GIDS

AVG, voor het mkb.

Niet de versie van 600 pagina's. De versie waar je team deze week mee aan de slag kan.

Wat de AVG eigenlijk is.

De Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR) is de EU-wet die regelt hoe organisaties persoonsgegevens verzamelen, opslaan, gebruiken, delen en beschermen. Sinds 2018 van kracht. Geldt voor elke onderneming die gegevens van EU-inwoners verwerkt — ongeacht waar de onderneming zelf zit.

Waarom het ertoe doet

Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet. Maar voor het mkb is reputatieschade vaak het grotere risico — een datalek in het nieuws kost meer dan de boete.

Voor wie het geldt.

  • Bedrijven in de EU. Elke onderneming geregistreerd of actief in een EU-lidstaat, ongeacht waar de klanten zitten.
  • Niet-EU-bedrijven die zich op EU-burgers richten. Verkoop je in de EU of volg je EU-gebruikers, dan val je eronder — ook van buiten.
  • Verwerkers. Verwerk je gegevens namens iemand anders (bijvoorbeeld als SaaS-leverancier), dan rusten AVG-verplichtingen apart op jou.
  • Iedereen die persoonsgegevens verwerkt. Namen, e-mailadressen, IP's, gedragsdata. Als het een persoon identificeert, valt het eronder.

De zeven beginselen.

  • Rechtmatigheid, behoorlijkheid, transparantie. Vertel mensen wat je met hun gegevens doet, in begrijpelijke taal.
  • Doelbinding. Gebruik gegevens voor het doel waarvoor je ze verzamelde. Niet voor wat marketing er later bij verzint.
  • Minimale gegevensverwerking. Verzamel wat je nodig hebt. Stop daar.
  • Juistheid. Houd het correct. Laat mensen iets corrigeren als dat niet zo is.
  • Opslagbeperking. Bewaar het niet langer dan nodig. Bepaal een retentietermijn en hou je eraan.
  • Integriteit en vertrouwelijkheid. Versleutel onderweg en in rust. Beperk wie wat ziet. Het saaie beveiligingswerk.
  • Verantwoordingsplicht. Kunnen aantonen dat je het bovenstaande doet. Documentatie is het verschil tussen compliant en "vertrouw me nu maar".

Wat het mkb daadwerkelijk moet doen.

  • Verwerkingsregister. Een lijst van wat je verzamelt, waarom, waar het staat en met wie je het deelt. Artikel 30.
  • Privacyverklaringen. Begrijpelijke melding op het moment van verzameling. Cookiebanner bij niet-essentiële cookies.
  • Toestemmingsbeheer. Waar je op toestemming leunt: expliciet vastleggen en net zo makkelijk laten intrekken als geven.
  • Melding datalek. 72 uur om de AP te informeren vanaf het moment van ontdekking. Eerder mag.
  • DPIA's (bij hoog risico). Doe je iets risicovols met persoonsgegevens — grootschalige profilering, bijzondere categorieën — schrijf dan eerst een Data Protection Impact Assessment.
  • Rechten van betrokkenen. Procedure om binnen 30 dagen op inzage-, verwijderings- en overdraagbaarheidsverzoeken te reageren. Komt zelden voor; de procedure moet er toch zijn.

Veelgemaakte fouten.

  • Policies één keer geschreven, nooit bijgewerkt. Een privacyverklaring uit 2019 is in 2026 niet meer compliant. Jaarlijks herzien.
  • Aannemen dat toestemming de grondslag is. De meeste mkb-verwerkingen zijn geen toestemming — meestal is het contract of gerechtvaardigd belang. Mis je hierop, dan valt je hele grondslag.
  • Geen incidentplan. Als het lek vrijdag om 23.00 uur gebeurt, moet het plan al klaar zijn. Maandagochtend opstellen is te laat.
  • Sub-verwerkers negeren. Elke SaaS-tool is een sub-verwerker. Elk vraagt een verwerkersovereenkomst. Auditors checken dit.
  • Eeuwig bewaren. Elk klant-e-mailadres oneindig bewaren is een overtreding. Kies een termijn.
  • Ongetraind personeel. Het lek is meestal iemand die ergens op klikt. 30 minuten training per jaar dekt het meeste.

De checklist van negen stappen.

  • Inventariseer wat je verzamelt. Breng elk formulier, elke signup, integratie en leverancier in kaart. Welke gegevens, waar, waarom.
  • Bepaal de grondslag. Per verwerkingsactiviteit: contract, gerechtvaardigd belang, toestemming, wettelijke verplichting, vitaal belang of taak van algemeen belang. Eén per activiteit.
  • Werk privacyverklaringen bij. Begrijpelijke taal. Verwerkers genoemd. Retentietermijnen. Rechten.
  • Richt toestemmingsregistratie in. Daar waar het de grondslag is. Expliciete opt-in, geen vooraf-aangevinkte vakjes. Gelogd.
  • Implementeer beveiligingsmaatregelen. Encryptie, toegangscontrole, MFA, back-ups. Documenteer ze.
  • Schrijf het incidentplan. Wie beslist dat iets een lek is. Wie meldt aan wie. Hoe snel. Eens per jaar tabletop.
  • Teken verwerkersovereenkomsten. Met elke SaaS-tool. De meeste hebben een self-serve DPA in hun dashboard.
  • Train je personeel. 30 minuten. Wat wel delen, wat niet. Wat te doen als er iets misgaat.
  • Plan herzieningen. Jaarlijks. Of wanneer iets wezenlijks verandert — nieuw product, nieuwe markt, nieuwe verwerker.

Hoe AIR-Tools per stap helpt.

  • Automatische ontdekking van verwerkingen. Clair scant je stack en somt op welke gegevens waar staan. Stap 1 klaar.
  • Risico-mapping. Elke verwerkingsactiviteit krijgt een grondslag-suggestie en risicoscore. Jij bevestigt; wij leggen vast.
  • Actieplannen, geen lijsten. Wekelijkse stap-voor-stap acties met tijdsinschatting en impactscore.
  • Policy-concepten. Privacyverklaring, retentie, incident response — opgesteld; jij en je advocaat tekenen af.
  • Doorlopende monitoring. Drift, nieuwe verwerkers, verlopen certificaten — gemeld voordat een auditor het ziet.
  • Frameworkdekking. AVG-dekking in procenten. Met de acties om het gat te dichten.

De korte versie.

De AVG is grotendeels gezond verstand, juridisch geformuleerd. Het werk is bijblijven. Dat is wat Clair doet.

FAQ

Wat is het reële risico voor een mkb-bedrijf dat de AVG negeert?
Realistisch: een klacht bij de Autoriteit Persoonsgegevens — meestal aangezet door een boze klant of ex-medewerker. De AP opent een onderzoek, vraagt om documentatie en beslist over een eventuele boete. De meeste mkb-boetes liggen op € 10k–€ 50k; grotere boetes zijn voor beursgenoteerde bedrijven. Reputatieschade is vaak erger dan de boete.
Moet ik me bij de AP registreren?
Nee. Het meldingsregister is in 2018 afgeschaft. Je neemt alleen contact op met de AP bij een datalek (72-uursregel) of als reactie op een klacht.
Mag ik Amerikaanse tools gebruiken?
Ja, mits er een passend doorgiftemechanisme is — Modelovereenkomsten (SCC's) of certificering onder het EU-VS Data Privacy Framework. Clair houdt bij welke van je verwerkers welk mechanisme heeft.
Hoe vaak komen verzoeken van betrokkenen écht voor?
Voor B2B-mkb zelden. Een handvol per jaar, als er al verzoeken komen. De procedure is het werk; het volume niet.
Wat is de snelste manier om te beginnen?
Inschrijven, scan draaien, eerste drie acties oppakken. Eind week één zit je rond 60% dekking. De resterende 40% is papierwerk dat nog twee weken kost.

Sla de consultant over. Start de scan.

Zie waar je staat op de AVG — een korte demo met een founder, op je eigen stack.

Demo aanvragen