AVG-boete voor MKB: hoe groot is het risico?

Direct antwoord

AVG-boetes voor MKB lopen volgens artikel 83 AVG op tot €10 miljoen of 2% wereldwijde jaaromzet bij lichtere overtredingen, en €20 miljoen of 4% bij zwaardere. In de praktijk passen AP de Boetebeleidsregels 2024 toe met basisbedragen die voor MKB doorgaans tussen enkele duizenden en honderdduizenden euro liggen, afhankelijk van ernst en bedrijfsomvang.

AVG-boetes voor MKB-bedrijven kunnen volgens artikel 83 AVG oplopen tot 4% van de wereldwijde jaaromzet, maar in de praktijk hanteert de Autoriteit Persoonsgegevens proportionele bedragen die voor MKB typisch tussen enkele duizenden en honderdduizenden euro liggen. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat zijn AVG-boetes en wie legt ze op?

AVG-boetes zijn bestuurlijke boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen aan organisaties die de Algemene Verordening Gegevensbescherming overtreden. De wettelijke basis ligt in artikel 83 AVG. Voor de invulling van de hoogte hanteert de AP haar eigen Boetebeleidsregels 2024.

De AP staat niet alleen — andere toezichthouders kunnen ook handhaven op specifieke onderdelen:

  • Autoriteit Persoonsgegevens (AP): hoofdtoezichthouder voor alle AVG-overtredingen.
  • Autoriteit Consument & Markt (ACM): cookiewet-handhaving (artikel 11.7a Telecommunicatiewet).
  • De Nederlandsche Bank en AFM: financieel-sectorspecifieke privacy-overtredingen.
  • Inspectie Gezondheidszorg en Jeugd (IGJ): privacy-overtredingen in zorg.

De AP kan handhaven op klacht van betrokkenen, op eigen onderzoek, of na een verplichte datalekmelding. Een datalek dat je zelf meldt, is niet automatisch reden voor een boete — sterker nog, niet-melden van een datalek is een aparte overtreding met eigen boete.

Boetecategorieën en maximale bedragen

Artikel 83 AVG kent twee boetecategorieën, elk met een eigen maximumbedrag.

Lichtere overtredingen — maximaal €10 miljoen of 2% omzet

Hieronder vallen onder meer:

  • Geen of onvolledig verwerkingsregister bijhouden (artikel 30 AVG).
  • Geen verwerkersovereenkomst met externe partijen (artikel 28 AVG).
  • Onvoldoende beveiligingsmaatregelen (artikel 32 AVG).
  • Datalek niet of te laat melden (artikel 33/34 AVG).
  • Ontbrekende of onvolledige Functionaris Gegevensbescherming bij verplichting.

Zwaardere overtredingen — maximaal €20 miljoen of 4% omzet

Hieronder vallen onder meer:

  • Verwerken zonder rechtsgrond (artikel 6 AVG).
  • Niet voldoen aan rechten van betrokkenen (artikel 12-22 AVG): geen inzage, correctie of verwijdering.
  • Onrechtmatige doorgifte naar landen buiten de EER zonder waarborgen.
  • Niet meewerken aan AP-onderzoek of bevel.

De maximumbedragen zijn theoretisch — in de praktijk hanteert de AP de Boetebeleidsregels 2024 die boete-bandbreedtes per overtreding voorschrijven, gemiddeld tussen enkele duizenden en miljoen euro.

Hoe bepaalt de AP de exacte hoogte?

De Autoriteit Persoonsgegevens past een staffel-systeem toe op basis van de Boetebeleidsregels 2024. De berekening kent vier hoofdfactoren:

  1. Aard en ernst van de overtreding: hoeveel betrokkenen, welke gegevens, hoe lang de overtreding duurde.
  2. Verwijtbaarheid: opzet of grove schuld leidt tot hogere boete; te goeder trouw met aantoonbare zorgvuldigheid leidt tot verlaging.
  3. Schade voor betrokkenen: financieel, reputatie, identiteitsfraude. Hoe ernstiger, hoe hoger de boete.
  4. Bedrijfsomvang: voor MKB worden boetes proportioneel verlaagd. Een MKB-bedrijf met €2 miljoen omzet krijgt zelden een boete van miljoen euro voor een lichte overtreding.

De AP-bandbreedtes voor MKB lopen typisch:

  • Lichte overtreding (geen DPA, onvoldoende verwerkingsregister): €1.000-€25.000.
  • Middelzware overtreding (datalek niet gemeld, onvoldoende beveiliging): €25.000-€100.000.
  • Zware overtreding (structureel onrechtmatig verwerken, schade voor betrokkenen): €100.000-€500.000+.

Dit zijn richtgetallen — de AP heeft een margin of appreciation om bij specifieke omstandigheden hoger of lager uit te komen.

Concrete cases: AVG-boetes 2024-2026

Een aantal recente AP-boetes laten zien hoe de regels in de praktijk worden toegepast. Deze zijn vooral instructief voor MKB omdat ze patronen tonen die ook bij kleinere overtredingen relevant zijn.

  • DPG Media (2024) — €525.000: opgelegd omdat het mediabedrijf het uitoefenen van het inzagerecht (artikel 15 AVG) onnodig moeilijk maakte door verplicht een ID-kopie te eisen. Schending van artikel 12 AVG (heldere toegang). Lesson: maak inzage-procedure simpel; vraag alleen identificatie waar strikt nodig.
  • Boete voor onvoldoende beveiliging (verschillende sectoren): zorgbreed verspreid, oplopen tot €120.000 voor MKB-zorgaanbieders. De AP weegt zwaar mee dat zorgdata bijzondere persoonsgegevens zijn met verzwaarde verplichting.
  • Geen verwerkersovereenkomst: typische sanctie waarschuwing + dwangsom van enkele duizenden euro per dag. Boetes komen pas bij structureel niet-naleven of grootschalige verwerkingen.

De rode draad: de AP geeft eerst waarschuwing en hersteltermijn, en gaat over op boetes bij niet-herstel of bij ernstige overtredingen met schade voor betrokkenen. Voor MKB betekent dit dat de eerste signalen van AP-correspondentie het moment zijn om actief in gesprek te gaan en aanpassingen door te voeren.

Verweer en bezwaar: wat kun je doen?

Als je een AP-boete krijgt opgelegd, heb je vier verweerroutes. De keuze hangt af van de ernst van de overtreding en de hoogte van de boete.

  • Zienswijze indienen: vóór formele oplegging stuurt de AP een voornemen-besluit met termijn (meestal 6 weken) om je standpunt in te dienen. Hier kun je feiten corrigeren, omstandigheden aanvoeren en bedrijfsomvang-onderbouwing geven. In deze zienswijze-fase wordt de boetehoogte regelmatig naar beneden bijgesteld na onderbouwing van bedrijfsomstandigheden.
  • Bezwaar maken: tegen het definitieve besluit kun je binnen 6 weken bezwaar indienen bij de AP zelf. Dit leidt tot heroverweging.
  • Beroep bij rechtbank: na ongegrond bezwaar kun je binnen 6 weken naar de bestuursrechter. De rechter toetst proportionaliteit en feitenvaststelling.
  • Hoger beroep bij Afdeling bestuursrechtspraak Raad van State: voor principiële kwesties in laatste instantie.

Tijdens al deze fases kan je in gesprek met de AP over schikking, hersteltermijn of betalingsregeling. Voor MKB met cashflow-problemen is dit een belangrijke route om een principieel correcte boete behapbaar te maken.

Hoe verklein je het AVG-boete-risico voor jouw MKB?

Vijf concrete maatregelen die het AVG-risico voor MKB significant verlagen — niet alleen om boetes te voorkomen, maar ook om bij eventuele controle de "te goeder trouw"-positie te bewijzen.

  1. Verwerkingsregister bijhouden: documenteer welke gegevens je verwerkt, voor welk doel, hoe lang en met welke leveranciers. Dit is direct verplicht volgens artikel 30 AVG en bewijs van zorgvuldigheid.
  2. Verwerkersovereenkomsten regelen: met al je SaaS-leveranciers, boekhouder, salarisadministrateur. Zie ook Verwerkersovereenkomst: wanneer heb je die nodig.
  3. Privacyverklaring en privacybeleid actueel: jaarlijks reviewen en bij wijzigingen direct aanpassen. Zie ook AVG privacybeleid verplicht.
  4. Datalekprocedure paraat: 72-uurs-meldplicht haal je alleen met vooraf vastgestelde verantwoordelijkheden, communicatiekanaal en documentatieformaat. Oefen deze procedure jaarlijks.
  5. Cookiebanner volgens AP-richtlijnen: opt-in, gelijke prominentie van keuzes, blokkade vóór toestemming. Zie Cookiebeleid maken voor concrete invulling.

Met deze vijf elementen op orde toont je MKB de zorgvuldigheid die de AP in haar Boetebeleidsregels expliciet meeweegt als verlagende factor.

Wanneer schakel je een jurist in?

Voor preventieve AVG-zorgvuldigheid volstaat doorgaans gestandaardiseerde documenten via een AVG-template. Bij Lawsy genereer je privacybeleid, verwerkersovereenkomsten en cookiebeleid op basis van jouw branche.

Schakel altijd een jurist in bij:

  • Lopend AP-onderzoek of voornemen-besluit — zienswijze-fase is kritisch voor matiging.
  • Datalek met grote omvang of bijzondere persoonsgegevens — meldingsbeoordeling en communicatie naar betrokkenen vereist precisie.
  • Internationale gegevensoverdracht buiten EER zonder adequaatheidsbesluit — SCC's en transfer impact assessment.
  • Branche met aanvullende regels: zorg, financieel, telecom of overheid.
Let op: Dit artikel geeft algemene informatie over AVG-boetes voor MKB en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over avg-boete voor mkb: hoe groot is het risico?.

Hoeveel kan een AVG-boete maximaal zijn voor MKB?

Theoretisch tot €20 miljoen of 4% van wereldwijde jaaromzet bij zware overtredingen, en €10 miljoen of 2% bij lichtere. In de praktijk hanteert de Autoriteit Persoonsgegevens proportionele bedragen voor MKB: lichte overtredingen €1.000-€25.000, middelzware €25.000-€100.000, zware €100.000-€500.000+ afhankelijk van bedrijfsomvang en aard van de overtreding.

Krijg ik direct een boete bij een datalek?

Nee, een gemeld datalek leidt niet automatisch tot een boete. De AP beoordeelt of het datalek gevolg is van onvoldoende zorgvuldigheid. Bij voldoende beveiligingsmaatregelen en correcte 72-uurs-melding volgt vaak alleen een evaluatie. Niet-melden of structurele onvoldoende beveiliging leidt wél tot handhaving.

Wat is het verschil tussen waarschuwing, dwangsom en boete?

Een waarschuwing is een formele brief met hersteltermijn — geen financiële sanctie. Een last onder dwangsom legt een dagsom op tot de overtreding is opgeheven (typisch €1.000-€10.000 per dag). Een boete is een eenmalige geldsanctie voor een afgeronde overtreding. De AP gebruikt vaak eerst waarschuwing en dwangsom voordat een boete volgt.

Wordt mijn bedrijfsomvang meegewogen in de boete?

Ja, expliciet volgens de Boetebeleidsregels 2024. Voor MKB worden boetes proportioneel verlaagd ten opzichte van grote organisaties bij dezelfde overtreding. Een eenmanszaak krijgt zelden de maximumboete van €20 miljoen — dat is voorbehouden aan grote multinationals. Toch lopen MKB-boetes regelmatig op tot tientallen of honderden duizenden euro.

Hoe verlaag ik mijn AVG-risico met de minste investering?

Drie laagdrempelige stappen leveren het meeste effect: (1) verwerkingsregister bijhouden — gratis tool, 4-8 uur werk; (2) standaard-DPA's accepteren bij Microsoft/Google/SaaS-leveranciers — 2-4 uur; (3) privacyverklaring publiceren — €0-€199 via template. Deze drie elementen dekken de meest gehandhaafde overtredingen.

Bronnen

Terug naar Privacyverklaring maken