GDPR-checklist KMO België: website-verplichtingen 2026

Je website verwerkt waarschijnlijk meer persoonsgegevens dan je denkt. Een contactformulier, Google Analytics, een nieuwsbrief: het valt allemaal onder de AVG/GDPR. En de Gegevensbeschermingsautoriteit (GBA) kijkt steeds vaker naar KMO's.

In 2024 legde de GBA (Gegevensbeschermingsautoriteit) Mediahuis een dwangsom op van €25.000 per dag voor een cookiebanner die niet voldeed. Geen duidelijke weigerknop, misleidende kleurkeuzes. Dat is geen uitzondering. Roularta en Groupe Rossel kregen elk een boete van €50.000 voor gelijkaardige schendingen op hun nieuwssites. De GBA vermeldt in haar strategisch plan 2020-2025 expliciet dat het handhaven bij KMO's een prioriteit is.

Wilt u weten hoe uw website scoort? Voer gratis een scan uit op uw website en ontdek binnen 60 seconden welke problemen er zijn.

Gebruik deze checklist om te controleren of uw website aan de regels voldoet.

---

De 5 kernverplichtingen van de AVG voor Belgische KMO's

Voordat we de checklist per punt doorlopen, is het nuttig om de 5 basisverplichtingen te kennen die voor elke KMO gelden zodra ze persoonsgegevens verwerkt. De omvang van uw bedrijf doet er niet toe. Een eenmanszaak met een contactformulier valt onder dezelfde regels als een bedrijf met 50 medewerkers.

1. Transparantie (privacyverklaring). U moet betrokkenen informeren over welke gegevens u verzamelt, waarvoor en hoe lang. Dit staat in AVG artikel 13 voor gegevens die u rechtstreeks verzamelt en in artikel 14 voor indirect verkregen gegevens.

2. Rechtmatige grondslag. Elke verwerking heeft een wettelijke basis nodig. Voor een contactformulier is dat doorgaans de uitvoering van een overeenkomst of een gerechtvaardigd belang. Voor nieuwsbrieven is expliciete toestemming vereist. U kunt niet zomaar wisselen van grondslag achteraf.

3. Gegevensminimalisatie. U mag alleen gegevens verzamelen die u echt nodig heeft. Vraag op een contactformulier geen geboortedatum als u die niet nodig heeft. Bewaar gegevens niet langer dan noodzakelijk.

4. Rechten van betrokkenen. Bezoekers hebben het recht om hun gegevens in te zien, te corrigeren en te laten verwijderen. U moet ook een klachtenprocedure hebben en verzoeken binnen één maand beantwoorden.

5. Beveiliging. U moet passende technische en organisatorische maatregelen nemen. Voor een KMO-website betekent dit minimaal: HTTPS, sterke wachtwoorden, regelmatige updates en een procedure voor datalekken. Een datalek waarbij persoonsgegevens in gevaar komen, moet u binnen 72 uur melden aan de GBA.

---

1. Ondernemingsnummer op je website

Verplicht: Ja, wettelijk verplicht op grond van het Wetboek van economisch recht (Boek III).

Belgische bedrijven moeten hun ondernemingsnummer (KBO-nummer) zichtbaar vermelden op hun website. Het gaat om een 10-cijferig nummer dat begint met 0 of 1, zoals 0123.456.789. Veel bedrijven vermelden ook het BTW-nummer in het formaat BE 0123.456.789.

Waar plaatsen: In de footer van elke pagina, op de contactpagina en op de pagina Algemene voorwaarden.

Boete bij niet-naleving: De FOD Economie kan boetes opleggen tot €80.000 of 4% van de omzet.

Actiepunt: Controleer nu de footer van je website. Staat je ondernemingsnummer er duidelijk in?

---

2. Privacyverklaring

Verplicht: Ja, op grond van AVG/GDPR artikel 13 en de Wet van 30 juli 2018.

Je privacyverklaring moet beschrijven:

• Welke persoonsgegevens je verzamelt (namen, e-mailadressen, IP-adressen)
• Waarvoor je ze gebruikt
• Hoe lang je ze bewaart
• Welke derde partijen toegang hebben (Google Analytics, Mailchimp, enz.)
• Hoe bezoekers hun rechten kunnen uitoefenen (inzage, verwijdering, bezwaar)
• Hoe je contact kunt opnemen voor privacyvragen

Een generiek sjabloon dat nog "[Bedrijfsnaam]" bevat of activiteiten beschrijft die je niet uitvoert, voldoet niet. De GBA beoordeelt de nauwkeurigheid, niet alleen de aanwezigheid.

Actiepunt: Lees je privacyverklaring zelf door. Klopt elke zin voor je specifieke situatie?

---

3. Cookiebanner

Verplicht: Ja, voor alle niet-essentiële cookies (analytics, marketing, tracking).

Je cookiebanner moet:

• Een even zichtbare "Alles weigeren" knop hebben als "Alles accepteren"
• Geen vooraf aangevinkte vakjes bevatten voor niet-essentiële cookies
• Geen trackingscripts laden vóór toestemming
• Toestemming opslaan en respecteren bij volgende bezoeken

Wat de GBA bestrafte bij Mediahuis (Beslissing 113/2024): Geen duidelijke weigerknop, de accepteerknop was groter en kleuriger dan de weigerknop. Dwangsom: €25.000 per dag.

Actiepunt: Klik op "Weigeren" in je eigen cookiebanner. Laadt Google Analytics daarna nog steeds? Als ja, heb je een probleem.

---

4. Algemene voorwaarden

Verplicht voor e-commerce: Ja. Voor zuivere informatiewebsites: sterk aanbevolen.

Als je online producten of diensten verkoopt, moet je vermelden:

• Herroepingsrecht (14 dagen bedenktijd voor consumenten)
• Leveringsvoorwaarden en -termijnen
• Prijzen inclusief BTW
• Procedure voor klachten en geschillen

Actiepunt: Verkoop je via je website? Controleer of "herroepingsrecht" en "14 dagen" in je voorwaarden staan.

---

5. Verplichte contactinformatie

Verplicht: Op grond van het Wetboek van economisch recht (Boek XII) voor commerciële websites.

Je moet vermelden:

• Volledige bedrijfsnaam
• Geografisch adres (geen postbus)
• E-mailadres
• Ondernemingsnummer
• Voor gereglementeerde beroepen: naam en adres van de bevoegde autoriteit

Actiepunt: Controleer je contactpagina en footer. Staan alle gegevens erbij?

---

6. Nieuwsbrief en e-mailmarketing

Verplicht: Toestemming vooraf en makkelijk afmelden.

Als je een nieuwsbrief verstuurt:

• Gebruik een niet-aangevinkt toestemmingsvakje bij inschrijving
• Vermeld duidelijk waarvoor de inschrijver zich aanmeldt
• Voeg een werkende afmeldlink toe aan elke e-mail
• Bewaar het bewijs van toestemming

B2B e-mailmarketing is in België toegestaan op grond van het Wetboek van economisch recht, zolang er een duidelijk zakelijk verband bestaat en je een eenvoudige opt-out biedt.

Actiepunt: Stuur jezelf een testmail. Werkt de afmeldlink?

---

7. Google Fonts en externe resources

Risico: Hoog in België.

Het laden van Google Fonts via externe Google-servers stuurt het IP-adres van elke bezoeker door naar Google, zonder toestemming. De GBA volgt de EDPB-richtlijnen over gegevensoverdrachten naar de VS. Zelf hosten is de veiligste oplossing.

Hetzelfde geldt voor Google Maps, YouTube-insluitingen en sociale mediaknoppen die direct laden zonder toestemming.

Actiepunt: Host Google Fonts lokaal via gwfh.mranftl.com. Laad YouTube en Maps pas na toestemming.

---

8. Het verwerkingsregister: verplicht of niet?

Veel KMO's kennen het verwerkingsregister niet. Toch is het een van de duidelijkste verplichtingen in de AVG.

Artikel 30 AVG verplicht elke verwerkingsverantwoordelijke een register bij te houden van alle verwerkingsactiviteiten. Dit register is een gestructureerde lijst van alle verwerkingen die uw organisatie uitvoert. Denk aan: klantgegevens voor facturatie, personeelsgegevens, websitebezoekers via analytics, e-maillijsten.

Er bestaat een beperkte uitzondering voor ondernemingen met minder dan 250 werknemers. Maar die uitzondering vervalt als de verwerking regelmatig plaatsvindt of een risico inhoudt voor de betrokkenen. In de praktijk betekent dit dat bijna elke KMO met klanten, personeel of leveranciers toch een verwerkingsregister nodig heeft. De GBA bevestigt dit expliciet op haar website.

Het register hoeft niet ingewikkeld te zijn. Een spreadsheet met de volgende kolommen volstaat voor een kleine KMO:

• Naam en doel van de verwerking (bijv. "nieuwsbrief verzenden")
• Categorie van betrokkenen (klanten, prospects, medewerkers)
• Categorie van gegevens (naam, e-mail, IP-adres)
• Bewaartermijn
• Ontvangers of verwerkers (bijv. Mailchimp, Google)

Het register moet op eerste verzoek aan de GBA worden voorgelegd (artikel 30.4 AVG). Het ontbreken van een register kan worden gesanctioneerd.

Actiepunt: Maak een eenvoudige spreadsheet met alle verwerkingen op uw website en in uw bedrijf. De GBA biedt gratis templates aan.

---

9. Verwerkingsovereenkomsten met uw leveranciers

Gebruikt u externe diensten zoals Mailchimp, Google Analytics, een boekhoudpakket in de cloud of een hostingprovider? Dan verwerken die partijen namens u persoonsgegevens. Zij zijn uw verwerkers.

AVG artikel 28 verplicht u in dat geval een schriftelijke verwerkingsovereenkomst (soms ook "DPA" of "data processing agreement" genoemd) te sluiten met elke verwerker. De GBA handhaaft hier actief op.

Veel grote providers bieden standaard verwerkingsovereenkomsten aan. Bij Google kunt u die vinden in de instellingen van uw Google Workspace of Analytics-account. Bij Mailchimp staat die in uw accountinstellingen onder "Data Processing Agreement". Accepteer die altijd voordat u de dienst gebruikt voor klantgegevens.

Wat moet er in een verwerkingsovereenkomst staan?

• Het onderwerp en de duur van de verwerking
• De aard en het doel van de verwerking
• Het type persoonsgegevens en de categorieën van betrokkenen
• De verplichtingen en rechten van de verwerkingsverantwoordelijke

Actiepunt: Maak een lijst van alle externe tools die u gebruikt. Controleer voor elk of u een verwerkingsovereenkomst heeft. Zo niet, neem dan contact op met de leverancier.

---

10. Heeft uw KMO een functionaris voor gegevensbescherming (DPO) nodig?

Een DPO (Data Protection Officer of functionaris voor gegevensbescherming) is verplicht in drie gevallen, vastgelegd in AVG artikel 37:

1. Uw organisatie is een overheidsinstantie of overheidsorgaan.
2. Uw kernactiviteit bestaat uit grootschalige en regelmatige observatie van betrokkenen (bijv. een bewakingsbedrijf of een groot advertentieplatform).
3. Uw kernactiviteit bestaat uit grootschalige verwerking van bijzondere categorieën gegevens (bijv. gezondheidsgegevens, strafrechtelijke gegevens).

Voor de meeste Belgische KMO's is een DPO niet wettelijk verplicht. Een webshop die klantgegevens beheert voor levering en facturatie, een kapper die afspraken bijhoudt of een lokale boekhouder vallen in de regel buiten deze drie categorieën.

Toch moedigt de GBA ook niet-verplichte KMO's aan om iemand intern verantwoordelijk te maken voor gegevensbescherming. Dat hoeft geen aparte functie te zijn. Het kan ook een bestaande medewerker zijn die de privacytaken erbij neemt.

Actiepunt: Ga na of uw kernactiviteit één van de drie verplichte gevallen raakt. Zo niet, wijs toch één persoon intern aan als aanspreekpunt voor privacyvragen.

---

GBA-handhaving in België: wat KMO's moeten weten

De GBA heeft in de afgelopen jaren haar handhaving duidelijk uitgebreid. De bekendste zaken betreffen grote mediagroepen, maar de GBA heeft in haar strategisch plan bevestigd dat KMO's een prioriteitsgroep vormen.

De Geschillenkamer van de GBA behandelt klachten van burgers. Iedereen kan een klacht indienen via de website van de GBA. Dat is ook wat er bij Mediahuis gebeurde: een burger diende een klacht in via de organisatie NOYB over de cookiebanner van vier Mediahuis-nieuwssites. Resultaat: een dwangsom van €25.000 per dag (Beslissing 113/2024). Roularta en Groupe Rossel kregen elk een boete van €50.000 voor vergelijkbare schendingen op hun nieuwssites.

Wat ziet de GBA het vaakst bij website-audits?

• Cookiebanners zonder duidelijke weigerknop of met donkere patronen
• Trackingscripts die laden vóór toestemming
• Privacyverklaringen die niet overeenkomen met de werkelijkheid
• Ontbrekende of onvolledige verwerkingsregisters
• Geen verwerkingsovereenkomsten met externe verwerkers

De GBA biedt ook een zelfcontrole-instrument aan via haar website. Dat is een goed startpunt, maar het gaat niet zo ver als een technische scan van uw website. Onze scanner controleert uw website automatisch op cookiegedrag, trackers en de aanwezigheid van verplichte informatie.

---

Samenvatting: de volledige checklist

---

Gratis controle in 60 seconden

U kunt dit alles handmatig controleren, maar onze scanner doet het automatisch. We testen uw cookiebanner echt door op "Weigeren" te klikken en te controleren of trackers stoppen. We controleren ook op het ondernemingsnummer, analyseren uw privacyverklaring en detecteren externe resources die laden zonder toestemming.

Controleer gratis of uw website voldoet →

Het resultaat is binnen 60 seconden beschikbaar. Geen account nodig.

---

Dit is technische analyse, geen juridisch advies. Voor definitief juridisch advies raadpleeg je een advocaat of compliance-adviseur.