; als uw kernactiviteiten grootschalige, systematische monitoring van individuen vereisen; of als uw kernactiviteiten betrekking hebben op de grootschalige verwerking van gegevens van bijzondere categorieën (gezondheidsgegevens, biometrische gegevens, gegevens over strafrechtelijke veroordelingen, enz.). Zelfs als geen van deze op u van toepassing is, is het vrijwillig aanstellen van een DPO aan te raden als uw gegevensverwerking complex is of een hoog risico met zich meebrengt, omdat dit aantoont dat u verantwoording aflegt aan toezichthouders.

Wat telt als een inbreuk op persoonlijke gegevens onder GDPR?

Een inbreuk in verband met persoonsgegevens is elk beveiligingsincident dat leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens. Dit omvat meer dan alleen cyberaanvallen: een verkeerd geadresseerde e-mail, een verloren laptop of het per ongeluk openbaar delen van bestanden komen allemaal in aanmerking. Niet elke inbreuk hoeft te worden gemeld, maar u moet wel het risico voor individuen inschatten en uw toezichthoudende autoriteit binnen 72 uur op de hoogte stellen als er een waarschijnlijk risico is voor de rechten en vrijheden van mensen.

Wat zijn de maximale boetes voor GDPR-overtredingen?

GDPR-boetes werken op twee niveaus. Niveau 1 dekt minder ernstige inbreuken (meestal procedurele en technische verplichtingen) en staat boetes toe tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Niveau 2 omvat de ernstigste inbreuken, waaronder schendingen van de kernbeginselen van verwerking, schending van de wettelijke basisvereiste en schending van de rechten van betrokkenen. Tier 2-boetes kunnen oplopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet. Toezichthoudende autoriteiten kunnen ook waarschuwingen, berispingen, tijdelijke verwerkingsverboden en bevelen uitvaardigen om inbreuken aan de getroffen personen te melden.

Praat met Cyvra

Weet u niet zeker waar uw GDPR-programma gaten bevat?

We voeren beoordelingen van lacunes op het gebied van gegevensbescherming uit en bieden DPO-adviesondersteuning voor organisaties in Nederland en het Verenigd Koninkrijk.

Neem contact op Onze compliancediensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.