Je hoort het regelmatig in gesprekken met internationale klanten, in software-instellingen of bij het opzetten van een e-mailtool: “GDPR compliant.” Maar wat is GDPR precies? En als je al aan de AVG voldoet, moet je dan ook nog iets extra’s doen voor die GDPR?
Het korte antwoord: de GDPR en de AVG zijn dezelfde wet. GDPR is de Engelse afkorting (General Data Protection Regulation), AVG is de Nederlandse vertaling (Algemene Verordening Gegevensbescherming). Toch is het goed om de GDPR-term te kennen, want zodra je met buitenlandse partijen werkt, is dat de naam die iedereen gebruikt.
In dit artikel leg ik uit wat de GDPR inhoudt, waar hij vandaan komt, wat je als MKB-ondernemer concreet moet regelen en welke fouten je echt wilt vermijden. Geen juridische bijsluiter, maar een praktisch verhaal.
Wat is GDPR en wat betekent het?
De GDPR is een Europese verordening die op 25 mei 2018 van kracht werd. Hij vervangt de oude Europese privacyrichtlijn uit 1995, die hopeloos verouderd was. In 1995 hadden de meeste mensen nog geen e-mailadres. Social media bestond niet. De hoeveelheid persoonsgegevens die bedrijven vandaag de dag verwerken, was toen ondenkbaar.
De Europese Commissie ontwierp de GDPR met twee doelen. Ten eerste: burgers meer controle geven over hun eigen gegevens. Ten tweede: een gelijk speelveld creeren voor bedrijven in alle EU-lidstaten. Voor 2018 had elk land eigen interpretaties van de oude richtlijn. Nu geldt er een uniforme wet.
Een verordening werkt anders dan een richtlijn. Een EU-richtlijn moet elk land omzetten in nationale wetgeving, met ruimte voor eigen invulling. Een verordening geldt direct en is in alle lidstaten identiek. Daarom is de GDPR in Nederland formeel van kracht als de AVG, maar de inhoud is hetzelfde document.
De GDPR geldt voor elke organisatie die persoonsgegevens verwerkt van mensen in de EU. Het maakt niet uit waar het bedrijf gevestigd is. Een Amerikaans softwarebedrijf dat gegevens van Nederlandse gebruikers verwerkt, moet zich aan de GDPR houden. Dat is een van de redenen waarom je de term zo vaak tegenkomt in internationale software.
Persoonsgegevens zijn daarbij breed gedefinieerd: alles waarmee je een persoon direct of indirect kunt identificeren. Naam en adres, maar ook een IP-adres, een cookie-ID, een locatiepunt op een kaart of zelfs een combinatie van anonieme gegevens die samen naar een persoon wijzen.
De wet bouwt op zes verwerkingsprincipes: rechtmatigheid, doelbinding, dataminimalisatie, juistheid, opslagbeperking en vertrouwelijkheid. In mensentaal: verzamel alleen wat je nodig hebt, leg uit waarvoor, bewaar het niet te lang, houd het actueel en bescherm het goed. Meer over deze principes lees je in ons uitgebreide artikel over de AVG.
Hoe werkt de GDPR in de praktijk?
De GDPR raakt vrijwel elk onderdeel van je bedrijfsvoering waar persoonsgegevens een rol spelen. Laat me de belangrijkste gebieden langslopen.
Rechten van betrokkenen. Iedereen van wie je gegevens verwerkt, heeft rechten. Het recht op inzage (laat zien welke gegevens je van mij hebt), het recht op rectificatie (corrigeer mijn gegevens), het recht op verwijdering (wis mijn gegevens), het recht op dataportabiliteit (geef me mijn gegevens in een bruikbaar formaat) en het recht van bezwaar (stop met het verwerken van mijn gegevens). Als ondernemer moet je die verzoeken binnen 30 dagen afhandelen.
Grondslagen voor verwerking. Je mag alleen persoonsgegevens verwerken als je daar een wettelijke grondslag voor hebt. De zes grondslagen zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, publiek belang en gerechtvaardigd belang. Voor de meeste MKB-bedrijven zijn de eerste drie het relevantst. Je verwerkt klantgegevens om een bestelling te leveren (overeenkomst), je stuurt een nieuwsbrief naar aanmelders (toestemming) en je bewaart factuurgegevens voor de belasting (wettelijke verplichting).
Verwerkersovereenkomsten. Elk extern bedrijf dat in jouw opdracht persoonsgegevens verwerkt, is een verwerker. Je hostingprovider, je e-mailmarketingtool, je boekhoudsoftware, je CRM-systeem. Met elk van hen moet je een verwerkersovereenkomst sluiten. Die beschrijft wat de verwerker mag doen met de gegevens, welke beveiligingsmaatregelen ze nemen en hoe ze omgaan met datalekken.
Meldplicht datalekken. Als er een datalek optreedt — ongeautoriseerde toegang tot persoonsgegevens, verlies van een laptop met klantbestanden, een verkeerd verstuurde e-mail met gevoelige gegevens — moet je dat binnen 72 uur melden bij de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Als het lek een hoog risico vormt voor de betrokkenen, moet je hen ook persoonlijk informeren.
Privacy by design. De GDPR verplicht je om bij het ontwerpen van nieuwe processen, systemen of diensten al na te denken over privacy. Niet achteraf een privacylaagje toevoegen, maar van meet af aan meenemen. Bouw je een nieuw contactformulier? Vraag alleen de gegevens die je echt nodig hebt. Kies je een nieuwe SaaS-tool? Controleer vooraf hoe die met data omgaat.
Verwerkingsregister. Organisaties met meer dan 250 medewerkers zijn verplicht een verwerkingsregister bij te houden. Maar ook kleinere bedrijven moeten dat als ze regelmatig persoonsgegevens verwerken — en dat doet vrijwel elk bedrijf met klanten. In de praktijk is een spreadsheet met kolommen als “welke gegevens, van wie, waarvoor, hoe lang, waar opgeslagen, welke verwerkers” voldoende.
Waarom is de GDPR belangrijk voor bedrijven?
De meest zichtbare reden: boetes. De GDPR kent twee sanctieniveaus. Voor lichtere overtredingen (gebrekkig verwerkingsregister, geen verwerkersovereenkomst) kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor zwaardere overtredingen (onrechtmatige verwerking, negeren van rechten van betrokkenen) geldt een maximum van 20 miljoen euro of 4% van de jaaromzet.
De grootste boetes halen het nieuws: Meta kreeg in 2023 een boete van 1,2 miljard euro van de Ierse toezichthouder. Amazon kreeg 746 miljoen euro van de Luxemburgse autoriteit. Maar ook kleinere bedrijven worden beboet. De Autoriteit Persoonsgegevens legde in 2024 en 2025 meerdere boetes op aan Nederlandse MKB-bedrijven, varierend van 7.500 tot 525.000 euro. Veelvoorkomende redenen: onvoldoende beveiliging van klantgegevens, geen geldige toestemming voor marketinge-mails en het niet melden van datalekken.
Maar boetes zijn niet het hele verhaal. Er zijn zakelijke redenen die minstens zo zwaar wegen.
Internationaal zakendoen. Werk je met klanten, leveranciers of partners buiten Nederland? Dan is GDPR-compliance een voorwaarde. Zeker bij Europese samenwerkingen wordt het verwacht. Een Duits bedrijf dat jou inschakelt als onderaannemer, zal vragen om een verwerkersovereenkomst en bewijs van compliance.
Vertrouwen als concurrentievoordeel. 73% van de Nederlandse consumenten geeft aan dat de manier waarop een bedrijf met hun gegevens omgaat, invloed heeft op hun aankoopbeslissing. Dat percentage stijgt elk jaar. Een duidelijke privacyverklaring en transparante communicatie over dataverwerking zijn geen bureaucratische formaliteiten meer — het zijn verkoopargumenten.
Toekomstbestendigheid. De Europese regelgeving rond data wordt strenger, niet soepeler. De AI Act, de Digital Services Act, de ePrivacy-verordening die eraan komt — ze bouwen allemaal voort op de GDPR. Bedrijven die nu hun GDPR-basis op orde hebben, zijn beter voorbereid op wat er nog aankomt. Zeker als je AI-tools wilt inzetten die persoonsgegevens verwerken.
Datahygiene. Ik zie het in de praktijk: bedrijven die serieus werk maken van GDPR-compliance, ontdekken dat ze veel data bewaren die ze niet nodig hebben. Oude klantenbestanden, nooit opgeschoonde mailinglijsten, test-accounts met echte gegevens. Opruimen levert niet alleen compliance op, maar ook overzicht.
GDPR in de praktijk: voorbeelden
Regels zijn abstract, situaties niet. De volgende voorbeelden laten zien hoe bedrijven concreet met GDPR-vraagstukken omgaan.
Voorbeeld 1: Een webshop schakelt over naar internationale verkoop
Een Nederlandse webshop in huisdiervoeding verkoopt al twee jaar in Nederland en besluit te expanderen naar Duitsland en Belgie. De webshop draait op WordPress met WooCommerce.
De uitdaging: Duitse klanten zijn extra privacybewust. De webshop moet nu een Duitse privacyverklaring hebben, cookieconsent in het Duits aanbieden en een lokale vertegenwoordiger aanwijzen (of aantonen dat dat niet nodig is omdat ze niet op grote schaal bijzondere persoonsgegevens verwerken).
De aanpak: ze schakelen een compliance-tool in voor 89 euro per maand die meertalige privacyverklaringen genereert. Ze passen hun cookiebanner aan met Cookiebot (9 euro per maand voor hun bezoekersaantal). En ze controleren of al hun verwerkers — betaalprovider, verzendpartner, e-mailtool — een verwerkersovereenkomst bieden die EU-breed dekt.
Investering: 4 dagen werk en circa 120 euro per maand aan tooling. Maar zonder deze stappen hadden ze het risico gelopen op klachten bij de Duitse toezichthouder, die beduidend actiever handhaaft dan de Nederlandse AP.
Voorbeeld 2: Een recruitmentbureau krijgt een inzageverzoek
Een recruitmentbureau met 12 medewerkers ontvangt een e-mail van een kandidaat die twee jaar geleden heeft gesolliciteerd: “Ik wil weten welke gegevens jullie van mij hebben.” Een inzageverzoek volgens artikel 15 van de GDPR.
Het bureau realiseert zich dat ze het cv, de sollicitatiebrief, interview-aantekeningen en e-mailcorrespondentie nog hebben. Plus notities in hun ATS (Applicant Tracking System) met subjectieve beoordelingen als “goed gesprek, maar twijfel over culturele fit.”
Ze moeten binnen 30 dagen een volledig overzicht sturen. Inclusief die subjectieve notities — want ook dat zijn persoonsgegevens. Het bureau had geen beleid voor bewaartermijnen van sollicitatiegegevens. Ze bewaren nu alles maximaal een jaar na afwijzing, tenzij de kandidaat expliciet toestemming geeft voor langer.
De les: een bewaartermijnenbeleid kost een middag om op te zetten. Het niet hebben ervan kan je in een lastige situatie brengen.
Voorbeeld 3: Een marketingbureau wil ChatGPT inzetten voor klantanalyses
Een marketingbureau wil AI inzetten om klantdata te analyseren. Ze overwegen om klantprofielen, aankoopgeschiedenis en websitegedrag door ChatGPT te halen voor gepersonaliseerde marketingadviezen.
Het GDPR-probleem: klantgegevens invoeren in ChatGPT is een verwerking. OpenAI is daarbij een verwerker. Je hebt een verwerkersovereenkomst nodig (die biedt OpenAI aan via hun Enterprise- of Team-abonnement, niet voor de gratis versie). Je moet controleren waar de data wordt opgeslagen (OpenAI-servers staan in de VS, maar het EU-US Data Privacy Framework biedt een grondslag). En je hebt een grondslag nodig — toestemming van de klanten of een gerechtvaardigd belang.
De pragmatische oplossing: het bureau gebruikt ChatGPT Team (25 dollar per gebruiker per maand), dat een verwerkersovereenkomst bevat en belooft dat input niet wordt gebruikt voor modeltraining. Ze anonimiseren klantgegevens waar mogelijk en documenteren de verwerking in hun verwerkingsregister. Meer over het effectief inzetten van AI-tools lees je in ons artikel over ChatGPT-prompts voor zakelijk gebruik.
Voorbeeld 4: Een accountantskantoor wordt geconfronteerd met een datalek
Een medewerker van een accountantskantoor verliest een USB-stick met belastinggegevens van 45 klanten. Namen, BSN-nummers, inkomensgegevens. Een serieus datalek.
Het kantoor meldt het lek dezelfde dag bij de Autoriteit Persoonsgegevens via het online meldformulier. Ze stellen vast dat de USB-stick niet versleuteld was — een beveiligingsfout. Omdat BSN-nummers en financiele gegevens hoog-risico data zijn, moeten ze ook alle 45 betrokken klanten persoonlijk informeren.
De AP legt uiteindelijk een boete op van 15.000 euro, niet voor het datalek zelf (dat kan iedereen overkomen), maar voor het ontbreken van encryptie op draagbare media. Het kantoor voert daarna een beleid in dat USB-sticks verbiedt en alle gegevensoverdracht via versleutelde cloudopslag laat verlopen.
De kosten: 15.000 euro boete, 30 uur crisismanagement, reputatieschade bij betrokken klanten. De preventiemaatregel (encryptiebeleid) had een halve dag werk gekost.
GDPR-compliant worden: eerste stappen voor MKB
Hier is een concreet actieplan waarmee je in 3-4 weken de basis op orde hebt.
Week 1: Inventariseer. Maak een verwerkingsregister. Loop je bedrijfsprocessen door en noteer waar persoonsgegevens een rol spelen. Denk aan je website, je e-mailverkeer, je klantenadministratie, je HR-processen, je marketing. Gebruik een simpele spreadsheet. Een template vind je op de website van de Autoriteit Persoonsgegevens.
Week 2: Check je website. Controleer je cookiebanner (actieve toestemming, weigeren even makkelijk als accepteren), je privacyverklaring (volledig, begrijpelijk, actueel) en je contactformulieren (niet meer gegevens vragen dan nodig, link naar privacyverklaring). Lees onze gids over SEO voor MKB voor tips over hoe je privacy en vindbaarheid combineert.
Week 3: Verwerkersovereenkomsten. Maak een lijst van alle externe partijen die persoonsgegevens voor je verwerken. Controleer of je met ieder een verwerkersovereenkomst hebt. Ontbreekt er een? Vraag hem op. De meeste grote aanbieders hebben standaard VWO’s beschikbaar.
Week 4: Procedures en bewustzijn. Stel een datalekmeldprocedure op (wie doet wat binnen 72 uur). Bepaal bewaartermijnen voor verschillende categorien gegevens. En brief je team: een korte sessie van een uur over de basis is al een groot verschil.
Veelgestelde vragen over GDPR
Wat is het verschil tussen GDPR en AVG?
Er is geen inhoudelijk verschil. GDPR staat voor General Data Protection Regulation, de Engelse naam van de Europese privacyverordening. AVG staat voor Algemene Verordening Gegevensbescherming, de Nederlandse naam van exact dezelfde wet. In een internationale context wordt vrijwel altijd de term GDPR gebruikt. In Nederland hoor je vaker AVG.
Geldt de GDPR ook buiten Europa?
De GDPR geldt voor elke organisatie die persoonsgegevens verwerkt van mensen in de EU, ongeacht waar het bedrijf gevestigd is. Een Amerikaans of Aziatisch bedrijf dat een website heeft die gericht is op Europese consumenten, moet zich aan de GDPR houden. Omgekeerd: als jij als Nederlands bedrijf klanten hebt in de VS of Azie, val je voor die klanten niet onder de GDPR maar mogelijk onder lokale privacywetgeving.
Heb ik als MKB'er een functionaris gegevensbescherming nodig?
In de meeste gevallen niet. Een FG (of DPO: Data Protection Officer) is alleen verplicht als je een overheidsinstantie bent, als je op grote schaal mensen monitort of als je op grote schaal bijzondere persoonsgegevens verwerkt (medisch, strafrechtelijk, biometrisch). Een installatiebedrijf met 20 medewerkers hoeft geen FG aan te stellen. Een arbodienst of een ziekenhuis wel.
Mag ik persoonsgegevens opslaan op servers buiten de EU?
Dat mag, maar er gelden aanvullende voorwaarden. De gegevens mogen worden overgedragen naar landen met een adequaatheidsbesluit van de Europese Commissie (die landen bieden volgens de EC voldoende bescherming). De VS valt daar weer onder sinds het EU-US Data Privacy Framework van 2023. Voor landen zonder adequaatheidsbesluit moet je aanvullende waarborgen treffen, zoals standaardcontractbepalingen.
Wat moet ik doen als ik een datalek heb?
Beoordeel eerst de ernst. Is er een risico voor de rechten van de betrokkenen? Zo ja, meld het lek binnen 72 uur bij de Autoriteit Persoonsgegevens. Documenteer wat er is gebeurd, welke gegevens geraakt zijn en welke maatregelen je neemt. Als het lek een hoog risico vormt (denk aan financiele gegevens, BSN-nummers, medische gegevens), moet je ook de betrokkenen zelf informeren.
Hoe verhoudt de GDPR zich tot de nieuwe AI-regelgeving?
De EU AI Act, die gefaseerd in werking treedt tussen 2024 en 2026, bouwt voort op de GDPR. AI-systemen die persoonsgegevens verwerken, moeten voldoen aan zowel de GDPR als de AI Act. In de praktijk betekent dit dat je voor AI-toepassingen die klantgegevens gebruiken een dubbele toets moet doen: is de dataverwerking GDPR-proof en voldoet het AI-systeem aan de risicocategorie die de AI Act voorschrijft?
Kan ik zelf GDPR-compliant worden of heb ik een advocaat nodig?
Voor de meeste MKB-bedrijven kun je de basis zelf regelen. Het verwerkingsregister, de privacyverklaring, de verwerkersovereenkomsten — dat zijn standaarddocumenten waarvoor templates beschikbaar zijn. Schakel een specialist in als je bijzondere persoonsgegevens verwerkt, internationale data-overdrachten doet of een datalek hebt gehad dat tot een onderzoek leidt.
Kortom: Wat is gdpr is een vraag die steeds meer ondernemers stellen. Met de juiste kennis maak je betere beslissingen voor je bedrijf.
Conclusie
De GDPR klinkt intimiderend, maar de kern is helder: wees eerlijk over welke gegevens je verzamelt, heb daar een goede reden voor, bescherm ze en respecteer de rechten van de mensen om wie het gaat. Voor de meeste MKB-bedrijven is dat te regelen in een paar weken gericht werk.
Begin met het verwerkingsregister, want dat geeft je overzicht. Pak daarna je website en je verwerkersovereenkomsten aan. En maak er geen eenmalig project van maar een doorlopend onderdeel van hoe je je bedrijf runt. Privacy is geen project met een einddatum.
Het goede nieuws: elk bedrijf dat de GDPR serieus neemt, onderscheidt zich van de meerderheid die het op de lange baan schuift. Dat is een voorsprong die je niet wilt weggeven.
Wil je hulp bij het GDPR-proof maken van je digitale aanwezigheid? Neem contact op met Red Factory voor persoonlijk advies.