Skip to content
Misvattingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Misvatting: Kleine Bedrijven krijgen toch geen GDPR-boete

Het beeld dat GDPR-boetes alleen voor techgiganten zijn klopt niet. Kleinere boetes voor MKB-bedrijven worden steeds vaker uitgedeeld, en klachten van klanten of werknemers vormen een groter risico dan de boete zelf.

summarize Kernpunten
  • check_circle Toezichthouders in Europa delen steeds vaker boetes uit aan kleine en middelgrote bedrijven
  • check_circle Het grootste risico voor MKB is niet de megaboete, maar klachten van klanten en werknemers die je tijd, geld en reputatie kosten
  • check_circle Een boete van €5.000 tot €25.000 is voor een MKB-bedrijf relatief gezien net zo pijnlijk als miljoenenboetes voor grote bedrijven
  • check_circle Bij een klacht moet je kunnen aantonen dat je de basis op orde hebt, anders escaleert de zaak

De misvatting

“Ik ben maar een klein bedrijf. De toezichthouder heeft wel wat beters te doen dan mij een boete geven. Die GDPR-boetes zijn voor Google en Facebook, niet voor mij.”

Het is een logische gedachte. Je leest in het nieuws over miljardenboetes voor Meta en Amazon. Waarom zou de Autoriteit Persoonsgegevens zich druk maken om jouw bakkerij, webshop of adviesbureau?

Maar de werkelijkheid is genuanceerder, en gevaarlijker dan je denkt.

Het gaat niet alleen om de megaboetes

De grote boetes halen het nieuws. De boete van €1,2 miljard voor Meta in 2023 stond in elke krant. Maar daaronder zit een ijsberg van kleinere boetes die je nooit in het nieuws ziet:

  • In Duitsland deelde de toezichthouder van Nedersaksen in 2023 een boete van €12.500 uit aan een klein bedrijf dat geen verwerkingsregister had
  • In Spanje kreeg een tandartspraktijk een boete van €5.000 voor het versturen van marketingmails zonder toestemming
  • In Roemenie werd een kleine webshop beboet met €3.000 voor het niet reageren op een inzageverzoek
  • In Belgie legde de GBA een boete van €15.000 op aan een MKB-bedrijf dat persoonsgegevens gebruikte voor een ander doel dan waarvoor ze verzameld waren

Dit zijn geen incidenten. Volgens de GDPR Enforcement Tracker zijn er sinds 2018 meer dan 2.100 boetes uitgedeeld in Europa, en een aanzienlijk deel daarvan betreft bedrijven met minder dan 50 werknemers.

De boete is niet je grootste risico

Hier wordt het pas echt interessant. Voor de meeste MKB-bedrijven is de boete zelf niet het grootste probleem. Het zijn de bijkomende kosten en gevolgen:

Klachten van klanten

Wanneer een klant een klacht indient bij de toezichthouder (de GDPR, in het Nederlands de AVG, maakt dit bewust laagdrempelig), moet je reageren. Dat kost je:

  • Tijd: je moet documenten aanleveren, uitleg geven, vragen beantwoorden
  • Geld: mogelijk heb je juridisch advies nodig
  • Stress: een onderzoek door de toezichthouder is voor elke ondernemer vervelend

Klachten van werknemers

Ex-werknemers die ontdekken dat hun gegevens niet correct verwerkt worden, zijn een groeiende bron van klachten. Vooral bij een vertrek dat niet helemaal soepel verliep.

Reputatieschade

Als een klant ontdekt dat je slordig met persoonsgegevens omgaat, verlies je vertrouwen. In een tijd waarin consumenten steeds bewuster omgaan met privacy, kan dat klanten kosten.

Proportioneel, maar niet pijnloos

De GDPR schrijft voor dat boetes “doeltreffend, evenredig en afschrikkend” moeten zijn. Dat betekent dat toezichthouders rekening houden met je bedrijfsgrootte. Een ZZP’er krijgt niet dezelfde boete als Amazon.

Maar proportioneel betekent niet pijnloos:

  • Een boete van €5.000 is voor een eenmanszaak een flinke klap
  • Een boete van €25.000 kan voor een MKB-bedrijf met 10 werknemers een kwartaal winst zijn
  • De administratieve kosten van een onderzoek komen daar nog bovenop

En bedenk: de toezichthouder kan ook een last onder dwangsom opleggen. Dat betekent dat je een bepaalde overtreding moet stoppen, en voor elke dag dat je dat niet doet, betaal je een bedrag. Dat loopt snel op.

Wat je moet doen

1. Stop met de vergelijking met Google

De vraag is niet of jij dezelfde boete krijgt als een techgigant. De vraag is of je de basis op orde hebt als er een klacht binnenkomt.

2. Zorg voor de basis

De meest voorkomende overtredingen bij kleine bedrijven zijn verrassend simpel:

  • Geen verwerkingsregister
  • Geen verwerkersovereenkomsten met verwerkers
  • Niet reageren op verzoeken van betrokkenen (inzage, verwijdering)
  • Marketingmails zonder geldige toestemming

Dit zijn allemaal zaken die je in een paar weken kunt regelen.

3. Denk aan de klant, niet aan de boete

De beste motivatie voor GDPR-compliance is niet de angst voor een boete. Het is het vertrouwen van je klanten. Klanten kiezen steeds vaker voor bedrijven die transparant en zorgvuldig omgaan met hun gegevens.

4. Zie het als bedrijfshygiene

Net zoals je je boekhouding op orde houdt en een verzekering afsluit, is GDPR-compliance onderdeel van goed ondernemen. Het is geen luxe, het is een noodzaak.

auto_awesome Wil je weten waar je echt staat?

GDPRWise scant je website en geeft je een compleet beeld van je GDPR-status. In 15 minuten weet je wat er goed zit en wat je nog moet regelen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.