Wat is AVG? De Privacywet Uitgelegd voor MKB

Laat me raden: je hebt een vaag ongemakkelijk gevoel bij het woord AVG. Je weet dat het iets met privacy te maken heeft. Dat je iets met cookies moet op je website. En dat er hoge boetes staan op overtredingen. Maar wat je precies moet doen? Dat is minder duidelijk. Wat is AVG en wat betekent het voor jouw bedrijf?

Je bent niet de enige. In gesprekken met MKB-ondernemers merk ik dat de AVG wordt gezien als een bureaucratisch monster. En eerlijk gezegd, sommige aspecten zijn ook complex. Maar de basis is overzichtelijker dan je denkt. De meeste MKB-bedrijven hebben geen jurist nodig om aan de belangrijkste verplichtingen te voldoen. Ze hebben een helder overzicht nodig van wat er van ze verwacht wordt.

Dat is wat dit artikel biedt. Geen juridische verhandeling, maar een praktische uitleg van de AVG voor ondernemers die het goed willen doen zonder er een dagtaak van te maken.

Wat is AVG precies?

De AVG staat voor Algemene Verordening Gegevensbescherming. In het Engels: GDPR (General Data Protection Regulation). Het is een Europese wet die sinds 25 mei 2018 van kracht is en regelt hoe organisaties mogen omgaan met persoonsgegevens van EU-burgers.

Persoonsgegevens zijn alle gegevens die naar een persoon herleidbaar zijn. De voor de hand liggende: naam, adres, e-mailadres, telefoonnummer. Maar ook minder voor de hand liggende gegevens: IP-adressen, locatiedata, cookie-ID’s, zelfs een klantnummer als dat te koppelen is aan een persoon.

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van EU-burgers. Ongeacht grootte. Een eenmanszaak met een mailinglijst van 50 adressen valt er net zo goed onder als een multinational. De verplichtingen zijn wel proportioneel: van een klein bedrijf wordt minder verwacht dan van een datagedreven techbedrijf.

De kern van de wet draait om zes principes:

1. Rechtmatigheid. Je mag alleen persoonsgegevens verwerken als je daar een geldige reden (grondslag) voor hebt. Dat kan toestemming zijn, maar ook een overeenkomst, wettelijke verplichting of gerechtvaardigd belang.
2. Doelbinding. Je verzamelt gegevens voor een specifiek, duidelijk doel. Niet “misschien hebben we het ooit nodig.”
3. Dataminimalisatie. Verzamel niet meer gegevens dan nodig. Als je alleen een e-mailadres nodig hebt voor je nieuwsbrief, vraag dan niet om geboortedatum en adres.
4. Juistheid. Zorg dat de gegevens die je hebt kloppen en actueel zijn.
5. Opslagbeperking. Bewaar gegevens niet langer dan nodig voor het doel waarvoor je ze verzameld hebt.
6. Integriteit en vertrouwelijkheid. Bescherm de gegevens tegen ongeoorloofde toegang, verlies of beschadiging.

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op naleving van de AVG. Zij zijn degenen die boetes opleggen bij overtredingen.

Hoe werkt de AVG in de praktijk?

De wet klinkt abstract, maar laten we kijken naar wat het concreet betekent voor een gemiddeld MKB-bedrijf.

Je website. Je website plaatst waarschijnlijk cookies. Analytics-cookies, marketingcookies, functionele cookies. De AVG (samen met de ePrivacy-richtlijn) verplicht je om bezoekers toestemming te vragen voordat je niet-noodzakelijke cookies plaatst. Dat is waarom je overal die cookiebanners ziet. Gewoon een banner tonen is niet genoeg. Bezoekers moeten actief toestemmen (geen vooraf aangevinkte vakjes) en moeten even makkelijk kunnen weigeren als accepteren.

Je klantenbestand. Elk CRM-systeem met klantgegevens valt onder de AVG. Je moet kunnen uitleggen waarom je die gegevens hebt (grondslag), waarvoor je ze gebruikt (doel) en hoe lang je ze bewaart (bewaartermijn). Een klant heeft het recht om zijn gegevens in te zien, te laten corrigeren of te laten verwijderen.

Je e-mailmarketing. Nieuwsbrieven sturen mag alleen naar mensen die daar expliciet toestemming voor hebben gegeven. Die toestemming moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn. “Door je aan te melden ga je akkoord met alles” is niet voldoende. Er moet een duidelijke uitschrijfoptie zijn, en als iemand zich uitschrijft, moet dat ook echt gebeuren.

Je medewerkers. Personeelsdossiers bevatten persoonsgegevens. Salarisgegevens, ziekmeldingen, beoordelingen. Ook daarvoor gelden AVG-regels. Je mag bijvoorbeeld een ziekmelding registreren, maar je mag niet registreren wat de medewerker mankeert.

Je leveranciers en verwerkers. Gebruikt je bedrijf een externe partij die toegang heeft tot persoonsgegevens? Denk aan je boekhouder, je hostingprovider, je e-mailtool, je SaaS-applicaties. Dan moet je een verwerkersovereenkomst (VWO) afsluiten met die partij. Daarin staat hoe zij met de gegevens omgaan.

De meeste MKB-bedrijven hoeven geen functionaris gegevensbescherming (FG) aan te stellen. Dat is alleen verplicht als je op grote schaal bijzondere persoonsgegevens verwerkt (medische gegevens, strafrechtelijke gegevens) of als je op grote schaal gedrag van personen monitort.

Wat veel ondernemers niet weten: de AVG geldt ook voor papieren dossiers. Als je een ordner met klantgegevens in je kantoor hebt staan, valt dat net zo goed onder de wet. Zorg dat die kast op slot zit.

Waarom is de AVG belangrijk voor bedrijven?

De cynische reden: boetes. De AP kan boetes opleggen tot 20 miljoen euro of 4% van je wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor MKB-bedrijven zijn die maximumboetes niet realistisch, maar de AP legt ook aan kleinere bedrijven boetes op. In 2024 kregen meerdere Nederlandse MKB-bedrijven boetes van 10.000 tot 50.000 euro voor overtredingen.

Maar er zijn betere redenen dan angst voor boetes.

Klantvertrouwen. Consumenten en zakelijke klanten worden steeds bewuster van privacy. Uit onderzoek van Eurobarometer blijkt dat 69% van de EU-burgers vindt dat hun online privacy onvoldoende beschermd is. Bedrijven die transparant omgaan met data, bouwen vertrouwen op. Dat is een concurrentievoordeel, niet een last.

Datahygiene. De AVG dwingt je om na te denken over welke gegevens je verzamelt en waarom. Dat leidt tot schonere databases. Minder rommel, meer relevantie. Je e-maillijst met 5.000 actieve abonnees die echt geinteresseerd zijn, is meer waard dan een lijst van 20.000 adressen waarvan de helft nooit een mail opent.

Leveranciersrelaties. Steeds meer grote bedrijven eisen AVG-compliance van hun leveranciers. Als je zakendoet met corporates of overheidsinstanties, is een verwerkersovereenkomst en een privacybeleid vaak een harde voorwaarde. Zonder kun je niet eens meedoen aan een aanbesteding.

AI en data. Met de opkomst van AI wordt dataprivacy nog relevanter. Veel bedrijven willen AI-tools inzetten die klantgegevens verwerken, van chatbots tot geautomatiseerde data-analyse. De AVG bepaalt wat je wel en niet mag met die data. Investeren in compliance nu, voorkomt problemen later als je AI-toepassingen wilt uitrollen. Lees meer in ons artikel over AI-strategie voor MKB.

De keerzijde: compliance kost tijd en soms geld. Je moet je processen documenteren, verwerkersovereenkomsten regelen, je website aanpassen. Voor een bedrijf met 10 medewerkers kost de eerste opzet al gauw 20-40 uur werk. Maar het meeste daarvan is eenmalig. Het bijhouden kost daarna 2-4 uur per maand.

De AVG in de praktijk: voorbeelden

Wetgeving lezen is één ding, ermee werken is iets anders. De volgende voorbeelden laten zien hoe de AVG concreet uitpakt voor mkb-bedrijven.

Voorbeeld 1: Een webshop krijgt een verwijderverzoek

Een klant van een online kledingwinkel stuurt een mail: “Ik wil dat jullie al mijn gegevens verwijderen.” De webshop gebruikt Shopify en heeft het e-mailadres, bestelgeschiedenis, adresgegevens en betaalgegevens van deze klant.

De webshop moet binnen een maand reageren. Ze verwijderen de klantgegevens uit Shopify en hun e-mailmarketing tool. Maar de factuurgegevens mogen ze bewaren, want die vallen onder de fiscale bewaarplicht van 7 jaar. Ze informeren de klant: “We hebben je gegevens verwijderd, met uitzondering van factuurgegevens die we wettelijk 7 jaar moeten bewaren.”

Dit voorbeeld laat zien dat het recht op verwijdering niet absoluut is. Als er een andere wettelijke grondslag is om gegevens te bewaren (zoals de fiscale bewaarplicht), mag dat.

Voorbeeld 2: Een accountantskantoor regelt verwerkersovereenkomsten

Een accountantskantoor met 8 medewerkers verwerkt financiele gegevens van 200 klanten. Ze gebruiken een cloud-boekhoudprogramma, een e-mailtool en een ERP-systeem. Elk van die tools heeft toegang tot persoonsgegevens van hun klanten.

Het kantoor sluit met elke softwareleverancier een verwerkersovereenkomst. Daarin staat dat de leverancier de gegevens alleen verwerkt in opdracht van het kantoor, passende beveiliging toepast en melding maakt van datalekken. De meeste grote softwareleveranciers hebben standaard VWO’s op hun website staan. Bij kleinere leveranciers moest het kantoor er zelf om vragen.

Investering: 2 dagen werk om alles in kaart te brengen en de overeenkomsten te regelen. Eenmalig.

Voorbeeld 3: Een marketingbureau worstelt met toestemming

Een marketingbureau verzamelt leads via een contactformulier op hun website. Bezoekers vullen hun naam, e-mailadres en telefoonnummer in en krijgen een e-book. Het bureau belt die leads vervolgens na om hun diensten aan te bieden.

Het probleem: er staat nergens dat de gegevens ook voor telefonische acquisitie worden gebruikt. De bezoeker heeft toestemming gegeven voor het ontvangen van een e-book, niet voor een verkooptelefoontje.

De oplossing: het bureau past het formulier aan. Er komt een duidelijke tekst bij: “We bellen je binnen 2 werkdagen om te kijken hoe we je verder kunnen helpen. Niet gewenst? Vink dan dit vakje aan.” Transparant en eerlijk. De conversieratio op het formulier daalde met 15%, maar de kwaliteit van de leads steeg fors. De mensen die nu het formulier invullen, verwachten het telefoontje en staan ervoor open.

Voorbeeld 4: Een IT-bedrijf heeft een datalek

Een IT-dienstverlener ontdekt dat een medewerker per ongeluk een spreadsheet met klantgegevens (namen, e-mailadressen, contractwaarden) naar een verkeerd e-mailadres heeft gestuurd. Dat is een datalek.

De AVG verplicht het bedrijf om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens als er een risico is voor de rechten en vrijheden van de betrokkenen. Het bedrijf beoordeelt het risico, meldt het lek bij de AP via het meldformulier, en informeert de getroffen klanten.

Vervolgens nemen ze maatregelen: de fout-ontvanger wordt gevraagd de mail te verwijderen, er komt een protocol voor het versturen van gevoelige bestanden (verplicht versleuteld), en het team krijgt een training over veilig mailen.

Het bedrijf kreeg geen boete, omdat ze snel en adequaat reageerden. De AP beoordeelt niet alleen de fout, maar ook hoe je ermee omgaat.

AVG-compliance voor MKB: waar begin je?

Hier is een stappenplan dat je in 2-4 weken kunt doorlopen. Zonder advocaat.

Stap 1: Breng in kaart welke persoonsgegevens je verwerkt. Maak een lijst. Welke gegevens verzamel je? Van wie (klanten, medewerkers, websitebezoekers)? Waarvoor? Hoe lang bewaar je ze? Waar staan ze opgeslagen? Dit heet een verwerkingsregister en het is verplicht voor de meeste bedrijven. Het hoeft geen ingewikkeld document te zijn. Een spreadsheet volstaat.

Stap 2: Controleer je grondslagen. Heb je voor elke verwerking een geldige reden? De zes grondslagen zijn: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, publiek belang en gerechtvaardigd belang. Voor de meeste MKB-verwerkingen geldt overeenkomst (je verwerkt gegevens om een bestelling te leveren) of toestemming (je stuurt een nieuwsbrief).

Stap 3: Regel je website. Plaats een cookiebanner die aan de eisen voldoet (actieve toestemming, geen vooraf aangevinkte vakjes, weigeren even makkelijk als accepteren). Publiceer een privacyverklaring die in begrijpelijke taal uitlegt welke gegevens je verzamelt en waarom. Zorg dat je contactformulieren een link naar je privacyverklaring bevatten.

Stap 4: Sluit verwerkersovereenkomsten. Maak een lijst van alle externe partijen die toegang hebben tot persoonsgegevens. Je hostingprovider, je e-mailtool, je boekhoudprogramma, je CRM. Controleer of je met ieder van hen een VWO hebt. De meeste grote aanbieders hebben die standaard beschikbaar.

Stap 5: Maak een procedure voor datalekken. Beschrijf in een kort document wat je doet als er een datalek is. Wie beoordeelt de ernst? Wie meldt bij de AP? Wie informeert de betrokkenen? Dit hoeft geen 20-pagina-document te zijn. Een A4’tje met de stappen en verantwoordelijkheden volstaat.

Stap 6: Train je team. Je kunt alle documenten op orde hebben, maar als je medewerkers niet weten hoe ze met persoonsgegevens moeten omgaan, schiet het niet op. Een korte jaarlijkse training (1-2 uur) over de basis is al genoeg. Bekijk ook onze gids over workflow-automatisering voor tips over het inbedden van compliance in je dagelijkse processen.

Veelgestelde vragen over de AVG

Moet ik als ZZP'er ook aan de AVG voldoen?

Ja. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, ongeacht grootte. Als je een klantenlijst hebt, een mailinglijst of een contactformulier op je website, verwerk je persoonsgegevens. De omvang van je verplichtingen is proportioneel. Een ZZP’er hoeft geen functionaris gegevensbescherming aan te stellen, maar moet wel een verwerkingsregister hebben en een privacyverklaring op de website.

Wat zijn de boetes bij overtredingen?

De maximumboete is 20 miljoen euro of 4% van de wereldwijde jaaromzet. In de praktijk zijn boetes voor MKB veel lager. De Autoriteit Persoonsgegevens houdt rekening met de grootte van de organisatie, de ernst van de overtreding en of je hebt geprobeerd het goed te doen. Een eerste overtreding door een klein bedrijf dat verder netjes opereert, leidt eerder tot een waarschuwing of last onder dwangsom dan tot een miljoenenboete.

Mag ik klantgegevens opslaan in de cloud?

Ja, mits de cloudprovider aan de AVG voldoet en je een verwerkersovereenkomst hebt. Let op waar de data wordt opgeslagen. Binnen de EU is geen probleem. Buiten de EU moet je extra maatregelen treffen, tenzij het land een adequaatheidsbesluit heeft van de Europese Commissie. De VS valt sinds 2023 weer onder zo’n adequaatheidsbesluit (het EU-US Data Privacy Framework), dus Amerikaanse clouddiensten die daaraan deelnemen zijn weer toegestaan.

Hoe zit het met de AVG en AI-tools?

Dat is een actueel en complex vraagstuk. Als je persoonsgegevens invoert in een AI-tool zoals ChatGPT, verwerk je die gegevens. Je moet daar een grondslag voor hebben. Veel AI-tools gebruiken je input om hun modellen te verbeteren, wat een extra verwerking is. Praktisch advies: gebruik geen herkenbare persoonsgegevens in AI-prompts, kies voor zakelijke versies met betere privacygaranties, en lees de verwerkersovereenkomst van de AI-leverancier. Meer over het schrijven van effectieve en veilige prompts lees je in ons glossary-artikel.

Wat is het verschil tussen de AVG en de ePrivacy-richtlijn?

De AVG gaat over de bescherming van persoonsgegevens in het algemeen. De ePrivacy-richtlijn (in Nederland geimplementeerd als de Telecommunicatiewet) gaat specifiek over elektronische communicatie: cookies, direct marketing, vertrouwelijkheid van communicatie. De cookiebanner op je website is strikt genomen een ePrivacy-verplichting, niet een AVG-verplichting. Maar in de praktijk werken ze samen en versterken ze elkaar.

Moet ik een Data Protection Impact Assessment (DPIA) uitvoeren?

Alleen als je verwerkingen uitvoert die een hoog risico inhouden voor de rechten van betrokkenen. Denk aan grootschalige profilering, systematische monitoring van openbare ruimten, of het op grote schaal verwerken van bijzondere persoonsgegevens. De meeste MKB-bedrijven hoeven geen DPIA uit te voeren. Twijfel je? De AP heeft een lijst met verwerkingen gepubliceerd waarvoor een DPIA verplicht is.

Wat moet ik doen als een klant zijn gegevens wil inzien?

Een inzageverzoek moet je binnen een maand beantwoorden. Je stuurt de klant een overzicht van alle persoonsgegevens die je van hem verwerkt, inclusief het doel, de bewaartermijn en eventuele ontvangers. Je mag de identiteit van de verzoeker verifieren voordat je gegevens deelt, om te voorkomen dat je iemands data aan de verkeerde persoon geeft. Het overzicht moet gratis zijn, tenzij het verzoek buitensporig of herhaaldelijk is.

Kortom: Wat is avg is een vraag die steeds meer ondernemers stellen. Met de juiste kennis maak je betere beslissingen voor je bedrijf.

Conclusie

De AVG hoeft geen nachtmerrie te zijn. De basis is logisch: weet welke gegevens je verwerkt, heb daar een goede reden voor, bescherm ze, en wees eerlijk naar je klanten over wat je doet. Dat is het in essentie.

Het meeste werk zit in de eerste opzet: het verwerkingsregister maken, je website op orde brengen, verwerkersovereenkomsten regelen. Dat kost 2-4 weken als je het serieus aanpakt. Daarna is het onderhoud: af en toe je register bijwerken, nieuwe medewerkers trainen en nieuwe tools toetsen aan de regels.

Het allerbelangrijkste: zie de AVG niet als een obstakel, maar als een kans om zorgvuldig met de gegevens van je klanten om te gaan. Dat vertrouwen is op de lange termijn meer waard dan elke marketingcampagne.

Wil je hulp bij het AVG-proof maken van je digitale processen? Neem contact op met Red Factory voor persoonlijk advies.