Wat zijn de boetes voor AVG-overtreding in 2026?

Tot 4% van wereldwijde jaaromzet of €20 miljoen — het hoogste van de twee. In praktijk krijgt MKB vaak boetes van €5.000-€50.000 voor basis-overtredingen zoals ontbrekende cookie-banner of verouderd privacy-statement.

Heeft mijn kleine MKB-site een cookie-banner nodig?

Als je analytics, tracking-pixels, of third-party embeds (YouTube, social media widgets) gebruikt: ja. Alleen een site met strikt noodzakelijke cookies (bijv. login-sessies) mag zonder banner.

Kan ik gewoon een privacy-statement template gebruiken?

Als startpunt ja, maar het moet altijd aangepast worden aan jouw specifieke praktijk. Een template kopiëren zonder aanpassing is geen compliance — de Autoriteit Persoonsgegevens ziet dat.

Wat is een verwerkersovereenkomst?

Een contract tussen jouw bedrijf (verantwoordelijke) en leveranciers die data verwerken namens jou (verwerkers, zoals Google Analytics, Mailchimp, hosting). AVG vereist een getekende versie. Meeste grote leveranciers bieden standaard-template online.

Heb ik een DPO (Data Protection Officer) nodig?

Voor de meeste MKB-websites nee. DPO is verplicht bij (a) overheidsorganisaties, (b) bedrijven met grootschalige monitoring van mensen, (c) bedrijven die grootschalig gevoelige data verwerken. Reguliere MKB valt meestal niet in deze categorieën.

AVG compliance voor je website in 2026: volledige checklist

De AVG bestaat sinds 2018, maar veel MKB-websites opereren nog steeds in een gevaarlijke grijze zone. "Onze site heeft een privacy-statement" wordt vaak gezegd — terwijl die statement uit 2018 is en geen enkele recente praktijk reflecteert. Dat is geen compliance, dat is theater.

Dit artikel geeft je een concrete checklist van 14 punten die een Nederlandse MKB-website in 2026 moet afvinken om AVG-compliant te zijn. Geen juridische taal, praktische acties.

Waarom AVG er nu echt toe doet

De Autoriteit Persoonsgegevens (AP) is actiever dan ooit. Sinds 2023 richten ze zich expliciet op MKB-websites, niet alleen grote corporate overtreders. Boetes voor basis-overtredingen (ontbrekende cookie-banner, verouderd privacy-statement) liggen rond €5.000-€25.000 voor een MKB-bedrijf. Voor ernstiger overtredingen (data-lek, verkoop van persoonsgegevens) gaat het naar 4% van jaaromzet.

maximale boete van jaaromzet

72u

meldtermijn bij data-lek

checklist-items hieronder

De basis: 5 items die elke site moet hebben

1. Privacy-statement (geactualiseerd)

Niet één keer geschreven in 2018 en vergeten. Jaarlijks reviewen. Moet bevatten: welke data verzamelen we, waarom, hoe lang bewaren, met wie delen we (verwerkers), rechten van de betrokkene, contact-info voor vragen.

Templates bestaan (ICTRecht, RecruitCRM) en zijn goed startpunt. Maar: alleen copy-pasten is geen compliance. De statement moet jouw praktijk beschrijven, niet een generieke website.

2. Cookie-banner (correct ingericht)

Eenvoud regel: als je site cookies plaatst of data verzamelt die niet strikt noodzakelijk is voor de werking, heb je een cookie-banner nodig die vooraf toestemming vraagt. "By using this site you agree" banner is niet compliant — de gebruiker moet actief klikken om toe te stemmen.

De banner moet bieden: "Accepteer alle", "Weiger alle" (even prominent als accepteren), en "Instellingen" voor granulaire keuzes. Pre-checked boxes zijn niet toegestaan.

3. Contactformulieren met consent-checkbox

Wanneer iemand een formulier invult, moet duidelijk zijn: (a) waarvoor gebruik je de data, (b) hoe lang bewaar je het, (c) wordt het gedeeld. Een simpele checkbox "Ik ga akkoord met het privacybeleid" met link naar de statement is voldoende voor basis-gebruik.

4. Contact-info voor privacy-vragen

Een e-mailadres (privacy@jouwsite.nl) of link in privacy-statement waar mensen hun rechten kunnen uitoefenen (inzage, correctie, verwijdering). Geen contact-formulier die in een zwart gat verdwijnt.

5. HTTPS op de hele site

SSL/TLS is verplicht voor elke site die persoonsgegevens verwerkt. Let's Encrypt is gratis, de meeste hostings automatisch. Check: browser-url moet beginnen met "https://" en slotje tonen.

Technische maatregelen: 4 extra items

6. Verwerkersovereenkomsten met alle processors

Elke tool die data van jouw gebruikers verwerkt is een "verwerker" — Google Analytics, Mailchimp, Cloudflare, je hosting-provider. Met elk moet je een verwerkersovereenkomst hebben (vaak standaard-template van de leverancier).

Maak een lijst van alle tools op je site, check met elk of er een verwerkersovereenkomst is. 90% heeft een standaard-versie die je online kunt downloaden of tekenen.

7. Data-minimalisatie in formulieren

Vraag alleen wat je nodig hebt. Contactformulier voor algemene vragen? Naam en e-mail, meer niet. Geboortedatum, adres, telefoonnummer — alleen als écht nodig. Dit is een AVG-principe: minimaal noodzakelijke gegevens.

8. Bewaartermijnen gedefinieerd en gehanteerd

In je privacy-statement staat "we bewaren contactformulier-data 12 maanden". In praktijk: heb je een systeem dat die data ook daadwerkelijk verwijdert na 12 maanden? Meestal niet. Leg dit vast: welke data, hoe lang, wie zorgt voor verwijdering.

9. Beveiligde toegang voor admin-panels

Two-factor authenticatie voor CMS-toegang, sterke wachtwoorden, beperkte gebruikerslijst. Een gehackte WordPress-admin is een data-lek en moet binnen 72 uur aan AP gemeld worden.

Speciale gevallen: 5 items voor specifieke situaties

10. Google Analytics / Consent Mode configuratie

Google Analytics 4 kan compliant gebruikt worden, maar vereist configuratie: IP-anonimisering, geen Google Signals (remarketing), Consent Mode V2, en expliciete toestemming via de cookie-banner. Zonder: potentieel overtreding van AVG én ePrivacy.

11. E-mailmarketing opt-in correct

Double opt-in is standaard geworden. Iemand vult e-mail in → krijgt bevestigingsmail → klikt link → is abonnee. Zonder dubbele bevestiging is de consent juridisch zwak.

12. Chatbot en AI-transparantie

Vanaf augustus 2026 onder de EU AI Act: je chatbot moet zichzelf identificeren als AI. Privacy-statement moet beschrijven dat AI-gespeksdata wordt verwerkt, waar, hoe lang.

13. Tracking-pixels (Facebook, LinkedIn)

Advertentie-pixels sturen data naar externe platforms. Verwerkersovereenkomst nodig (Meta, LinkedIn bieden dit), expliciete toestemming via cookie-banner, en vermelding in privacy-statement. Zonder: dit is vaak waar MKB-websites fout zitten.

14. Webshop — klant-accounts

Voor e-commerce: account-gegevens, bestelhistorie, betaalgegevens vallen onder AVG. Gebruikers hebben recht op export (portabiliteit) en verwijdering. Zorg dat je shop-platform dit ondersteunt (Shopify, WooCommerce met juiste plugins).

AVG-compliance is geen eenmalig project — het is een doorlopende discipline. Maar de meeste items zijn niet complex. Gewoon doen, documenteren, reviewen.

Wat gebeurt er bij data-lek?

Scenario: iemand hackt je WordPress-admin en exporteert je klantenlijst. Dit is een data-lek en moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens via hun meldformulier. Bewuste niet-melding leidt tot extra boete.

Wat je ook moet doen: betrokkenen informeren wanneer er "hoog risico" voor hen is (bijvoorbeeld betalingsgegevens gestolen). Compensatie claimt komen meer voor dan je denkt.

Wat je niet hoeft

Rond AVG is ook een fearmongering-industrie ontstaan. Wat je voor MKB-websites NIET hoeft:

Dure AVG-audit door een advocatenkantoor (€5.000-€15.000)
ISO 27001 certificering
Externe DPO (Data Protection Officer) — alleen verplicht bij bepaalde organisaties, niet voor regulier MKB
"AVG-compliance software" voor €50/mnd

Wat je wel nodig hebt: deze 14 items netjes doorlopen, jaarlijks reviewen, bij incidenten snel handelen.

Samenvatting

De 14 items hierboven: 3-5 uur werk om voor het eerst volledig af te vinken. Daarna jaarlijks 1 uur review. Dat is het. Geen €15.000 consultant, geen ISO-certificering. Begin bovenaan, werk naar beneden. Als je bij item 14 aangekomen bent, ben je beter geregeld dan 80% van de Nederlandse MKB-websites.