Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog
WoordenlijstLandgidsenChecklistsROI Calculator

Europe

Americas

Oceania

Terug naar glossarium
RegelgevingAVG

Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming is het Europese juridische kader voor het verzamelen, verwerken en bewaren van persoonsgegevens. Sinds 25 mei 2018 van kracht, is de verordening van toepassing op elke organisatie die gegevens van EU-inwoners verwerkt, met boetes tot 4 % van de wereldwijde jaaromzet.

De AVG heeft de manier waarop bedrijven persoonsgegevens beheren in Europa en daarbuiten fundamenteel veranderd. De verordening stelt zes kernprincipes vast: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; en integriteit en vertrouwelijkheid. Elke organisatie moet te allen tijde haar naleving kunnen aantonen.

Voor KYC- en compliance-professionals creëert de AVG een delicaat evenwicht tussen de verplichting om de identiteit van klanten te verifiëren (opgelegd door antiwitwasrichtlijnen) en de noodzaak om persoonsgegevens te beschermen. Bedrijven moeten duidelijke rechtsgrondslagen vaststellen voor elke verwerking, proportionele bewaartermijnen hanteren en de rechten van betrokkenen waarborgen.

De toezichthouders (AP in Nederland, CNIL in Frankrijk, BfDI in Duitsland) houden toezicht op de naleving en kunnen aanzienlijke sancties opleggen. In 2023 ontving Meta een recordboete van 1,2 miljard euro voor onrechtmatige gegevensoverdracht naar de Verenigde Staten, wat de extraterritoriale werking van de verordening illustreert.

Regelgeving

gdpr-rgpdright-to-be-forgottendata-minimization

Praktijkvoorbeelden

  • 1.Een online bank moet uitdrukkelijke toestemming van klanten verkrijgen voordat KYC-gegevens worden gedeeld met een externe identiteitsverificatiedienst, en deze rechtsgrondslag vastleggen in het verwerkingsregister.
  • 2.Een verzekeraar ontvangt een inzageverzoek van een klant: binnen één maand moet een volledige kopie van alle bewaarde informatie worden verstrekt, inclusief de resultaten van identiteitsverificatie.
  • 3.Een fintech ontdekt een datalek dat 5.000 gebruikers treft: het bedrijf heeft 72 uur om de Autoriteit Persoonsgegevens te melden en moet betrokkenen informeren als het risico hoog is.

Gerelateerde termen

Automatiseer uw compliance

Ontdek hoe CheckFile documentverificatie vereenvoudigt voor uw organisatie.