Agnes bekijkt een overzichtskaart van EU-privacywetten op een whiteboard en wijst naar de AVG

Welke Europese privacywetgeving geldt voor jouw bedrijf?

AVG, AI Act, Compliance, MKB

Je begint je in de GDPR-compliance te verdiepen. Dan hoort iemand dat je ook rekening moet houden met de AI Act. Vervolgens leest een klant je een artikel voor over ePrivacy. En dan is er nog de UAVG, de Autoriteit Persoonsgegevens, en iets over NIS2.

Zijn dit allemaal aparte dingen waar je aan moet voldoen? En waar begin je?

Dit artikel geeft je een overzicht. Welke Europese privacywetten bestaan er, welke zijn relevant voor jouw bedrijf, en wat vereist elke wet in de praktijk?

De AVG: de basis voor iedereen die persoonsgegevens verwerkt

De AVG is het vertrekpunt. Als je persoonsgegevens verwerkt van mensen in de EU, en dat doe je vrijwel zeker als je een bedrijf hebt met klanten, medewerkers of een website, dan geldt de AVG voor jou.

De AVG stelt regels voor:

  • Welke persoonsgegevens je mag verzamelen en voor welk doel
  • Op welke rechtsgrondslag je ze mag verwerken (toestemming, overeenkomst, gerechtvaardigd belang, wettelijke verplichting)
  • Hoe lang je ze mag bewaren
  • Welke rechten betrokkenen hebben (inzage, correctie, verwijdering)
  • Welke beveiligingsmaatregelen je moet treffen
  • Wat je moet doen bij een datalek

De AVG geldt ongeacht de omvang van je organisatie. Een ZZP'er die een klantenbestand bijhoudt, valt onder de AVG. Een startup van drie personen met een website valt onder de AVG. Er is geen drempelwaarde op basis van aantal medewerkers of omzet.

Wat wel verschilt op basis van omvang: grotere of specifieke organisaties zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dat is voor de meeste kleine mkb's niet het geval.

Het fundament van AVG-compliance is het verwerkingsregister: een overzicht van alle activiteiten waarmee je persoonsgegevens verwerkt.

De UAVG: de Nederlandse uitwerking van de AVG

De UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) is de Nederlandse wet die de AVG aanvult. De AVG is een EU-verordening die rechtstreeks geldt, maar laat lidstaten op een aantal punten ruimte voor nationale invulling. De UAVG vult die ruimte in voor Nederland.

Praktische gevolgen voor Nederlandse bedrijven:

  • De minimumleeftijd voor toestemming door kinderen is 16 jaar in Nederland (de AVG laat 13-16 toe per lidstaat)
  • De Autoriteit Persoonsgegevens (AP) is aangewezen als nationale toezichthouder
  • Er zijn specifieke uitvoeringsregels voor de publieke sector, media en wetenschappelijk onderzoek

Voor de meeste mkb-bedrijven is het onderscheid tussen de AVG en de UAVG in de praktijk niet relevant. Wie voldoet aan de AVG, voldoet voor veruit het grootste deel ook aan de UAVG. Je hoeft ze niet als twee aparte projecten te zien.

De EU AI Act: voor wie AI-systemen gebruikt of ontwikkelt

De EU AI Act is in augustus 2024 in werking getreden. De wet wordt gefaseerd van kracht: de eerste verplichtingen zijn al actief (verboden AI-toepassingen), de meest ingrijpende bepalingen voor hoog-risico AI worden afdwingbaar vanaf augustus 2026.

De AI Act geldt voor:

  • Providers: organisaties die AI-systemen ontwikkelen of op de markt brengen
  • Deployers: organisaties die AI-systemen van anderen gebruiken in hun bedrijfsvoering

Als mkb-bedrijf ben je hoogstwaarschijnlijk deployer. Dat betekent: je neemt een AI-tool af (via SaaS of een API) en gebruikt die in je processen.

De verplichtingen hangen af van de risicoklasse van het AI-systeem:

  • Minimaal risico (bijv. spamfilters, aanbevelingssystemen): vrijwel geen extra verplichtingen
  • Beperkt risico (bijv. chatbots): transparantieplicht richting gebruikers
  • Hoog risico (bijv. CV-screeners, kredietbeoordeling, bewakingssystemen): uitgebreide documentatie, menselijk toezicht, risicobeheersing en registratie

De praktische vraag voor jou als mkb-bedrijf: welke AI-tools gebruik je? Zijn er systemen die besluiten nemen die mensen raken? Als ja, dan is de AI Act actief van toepassing.

Begin met een AI-inventaris om te weten wat je hebt. Van daaruit bepaal je welke verplichtingen gelden.

ePrivacy: voor wie cookies, e-mail of telefonische marketing inzet

De ePrivacy-richtlijn is de wet die specifiek gaat over elektronische communicatie en tracking. In Nederland is ze geïmplementeerd via de Telecommunicatiewet.

De ePrivacy-regelgeving raakt drie gebieden die vrijwel elk mkb-bedrijf kennen:

Cookies en tracking. Voor niet-essentiële cookies op je website (analysetools, advertentiecookies, social media-knoppen) heb je toestemming nodig van de bezoeker. Dat is de reden voor de cookiebanner. Essentiële cookies (voor de werking van de website zelf) vallen er niet onder.

Direct marketing per e-mail of SMS. Voor e-mailmarketing aan individuen heb je opt-in toestemming nodig. Iemand moet actief hebben aangegeven dat ze berichten wil ontvangen. Dit geldt voor B2C-marketing. Voor B2B-marketing aan zakelijke e-mailadressen gelden iets soepelere regels, maar ook daar zijn grenzen.

Vertrouwelijkheid van communicatie. Elektronische berichten zijn vertrouwelijk. Je mag communicatie van medewerkers niet zomaar monitoren zonder grondslag en transparantie.

Let op: de ePrivacy-verordening die de richtlijn zou moeten vervangen, is nog steeds in behandeling bij de EU-wetgever. Zolang die er niet is, geldt de bestaande richtlijn via de Telecommunicatiewet.

NIS2 en de Cyberbeveiligingswet: voor grotere organisaties in kritieke sectoren

NIS2 is de Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen. De Nederlandse implementatie (Cyberbeveiligingswet) wordt verwacht in de eerste helft van 2026.

NIS2 geldt voor organisaties met 50 of meer medewerkers of meer dan 10 miljoen euro omzet die actief zijn in een van de 18 aangewezen sectoren, waaronder energie, gezondheidszorg, transport, digitale infrastructuur en ICT-dienstverlening.

Voor de meeste kleine mkb-bedrijven is NIS2 niet rechtstreeks van toepassing. Wel kunnen klanten die wel onder NIS2 vallen, vragen om bewijs van jouw beveiligingspraktijken als onderdeel van hun leveranciersketenverplichting.

Dit artikel gaat niet dieper in op NIS2. Als je wil weten of jouw bedrijf in scope is, lees dan ons artikel over de NIS2-scopecheck.

Hoe weet je welke wetten voor jouw bedrijf gelden?

Vier snelle vragen die je helpen de relevante wetten te bepalen:

Verwerk je persoonsgegevens van mensen in de EU? Als ja: AVG en UAVG zijn van toepassing. Dit is vrijwel altijd het geval als je klanten, medewerkers of een website hebt.

Gebruik je AI-systemen in je bedrijfsvoering? Als ja: EU AI Act is van toepassing als deployer. Maak een inventaris en bepaal de risicoklasse per systeem.

Gebruik je cookies op je website of verstuur je e-mailmarketing? Als ja: ePrivacy-regelgeving via de Telecommunicatiewet is van toepassing. Controleer je cookiebanner en opt-in procedures.

Heb je 50 of meer medewerkers en werk je in een gereguleerde sector? Als ja: controleer of je onder NIS2 valt. Als nee: kijk of je klanten hebt die in scope zijn en dus vragen aan jou stellen.

Voor de meeste Nederlandse mkb-bedrijven gelden in de praktijk de AVG en de UAVG als basis, de EU AI Act als ze AI-tools gebruiken, en ePrivacy als ze een website met cookies of e-mailmarketing hebben.

Wat is de Autoriteit Persoonsgegevens en wat doet die?

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder voor de AVG, de UAVG en ePrivacy. De AP:

  • Geeft richtsnoeren en uitleg over hoe de regels in Nederland worden geïnterpreteerd
  • Behandelt klachten van burgers over vermeende AVG-overtredingen
  • Voert ambtshalve onderzoeken uit naar organisaties
  • Kan boetes opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet (voor de zwaarste overtredingen)

De AP publiceert ook toegankelijke uitleg op haar website (autoriteitpersoonsgegevens.nl). Als je twijfelt over hoe een AVG-regel in jouw situatie werkt, is de AP-website een betrouwbare eerste bron.

Samenvattend: een praktische prioriteitsvolgorde

Als je niet weet waar je moet beginnen, volg dan deze volgorde:

Stap 1: AVG. Stel een verwerkingsregister op. Weet welke persoonsgegevens je verwerkt, voor welk doel en op welke grondslag.

Stap 2: Als je AI-tools gebruikt, maak dan een AI-inventaris en bepaal welke verplichtingen per systeem gelden onder de AI Act.

Stap 3: Controleer je website op cookieconsent en je e-maillijsten op geldige opt-ins (ePrivacy).

Stap 4: Als je klanten hebt die NIS2-vragen stellen, zorg dan voor basisbeveiliging en documentatie die die vragen kan beantwoorden.

ComplianceHive helpt je de verplichtingen onder de AVG en de AI Act te documenteren, in één platform. Probeer 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of privacyspecialist voor een beoordeling die specifiek is voor jouw situatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis