We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    AVG praktisch naleven voor het MKB - verwerkingsregister, technische maatregelen, 72-uurs datalek-meldplicht en bewaartermijnen voor het Nederlandse MKB
    Cyber Security

    AVG Praktisch Naleven voor het MKB: Verwerkingsregister, Beveiliging en Datalekken

    TRON Group• Compliance & Privacy Experts
    10 minuten lezen

    De AVG staat sinds 2018 op tafel, maar in veel MKB-bedrijven is compliance een vinkje dat nooit meer is bijgewerkt. We leggen praktisch uit wat de AVG van een MKB-bedrijf vraagt: verwerkingsregister, technische maatregelen, datalek-meldplicht binnen 72 uur, verwerkersovereenkomsten en bewaartermijnen. Inclusief de overlap met ISO 27001 en NIS2.

    De AVG staat sinds 2018 op tafel, maar in veel MKB-bedrijven is "AVG-compliant zijn" nog steeds een vinkje dat er ooit is gezet en daarna nooit meer is bijgewerkt. Tegelijk blijft de Autoriteit Persoonsgegevens (AP) doorhandhaven en stijgt het aantal datalekmeldingen elk jaar. In dit artikel leggen we uit wat de AVG praktisch van een MKB-bedrijf vraagt, welke onderdelen je echt op orde moet hebben, en hoe je dat doet zonder een privacyjurist op de loonlijst.

    Wat de AVG van het MKB vraagt

    De AVG, de Algemene Verordening Gegevensbescherming, is van toepassing sinds 25 mei 2018. In Nederland houdt de AP toezicht, ondersteund door de Uitvoeringswet AVG. Voor het MKB komt het neer op zes praktische gebieden waar je iets moet regelen: een verwerkingsregister, technische beveiliging, een proces voor datalekken, helderheid over de rechten van betrokkenen, afspraken met je verwerkers en bewaartermijnen die kloppen.

    De wet werkt met open normen ("passende technische en organisatorische maatregelen"), waarbij wat passend is afhangt van de stand van de techniek, de aard van de gegevens en het risico. Dat is voor MKB-ondernemers tegelijk frustrerend en gunstig: je hoeft niet alles van Shell of ING te doen, maar je moet wel uitleggen waarom jouw keuzes redelijk zijn.

    Wat de boetes echt voorstellen

    Onder artikel 83 AVG bestaan twee boetecategorieen. De zwaarste loopt op tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. De lagere categorie ligt op 10 miljoen euro of 2 procent. De grote boetes uit de afgelopen jaren raken vooral grote bedrijven: 290 miljoen euro voor Uber (2024), 30,5 miljoen voor Clearview AI, 4,75 miljoen voor Netflix.

    Voor het MKB is het beeld genuanceerder. Uit het AP-jaarverslag 2024 blijkt dat de toezichthouder dat jaar zes boetes oplegde, vier lasten onder dwangsom en zeven berispingen, naast meer dan 2.000 gesprekken en voorlichtingsmomenten. Het beleid is duidelijk: zwaar inzetten op voorlichting bij het MKB, en de hoge boetes reserveren voor grote schenders. Dat is geen vrijbrief; bij een datalek of een klacht kan een MKB-bedrijf wel degelijk een berisping krijgen of in de openbaarheid komen.

    Het verwerkingsregister: bijna altijd verplicht

    Artikel 30 AVG zegt dat een verwerkingsregister verplicht is bij organisaties met 250 of meer medewerkers. Dat klinkt geruststellend voor het MKB, maar de uitzondering staat in dezelfde bepaling: ook bij minder dan 250 medewerkers moet je een register hebben als verwerking niet incidenteel is, een risico inhoudt of bijzondere/strafrechtelijke gegevens betreft. In de praktijk valt vrijwel elk MKB-bedrijf onder die uitzondering. Wie personeel heeft, klanten, leveranciers en een nieuwsbrief, doet niet-incidentele verwerking.

    Een werkbaar register beschrijft per verwerkingsactiviteit: welke persoonsgegevens, van wie, met welk doel, op welke grondslag, hoe lang bewaard, met wie gedeeld, en hoe beveiligd. Een Excel-bestand voldoet. Wat ertoe doet is dat je hem actueel houdt: bij elk nieuw IT-systeem dat persoonsgegevens raakt (CRM, salarissoftware, marketingplatform) breid je het register uit. De AP heeft een praktisch stappenplan voor MKB-ondernemers waarin het register als concrete stap is opgenomen.

    Technische maatregelen: wat is "passend"?

    Artikel 32 AVG vraagt om passende technische en organisatorische maatregelen. Voor een MKB-bedrijf vertaalt dat zich naar een vaste set basismaatregelen die je sowieso moet hebben:

    • Multifactor-authenticatie op alle accounts met toegang tot persoonsgegevens. Dit is inmiddels zo standaard dat het ontbreken ervan in een audit als nalatig wordt gezien. Zie ook onze gids over MFA implementeren.
    • Encryptie van data op laptops en mobiele apparaten, en bij transport (HTTPS, TLS voor e-mail).
    • Patchbeleid voor besturingssystemen, applicaties en plug-ins. Dit is ook onder NIS2 een verplichte maatregel, en ontbreekt nog in te veel MKB-bedrijven.
    • Backup en herstel met getest restore-proces.
    • Toegangsbeheer dat medewerkers alleen toegang geeft tot de gegevens die ze voor hun werk nodig hebben.
    • Logging en monitoring van toegang tot gevoelige systemen.

    De NCSC-richtsnoeren over identiteits- en toegangsbeheer geven hier extra invulling aan. Het komt erop neer dat technische maatregelen die voor cybersecurity gangbaar zijn, ook voor de AVG meetellen. Wie zijn cybersecurity-checklist doorloopt, doet meteen veel werk voor de AVG.

    De 72-uurs datalekmeldplicht

    Een datalek is elke inbreuk op de beveiliging die leidt tot verlies, ongeoorloofde toegang of openbaarmaking van persoonsgegevens. Een verloren laptop, een gestolen telefoon, een verkeerd verzonden e-mail met klantgegevens, een gehackte mailbox. Onder artikel 33 AVG moet je een datalek binnen 72 uur na ontdekking melden bij de AP, tenzij het waarschijnlijk geen risico voor betrokkenen oplevert.

    72 uur is kort. Het betekent dat je een procesje moet hebben waarin een medewerker die iets verdachts merkt, weet bij wie hij zich moet melden. Het betekent ook dat je intern moet kunnen vaststellen of een gebeurtenis kwalificeert als datalek. In 2024 ontving de AP 37.839 datalekmeldingen (mede door bulkmeldingen vanuit grote organisaties), waarbij het aantal unieke incidenten steeg van 5.480 in 2023 naar 14.067 in 2024. De cijfers laten zien dat datalekken voor het MKB geen uitzondering meer zijn.

    Wat te doen als het misgaat staat in onze praktische gids over wat te doen bij een datalek. De boete bij niet of laat melden kan oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.

    Verwerkersovereenkomsten zijn geen formaliteit

    Als een externe partij persoonsgegevens namens jou verwerkt (denk aan een payrollbureau, een mailingplatform, een hostingpartij, een CRM-leverancier), moet je een verwerkersovereenkomst hebben. Artikel 28 AVG geeft minimale inhoud: doel, duur, instructiebevoegdheid, beveiliging, geheimhouding, regels voor subverwerkers, ondersteuning bij rechten van betrokkenen, datalekmelding, audit-recht en wat er na afloop met de data gebeurt.

    Grote leveranciers (Microsoft, Google, salarissoftware) leveren standaard een verwerkersovereenkomst. Bij kleinere leveranciers moet jij erom vragen. Sla het document op in je verwerkingsregister en hou bij wat de afspraken zijn over data-locatie. Sinds Microsoft op 26 februari 2025 zijn EU Data Boundary heeft voltooid, blijft de meeste data van Microsoft 365 en Azure binnen de EU/EFTA. Dat helpt, maar de Amerikaanse CLOUD Act kan in theorie nog toegang vragen.

    Bewaartermijnen: niet langer dan noodzakelijk

    De AVG geeft geen vaste bewaartermijnen. Het beginsel "opslagbeperking" (artikel 5) zegt: niet langer dan noodzakelijk voor het doel. Een paar gangbare termijnen waar je niet omheen kunt:

    • Sollicitatiegegevens: zonder toestemming maximaal 4 weken na einde procedure; met toestemming tot 1 jaar.
    • Fiscale administratie: 7 jaar (artikel 52 AWR). Voor onroerend goed 10 jaar.
    • Personeelsdossier: in beginsel 2 jaar na uitdiensttreding, met uitzonderingen voor fiscale onderdelen.
    • Klantgegevens: zo lang de klantrelatie loopt plus een redelijke termijn voor garantie, geschillen of doorlopende contracten.
    • Marketinggegevens: zo lang de betrokkene niet bezwaar maakt en het doel actief is.

    Wat in het MKB vaak misgaat: oude bestanden in mailboxen, gedumpte data op netwerkschijven, oud-medewerkers in CRM. Een opschoonronde per kwartaal voorkomt dat je bij een datalek moet uitleggen waarom een sollicitant uit 2019 nog op je server staat.

    De acht rechten van betrokkenen

    Onder de AVG hebben betrokkenen acht rechten: informatie, inzage, rectificatie, vergetelheid, beperking, dataportabiliteit, bezwaar en niet onderworpen worden aan geautomatiseerde besluitvorming. Praktisch betekent dit dat als een medewerker, een sollicitant, of een klant je vraagt "welke gegevens hebben jullie van mij?", je dat moet kunnen beantwoorden binnen 1 maand (in complexe zaken kan dit met 2 maanden verlengd worden).

    Een werkbare aanpak: een vast aanspreekpunt (directie, HR of privacy@bedrijf.nl), een standaardprocedure die het verzoek beoordeelt, en een vast format voor het antwoord. De DPG Media-zaak liet zien hoe gevoelig dit ligt: een te zware identificatie-eis (standaard kopie ID) leidde tot een AP-boete, op 24 september 2025 door de Raad van State verlaagd tot 262.500 euro. Vraag alleen wat nodig is om de identiteit te bevestigen.

    Wanneer is een DPIA of FG verplicht?

    Een DPIA (Data Protection Impact Assessment) is verplicht bij verwerkingen met waarschijnlijk hoog risico. Voor het MKB komt dit in beeld bij dingen als systematische monitoring van medewerkers (zoals trackingsoftware), grootschalige verwerking van bijzondere gegevens (zorggegevens, biometrische data), of een geautomatiseerde besluitvorming die rechtsgevolgen heeft. De AP publiceert een lijst met verplichte DPIA-categorieen waar je tegen kunt checken.

    Een Functionaris voor Gegevensbescherming (FG, ook bekend als DPO) is verplicht voor overheidsinstellingen en voor organisaties wier kernactiviteit grootschalige observatie of grootschalige verwerking van bijzondere gegevens is. De meeste MKB-bedrijven hebben geen FG-plicht, maar mogen wel vrijwillig een privacy-coordinator aanstellen. Een vrijwillige rol heeft niet de wettelijke status van een FG en hoeft niet bij de AP aangemeld te worden.

    AVG, ISO 27001 en NIS2: vermijd dubbel werk

    Drie compliance-stelsels die in het MKB door elkaar lopen: AVG (privacy), ISO 27001 (informatiebeveiliging), en NIS2 (cybersecurity in vitale sectoren). Ze overlappen flink. Wie ISO 27001 doorgaat, heeft het grootste deel van de AVG-beveiligingsmaatregelen al gedekt. Wie zijn NIS2-traject inricht, dekt opnieuw veel AVG-beveiliging.

    Voor de meeste MKB-bedrijven is dit goed nieuws. Maatregelen die je vanwege cybersecurity neemt (MFA, encryptie, patchbeleid, logging, identiteitsbeheer) tellen meteen mee voor de AVG. Een ISMS dat aan ISO 27001 voldoet wordt door marktbronnen geschat op 70 tot 80 procent overlap met NIS2-eisen. De kunst is om de drie regimes als een geheel aan te pakken, niet als drie aparte projecten.

    Veelgestelde vragen over de AVG voor het MKB

    Geldt de AVG ook voor mijn eenmanszaak of kleine MKB-bedrijf?

    Ja, de AVG geldt voor elke organisatie die persoonsgegevens verwerkt. Het verschil zit in de proportionaliteit: een eenmanszaak hoeft geen FG aan te stellen of een complex privacymanagementsysteem op te tuigen, maar moet wel een verwerkingsregister hebben, datalekken kunnen melden en passende beveiliging treffen. De AP houdt rekening met de schaal van het bedrijf.

    Moet ik mijn klanten apart toestemming vragen voor elk gebruik van hun gegevens?

    Niet altijd. De AVG kent zes grondslagen: toestemming, uitvoering overeenkomst, wettelijke verplichting, vitaal belang, taak van algemeen belang, en gerechtvaardigd belang. Voor het uitvoeren van een verkoopovereenkomst heb je geen aparte toestemming nodig. Voor marketingberichten naar nieuwe contacten en cookies wel. Werk per verwerkingsactiviteit met de juiste grondslag.

    Wat is het verschil tussen een datalek en een beveiligingsincident?

    Een beveiligingsincident is elke verstoring van de IT-veiligheid (een phishingpoging, een geblokkeerde malware-poging). Een datalek is een incident waarbij persoonsgegevens daadwerkelijk in gevaar zijn gekomen: gelekt, verloren, onbedoeld zichtbaar of bewerkt door iemand die geen recht had. Niet elk incident is een datalek, maar elk datalek begint vaak als incident. Een goede triage helpt om snel te bepalen wat je moet melden.

    Mag ik klantgegevens in de cloud opslaan?

    Ja, mits je de juiste afspraken maakt. De cloudleverancier moet een verwerkersovereenkomst leveren, de data moet beveiligd zijn (encryptie, MFA, toegangsbeheer), en je moet weten waar de data wordt opgeslagen. Voor Microsoft en Google geldt sinds 2025 dat hun EU Data Boundary-projecten zorgen dat de meeste data binnen de EU/EFTA blijft. Voor zeer gevoelige sectoren (zorg, overheid) blijven extra eisen gelden onder NEN 7510 of sectorspecifieke regelgeving.

    Hoeveel kost het om mijn MKB AVG-compliant te krijgen?

    Dat hangt af van waar je nu staat. Een MKB-bedrijf dat al MFA, backup en moderne cloud-werkplekken heeft, brengt de AVG vaak op orde voor een paar duizend euro aan analyse en documentatie. Bij een bedrijf dat van nul begint loopt dat op tot enkele tienduizenden euro plus jaarlijks onderhoud. Hoe dan ook goedkoper dan een datalek met reputatieschade.

    Conclusie

    De AVG is geen wettekst die je op een vrijdagmiddag afvinkt. Het is een set basismaatregelen die hand in hand gaan met cybersecurity en die je structureel onderhoudt: een actueel verwerkingsregister, passende technische beveiliging, een werkend datalekproces, duidelijke verwerkersovereenkomsten en bewaartermijnen die kloppen. Voor de meeste MKB-bedrijven is het werk te overzien, zeker als je het combineert met je cybersecurity- en NIS2-traject.

    Wil je weten waar jouw bedrijf nu staat en wat de meest praktische volgende stappen zijn? Bel TRON Group via 085-3035869 of bekijk onze cybersecurity-dienst. We voeren een AVG-scan uit, brengen de risico's in kaart en helpen om verwerkingsregister, technische maatregelen en het datalekproces in de praktijk te krijgen, in samenhang met je bredere IT en NIS2-voorbereiding.

    AVGGDPRCompliancePrivacyMKBDatalekVerwerkingsregisterNIS2

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    Server of cloud keuze voor het MKB - vergelijking tussen on-premise, public cloud en hybride opzet met TCO over 5 jaar, dataresidency en compliance
    Cloud
    10 min lezen

    Server of Cloud: Wanneer Kies je Wat voor het MKB?

    Cloud is voor de meeste MKB-bedrijven de juiste keuze, maar er zijn situaties waarin een eigen server beter blijft. We zetten de keuze tussen on-prem, public cloud en hybride helder op een rij: wat het kost, wanneer welke variant past, hoe je je TCO over 5 jaar berekent, en wat de CLOUD Act en EU Data Boundary in 2026 betekenen voor je dataresidency.

    CloudServerOn-Premise
    Lees meer
    IT-roadmap opstellen voor een MKB-bedrijf - drie jaar planning, gap-analyse en prioritering voor managed IT, cybersecurity en cloud-investeringen
    IT Beheer
    10 min lezen

    IT-Roadmap Opstellen voor je MKB-Bedrijf: Stappenplan en Valkuilen

    Veel MKB-bedrijven zwemmen door IT-beslissingen heen: een laptop hier, een cloudabonnement daar, een server die plotseling vervangen moet worden. Een IT-roadmap brengt daar lijn in. We leggen uit wat een IT-roadmap is, hoe je er een opstelt in zes stappen, waarom reactief IT-beheer 2 tot 5 keer duurder uitpakt, en hoe je de roadmap koppelt aan NIS2 en je budget.

    IT-RoadmapIT-StrategieMKB
    Lees meer
    Bel directPlan een gesprek