AVG-boetes MKB — wat is écht risico?

Q: Hoe groot is de kans dat de AP bij mij langskomt?

Statistisch klein. De AP behandelt jaarlijks 25.000+ klachten en datalek-meldingen, maar legt slechts enkele tientallen boetes op. Voor een MKB zonder klachten is de kans nihil. Het risico stijgt bij datalek-meldingen, klachten van bezoekers of nieuws-publicaties.

Q: Wat is de échte schade bij een datalek?

Vaak niet de boete maar de reputatieschade en herstelkosten. Onderzoek van Verizon DBIR 2024 geeft gemiddelde kosten per MKB-datalek op €25.000-€80.000 — vooral incident-respons, klant-communicatie en gederfde omzet. AVG-boete is daar typisch maar een klein deel van.

Q: Krijg ik direct een boete bij overtreding?

Bijna nooit. AP geeft eerst een waarschuwing met hersteltermijn (meestal 4 weken). Pas bij niet-herstellen of bij ernstige overtredingen volgt een boete. Drie waarschuwingen-cycli is normaal voor MKB.

TL;DR De Autoriteit Persoonsgegevens behandelt jaarlijks 25.000+ klachten en datalek-meldingen, maar legt slechts enkele tientallen boetes op — meestal aan grote organisaties. Voor MKB ligt de gemiddelde boete (als hij al volgt) tussen €1.000 en €10.000. Boetes komen vrijwel altijd na een eerdere waarschuwing met 4 weken hersteltermijn. De échte schade bij een datalek zit in herstelkosten en reputatie (€25.000-€80.000 gemiddeld voor MKB, bron Verizon DBIR 2024). Affiliate-blogs van cookie-tool-leveranciers overdrijven het boete-risico.

Wat de cijfers laten zien

De AP publiceert jaarlijks een verslag met cijfers. Recentelijke trends (2023-2025):

25.000-30.000 klachten en datalek-meldingen per jaar
~120-180 formele onderzoeken
20-40 sancties (boete, dwangsom of formele waarschuwing met publicatie)
5-10 grote publieke boetes (>€100.000) per jaar — bijna altijd enterprise (Booking.com, KLM, Uber, DPG Media)
15-30 kleinere boetes voor middel-grote organisaties (€10.000-€100.000)
Onbekend aantal waarschuwingen die nooit publiek worden — vaak afgehandeld voor handhavingsfase

Voor MKB onder 50 fte is een formele boete buitengewoon zeldzaam — geschatte kans <0.5% per jaar bij normaal gedrag.

Hoe een AVG-procedure verloopt

Stap 1: Aanleiding

De AP komt niet uit zichzelf langs. Drie typische aanleidingen:

Klacht van een bezoeker — gemist verwijderverzoek, ongeldige cookie-banner, geen reactie op inzage-verzoek.
Datalek-melding — jij hebt zelf gemeld dat er iets is misgegaan (verplicht binnen 72 uur).
Publieke aanleiding — nieuws-artikel over jouw bedrijf, klokkenluider, sector-onderzoek.

Stap 2: Informatieverzoek

AP stuurt een brief met vragen: welke data verzamel je, hoe is dit beveiligd, kun je een verwerkingsregister tonen, welke maatregelen heb je genomen. Termijn: typisch 4-6 weken. Eerlijk en tijdig antwoorden is essentieel — niet-antwoorden of liegen verhoogt de boete.

Stap 3: Voornemen tot sanctie

Als de AP een overtreding vaststelt, krijg je een voornemen tot besluit. Daarin staat de overtreding, de voorgenomen sanctie en een hersteltermijn (meestal 4 weken). Je kunt een zienswijze indienen. Bij MKB resulteert dit vaak in: herstellen, geen boete.

Stap 4: Definitief besluit

Bij niet-herstellen of bij ernstige overtredingen volgt een definitief besluit met boete of dwangsom. Bezwaar bij AP, daarna beroep bij Rechtbank Den Haag.

Wat zwaarder telt dan de boete: herstelkosten

Onderzoek van het Verizon Data Breach Investigations Report (2024) en het CBS over Nederlandse MKB-cybersecurity laat zien dat de gemiddelde directe kosten van een MKB-datalek €25.000-€80.000 zijn. Opgebouwd uit:

Incident-respons — IT-forensiek, juridisch advies, communicatie. €5.000-€20.000.
Notificatie aan getroffenen — bij grote lekken brief- of e-mail-campagne. €1.000-€10.000.
Gederfde omzet — site offline, verloren klanten, geannuleerde contracten. €5.000-€30.000.
Herstel security-infrastructuur — nieuwe wachtwoorden, monitoring, mogelijke rebuild. €5.000-€20.000.
Eventuele AVG-boete — €1.000-€10.000 voor MKB.
Reputatieschade — moeilijk te meten, vaak grootste post over 1-2 jaar.

De boete is daar typisch een klein deel van. Investeren in preventie (basis-compliance + behoorlijke beveiliging) is goedkoper dan herstel.

Wanneer wordt het écht serieus voor MKB?

Zorg, juridisch, financieel

Sectoren met bijzondere persoonsgegevens of beroepsgeheim hebben strenger AP-toezicht. Boetes daar zijn typisch hoger (€10.000-€50.000) en publicatie is regel. Voor een huisartspraktijk met een datalek: serieuze impact.

Webshops met grote klantenbestanden

Een webshop met 5.000+ klantgegevens die gelekt worden krijgt sneller een formeel onderzoek. Niet vanwege boete-bedrag maar vanwege schaal van betrokkenen.

Recidive

Een MKB die tweemaal in drie jaar dezelfde overtreding maakt krijgt vaker een boete dan een first-offender. De AP houdt een log bij van eerdere waarschuwingen.

Publieke aandacht

Een nieuws-artikel ("MKB X geeft klantgegevens prijs") drijft de AP tot handelen. Hier wordt de reputatieschade direct boete-versterker.

Wat blogs van cookie-tool-leveranciers verzwijgen

Affiliate-blogs van Cookiebot, OneTrust, Iubenda en consorten leggen het maximum-boete-bedrag van €20 miljoen of 4% wereldomzet voorop. Dat is technisch correct maar misleidend voor MKB:

Het maximum geldt voor enterprise-overtredingen op enterprise-schaal.
Voor MKB is de daadwerkelijke boete-range €1.000-€10.000.
Bijna altijd komt eerst een waarschuwing met hersteltermijn.
Een €49/maand cookie-tool voorkomt geen €20 miljoen boete bij een datalek — die boete krijgt een MKB überhaupt nooit.

Dit is verkeerde framing. Investeer in echte beveiliging (backups, 2FA, software-updates) eerder dan in een dure compliance-tool.

De grootste AVG-risico voor MKB is niet een onverwachte boete — het is een datalek door slechte beveiliging. Een werkende cookie-banner kost €0; een degelijke backup-strategie €15/maand. Beide samen kosten minder dan één affiliate-tool.

Wat krijg je bij DesignCheck?

Bij elke Rebuild en Premium leveren we naast cookie-banner en privacyverklaring ook een basis security-baseline: HTTPS verplicht, automatische backups, 2FA op admin-accounts, kwartaal-monitoring. De boete-laag is gedekt door compliance; de herstelkosten-laag door beveiliging.

Compliance + basis-security in één pakket

AVG-compliance plus security-baseline (HTTPS, backups, 2FA, kwartaal-monitoring) zit in elke Rebuild (€3.995) en Premium (€6.995). Voorkom én boete én herstelkosten.

Volledig prijsoverzicht →

Wat zegt de jurisprudentie over MKB-zaken?

De Rechtbank Den Haag is exclusief bevoegd voor beroepen tegen AP-besluiten. In de afgelopen jaren zijn meerdere MKB-zaken voor de rechter gekomen, en daaruit zijn een paar lijnen te halen. De rechter kijkt streng naar de evenredigheid van de boete in verhouding tot de omvang van het bedrijf. Boetes worden geregeld verlaagd of vernietigd als de AP onvoldoende rekening heeft gehouden met de financiële positie van de organisatie.

Een tweede lijn: de rechter beschermt MKB tegen "stapeling" van overtredingen. Als de AP voor één feitelijke handeling drie verschillende artikelen aanhaalt en daarvoor drie aparte boetes oplegt, wordt dat door de rechter geregeld teruggebracht. Dit geeft procedurele zekerheid — een zorgvuldig dossier in eigen huis blijkt in dit soort beroepszaken steeds opnieuw doorslaggevend voor het eindresultaat.

Verschil tussen AVG-boete en bestuurlijke dwangsom

De AP heeft twee handhavingsinstrumenten: een boete en een dwangsom. Het verschil is belangrijk omdat MKB vaker met een dwangsom te maken krijgt dan met een boete. Een boete is een eenmalige sanctie voor een gepleegde overtreding. Een dwangsom is een dreigend bedrag dat verschuldigd wordt als je een herstelopdracht niet opvolgt — bijvoorbeeld €500 per dag, met maximum €50.000. De dwangsom hoef je in praktijk vrijwel nooit te betalen, want zodra je de overtreding herstelt vervalt hij.

In de jaarverslagen van de AP staan jaarlijks 30-50 dwangsommen tegenover slechts 5-15 boetes voor MKB. Een dwangsom werkt vaak harder als prikkel omdat hij oploopt zolang je niets doet. Voor MKB betekent dit dat een formele waarschuwing of last-onder-dwangsom serieus genomen moet worden — maar dat er ook ruimte is om binnen de termijn alles in orde te maken zonder daadwerkelijke financiële schade.

De rol van de Autoriteit Persoonsgegevens — wat ze wel en niet doet

De AP heeft een budget van ongeveer €35 miljoen per jaar en circa 230 medewerkers. Dat is veel voor een toezichthouder, maar weinig voor 1,7 miljoen Nederlandse organisaties die onder de AVG vallen. De wiskunde is simpel: structureel toezicht op elke MKB-onderneming is onhaalbaar. De AP kiest daarom voor risicogestuurd toezicht — focus op sectoren of patronen die op grote schaal mis gaan, plus reactief toezicht op binnenkomende klachten en datalek-meldingen.

Wat de AP doet: voorlichting via website en webinars, sectorale onderzoeken (bv. zorginstellingen 2023, scholen 2024), boetebesluiten in zaken die als precedent waarde hebben, handhaving op binnenkomende klachten. Wat de AP niet doet: spontane audits bij MKB, technische inspectie van websites, structurele controle op cookie-banners. Een mythe die in MKB-kringen circuleert is dat "de AP scant met crawlers naar overtredingen" — dat gebeurt niet. Toezicht ontstaat door menselijke aanleidingen, niet door geautomatiseerde sweeps.

Een nuttige vergelijking: de AP gedraagt zich meer als de Arbeidsinspectie dan als de politie. Een proactieve inspectie kan plaatsvinden in risicosectoren, maar de meeste handhaving start na een melding. Voor MKB betekent dit: zorg dat klagers tevreden zijn. Een tevreden klager dient geen klacht in, en zonder klacht is de AP niet geïnteresseerd.

De vergeten verplichting — Functionaris voor Gegevensbescherming (FG)

Veel MKB-eigenaren weten niet dat een Functionaris voor Gegevensbescherming (FG, Engels: DPO) verplicht kan zijn. De drie gevallen volgens AVG artikel 37: overheidsinstellingen, organisaties die op grote schaal stelselmatig betrokkenen monitoren (denk aan trackingdata van miljoenen bezoekers), en organisaties die op grote schaal bijzondere persoonsgegevens verwerken (zorg, religie, etniciteit, biometrisch).

Voor het overgrote deel van het MKB is een FG niet verplicht. Wel praktisch handig: een interne aanspreekpunt voor AVG-vragen. Dat hoeft geen aparte functie te zijn — vaak is de IT-coördinator of een directielid prima geschikt. De FG mag in MKB ook extern zijn (€100-€300 per maand voor een freelance FG die meerdere bedrijven bedient).

Wat een FG concreet doet: bijhouden van het verwerkingsregister, beoordelen van DPIA's (data protection impact assessment), aanspreekpunt voor betrokkenen en toezichthouder, jaarlijkse interne audit. Zonder FG val je die rollen niet weg — ze worden gedragen door directie en IT. Vaak komt dat in de praktijk neer op een half uur per maand.

Hoe boetehoogte juridisch bepaald wordt — de richtsnoeren van het EDPB

Sinds 2023 hanteert de Europese privacy-toezichthouder (EDPB) gemeenschappelijke richtsnoeren voor boete-berekening. Voor MKB is dat goed nieuws — de berekening houdt uitdrukkelijk rekening met de omzet en grootte van de organisatie. De vijf factoren die meegewogen worden zijn: ernst en aard van de overtreding, aantal getroffenen, duur, of er sprake is van opzet of nalatigheid, en de mate van medewerking met de toezichthouder. Vervolgens wordt een proportionaliteitscorrectie toegepast op basis van jaaromzet.

In de praktijk betekent dit dat een MKB met €500.000 omzet en een eenmalige overtreding met beperkte impact zelden boven €5.000 uitkomt. Een organisatie met €5 miljoen omzet en een grotere overtreding zit eerder rond €15.000-€30.000. De enorme bedragen die in de pers verschijnen (Booking.com €475.000, KLM €475.000) zijn bijna altijd berekend op concernomzet — niet vergelijkbaar met een MKB-praktijk.

Een vaak vergeten regel: de boete moet "doeltreffend, evenredig en afschrikkend" zijn. Voor een MKB betekent "evenredig" dat de boete niet de continuïteit van de onderneming in gevaar mag brengen. Een eenmansbedrijf krijgt daarom in praktijk eerder een waarschuwing dan een boete, ook bij dezelfde overtreding als een groter bedrijf.

Wat een datalek-melding bij de AP feitelijk inhoudt

Veel MKB-ondernemers denken dat een datalek-melding bij de AP automatisch tot onderzoek of boete leidt. Dat is niet het geval. Jaarlijks komen er 25.000+ datalek-meldingen binnen, waarvan minder dan 1% leidt tot een formeel onderzoek. De AP zelf maakt op haar website expliciet dat melden geen sanctie uitlokt — niet-melden wel.

De melding zelf gebeurt via een online formulier op autoriteitpersoonsgegevens.nl. Verplichte gegevens: aard van het lek, aantal betrokkenen (geschat), categorieën persoonsgegevens, mogelijke gevolgen voor betrokkenen, en getroffen maatregelen. Termijn: 72 uur na ontdekking. Bij hoog risico voor betrokkenen moeten zij ook zelf geïnformeerd worden — meestal per e-mail of brief.

Vrijwel altijd ontvang je daarna een bevestigingsbrief en daarmee is het klaar. Dossier gesloten. Alleen bij grote aantallen betrokkenen, gevoelige data of duidelijke nalatigheid komt een vervolgvraag. Pas dan wordt het serieus. Niet melden binnen 72 uur is wél een aparte overtreding waarop apart een boete kan volgen — vaak hoger dan de boete voor het lek zelf.

Praktische factoren die het risico voor MKB bepalen

Aantal klanten in je database — onder 1.000 klanten ben je nauwelijks zichtbaar voor de AP, boven 10.000 wel.
Type data dat je verwerkt — gewoon contactgegevens is laag risico, gezondheidsdata of financiële gegevens is hoog.
Of je actief adverteert met tracking — sites met Facebook Pixel en consumer-gedragsdata hebben hoger profiel.
Of je een DPO hebt — vereist boven 250 fte of bij stelselmatige large-scale verwerking. Voor MKB meestal niet.
Of je een cookie-banner hebt — geen banner = direct zichtbare overtreding, lage drempel voor klacht.
Of je een privacyverklaring hebt — ontbreken is opvallend en goedkoop te checken voor toezichthouder.
Hoe snel je reageert op verzoeken van betrokkenen — inzage- of verwijderverzoek moet binnen 30 dagen behandeld zijn.
Of je veel via Google Ads of Meta Ads werkt — daar zijn extra DPA-verplichtingen waar veel MKB onbewust van afwijkt.
Of je verwerkers in derde landen hebt — Amerikaanse SaaS-tools zonder DPF-deelname.
Of je sector een eigen toezichthouder heeft — banken (DNB), zorg (IGJ), telecom (ACM) kunnen óók handhaven.
Of je medewerkers actief getraind zijn — een interne fout is begrijpelijk, een patroon van fouten niet.
Of je verwerkersovereenkomsten met al je leveranciers hebt — ontbreken is een formele overtreding, ongeacht of er iets misging.

Boete-geschiedenis MKB Nederland — wat we kunnen leren

De AP publiceert opvallende boetes op haar site. Een patroon: bijna alle MKB-boetes betreffen óf het ontbreken van basisdocumentatie (privacyverklaring, verwerkersregister, DPA's), óf onjuiste verwerking van bijzondere persoonsgegevens, óf langdurig negeren van klachten van betrokkenen. Zelden gaat het om subtiele technische details.

Concrete voorbeelden uit de afgelopen jaren: een hotelketen met €150.000 boete omdat ID-bewijzen van gasten gekopieerd werden zonder grondslag, een tandartspraktijk met €12.000 omdat dossiers ongesleuteld in een prullenbak terechtkwamen, een werving-bureau met €40.000 omdat CV's structureel langer bewaard werden dan nodig. Telkens dezelfde patroon — bekende risicogebieden, langdurig niet aangepakt.

Wat hieruit te leren valt voor MKB: de basis op orde hebben (banner, privacyverklaring, register, DPA's) zet je in 95% van de zone waar geen boete dreigt. De resterende 5% is sectorspecifiek en vraagt extra aandacht — daarover gaat het volgende stuk over sectoren.

Wat doe je vandaag?

Check of je een privacyverklaring én cookie-banner hebt — twee laagdrempelige overtredingen vermijden.
Maak een lijst van leveranciers met persoonsgegevens en check of je per leverancier een DPA hebt.
Reken het scenario "datalek met 1.000 betrokkenen" door — niet de boete, maar de herstelkosten.
Activeer 2FA op alle admin-accounts en zet automatische backups aan.
Plan een half jaarlijkse 30-minuten "AVG check-in" met je team om patroon van fouten te voorkomen.

Volgende stappen

Voor het volledige AVG-overzicht: AVG voor MKB-website 2026. Voor banner-implementatie: cookie-banner correct. Voor DPA-overzicht: verwerkersovereenkomst-uitleg. Check je risicoprofiel via de gratis DesignCheck Audit. Reken het via de verliescalculator wat een datalek je echt zou kosten. Lokale partner: webdesigner Mijdrecht.

FAQ — AVG-boetes MKB

Wordt mijn boete openbaar gemaakt?

De AP publiceert in beginsel alle definitieve boetebesluiten op haar website met naam van de organisatie. Voor MKB betekent dit dat de reputatie-impact vaak groter is dan de financiële boete zelf. Bij waarschuwingen (zonder boete) is publicatie zeldzamer.

Kan ik een AVG-boete bij verzekeraar claimen?

De meeste cyber-verzekeringen dekken herstelkosten en aansprakelijkheid jegens betrokkenen, maar AVG-boetes zelf zijn vaak uitgesloten — bestuursrechtelijke boetes zijn doorgaans niet verzekerbaar. Lees je polis zorgvuldig: dekking voor incident-respons, juridische bijstand en notificatie is wel gangbaar.

Wat als een ex-medewerker een klacht indient?

Klachten van ex-medewerkers over hun eigen data (HR-dossiers, e-mailaccounts) komen frequent voor. De AP behandelt zulke klachten serieus, maar typisch met informatieverzoek en mediation in plaats van directe sanctie. Tijdig en volledig antwoorden lost het in 90% van de gevallen op.

Hoe groot is de kans dat de AP bij mij langskomt?