Uit de praktijk · Voor MKB-ondernemers

AVG voor je MKB-website: wat echt moet (en 3 dingen die marketeers verkopen als verplicht)

Jim Grootes · 7 min leestijd · 13 mei 2026
AVG voor je MKB-website: wat echt moet (en 3 dingen die marketeers verkopen als verplicht)

De gemiddelde MKB-ondernemer heeft de afgelopen vijf jaar 800 tot 1.500 euro betaald voor “AVG-compliance” op zijn website. Drie kwart van die kosten ging naar dingen die niet verplicht zijn. Dit is wat de wet echt zegt, wat marketeers je proberen te verkopen, en hoe je in een uurtje zelf weet of je site geregeld is, zonder advocaat of duur compliance-pakket.

De AVG (Algemene Verordening Gegevensbescherming, in het Engels GDPR) is sinds mei 2018 van kracht. De wet zelf is helder, maar wat er omheen aan diensten verkocht wordt is een chaos van halve waarheden, angstmarketing en pakketten van honderden euro’s voor wat in 90% van de MKB-gevallen tien regels tekst en twee instellingen zijn. Wij zien het bij elke nieuwe klant: een verouderde privacyverklaring met de paragraaf “Wij gebruiken Facebook Pixel” terwijl ze die nooit geïnstalleerd hebben, en een cookie-banner die meer aandacht trekt dan de hero-section.

Wat de AVG echt van je MKB-website vraagt

Drie dingen. Niet zeven, niet vijftien. Drie:

  1. Een privacyverklaring die uitlegt welke persoonsgegevens je verzamelt, waarom, hoe lang je ze bewaart, en aan wie je ze doorgeeft.
  2. Een rechtsgrondslag voor elk stuk data dat je verzamelt, toestemming, contract, gerechtvaardigd belang of wettelijke verplichting.
  3. De mogelijkheid voor bezoekers om hun rechten uit te oefenen (inzage, correctie, verwijdering). Een werkend e-mailadres waar ze terecht kunnen is in 99% van de MKB-gevallen genoeg.

Dat is de basis. Daar bovenop komen een paar specifieke verplichtingen die afhangen van wat je echt gebruikt:

  • Gebruik je Google Analytics, Facebook Pixel, of tracking-cookies van derden? Dan heb je actieve toestemming nodig via een cookiebanner met opt-in (geen “verder bladeren is akkoord”).
  • Verwerk je gegevens via externe partijen (e-mailprovider, CRM, hosting)? Dan heb je per partij een verwerkersovereenkomst nodig. De meeste serieuze leveranciers (Mailchimp, Cloudways, Stripe) hebben die standaard online klaarliggen om te downloaden of accepteren.
  • Heb je een online formulier dat persoonsgegevens vraagt? Dan moet je naast de privacyverklaring helder zijn over wat er met die data gebeurt, dat kan ook bij het formulier zelf in één zin.

Voor een typische MKB-site met een contactformulier, Google Analytics en een nieuwsbrief is dit het hele plaatje. Het past op één A4.

Drie dingen die marketeers verkopen als “verplicht” maar dat niet zijn

Hier wordt het interessant. We hebben in de afgelopen jaren tientallen offertes gezien van compliance-bureaus en marketingbureaus, en deze drie items komen er steevast in voor als verplicht item, terwijl ze juridisch optioneel zijn.

Editorial 3D-render van gestapelde dunne vellen op een donkere achtergrond, met een diagonale gele lijn, symbool voor een AVG-checklist die door je verplichtingen heen snijdt
De AVG vraagt om duidelijkheid, niet om kwantiteit. Meer documenten = niet meer compliant.

1. Een “Functionaris voor Gegevensbescherming” (FG/DPO) als interne rol

Bureaus zullen je vertellen dat je iemand intern moet aanwijzen als FG. Dat hoeft alleen als je een van deze drie dingen doet: je bent een overheidsinstantie, je doet grootschalige systematische monitoring van mensen, of je verwerkt op grote schaal bijzondere persoonsgegevens (medische, biometrische, strafrechtelijke).

Een schildersbedrijf, accountant, fysiotherapeut of webshop met paar duizend klanten heeft geen FG nodig. Het kost je niets om dat duidelijk te hebben, en het scheelt je 100+ euro per maand aan onnodige outsourcing.

2. Een aparte “cookieverklaring” naast je privacyverklaring

Veel compliance-pakketten leveren een privacyverklaring én een aparte cookieverklaring, met overlappende informatie. De AVG (en de Telecommunicatiewet, die over cookies gaat) vraagt niet om twee documenten. Een paragraaf in je privacyverklaring waar je elke gebruikte cookie noemt, doel en bewaartermijn, voldoet aan beide wetten.

Twee documenten maken het juist verwarrender voor de bezoeker en kosten dubbel onderhoudswerk wanneer je een tool wisselt.

3. Een “AVG-audit” voor 800 tot 1.500 euro

Tenzij je echt iets ingewikkelds doet (zorginstelling, financiële instelling, marketingplatform met profiling), kun je je MKB-website zelf langs een AVG-checklist halen in een paar uur. De Autoriteit Persoonsgegevens heeft een gratis stappenplan voor MKB dat je doorpraat. De grootste bureau-audits leveren weinig meer op dan een PDF met een paar standaardteksten en een lijst van “verbeterpunten” die in 70% van de gevallen optioneel zijn.

Goedkoper alternatief: een goede zelf-check + 1 uur juridisch advies bij twijfel (zo’n 120 euro bij een MKB-jurist), is voor de meeste sites afdoende.

De AVG-zelfcheck in 7 stappen

Loop deze door en je weet binnen een uur of je site geregeld is.

1. Heb je een actuele privacyverklaring?

Ga naar de footer van je site. Klik op “Privacy”. Lees hem door. Klopt alles nog? Heb je sinds publicatie nieuwe tools toegevoegd (denk aan: een nieuwsbrieftool, een chatwidget, een booking-systeem)? Zo ja, voeg ze toe of vervang ze in de tekst. Een privacyverklaring uit 2020 is per definitie verouderd.

2. Heb je een cookiebanner met echte opt-in?

Test het zelf: open je site in een incognito-venster. Krijg je een banner waar “Accepteren” en “Weigeren” even prominent zijn? Worden tracking-cookies pas geladen als je accepteert? Of laadt Google Analytics al meteen, en is de “Weigeren”-knop verborgen achter “instellingen”?

Als het tweede waar is, ben je niet compliant. Fix: of een gratis tool als CookieYes (basic plan), of een eenvoudige WordPress-plugin die echte opt-in afdwingt.

3. Heb je een verwerkersovereenkomst met je hosting-leverancier?

Cloudways, Hostinger, SiteGround en TransIP hebben deze allemaal online. Inloggen, downloaden, ondertekenen, in je administratie. 5 minuten werk per leverancier.

4. Verwerk je betalingen of medische data?

Voor betalingen: gebruik je Mollie, Stripe of Adyen? Die regelen de PCI-compliance voor je. Heb je je eigen creditcardverwerking? Stop daarmee tenzij je echt weet wat je doet. Voor medische of bijzondere data: dan zit je in een aparte AVG-categorie en is een externe check wel verstandig.

5. Heb je een werkend recht-uitoefenings-adres?

In je privacyverklaring staat een e-mailadres voor inzage- of verwijderingsverzoeken. Test of dat adres bestaat en mail wordt gelezen. Een “privacy@” adres dat niemand checkt is een AVG-overtreding.

6. Bewaar je gegevens niet langer dan nodig?

De wet zegt: bewaar alleen zolang als nodig voor het doel. Voor klantadministratie: 7 jaar (fiscale plicht). Voor nieuwsbriefinschrijvers: zolang als ze ingeschreven staan. Voor contactformulier-inzendingen: in de meeste gevallen genoeg om binnen een paar maanden op te ruimen tenzij ze klant geworden zijn.

Zet een terugkerende kalenderafspraak: elke 6 maanden contactformulier-archief opruimen, oude nieuwsbrief-abonnees inactief markeren.

7. Heb je een datalekprocedure?

Niet “een document met procedures”, maar gewoon weten: als ik morgen merk dat mijn hosting gehackt is en klantdata weg is, wie bel ik en wat doe ik? Voor MKB komt het neer op: melden bij de Autoriteit Persoonsgegevens binnen 72 uur via hun online formulier, betrokkenen informeren. Schrijf de stappen voor jezelf op één A4 en bewaar het in je administratie. Klaar.

Wat AVG-compliance je oplevert (naast geen boete)

De meeste ondernemers benaderen AVG als verzekering: iets dat je moet hebben zodat je geen boete krijgt. Maar er is een tweede waarde die we vaak onderschat zien.

Bezoekers vertrouwen sites met een leesbare, eerlijke privacyverklaring meer. Een goed geschreven privacystuk dat niet uit standaardteksten van een generator komt, maar dat in jouw eigen toon uitlegt wat je doet met data, is een sterke trust-marker. Voor B2B-trajecten met grotere klanten of overheidstrajecten is een herkenbare, actuele AVG-pagina vaak een vereiste in de procurement-fase. Dat sluit aan op wat we eerder schreven over mooie sites versus converterende sites, de details die niemand opvallen wanneer ze er zijn, maar elk een klein trust-signaal vormen.

Wij schrijven inmiddels privacyverklaringen voor klanten in hun eigen voice, niet als juridisch boilerplate. Het kost een uur extra werk en levert iets op dat als communicatiestuk leesbaar is. Veel MKB-eigenaren zijn verbaasd dat het kan.

Tot slot

De AVG is geen wet die het MKB onbeheersbaar maakt. Het is een wet die expliciet zegt: wees duidelijk over wat je met data doet, geef mensen rechten, en behandel hun gegevens met respect. Dat is geen ingewikkeld idee. Wat ingewikkeld is, is de markt eromheen, die de wet veel zwaarder laat lijken dan hij in praktijk is om diensten te kunnen verkopen.

Heb je twijfel of jouw site juridisch goed staat? Vraag een gratis website-analyse aan. We checken je privacyverklaring, je cookiebanner, je formulieren en je verwerkers-overzicht, en geven je binnen een werkdag een eerlijk rapport. Als er gaten zijn, zeggen we het. Als alles op orde is, zeggen we dat ook, en heb je voor de eerste keer in jaren een keer een gerust hart over je AVG-staat. Onze gids over contactformulieren bevat ook de AVG-laag van een goed formulier.

Vragen of even sparren?

Stuur ons een bericht.

WhatsApp voor het snelste antwoord, of mail als het uitgebreider is. Binnen één werkdag reactie, geen verkooppraatje.

WhatsApp Circular Media Stuur een mail
Verder lezen · uit de praktijk

Andere artikelen die je verder helpen.