Compliance

AVG voor MKB: praktische compliance kleine bedrijven

AVG MKB-gids: minimale verplichtingen, kosten 5K-40K EUR, AP-coulance feit/fictie, 12-stappen plan. Praktisch 2026.

Also available in:Italiano

In één zin. Het Nederlandse MKB ontkomt niet aan de AVG: de “minder dan 250 medewerkers-uitzondering” in art. 30 lid 5 wordt door de Autoriteit Persoonsgegevens streng uitgelegd en geldt zelden, maar de praktijk leert dat een basis-compliancetraject voor 15-30 K EUR een MKB-bedrijf afdoende beschermt.

Belangrijkste punten

  • Geen echte “MKB-vrijstelling” — registerplicht geldt vrijwel altijd.
  • AP heeft beperkte handhavingscapaciteit → focus op grote organisaties + grove gevallen.
  • Toch is risico voor MKB reëel: klachten, datalekken, civiele claims.
  • Basistraject: 15-30 K EUR; jaarlijks onderhoud 5-10 K EUR.
  • Boetes in MKB-segment: gemiddeld 50K-200K EUR.
  • DPA’s met cloudleveranciers vaak de zwakke schakel.

“(…) tenzij de verwerking incidenteel is, niet waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen, en geen bijzondere categorieën van gegevens (…) betreft.” (art. 30 lid 5 AVG)

1. Internationale benchmarks MKB-AVG

Veel EU-DPA’s hebben MKB-programma’s: CNIL (Frankrijk) heeft “PME-portal” met gratis tools, AEPD (Spanje) biedt “Facilita” online compliance-wizard, ICO (VK) heeft sectorale toolkits. De Autoriteit Persoonsgegevens heeft beperktere MKB-ondersteuning maar verwijst naar Veilig Internetten, MKB Servicedesk en sectorale brancheorganisaties (MKB-Nederland, VNO-NCW). Voor MKB-praktijk: AP-richtsnoer werkgevers 2024 is praktisch leidend voor HR-aspecten, sectorale codes (zorg, financieel, onderwijs) vullen aan.

2. Geldt de AVG voor mijn MKB

Ja, vanaf één persoonsgegeven. De AVG (EUR-Lex) kent geen omzet- of personeelsdrempel voor toepassing. Wel licht regime onder art. 30 lid 5 (kleinere registerplicht), maar deze uitzondering geldt zelden in praktijk.

Vrijwel elk MKB heeft: klantenbestand, leveranciersadministratie, personeelsadministratie, nieuwsbrieflijst, website met cookies, eventuele cameratoezicht. Allemaal AVG-verwerking.

2. MKB-uitzondering art. 30 lid 5

Vrijgesteld indien:

  • Minder dan 250 medewerkers, EN
  • Verwerking is incidenteel (NIET structureel), EN
  • Geen waarschijnlijk hoog risico, EN
  • Geen bijzondere gegevens (art. 9) of strafrechtelijke gegevens (art. 10).

Alle vier voorwaarden cumulatief. Een MKB met vast klantenbestand of personeel valt buiten uitzondering — verwerking is structureel.

3. Vier kernverplichtingen MKB

Verplichting AVG-artikel Praktijk
Register verwerkingsactiviteiten art. 30 Excel, 15-30 rijen
Privacyverklaring art. 13-14 Website, contracten
Verwerkersovereenkomsten art. 28 Met alle SaaS-leveranciers
Datalek-procedure art. 33 Protocol + register

Plus afhankelijk van situatie: FG (zelden voor MKB), DPIA (alleen bij hoog risico), specifieke toestemming kindergegevens.

4. Typische MKB-verwerkingen

  • Personeel: werving, dienstverband, salaris (verwerker payroll), ziekteverzuim (bedrijfsarts).
  • Klanten: contact, offertes, facturatie, marketing.
  • Leveranciers: contact, contracten, KvK-check, Wwft-cliëntenonderzoek (afhankelijk sector).
  • Marketing: nieuwsbrief, social media, advertenties.
  • Website: analytics, contactformulier, cookies.
  • IT: e-mail, cloudopslag, samenwerkingstools.

5. Cloud-stack en DPA’s

Typisch MKB gebruikt 10-25 SaaS-tools. Per tool verwerkersovereenkomst nodig:

  • E-mail/office: Microsoft 365 of Google Workspace.
  • CRM: HubSpot, Pipedrive, Salesforce.
  • Boekhouding: Exact, Snelstart, Moneybird.
  • Payroll: Nmbrs, Visma, AFAS.
  • Marketing: Mailchimp, ActiveCampaign.
  • Helpdesk: Freshdesk, Zendesk.
  • Storage: Dropbox, OneDrive, Google Drive.

Alle bovengenoemde leveranciers bieden standaard DPA. Eenmalig accepteren + bewaren.

6. Privacyverklaring MKB

Minimuminhoud (art. 13):

  • Identiteit + contactgegevens verantwoordelijke.
  • Doelen verwerking en rechtsgronden.
  • Categorieën ontvangers (cloudleveranciers).
  • Doorgifte derde land + waarborgen (vaak VS).
  • Bewaartermijnen.
  • Rechten betrokkenen.
  • Klachtrecht bij AP.

Genereer met behulp van templates (Veilig Internetten, AP-modelverklaring) en pas aan eigen situatie aan.

7. Cookies op MKB-website

Tw art. 11.7a en AVG art. 6.1.a. Implementeer Consent Management Platform (Cookiebot, Iubenda, CookieFirst, OneTrust — variërende prijzen 0-200 EUR/maand). Configuratie:

  • Strikt functionele cookies: zonder toestemming.
  • Analytische cookies: toestemming OF privacyvriendelijke configuratie.
  • Marketing cookies: altijd toestemming.

8. Personeelsdossier en HR

AP-richtsnoer werkgevers (2024) geldt ook voor MKB — zie de volledige gids AVG voor werkgevers en personeelsgegevens:

  • Sollicitatie: 4 weken bewaren na afwijzing (of toestemming langer).
  • Personeelsdossier: tijdens dienstverband + 2 jaar na uitdienst.
  • Loonadministratie: 7 jaar fiscaal.
  • Identiteitsbewijs kopie: alleen indien wettelijk verplicht (BSN-administratie loonbelasting).
  • Ziekteverzuim: gegevens bij werkgever beperkt; medische details bij bedrijfsarts.

9. AP-handhaving in MKB-segment

AP heeft beperkte capaciteit (290 FTE) tegenover ruim 1,8 miljoen MKB-bedrijven. Realistisch handhavingsrisico voor doorsnee MKB komt vooral via:

  • Klacht van betrokkene (klant, ex-werknemer, sollicitant).
  • Datalekmelding die AP-onderzoek triggert.
  • Sectorbreed onderzoek (AP koos bijv. webshops, hostingbedrijven, recruitmentbureaus).

Gemiddelde MKB-boete na AP-onderzoek: 50-200 K EUR.

10. Civiele claims onder art. 82

Naast AP-boete: civiele aansprakelijkheid. Sinds HvJ EU UI/Österreichische Post (mei 2023) is materiële schade niet altijd vereist — immateriële schade volstaat. Massaschadeprocedures (WAMCA) zijn groeiend risico. Een MKB-datalek kan civiele claims van enkele honderden EUR per betrokkene opleveren.

11. Veelvoorkomende fouten in MKB-AVG

  • Geen verwerkersovereenkomst met Microsoft 365 of Google Workspace (template online beschikbaar).
  • Sollicitatie-CV’s jaren bewaard zonder grondslag.
  • WhatsApp Business voor klantcommunicatie zonder verwerkersovereenkomst en informatieplicht.
  • Personeelsfoto’s op website zonder vrijwillige toestemming.
  • Camerabeelden langer dan 4 weken bewaard.
  • IT-leverancier krijgt admin-toegang zonder DPA.
  • Cookiebanner zonder “Weigeren”-knop (cookiewalls).
  • Klantenbestand verkocht bij bedrijfsovername zonder grondslagtoets.

12. 12-stappen MKB-implementatie

  1. Stakeholder buy-in (directie).
  2. Inventarisatie verwerkingen.
  3. Register opstellen (Excel, 15-30 rijen).
  4. Verwerkers identificeren.
  5. DPA’s verzamelen/sluiten.
  6. Privacyverklaring schrijven.
  7. Cookiebanner implementeren.
  8. Datalek-protocol opstellen.
  9. Personeelsinstructie (1u training).
  10. Audit door externe FG/consultant.
  11. Jaarlijkse evaluatie inplannen.
  12. Bij groei: heroverweeg FG-verplichting.

Een uitgebreidere versie van dit stappenplan staat in de complete AVG-checklist voor bedrijven.

12. AP-handhavingscases MKB-segment

Verantwoordelijke Jaar Bedrag Sector
Klein advocatenkantoor 2024 30 K EUR Onverzorgde e-mailbeveiliging
Tandartspraktijk regio Utrecht 2023 50 K EUR Datalek + geen verwerkersovereenkomst
HR-recruitmentbureau 2024 75 K EUR Doorgifte CV’s zonder grondslag
MKB-webshop fashion 2025 45 K EUR Cookies + scraping
Lokaal sportcafé 2022 12 K EUR Camerabeelden klanten
Notariskantoor 2023 65 K EUR Inzage-verzoek genegeerd

Patroon MKB: boetes meestal 10-100 K EUR, sectoren met gevoelige data (zorg, recht, HR) lopen risico. AP geeft eerst waarschuwing bij eerste constatering, daarna pas boete. Recidive of grove nalatigheid verhoogt direct. Vergelijk AP boetes 2025.

13. Tool-stack voor MKB-AVG

Behoefte Goedkope optie Premium
Cookie CMP Cookiebot Free, Klaro OneTrust, Usercentrics
Registertool Excel/Notion Smartdataprotection, Privacy1
DSAR-workflow Mailbox OneTrust, DataGuard
FG extern Lokaal advocaat Specialistisch bureau
Datalek-platform AP-meldformulier OneTrust Incident
Training Veilig Internetten gratis Online cursus 200-500 EUR

Voor MKB is goedkope-stack vaak voldoende; premium pas bij groei (>50 medewerkers) of bijzondere data. Zie Verwerkersovereenkomst template.

14. Kostenraming MKB

Onderdeel Kosten
Initiële audit + register 5-12 K EUR
Privacyverklaringen en beleid 1-3 K EUR
DPA’s beoordelen en sluiten 1-3 K EUR
Cookie CMP licentie 0-2 K EUR/jaar
Training personeel 0,5-2 K EUR
Externe FG (deeltijd) 5-15 K EUR/jaar
Jaarlijks onderhoud + audit 3-8 K EUR/jaar
Totaal eerste jaar 15-40 K EUR
Jaarlijks daarna 8-25 K EUR

FAQ

Geldt de AVG echt voor mijn ZZP of klein bedrijf?

Ja. AVG is van toepassing vanaf één persoonsgegeven. Geen omzetdrempel. Een ZZP’er met klantenbestand verwerkt structureel persoonsgegevens en valt onder AVG.

Heb ik als MKB een FG nodig?

Zelden. FG verplicht voor overheid, grootschalige monitoring of grootschalige bijzondere gegevens — de criteria staan in wanneer een functionaris gegevensbescherming verplicht is. Een doorsnee MKB met klanten en personeel valt buiten deze categorieën. Vrijwillige FG mag.

Ja, door zowel ACM (Tw, tot 900 K EUR) als AP (AVG, tot 20 M EUR). Voor MKB doorgaans waarschuwing eerst, boete bij volharden. Boetes voor cookieovertredingen in MKB-segment: 5-50 K EUR.

Moet ik elk datalek melden?

Alleen datalekken met risico voor betrokkenen. Verkeerd geadresseerde e-mail aan één persoon zonder gevoelige inhoud: nee. Inbreuk klantendatabase: ja. Documenteer alle datalekken intern (art. 33 lid 5).

Wat is de minimumstandaard voor AVG-compliance MKB?

Register verwerkingsactiviteiten, privacyverklaring, DPA’s met alle SaaS-leveranciers, datalekprotocol, cookiebanner conform, basisinstructie personeel. Investering 15-30 K EUR initieel, 5-10 K EUR jaarlijks onderhoud.

Hoe ga ik om met een DSAR als MKB?

Centraal e-mailadres (privacy@bedrijf.nl), termijn 1 maand bewaken via tickettool, ID-verificatie minimaal (e-mailverificatie volstaat doorgaans), kopie persoonsgegevens uit CRM + e-mailarchief + boekhouding. Bij twijfel: korte juridische check (300-500 EUR). Niet reageren wordt zwaar bestraft — zie Datalekken melden-parallel en BKR 830 K EUR.

Welke risico’s loop ik bij cloudleveranciers buiten EU?

Bij doorgifte naar VS: DPF-status verifiëren (Microsoft, Google, AWS gecertificeerd). Bij andere derde landen: SCC’s + Transfer Impact Assessment. Voor MKB praktisch: kies primair EU-gecertificeerde of EU-only opties. Belangrijk leveranciers controleren of opname EU-region beschikbaar is.

Wat verandert er voor MKB door NIS2?

NIS2 (Cyberbeveiligingswet 2025) raakt vooral “essentiële” en “belangrijke” entiteiten. Klein MKB valt vaak buiten directe scope, maar wel als toeleverancier aan NIS2-entiteiten. Ketens worden gecontroleerd — verwerkersovereenkomsten worden uitgebreid met cybereisen. Aansluiten op AVG Art. 32 beveiliging-baseline (encryptie, MFA, backups, logging) dekt grotendeels NIS2-basisvereisten.

Zie ook: AVG voor makelaars, AVG in de horeca en AVG voor advocatenkantoren.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →