7 veelgemaakte AVG-fouten door mkb-bedrijven (en hoe je ze voorkomt)
De AVG bestaat nu al jaren. En toch lopen de meeste mkb-bedrijven tegen dezelfde fouten aan. Niet uit onwil, maar omdat compliance in de dagelijkse drukte naar de achtergrond schuift. Tot de Autoriteit Persoonsgegevens (AP) aanbelt. Of een klant vragen stelt die je niet kunt beantwoorden.
Dit artikel laat je de zeven fouten zien die we het vaakst tegenkomen bij Nederlandse mkb's. Per fout: waarom het misgaat, wat de AP ervan vindt en wat je concreet kunt doen om het te fixen.
Fout 1: Geen verwerkingsregister bijhouden
Dit is de klassieker. "We zijn maar een klein bedrijf, we hoeven toch geen verwerkingsregister?" Jawel. Artikel 30 van de AVG vereist een verwerkingsregister (Record of Processing Activities, ROPA) van vrijwel elke organisatie die structureel persoonsgegevens verwerkt. De uitzondering voor bedrijven met minder dan 250 medewerkers geldt alleen als je geen risicovolle verwerkingen doet. En eerlijk: als je klantdata, salarisgegevens of websitebezoekersdata verwerkt, val je daar al buiten.
Waarom mkb's dit overslaan: het voelt als bureaucratie. En zonder duidelijke eigenaar blijft het liggen.
Wat de AP ervan vindt: bij inspecties is het verwerkingsregister vaak het eerste document dat wordt opgevraagd. Kun je het niet laten zien? Dan start je het gesprek al met een achterstand. De AP heeft in meerdere handhavingsacties het ontbreken van een ROPA als overtreding vastgesteld. In 2024 legde de AP een last onder dwangsom op aan een bedrijf dat geen adequaat verwerkingsregister kon overleggen.
Hoe je dit fixt: begin klein. Maak een lijst van je tien belangrijkste verwerkingen: klantdata, personeelsgegevens, websiteanalytics, e-mailmarketing. Noteer per verwerking het doel, de grondslag en welke systemen erbij betrokken zijn. Groei van daaruit. Meer over de brede aanpak vind je in de AVG-checklist voor mkb.
In ComplianceHive bouw je je verwerkingsregister stap voor stap op, gekoppeld aan je tools en leveranciers. Geen losse spreadsheets, maar een actueel overzicht dat je bij audits direct kunt laten zien.
Fout 2: Verwerkersovereenkomsten ontbreken of zijn verouderd
Je gebruikt een CRM, een boekhoudsoftware, een e-mailtool, een cloudopslagdienst. Al die leveranciers verwerken namens jou persoonsgegevens. En voor elke leverancier die dat doet, heb je een verwerkersovereenkomst (DPA) nodig. Artikel 28 AVG.
Waarom mkb's dit missen: veel SaaS-tools hebben een DPA ergens op hun website staan, maar die wordt niet actief gedownload of gecontroleerd. Bij nieuwe tools denkt niemand aan de DPA. En bij bestaande tools is de DPA soms jaren oud en dekt hij de huidige verwerkingen niet meer.
Wat de AP ervan vindt: dit is een van de meest beboete overtredingen in Europa. De Spaanse toezichthouder (AEPD) heeft tientallen boetes uitgedeeld specifiek voor ontbrekende verwerkersovereenkomsten. De AP zelf heeft in meerdere onderzoeken het ontbreken van adequate DPA's als zelfstandige overtreding benoemd.
Hoe je dit fixt: maak een inventaris van alle tools en leveranciers die persoonsgegevens verwerken. Controleer per leverancier of je een getekende DPA hebt. Zet een reminder voor jaarlijkse review. Lees hier meer over leveranciersbeheer en AVG-compliance.
In ComplianceHive koppel je per leverancier de DPA-status, het type verwerking en de reviewdatum. Zo weet je precies waar gaten zitten.
Fout 3: Geen procedure voor datalekken
Een medewerker stuurt een klantenlijst naar het verkeerde e-mailadres. Een laptop wordt gestolen. Een leverancier meldt een beveiligingsincident. Wat doe je dan?
Bij veel mkb's is het antwoord: improviseren. En dat is precies het probleem. De AVG vereist dat je datalekken binnen 72 uur meldt bij de AP als er een risico is voor betrokkenen. Dat is niet veel tijd als je nog moet uitzoeken wie verantwoordelijk is, wat er precies gelekt is en hoe je het meldt.
Waarom mkb's dit niet regelen: "We hebben nog nooit een datalek gehad." Dat is geen reden. De AP verwacht dat je voorbereid bent, niet dat je reageert als het misgaat.
Wat de AP ervan vindt: in 2023 en 2024 heeft de AP meerdere boetes opgelegd voor te late meldingen van datalekken. In een geval kreeg een organisatie een boete van 440.000 euro voor het niet tijdig melden. De AP ontvangt jaarlijks rond de 25.000 datalekmelding en controleert steekproefsgewijs of organisaties hun meldplicht serieus nemen.
Hoe je dit fixt: stel een simpele datalekprocedure op. Wie is het eerste aanspreekpunt? Hoe beoordeel je de ernst? Wanneer meld je bij de AP? Bereid communicatietemplates voor. Lees het complete stappenplan in Wat moet je doen als je een datalek ontdekt?
Fout 4: Bewaartermijnen niet vastgesteld
Je bewaart klantdata. Maar hoe lang? En waarom? Als je daar geen antwoord op hebt, heb je een probleem. De AVG vereist dat je persoonsgegevens niet langer bewaart dan nodig voor het oorspronkelijke doel. "We bewaren alles voor altijd, voor het geval dat" is geen geldige grondslag.
Waarom mkb's dit vergeten: bewaartermijnen voelen abstract. Er is geen duidelijke deadline die je dwingt. En verwijderen voelt riskant: "Stel dat we die data nog nodig hebben?"
Wat de AP ervan vindt: de AP heeft meerdere keren benadrukt dat het ontbreken van bewaartermijnen een zelfstandige overtreding is. In 2022 kreeg de Belastingdienst een boete van 3,7 miljoen euro, mede vanwege het te lang bewaren van persoonsgegevens. Voor mkb's liggen de boetes lager, maar het signaal is helder: bewaren zonder termijn is niet acceptabel.
Hoe je dit fixt: stel per datacategorie een bewaartermijn vast. Klantdata na beeindiging van de dienstverlening: 2 jaar (tenzij fiscale bewaarplicht). Sollicitatiegegevens: 4 weken na afwijzing (tenzij toestemming voor langer). Documenteer je keuzes en richt een verwijderworkflow in. Lees meer over bewaartermijnen en retentiebeleid.
Fout 5: Privacyverklaring als enige maatregel
Je hebt een privacyverklaring op je website staan. Dat is mooi. Maar als dat het enige is wat je hebt geregeld, sta je er beroerd voor. Een privacyverklaring is het visitekaartje van je privacybeleid, niet het beleid zelf. Zonder verwerkingsregister, DPA's, bewaartermijnen en beveiligingsmaatregelen is het een lege belofte.
Waarom mkb's hier stoppen: de privacyverklaring is vaak het eerste (en enige) dat een jurist of consultant oplevert. Het voelt als een afgevinkt vakje. De rest is minder zichtbaar en minder urgent, totdat het misgaat.
Wat de AP ervan vindt: de AP toetst niet alleen of je betrokkenen informeert, maar ook of je die beloftes waarmaakt. Als je privacyverklaring zegt dat je data "adequaat beveiligt" maar je hebt geen encryptie, geen toegangsbeheer en geen datalekprocedure, dan maak je het alleen maar erger. Je hebt immers zelf opgeschreven wat je zou doen.
Hoe je dit fixt: gebruik je privacyverklaring als checklist. Staat erin dat je data beveiligt? Controleer of dat klopt. Sta je bewaartermijnen te noemen? Controleer of je die ook daadwerkelijk hanteert. Werk van buiten naar binnen: wat je belooft, moet je kunnen waarmaken. Bekijk de AVG-checklist voor een compleet overzicht.
Fout 6: Beveiliging niet op orde
Artikel 32 AVG vereist "passende technische en organisatorische maatregelen." Dat klinkt vaag, maar de AP heeft duidelijke verwachtingen. MFA (multi-factor authenticatie) op kritieke systemen. Versleuteling van gevoelige data. Toegangsbeheer op basis van rollen. Regelmatige updates en patches.
Waarom mkb's dit laten liggen: IT-beveiliging voelt als iets voor het IT-team. En als er geen IT-team is, wordt het de verantwoordelijkheid van niemand. Bovendien zijn veel mkb's afhankelijk van SaaS-tools en gaan ze ervan uit dat de leverancier de beveiliging regelt.
Wat de AP ervan vindt: de AP heeft in 2023 een boete van 150.000 euro opgelegd aan een salarisverwerker die onvoldoende beveiligingsmaatregelen had getroffen. Specifiek ontbrak MFA en was de logging ontoereikend. In een ander geval legde de AP een boete op omdat persoonsgegevens via een onbeveiligde verbinding werden verzonden.
Hoe je dit fixt: begin met de drie basismaatregelen die de meeste impact hebben. Schakel MFA in op alle systemen met persoonsgegevens. Controleer of encryptie aan staat voor opslag en verzending. Voer elk kwartaal een toegangsreview uit: wie heeft waar toegang en is dat nog nodig? Lees meer in Encryptie en de AVG-verplichting.
In ComplianceHive documenteer je per systeem en leverancier welke beveiligingsmaatregelen zijn getroffen. Zo heb je bij een audit direct een actueel overzicht, zonder te hoeven rommelen in spreadsheets.
Fout 7: Geen eigenaarschap over privacy
Dit is de fout die alle andere fouten mogelijk maakt. Als niemand in de organisatie verantwoordelijk is voor privacy, gebeurt het niet. Of het gebeurt ad hoc, inconsistent en onvolledig.
Waarom mkb's dit niet regelen: "We hebben geen budget voor een functionaris gegevensbescherming (FG)." Dat hoeft ook niet altijd. Niet elk mkb is verplicht een FG aan te stellen. Maar iemand moet wel verantwoordelijk zijn voor de coördinatie van privacy. Dat mag een bestaande medewerker zijn met privacy als neventaak.
Wat de AP ervan vindt: de AP verwacht dat je kunt laten zien wie binnen je organisatie verantwoordelijk is voor privacy. Bij inspecties vraagt de AP naar de contactpersoon voor privacyzaken. Als niemand zijn hand opsteekt, is dat een rode vlag.
Hoe je dit fixt: wijs een privacy-eigenaar aan. Dat hoeft geen fulltime functie te zijn. Geef die persoon mandaat, tijd en toegang tot de juiste informatie. Leg vast wie tooling goedkeurt, wie datalekken beoordeelt en wie AVG-verzoeken afhandelt. Lees meer over compliance als teaminspanning.
Van fouten naar structuur
Deze zeven fouten zijn geen edge cases. Het zijn de dingen die we bij vrijwel elk mkb tegenkomen. Het goede nieuws: geen ervan vereist een groot budget of een heel compliance-team. Ze vereisen structuur, eigenaarschap en een beetje discipline.
Begin met de fout die het meeste risico oplevert voor jouw organisatie. Heb je geen verwerkingsregister? Start daar. Ontbreken er DPA's? Inventariseer je leveranciers. Geen datalekprocedure? Schrijf er vandaag een.
Wil je dit gestructureerd aanpakken in plaats van ad hoc?