AVG-compliance voor MKB: het praktische minimum

AVG kost niet €10.000 en vereist geen FG tot een bepaalde grootte. Dit is wat elk MKB minimaal heeft staan — gebaseerd op wat de AP daadwerkelijk controleert.

De AVG (GDPR) geldt voor elk bedrijf dat persoonsgegevens verwerkt. Voor een MKB betekent dat: iedereen. Maar het hoeft geen €10k-consultancy-traject te worden.

De acht dingen die je nodig hebt

1. Verwerkersregister — wat verwerk je, waarvoor, met welke grondslag.
2. Verwerkersovereenkomsten (DPA's) met elke leverancier die data voor jou raakt.
3. Privacyverklaring op je website.
4. Procedure voor rechten van betrokkenen (inzage, rectificatie, verwijdering).
5. Cookie-consent op je website.
6. Procedure voor datalek-melding (72-uurs-termijn).
7. Bewaartermijnen per data-categorie gedocumenteerd.
8. Basis-training voor medewerkers over phishing, wachtwoorden, gegevensdeling.

Wanneer heb je een FG (functionaris gegevensbescherming) nodig?

• Overheidsorganisaties — altijd.
• Kern-activiteit is grootschalige monitoring (cameratoezicht-bedrijven, marketing-trackers).
• Kern-activiteit is verwerking van "bijzondere categorieën" (zorg, strafrechtelijk).

De meeste MKB's zitten niet in deze categorieën. Je kunt een externe FG op uurbasis inhuren als je wel onder de plicht valt.

DPIA: wanneer?

Een DPIA is nodig bij hoog-risico-verwerkingen. Voor typisch MKB zelden, tenzij je met gezondheidsgegevens, biometrie, of grootschalige profilering werkt.

Sanctie-risico

Boetes gaan tot 4% van wereldwijde omzet. In de praktijk: de AP is strenger bij kleine MKB's geworden sinds 2023. Meest voorkomende bevindingen: geen verwerkersregister, geen DPA's, te brede cookies.

Overlap met ISO 27001

Ben je bezig met ISO 27001? Dan is 40% van het AVG-werk al gedaan. Andersom geldt evenzo.