Meld je gratis aan voor ons Privacy & Security event op 28 mei
Downloads
Blog
Wie we zijn
Onze klanten
Neem contact op
Software
Advies
Training en E-learning

Verzamelwet gegevensbescherming: wat verandert er voor jouw organisatie?

June 23, 2026
Blog overview
/
Verzamelwet gegevensbescherming: wat verandert er voor jouw organisatie?
Begin juni heeft de Eerste Kamer een wetsvoorstel aangenomen ter wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en verschillende andere wetten. Het voorstel, de Verzamelwet gegevensbescherming, bevat een breed scala aan onderwerpen: het regelen van grondslagen voor verschillende beroepsgroepen, nieuwe regels over jongeren en bepalingen over biometrische gegevens. Wij zetten de belangrijkste wijzigingen voor je op een rij.

Over het voorstel

De Verzamelwet gegevensbescherming heeft tot doel om het recht op gegevensbescherming in Nederland te stroomlijnen en te actualiseren. Het voorstel werd in december 2022 ingediend in de Tweede Kamer, waar het door een overgrote meerderheid werd aangenomen. Op 9 juni nam de Eerste Kamer het voorstel als hamerstuk aan. Dat wil zeggen: zonder stemming of debat.

De wijzigingen zijn divers en zien op uiteenlopende onderwerpen. De Verzamelwet gegevensbescherming zal in werking treden bij Koninklijk Besluit, maar de tijdslijn voor wanneer onderdelen of artikelen van kracht worden kan verschillen. Het is nog onbekend wanneer artikelen precies van kracht worden, maar als verantwoordelijke moet je je al wel voorbereiden. Hieronder volgt een overzicht van de meest relevante wijzigingen, en wat deze voor jouw organisatie betekenen.

De belangrijkste wijzigingen van de Verzamelwet gegevensbescherming

Uitbreiding van rechten voor jongeren (12-16 jaar)

Jongeren onder de 16 konden eerder niet zelfstandig hun AVG-rechten uitoefenen of een gegeven toestemming intrekken: dat moest hun wettelijk vertegenwoordiger (meestal een ouder) voor ze doen. De Verzamelwet gegevensbescherming verandert dit: jongeren van 12 jaar en ouder kunnen zelfstandig AVG-verzoeken indienen, of eerder gegeven toestemming intrekken. Maar let op: jongeren mogen nog altijd niet zelf toestemming geven voor de verwerking van hun persoonsgegevens. Als je gegevens verwerkt van jongeren, heb je dus de toestemming van hun wettelijk vertegenwoordiger nodig. En parallel aan het recht van jongeren om hun rechten uit te oefenen, kunnen hun vertegenwoordigers dit ook nog steeds. Ontvang je als organisatie een AVG-verzoek van een jongere of diens vertegenwoordiger? Dan moet je dat serieus behandelen.

Biometrische gegevens; wanneer is iets een authenticatie- of beveiligingsdoel?

De uitzondering op het verwerkingsverbod voor biometrische gegevens is aangescherpt en verduidelijkt. Verwerking voor authenticatie- of beveiligingsdoeleinden is uitsluitend toegestaan om toegang te verlenen tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen, en alleen als er sprake is van een zwaarwegend algemeen belang. Het zwaarwegend algemeen belang dien je per concreet geval ook als organisatie te toetsen.

Naast het bekende voorbeeld van de kerncentrale noemt de Memorie van toelichting bij de Verzamelwet gegevensbescherming bedrijven in de telecom en energie-infra (vitale infrastructuur), en bedrijven met veel risico's op zware ongevallen door de aanwezigheid van grote hoeveelheden gevaarlijke stoffen als voorbeeld. Ook het beschermen van de volksgezondheid, het voorkomen van milieuschade of het beveiligen van vitale processen zijn voorbeelden waar  sprake kan zijn van een zwaarwegend algemeen belang. Puur commerciële motieven zoals kostenbesparing of efficiëntie volstaan niet. Even opletten dus als je als organisatie gebruik maakt van bijvoorbeeld iris- of vingerafdrukscans.

Uitbreiding van de uitzondering voor archiefinstellingen

Artikel 45 UAVG bepaalde dat bepaalde rechten van betrokkenen (zoals het recht op correctie of verwijdering) niet gelden voor formele archiefbewaarplaatsen. De Verzamelwet breidt dit uit naar alle voor het publiek toegankelijke instellingen die archieven van blijvende waarde voor het algemeen en historisch belang beheren en geen winstoogmerk hebben.

Expliciete grondslag voor het Huis voor klokkenluiders

Via een aparte wijziging in de Wet op de klokkenluiders ontstaat voor het Huis voor klokkenluiders een expliciete wettelijke grondslag om bijzondere persoonsgegevens én persoonsgegevens van strafrechtelijke aard te verwerken, voor zover dit noodzakelijk is voor de uitvoering van de wettelijke taken van het Huis.

Wettelijke grondslag voor BSN-gebruik in de rechtsbijstandsketen.

Het burgerservicenummer (BSN) mag uitsluitend worden verwerkt met een expliciete wettelijke rechtsgrond. In de Wet op de rechtsbijstand wordt deze grondslag nu gecreëerd, zodat relevante ketenpartners van het bestuur van de Raad voor Rechtsbijstand kunnen verifiëren dat zij gegevens uitwisselen over de juiste persoon.

Transactiemonitoring en geautomatiseerde blokkering verankerd in de Wft.

De Wet op het financieel toezicht (Wft) krijgt op twee punten een wijziging. Ten eerste een verduidelijking dat financiële ondernemingen in het kader van transactiemonitoring ook geautomatiseerd betalingstransacties kunnen blokkeren of opschorten, mits wordt voldaan aan bepaalde voorwaarden. Ten tweede wordt de verplichting tot transactiemonitoring zelf expliciet in de Wft opgenomen.

Een open eindje: accountants in de zorg

De Verzamelwet gegevensbescherming bevat een wijziging van de UAVG voor accountants indien zij bijzondere categorieën persoonsgegevens verwerken. De Memorie van Toelichting legt uit dat de taak van accountants bij wettelijk verplichte controles dermate belangrijk is, dat bij de verwerking van bijzondere persoonsgegevens de uitzondering uit artikel 9 lid 2 onder g AVG van toepassing is (de verwerking is noodzakelijk voor doeleinden van een zwaarwegend algemeen belang). Een grondslag bestond dus al voor de verwerking van bijzondere persoonsgegevens in geval van wettelijk verplichte controles.

Bij gezondheidsgegevens was er een probleem, omdat deze gegevens soms onder het medisch beroepsgeheim vallen. Ook de accountant geldt in die context als ‘een derde’ en verstrekking van de gegevens is dan niet toegestaan. Het toegevoegde artikel 23a UAVG stelt in dit geval een aanvullende voorwaarde aan de verwerking:

De te controleren entiteit (bijvoorbeeld een zorginstelling) moet de persoonsgegevens vooraf pseudonimiseren in verband met het medisch beroepsgeheim. Deze pseudonimisering moet ook voortduren, zodat de accountant ook op later moment niet zelfstandig gegevens kan koppelen aan een geïdentificeerde betrokkene.

Die voorwaarde riep kritiek op. De Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) riep het kabinet, samen met de Brancheorganisaties Zorg, op om de inwerkingtreding van dit artikel uit te stellen. Gepseudonimiseerde gegevens stellen de accountant niet in staat om (een deel van hun werkzaamheden) toereikend uit te voeren. Zonder inzage in originele brongegevens kan de accountant namelijk niet verifiëren of de gegevens juist zijn. Het wetsvoorstel is nu wel aangenomen, maar de regering werkt al aan een aanpassing van het gewijzigde artikel 23a. Waarschijnlijk zal bij Koninklijk Besluit de inwerkingtreding van dit artikel later in de tijd plaatsvinden en vergezeld gaan van een reparatiewet.

Wat betekent dit voor jou?

De Verzamelwet gegevensbescherming introduceert concrete nieuwe verplichtingen, boetemogelijkheden en verwerkingsgrondslagen die rechtstreeks impact hebben op je privacybeleid, verwerkingsregisters, en de inrichting van je processen met betrekking tot toestemming en AVG-rechten.

Wil je meer weten wat wij voor jouw organisatie kunnen betekenen? Bekijk dan onze diensten. Of neem direct contact met ons op via info@privacycompany.nl. We helpen je graag verder!

Download
Suzette
Adviseur
Den Haag
Maanweg 174
2516 AB Den Haag
+31 708209690
info@privacycompany.nl
Berlijn
Friedrichstrasse 68
1017 Berlijn
+49 16098404354
info@privacycompany.nl
© Privacy Company
ImpressumPrivacyverklaringCookieverklaring