Terug naar Kennisbank
AVG / GDPR

Wat is de AVG?

15 min leestijd
Januari 2025

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die sinds 25 mei 2018 van kracht is. Voor MKB-bedrijven betekent de AVG concrete verplichtingen bij het verwerken van klantgegevens, personeelsinformatie en andere persoonsgegevens. In dit artikel leggen we uit wat de AVG inhoudt, welke verplichtingen je hebt, en hoe je als MKB'er pragmatisch compliant wordt.

Waarom is de AVG er gekomen?

Voor de AVG had elk EU-land zijn eigen privacywetgeving. In Nederland was dat de Wet bescherming persoonsgegevens (Wbp). Dit leidde tot een lappendeken van regels, wat problematisch was voor bedrijven die in meerdere landen actief zijn én voor burgers die niet wisten welke rechten ze hadden.

De AVG (in het Engels: GDPR - General Data Protection Regulation) harmoniseert de privacyregels in de hele Europese Unie. Dezelfde regels gelden nu in alle 27 lidstaten. Dit maakt het voor bedrijven eenvoudiger om internationaal te opereren, maar betekent ook dat de regels overal strikt worden gehandhaafd.

De AVG geeft mensen meer controle over hun persoonsgegevens. In een tijd waarin bedrijven steeds meer data verzamelen - van browsgedrag tot locatiegegevens - vond de EU het nodig om burgers sterker te beschermen. De wet geeft mensen concrete rechten: het recht om te weten welke data bedrijven van hen hebben, het recht om gegevens te laten verwijderen, en het recht om bezwaar te maken tegen bepaalde verwerkingen.

Wat zijn persoonsgegevens precies?

De AVG definieert persoonsgegevens als "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon." Dit is een brede definitie die veel meer omvat dan alleen naam en adres.

Directe persoonsgegevens

Dit zijn gegevens die direct naar een persoon leiden:

  • Naam en contactgegevens: Volledige naam, adres, telefoonnummer, e-mailadres
  • Identificatienummers: BSN, paspoortnummer, rijbewijsnummer
  • Fysieke kenmerken: Foto's, vingerafdrukken, gezichtsherkenningsdata

Indirecte persoonsgegevens

Dit zijn gegevens die in combinatie met andere informatie tot een persoon kunnen leiden:

  • IP-adressen: Kunnen herleid worden naar een specifieke gebruiker
  • Locatiegegevens: GPS-coördinaten, WiFi-locaties
  • Cookies: Unieke identificatoren die gedrag volgen
  • Klant- of ordernummers: In combinatie met andere gegevens identificerend

Bijzondere persoonsgegevens

Sommige gegevens zijn extra gevoelig en mogen alleen onder strikte voorwaarden worden verwerkt:

  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuigingen
  • Lidmaatschap van een vakbond
  • Genetische of biometrische gegevens
  • Gezondheidsgegevens
  • Gegevens over seksueel gedrag of seksuele gerichtheid

Voor bijzondere persoonsgegevens geldt een verwerkingsverbod, tenzij een van de specifieke uitzonderingen van toepassing is (zoals expliciete toestemming of noodzaak voor arbeidsrechtelijke verplichtingen).

De 7 beginselen van de AVG

De AVG is gebouwd op zeven fundamentele beginselen. Elk bedrijf dat persoonsgegevens verwerkt, moet aan deze beginselen voldoen:

1. Rechtmatigheid, behoorlijkheid en transparantie

Je mag alleen persoonsgegevens verwerken als je daar een geldige rechtsgrond (grondslag) voor hebt. De zes grondslagen zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang, en gerechtvaardigd belang.

Daarnaast moet je eerlijk en transparant zijn over wat je met de gegevens doet. Dit betekent dat je een begrijpelijke privacyverklaring moet hebben.

2. Doelbinding

Je mag persoonsgegevens alleen verzamelen voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doelen. Gegevens die je voor doel A verzamelt, mag je niet zomaar voor doel B gebruiken.

Voorbeeld: E-mailadressen die klanten achterlaten voor orderbevestigingen, mag je niet automatisch gebruiken voor marketingnieuwsbrieven.

3. Dataminimalisatie

Verzamel alleen de gegevens die je echt nodig hebt. Vraag niet meer informatie dan noodzakelijk voor het doel.

Voorbeeld: Voor het verzenden van een nieuwsbrief heb je alleen een e-mailadres nodig, niet iemands geboortedatum of adres.

4. Juistheid

Persoonsgegevens moeten correct en actueel zijn. Je moet redelijke maatregelen nemen om onjuiste gegevens te corrigeren of te verwijderen.

5. Opslagbeperking

Bewaar persoonsgegevens niet langer dan nodig voor het doel. Bepaal vooraf hoe lang je gegevens bewaart en verwijder ze daarna.

Voorbeeld: Sollicitatiegegevens van afgewezen kandidaten bewaar je maximaal 4 weken, tenzij de kandidaat toestemming geeft voor langer.

6. Integriteit en vertrouwelijkheid

Beveilig persoonsgegevens adequaat tegen ongeoorloofde toegang, verlies of vernietiging. Technische en organisatorische maatregelen zijn vereist.

7. Verantwoordingsplicht

Je moet kunnen aantonen dat je aan de AVG voldoet. Dit betekent documenteren: een verwerkingsregister bijhouden, beleid vastleggen, en maatregelen documenteren.

"De verantwoordingsplicht is misschien wel het belangrijkste beginsel. Het is niet genoeg om compliant te zíjn - je moet het ook kunnen bewijzen. Documenteer, documenteer, documenteer."

Welke verplichtingen heb je als MKB?

De AVG legt concrete verplichtingen op aan organisaties die persoonsgegevens verwerken. De belangrijkste voor MKB-bedrijven:

Verwerkingsregister

Vrijwel elk bedrijf moet een verwerkingsregister bijhouden. Dit is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. Je documenteert per verwerking: welke gegevens, van wie, waarom, op welke grondslag, met wie je deelt, en hoe lang je bewaart.

De vrijstelling voor bedrijven met minder dan 250 medewerkers geldt alleen als je geen regelmatige verwerkingen doet, geen bijzondere gegevens verwerkt, en geen risicovolle verwerkingen uitvoert. In de praktijk voldoet bijna geen enkel bedrijf aan al deze voorwaarden.

Privacyverklaring

Je moet mensen informeren over hoe je hun gegevens verwerkt via een privacyverklaring. Deze moet begrijpelijk zijn, specifiek voor jouw situatie, en gemakkelijk vindbaar (bijvoorbeeld in de footer van je website).

Verwerkersovereenkomsten

Wanneer externe partijen namens jou persoonsgegevens verwerken (zoals een salarisadministrateur, hostingprovider of marketingtool), heb je een verwerkersovereenkomst nodig. Dit is een contract dat vastlegt hoe de verwerker met jouw data omgaat.

Procedure voor datalekken

Je moet een procedure hebben voor het omgaan met datalekken. Bij een ernstig datalek moet je binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens, en soms ook de betrokkenen informeren.

Rechten van betrokkenen faciliteren

Mensen hebben rechten onder de AVG: recht op inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar. Je moet deze verzoeken kunnen afhandelen binnen één maand.

De zes grondslagen uitgelegd

Je mag alleen persoonsgegevens verwerken als je een geldige grondslag hebt. De AVG kent er zes:

  1. Toestemming: De betrokkene geeft expliciete toestemming. Moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Voorbeeld: nieuwsbriefinschrijving.
  2. Uitvoering overeenkomst: Verwerking is nodig om een contract uit te voeren. Voorbeeld: adresgegevens voor levering van een bestelling.
  3. Wettelijke verplichting: De wet verplicht je tot verwerking. Voorbeeld: loonadministratie voor de Belastingdienst.
  4. Vitaal belang: Noodzakelijk om iemands leven te beschermen. Voorbeeld: medische noodgevallen.
  5. Algemeen belang: Voor taken van algemeen belang of openbaar gezag. Vooral relevant voor overheden.
  6. Gerechtvaardigd belang: Je belang weegt zwaarder dan de privacy van de betrokkene. Vereist een gedocumenteerde belangenafweging.

Voor meer details over elke grondslag, zie ons artikel over de 6 AVG-grondslagen.

Welke boetes riskeer je?

De AVG kent stevige boetes voor niet-naleving:

  • Lichtere overtredingen: Tot €10 miljoen of 2% van de wereldwijde jaaromzet (hoogste bedrag geldt)
  • Zware overtredingen: Tot €20 miljoen of 4% van de wereldwijde jaaromzet

Voor MKB-bedrijven zijn de percentages relevant: 4% van je omzet kan al snel een substantieel bedrag zijn. De Autoriteit Persoonsgegevens kijkt bij het bepalen van de boete naar factoren als: ernst van de overtreding, opzet of nalatigheid, aantal getroffen personen, genomen maatregelen om schade te beperken, en eerdere overtredingen.

Bekijk praktijkvoorbeelden in ons artikel over AVG-boetes in de praktijk.

Hoe verhoudt de AVG zich tot de AI Act?

Met de komst van de EU AI Act is er een nieuwe laag van regelgeving bijgekomen. De twee wetten vullen elkaar aan:

  • AVG: Beschermt persoonsgegevens - wie mag welke data verwerken en onder welke voorwaarden
  • AI Act: Reguleert AI-systemen - hoe veilig en betrouwbaar moet AI zijn

Als je AI gebruikt voor het verwerken van persoonsgegevens, moet je aan beide wetten voldoen. Denk aan AI voor CV-screening: de AVG bepaalt dat je een grondslag nodig hebt voor het verwerken van sollicitantengegevens, de AI Act stelt eisen aan het AI-systeem zelf (documentatie, bias-testing, menselijk toezicht).

Praktische stappen voor MKB-compliance

Stap 1: Inventariseer je verwerkingen

Breng in kaart welke persoonsgegevens je verwerkt. Loop door je processen: klantenbeheer, personeelszaken, marketing, inkoop, financiën. Documenteer per proces welke gegevens je verzamelt en waarom.

Stap 2: Maak een verwerkingsregister

Zet je inventarisatie om in een formeel verwerkingsregister. Een Excel-bestand volstaat. Vul per verwerking in: naam, doel, grondslag, categorieën persoonsgegevens, bewaartermijn, en beveiligingsmaatregelen.

Stap 3: Stel een privacyverklaring op

Schrijf een heldere privacyverklaring die specifiek is voor jouw organisatie. Kopieer niet zomaar van andere websites - je verklaring moet kloppen met jouw daadwerkelijke verwerkingen.

Stap 4: Regel verwerkersovereenkomsten

Maak een lijst van alle externe partijen die namens jou persoonsgegevens verwerken. Check of je met iedereen een verwerkersovereenkomst hebt. Grote partijen (Google, Microsoft, Mailchimp) hebben standaard verwerkersovereenkomsten die je kunt accepteren.

Stap 5: Implementeer beveiliging

Zorg voor passende beveiliging: sterke wachtwoorden, two-factor authenticatie, versleuteling van gevoelige data, regelmatige backups, en toegangsbeheer (niet iedereen hoeft overal bij te kunnen).

Stap 6: Train je medewerkers

Zorg dat medewerkers de basis van de AVG begrijpen en weten hoe ze veilig omgaan met persoonsgegevens. Dit hoeft geen uitgebreide training te zijn - de belangrijkste do's en don'ts volstaan voor de meeste rollen.

"Begin met de basis: verwerkingsregister, privacyverklaring, verwerkersovereenkomsten. Als deze drie op orde zijn, heb je als MKB al een grote stap gezet richting compliance."

Veelgemaakte fouten bij MKB

1. Geen verwerkingsregister

Veel MKB-bedrijven denken dat ze te klein zijn voor een verwerkingsregister. In vrijwel alle gevallen is dit niet zo. Bovendien helpt een register je om overzicht te houden.

2. Gekopieerde privacyverklaring

Een privacyverklaring van een andere website overnemen is verleidelijk maar risicovol. De verklaring klopt dan niet met jouw situatie, en bij een controle heb je een probleem.

3. Ontbrekende verwerkersovereenkomsten

Elke partij die namens jou persoonsgegevens verwerkt, heeft een verwerkersovereenkomst nodig. Dit wordt vaak vergeten bij kleinere leveranciers of SaaS-tools.

4. Te lang bewaren

Data wordt vaak bewaard zonder na te denken over bewaartermijnen. Dit is in strijd met het beginsel van opslagbeperking. Bepaal voor elke verwerking hoe lang je gegevens nodig hebt, en verwijder ze daarna.

5. Onvoldoende beveiliging

Zwakke wachtwoorden, geen two-factor authenticatie, gevoelige data in onbeveiligde Excel-bestanden - dit zijn veelvoorkomende tekortkomingen die tot datalekken kunnen leiden.

De Functionaris Gegevensbescherming (FG)

Sommige organisaties zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dit geldt voor:

  • Overheidsinstanties en publieke organisaties
  • Organisaties die op grote schaal bijzondere persoonsgegevens verwerken
  • Organisaties die op grote schaal mensen observeren (profiling, tracking)

Voor de meeste MKB-bedrijven is een FG niet verplicht. Toch kan het nuttig zijn om iemand binnen de organisatie aan te wijzen als aanspreekpunt voor privacy-zaken.

Conclusie

De AVG is geen bureaucratische last, maar een kans om het vertrouwen van klanten en medewerkers te versterken. Door transparant en zorgvuldig om te gaan met persoonsgegevens, laat je zien dat je privacy serieus neemt.

Voor MKB-bedrijven komt compliance neer op een aantal concrete stappen: weet welke gegevens je verwerkt, documenteer dit in een verwerkingsregister, informeer betrokkenen via een privacyverklaring, regel afspraken met externe partijen, beveilig adequaat, en train je team.

Wil je weten hoe je organisatie ervoor staat? Doe onze gratis AVG-scan en krijg direct inzicht in je compliance-niveau en concrete verbeterpunten.

Gerelateerde artikelen

De 6 AVG Grondslagen

6 min leestijd

Het Verwerkingsregister

5 min leestijd

Privacyverklaring Opstellen

6 min leestijd

Wil je weten hoe je ervoor staat?

Doe de gratis scan en ontdek direct welke verplichtingen op je organisatie van toepassing zijn.

EU AI Act ScanAVG Scan