In de AVG zijn regels opgenomen met betrekking tot toezicht en sancties op het gebied van gegevensbescherming. In elke lidstaat is een autoriteit aangewezen die toeziet op juiste naleving van de AVG en sancties kan uitdelen. In Nederland is dit de Autoriteit Persoonsgegevens (AP). Een decentrale overheid die zich niet aan de regels van de AVG houdt, ontvangt mogelijk een boete. Op onderstaande pagina kunt u meer lezen over de toezicht en sancties in het kader van de AVG.

De AVG is een Europese verordening die betrekking heeft op alle lidstaten. Een kenmerk van data en een gedigitaliseerde samenleving is echter dat gegevensstromen niet zomaar ophouden bij de grenzen van de EU. Decentrale over­heden moeten ook rekening houden met de AVG wanneer zij persoonsgegevens laten verwerken door organisaties buiten de EU, bijvoorbeeld wanneer deze worden opgeslagen op een server in de VS. Dit is gegevensuitwisseling met derde landen.

Degene van wie de persoonsgegevens worden verwerkt, ook wel de betrokkene genoemd, krijgt onder de AVG een bepaalde mate van controle over deze verwerking. Zo heeft een betrokkene het recht om te weten welke persoonsgegevens een organisatie precies van hem bezit en kan hij in bepaalde gevallen bezwaar maken tegen een verwerking van zijn persoonsgegevens. De verwerkingsverantwoordelijke moet deze rechten respecteren en faciliteren. Op deze pagina vindt u meer informatie over alle rechten van de betrokkene.

Bij iedere verwerking van persoonsgegevens hoort een verwerkingsverantwoordelijke die de doelen en middelen van de verwerking bepaalt. Onder de AVG krijgt een verwerkingsverantwoordelijke een hoop verplichtingen. Soms werkt een verwerkingsverantwoordelijke samen met een verwerker die de verwerking uitvoert. Ook deze verwerker heeft enkele verplichtingen, en de samenwerking moet vastgelegd worden in een overeenkomst. Dit wordt ook wel een verwerkersovereenkomst genoemd. Decentrale overheden kunnen zowel verwerkers als verwerkingsverantwoordelijken zijn.