Skip to content
Misvattingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Misvatting: GDPR is alleen van Toepassing op Grote Bedrijven

Een hardnekkige misvatting is dat GDPR alleen voor grote bedrijven geldt. De waarheid: GDPR is van toepassing op elke organisatie die persoonsgegevens verwerkt, ongeacht grootte. Dit artikel legt uit wat dat voor jou betekent.

summarize Kernpunten
  • check_circle GDPR geldt voor elke organisatie die persoonsgegevens verwerkt, van ZZP'er tot multinational
  • check_circle Zelfs als je maar 2 werknemers hebt en een klantenlijst van 50 personen, val je onder de GDPR
  • check_circle Er bestaan wel enkele vrijstellingen voor kleine organisaties, zoals het niet verplicht aanstellen van een DPO, maar de basisverplichtingen gelden voor iedereen
  • check_circle Het verwerken van persoonsgegevens is breder dan je denkt: een e-maillijst, personeelsdossier of klantenbestand telt al

De misvatting

“GDPR is toch alleen voor grote techbedrijven? Wij zijn maar met z’n vijven, dat geldt niet voor ons.”

Dit is misschien wel de meest verspreide misvatting over de GDPR (in het Nederlands de AVG, Algemene Verordening Gegevensbescherming). En het is te begrijpen hoe die ontstaan is: het nieuws gaat altijd over boetes voor Google, Meta of Amazon. Daaruit concluderen veel ondernemers dat GDPR een probleem is voor grote jongens, niet voor het MKB.

Maar de tekst van de wet is glashelder.

Wat de wet werkelijk zegt

Artikel 2 van de GDPR beschrijft het toepassingsgebied. De verordening is van toepassing op de verwerking van persoonsgegevens, geheel of gedeeltelijk geautomatiseerd, en op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen.

Er staat nergens: “alleen als je meer dan X werknemers hebt” of “alleen als je omzet boven Y ligt.”

Elke organisatie die persoonsgegevens verwerkt, valt onder de GDPR. Punt.

Wat telt als persoonsgegevens verwerken?

Verwerken is een breed begrip. Het omvat:

  • Persoonsgegevens verzamelen (een contactformulier op je website)
  • Persoonsgegevens opslaan (een klantenlijst in Excel of je CRM)
  • Persoonsgegevens gebruiken (een nieuwsbrief versturen)
  • Persoonsgegevens delen (klantgegevens doorgeven aan je boekhouder)
  • Persoonsgegevens bewaren (personeelsdossiers in je kast of op je server)

Als je ook maar een van deze dingen doet, en dat doet vrijwel elk bedrijf, val je onder de GDPR.

Wat betekent dit concreet voor kleine bedrijven?

Wat je WEL moet doen

Ongeacht je bedrijfsgrootte ben je verplicht om:

  1. Een rechtsgrondslag te hebben voor elke verwerking van persoonsgegevens (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang, enzovoort)
  2. Transparant te zijn over wat je met persoonsgegevens doet (privacyverklaring)
  3. Verwerkersovereenkomsten af te sluiten met partijen die namens jou gegevens verwerken
  4. Te reageren op verzoeken van betrokkenen (inzage, verwijdering, rectificatie) binnen 30 dagen
  5. Datalekken te melden bij de toezichthouder binnen 72 uur als er een risico is voor betrokkenen
  6. Een verwerkingsregister bij te houden (in de praktijk verplicht voor vrijwel elk bedrijf)

Waar je WEL verlichting krijgt

Er zijn enkele verlichtingen voor kleinere organisaties:

  • Je hoeft niet altijd een functionaris gegevensbescherming (DPO) aan te stellen, tenzij je kernactiviteit bestaat uit het verwerken van bijzondere persoonsgegevens of grootschalige monitoring
  • Een Data Protection Impact Assessment (DPIA) is alleen verplicht bij verwerkingen met een hoog risico
  • De documentatieverplichtingen mogen proportioneel zijn aan je bedrijfsgrootte

Maar let op: deze verlichtingen gaan over specifieke extra vereisten. De basisverplichtingen gelden voor iedereen.

Echte voorbeelden

Dit is geen theorie. Toezichthouders in Europa handhaven actief bij kleine organisaties:

  • Griekenland (2023): een kleine werkgever kreeg een boete van €8.000 voor het plaatsen van camera’s zonder de werknemers adequaat te informeren
  • Spanje (2023): een lokale sportschool werd beboet met €7.000 voor het delen van gezondheidsgegevens van leden zonder toestemming
  • Italie (2022): een kleine webshop ontving een boete van €10.000 voor het niet honoreren van een verwijderverzoek
  • Polen (2024): een eenmanszaak kreeg een boete van €4.500 voor het ontbreken van een verwerkingsregister

De Autoriteit Persoonsgegevens in Nederland heeft herhaaldelijk benadrukt dat bedrijfsgrootte geen vrijstelling geeft van de GDPR.

Waarom dit juist een kans is

In plaats van GDPR te zien als een last die niet voor jou geldt, kun je het ook anders bekijken. Als klein bedrijf heb je een voordeel: je verwerkt waarschijnlijk minder persoonsgegevens dan een groot bedrijf, wat betekent dat je compliance eenvoudiger is.

De meeste MKB-bedrijven kunnen hun GDPR-basis in enkele weken op orde krijgen. Geen maandenlange projecten, geen dure consultants. Gewoon de basis goed regelen:

1. Breng in kaart wat je verwerkt

Maak een lijst van alle persoonsgegevens die je verwerkt: klanten, werknemers, leveranciers, websitebezoekers. Dat is je verwerkingsregister.

2. Regel je overeenkomsten

Sluit verwerkersovereenkomsten af met je boekhouder, je e-mailprovider, je CRM-leverancier en andere verwerkers.

3. Informeer je klanten en werknemers

Stel een privacyverklaring op die past bij wat je werkelijk doet. Geen gekopieerd document van internet, maar een heldere uitleg van jouw verwerkingen.

4. Maak een plan voor verzoeken en incidenten

Weet wat je moet doen als een klant om inzage of verwijdering vraagt. Weet wat je moet doen bij een datalek.

auto_awesome Wil je weten waar je echt staat?

GDPRWise scant je website en geeft je een compleet beeld van je GDPR-status. In 15 minuten weet je wat er goed zit en wat je nog moet regelen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.