AVG voor kleine ondernemers, praktische gids voor MKB en ZZP in de Kempen

De AVG (Algemene Verordening Gegevensbescherming, in Europa ook GDPR genoemd) is sinds mei 2018 de Europese privacywet. Veel kleine ondernemers denken nog steeds dat die wet voor hen "niet echt" geldt, of alleen voor grote techbedrijven. Dat klopt niet. Zodra je een klantenbestand, een e-maillijst of een webshop hebt, verwerk je persoonsgegevens. En dan val je onder de AVG.

De goede nieuws: voor een bakker in Hapert, een kapper in Bladel of een ZZP-boekhouder in Eersel is het regime aanzienlijk lichter dan voor Facebook. Er zijn een paar basisdingen die je moet regelen, en als je die op orde hebt, ben je voor 90% klaar. Dit artikel legt uit wat je moet doen, wat je niet hoeft te doen, en waar je terecht kunt voor hulp.

Ondernemer controleert privacyverklaring op laptop, notitieblok met AVG-checklist ernaast. — AVG is geen hogere wiskunde. Met een paar basisstappen dek je het grootste deel van je verplichtingen.

Wat is de AVG en voor wie geldt die?

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt. Een ZZP'er met 20 klanten valt daaronder, een webshop in Bergeijk met 5.000 klanten valt daaronder, en een zorgpraktijk in Bladel valt daaronder. De enige ondernemers die er echt buiten vallen zijn bedrijven zonder klanten, personeel of leveranciers. Dat bestaat niet.

Wat zijn persoonsgegevens? Alle informatie die herleidbaar is tot een natuurlijke persoon:

Direct identificerend: naam, adres, telefoonnummer, e-mailadres, BSN, rekeningnummer, foto
Indirect identificerend: IP-adres, cookie-ID, locatiegegevens, apparaat-ID, kenteken
Bijzondere persoonsgegevens (extra beschermd): medische gegevens, strafrechtelijke gegevens, ras, religie, seksuele geaardheid, politieke opvattingen, biometrie, lidmaatschap vakbond

Bedrijfsgegevens vallen er soms buiten (een KvK-nummer van een BV is geen persoonsgegeven), maar een e-mailadres als [email protected] vs [email protected] maakt verschil. In de praktijk: ga ervan uit dat klantgegevens AVG-gevoelig zijn.

De zes grondbeginselen van de AVG (artikel 5)

De AVG is opgebouwd rond zes principes. Als je die in je hoofd hebt, kun je 80% van de praktische vragen zelf beantwoorden.

Rechtmatigheid, behoorlijkheid, transparantie: je hebt een geldige grond om gegevens te verwerken, en je bent eerlijk over wat je doet.
Doelbinding: je verzamelt gegevens voor een specifiek doel en gebruikt ze niet voor iets anders.
Minimale gegevensverwerking: je verzamelt alleen wat je écht nodig hebt. Niet meer.
Juistheid: je zorgt dat gegevens actueel en correct zijn.
Opslagbeperking: je bewaart gegevens niet langer dan nodig.
Integriteit en vertrouwelijkheid: je beveiligt gegevens passend.

Plus: accountability (art. 5 lid 2) — je moet kunnen aantonen dat je hieraan voldoet.

Wat moet je als kleine ondernemer minimaal regelen?

Er zijn zes basis-verplichtingen die voor vrijwel elk MKB gelden. Doorloop ze één voor één.

1. Privacyverklaring op je website

Dit is de verplichte informatie voor klanten (art. 13 en 14 AVG). Plaats een pagina "Privacy" op je website met minstens:

Wie je bent (bedrijfsnaam, adres, contactgegevens)
Welke gegevens je verzamelt
Voor welk doel (levering, facturatie, marketing, klantcontact)
Op welke wettelijke grond (overeenkomst, toestemming, gerechtvaardigd belang)
Met wie je deelt (boekhouder, hostingpartij, mailingprovider)
Hoe lang je bewaart (afhankelijk van doel en wettelijke bewaartermijnen)
Welke rechten de klant heeft (inzage, correctie, verwijdering, bezwaar, dataportabiliteit)
Contactgegevens voor AVG-vragen
Klachtrecht bij Autoriteit Persoonsgegevens

Tip

: gebruik geen zware juridische taal. De AP vraagt uitdrukkelijk om begrijpelijk Nederlands.

2. Verwerkingsregister

Onder art. 30 AVG moet je een overzicht hebben van alle verwerkingen. Dit hoeft geen dik rapport te zijn — voor een ZZP'er volstaat vaak een Excel-bestand of een document van 2-3 pagina's. Per verwerking leg je vast:

Verwerking	Doel	Grondslag	Categorieën betrokkenen	Data	Bewaartermijn	Ontvangers
Klantadministratie	Uitvoering overeenkomst, facturatie	Art. 6 lid 1b	Klanten	Naam, adres, e-mail, bankgegevens	7 jaar (fiscaal)	Boekhouder, bank
Nieuwsbrief	Marketing	Toestemming	Abonnees	E-mailadres, voornaam	Tot uitschrijving	Mailingprovider
Websiteanalyse	Verbetering website	Gerechtvaardigd belang	Bezoekers	IP-adres (gepseudonimiseerd)	6-14 maanden	Google Analytics / Plausible
Personeelsadministratie	Arbeidsovereenkomst	Art. 6 lid 1b	Werknemers	NAW, BSN, bankgegevens, kopie ID	7 jaar na dienst	Accountant, UWV, Belastingdienst

Kleine bedrijven onder 250 medewerkers zijn formeel vrijgesteld van het register, tenzij je structureel gevoelige data verwerkt of het gegeven niet-incidenteel is. Voor 99% van de MKB's geldt: maak 'em toch. Het is ook intern nuttig.

3. Verwerkersovereenkomsten

Als een andere partij namens jou persoonsgegevens verwerkt, heb je een verwerkersovereenkomst nodig (art. 28 AVG). Dat is bij bijna iedere ondernemer het geval:

Boekhoudpakket (Moneybird, Exact, e-Boekhouden)
E-mailhosting (Google Workspace, Microsoft 365)
Nieuwsbriefsoftware (Mailchimp, Laposta, ActiveCampaign)
Website-host (Vimexx, TransIP, Cloudways)
Betaalproviders (Mollie, Stripe)
CRM-systeem (HubSpot, Pipedrive, ActiveCampaign)
Cloud-opslag (Dropbox, Google Drive, OneDrive)

De meeste grote leveranciers bieden een standaard verwerkersovereenkomst aan, vaak automatisch akkoord bij het aanmaken van het account. Check het per tool. De AP controleert hier actief op.

4. Beveiliging: passende technische en organisatorische maatregelen

Art. 32 AVG eist "passende" beveiliging. Wat dat precies is, hangt af van je risico. Voor een klein MKB volstaan deze basismaatregelen:

Sterke, unieke wachtwoorden (bij voorkeur een password manager zoals Bitwarden of 1Password)
Tweefactorauthenticatie (2FA) op belangrijke accounts (e-mail, boekhouding, CRM)
Software actueel houden (automatische updates aanzetten)
Back-ups regelmatig (bij voorkeur ook offline) en testen of ze werken
Vergrendelde computer bij wegzijn, zelfs kort (Ctrl+L of Win+L)
Veilige verwijdering bij afgedankte apparaten (versleutelen of formatteren)
Versleutelde verbinding naar je website (HTTPS met Let's Encrypt is gratis)
Beperk toegang: niet iedereen hoeft bij alle data te kunnen

Voor branches met hoger risico (zorg, financieel, juridisch) komt hier meer bij: logging, toegangsbeheer, auditing, specifieke certificeringen (NEN 7510 voor zorg, ISAE 3402 voor financieel).

5. Datalekken melden binnen 72 uur

Een datalek is elk incident waarbij persoonsgegevens per ongeluk of door kwade opzet uit je controle raken. Voorbeelden:

Gestolen laptop met klantdata
E-mail met klantlijst naar verkeerde ontvanger
Gehackte website waar klantdata uit is buitgemaakt
Verloren USB-stick met onversleutelde persoonsgegevens
Ransomware die je bestanden versleutelt en klantdata heeft ingezien
Per ongeluk publiceren van klantlijst op openbare URL

Bij een datalek geldt:

Intern loggen: elk datalek in een incidentenlog bijhouden (verplicht, ook als je niet meldt).
Risico-inschatting: is er waarschijnlijk risico voor de betrokkenen? (Identiteitsfraude, financieel nadeel, reputatieschade?)
Melden aan AP: bij risico, binnen 72 uur via autoriteitpersoonsgegevens.nl.
Melden aan betrokkenen: bij hoog risico ook de getroffen personen informeren, in begrijpelijke taal.

Niet elk datalek hoeft gemeld te worden aan de AP. Bij low-risk (bijvoorbeeld: kopie offerte per abuis naar collega in hetzelfde bedrijf) volstaat intern loggen.

6. Interne rechten-procedure

Klanten kunnen van jou eisen:

Inzage: welke data hebben jullie van mij?
Correctie: pas mijn gegevens aan
Verwijdering ("recht op vergetelheid"): verwijder mijn data
Bezwaar: stop met marketing richting mij
Dataportabiliteit: geef mijn data in leesbaar formaat
Beperking: gebruik mijn data tijdelijk niet

Je moet binnen een maand reageren. Het hoeft geen zware procedure te zijn, maar zorg dat je een e-mailadres hebt (bijvoorbeeld [email protected]) en een stappenplan: wie handelt het af, hoe verifieer je de aanvrager, hoe documenteer je de afhandeling.

Differentiatie per bedrijfstype in de Kempen

ZZP-dienstverlener (administratief, advies, techniek)

Profiel: klein klantenbestand (10-100), weinig personeelsdata, standaard verwerkingen.

Verwerkingsregister: 1 A4
Privacyverklaring op website: 1 pagina
Verwerkersovereenkomsten: 3-5 (boekhouding, mail, hosting, eventueel factuur-tool)
Bewaartermijn: 7 jaar na einde relatie (fiscale verplichting)
Risiconiveau: laag

Kleine winkel of bakker (B2C)

Profiel: kassasysteem, eventueel klantenkaart of stempelkaart, geen webshop.

Geen grote AVG-impact als je alleen contant betaalt of via pinautomaat
Klantenkaart of loyalty-programma: wél toestemming nodig
Camerabewaking: aparte AVG-regels (vermelding, bewaartermijn max 4 weken tenzij incident)
Personeel: standaard werkgever-AVG
Risiconiveau: laag tot middel

Webshop of online dienst

Profiel: klantdatabase, e-mailmarketing, trackingcookies.

Cookie-banner op website, wettelijk verplicht (Telecommunicatiewet art. 11.7a)
Toestemming voor tracking cookies (analytics kan op gerechtvaardigd belang met anonimisering)
Privacyverklaring uitgebreider: welke data verzamel je, welke tools gebruik je?
Verwerkersovereenkomsten met Mailchimp, Google Analytics, Mollie, etc.
Herroepingsrecht verkoop + retourprocedure (B2C)
Risiconiveau: middel

Zorgpraktijk (fysio, tandarts, huisarts, ggz)

Profiel: bijzondere persoonsgegevens (medisch), hoger risico.

Medisch beroepsgeheim gaat boven AVG in bepaalde zaken (WGBO, Wkkgz)
NEN 7510 certificering aanbevolen
Verwerkersovereenkomsten met alle ICT-leveranciers (elektronisch patiëntendossier, afsprakensysteem, facturatie)
Verzwaarde beveiliging: sterke authenticatie, logging, encryptie
Bewaartermijn medisch dossier: 20 jaar na laatste behandeling (WGBO)
Functionaris Gegevensbescherming kan verplicht zijn (grootschalige verwerking bijzondere gegevens)
Risiconiveau: hoog

Uitzendbureau of HR-dienstverlener

Profiel: kandidaatgegevens, eventueel AI-tooling.

Kandidaat heeft recht om te weten waarom afgewezen (vooral relevant bij AI-screening)
Bewaartermijn CV's na afwijzing: 4 weken (verlenging met toestemming)
Als AI wordt gebruikt voor screening: extra verplichtingen onder EU AI Act (zie ons artikel over EU AI Act voor het MKB)
Risiconiveau: middel tot hoog

AVG en AI: een nieuwe laag

Sinds 2023 is generatieve AI in rap tempo gemeengoed geworden. ChatGPT, Claude en Copilot worden ook in het Kempische MKB steeds vaker gebruikt. Voor AVG is dat een aandachtspunt: zodra je klantdata in een AI-tool stopt, verwerk je die data buiten je eigen systeem.

Vuistregels:

Geen bijzondere persoonsgegevens (medische, strafrechtelijke, BSN) in publieke AI-tools stoppen
Anonimiseer klantdata voordat je hem in ChatGPT/Claude invoert (vervang namen door "Klant A", bedrag door "X")
Gebruik zakelijke varianten (ChatGPT Enterprise, Claude voor Teams, Copilot for Business) — die hebben vaak een verwerkersovereenkomst en zeggen expliciet geen data te gebruiken voor training
Documenteer in je verwerkingsregister welke AI-tools je gebruikt en voor welke doelen
Leg intern vast welke data wel en niet in AI mag

Voor diepergaand lezen: AI en de AVG: wat mag wel, wat niet.

Nederlandse toezichthouder voor privacy

Gratis handreikingen, checklists en datalekmeldformulier. Speciaal voor MKB is er een aparte pagina met praktijkvoorbeelden. Raadpleeg deze als eerste bij vragen.

Bezoek

ICTRecht

Juridische online-generatoren

Sjablonen voor privacyverklaringen, verwerkersovereenkomsten, en cookie-banners. Speciaal voor ZZP en MKB, richtprijs € 150-300 per set. Geen uurtje-factuurtje.

Bezoek ICTRecht

Digital Trust Center

Ministerie van EZ voor MKB-digitaal

Gratis scans en checklists voor cybersecurity en AVG. Ondersteuning voor MKB-ondernemers met praktische tips over wachtwoordbeheer, phishing, en datalekken.

Bezoek Digital Trust Center

Veelgestelde vragen

Mag ik klanten een nieuwsbrief sturen?

Voor bestaande klanten (die iets van je gekocht hebben): ja, voor soortgelijke producten/diensten, met duidelijke opt-out. Voor nieuwe leads: alleen met toestemming (opt-in). Bied altijd een uitschrijflink. Dubbele opt-in (bevestigingsmail na inschrijven) is aanbevolen werkwijze.

Mag ik klantgegevens op mijn telefoon bewaren?

Ja, mits je telefoon beveiligd is met PIN/biometrie, en het apparaat encryptie gebruikt (standaard bij nieuwere iPhones/Androids). Overweeg een aparte zakelijke mail-app in plaats van privé-mail.

Moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

Voor de meeste kleine ondernemers: nee. Verplicht alleen als: - Je een overheidsorgaan bent - Je hoofdactiviteit grootschalige regelmatige monitoring van betrokkenen is - Je hoofdactiviteit grootschalige verwerking van bijzondere persoonsgegevens is

Voor een zorgpraktijk met veel patiënten kan het alsnog wijs zijn een FG aan te wijzen (vaak extern ingehuurd).

Wat kost een AVG-boete voor een klein bedrijf?

Theoretisch tot € 20 miljoen of 4% jaaromzet (het hoogste). In de praktijk zijn MKB-boetes aanzienlijk lager. De AP richt zich vooral op systematische overtredingen of datalekken met grote impact. Voor een klein bedrijf met een "gemiste" privacyverklaring en een onopzettelijk datalek: vaak een waarschuwing of boete van € 1.000 tot € 10.000. Geen reden om het níet serieus te nemen: reputatieschade bij een publieke handhaving is vaak erger dan de boete zelf.

Wat als een klant zijn data wil laten verwijderen, maar ik moet die bewaren voor de Belastingdienst?

Wettelijke bewaarplicht (7 jaar voor fiscale gegevens) gaat voor. Je mag de fiscaal-relevante data bewaren, maar je moet andere data (bijvoorbeeld marketing-opt-in, klantprofielgegevens die niet nodig zijn voor boekhouding) wel verwijderen. Documenteer dit in je antwoord naar de klant.

Team bespreekt AVG-checklist, stappenplan met post-its op muur. — AVG is niet één-persoon-werk. Betrek je team bij de basisprocedures.

Praktische roadmap voor een Kempisch MKB

Als je vandaag begint en je hebt nog niets geregeld, kun je binnen twee weken op orde zijn.

Week 1

: - Download template privacyverklaring, pas aan, zet op website (1 uur) - Maak verwerkingsregister in Excel/Docs (2-3 uur) - Check bij al je leveranciers of er een verwerkersovereenkomst is afgesloten (2 uur)

Week 2

: - Activeer 2FA op alle bedrijfsaccounts (1 uur) - Check back-up procedure (1 uur) - Bedenk een datalek-procedure: wie bel je, wat doe je? (1 uur) - Informeer team/personeel over basis-AVG: wat mag wel en niet (1 uur sessie)

Doorlopend

: - Nieuwe leverancier? → check verwerkersovereenkomst - Nieuw systeem? → update verwerkingsregister - Jaarlijks: 1 uur review of je privacyverklaring nog klopt

Cross-links: relevante artikelen

Algemene voorwaarden opstellen — aanvullend juridisch kader
AI en de AVG: wat mag wel — als je AI inzet
EU AI Act voor het MKB — nieuwe verplichtingen vanaf augustus 2026
Cybersecurity basics voor MKB — praktische beveiligingstips

Of ga naar de bedrijvengids juridische dienstverleners voor lokale hulp.

Zelf aan de slag: AVG-checklist voor MKB

Vink af. Wat je vandaag al hebt, wat je deze maand aanpakt, wat kan wachten.

Privacyverklaring online staan, begrijpelijk, compleet met alle art. 13/14-informatie?
Verwerkingsregister bijgehouden, minimaal alle hoofdcategorieën verwerkingen?
Verwerkersovereenkomsten afgesloten met boekhouder, mail, CRM, hosting, marketing-tools?
2FA actief op alle zakelijke accounts?
Back-up draait en getest?
Datalek-procedure afgestemd: wie bel je, wie informeert AP binnen 72 uur?
Interne rechten-procedure: wie handelt inzageverzoeken af?
Cookie-banner (alleen bij website met tracking) conform eisen?
AI-gebruik: geïnventariseerd welke tools team gebruikt, geen gevoelige data in publieke LLM's?
Jaarlijkse review ingepland in agenda?

Bronnen

: Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) via eur-lex.europa.eu, Uitvoeringswet AVG via wetten.overheid.nl, Autoriteit Persoonsgegevens op autoriteitpersoonsgegevens.nl, Digital Trust Center op digitaltrustcenter.nl, ICTRecht op ictrecht.nl, Hof van Justitie EU arrest Schrems II (C-311/18).