® 
AVG / GDPR
Definitie
De AVG (Algemene Verordening Gegevensbescherming), ook bekend als GDPR, is de Europese privacywet die organisaties verplicht persoonsgegevens zorgvuldig te verwerken en te beschermen.
De AVG (Algemene Verordening Gegevensbescherming), internationaal bekend als GDPR, is de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. De verordening beschermt de persoonsgegevens van EU-burgers en stelt strenge eisen aan organisaties die deze gegevens verwerken, met boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Hoe werkt de AVG/GDPR?
De AVG is gebaseerd op zes verwerkingsprincipes: rechtmatigheid, doelbinding, dataminimalisatie, juistheid, opslagbeperking en integriteit en vertrouwelijkheid. Organisaties mogen persoonsgegevens alleen verwerken als zij daarvoor een geldige rechtsgrond hebben, zoals toestemming, contractuele noodzaak of gerechtvaardigd belang. Betrokkenen hebben uitgebreide rechten: recht op inzage, rectificatie, verwijdering (recht om vergeten te worden), dataportabiliteit en bezwaar tegen verwerking. Een Data Protection Officer (DPO) is verplicht voor overheidsorganisaties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken.
Meldplicht datalekken
Bij een datalek met risico voor betrokkenen moet de organisatie dit binnen 72 uur melden bij de toezichthouder (in Nederland: Autoriteit Persoonsgegevens). Als het lek een hoog risico voor betrokkenen inhoudt, moeten ook de betrokkenen zelf worden geinformeerd. Organisaties moeten een intern register bijhouden van alle datalekken, inclusief de aard, omvang en genomen maatregelen.
Impact voor organisaties
De AVG heeft ingrijpende gevolgen voor organisaties. Privacy by Design en Privacy by Default zijn verplicht bij het ontwerpen van nieuwe systemen en diensten. Een Data Protection Impact Assessment (DPIA) is vereist bij verwerkingen met een hoog privacyrisico. De boetes zijn aanzienlijk: de Autoriteit Persoonsgegevens legde in 2024 boetes op van tientallen miljoenen euros. De Ierse toezichthouder legde Meta een boete op van 1,2 miljard euro voor illegale doorgifte van persoonsgegevens. Organisaties moeten hun gehele dataverwerkingsketen in kaart brengen via een verwerkingsregister.
Bescherming en compliance
Effectieve AVG-compliance combineert juridische en technische maatregelen. Technisch: encryptie van persoonsgegevens in rust en in transit, toegangscontrole op basis van need-to-know, logging van toegang tot persoonsgegevens, DLP-oplossingen die ongeautoriseerde verspreiding voorkomen, en regelmatige beveiligingstests. Organisatorisch: bewustwording van medewerkers, verwerkersovereenkomsten met leveranciers, een actueel datalekprotocol en regelmatige audits.
Hoe DEFION helpt
DEFION ondersteunt organisaties bij de technische kant van AVG-compliance via Security Assessments die de bescherming van persoonsgegevens evalueren. Pentests identificeren kwetsbaarheden die tot datalekken kunnen leiden. De Managed Threat Detection-dienst detecteert ongeautoriseerde toegang tot systemen met persoonsgegevens.