De AVG is geen wet voor alleen grote bedrijven of techreuzen. Verwerk je persoonsgegevens, en dat doet vrijwel elke onderneming, dan val je eronder. Klantnamen, e-mailadressen, personeelsdossiers, een nieuwsbriefbestand: het zijn allemaal persoonsgegevens.

Veel MKB-ondernemers vinden de AVG vaag en log. Dat hoeft niet zo te zijn. In dit artikel leggen we uit wat de wet inhoudt, wat je concreet moet regelen en hoe je dat stap voor stap aanpakt zonder dat het je dagen kost.

Wat is de AVG en voor wie geldt die?

AVG staat voor Algemene Verordening Gegevensbescherming. Het is de Nederlandse benaming van de Europese privacywet die internationaal bekendstaat als de GDPR (General Data Protection Regulation). De wet geldt sinds mei 2018 in de hele Europese Unie en stelt regels aan hoe organisaties met persoonsgegevens omgaan.

Een persoonsgegeven is alle informatie die te herleiden is tot een levend persoon. Een naam, een telefoonnummer, een IP-adres, een pasfoto: het telt allemaal mee. Zodra je zulke gegevens verwerkt, ben je verantwoordelijk voor de bescherming ervan.

En ja, dat geldt ook voor een eenmanszaak of een bedrijf met vijf medewerkers. De wet maakt geen uitzondering op basis van omvang. Wel is de praktische invulling voor een klein bedrijf een stuk eenvoudiger dan voor een multinational.

De kernbeginselen op een rij

De AVG draait om een handvol principes die de basis vormen voor alles wat je doet met gegevens. Je verzamelt niet meer dan nodig is, je gebruikt gegevens alleen voor het doel waarvoor je ze hebt gekregen, en je bewaart ze niet langer dan nodig. Daarnaast moet je transparant zijn, moeten de gegevens kloppen en moeten ze goed beveiligd zijn.

Kort samengevat: verzamel gericht, gebruik eerlijk, beveilig goed en wees open over je werkwijze. Wie die houding aanneemt, zit vaak al dicht bij naleving.

Wat je concreet moet regelen

De theorie is overzichtelijk. Het komt aan op de uitvoering. Dit zijn de zaken die je als MKB-bedrijf echt op orde moet hebben.

Een grondslag voor elke verwerking

Je mag persoonsgegevens niet zomaar verwerken. Daar moet altijd een wettelijke grondslag voor zijn. De AVG kent er zes, waarvan toestemming, de uitvoering van een overeenkomst en een gerechtvaardigd belang in de praktijk het meest voorkomen. Stuur je een factuur naar een klant, dan is dat de uitvoering van een overeenkomst. Verstuur je een commerciële nieuwsbrief, dan heb je meestal toestemming nodig. Weet voor elke verwerking welke grondslag van toepassing is.

Een verwerkingsregister

Je moet kunnen aantonen welke persoonsgegevens je verwerkt, waarom, en hoelang je ze bewaart. Dat leg je vast in een verwerkingsregister. Voor een klein bedrijf hoeft dat geen ingewikkeld document te zijn. Een overzichtelijke lijst met je verwerkingen, de doelen en de bewaartermijnen volstaat vaak al. De Autoriteit Persoonsgegevens kan dit register opvragen, dus zorg dat het actueel is.

Verwerkersovereenkomsten

Werk je samen met externe partijen die namens jou gegevens verwerken, denk aan je boekhoudpakket, je e-mailprovider of je clouddienst, dan moet je daar een verwerkersovereenkomst mee sluiten. Daarin leg je vast wat de partij wel en niet met de gegevens mag doen. De meeste serieuze leveranciers bieden zo’n overeenkomst standaard aan. Verzamel ze en bewaar ze op één plek.

Passende beveiliging

De AVG verplicht je tot passende technische en organisatorische maatregelen. Dat is geen vrijblijvende aanbeveling. Denk aan versleuteling, een doordacht toegangsbeleid en regelmatige updates. Een goede aanpak begint bij de basis, zoals bescherming tegen phishing en het overal aanzetten van multifactor-authenticatie. Wie zijn beveiliging inricht volgens het principe van zero trust, zet meteen een grote stap richting AVG-naleving.

Bewaartermijnen

Gegevens die je niet meer nodig hebt, mag je niet eindeloos bewaren. Voor sommige gegevens gelden wettelijke bewaartermijnen, zoals de fiscale bewaarplicht van zeven jaar voor je administratie. Voor andere stel je zelf een redelijke termijn vast en verwijder je de gegevens daarna. Een betrouwbare back-up helpt je om gegevens terug te halen als het misgaat, maar denk daarbij ook na over hoelang je oude back-ups bewaart. Lees daarover meer in ons artikel over waarom een goede backup-strategie onmisbaar is.

De meldplicht bij datalekken

Gaat het toch mis, dan komt de meldplicht in beeld. Een datalek is elk beveiligingsincident waarbij persoonsgegevens verloren raken of in verkeerde handen kunnen komen. Een gestolen laptop, een verkeerd geadresseerde e-mail met klantgegevens of een geslaagde hack: het zijn allemaal datalekken.

Leidt een datalek waarschijnlijk tot een risico voor de betrokkenen, dan moet je het melden bij de Autoriteit Persoonsgegevens. Dat moet binnen 72 uur nadat je het lek hebt ontdekt. Lopen de betrokkenen een hoog risico, dan moet je hen ook zelf informeren.

Niet elk lek hoeft gemeld te worden. Raakt er een onbeduidend bestand kwijt zonder reële kans op schade, dan kan een interne registratie volstaan. Maar in geval van twijfel is melden de veiligste keuze. Je houdt datalekken bovendien intern bij, ook de gevallen die je niet meldt.

De Autoriteit Persoonsgegevens, vaak afgekort tot AP, is de Nederlandse toezichthouder die controleert of organisaties zich aan de AVG houden. De AP behandelt klachten, doet onderzoek en kan handhaven. Dreiging vanuit ransomware is hierbij een belangrijk aandachtspunt, want een geslaagde gijzeling van je gegevens is vrijwel altijd een meldingsplichtig datalek.

Wat zijn de mogelijke boetes?

De AVG kent stevige sancties. De maximale boete kan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Dat zijn de bedragen die je in het nieuws ziet bij grote techbedrijven.

Voor het MKB is het belangrijk om dit in perspectief te plaatsen. Die maximale boetes zijn bedoeld voor de zwaarste overtredingen door de grootste partijen. Een klein bedrijf dat een datalek netjes meldt en zijn zaken redelijk op orde heeft, krijgt niet zomaar de hoofdprijs. De toezichthouder kijkt naar de aard van de overtreding en of je passende maatregelen had genomen.

Het echte risico voor een MKB-bedrijf zit dan ook niet alleen in een boete. Een datalek kost reputatie, vertrouwen en tijd. Klanten die hun gegevens aan jou toevertrouwen, willen weten dat die veilig zijn. Dat is een commercieel argument net zo goed als een juridisch argument.

Een praktisch stappenplan voor het MKB

Je hoeft de AVG niet in één dag dicht te timmeren. Werk in een logische volgorde en je komt een heel eind.

Begin met inventariseren. Breng in kaart welke persoonsgegevens je verzamelt, waar je ze bewaart en wie er toegang toe heeft, en leg dit vast in een verwerkingsregister. Controleer daarna per verwerking of je een geldige grondslag hebt en of je niet meer gegevens verzamelt dan nodig.

Vervolgens regel je je verwerkersovereenkomsten met alle leveranciers die namens jou gegevens verwerken. Zet daarna je beveiliging op orde: multifactor-authenticatie, updates, toegangsbeleid en betrouwbare back-ups. Werk je in de cloud, lees dan ook ons artikel over succesvol naar de cloud, want een goede inrichting daar maakt naleving een stuk makkelijker.

Tot slot maak je een eenvoudige procedure voor datalekken, zodat je medewerkers weten wat ze moeten doen als er iets misgaat. Wie binnen die 72 uur moet handelen, heeft geen tijd om dan pas na te denken over het hoe.

Wil je dit niet zelf uitzoeken, dan helpt Qware ICT je graag. Vanuit Dordrecht ondersteunen we MKB-ondernemers in de hele regio Drechtsteden bij hun ICT en beveiliging, van inventarisatie tot een aantoonbaar veilige inrichting. Dit raakt overigens ook aan bredere wetgeving, zoals beschreven in ons artikel over NIS2 en het MKB.

Veelgestelde vragen over de AVG

Geldt de AVG ook voor mijn eenmanszaak?

Ja. Zodra je persoonsgegevens verwerkt, en dat doe je vrijwel altijd, val je onder de AVG. De omvang van je bedrijf maakt niet uit voor de geldigheid van de wet, alleen voor de praktische invulling.

Moet ik een functionaris gegevensbescherming aanstellen?

Voor de meeste MKB-bedrijven niet. Een functionaris gegevensbescherming is verplicht voor onder andere overheidsinstanties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Een gewoon MKB-bedrijf heeft dat doorgaans niet nodig.

Hoe snel moet ik een datalek melden?

Een meldingsplichtig datalek meld je binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Loopt de betrokkene een hoog risico, dan moet je die persoon zelf ook informeren.

Leidt elk klein datalek tot een hoge boete?

Nee. De maximale boetes zijn bedoeld voor zware overtredingen. Een bedrijf dat een lek netjes meldt en zijn beveiliging redelijk op orde heeft, hoeft niet bang te zijn voor de hoofdprijs. Goede maatregelen en transparantie wegen mee in het oordeel van de toezichthouder.

De kern van AVG-naleving

De AVG vraagt niet om perfectie, maar om zorgvuldigheid. Weet welke gegevens je hebt, verwerk ze met een geldige reden, beveilig ze goed en wees open over je werkwijze. Doe je dat, dan voldoe je aan de geest van de wet en bescherm je tegelijk je klanten en je bedrijf.

Begin met inventariseren, zet je beveiliging op orde en leg je afspraken vast. Stap voor stap maak je je bedrijf AVG-proof, zonder dat het een papieren tijger wordt.