AVG-boetes voorkomen: de complete checklist voor ondernemers
De Algemene Verordening Gegevensbescherming (AVG/GDPR) is sinds 2018 van kracht en de Autoriteit Persoonsgegevens (AP) deelt steeds vaker boetes uit — ook aan MKB-bedrijven. In 2025 legde de AP boetes op varieerend van €10.000 tot €600.000 aan Nederlandse organisaties. In dit artikel bespreken we de belangrijkste AVG-verplichtingen, van het verwerkingsregister tot het datalekprotocol, en geven we je een praktische checklist om boetes te voorkomen.
De AVG in het kort: wat moet je weten als ondernemer?
De Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR), regelt hoe organisaties persoonsgegevens mogen verzamelen, opslaan, gebruiken en delen. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een natuurlijk persoon: naam, e-mailadres, telefoonnummer, IP-adres, BSN, maar ook combinaties van gegevens die iemand identificeerbaar maken.
De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, ongeacht de grootte. Een ZZP'er met een klantenlijst in Excel valt er net zo goed onder als een multinational met miljoenen klantprofielen. De kernprincipes zijn: verwerk persoonsgegevens alleen met een geldige grondslag (toestemming, overeenkomst, wettelijke verplichting, etc.), verwerk niet meer gegevens dan noodzakelijk, bewaar gegevens niet langer dan nodig en bescherm gegevens adequaat tegen verlies en onbevoegde toegang.
De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder die controleert of organisaties de AVG naleven. De AP kan bij overtredingen waarschuwingen, dwangsommen en boetes opleggen. De maximale boete bedraagt €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk zijn de boetes voor MKB-bedrijven lager, maar ze kunnen alsnog tienduizenden euro's bedragen.
Veel ondernemers denken dat de AVG alleen relevant is voor techbedrijven of grote organisaties. Dat is een gevaarlijke misvatting. Elk bedrijf dat klantgegevens verwerkt, een personeelsadministratie voert, e-mailmarketing doet of een CRM-systeem gebruikt, verwerkt persoonsgegevens en moet aan de AVG voldoen. De AP richt zich de laatste jaren nadrukkelijk ook op het MKB.
Het verwerkingsregister: verplicht voor (bijna) iedereen
Het verwerkingsregister is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. Artikel 30 van de AVG verplicht elke organisatie met meer dan 250 werknemers om zo'n register bij te houden. Maar let op: ook kleinere organisaties zijn verplicht als ze regelmatig persoonsgegevens verwerken, bijzondere persoonsgegevens verwerken of gegevens verwerken die een hoog risico vormen. In de praktijk geldt dit voor vrijwel elk MKB-bedrijf.
Het verwerkingsregister bevat per verwerking minimaal de volgende informatie: het doel van de verwerking, welke categorieën persoonsgegevens worden verwerkt, wie toegang heeft tot de gegevens, of de gegevens worden gedeeld met derden, de bewaartermijn en welke beveiligingsmaatregelen zijn getroffen. De AP biedt een model-verwerkingsregister op haar website dat je als startpunt kunt gebruiken.
Begin met het inventariseren van alle verwerkingen in je bedrijf. Denk aan: klantgegevens in je CRM, personeelsgegevens in je HR-systeem, sollicitatiegegevens, websitebezoekers (cookies, analytics), e-mailmarketinglijsten, factuurgegevens, camera-opnames en bezoekerregistraties. Voor elk van deze verwerkingen leg je vast: wat, waarom, van wie, hoe lang, met wie gedeeld en hoe beveiligd.
Houd het verwerkingsregister actueel. Bij elke nieuwe verwerking (je start met een nieuw softwarepakket, je begint met e-mailmarketing, je neemt camera's in gebruik) moet het register worden bijgewerkt. Plan minimaal halfjaarlijks een review om te controleren of het register nog compleet en actueel is. JustRunBiz is ontworpen met privacy by design en helpt je om de verwerkingen die binnen het platform plaatsvinden, te documenteren.
Privacyverklaring en verwerkersovereenkomsten
Elke organisatie die persoonsgegevens verwerkt, moet een privacyverklaring (privacy statement) publiceren. Hierin informeer je betrokkenen over welke gegevens je verwerkt, waarom, hoe lang je ze bewaart, met wie je ze deelt en welke rechten de betrokkene heeft. De privacyverklaring moet in begrijpelijke taal zijn geschreven, niet in juridisch jargon, en moet eenvoudig vindbaar zijn op je website.
Een goede privacyverklaring bevat: de naam en contactgegevens van je organisatie, de contactgegevens van je functionaris voor gegevensbescherming (FG/DPO) als je die hebt, een overzicht van de verwerkingen per doel, de grondslag per verwerking (toestemming, overeenkomst, gerechtvaardigd belang, etc.), de bewaartermijnen, de ontvangers van de gegevens, eventuele doorgifte buiten de EU en de rechten van de betrokkene.
Als je persoonsgegevens laat verwerken door een derde partij (je cloudleverancier, je boekhouder, je e-mailmarketingtool), ben je verplicht een verwerkersovereenkomst af te sluiten. Dit is een contract dat vastlegt hoe de verwerker met de persoonsgegevens omgaat. De meeste grote softwareleveranciers bieden standaard verwerkersovereenkomsten aan (ook wel Data Processing Agreement of DPA genoemd).
Controleer of je met al je verwerkers een verwerkersovereenkomst hebt afgesloten. Maak een lijst van alle partijen die namens jou persoonsgegevens verwerken: je hostingprovider, je e-mailprovider, je CRM-leverancier, je boekhouder, je salarisverwerker, je websitebouwer, je marketingbureau. Vraag bij elke partij de DPA op en bewaar deze centraal. De AP kan bij een controle vragen om deze overeenkomsten in te zien.
Datalekprotocol: wat doe je bij een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of onbevoegd zijn ingezien, gewijzigd of verspreid. Voorbeelden zijn: een gestolen laptop met klantgegevens, een e-mail met bijlage naar de verkeerde ontvanger, een hack van je systemen, een medewerker die klantgegevens op een USB-stick meeneemt of een ransomware-aanval die je database versleutelt.
Bij een datalek ben je verplicht om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van de betrokkenen. Als het datalek een hoog risico vormt, moet je ook de betrokkenen zelf informeren. Het niet melden van een datalek kan leiden tot een boete van de AP, bovenop de eventuele boete voor het incident zelf.
Stel een datalekprotocol op dat beschrijft wat er moet gebeuren bij een datalek. Het protocol bevat: wie het eerste meldpunt is (de privacy officer of een aangewezen persoon), hoe het incident wordt beoordeeld (is het een datalek, wat is het risico?), wie de melding doet bij de AP, hoe betrokkenen worden geïnformeerd, welke maatregelen worden getroffen om het lek te dichten en hoe het incident wordt gedocumenteerd.
Oefen het datalekprotocol minimaal jaarlijks met je team. Een tabletop-oefening (een fictief scenario bespreken) duurt een uur en helpt je team om snel en correct te handelen bij een echt incident. Registreer alle datalekken en bijna-incidenten in een incidentenregister, ook als je ze niet bij de AP hoeft te melden. Dit register is verplicht op grond van artikel 33 lid 5 AVG en kan bij een AP-controle worden opgevraagd.
Rechten van betrokkenen: inzage, verwijdering en bezwaar
De AVG geeft betrokkenen (je klanten, medewerkers, websitebezoekers) een aantal rechten ten aanzien van hun persoonsgegevens. De belangrijkste zijn: het recht op inzage (welke gegevens verwerk je van mij?), het recht op rectificatie (corrigeer onjuiste gegevens), het recht op verwijdering (wis mijn gegevens), het recht op beperking van verwerking, het recht op dataportabiliteit (geef mij mijn gegevens in een machineleesbaar formaat) en het recht op bezwaar.
Als een betrokkene een verzoek indient, moet je binnen één maand reageren. Je mag deze termijn met twee maanden verlengen als het verzoek complex is, maar je moet de betrokkene binnen de eerste maand informeren over de verlenging. Het niet of te laat reageren op een verzoek kan leiden tot een klacht bij de AP en een mogelijke boete.
Niet elk verzoek hoef je in te willigen. Het recht op verwijdering geldt bijvoorbeeld niet als je de gegevens nodig hebt om aan een wettelijke verplichting te voldoen (zoals de fiscale bewaarplicht van zeven jaar). Het recht op bezwaar geldt alleen voor verwerkingen op basis van gerechtvaardigd belang of direct marketing. Beoordeel elk verzoek individueel en documenteer je beslissing.
Stel een procedure op voor het afhandelen van verzoeken. Wie neemt het verzoek in ontvangst? Hoe verifieer je de identiteit van de verzoeker (je wilt voorkomen dat een derde de gegevens opvraagt)? Wie verzamelt de relevante gegevens uit alle systemen? Wie communiceert het antwoord? JustRunBiz biedt exportfuncties waarmee je eenvoudig alle persoonsgegevens van een klant of medewerker kunt samenstellen voor een inzageverzoek.
Boetebevoegdheid AP en recente boetes in Nederland
De Autoriteit Persoonsgegevens heeft een breed scala aan handhavingsinstrumenten. Ze kan waarschuwingen geven, een verwerkingsverbod opleggen, een last onder dwangsom opleggen en boetes uitdelen. De AP hanteert de Boetebeleidsregel 2019 waarin de boetecategorieën en bandbreedtes zijn vastgelegd. Categorie I (lichte overtredingen) gaat tot €200.000, categorie IV (zwaarste overtredingen) tot €20 miljoen of 4% van de jaaromzet.
Recente boetes in Nederland laten zien dat de AP niet alleen grote bedrijven aanpakt. In 2024 en 2025 werden boetes opgelegd aan een tandarts die medische gegevens onbeveiligd bewaarde (€12.000), een webwinkel die klantgegevens deelde zonder verwerkersovereenkomst (€25.000), een woningcorporatie die onnodig kopieën van identiteitsbewijzen bewaarde (€75.000) en diverse organisaties die hun verwerkingsregister niet op orde hadden.
De AP heeft aangekondigd het toezicht op het MKB te intensiveren. In 2025 startte de AP een themaonderzoek naar de naleving van de AVG door MKB-bedrijven, met focus op direct marketing (e-maillijsten zonder toestemming), het ontbreken van verwerkersovereenkomsten en de beveiliging van klantgegevens. De resultaten worden in 2026 gepubliceerd en kunnen leiden tot handhavingsacties.
Naast boetes van de AP loop je als ondernemer ook het risico op schadeclaims van betrokkenen. Op grond van artikel 82 AVG heeft iedereen die schade lijdt door een AVG-overtreding recht op schadevergoeding. De afgelopen jaren zijn er steeds meer collectieve claims ingediend, waarbij een groep betrokkenen gezamenlijk schadevergoeding eist. De financiële impact hiervan kan groter zijn dan de boete zelf.
Functionaris gegevensbescherming en privacy by design
Een functionaris voor de gegevensbescherming (FG), in het Engels Data Protection Officer (DPO), is verplicht voor overheidsorganisaties, organisaties die op grote schaal bijzondere persoonsgegevens verwerken en organisaties die op grote schaal mensen volgen (profilering). De meeste MKB-bedrijven zijn niet verplicht een FG aan te stellen, maar het kan verstandig zijn om een privacy-verantwoordelijke aan te wijzen die de AVG-naleving coördineert.
Privacy by design betekent dat je bij elk nieuw product, proces of systeem al in de ontwerpfase nadenkt over de bescherming van persoonsgegevens. Dit is een verplichting op grond van artikel 25 AVG. In de praktijk betekent dit: kies je nieuwe CRM-systeem mede op basis van privacyfuncties (versleuteling, toegangsbeheer, dataminimalisatie), vraag bij een nieuw marketingproject of de gegevensverzameling noodzakelijk en proportioneel is, en beoordeel bij een nieuwe leverancier of deze AVG-compliant is.
Privacy by default is het bijbehorende principe: de standaardinstellingen van je systemen moeten de meest privacy-vriendelijke optie zijn. Een nieuw aangemaakt CRM-profiel zou standaard geen marketingtoestemming moeten hebben. Je website zou standaard alleen noodzakelijke cookies moeten laden. Je sollicitatieprocedure zou standaard alleen de noodzakelijke gegevens moeten vragen.
Voer minimaal jaarlijks een privacy-audit uit. Loop je verwerkingsregister door, controleer de verwerkersovereenkomsten, test je datalekprocedure, verifieer de bewaartermijnen en controleer de technische beveiligingsmaatregelen. Documenteer de resultaten en de verbeterpunten. Een proactieve houding richting privacy vermindert niet alleen het boeterisico, maar versterkt ook het vertrouwen van je klanten.
Praktische AVG-checklist voor het MKB
Gebruik deze checklist om te controleren of je voldoet aan de AVG. Punt 1: heb je een actueel verwerkingsregister dat alle verwerkingen van persoonsgegevens beschrijft? Punt 2: heb je een privacyverklaring op je website die in begrijpelijke taal uitlegt wat je met persoonsgegevens doet? Punt 3: heb je met al je verwerkers (cloudleveranciers, softwaretools, boekhouder) een verwerkersovereenkomst afgesloten?
Punt 4: heb je een datalekprotocol en weten je medewerkers wat ze moeten doen bij een datalek? Punt 5: kun je verzoeken van betrokkenen (inzage, verwijdering, bezwaar) binnen één maand afhandelen? Punt 6: verwerk je persoonsgegevens alleen met een geldige grondslag (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang)? Punt 7: heb je een cookiemelding op je website die voldoet aan de AVG (voorafgaande toestemming voor niet-noodzakelijke cookies)?
Punt 8: bewaar je persoonsgegevens niet langer dan noodzakelijk? Heb je bewaartermijnen vastgesteld per type gegeven? Punt 9: zijn je systemen adequaat beveiligd met wachtwoordbeleid, tweefactorauthenticatie, versleuteling en regelmatige updates? Punt 10: heb je een privacy-verantwoordelijke aangewezen die de naleving coördineert en als aanspreekpunt dient?
Als je op alle tien punten "ja" kunt antwoorden, heb je een solide basis. Werk de ontbrekende punten zo snel mogelijk bij. De meeste punten kun je zelf uitvoeren, zonder juridische kosten. Voor complexe situaties (bijzondere persoonsgegevens, internationale doorgifte, data protection impact assessment) is juridisch advies aan te raden. JustRunBiz is AVG-compliant en biedt functies als verwerkersovereenkomst, dataversleuteling en exportmogelijkheden voor inzageverzoeken.
Samenvatting
De AVG geldt voor vrijwel elk bedrijf dat persoonsgegevens verwerkt, inclusief het MKB. De belangrijkste verplichtingen zijn: een actueel verwerkingsregister bijhouden, een privacyverklaring publiceren, verwerkersovereenkomsten afsluiten met alle verwerkers, een datalekprotocol opstellen en verzoeken van betrokkenen tijdig afhandelen. De Autoriteit Persoonsgegevens deelt steeds vaker boetes uit, ook aan kleine bedrijven. Een proactieve aanpak met privacy by design en regelmatige privacy-audits minimaliseert je risico.
AVG-compliant ondernemen?
JustRunBiz is gebouwd met privacy by design: dataversleuteling, toegangsbeheer, verwerkersovereenkomst en exportfuncties voor inzageverzoeken zijn standaard inbegrepen. Onderneem met vertrouwen. Start vandaag gratis.
Gratis proberen