Praktische Gids: Waarom AVG relevant is voor MKB
De Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR), is per 25 mei 2018 van toepassing op elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt — ongeacht de grootte van de organisatie, de sector of de vestigingsplaats. Een eenmanszaak met een klantendatabase, een productiebedrijf met een personeelssysteem, een webwinkel met een nieuwsbrief of een adviesbureau met een CRM: allemaal vallen ze onder de AVG.
Toch denkt een aanzienlijk deel van het Nederlandse MKB nog steeds dat de AVG "voor grote bedrijven" is. Dit misverstand heeft reële risico's: de Autoriteit Persoonsgegevens (AP) heeft haar handhavingscapaciteit de afgelopen jaren aanzienlijk vergroot en richt zich nadrukkelijk ook op kleine en middelgrote organisaties. In 2024 legde de AP boetes op voor uiteenlopende overtredingen, variërend van onrechtmatig cameratoezicht tot het niet tijdig melden van datalekken.
De tien meest voorkomende AVG-valkuilen voor het MKB
1. Geen actueel verwerkingsregister (RoPA)
Artikel 30 AVG verplicht verwerkingsverantwoordelijken met meer dan 250 medewerkers een formeel Record of Processing Activities (RoPA). Maar ook kleinere organisaties moeten kunnen aantonen welke persoonsgegevens zij verwerken, op welke rechtsgrondslag, voor welk doel, hoe lang en met welke beveiligingsmaatregelen. In de praktijk ontbreekt dit register volledig of is het jaren verouderd en niet meer representatief voor de feitelijke situatie.
Oplossing: Maak een inventarisatie van alle verwerkingen — HR-data, klantendata, leveranciersdata, website-analytics, marketinglijsten — en houd deze actueel. Een jaarlijkse review is minimaal voldoende.
2. Ontbrekende of onvolledige verwerkersovereenkomsten
Zodra een derde partij persoonsgegevens verwerkt in uw opdracht, is een verwerkersovereenkomst (Data Processing Agreement, DPA) wettelijk verplicht. Dit geldt voor cloud-hostingproviders, salarissoftware, CRM-systemen, e-mailmarketingplatforms, HR-systemen en talloze SaaS-diensten. Veel MKB-bedrijven accepteren standaardverwerkersovereenkomsten zonder deze te lezen, of vergeten ze volledig bij het afsluiten van nieuwe diensten.
Oplossing: Maak een overzicht van alle externe dienstverleners die persoonsgegevens voor u verwerken en verifieer of geldige DPA's aanwezig zijn. Veel leveranciers bieden standaard DPA's aan via hun website of klantenportaal.
3. Geen privacyverklaring of een onvolledige
Uw website verwerkt bijna zeker persoonsgegevens: via contactformulieren, cookies, analytics of nieuwsbriefaanmeldingen. De privacyverklaring moet informatie bevatten over: de identiteit van de verwerkingsverantwoordelijke, de doeleinden en rechtsgrondslagen van verwerking, ontvangers van de gegevens, bewaartermijnen, rechten van betrokkenen en het recht om een klacht in te dienen bij de AP. Een privacyverklaring die slechts één paragraaf beslaat, voldoet vrijwel nooit aan deze vereisten.
4. Onrealistische of ontbrekende bewaartermijnen
De AVG schrijft voor dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor zij zijn verzameld. In de praktijk bewaren veel bedrijven gegevens "voor alle zekerheid" onbeperkt, of heeft men nooit nagedacht over bewaartermijnen. Dit is een directe overtreding van het dataminimalisatiebeginsel.
Oplossing: Stel per categorie persoonsgegevens een bewaartermijn vast en implementeer automatische of periodieke verwijdering. Houd rekening met wettelijke bewaarplichten (fiscale bewaarplicht: 7 jaar voor financiële gegevens) die kunnen afwijken van de AVG-principes.
5. Geen gedocumenteerd datalekmeldingsproces
Bij een datalek — onbedoelde of ongeoorloofde toegang tot, vernieling van of verlies van persoonsgegevens — moet een organisatie binnen 72 uur beoordelen of melding aan de AP verplicht is, en in dat geval de melding daadwerkelijk doen. Melding aan betrokkenen kan ook verplicht zijn als er een hoog risico voor hen bestaat. Zonder vooraf vastgesteld proces gaat kostbare tijd verloren in de chaos van een incident.
Oplossing: Documenteer een eenvoudig datalekmeldingsproces: wie beoordeelt het lek, wie neemt de meldingsbeslissing, wie doet de melding bij de AP, wie communiceert met betrokkenen? Oefen dit proces jaarlijks met een tabletop-oefening.
6. Onbeveiligde e-mailcommunicatie met persoonsgegevens
Uitwisseling van gevoelige persoonsgegevens — medische gegevens, HR-informatie, financiële gegevens — via gewone onversleutelde e-mail vormt een beveiligingsrisico. Een vergeten CC, een typefout in het e-mailadres of een phishing-aanval die e-mailaccount-toegang verschaft, kan leiden tot een meldingsplichtig datalek.
Oplossing: Gebruik voor gevoelige gegevens uitwisseling bij voorkeur een beveiligde deelmethode: een encrypted e-mailoplossing, een beveiligd klantenportaal of een sharing-platform met toegangscontrole.
7. Ongeldige marketingtoestemming
Voor het verzenden van commerciële e-mail is onder de Telecommunicatiewet (en impliciet de AVG) een ondubbelzinnige opt-in vereist. Aanvinkbare hokjes die standaard aangevinkt staan, toestemming verborgen in algemene voorwaarden of mondelinge toestemming die niet wordt gedocumenteerd: dit zijn geen geldige grondslagen. Een CRM vol e-mailadressen waarvoor geen geldige toestemming bestaat, is een tijdbom.
8. Geen procedure voor betrokkenenverzoeken
Betrokkenen hebben het recht op inzage, rectificatie, verwijdering, beperking van verwerking, overdraagbaarheid en bezwaar. Organisaties moeten deze verzoeken binnen één maand beantwoorden. Veel bedrijven hebben geen procedure voor het ontvangen, registreren en beantwoorden van dergelijke verzoeken, waardoor de termijn wordt overschreden of verzoeken simpelweg worden genegeerd.
9. Derde-landentransfers zonder adequate waarborgen
Het gebruik van Amerikaanse of andere niet-EU-clouddiensten (Google Workspace, Microsoft 365, Salesforce, HubSpot, etc.) kan een doorgifte van persoonsgegevens naar derde landen betekenen. Dergelijke doorgiften zijn alleen toegestaan als er een adequaatheidsbesluit is, Standard Contractual Clauses (SCCs) zijn overeengekomen of een andere passende waarborg aanwezig is. Het EU-US Data Privacy Framework (2023) biedt enige duidelijkheid, maar de situatie vereist aandacht.
10. Onvoldoende privacybewustzijn bij medewerkers
De meeste datalekken ontstaan niet door geavanceerde cyberaanvallen maar door menselijk handelen: een verkeerd verzonden e-mail, het reageren op een phishingmail, het kwijtraken van een laptop of USB-stick. Zonder basistraining en periodieke bewustmakingscampagnes is uw privacybeleid een papieren tijger.
Sancties: hoe reëel is het risico voor het MKB?
De AP heeft in 2024 haar handhaving aanzienlijk opgevoerd, met toenemende aandacht voor het MKB. Boetes voor MKB-bedrijven liggen doorgaans in de range van €10.000 tot €150.000, maar kunnen bij herhaalde overtredingen of ernstige inbreuken oplopen tot de wettelijke maxima: €20 miljoen of 4% van de wereldwijde jaaromzet. De reputatieschade die gepaard gaat met een publiekelijk bekendgemaakte AVG-overtreding kan in de praktijk zwaarder wegen dan de boete zelf.
Quick wins: vier stappen die het grootste risico elimineren
Begin met: (1) een verwerkingsregister — inventariseer alle verwerkingen en documenteer ze; (2) actuele verwerkersovereenkomsten — controleer iedere leverancier die gegevens verwerkt; (3) een heldere, volledige privacyverklaring op uw website; (4) een gedocumenteerd datalekmeldingsproces dat uw team kent en jaarlijks oefent. Met deze vier stappen elimineert u de grootste risico's en legt u een solide basis voor verdere AVG-compliance.