AVG privacybeleid: is het verplicht voor jouw bedrijf?

Direct antwoord

Een AVG privacybeleid is verplicht voor elke organisatie die persoonsgegevens verwerkt — ook voor zzp'ers en MKB. Het beleid is een interne werkdocument dat aantoont hoe je voldoet aan AVG-verantwoordingsplicht (artikel 24 AVG). Voor websitebezoekers is daarnaast een privacyverklaring verplicht (artikel 13 AVG). Beide documenten zijn vereist en hebben verschillende doelen.

Een AVG privacybeleid is een verplicht intern document dat aantoont hoe jouw organisatie persoonsgegevens verwerkt en welke maatregelen je neemt om aan de AVG te voldoen — voor elke onderneming die gegevens verwerkt, ongeacht de omvang. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een AVG privacybeleid?

Een AVG privacybeleid is een intern document waarin een organisatie vastlegt hoe zij omgaat met persoonsgegevens, welke beveiligingsmaatregelen zij neemt en hoe zij betrokkenen in staat stelt hun rechten uit te oefenen. Het document dient de verantwoordingsplicht uit artikel 24 van de Algemene Verordening Gegevensbescherming (AVG) — bekend onder de Engelse term GDPR.

Het privacybeleid wordt vaak verward met de privacyverklaring. Het verschil is fundamenteel:

  • Privacybeleid: intern document voor medewerkers, leidinggevenden en eventuele Functionaris Gegevensbescherming. Beschrijft procedures, verantwoordelijkheden, beveiligingsmaatregelen en interne werkwijzen. Niet bedoeld voor publicatie.
  • Privacyverklaring: extern document op je website voor bezoekers, klanten en sollicitanten. Beschrijft welke gegevens je verzamelt, waarom, hoe lang en welke rechten de betrokkene heeft. Verplicht volgens artikel 13 en 14 AVG.

De meeste MKB-organisaties hebben beide nodig: een privacybeleid voor interne sturing en een privacyverklaring voor de buitenwereld. Één document zonder het andere voldoet meestal niet aan de AVG.

Voor wie is een privacybeleid verplicht?

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, vanaf de eenmanszaak tot de multinational. De omvang van de organisatie bepaalt niet óf de AVG geldt, maar wel hoe uitgebreid het privacybeleid moet zijn. Drie hoofdcategorieën:

Zzp'ers en eenmanszaken

  • Verplicht: privacyverklaring op website + verwerkingsregister (artikel 30 AVG, voor verwerkingen die niet incidenteel zijn).
  • Privacybeleid: vereenvoudigd, maar wel vastleggen hoe je met klantdata, e-mail en facturen omgaat.
  • Geen Functionaris Gegevensbescherming (FG) verplicht.

MKB (10-249 medewerkers)

  • Volledig privacybeleid met procedures voor datalekken, toegangsverzoeken, bewaartermijnen.
  • Verplicht verwerkingsregister, AVG-verwerkersovereenkomsten met externe leveranciers.
  • FG verplicht alleen bij specifieke verwerkingen (bijv. grote schaal van bijzondere persoonsgegevens).

Grote organisaties en bijzondere categorieën

  • Volledige FG-functie verplicht bij overheid, zorg of grote schaal van persoonsgegevens.
  • Privacy Impact Assessment (DPIA) verplicht bij hoog risico-verwerkingen.
  • Uitgebreide externe rapportage en audit-cyclus.

Wat moet er minimaal in een privacybeleid staan?

Het AVG privacybeleid bevat zeven onderdelen die samen aantonen dat je voldoet aan de AVG-verantwoordingsplicht. Ontbreekt één daarvan, dan is het beleid in een AP-onderzoek niet houdbaar.

  1. Verwerkingsverantwoordelijke: naam organisatie, KvK-nummer, contactgegevens en eventueel FG.
  2. Doel en grondslag: per verwerking de AVG-grondslag (toestemming, overeenkomst, gerechtvaardigd belang, wettelijke verplichting, vitaal belang of taak van algemeen belang) en het concrete doel.
  3. Categorieën persoonsgegevens en betrokkenen: welke gegevens (NAW, e-mail, financieel, BSN, gezondheid) en van wie (klanten, medewerkers, sollicitanten, leveranciers).
  4. Bewaartermijnen: per categorie hoelang je de gegevens bewaart en op basis waarvan (bijvoorbeeld zeven jaar voor administratie volgens artikel 52 AWR, vier weken voor sollicitatiegegevens).
  5. Beveiligingsmaatregelen: technisch (encryptie, toegangscontrole, back-ups) en organisatorisch (geheimhoudingsclausule, datalek-procedure, training).
  6. Rechten van betrokkenen: hoe medewerkers omgaan met inzage-, correctie-, verwijdering-, beperking-, dataportabiliteits- en bezwaarverzoeken.
  7. Datalekprocedure: wie meldt, binnen welke termijn (72 uur naar AP voor relevante datalekken), en welke documentatie wordt opgesteld.

Het is verstandig deze zeven onderdelen jaarlijks te toetsen en het beleid aan te passen aan veranderingen in software, leveranciers of werkwijze.

Voordelen en nadelen van een uitgebreid privacybeleid

Een goed privacybeleid is meer dan een verplicht hokje afvinken — het heeft directe operationele en commerciële voordelen. Maar het heeft ook kosten in implementatie en onderhoud.

Voordelen

  • Bewijs van zorgvuldigheid bij AP-onderzoek — kan vergrijpboete voorkomen of aanzienlijk verlagen.
  • Snellere afhandeling van datalekken: vooraf vastgestelde procedures verkorten reactietijd onder de 72-uurs-meldplicht.
  • Vertrouwen bij klanten en zakelijke partners — vooral relevant voor SaaS en data-intensieve diensten.
  • Onboarding-tool voor nieuwe medewerkers — helder kader voor wat wel en niet mag met klantgegevens.

Nadelen en investeringen

  • Initiële opzet kost typisch 8-40 uur, afhankelijk van organisatieomvang en complexiteit.
  • Jaarlijks onderhoud nodig — minimaal één review per jaar, plus bij wijziging in IT-systemen.
  • Risico op overdocumentatie: een uitgebreid maar niet-toegepast beleid is in een AP-onderzoek erger dan een eenvoudig maar wél nageleefd document.

Veelgemaakte fouten in privacybeleid voor MKB

De vier fouten die in de praktijk leiden tot AP-handhaving of in een datalek-procedure als gebrekkig worden beoordeeld:

  • Beleid kopieren van internet zonder aanpassing: een gekopieerd document met een ander bedrijfsnaam noemt vaak niet jouw werkelijke verwerkingen, leveranciers of beveiligingsmaatregelen. Bij audit valt dit direct op.
  • Privacybeleid en privacyverklaring verwarren: één document publiceren op je website voor zowel intern als extern werkt zelden goed. Het wordt te lang voor websitebezoekers en te oppervlakkig voor interne werkprocessen.
  • Geen bewaartermijnen specificeren: "we bewaren gegevens zo lang nodig" is geen termijn. Vermeld concrete termijnen per categorie met wettelijke onderbouwing waar mogelijk.
  • Geen datalekprocedure: bij een datalek heb je 72 uur om de AP te informeren bij relevante datalekken. Zonder vooraf vastgestelde procedure haal je deze termijn vrijwel nooit.

Wanneer schakel je een jurist in?

Voor reguliere zzp- en MKB-bedrijven met standaardverwerkingen volstaat een gestandaardiseerd privacybeleid plus privacyverklaring op basis van een AVG-template. Bij Lawsy genereer je deze documenten op basis van jouw branche en verwerkingen, optioneel gevolgd door jurist-review.

Schakel altijd een jurist in bij:

  • Verwerking van bijzondere persoonsgegevens (gezondheid, religie, biometrische gegevens) — vereist DPIA-beoordeling.
  • Internationale gegevensoverdrachten buiten de EER — Standaard Contractbepalingen (SCC's) en transfer impact assessment vereist.
  • Lopend AP-onderzoek of correspondentie — formele reactie vereist juridische precisie.
  • Branche met aanvullende regels: zorg (Wgbo, Wkkgz), financieel (Wft), telecom (Telecommunicatiewet).
Let op: Dit artikel geeft algemene informatie over het AVG privacybeleid en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over avg privacybeleid: is het verplicht voor jouw bedrijf?.

Is een privacybeleid verplicht voor mijn eenmanszaak?

Ja, de AVG geldt voor elke organisatie die persoonsgegevens verwerkt — ook voor zzp'ers en eenmanszaken. Een beperkt privacybeleid is voldoende, maar een privacyverklaring op je website is altijd verplicht volgens artikel 13 AVG zodra je klantdata, sollicitanten of nieuwsbrief-inschrijvingen verwerkt.

Wat is het verschil tussen privacybeleid en privacyverklaring?

Het privacybeleid is intern (artikel 24 AVG): hoe ga je intern om met persoonsgegevens, beveiligingsmaatregelen, datalek-procedure. De privacyverklaring is extern (artikel 13/14 AVG): wat publiceer je op je website voor bezoekers en klanten over hun rechten en welke gegevens je verzamelt. Beide zijn nodig.

Hoeveel kost het opstellen van een privacybeleid?

Een gestandaardiseerd AVG-template via een AI-platform kost €49-€199. Een privacy-jurist die op maat een beleid schrijft kost €750-€2.500 voor MKB. Voor branches met bijzondere regels (zorg, financieel) kunnen specialistische trajecten oplopen tot €5.000 inclusief DPIA.

Hoe vaak moet ik mijn privacybeleid updaten?

Minimaal jaarlijks volledig reviewen, en direct bij wijzigingen: nieuwe software/SaaS, andere leveranciers, nieuwe verwerkingen of bij wetswijzigingen. Houd een revisiedatum en versienummer bij. De Autoriteit Persoonsgegevens kijkt naar de actualiteit van het document bij eventueel onderzoek.

Wat gebeurt er als ik geen privacybeleid heb?

De Autoriteit Persoonsgegevens kan een formele waarschuwing geven, een dwangsom opleggen of een boete opleggen. Voor MKB lopen typische AVG-boetes uiteen van enkele duizenden euro tot honderdduizenden, afhankelijk van de aard van de overtreding en de omvang van het bedrijf. Het ontbreken van basisdocumentatie wijst op structureel onzorgvuldig handelen, wat de boete-categorie verhoogt.

Bronnen

Terug naar Privacyverklaring maken