In één zin. Het Nederlandse MKB ontkomt niet aan de AVG: de “minder dan 250 medewerkers-uitzondering” in art. 30 lid 5 wordt door de Autoriteit Persoonsgegevens streng uitgelegd en geldt zelden, maar de praktijk leert dat een basis-compliancetraject voor 15-30 K EUR een MKB-bedrijf afdoende beschermt.
Belangrijkste punten
- Geen echte “MKB-vrijstelling” — registerplicht geldt vrijwel altijd.
- AP heeft beperkte handhavingscapaciteit → focus op grote organisaties + grove gevallen.
- Toch is risico voor MKB reëel: klachten, datalekken, civiele claims.
- Basistraject: 15-30 K EUR; jaarlijks onderhoud 5-10 K EUR.
- Boetes in MKB-segment: gemiddeld 50K-200K EUR.
- DPA’s met cloudleveranciers vaak de zwakke schakel.
“(…) tenzij de verwerking incidenteel is, niet waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen, en geen bijzondere categorieën van gegevens (…) betreft.” (art. 30 lid 5 AVG)
1. Internationale benchmarks MKB-AVG
Veel EU-DPA’s hebben MKB-programma’s: CNIL (Frankrijk) heeft “PME-portal” met gratis tools, AEPD (Spanje) biedt “Facilita” online compliance-wizard, ICO (VK) heeft sectorale toolkits. De Autoriteit Persoonsgegevens heeft beperktere MKB-ondersteuning maar verwijst naar Veilig Internetten, MKB Servicedesk en sectorale brancheorganisaties (MKB-Nederland, VNO-NCW). Voor MKB-praktijk: AP-richtsnoer werkgevers 2024 is praktisch leidend voor HR-aspecten, sectorale codes (zorg, financieel, onderwijs) vullen aan.
2. Geldt de AVG voor mijn MKB
Ja, vanaf één persoonsgegeven. De AVG (EUR-Lex) kent geen omzet- of personeelsdrempel voor toepassing. Wel licht regime onder art. 30 lid 5 (kleinere registerplicht), maar deze uitzondering geldt zelden in praktijk.
Vrijwel elk MKB heeft: klantenbestand, leveranciersadministratie, personeelsadministratie, nieuwsbrieflijst, website met cookies, eventuele cameratoezicht. Allemaal AVG-verwerking.
2. MKB-uitzondering art. 30 lid 5
Vrijgesteld indien:
- Minder dan 250 medewerkers, EN
- Verwerking is incidenteel (NIET structureel), EN
- Geen waarschijnlijk hoog risico, EN
- Geen bijzondere gegevens (art. 9) of strafrechtelijke gegevens (art. 10).
Alle vier voorwaarden cumulatief. Een MKB met vast klantenbestand of personeel valt buiten uitzondering — verwerking is structureel.
3. Vier kernverplichtingen MKB
| Verplichting | AVG-artikel | Praktijk |
|---|---|---|
| Register verwerkingsactiviteiten | art. 30 | Excel, 15-30 rijen |
| Privacyverklaring | art. 13-14 | Website, contracten |
| Verwerkersovereenkomsten | art. 28 | Met alle SaaS-leveranciers |
| Datalek-procedure | art. 33 | Protocol + register |
Plus afhankelijk van situatie: FG (zelden voor MKB), DPIA (alleen bij hoog risico), specifieke toestemming kindergegevens.
4. Typische MKB-verwerkingen
- Personeel: werving, dienstverband, salaris (verwerker payroll), ziekteverzuim (bedrijfsarts).
- Klanten: contact, offertes, facturatie, marketing.
- Leveranciers: contact, contracten, KvK-check, Wwft-cliëntenonderzoek (afhankelijk sector).
- Marketing: nieuwsbrief, social media, advertenties.
- Website: analytics, contactformulier, cookies.
- IT: e-mail, cloudopslag, samenwerkingstools.
5. Cloud-stack en DPA’s
Typisch MKB gebruikt 10-25 SaaS-tools. Per tool verwerkersovereenkomst nodig:
- E-mail/office: Microsoft 365 of Google Workspace.
- CRM: HubSpot, Pipedrive, Salesforce.
- Boekhouding: Exact, Snelstart, Moneybird.
- Payroll: Nmbrs, Visma, AFAS.
- Marketing: Mailchimp, ActiveCampaign.
- Helpdesk: Freshdesk, Zendesk.
- Storage: Dropbox, OneDrive, Google Drive.
Alle bovengenoemde leveranciers bieden standaard DPA. Eenmalig accepteren + bewaren.
6. Privacyverklaring MKB
Minimuminhoud (art. 13):
- Identiteit + contactgegevens verantwoordelijke.
- Doelen verwerking en rechtsgronden.
- Categorieën ontvangers (cloudleveranciers).
- Doorgifte derde land + waarborgen (vaak VS).
- Bewaartermijnen.
- Rechten betrokkenen.
- Klachtrecht bij AP.
Genereer met behulp van templates (Veilig Internetten, AP-modelverklaring) en pas aan eigen situatie aan.
7. Cookies op MKB-website
Tw art. 11.7a en AVG art. 6.1.a. Implementeer Consent Management Platform (Cookiebot, Iubenda, CookieFirst, OneTrust — variërende prijzen 0-200 EUR/maand). Configuratie:
- Strikt functionele cookies: zonder toestemming.
- Analytische cookies: toestemming OF privacyvriendelijke configuratie.
- Marketing cookies: altijd toestemming.
8. Personeelsdossier en HR
AP-richtsnoer werkgevers (2024) geldt ook voor MKB — zie de volledige gids AVG voor werkgevers en personeelsgegevens:
- Sollicitatie: 4 weken bewaren na afwijzing (of toestemming langer).
- Personeelsdossier: tijdens dienstverband + 2 jaar na uitdienst.
- Loonadministratie: 7 jaar fiscaal.
- Identiteitsbewijs kopie: alleen indien wettelijk verplicht (BSN-administratie loonbelasting).
- Ziekteverzuim: gegevens bij werkgever beperkt; medische details bij bedrijfsarts.
9. AP-handhaving in MKB-segment
AP heeft beperkte capaciteit (290 FTE) tegenover ruim 1,8 miljoen MKB-bedrijven. Realistisch handhavingsrisico voor doorsnee MKB komt vooral via:
- Klacht van betrokkene (klant, ex-werknemer, sollicitant).
- Datalekmelding die AP-onderzoek triggert.
- Sectorbreed onderzoek (AP koos bijv. webshops, hostingbedrijven, recruitmentbureaus).
Gemiddelde MKB-boete na AP-onderzoek: 50-200 K EUR.
10. Civiele claims onder art. 82
Naast AP-boete: civiele aansprakelijkheid. Sinds HvJ EU UI/Österreichische Post (mei 2023) is materiële schade niet altijd vereist — immateriële schade volstaat. Massaschadeprocedures (WAMCA) zijn groeiend risico. Een MKB-datalek kan civiele claims van enkele honderden EUR per betrokkene opleveren.
11. Veelvoorkomende fouten in MKB-AVG
- Geen verwerkersovereenkomst met Microsoft 365 of Google Workspace (template online beschikbaar).
- Sollicitatie-CV’s jaren bewaard zonder grondslag.
- WhatsApp Business voor klantcommunicatie zonder verwerkersovereenkomst en informatieplicht.
- Personeelsfoto’s op website zonder vrijwillige toestemming.
- Camerabeelden langer dan 4 weken bewaard.
- IT-leverancier krijgt admin-toegang zonder DPA.
- Cookiebanner zonder “Weigeren”-knop (cookiewalls).
- Klantenbestand verkocht bij bedrijfsovername zonder grondslagtoets.
12. 12-stappen MKB-implementatie
- Stakeholder buy-in (directie).
- Inventarisatie verwerkingen.
- Register opstellen (Excel, 15-30 rijen).
- Verwerkers identificeren.
- DPA’s verzamelen/sluiten.
- Privacyverklaring schrijven.
- Cookiebanner implementeren.
- Datalek-protocol opstellen.
- Personeelsinstructie (1u training).
- Audit door externe FG/consultant.
- Jaarlijkse evaluatie inplannen.
- Bij groei: heroverweeg FG-verplichting.
Een uitgebreidere versie van dit stappenplan staat in de complete AVG-checklist voor bedrijven.
12. AP-handhavingscases MKB-segment
| Verantwoordelijke | Jaar | Bedrag | Sector |
|---|---|---|---|
| Klein advocatenkantoor | 2024 | 30 K EUR | Onverzorgde e-mailbeveiliging |
| Tandartspraktijk regio Utrecht | 2023 | 50 K EUR | Datalek + geen verwerkersovereenkomst |
| HR-recruitmentbureau | 2024 | 75 K EUR | Doorgifte CV’s zonder grondslag |
| MKB-webshop fashion | 2025 | 45 K EUR | Cookies + scraping |
| Lokaal sportcafé | 2022 | 12 K EUR | Camerabeelden klanten |
| Notariskantoor | 2023 | 65 K EUR | Inzage-verzoek genegeerd |
Patroon MKB: boetes meestal 10-100 K EUR, sectoren met gevoelige data (zorg, recht, HR) lopen risico. AP geeft eerst waarschuwing bij eerste constatering, daarna pas boete. Recidive of grove nalatigheid verhoogt direct. Vergelijk AP boetes 2025.
13. Tool-stack voor MKB-AVG
| Behoefte | Goedkope optie | Premium |
|---|---|---|
| Cookie CMP | Cookiebot Free, Klaro | OneTrust, Usercentrics |
| Registertool | Excel/Notion | Smartdataprotection, Privacy1 |
| DSAR-workflow | Mailbox | OneTrust, DataGuard |
| FG extern | Lokaal advocaat | Specialistisch bureau |
| Datalek-platform | AP-meldformulier | OneTrust Incident |
| Training | Veilig Internetten gratis | Online cursus 200-500 EUR |
Voor MKB is goedkope-stack vaak voldoende; premium pas bij groei (>50 medewerkers) of bijzondere data. Zie Verwerkersovereenkomst template.
14. Kostenraming MKB
| Onderdeel | Kosten |
|---|---|
| Initiële audit + register | 5-12 K EUR |
| Privacyverklaringen en beleid | 1-3 K EUR |
| DPA’s beoordelen en sluiten | 1-3 K EUR |
| Cookie CMP licentie | 0-2 K EUR/jaar |
| Training personeel | 0,5-2 K EUR |
| Externe FG (deeltijd) | 5-15 K EUR/jaar |
| Jaarlijks onderhoud + audit | 3-8 K EUR/jaar |
| Totaal eerste jaar | 15-40 K EUR |
| Jaarlijks daarna | 8-25 K EUR |
FAQ
Geldt de AVG echt voor mijn ZZP of klein bedrijf?
Ja. AVG is van toepassing vanaf één persoonsgegeven. Geen omzetdrempel. Een ZZP’er met klantenbestand verwerkt structureel persoonsgegevens en valt onder AVG.
Heb ik als MKB een FG nodig?
Zelden. FG verplicht voor overheid, grootschalige monitoring of grootschalige bijzondere gegevens — de criteria staan in wanneer een functionaris gegevensbescherming verplicht is. Een doorsnee MKB met klanten en personeel valt buiten deze categorieën. Vrijwillige FG mag.
Kan ik beboet worden voor cookie-overtreding?
Ja, door zowel ACM (Tw, tot 900 K EUR) als AP (AVG, tot 20 M EUR). Voor MKB doorgaans waarschuwing eerst, boete bij volharden. Boetes voor cookieovertredingen in MKB-segment: 5-50 K EUR.
Moet ik elk datalek melden?
Alleen datalekken met risico voor betrokkenen. Verkeerd geadresseerde e-mail aan één persoon zonder gevoelige inhoud: nee. Inbreuk klantendatabase: ja. Documenteer alle datalekken intern (art. 33 lid 5).
Wat is de minimumstandaard voor AVG-compliance MKB?
Register verwerkingsactiviteiten, privacyverklaring, DPA’s met alle SaaS-leveranciers, datalekprotocol, cookiebanner conform, basisinstructie personeel. Investering 15-30 K EUR initieel, 5-10 K EUR jaarlijks onderhoud.
Hoe ga ik om met een DSAR als MKB?
Centraal e-mailadres (privacy@bedrijf.nl), termijn 1 maand bewaken via tickettool, ID-verificatie minimaal (e-mailverificatie volstaat doorgaans), kopie persoonsgegevens uit CRM + e-mailarchief + boekhouding. Bij twijfel: korte juridische check (300-500 EUR). Niet reageren wordt zwaar bestraft — zie Datalekken melden-parallel en BKR 830 K EUR.
Welke risico’s loop ik bij cloudleveranciers buiten EU?
Bij doorgifte naar VS: DPF-status verifiëren (Microsoft, Google, AWS gecertificeerd). Bij andere derde landen: SCC’s + Transfer Impact Assessment. Voor MKB praktisch: kies primair EU-gecertificeerde of EU-only opties. Belangrijk leveranciers controleren of opname EU-region beschikbaar is.
Wat verandert er voor MKB door NIS2?
NIS2 (Cyberbeveiligingswet 2025) raakt vooral “essentiële” en “belangrijke” entiteiten. Klein MKB valt vaak buiten directe scope, maar wel als toeleverancier aan NIS2-entiteiten. Ketens worden gecontroleerd — verwerkersovereenkomsten worden uitgebreid met cybereisen. Aansluiten op AVG Art. 32 beveiliging-baseline (encryptie, MFA, backups, logging) dekt grotendeels NIS2-basisvereisten.
Zie ook: AVG voor makelaars, AVG in de horeca en AVG voor advocatenkantoren.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial