AVG voor MKB-website 2026 — praktische gids

TL;DR Voor 95% van het Nederlandse MKB zijn dit de zeven onderdelen die echt moeten: (1) cookie-banner met echte keuze, (2) op maat geschreven privacyverklaring, (3) cookies-pagina, (4) expliciete toestemming op formulieren, (5) verwerkersovereenkomsten met externe tools, (6) procedure voor recht-op-vergetelheid, (7) interne register-light. Wat je waarschijnlijk NIET nodig hebt: een DPO, een AVG-jurist op retainer, of een €49/maand-cookie-tool. Boete-risico voor MKB is reëel maar laag — gemiddelde NL-boete ligt rond €1.000-€10.000 per jaar.

Waarom dit relevant blijft in 2026

De AVG is uit 2018, maar handhaving bouwt zich nog steeds op. De Autoriteit Persoonsgegevens (AP) heeft in 2024 en 2025 actiever doorgepakt op cookie-banners die geen echte keuze geven, en op organisaties die geen verwerkersovereenkomsten kunnen tonen. Daar komt sinds 2024 de AI Act bovenop, die deels overlapt met AVG voor wie AI-tools inzet voor klantcommunicatie.

Tegelijk klopt het beeld in de markt niet. Affiliate-blogs en cookie-tool-leveranciers schetsen elke MKB als een datalek-tijdbom. De realiteit voor een hovenier, elektricien of webshop met 200 klanten per jaar is veel rustiger.

De 7 onderdelen die écht moeten

1. Cookie-banner met echte keuze

Een "OK, sluiten"-banner is niet compliant en wordt inmiddels actief gehandhaafd. Bezoekers moeten kunnen kiezen tussen functionele cookies (verplicht, geen toestemming nodig) en analytics/marketing-cookies (alleen na actieve toestemming). Weigeren moet net zo makkelijk zijn als accepteren — geen verstopte toggle drie schermen diep. Gratis tools die het netjes doen: CookieConsent (open-source), of Cookiebot tot 100 pagina's. Zie ook onze diepere uitleg in cookie-banner correct implementeren.

2. Privacyverklaring op maat

Geen template van een andere site. De wet vereist dat je beschrijft welke gegevens je verzamelt, waarom, hoe lang, met wie je het deelt en hoe iemand inzage of verwijdering kan vragen. Een template-tekst die niet bij jouw werkelijke processen past is juridisch zwak én niet informatief. Begin met de AP-generator en bewerk. Volledige walkthrough in onze privacyverklaring-gids.

3. Cookies-pagina

Een aparte pagina (of duidelijke sectie) waarin staat welke cookies je site plaatst, van welke partij, met welk doel en hoe lang ze actief blijven. Cookiebot genereert dit automatisch via een scan; CookieConsent vereist handmatig invoer. Een MKB-site heeft typisch tussen de 3 en 12 cookies — meestal Google Analytics, eventueel een Meta Pixel, en functionele cookies van je CMS of forms.

4. Expliciete toestemming op formulieren

Elk formulier waar je persoonsgegevens verzamelt (contact-, offerte-, nieuwsbrief-, sollicitatie-formulier) heeft een onaangevinkt vakje met een link naar de privacyverklaring. Vooraf-aangevinkt mag niet sinds 2019 (zaak Planet49). Tekst zoals "Ik ga akkoord met de verwerking van mijn gegevens conform de privacyverklaring" is voldoende, mits het vakje leeg start.

5. Verwerkersovereenkomsten (DPA's)

Voor elke externe partij die persoonsgegevens namens jou verwerkt — hosting (TransIP, Vimexx, Hostnet), e-mailmarketing (Mailchimp, ActiveCampaign), CRM (HubSpot, Pipedrive), analytics (Google) — moet er een verwerkersovereenkomst zijn. De meeste partijen bieden deze standaard aan via hun account-instellingen. Accepteren is meestal één klik. Meer hierover in onze verwerkersovereenkomst-uitleg.

6. Procedure voor recht-op-vergetelheid

Iedereen heeft het recht zijn data uit jouw systemen te laten verwijderen of in te zien. Voor MKB is een simpele e-mailprocedure voldoende: een privacy@-adres of contactformulier, met de belofte dat verzoeken binnen 30 dagen worden afgehandeld. Een apart "self-service dashboard" is alleen relevant voor platforms met duizenden gebruikers.

7. Intern verwerkingsregister-light

Voor bedrijven onder 250 medewerkers is een volledig verwerkingsregister niet verplicht, maar bij elke handhaving wil de AP wel zien dat je weet welke data je waar opslaat. Een eenvoudige spreadsheet met kolommen "data-categorie, doel, bewaartermijn, verwerker, grondslag" is genoeg. 30 minuten werk, eens per jaar updaten.

Drie dingen die je waarschijnlijk NIET nodig hebt

Een Data Protection Officer. Pas verplicht boven 250 medewerkers of bij grootschalige verwerking van bijzondere data. Voor 95% van het MKB: overbodig. Wie het toch wil "voor de zekerheid" betaalt €500-€2.000/jaar voor papierwerk dat geen risico afdekt.
Een betaalde cookie-tool als je geen tracking gebruikt. Sites zonder Analytics, zonder Meta Pixel en zonder embeds van externe video's hebben überhaupt geen cookie-banner nodig. Spaar €49/maand uit.
Een AVG-jurist op retainer. Voor zorg, juridisch advies of fintech wel zinvol. Voor een hovenier of horeca-bedrijf is een eenmalige check (€300-€500) bij oprichting genoeg.

5 fixes die 90% van de problemen oplossen

Bij audits zien wij telkens dezelfde gaten. Deze vijf acties dichten het meeste:

Vervang je "Akkoord"-banner door een banner met evenveel zichtbare keuze voor accepteren en weigeren.
Update je privacyverklaring met de echte tools die je nu gebruikt (vaak ontbreken Mailchimp/HubSpot/Calendly in oude teksten).
Plaats een onaangevinkt vakje op alle formulieren met link naar de privacyverklaring.
Download de DPA-PDF's van Google, je hosting en je e-mailmarketing-tool. Opslaan in een map "AVG/DPA". Eén ochtend werk.
Maak een privacy@-mailadres en zet die in de privacyverklaring als contactpunt voor verzoeken.

Bij driekwart van de DesignCheck-audits ontbreken minimaal twee van deze vijf items. De fix kost gemiddeld vier uur voor een MKB-eigenaar die het zelf doet.

Boete-risico in NL — eerlijke inschatting

De AP behandelt jaarlijks duizenden klachten maar legt slechts enkele tientallen boetes op. Voor MKB schommelt de gemiddelde boete tussen €1.000 en €10.000, vaak na een eerdere waarschuwing waarop binnen 4 weken niet is gereageerd. De miljoenenboetes (Booking.com, Uber, KLM, DPG Media) gaan over enterprise-schaal. Een werkende cookie-banner en privacyverklaring beschermt je tegen 90% van het reële risico. Dieper: AVG-boetes MKB — wat is écht risico?

Wat kost compliant worden?

DIY: €0 + 4-8 uur tijd. Cookiebot gratis tot 100 pagina's, CookieConsent volledig gratis, AP-generator gratis.
Bij DesignCheck inbegrepen: volledige AVG-set zit standaard in elke Rebuild (€3.995) en Premium (€6.995). Bij Refresh tegen meerprijs van €250.
Sector-specifiek juridisch advies: €500-€2.000 eenmalig voor zorg, advocatuur, financieel.

Sectoren die extra moeten opletten

Zorg en paramedisch — bijzondere persoonsgegevens, Wgbo bovenop AVG.
Juridisch advies en advocatuur — beroepsgeheim, Wbtr-eisen.
Financieel advies, makelaars, accountants — Wwft naast AVG.
Webshops — betaaldata, koopgeschiedenis, eventueel PCI-DSS.
Recruitment, HR-bureaus — kandidaat-CV's zijn relatief gevoelige persoonsgegevens.

AVG-set bij elke DC-rebuild

Werkende cookie-banner, op-maat privacyverklaring, cookies-pagina, formulier-toestemming en DPA-overzicht zijn standaard onderdeel van Rebuild (€3.995) en Premium (€6.995). Geen meerprijs, geen abonnement.

Volledig prijsoverzicht →

Wat is een Data Protection Impact Assessment (DPIA) en wanneer nodig?

Een DPIA is een gestructureerd risico-onderzoek voor verwerkingen met hoog privacyrisico. Verplicht bij grootschalige verwerking van bijzondere data, systematische monitoring of nieuwe technologieën. Voor 95% van het MKB is een DPIA niet verplicht. Wel verstandig bij introductie van AI-tools voor klantbeoordeling, camerabewaking met gezichtsherkenning, of grootschalige profilering.

Een DPIA voor MKB is meestal een document van 4-6 pagina's: beschrijving van de verwerking, doelen, betrokkenen, risico-analyse, beheersmaatregelen. De Autoriteit Persoonsgegevens publiceert een template. Tijdsinvestering: één à twee dagdelen. Wanneer je twijfelt of een DPIA nodig is: één telefoongesprek met een privacy-jurist (€150-€250) lost het op.

Wat een DPIA in de praktijk oplevert: niet zozeer compliance-papierwerk, maar een gestructureerde blik op een nieuwe verwerking voordat je hem in productie zet. Veel MKB-bedrijven ontdekken bij het schrijven van een DPIA dat ze meer data verzamelen dan strikt nodig was — een eenvoudige en kosteloze manier om je risico systematisch te verlagen zonder dure externe juridische hulp of tools van compliance-leveranciers in te huren of langdurig te betalen.

De zes wettelijke grondslagen voor verwerking

Elke verwerking van persoonsgegevens moet rusten op een van zes grondslagen uit artikel 6 AVG. Geen grondslag betekent geen verwerking. Voor MKB-websites zijn vier grondslagen relevant: toestemming (de bekendste), uitvoering van een overeenkomst, wettelijke verplichting en gerechtvaardigd belang. De andere twee — vitaal belang en algemeen belang — zijn voor zorginstellingen en overheden.

Toestemming gebruik je voor analytics, marketing, nieuwsbriefinschrijving. Vereisten: vrij, geïnformeerd, specifiek, ondubbelzinnig. Pre-checked vakjes zijn ongeldig. Uitvoering van een overeenkomst gebruik je voor klantverwerking — als iemand iets bij je koopt moet je z'n adres bewaren tot levering, factuur, garantie. Daar is geen apart vakje nodig. Wettelijke verplichting gebruik je voor boekhouding (Wet op de inkomstenbelasting, 7 jaar bewaarplicht), payrolldata, BTW-administratie.

Gerechtvaardigd belang is de meest verwarrende grondslag. Hij mag gebruikt worden voor security-logs, fraudepreventie, of nuttige bedrijfsmatige verwerkingen waar geen toestemming praktisch is. Wel: je moet een belangenafweging vastleggen — waarom jouw belang zwaarder weegt dan de privacy-impact op de betrokkene. Voor MKB is dit één A4'tje per verwerking. Zonder vastlegging is de grondslag niet bruikbaar bij een controle.

Bewaartermijnen — een praktische tabel voor MKB

De AVG vereist dat je niet langer bewaart dan nodig, maar geeft zelden harde termijnen. Die volgen uit andere wetten. Voor MKB is dit het patroon. Klantgegevens (NAW, e-mail, telefoon) bewaar je zolang je een relatie hebt, plus de wettelijke bewaartermijn voor administratie (7 jaar) voor factuur-data. Offertes die niets opleverden: 12 maanden. Nieuwsbrief-inschrijvingen: zolang iemand niet uitschrijft.

Sollicitatie-data van afgewezen kandidaten: 4 weken na afwijzing, of 1 jaar met toestemming voor talentpool. Server-logs en security-logs: typisch 30 dagen, maximaal 6 maanden. Backup-data: documenteren hoe lang en hoe het tijdens een verwijderverzoek wordt behandeld. Foto's van personeelsleden of klanten: tot toestemming wordt ingetrokken of relatie eindigt.

Een vergeten detail: bewaartermijnen gelden ook in backups. Strikt genomen moet je bij een verwijderverzoek de data ook uit backups halen. In praktijk volstaat een procedure: backups rouleren met termijn X, verwijderverzoeken worden binnen die termijn alsnog geëffectueerd zonder backup-restore.

Wat AVG-compliance feitelijk inhoudt — de zes principes uit artikel 5

De AVG draait om zes principes die elke verwerking moet volgen. Wie ze begrijpt, kan zelf inschatten of een nieuwe tool of proces compliant is — zonder elke keer juridisch advies. De principes zijn: rechtmatigheid (er moet een grondslag zijn), behoorlijkheid en transparantie (mensen weten wat je doet), doelbinding (data alleen voor het beloofde doel), minimale gegevensverwerking (niet meer dan nodig), juistheid (data klopt en wordt bijgewerkt), opslagbeperking (niet langer bewaren dan nodig) en integriteit en vertrouwelijkheid (passende beveiliging).

Voor MKB-websites zijn drie principes het meest concreet: rechtmatigheid, doelbinding en opslagbeperking. Rechtmatigheid betekent dat elk veld in je formulier een doel moet hebben. Vraag je geboortedatum bij een offerte-formulier voor schilderwerk? Dan moet je kunnen uitleggen waarom. Vaak kan dat niet — schrap het veld. Doelbinding betekent dat een e-mailadres dat je verzamelde voor een offerte, niet zomaar in je nieuwsbrief belandt. Opslagbeperking betekent dat oude offerte-aanvragen die niets opleverden niet jaren rondslingeren in je CRM.

De rode draad: AVG is geen papierwerk-monster, het is een set redelijkheidsprincipes. Een MKB-eigenaar die zichzelf elke maand één vraag stelt — "verzamel ik alleen wat ik nodig heb, en gooi ik weg wat ik niet meer gebruik?" — voldoet automatisch aan 70% van de wet.

Veelgemaakte AVG-fouten op MKB-websites

Geen banner maar wel Google Analytics — Analytics laat tracking-cookies vallen, dus banner is verplicht.
Banner met alleen "Akkoord"-knop — geen echte keuze, ongeldige toestemming.
Privacyverklaring gekopieerd van concurrent — beschrijft niet jouw daadwerkelijke datastromen.
Vooraf-aangevinkt vakje "Ja, ik wil de nieuwsbrief" — pre-checked toestemming is sinds 2019 ongeldig.
Contactformulier zonder link naar privacyverklaring — bezoeker weet niet wat met data gebeurt.
Geen e-mailadres voor AVG-verzoeken — recht op inzage is praktisch niet uitoefenbaar.
Embedded YouTube-videos in privacy-modus uit — drop cookies voor toestemming, banner geldt ook hiervoor.
Mailchimp/HubSpot zonder DPA geaccepteerd te hebben — beschikbaar, maar veel MKB heeft nooit op "accept DPA" geklikt.
Sollicitatie-formulieren die CV's permanent opslaan — moet binnen 4 weken na afwijzing verwijderd, tenzij toestemming voor talentpool.
Geen cookies-overzicht bij Cookiebot of CookieConsent — banner werkt wel, lijst ontbreekt.
Server-logs zonder bewaarbeleid — typische bewaartermijn 30 dagen voor security, niet jarenlang.
WordPress-installaties met 20+ plugins waarvan helft tracking doet — auditen wat echt nodig is.
Foto's van klanten op de site zonder schriftelijke toestemming — vooral relevant in zorg, sport, evenementen.
Geen Privacy by Design bij een nieuwe feature — denken aan privacy nadat de feature is gelanceerd is duurder dan ervoor.
Nooit een audit gedraaid sinds 2018 — datastromen veranderen, je documentatie moet meeschuiven.

Privacy by Design — wat het in praktijk betekent

Artikel 25 van de AVG verplicht "gegevensbescherming door ontwerp en standaardinstellingen". In Nederland staat dit bekend als Privacy by Design. Voor MKB-websites betekent dit dat je bij elke nieuwe feature of tool vooraf nadenkt over privacy — niet achteraf. Concreet zijn dit een paar handige vuistregels die je elke keer kunt toepassen voor je iets uitrolt.

Eén: vraag alleen om data die je echt nodig hebt voor de specifieke transactie. Een contactformulier vraagt naam, e-mail en bericht — meer niet. Twee: zet privacy-vriendelijke defaults aan. Geen vooraf-aangevinkte nieuwsbriefknoppen, geen tracking-cookies tot toestemming. Drie: maak het uitzetten van data-verwerking even makkelijk als het aanzetten. Vier: codeer datavelden zodat ze gemakkelijk te exporteren zijn voor inzage-verzoeken en gemakkelijk te verwijderen.

Privacy by Design klinkt abstract maar is in de praktijk vooral discipline. Een MKB die deze vuistregels in z'n leveranciers-selectie en nieuwe-feature-checklist verwerkt, zit automatisch goed. Een MKB die bij elke nieuwe tool achteraf moet uitzoeken of het wel mag, doet dubbel werk.

Wat doe je vandaag?

Open je site in een incognito-venster en kijk welke banner verschijnt — als er geen banner is maar je gebruikt Analytics, fix dat eerst.
Open je privacyverklaring en check of de tools die je echt gebruikt erin staan.
Vul je eigen contactformulier in en check of er een link naar de privacyverklaring is en geen voor-aangevinkt vakje.
Maak een lijst van je externe tools en download per stuk de DPA — bewaar in een map.
Schrijf in een spreadsheet kort op welke data je waar opslaat en hoe lang.

Volgende stap

Check je huidige compliance via de gratis DesignCheck Audit — binnen 48 uur weet je waar je staat. Of speel met onze verliescalculator om te zien wat slecht vertrouwen op je site je nu mogelijk kost. Een lokale webdesigner Mijdrecht zoek je via DesignCheck Mijdrecht.

FAQ — AVG voor MKB-website

Hoe vaak moet ik mijn privacyverklaring updaten?

Bij elke wijziging in je datastromen: nieuwe tool, nieuwe partner, nieuwe doel. Praktisch komt het neer op één keer per jaar plus ad-hoc bij grote veranderingen. Vermeld onderaan de datum van laatste wijziging.

Is een banner verplicht als ik alleen Hotjar of Microsoft Clarity gebruik?

Ja. Beide tools verzamelen sessiedata die als persoonsgegeven kan worden aangemerkt. Toestemming vooraf is verplicht. Clarity heeft sinds 2024 wel een privacy-modus die beperktere data verzamelt — informeer naar deze instellingen.

Wat te doen bij een datalek op de site?

Melden bij de AP binnen 72 uur, alleen als er risico voor betrokkenen is. Documenteer in interne logs ook lekken die je niet meldt — dat hoort bij je AVG-administratie. Bij hoog risico (bv. wachtwoorden of betaaldata): informeer ook de betrokken klanten direct.

Heb ik een Functionaris Gegevensbescherming (DPO) nodig?

Bijna nooit voor MKB. Pas vanaf 250 medewerkers of als je core business grootschalige persoonsdata-verwerking is (zorginstelling, recruitment-platform, marketing-bureau met grote profielen). Voor de 95% MKB-bedrijven onder 50 fte: niet nodig.

Mag ik mijn AVG-tekst overnemen van een ander bedrijf?

Slecht idee. Een privacyverklaring moet jouw specifieke datastromen beschrijven. Generieke teksten zijn niet alleen juridisch zwak, ze geven bezoekers ook geen echte informatie. Gebruik de AP-generator als basis en pas aan.

Wat als ik nooit klant-data via mijn site verzamel?

Zelfs een puur informatieve site verwerkt vaak IP-adressen via hosting-logs en analytics. Een korte privacyverklaring blijft verplicht. Cookie-banner alleen als je tracking-tools laadt.

Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.

AVG voor je MKB-website 2026.