AVG persoonsgegevens zijn alle gegevens die je kunt koppelen aan een levende, identificeerbare persoon. Denk aan naam, e-mailadres, telefoonnummer, IP-adres, maar ook minder voor de hand liggende zaken als locatiegegevens, cookies of een unieke klantnummer-combinatie. Zodra je deze gegevens verwerkt, ben je volgens de Algemene Verordening Gegevensbescherming verantwoordelijk voor rechtmatige verzameling, veilige opslag en transparante communicatie naar de betrokkene.
Welke gegevens vallen onder AVG persoonsgegevens
De definitie is bewust breed. Elk gegeven dat direct of indirect naar een persoon leidt, telt mee. Directe identificatie: naam, BSN, pasfoto. Indirecte identificatie: een combinatie van postcode, geboortejaar en geslacht waarmee je iemand in een kleine gemeente kunt terugvinden. Ook dynamische IP-adressen, cookiedata en apparaat-ID's zijn persoonsgegevens zodra je ze koppelt aan gedrag of voorkeuren. Bijzondere persoonsgegevens zoals gezondheidsgegevens, religieuze overtuiging of biometrische data kennen nog strengere regels. In de praktijk zien we dat veel MKB-bedrijven onderschatten hoeveel gegevens ze daadwerkelijk verzamelen via formulieren, analytics en CRM-systemen.
Waarom AVG persoonsgegevens zo strikt gereguleerd zijn
De AVG trad in mei 2018 in werking als antwoord op toenemende datamisbruik en ondoorzichtige verwerking door grote platforms. Het doel: burgers meer controle geven over hun eigen gegevens en bedrijven dwingen tot transparantie. Voor MKB-ondernemers betekent dit concreet dat je niet zomaar een mailinglijst mag kopen, dat je toestemming nodig hebt voor marketingcookies en dat je binnen 30 dagen moet reageren op een inzageverzoek. De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde omzet, afhankelijk van de ernst van de overtreding.
Wat AVG persoonsgegevens betekent voor je bedrijfsvoering
Elke verwerking van persoonsgegevens vraagt om een juridische grondslag: toestemming, contractuele noodzaak, wettelijke verplichting of gerechtvaardigd belang. Je moet kunnen aantonen waarom je gegevens verzamelt, hoe lang je ze bewaart en wie er toegang toe heeft. Dat vraagt om een verwerkingsregister, heldere privacyverklaringen en technische beveiliging zoals encryptie en toegangscontrole. In de praktijk betekent dit dat je bij een nieuwe website direct nadenkt over cookiebanners, opt-ins en dataopslag. Ook je CRM, mailingsoftware en analytics-tools moeten AVG-proof zijn ingericht, inclusief verwerkersovereenkomsten met leveranciers.