Spring naar inhoud
VrijLevenVrijLeven

11 april 2026 · Erwin

AVG voor MKB: wat je echt moet weten (zonder juridisch jargon)

De AVG is sinds 2018 van kracht, maar veel MKB-bedrijven weten nog steeds niet precies wat ze moeten doen. Dit is het praktische minimum.

De AVG (Algemene Verordening Gegevensbescherming) geldt voor elk bedrijf dat persoonsgegevens verwerkt. Dus ook voor jou. Maar de meeste informatie erover is geschreven door juristen, voor juristen. Hier is wat je als MKB-ondernemer echt moet weten.

Het absolute minimum

1. Weet wat je verzamelt

Maak een lijst van alle persoonsgegevens die je verwerkt. Denk aan: namen, e-mailadressen, telefoonnummers, factuurgegevens, IP-adressen. Voor elk gegeven: waarom heb je het nodig en hoe lang bewaar je het?

2. Heb een privacyverklaring

Op je website, leesbaar en eerlijk. Geen 20 pagina's juridisch proza — een duidelijk overzicht van wat je verzamelt, waarom, en wat mensen eraan kunnen doen. Zo kan het ook.

3. Beveilig wat je hebt

Wachtwoorden hashen, HTTPS overal, back-ups maken, toegang beperken. Je hoeft geen SOC 2-certificering te hebben, maar de basis moet op orde zijn.

4. Verwerk niet meer dan nodig

Heb je iemands geboortedatum nodig voor een offerte? Nee. Dan niet vragen. Dataminimalisatie is het principe: verzamel alleen wat nodig is voor het doel.

5. Reageer op verzoeken

Als iemand vraagt welke gegevens je van diegene hebt, moet je binnen 30 dagen antwoorden. Dat geldt ook voor verzoeken tot verwijdering of correctie.

Wat je waarschijnlijk kunt overslaan

  • Een Data Protection Officer — Pas verplicht bij grootschalige verwerking van bijzondere gegevens of systematische monitoring.
  • Een DPIA (privacy impact assessment) — Alleen nodig bij hoog-risicoverwerking. Een normale klantenadministratie valt daar niet onder.
  • Een verwerkingsregister — Technisch verplicht voor bedrijven met meer dan 250 medewerkers, maar het is slim om het toch te hebben.

De grootste fouten

  1. Google Analytics zonder consent — Ja, dit is een overtreding. Gebruik een privacy-vriendelijk alternatief zoals Umami of Plausible.
  2. Mailinglijst zonder opt-in — Mensen moeten expliciet toestemming geven. Een vooraangevinkt vinkje telt niet.
  3. Geen verwerkerovereenkomst — Als een externe partij data voor je verwerkt (hosting, e-mail, CRM), moet er een overeenkomst zijn.

Privacy hoeft niet ingewikkeld te zijn. Begin met de basis, wees eerlijk over wat je doet, en bouw van daaruit op. Meer over hoe wij privacy aanpakken lees je op onze beveiligingspagina.

Wil je dit soort resultaten voor jouw bedrijf?

Vertel waar je tegenaan loopt — wij laten zien wat er kan.

Neem contact opMeer artikelen

Ontvang nieuwe artikelen in je inbox

Praktische inzichten over automatisering en slimmer werken. Geen spam.