diff --git a/risk_sets/gdpr_nl.json b/risk_sets/gdpr_nl.json
new file mode 100644
index 0000000..3c8bb08
--- /dev/null
+++ b/risk_sets/gdpr_nl.json
@@ -0,0 +1,61 @@
+{
+    "id": "gdpr_nl",
+    "title": "Algemene Verordening Gegevensbescherming (AVG)",
+    "risks": [
+        {
+            "article": "5",
+            "name": "Onrechtmatige verwerking van persoonsgegevens",
+            "risk": "Persoonsgegevens worden verwerkt zonder rechtsgrond, wat kan leiden tot boetes en schadeclaims."
+        },
+        {
+            "article": "6",
+            "name": "Ontbrekende rechtsgrond voor verwerking",
+            "risk": "Gegevens worden verwerkt zonder geldige toestemming of andere rechtsgrond, wat kan leiden tot sancties van toezichthouders."
+        },
+        {
+            "article": "9",
+            "name": "Onjuiste verwerking van bijzondere categorieën gegevens",
+            "risk": "Verwerking van gevoelige persoonsgegevens zonder wettelijke uitzondering, wat kan leiden tot ernstige privacyinbreuken en boetes."
+        },
+        {
+            "article": "13",
+            "name": "Gebrek aan transparantie",
+            "risk": "Betrokkenen worden niet geïnformeerd over de verwerking van hun gegevens, wat kan leiden tot klachten en juridische stappen."
+        },
+        {
+            "article": "15",
+            "name": "Onvermogen om inzageverzoeken te behandelen",
+            "risk": "Individuen krijgen geen toegang tot hun gegevens, wat leidt tot overtredingen en mogelijk juridische claims."
+        },
+        {
+            "article": "17",
+            "name": "Niet naleven van het recht op gegevenswissing",
+            "risk": "Persoonsgegevens worden niet verwijderd op verzoek, wat kan leiden tot boetes en reputatieschade."
+        },
+        {
+            "article": "25",
+            "name": "Gebrek aan privacy by design en by default",
+            "risk": "Systemen en processen houden geen rekening met privacybescherming, wat leidt tot structurele non-compliance en datalekken."
+        },
+        {
+            "article": "32",
+            "name": "Onvoldoende beveiligingsmaatregelen",
+            "risk": "Gebrek aan adequate technische en organisatorische beveiligingsmaatregelen verhoogt het risico op datalekken en cyberaanvallen."
+        },
+        {
+            "article": "33",
+            "name": "Niet of te laat melden van een datalek",
+            "risk": "Datalekken worden niet binnen 72 uur gemeld, wat kan leiden tot hoge boetes en verlies van vertrouwen van klanten."
+        },
+        {
+            "article": "35",
+            "name": "Niet uitvoeren van een Data Protection Impact Assessment (DPIA)",
+            "risk": "Risicovolle verwerkingen worden niet vooraf geanalyseerd, wat kan leiden tot onvoorziene privacyrisico’s en sancties."
+        },
+        {
+            "article": "44",
+            "name": "Onrechtmatige doorgifte van persoonsgegevens buiten de EU",
+            "risk": "Gegevens worden doorgegeven zonder passende waarborgen, wat leidt tot juridische consequenties en mogelijke belemmeringen voor internationale samenwerking."
+        }
+    ]
+}