AVG boetes KMO: echte zaken en bedragen in België
Steven | TrustYourWebsite · 12 juni 2026 · Laatst bijgewerkt: juni 2026
Wie over AVG boetes praat, noemt de grote bedragen. 1,2 miljard euro voor Meta. 746 miljoen voor Amazon. Die krantenkoppen creëren twee problemen. Ze maken van de AVG een probleem voor grote bedrijven. En ze laten de echte boetes voor kleine ondernemingen er in vergelijking onbeduidend uitzien.
Ze zijn niet onbeduidend als u degene bent die ze moet betalen.
AVG boetes voor KMO's liggen doorgaans tussen 1.000 en 50.000 euro. Dat zijn geen miljoenen, maar voor een lokaal kapsalon, restaurant of tandartspraktijk doet een boete van 5.000 euro pijn. En de boete gaat vaak samen met een corrigerende maatregel die nog meer kost om uit te voeren. Een gratis AVG scan toont in 60 seconden waar u staat.
Hier zijn echte zaken met echte bedragen.
Echte AVG boetes voor kleine ondernemingen
Roemeense kapper: €2.500 voor camerabewaking zonder melding (2019)
Een kapsalon in Roemenië installeerde bewakingscamera's die de salonruimte en de ingang in beeld brachten. De camera's filmden klanten en personeel zonder zichtbare melding of privacyverklaring die de opnames toelichtte. De Roemeense gegevensbeschermingsautoriteit, ANSPDCP, legde het salon een boete op van 2.500 euro.
Het probleem waren niet de camera's zelf. Het probleem was dat niemand werd geïnformeerd dat er werd gefilmd. Een eenvoudig bordje met uitleg over wat werd opgenomen, waarom en hoe lang de beelden werden bewaard, had de boete voorkomen.
Duitse bakkerij: schending van werknemersgegevens (2020)
Een bakkerij in Nedersaksen kreeg een boete voor het onzorgvuldig omgaan met werknemersgegevens. Het bedrijf verzamelde gezondheidsgegevens van het personeel zonder geldige rechtsgrond en bewaarde die zonder afdoende beveiligingsmaatregelen.
De boete was naar Duitse normen relatief klein, maar de corrigerende maatregel verplichtte de bakkerij om haar volledige gegevensverwerking voor werknemers te herzien. De nalevingskosten overtroffen de boete zelf.
Grieks bedrijf: €20.000 voor ontbrekende privacyverklaring (2022)
De Griekse gegevensbeschermingsautoriteit legde een klein Grieks bedrijf een boete op van 20.000 euro voor het uitbaten van een website die persoonsgegevens verzamelde via contactformulieren zonder enige privacyverklaring. Geen cookietoestemming, geen informatie over de gegevensverwerking, geen contactgegevens van de verwerkingsverantwoordelijke.
Deze zaak doet pijn omdat een basale privacyverklaring in een namiddag opgezet is. Twintigduizend euro voor iets dat met enkele uren werk voorkomen had kunnen worden.
Spaans restaurant: €3.000 voor Google Analytics zonder toestemming (2023)
De AEPD legde een restaurant in Spanje een boete op van 3.000 euro omdat het Google Analytics op zijn website draaide zonder vooraf toestemming van de bezoekers te vragen. De website van het restaurant had helemaal geen cookiebanner. Google Analytics laadde op elke pagina en stuurde IP-adressen en surfgedrag van bezoekers naar de servers van Google in de VS.
Nadat het Schrems II arrest (C-311/18) het EU-VS Privacy Shield ongeldig verklaarde, werd het doorgeven van bezoekersgegevens aan Amerikaanse diensten zonder toestemming een veel groter probleem. Dit restaurant was een vroeg voorbeeld van handhaving die kleine horecazaken bereikte.
Belgische GBA cookiehandhaving (2024)
De GBA (Gegevensbeschermingsautoriteit) voerde de cookiehandhaving in België in de loop van 2024 stevig op. Hoewel veel acties zich op grotere bedrijven richtten, stuurde de GBA ook waarschuwingsbrieven en corrigerende maatregelen naar websites van kleine ondernemingen.
Het patroon was consistent: websites die trackingcookies, analytics of ingesloten content van derden gebruikten zonder voorafgaande toestemming. De aanpak van de GBA begon met waarschuwingen en ging over naar boetes voor bedrijven die na een kennisgeving niet in orde kwamen.
Wat de GBA precies van een cookiebanner verwacht, leest u in onze gids over GBA boetes en cookiebannerregels voor uw website.
Waarschuwingen, corrigerende maatregelen en boetes
Niet elk AVG probleem leidt tot een boete. Gegevensbeschermingsautoriteiten beschikken over een reeks instrumenten.
Waarschuwingen. Een formele brief die meldt dat iets op uw website de AVG schendt en u een deadline geeft om het op te lossen. Dit is de meest voorkomende eerste stap voor kleine ondernemingen. Geen boete, maar u moet wel handelen.
Corrigerende maatregelen. Een instructie om specifieke praktijken binnen een vastgestelde termijn aan te passen. Wie niet meewerkt, krijgt een boete. De kosten om de correcties door te voeren kunnen aanzienlijk zijn, zeker als u moet veranderen hoe uw volledige website met gegevens omgaat.
Boetes. De straf die de krantenkoppen haalt. Voor kleine ondernemingen liggen die doorgaans tussen 1.000 en 50.000 euro. Recidivisten en bedrijven die waarschuwingen negeren, riskeren hogere bedragen.
De EDPB-richtsnoeren over boetes (04/2022), gepubliceerd in 2023, legden een meer gestructureerde aanpak vast voor het berekenen van sancties. De richtsnoeren wegen omzet, ernst, opzet, medewerking en eerdere overtredingen mee. Voor een kleine onderneming met 200.000 euro jaaromzet zou een "standaard" boete voor een basale website-overtreding doorgaans tussen 2.000 en 10.000 euro uitkomen.
Wat handhaving tegen kleine ondernemingen uitlokt
Gegevensbeschermingsautoriteiten auditen websites niet willekeurig. Dit is wat daadwerkelijk een onderzoek op gang brengt.
Klachten van klanten. Dit is de belangrijkste aanleiding. Een bezoeker van uw website dient een klacht in bij de lokale gegevensbeschermingsautoriteit. Misschien vond hij niet hoe hij cookies kon weigeren. Misschien vroeg hij u zijn gegevens te verwijderen en reageerde u niet. Eén klacht is genoeg om een onderzoek te starten.
Meldingen door concurrenten. In sommige landen, met name Duitsland, kunnen concurrenten klachten indienen over uw gegevenspraktijken. Dit wordt soms ingezet als concurrentietactiek, vooral in sectoren waar lokale bedrijven om dezelfde klanten strijden.
Geautomatiseerde scans door autoriteiten. Verschillende autoriteiten draaien intussen hun eigen websitescanprogramma's. De Belgische GBA, de Franse CNIL en de Spaanse AEPD hebben allemaal massascans van websites uitgevoerd op zoek naar overtredingen rond cookietoestemming.
Datalekken. Als uw website wordt gehackt en klantgegevens worden blootgesteld, moet u dit binnen 72 uur melden aan uw gegevensbeschermingsautoriteit. Het onderzoek dat volgt, legt vaak andere problemen op uw website bloot.
Het proportionaliteitsbeginsel
Artikel 83 van de AVG vereist dat boetes "doeltreffend, evenredig en afschrikkend" zijn. Voor een kleine onderneming betekent evenredig dat de boete betekenisvol genoeg moet zijn om gedragsverandering af te dwingen, maar niet zo groot dat ze het bedrijf kapotmaakt.
In de praktijk betekent dit:
- Een kapsalon met 150.000 euro jaaromzet krijgt niet dezelfde boete als een techbedrijf met 150 miljoen
- Eerste overtredingen met medewerking te goeder trouw leveren doorgaans lagere boetes op
- Corrigerende acties vóór de beslissing kunnen de sanctie verlagen
- Het aantal betrokkenen telt mee. Een lokaal bedrijf dat 500 mensen raakt, riskeert lagere boetes dan een bedrijf dat er 50.000 raakt
Dit betekent niet dat kleine ondernemingen veilig zijn voor boetes. Het betekent dat de boetes worden afgestemd op wat de autoriteit denkt dat het gedrag daadwerkelijk zal veranderen.
Hoe u uw risico verkleint
De meeste AVG problemen van KMO's komen van hun website, niet van opzettelijk misbruik van gegevens. De meest voorkomende websiteproblemen zijn:
- Geen cookiebanner, of een banner die cookies niet echt blokkeert tot er toestemming is
- Google Analytics, Facebook Pixel of vergelijkbare tracking die draait zonder toestemming
- Insluitingen van derden zoals Google Fonts, YouTube-video's of Google Maps die bezoekersgegevens laden vóór toestemming
- Een ontbrekende of onvolledige privacyverklaring
- Contactformulieren die gegevens verzamelen zonder uit te leggen wat ermee gebeurt
U kunt dit allemaal nakijken met een gratis scan. Het duurt twee minuten en dekt de problemen die het vaakst tot handhaving leiden.
Wilt u een volledig overzicht van wat uw website nodig heeft, dan loopt onze AVG-checklist alles stap voor stap door. Voor het bredere plaatje van al uw wettelijke verplichtingen leest u onze gids over GDPR verplichtingen voor KMO's in België. De AVG verplicht u ook om uw website veilig te houden, en gebrekkige beveiliging speelde mee in meerdere van de hierboven genoemde boetes.
Veelgestelde vragen
Kan een gegevensbeschermingsautoriteit mij beboeten zonder eerst te waarschuwen?
Technisch gezien wel. In de praktijk sturen de meeste autoriteiten kleine ondernemingen eerst een waarschuwing of corrigerende maatregel voordat ze een boete opleggen. Maar dat is geen garantie. Als de overtreding ernstig of opzettelijk is, of een datalek betreft, kan een boete zonder voorafgaande waarschuwing volgen.
Geldt de AVG voor mijn website als ik een eenmanszaak heb?
Ja. De AVG geldt voor alle organisaties die persoonsgegevens van EU-inwoners verwerken, ongeacht de omvang. Eenmanszaken, freelancers en eenpersoonsbedrijven vallen er allemaal onder. Het enige dat met de omvang verandert, is de proportionaliteit van de boetes.
Wat is de laagste AVG boete ooit opgelegd?
Boetes van slechts 28 euro zijn geregistreerd in de GDPRhub handhavingstracker, al zijn die ongebruikelijk. Voor website-gerelateerde overtredingen zijn boetes onder de 1.000 euro zeldzaam. De meeste autoriteiten vinden bedragen onder die drempel de administratieve moeite niet waard.
Kan ik in beroep gaan tegen een AVG boete?
Ja. Elke boetebeslissing bevat informatie over de beroepsprocedure. Het beroep loopt via de rechtbanken van het land waar de boete werd opgelegd. Kleine ondernemingen hebben boetes met succes verlaagd of vernietigd gekregen in beroep, vooral wanneer ze konden aantonen dat ze corrigerende maatregelen hadden genomen.
Wordt de AVG-handhaving strenger of soepeler?
Strenger. De totale waarde van AVG boetes is elk jaar sinds 2018 gestegen. Belangrijker nog voor KMO's: autoriteiten zetten steeds vaker geautomatiseerde scantools in die duizenden websites tegelijk kunnen controleren. De Belgische GBA, de Franse CNIL en de Italiaanse Garante hebben allemaal uitgebreide handhavingsprogramma's gericht op websites aangekondigd.
Controleer uw website nu Scan uw website op AVG problemen en meer. Gratis, zonder account, in twee minuten. Scan uw website
Bronnen
- Verordening (EU) 2016/679 - Algemene verordening gegevensbescherming (eur-lex.europa.eu)
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ejustice.just.fgov.be)
- EDPB-richtsnoeren 04/2022 over de berekening van administratieve geldboeten op grond van de AVG (edpb.europa.eu)
- Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be)
- GBA publicaties en beslissingen (gegevensbeschermingsautoriteit.be)
- HvJ-EU zaak C-311/18 (Schrems II) (curia.europa.eu)
Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Gratis scan startenWebsite-handleidingen
AI-website en GBA-klacht: wie betaalt in België?
Uw bouwer gebruikte Cursor of Lovable. Werkt de cookiebanner niet? De GBA spreekt u aan, niet OpenAI. Wat verandert er op 9 december 2026?
AVG website-audit: stap-voor-stap voor Belgische ondernemers
Doe in twee uur een volledige AVG-audit van uw Belgische website. GBA-aanpak, TCF-ruling 2022, Belgische bewaartermijnen. Stap voor stap.
AVG-checklist voor Belgische KMO (2026): 35 punten
35 controlepunten voor AVG-naleving op uw Belgische website. GBA-handhaving, wet 30 juli 2018, KBO-nummer en cookiebanner. Bijgewerkt mei 2026.
Cookiebanner België: GBA boetes en regels voor uw website
Wat de GBA vereist voor uw cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor uw website.
Cookiebanner vereisten België: GBA-regels 2026
Wat uw cookiebanner moet bevatten onder art. 10/2 Kaderwet en de GBA-regels. Gelijke knoppen, drietalige tekst, geen dark patterns en een checklist.