De nieuwe privacywet stelt striktere eisen aan toestemming, transparantie, cookies (zonder dark patterns), profilering en datalekken. In deze blog ontdek je wat er verandert ten opzichte van de AVG, wie eronder valt en welke concrete stappen je nu kunt nemen-van DPIA’s en privacy by design tot verwerkerscontracten en een soepele afhandeling van rechten. Zo benut je de overgangsperiode slim én maak je van privacy een overtuigend concurrentievoordeel.
Wat verandert er met de nieuwe privacywet
De nieuwe privacywet scherpt bestaande regels aan en legt meer nadruk op duidelijke keuzes, transparantie en aantoonbare naleving. Je krijgt strakker geformuleerde eisen rond toestemming: geen vage formulieren, geen vooraangevinkte vakjes en geen dark patterns, maar een even makkelijke knop om te weigeren als om te accepteren. Transparantie gaat verder dan een lange tekst; je moet in gewone taal uitleggen welke gegevens je verzamelt, waarom, hoe lang en met wie je ze deelt. Rechten van betrokkenen worden praktischer gemaakt: inzage, wissen en dataportabiliteit moeten vlot en zonder onnodige drempels kunnen. Voor profilering (het indelen van mensen op basis van gedrag of kenmerken) en geautomatiseerde besluiten gelden extra waarborgen en een duidelijk recht op bezwaar.
Aan de achterkant vraagt de wet om dataminimalisatie, privacy by design en default (privacy standaard ingebouwd) en vaker een DPIA, een voorafgaande risicoanalyse bij verwerkingen met hogere impact. Cookies en andere trackers moeten echt noodzakelijk zijn of op basis van geldige, aantoonbare toestemming worden geplaatst. Datalekken moet je sneller detecteren, zorgvuldig documenteren en tijdig melden bij de toezichthouder, zoals de AP in Nederland of de GBA/APD in België. Verwerkerscontracten worden concreter, internationale doorgiftes strikter en handhaving steviger, waardoor je organisatie beter moet kunnen aantonen dat processen, systemen en teams structureel aan de regels voldoen.
Belangrijkste wijzigingen ten opzichte van de AVG
Onderstaande tabel zet de AVG-baseline naast de belangrijkste aanscherpingen die een nieuwe privacywet doorgaans introduceert, plus wat dit praktisch betekent voor organisaties.
| Onderwerp | AVG (baseline) | Nieuwe privacywet (t.o.v. AVG) | Praktische impact |
|---|---|---|---|
| Toestemming en cookies | Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn; bewijs- en intrekkingsplicht; cookies alleen met toestemming (behalve strikt noodzakelijk). | Maakt verbod op dark patterns expliciet; eist gelijkwaardige “accepteren/weigeren”-keuzes en fijnmazige toestemming per doel met aantoonbaar bewijs. | Herontwerp van banners en voorkeurencenters; strakkere consent-logging en eenvoudig intrekken per doel. |
| Profilering en geautomatiseerde beslissingen | Beperking van uitsluitend geautomatiseerde besluiten met rechtsgevolgen; recht op menselijke tussenkomst; DPIA bij hoog risico. | Extra waarborgen: duidelijke uitleg bij significante impact, makkelijke opt-out van marketingprofilering en strengere toets op grondslag (met name gerechtvaardigd belang). | Modeldocumentatie en uitlegbaarheid verbeteren; UI voor bezwaar/opt-out; DPIA’s uitbreiden en actualiseren. |
| Dataminimalisatie en bewaartermijnen | Verzamel niet meer dan nodig; bewaar niet langer dan noodzakelijk; motiveer termijnen. | Verplicht expliciete bewaartermijnen per verwerkingsdoel in beleid én communicatie; automatische verwijdering/anonimisering en logging van verwijderacties. | Retentiebeleid concretiseren; data-lifecycle tooling en jobs voor automatisch wissen implementeren. |
| Datalekken en meldplicht | Melding aan toezichthouder binnen 72 uur waar vereist; documentatieplicht; betrokkenen informeren bij hoog risico. | Precisering van inhoud/format van meldingen en vereisten voor detectie- en responseprocessen (runbooks, testen, oefening). | Incidentplaybooks en rapportagesjablonen opzetten; regelmatig oefenen en aantoonbaar evalueren. |
| Verwerkerscontracten en ketenverantwoordelijkheid | Verwerkersovereenkomsten met verplichte clausules; toestemming voor subverwerkers; toezicht door verantwoordelijke. | Uitgebreidere ketentransparantie (up-to-date subverwerkerslijsten), scherpere auditrechten en duidelijkheid over datalocaties en doorgiften. | Vendor due diligence aanscherpen; contracten en registers updaten; supply chain mapping en audits plannen. |
Kern: de nieuwe privacywet bouwt voort op de AVG maar verhoogt de lat voor bewijs, transparantie en aantoonbare naleving in de keten. Wie nu al “accountability by design” toepast, verkleint de implementatiegap aanzienlijk.
Vergeleken met de AVG legt de nieuwe privacywet de lat hoger voor toestemming en transparantie. Je moet even duidelijke keuzes bieden voor accepteren als voor weigeren, geen dark patterns gebruiken en consent aantoonbaar loggen. Privacyverklaringen moeten kort, begrijpelijk en gelaagd zijn, met heldere info over doelen, bewaartermijnen en datadeling. Profilering en geautomatiseerde besluiten krijgen extra waarborgen en een expliciet recht op bezwaar. Aan de verantwoordingskant verwacht de wet striktere documentatie: verwerkingenregisters worden gedetailleerder, DPIA’s zijn vaker verplicht en privacy by design en default zijn niet-vinkjes maar aantoonbare ontwerpkeuzes.
Bij internationale doorgiftes moet je risicobeoordelingen en passende waarborgen beter onderbouwen. Verwerkerscontracten vragen concretere clausules over beveiliging en audits. Tot slot wordt handhaving steviger, met hogere boetes en snellere samenwerking tussen toezichthouders.
Tijdlijn, overgangsperiode en ingangsdatum
Na publicatie van de nieuwe privacywet in het Publicatieblad (EU) of het Staatsblad (NL/BE) volgt meestal een korte periode voordat de wet formeel in werking treedt, met daarachter een toepassingsdatum waarop je er echt aan moet voldoen. Tussen publicatie en toepassing zit vaak een overgangsperiode van 6 tot 12 maanden, soms langer voor complexe onderdelen. In die periode mag je processen afronden, maar nieuwe verwerkingen moeten vanaf de toepassingsdatum direct compliant zijn. Bestaande verwerkerscontracten en cookie-instellingen krijgen doorgaans een beperkte uitfasertermijn, terwijl datalekmeldingen en de uitoefening van rechten vanaf dag één strikt gelden.
Toezichthouders publiceren vaak tijdig richtsnoeren en starten gefaseerd met handhaving, waarbij hoge-risicoprocessen prioriteit krijgen. De slimste aanpak: werk terug vanaf de toepassingsdatum met concrete mijlpalen (bijvoorbeeld op 3, 6 en 12 maanden), zodat je beleid, register, DPIA’s, toestemmingsflows en training op tijd staan en je bewijs van naleving klaar is.
Wie valt eronder (bedrijven, verenigingen, ZZP’ers en overheden)
In de nieuwe privacywet val je eronder zodra je persoonsgegevens verwerkt, ongeacht je grootte of sector. Dat geldt voor bedrijven, verenigingen en stichtingen, zzp’ers en overheden. Verwerk je gegevens voor een privédoel in huiselijke kring, dan valt dat buiten de wet, maar zodra je leden, klanten, patiënten, leerlingen of medewerkers verwerkt, moet je voldoen. Bepaal je zelf het doel en de middelen, dan ben je verwerkingsverantwoordelijke; werk je in opdracht van een ander, dan ben je verwerker, met eigen plichten rond beveiliging, logging en ondersteuning van rechten.
Overheden hebben meestal extra eisen, zoals een functionaris voor gegevensbescherming. Ook als je buiten de EU zit maar je richt je op mensen in de EU of monitor je hun gedrag, val je onder de regels en kan een EU-vertegenwoordiger nodig zijn.
[TIP] Tip: Actualiseer privacyverklaring en verwerkingsregister; documenteer grondslagen en bewaartermijnen.
Rechten en transparantie
De nieuwe privacywet legt extra nadruk op duidelijke uitleg en toegankelijke keuzes voor iedereen van wie je gegevens verwerkt. Je moet in gewone taal vertellen welke gegevens je verzamelt, voor welke doelen, op basis van welke grondslag, hoe lang je ze bewaart, met wie je ze deelt en of je ze buiten de EU doorgeeft. Betrokkenen krijgen stevige, praktisch toepasbare rechten: inzage, correctie, wissen, beperking, bezwaar, dataportabiliteit en het recht om niet uitsluitend aan een geautomatiseerd besluit te worden onderworpen. Je faciliteert die verzoeken zonder drempels, reageert in principe binnen een maand en kunt verlengen alleen met een goede reden.
Transparantie betekent ook dat je toestemming net zo makkelijk kunt intrekken als geven, dat je geen dark patterns gebruikt in cookie- of toestemmingsschermen en dat je profilering uitlegt, inclusief de logica en verwachte gevolgen. Informeer kinderen in taal die ze snappen, verifieer iemands identiteit zonder meer data te vragen dan nodig en verwijs altijd naar je contactpunt, je functionaris voor gegevensbescherming (als je die hebt) en de mogelijkheid om een klacht in te dienen bij de AP of GBA/APD.
Rechten op inzage, wissen en dataportabiliteit
Met het recht op inzage kun je opvragen welke persoonsgegevens je van iemand verwerkt, voor welke doelen, op welke grondslag, hoe lang je ze bewaart en met wie je ze deelt; je levert waar mogelijk ook een kopie van de gegevens. Het recht op wissen (het “recht om vergeten te worden”) betekent dat je gegevens verwijdert als ze niet meer nodig zijn, toestemming is ingetrokken of er geen geldige grondslag meer is, behalve wanneer je ze moet bewaren door een wettelijke plicht of voor het instellen van rechtsvorderingen.
Dataportabiliteit draait om meenemen van data: je verstrekt de door de betrokkene aangeleverde of door diens gebruik gegenereerde gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat en draagt die op verzoek over aan een andere partij. Je reageert in principe binnen een maand, verifieert de identiteit zorgvuldig en levert veilig, zonder onnodige drempels.
Toestemming en cookies: strengere eisen en bewijs, geen dark patterns
De nieuwe privacywet maakt toestemming stricter én toetsbaar. Je vraagt vooraf toestemming voor alle niet-noodzakelijke cookies en trackers, met even duidelijke knoppen voor accepteren als voor weigeren en zonder trucjes zoals misleidende kleuren, verwarrende toggles of ellenlange doorklikflows. Toestemmingen zijn specifiek per doel (analyse, personalisatie, marketing), vrij gegeven, geïnformeerd en net zo makkelijk in te trekken als te geven. Je gebruikt geen vooraangevinkte vakjes en vermijdt cookie walls die geen echte keuze laten.
Bewijs is verplicht: je logt tijdstip, context, versie van je beleid en preferenties, gekoppeld aan een pseudonieme identifier, zodat je kunt aantonen dat toestemming geldig was. Verloopt een doel of wijzig je de partijen of technologie, dan vraag je opnieuw om consent. Houd bewaartermijnen kort, respecteer “essentieel” strikt en belast bezoekers niet onnodig met herhaalde banners.
Profilering en geautomatiseerde beslissingen: extra waarborgen en bezwaar
Profilering is het analyseren of voorspellen van iemands gedrag of voorkeuren op basis van persoonsgegevens; bij geautomatiseerde beslissingen hakt een systeem zelfstandig een knoop door. De nieuwe privacywet verplicht je om vooraf duidelijk uit te leggen dat je dit doet, met welk doel, welke gegevens en wat de gevolgen zijn. Besluiten met rechtsgevolgen of vergelijkbaar grote impact mogen niet uitsluitend geautomatiseerd zijn, behalve onder strikte voorwaarden met passende waarborgen, zoals menselijke tussenkomst, uitlegbaarheid en het recht om het besluit aan te vechten.
Je moet een DPIA uitvoeren bij hoog risico, gevoelige kenmerken vermijden, modellen testen op bias en een werkend bezwaar- en reviewproces aanbieden. Betrokkenen kunnen altijd bezwaar maken tegen profilering voor marketing en je moet dat direct respecteren.
[TIP] Tip: Bied een self-service privacydashboard voor inzage, download, correctie en verwijdering.
Verplichtingen voor organisaties
De nieuwe privacywet vraagt om aantoonbare naleving. Je houdt een actueel verwerkingenregister met doelen, grondslagen, bewaartermijnen, ontvangers en doorgiftes. Je past dataminimalisatie toe, bewaart niet langer dan nodig en ontwerpt processen met privacy by design en default. Bij verhoogd risico voer je een DPIA uit en leg je keuzes vast. Je treft passende beveiliging, zoals encryptie, toegangsbeheer, logging en periodieke tests. Met verwerkers sluit je duidelijke contracten over beveiliging, subverwerkers, audits en datalekprocedures. Je organiseert incidentrespons: datalekken snel detecteren, documenteren en binnen termijnen melden aan de AP of GBA/APD en zo nodig betrokkenen.
Je faciliteert inzage-, wis- en bezwaarverzoeken en reageert in principe binnen een maand. Toestemmingen en belangenafwegingen leg je vast en je update cookie- en trackerinstellingen. Voor internationale doorgiftes doe je een transfer impact assessment en borg je passende waarborgen. Waar nodig wijs je een functionaris voor gegevensbescherming aan, train je teams en plan je interne audits, zodat je bewijs van naleving paraat hebt.
Dataminimalisatie, bewaartermijnen en verwerkerscontracten
Dataminimalisatie betekent dat je alleen gegevens verzamelt die echt nodig zijn voor je doel, met standaard zo min mogelijk velden, beperkte toegangsrechten en waar mogelijk pseudonimisering of anonimisering. Je herijkt periodiek welke data je nog nodig hebt en schrapt overbodige velden. Voor bewaartermijnen stel je per doel en categorie een duidelijk schema op, met juridische plichten als ondergrens en automatische verwijdering of archivering zodra de termijn afloopt, inclusief logging zodat je kunt aantonen wat is gebeurd.
In verwerkerscontracten leg je nauwkeurig vast wat de verwerking omvat, de duur, beveiligingsmaatregelen, geheimhouding, meldplicht bij datalekken, hulp bij rechtenverzoeken, regels voor subverwerkers, audits en wat er gebeurt na afloop: veilige teruglevering of gewiste data, mét bewijs.
DPIA en privacy by design/default in je processen
Een DPIA is een diepgaande risicoanalyse voor verwerkingen die waarschijnlijk een hoog privacyrisico opleveren. Je brengt doelen, gegevenscategorieën, betrokken groepen, bewaartermijnen en ontvangers in kaart, beoordeelt noodzaak en proportionaliteit en bepaalt risico’s zoals ongeoorloofde toegang, discriminatie of profilering met grote impact. Vervolgens leg je passende maatregelen vast en toets je het restrisico; blijft dat te hoog, dan overleg je vooraf met de toezichthouder. Betrek je functionaris gegevensbescherming en leveranciers, documenteer keuzes en plan herbeoordelingen.
Privacy by design/default betekent dat je vanaf het eerste ontwerp kiest voor minimale dataverzameling, korte bewaartermijnen, pseudonimisering, sterke toegangsrechten en standaard privacyvriendelijke instellingen. Integreer dit in je ontwikkel- en inkoopproces met duidelijke acceptatiecriteria, securitytests, logging en training, zodat privacy geen add-on is maar onderdeel van je workflow.
Datalekken: detectie, documentatie en meldplicht (termijnen en formats)
Een datalek ontdek je het snelst met monitoring, logging, DLP en duidelijke incidentprocedures, zodat medewerkers direct melden. Documenteer elk incident in je register: wat is er gebeurd, wanneer, welke systemen, categorieën en (schattingen van) aantallen betrokkenen en records, mogelijke gevolgen, genomen maatregelen en contactgegevens (bijv. je FG). Als verwerker meld je zonder onnodige vertraging aan de verantwoordelijke; als verantwoordelijke beoordeel je het risico.
Is er waarschijnlijk risico voor betrokkenen, dan meld je binnen 72 uur aan de toezichthouder (AP of GBA/APD) via het online meldformulier met de gevraagde velden; ontbrekende info lever je zo snel mogelijk na. Bij hoog risico informeer je betrokkenen onverwijld, in heldere taal, met advies om schade te beperken en een contactpunt voor vragen.
[TIP] Tip: Documenteer verwerkingen, stel bewaartermijnen vast en sluit verwerkersovereenkomsten af.
Zo bereid je je voor
Begin met een snelle gap-analyse: breng in kaart welke gegevens je verwerkt, voor welke doelen en op basis van welke grondslagen, en check waar je al voldoet en waar niet. Maak daarna een concreet plan met mijlpalen terugredenerend vanaf de toepassingsdatum, zodat beleid, register van verwerkingen, toestemmingsflows en verwerkerscontracten op tijd staan. Richt governance in: wijs eigenaars per proces aan, betrek je FG als je die hebt en leg beslissingen vast. Bouw een DPIA-pijplijn voor verwerkingen met hoger risico, en veranker privacy by design in ontwikkeling en inkoop met standaard minimale dataverzameling, passende beveiliging en korte bewaartermijnen.
Werk je cookie- en consentbeheer bij, test dark-patternvrije schermen en zorg dat intrekken net zo makkelijk is als geven. Versterk incidentrespons: monitoring, meldlijnen, draaiboeken en oefenen, zodat je datalekken snel kunt beoordelen en melden. Pak leveranciers aan met actuele verwerkersafspraken, due diligence, subverwerkerscontrole en, bij doorgiftes buiten de EU, een transfer impact assessment. Train teams gericht (marketing, HR, IT, support) en meet voortgang met duidelijke KPI’s. Als je dit gestructureerd oppakt en bewijs van naleving opbouwt, ben je klaar voor de ingangsdatum én haal je duurzaam waarde uit privacy als kwaliteitskenmerk.
Quickscan en gap-analyse: waar voldoe je al, waar nog niet
Een quickscan geeft je razendsnel zicht op je privacyvolwassenheid onder de nieuwe wet. Je inventariseert welke persoonsgegevens je verwerkt, voor welke doelen en op basis van welke grondslagen, en checkt of je register, privacyverklaring, cookie- en toestemmingsflows, rechtenafhandeling, beveiligingsmaatregelen, DPIA-proces, datalekprocedure en verwerkerscontracten op orde zijn. Daarna maak je een gap-analyse: wat voldoet, wat deels, wat niet.
Koppel elk gat aan risico en impact, zodat je prioriteiten helder zijn. Werk dit uit in een concreet verbeterplan met eigenaar, deadline en benodigde middelen, en leg bewijs vast in een centrale map, zoals policies, besluitnota’s en testresultaten. Herhaal de quickscan periodiek, bijvoorbeeld elk kwartaal, zodat je kunt aantonen dat je continu verbetert en op koers ligt richting de toepassingsdatum.
Actieplan per team: marketing, HR en IT op één lijn
Zet eerst gezamenlijke doelen neer en vertaal die naar concrete taken per team. Marketing ruimt cookiebanners op, regelt evenwichtige keuze-knoppen, herijkt tagging en pixels, en bouwt een preference center voor nieuwsbrieven en profiling-opt-ins. HR bekijkt recruitmentflows, bewaartermijnen voor sollicitanten en dossiers, minimaliseert gegevens in formulieren en legt procedures vast voor inzage- en wisverzoeken van (ex-)medewerkers. IT borgt privacy by design: toegangsrechten op need-to-know, MFA, encryptie, logging, back-up en veilige testdata, plus automatische retentie- en deletionjobs.
Samen voer je DPIA’s uit bij nieuwe tools, beoordeel je leveranciers, update je verwerkerscontracten en stem je incidentrespons af. Plan sprints met heldere KPIs, eigenaarschap en deadlines, test geregeld en train teams, zodat je processen én bewijs van naleving op elkaar aansluiten.
Praktische hulpmiddelen: verwerkingenregister, beleid, training en awareness
Je verwerkingenregister is de ruggengraat: leg per proces doelen, grondslag, categorieën gegevens en betrokkenen, ontvangers, systemen, bewaartermijnen, risico’s en maatregelen vast, mét eigenaar en laatste reviewdatum. Koppel hieraan je beleid: een compacte set met duidelijke regels voor dataminimalisatie, bewaartermijnen, toegangsbeheer, DPIA, datalekken en leveranciers, inclusief werkbare sjablonen, checklists en beslisbomen.
Zorg voor training die past bij de rol: e-learning voor iedereen, verdiepende sessies voor marketing, HR en IT, en just-in-time hints in tools waar data wordt verwerkt. Bouw awareness op met korte campagnes en een netwerk van privacy champions. Meet en verbeter continu met metrics zoals trainingsvoltooiing, tijd tot afhandeling van verzoeken en datalekrespons, en beheer alles centraal met versiebeheer en audittrail.
Veelgestelde vragen over nieuwe privacywet
Wat is het belangrijkste om te weten over nieuwe privacywet?
De nieuwe privacywet scherpt AVG-normen aan: strengere toestemming en cookie-eisen, verbod op dark patterns, meer waarborgen bij profilering, extra transparantie en documentatie. Geldt voor bedrijven, verenigingen, zzp’ers en overheden, met overgangsperiode en harde ingangsdatum.
Hoe begin je het beste met nieuwe privacywet?
Start met een quickscan en gap-analyse, actualiseer je verwerkingenregister en beleid, voer waar nodig DPIA’s uit. Breng bewaartermijnen en dataminimalisatie op orde, vernieuw verwerkerscontracten, verbeter consent- en cookieflows, train marketing, HR en IT.
Wat zijn veelgemaakte fouten bij nieuwe privacywet?
Veel organisaties missen bewijs van toestemming, gebruiken nog dark patterns of hebben een incompleet verwerkingenregister. Ook vergeten ze datalekken te documenteren en tijdig te melden, slaan DPIA’s en privacy by design over, en negeren profilering-waarborgen.