AVG wetgeving: advies & implementatie voor MKB

Q: Welke grondslag heb ik nodig voor het verwerken van persoonsgegevens?

Voor elke verwerking heb je een geldige AVG grondslag nodig. In het MKB zijn de meest voorkomende grondslagen: overeenkomst (nodig om een dienst te leveren of te factureren), wettelijke verplichting (bijv. loonadministratie), gerechtvaardigd belang (bijv. basis klantcontact, mits je belangen afweegt) en soms toestemming (bijv. specifieke marketing, als intrekken net zo makkelijk is als geven). Welke grondslag past, hangt af van het doel van de verwerking en de relatie met de betrokkene; leg dit per verwerking vast in je verwerkingsregister.

Kernfeiten AVG in één tabel

Kernfeit	Wat betekent dit concreet?	Bron
Ingangsdatum	De AVG (GDPR) is van kracht sinds 25 mei 2018.	https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679
Maximale boete	Boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet (art. 83).	https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/boetes-en-andere-sancties-van-de-ap
Meldplicht datalekken	Een datalek moet je in veel gevallen binnen 72 uur melden bij de AP (art. 33).	https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/zo-meldt-u-een-datalek
Toezichthouder in NL	In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de AVG.	https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/taken-en-bevoegdheden-van-de-ap
DPIA verplicht bij hoog risico	Een DPIA is verplicht als een verwerking waarschijnlijk een hoog privacyrisico oplevert (art. 35).	https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia
Wanneer AVG van toepassing is	De AVG geldt zodra je persoonsgegevens verwerkt (bijv. klanten, medewerkers of websitebezoekers).	https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/privacywetgeving

Veel organisaties worstelen met de AVG. Wat moet je nu écht regelen? Wanneer loop je risico? En hoe voorkom je boetes zonder onnodige bureaucratie?

De AVG (Algemene Verordening Gegevensbescherming) geldt sinds 25 mei 2018 en is van toepassing op vrijwel elke organisatie die persoonsgegevens verwerkt. In de praktijk zien wij dat vooral MKB‑bedrijven moeite hebben om de wet concreet en werkbaar toe te passen.

Op deze pagina leggen wij de AVG praktisch uit. Je leest wat AVG compliance inhoudt, wat het kost en welke stappen nodig zijn om privacyrisico’s beheersbaar te maken — zonder papieren tijgers.

Wat is de AVG (GDPR)?

De AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywet die sinds 25 mei 2018 regels stelt aan het verwerken van persoonsgegevens. De AVG staat internationaal bekend als de GDPR (General Data Protection Regulation); het gaat om dezelfde wet.

De AVG bepaalt wanneer en hoe organisaties persoonsgegevens mogen verzamelen, gebruiken, opslaan en delen. Denk aan gegevens van klanten, medewerkers, leveranciers en websitebezoekers.

In Nederland wordt toezicht gehouden door de Autoriteit Persoonsgegevens (AP). Deze toezichthouder kan onderzoeken uitvoeren en boetes opleggen bij overtredingen van de AVG.

Wanneer moet jouw organisatie voldoen aan de AVG?

Je moet voldoen aan de AVG zodra je persoonsgegevens verwerkt. Dat is al snel het geval. Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot een persoon.

Voorbeelden uit de MKB‑praktijk:

personeelsdossiers en loonadministratie
klantgegevens in een CRM‑systeem
e‑mailadressen voor nieuwsbrieven
contactformulieren of cookies op de website

Belangrijk om te weten: ook zzp’ers, stichtingen, verenigingen en kleine bedrijven vallen onder de AVG.

Welke grondslagen zijn er (en welke past bij jouw verwerking)?

Voor elke verwerking van persoonsgegevens heb je een grondslag nodig. Zonder grondslag ben je simpelweg niet compliant. In het MKB zien wij dat dit vaak misgaat omdat men “toestemming” als standaard gebruikt, terwijl dat lang niet altijd de beste (of geldige) keuze is.

De meest gebruikte grondslagen zijn:

Toestemming — alleen bruikbaar als iemand vrij kan weigeren en het net zo makkelijk kan intrekken.
Overeenkomst — je hebt de gegevens nodig om een contract uit te voeren (bijv. levering, facturatie, support).
Wettelijke verplichting — je móét gegevens verwerken door wetgeving (bijv. salarisadministratie).
Gerechtvaardigd belang — je hebt een legitiem bedrijfsbelang, maar je moet dat onderbouwen én afwegen tegen privacy van betrokkenen.

Praktische tip: leg per verwerking in je register vast welke grondslag je gebruikt en waarom. Twijfel je? Check onze uitleg over grondslag AVG kiezen en maak daarna één consistente keuze per proces.

Rollen: verwerkingsverantwoordelijke vs verwerker (en wanneer je een verwerkersovereenkomst nodig hebt)

De AVG maakt een hard onderscheid tussen verwerkingsverantwoordelijke en verwerker. Als je die rollen door elkaar haalt, krijg je vrijwel altijd problemen bij datalekken, audits of vragen van klanten.

Verwerkingsverantwoordelijke: bepaalt het doel en de middelen van de verwerking (jij beslist “waarom” en “hoe”).
Verwerker: verwerkt persoonsgegevens namens de verantwoordelijke (bijv. salarisverwerker, cloud/IT-dienstverlener, marketingplatform).

Werk je met een partij die namens jou persoonsgegevens verwerkt? Dan heb je meestal een verwerkersovereenkomst nodig. Daarin leg je minimaal vast: onderwerp en duur van de verwerking, type gegevens en betrokkenen, beveiligingsmaatregelen, geheimhouding, subverwerkers, datalekmelding, ondersteuning bij rechtenverzoeken, en afspraken over verwijdering/teruggave na afloop.

Wat wij vaak zien: bedrijven hebben wel contracten, maar geen AVG-afspraken op papier. Dat geeft gedoe op het moment dat het misgaat. Regel dit vóórdat je opschaalt met nieuwe tools of leveranciers.

Wat zijn de risico’s van niet voldoen aan de AVG?

Niet voldoen aan de AVG kan grote gevolgen hebben. De wet kent stevige sancties en wordt actief gehandhaafd.

De belangrijkste risico’s:

boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet
verplichte maatregelen of verwerkingsverboden
reputatieschade en verlies van klantvertrouwen
meldplichtige datalekken en toezichtsonderzoeken

De Autoriteit Persoonsgegevens heeft de afgelopen jaren meerdere organisaties beboet, waaronder zorginstellingen en commerciële bedrijven met onvoldoende privacymaatregelen.

“AVG compliance faalt zelden op ‘kennis van de wet’. Het faalt op uitvoering. In 8 van de 10 MKB-trajecten zien wij dat het ontbreken van duidelijke rollen, een verwerkingsregister dat niet klopt en geen vast proces voor datalekken de echte oorzaak is van risico’s.”

Wat kost AVG compliance? (indicatie voor MKB)

Onderdeel	Indicatie (bandbreedte)	Wanneer nodig	Opmerking
AVG quickscan / nulmeting	€750–€2.500	Bij start of als je niet zeker weet waar de grootste risico’s zitten	Afhankelijk van aantal processen/locaties en of je ook IT/security meeneemt.
Verwerkingsregister (art. 30) opzetten of opschonen	€1.000–€4.000	Als je structureel persoonsgegevens verwerkt (bijna altijd) of als je register ontbreekt/gedateerd is	Kosten stijgen bij veel applicaties, veel afdelingen of veel gegevensstromen.
Privacybeleid + procedures (rechtenverzoeken, datalekken, bewaartermijnen)	€1.000–€3.500	Als beleid/procedures ontbreken of niet worden gevolgd	“Papier” zonder procesafspraken werkt niet; implementatie bepaalt de waarde.
DPIA (gegevensbeschermingseffectbeoordeling)	€1.500–€6.000 per DPIA	Bij verwerkingen met waarschijnlijk hoog privacyrisico (art. 35)	Complexiteit hangt af van type verwerking (monitoring, profiling, bijzondere gegevens, schaal).
Verwerkersovereenkomsten + leverancierscheck	€750–€3.000	Als je met IT-/SaaS-/verwerkingspartijen werkt die namens jou data verwerken	Vaak onderschat: één goede template + afspraken per leverancier scheelt veel herstelwerk.
Cookies/website (cookiebanner, cookieverklaring, tracking-inrichting)	€500–€2.500	Als je tracking/cookies gebruikt en dit niet aantoonbaar klopt	Afhankelijk van aantal tags/tools (GA4, GTM, Meta/LinkedIn, etc.).
(Externe) Functionaris Gegevensbescherming (FG)	€3.000–€12.000 per jaar	Verplicht in specifieke gevallen (art. 37) of wenselijk voor onafhankelijke toetsing	Jaarbedrag hangt af van uren, complexiteit en rapportage/audits.
Training & awareness	€500–€2.500	Als medewerkers persoonsgegevens verwerken (dus: bijna altijd)	Korte, herhaalbare training werkt beter dan éénmalige “AVG-sessie”.

Let op: dit zijn indicatieve bandbreedtes. In de praktijk bepalen vooral deze factoren de kosten: aantal processen/afdelingen, aantal systemen (SaaS/IT), type gegevens (bijzonder of niet), mate van uitbesteding (verwerkers), en hoe “volwassen” je huidige werkwijze is.

We starten met een praktische AVG quickscan om inzicht te krijgen in hoe jouw organisatie momenteel met persoonsgegevens omgaat en waar de grootste risico’s en verbeterpunten zitten.

We brengen alle verwerkingen van persoonsgegevens in kaart en stellen een AVG‑conform verwerkingsregister op dat aansluit bij de dagelijkse praktijk van jouw organisatie.

We stellen of actualiseren het privacybeleid, de privacyverklaring en eventuele interne richtlijnen, zodat deze juridisch correct én begrijpelijk zijn.

Wanneer sprake is van een hoog privacyrisico voeren we een Data Protection Impact Assessment (DPIA) uit en leggen passende beheersmaatregelen vast.

AVG‑afspraken worden vertaald naar concrete werkprocessen, rollen en verantwoordelijkheden, zodat privacybescherming geen papieren exercitie blijft.

Medewerkers worden meegenomen in de AVG‑regels en hun rol daarin, zodat privacybewust werken onderdeel wordt van de dagelijkse praktijk.

DPIA en verwerkingsregister uitgelegd

Een DPIA (Data Protection Impact Assessment) is een risicoanalyse die verplicht is wanneer een verwerking waarschijnlijk een hoog privacyrisico oplevert (art. 35 AVG).

Het verwerkingsregister is een overzicht van alle verwerkingen van persoonsgegevens. Dit register is verplicht bij organisaties met 250+ medewerkers, maar ook bij kleinere organisaties wanneer sprake is van risicovolle of structurele verwerking.

Rechten van betrokkenen: zo richt je het proces praktisch in

De AVG geeft mensen (betrokkenen) rechten, zoals inzage, rectificatie, verwijdering, beperking, bezwaar en in sommige gevallen dataportabiliteit. In de praktijk gaat het niet mis op het “juridische stukje”, maar op het proces: wie pakt het op, waar liggen de gegevens, en hoe bewijs je dat je het netjes hebt afgehandeld?

Praktische basisafspraak voor MKB:

Wijs één eigenaar aan (bijv. privacy contactpersoon of (externe) FG) die verzoeken registreert en coördineert.
Leg vast hoe je identiteit controleert (zodat je geen gegevens aan de verkeerde persoon verstrekt).
Spreek intern af welke systemen je altijd checkt (HR, CRM, mailbox, ticketsysteem, marketingtool).
Werk met standaardantwoorden en een logboek (datum binnenkomst, type verzoek, actie, datum afhandeling).

Let op: je moet in de regel binnen 1 maand reageren. Als je dit proces niet vooraf regelt, ben je bij het eerste verzoek al te laat.

Bewaartermijnen & dataminimalisatie: met kleine acties groot risicovoordeel

Bewaartermijnen en dataminimalisatie klinken saai, maar dit is één van de snelste manieren om je AVG-risico’s te verlagen. Minder data = minder impact bij een datalek, minder beheer, minder vragen van klanten, en vaak minder discussie bij audits.

Wat we in de praktijk bij MKB doen: we starten niet met een megaproject, maar met een korte “opschoonronde” per proces. Je hoeft niet alles perfect te hebben, maar je moet wél kunnen uitleggen waarom je iets bewaart en wanneer het weggaat.

Mini-checklist (direct toepasbaar):

Verwerk je alleen gegevens die je echt nodig hebt (of “nice to have”)?
Heb je per proces een bewaartermijn afgesproken (en kan je die uitleggen)?
Is verwijderen/anonimiseren technisch mogelijk (ook in back-ups of exports)?
Heb je oude spreadsheets, mailboxen en gedeelde mappen opgeschoond?
Zijn toegangsrechten beperkt tot wie het nodig heeft (least privilege)?

Deze basis voorkomt dat je organisatie langzaam verandert in een dataverzamelbak zonder rem.

Wanneer heb je een Functionaris Gegevensbescherming (FG) nodig?

Een FG is verplicht wanneer:

je een overheidsorganisatie bent
je grootschalig bijzondere persoonsgegevens verwerkt (zoals in de zorg)
je structureel personen monitort

Ook wanneer een FG niet verplicht is, kan een externe FG verstandig zijn voor onafhankelijke toetsing en specialistische kennis.

Waarom MaasISO als AVG consultant?

Bij AVG compliance draait het niet om zoveel mogelijk documenten, maar om werkbare privacybescherming.

Wij kiezen voor een pragmatische aanpak: juridisch correct waar nodig, praktisch uitvoerbaar waar het kan. Geen papieren tijgers, maar duidelijke verantwoordelijkheden en maatregelen die in de praktijk werken.

MaasISO ondersteunt organisaties bij AVG‑implementatie, DPIA’s, verwerkingsregisters en het vervullen van de rol van externe Functionaris Gegevensbescherming.

De AVG is de Nederlandse benaming van de GDPR (General Data Protection Regulation). Het gaat om dezelfde Europese privacywet.

Voor MKB‑organisaties liggen de kosten meestal tussen €3.000 en €10.000 voor een volledig AVG‑traject, afhankelijk van omvang en complexiteit.

De maximale boete bedraagt €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Een FG is verplicht bij overheidsorganisaties, zorginstellingen en organisaties die grootschalig bijzondere persoonsgegevens verwerken.

Een DPIA (Data Protection Impact Assessment) is een risicoanalyse die verplicht is bij verwerkingen met een hoog privacyrisico voor betrokkenen.

Een verwerkingsregister is verplicht bij organisaties met 250+ medewerkers of wanneer sprake is van risicovolle of structurele gegevensverwerking.

Ja. Ook zzp’ers en kleine bedrijven moeten voldoen aan de AVG zodra zij persoonsgegevens verwerken.

Gemiddeld duurt een AVG‑implementatie voor MKB‑organisaties tussen de 2 en 4 maanden.

Een verwerkersovereenkomst is een contract waarin je vastlegt hoe een leverancier (de verwerker) namens jouw organisatie persoonsgegevens verwerkt. Je spreekt daarin o.a. af welke gegevens worden verwerkt, met welk doel, welke beveiligingsmaatregelen gelden, hoe datalekken gemeld worden, of er subverwerkers zijn en wat er met data gebeurt na afloop van de dienstverlening. In de praktijk heb je dit meestal nodig bij IT-/SaaS-leveranciers, salarisverwerkers, hostingpartijen en marketingtools die klant- of medewerkergegevens verwerken.

Voor elke verwerking heb je een geldige AVG-grondslag nodig. In het MKB zijn de meest voorkomende grondslagen: overeenkomst (nodig om een dienst te leveren of te factureren), wettelijke verplichting (bijv. loonadministratie), gerechtvaardigd belang (bijv. basis klantcontact, mits je belangen afweegt) en soms toestemming (bijv. specifieke marketing, als intrekken net zo makkelijk is als geven). Welke grondslag past, hangt af van het doel van de verwerking en de relatie met de betrokkene; leg dit per verwerking vast in je verwerkingsregister.

Je moet een datalek melden zodra er sprake is van een inbreuk op de beveiliging waarbij persoonsgegevens verloren gaan, worden gestolen, of onbedoeld worden ingezien of gewijzigd. Als het datalek waarschijnlijk een risico oplevert voor betrokkenen, meld je dit in veel gevallen binnen 72 uur bij de Autoriteit Persoonsgegevens (AP). Als het lek waarschijnlijk een hoog risico oplevert, moet je betrokkenen meestal ook informeren. Zorg dat je intern een datalek-proces hebt: signaleren, beoordelen, registreren en (waar nodig) melden.

AVG wetgeving (GDPR): praktisch advies & implementatie voor MKB

Kernfeiten

Kernfeiten AVG in één tabel

Wat is de AVG (GDPR)?

Wanneer moet jouw organisatie voldoen aan de AVG?

Welke grondslagen zijn er (en welke past bij jouw verwerking)?

Rollen: verwerkingsverantwoordelijke vs verwerker (en wanneer je een verwerkersovereenkomst nodig hebt)

Wat zijn de risico’s van niet voldoen aan de AVG?

Wat kost AVG compliance? (indicatie voor MKB)

De 6 stappen

AVG Quickscan

Verwerkingsregister opstellen

Privacybeleid en verklaringen

DPIA uitvoeren (indien nodig)

Implementatie in processen

Training en awareness