Hoe hoog kan een AVG-boete zijn voor een klein bedrijf of ZZP'er in Nederland?

Je staat er misschien niet elke dag bij stil, maar als ondernemer in Nederland zit je waarschijnlijk wel vol met persoonsgegevens.

Denk aan klantnamen, e-mailadressen, facturen en misschien wel medische gegevens van cliënten. De regels hiervoor zijn streng: de Algemene Verordening Gegevensbescherming, ofwel AVG. Een overtreding kan flink pijn doen. Maar hoe hoog kan een boete eigenlijk worden als je een klein bedrijf runt of als ZZP’er? In dit artikel lees je wat je echt kunt verwachten, zonder ingewikkelde juridische taal.

Wat is de AVG eigenlijk?

De AVG is de Europese privacywet die sinds 2018 geldt. Het doel is simpel: jouw klanten en contacten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn.

Het maakt niet uit of je een multinational bent of een eenmanszaak aan de keukentafel; als je persoonsgegevens verwerkt, gelden de regels. De Autoriteit Persoonsgegevens (AP) houdt toezicht en mag boetes uitdelen. Het klinkt zwaar, maar het is vooral bedoeld om iedereen bewust te maken van verantwoordelijkheid.

De harde cijfers: Wat staat er in de wet?

Je hebt vast wel eens gehoord van de extreem hoge boetes onder de AVG.

De wet kent inderdaad twee categorieën voor boetes: Op het eerste gezicht lijkt dat angstaanjagend voor een klein bedrijf. Maar hier zit een slimme nuance in: de hoogste percentages gelden vooral voor bedrijven die willens en wetens de boel ontregelen.

1. Een boete van maximaal 10 miljoen euro.
2. Een boete van maximaal 4% van de wereldwijde jaaromzet.

Voor de meeste kleine ondernemers en ZZP’ers is de realiteit anders. De AP kijkt naar proportionaliteit.

Een boete van 4% van je omzet is voor een multinational vervelend, maar voor een ZZP’er met een ton omzet betekent dat ineens 4.000 euro.

En dat is vaak het maximum voor lichte overtredingen.

Wanneer krijg je als klein bedrijf een boete?

De AP is geen bonnenmachine die lukraak boetes uitschrijft. Ze richten zich op ernstige overtredingen.

Voor kleine bedrijven en ZZP’ers gaat het meestal om de zogenaamde ‘categorie 2’ boetes.

• Geen goede beveiliging: Je bewaart klantgegevens in een onbeveiligde map op je laptop of in de cloud zonder wachtwoord.
• Te lang bewaren: Je bewaart persoonsgegevens van klanten die al jaren niet meer bij je kopen, zonder goede reden.
• Niet melden van een datalek: Als er iets misgaat (bijvoorbeeld een gestolen laptop of een hack) en je meldt dit niet binnen 72 uur bij de AP of de betrokkenen.
• Geen privacyverklaring: Op je website staat niet duidelijk wat je met gegevens doet.

Hoe hoog zijn de bedragen in de praktijk?

Dit zijn overtredingen die niet direct leiden tot groot leed, maar wel de regels schenden. Voorbeelden van situaties waar een boete op kan staan: Er is geen vast prijskaartje per overtreding, maar er zijn richtlijnen.

De AP publiceert sanctiebeleid. Voor de meest voorkomende overtredingen (zoals het niet hebben van een privacyverklaring of onvoldoende technische maatregelen) ligt het boetebedrag voor kleine bedrijven vaak tussen de € 1.000 en € 10.000. Een voorbeeld: een ZZP’er die een datalek heeft en dit niet meldt, krijgt vaak een waarschuwing of een relatief lage boete, tenzij er opzet in het spel is. De AP begrijpt dat kleine ondernemers niet over oneindige IT-budgetten beschikken.

Echter, als je willens en wetens de regels negeert, of als er sprake is van grove nalatigheid, kan de boete oplopen tot € 20.000 of meer.

Voor de allerzwaarste gevallen (zoals het bewust verkopen van gegevens) kan de boete oplopen tot 4% van de omzet, maar dat is voor kleine bedrijven zeer uitzonderlijk.

Welke factoren bepalen de hoogte van jouw boete?

De AP kijkt niet alleen naar de overtreding, maar ook naar de context. Ze gebruiken een soort weegschaal om te bepalen hoe zwaar de boete moet zijn. Hierbij wegen ze ook verzachtende omstandigheden bij een boete mee. Belangrijke factoren zijn:

• De ernst van de overtreding: Is er daadwerkelijk schade ontstaan bij klanten?
• De duur van de overtreding: Heb je één dag een fout gemaakt of al drie jaar?
• Opzet of nalatigheid: Was het een ongelukje of wist je het en deed je niets?
• Medewerking: Als de AP langskomt en je werkt volledig mee, verlaagt dat de boete.
• Maatregelen na het incident: Heb je direct het lek gedicht en klanten geïnformeerd?

Voor ZZP’ers speelt ook mee dat ze vaak minder middelen hebben. De AP hanteert het beginsel van proportionaliteit: een boete mag een bedrijf niet onnodig hard raken als dat niet nodig is om het gedrag te corrigeren. Benieuwd naar de kans op een AP-controle als ZZP'er?

Veelvoorkomende fouten bij kleine bedrijven

Veel boetes bij kleine bedrijven komen voort uit dezelfde fouten. Het zijn vaak geen kwade opzet, maar gebrek aan kennis.

1. Onveilige e-mail en opslag

Hier zijn de boosdoeners: Veel ZZP’ers mailen facturen met persoonsgegevens als bijlage naar hun boekhouder via een openbaar Wi-Fi-netwerk of zonder versleuteling. Of ze bewaren klantgegevens op een USB-stick die makkelijk kwijt te raken is. De AP eist passende beveiliging.

2. Te veel gegevens verzamelen

Voor een klein bedrijf betekent dit vaak al voldoende: gebruik sterke wachtwoorden, versleutel bestanden en zorg voor backups. “We vragen altijd even het BSN-nummer voor de zekerheid.” Dit is een klassieke fout.

Je mag alleen gegevens vragen die echt nodig zijn voor je dienst.

3. Geen verwerkersovereenkomsten

Verzamel je meer dan nodig is? Dan overtred je de AVG. Dit kan leiden tot een boete, vooral als deze gegevens onveilig worden opgeslagen.

Als je als ZZP’er gebruikmaakt van software zoals Mailchimp, Google Workspace of een externe boekhouder, dan verwerk je samen persoonsgegevens. Je bent dan verplicht een verwerkersovereenkomst (VGO) te hebben. Zonder VGO loop je risico op een boete.

Preventie: Hoe blijf je uit de buurt van de AP?

Het voorkomen van een boete is natuurlijk beter dan het betalen ervan. Je hoeft geen dure consultant in te huren om AVG-proof te zijn. Een paar simpele stappen helpen al enorm.

• Check je website: Zorg voor een goede privacyverklaring. Er zijn tools die je hierbij helpen, maar laat het nakijken door iemand met kennis van zaken.
• Beveilig je apparaten: Gebruik tweestapsverificatie op al je accounts. Zorg dat je laptop en telefoon beveiligd zijn met een pincode of vingerafdruk.
• Maak schoon: Verwijder klantgegevens die je niet meer nodig hebt. Bewaar gegevens niet langer dan wettelijk noodzakelijk.
• Train jezelf: Weet wat een datalek is en hoe je het moet melden. Sla de meldplicht niet in de wind.

Wat als het fout gaat?

Als er toch een datalek is of de AP stuurt een brief, ga dan niet in paniek raken. De eerste stap is altijd: documenteren.

Noteer wat er is gebeurd, wanneer en hoeveel mensen het raakt. Als het een groot risico oplevert voor de privacy van mensen, moet je dit melden bij de AP en de betrokkenen informeren. Werken samen met de AP is cruciaal.

Als je aantoont dat je je best hebt gedaan en direct actie onderneemt, zal de boete vaak lager uitvallen of in sommige gevallen zelfs achterwege blijven (een waarschuwing).

De AP wil vooral dat je het herstelt, niet per se dat je failliet gaat.

Conclusie: Realistische risico’s

Voor een klein bedrijf of ZZP’er in Nederland is de maximale AVG-boete in de praktijk zelden de miljoenenboete die je in het nieuws hoort. De meeste boetes voor kleine ondernemers liggen tussen de 1.000 en 10.000 euro, afhankelijk van de ernst en je houding.

Het gaat hierbij vaak om lichtere overtredingen zoals onvoldoende beveiliging of het niet melden van een lek. De sleutel is bewustzijn. Je hoeft geen juridisch expert te zijn, maar je moet wel weten waar je aan toe bent.

Zorg voor de basis: een goede beveiliging, een duidelijke privacyverklaring en het melden van problemen.

Dan is de kans op een boete klein en blijft je bedrijf gezond. De AVG is er tenslotte om iedereen te beschermen – jouw klanten, maar ook jouw eigen reputatie.