Is een privacyverklaring verplicht op mijn Belgische website?

Ja. Een privacyverklaring is verplicht zodra je website persoonsgegevens verwerkt. Artikel 13 AVG dwingt elke verwerkingsverantwoordelijke om betrokkenen te informeren. Dat geldt voor elke Belgische website, ongeacht de grootte van je onderneming.

Moet mijn privacyverklaring tweetalig zijn?

Als je website zich richt op zowel de Nederlandstalige als de Franstalige gemeenschap in Belgie, verwacht de GBA dat de privacyverklaring in beide talen beschikbaar is. Een Nederlandstalige webshop die ook Franstalige klanten bedient, heeft twee taalversies nodig.

Wat is het verschil tussen de GBA en de AP?

De Gegevensbeschermingsautoriteit (GBA) is de Belgische toezichthouder op de AVG, vergelijkbaar met de Autoriteit Persoonsgegevens (AP) in Nederland. De GBA is gevestigd in Brussel en behandelt klachten en handhaving voor Belgische verwerkingsverantwoordelijken.

AVG & Privacy

Privacyverklaring verplicht Belgie: 14 AVG-eisen 2026

Steven | TrustYourWebsite · 20 april 2026 · Laatst bijgewerkt: mei 2026

Ja, een privacyverklaring is verplicht. Elke Belgische website die persoonsgegevens verwerkt, moet bezoekers via een privacyverklaring informeren. Dat staat in artikel 13 van de AVG. De Gegevensbeschermingsautoriteit (GBA) in Brussel controleert daar actief op. In 2026 voert het EDPB een gecoordineerde handhavingsactie uit op transparantie. Vijfentwintig Europese toezichthouders, inclusief de GBA, controleren tegelijkertijd of privacyverklaringen voldoen aan artikel 12 tot en met 14 AVG.

Gepubliceerd: 20 april 2026. Bijgewerkt: 12 mei 2026.

Wil je weten of jouw verklaring de basis dekt? Start een gratis scan van je website en zie binnen een minuut of de pagina vindbaar is in de footer en welke verplichte elementen ontbreken.

Staat jouw privacyverklaring op orde?

Onze gratis scan controleert of je privacyverklaring vindbaar is, in de footer staat en de AVG-basis dekt.

Ik begrijp dat dit een technische scan is, geen juridisch advies, en ik accepteer de voorwaarden.

Scannen voor:

Checklist: de 14 verplichte onderdelen op een rij

Deze 14 punten komen rechtstreeks uit artikel 13 en 14 AVG. De drie vetgedrukte zijn de onderdelen die de GBA het vaakst als gat noteert.

Nr	Onderdeel	AVG-artikel	Vaak gemist?
1	Identiteit en contactgegevens (incl. KBO-nummer)	Art. 13(1)(a)	Nee
2	Contactgegevens DPO (indien aangesteld)	Art. 13(1)(b)	Nee
3	Doeleinden van de verwerking	Art. 13(1)(c)	Soms
4	Rechtsgrondslag per verwerking	Art. 13(1)(c)	Soms
5	Specifiek gerechtvaardigd belang	Art. 13(1)(d)	Ja
6	Ontvangers / categorieen ontvangers	Art. 13(1)(e)	Soms
7	Doorgifte buiten EER + waarborgen	Art. 13(1)(f)	Ja
8	Bewaartermijnen per datacategorie	Art. 13(2)(a)	Ja
9	Rechten van betrokkenen	Art. 13(2)(b)	Nee
10	Recht op intrekking toestemming	Art. 13(2)(c)	Soms
11	Klachtrecht bij GBA	Art. 13(2)(d)	Nee
12	Verplicht karakter gegevensverstrekking	Art. 13(2)(e)	Soms
13	Geautomatiseerde besluitvorming / profilering	Art. 13(2)(f)	N.v.t.
14	Bron van gegevens (als niet rechtstreeks verzameld)	Art. 14(2)(f)	N.v.t.

De 14 verplichte onderdelen onder artikel 13 AVG

De AVG schrijft 14 informatievereisten voor die in je privacyverklaring thuishoren. Ze gelden in heel de EU. Hieronder volgt de volledige lijst.

1. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (art. 13(1)(a)). Je ondernemingsnaam, ondernemingsnummer (KBO-nummer), maatschappelijke zetel en een contactadres. Bij een eenmanszaak is dat je eigen naam.

2. Contactgegevens van de functionaris voor gegevensbescherming (art. 13(1)(b)). Alleen verplicht als je een DPO hebt aangesteld. De meeste KMO's in Belgie hoeven dat niet.

3. De doeleinden van de verwerking (art. 13(1)(c)). Concreet formuleren. Niet "wij verwerken persoonsgegevens voor onze dienstverlening". Benoem per verwerking wat je doet en waarvoor.

4. De rechtsgrondslag per verwerking (art. 13(1)(c)). Koppel elke verwerking aan een grondslag. Toestemming, uitvoering overeenkomst, wettelijke verplichting of gerechtvaardigd belang.

5. Het specifieke gerechtvaardigde belang (art. 13(1)(d)). Na het CJEU Mousse-arrest (zaak C-394/23) moet je het concrete belang benoemen. "Gerechtvaardigd belang" zonder uitleg is niet meer voldoende. De grondslag zelf vervalt als je het belang niet specificeert.

6. De ontvangers of categorieen van ontvangers (art. 13(1)(e)). Hostingprovider, betaaldienst, analytics, e-mailmarketing, boekhoudsoftware. Noem ze bij naam of categorie.

7. Doorgifte aan een derde land (art. 13(1)(f)). Vermeld het land, de waarborg (adequaatheidsbesluit of standaardcontractbepalingen) en waar een kopie beschikbaar is. Dit ontbreekt in de meeste KMO-verklaringen.

8. Bewaartermijnen per datacategorie (art. 13(2)(a)). Concrete termijnen. Factuurgegevens: 7 jaar. Contactformulierberichten: 12 maanden. Analytische data: 26 maanden. "Zo lang als nodig" accepteert de GBA niet.

9. De rechten van betrokkenen (art. 13(2)(b)). Inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar. Vermeld hoe iemand een verzoek indient en binnen welke termijn je reageert (1 maand).

10. Het recht om toestemming in te trekken (art. 13(2)(c)). Verwijs naar je cookiebanner-instellingen en je afmeldmogelijkheid voor nieuwsbrieven.

11. Het recht om een klacht in te dienen bij de toezichthouder (art. 13(2)(d)). Verwijs naar de Gegevensbeschermingsautoriteit: Drukpersstraat 35, 1000 Brussel, of online via gegevensbeschermingsautoriteit.be.

12. Of het verstrekken van persoonsgegevens verplicht is (art. 13(2)(e)). Leg uit welke gegevens optioneel zijn en welke nodig zijn voor je dienstverlening.

13. Geautomatiseerde besluitvorming en profilering (art. 13(2)(f)). Alleen vermelden als je geautomatiseerde besluiten neemt op basis van persoonsgegevens.

14. De bron van persoonsgegevens (art. 14(2)(f)). Alleen relevant als je gegevens ontvangt van derden.

Wat de GBA in Belgie extra verwacht

De Belgische Kaderwet van 30 juli 2018 zet de AVG om in Belgisch recht. De GBA voegt daar in haar handhavingspraktijk een aantal verwachtingen aan toe.

De GBA verwacht dat de privacyverklaring een zelfstandig document is. Het insluiten van privacy-informatie in je algemene voorwaarden volstaat niet. De verklaring moet apart toegankelijk zijn, met een eigen link in de footer van elke pagina.

Richt je website zich op beide taalgemeenschappen? Dan verwacht de GBA dat de privacyverklaring in het Nederlands en het Frans beschikbaar is. Een Nederlandstalige webshop die ook aan Franstalige klanten levert, heeft twee taalversies nodig.

De GBA hanteert een tweetalig klachtadres. Voor Nederlandstalige verklaringen verwijs je naar gegevensbeschermingsautoriteit.be. Voor Franstalige naar autoriteprotectiondonnees.be.

Wat verandert er in 2026

Drie ontwikkelingen maken 2026 anders dan voorgaande jaren.

Het CJEU Mousse-arrest (C-394/23) eist dat je het specifieke gerechtvaardigde belang benoemt. Zonder die specificatie verlies je de grondslag. Dit raakt elke Belgische website die analytics, beveiligingsmaatregelen of chatwidgets op gerechtvaardigd belang baseert.

Het EDPB Coordinated Enforcement Framework 2026 heeft transparantie als thema. Vijfentwintig Europese toezichthouders, inclusief de GBA, controleren of privacyverklaringen voldoen aan artikel 12 tot en met 14 AVG. De kans op een audit stijgt.

Vanaf 2 augustus 2026 geldt artikel 50 van de AI Act. Gebruik je een AI-chatbot op je website? Dan moet je bezoekers informeren dat ze met een AI-systeem communiceren.

Handhaving in de praktijk

<div className="not-prose grid gap-4 md:grid-cols-2 my-6"> <div className="border border-slate-300 rounded-lg p-4 bg-white"> <svg viewBox="0 0 48 48" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="GBA boete-icoon" className="w-10 h-10 mb-2"> <title>GBA-handhaving</title> <rect x="6" y="14" width="36" height="26" rx="3" fill="#fee2e2" stroke="#dc2626" strokeWidth="2" /> <line x1="6" y1="22" x2="42" y2="22" stroke="#dc2626" strokeWidth="2" /> <text x="24" y="34" textAnchor="middle" fontSize="11" fontFamily="system-ui" fontWeight="bold" fill="#7f1d1d">EUR</text> </svg> <p className="text-sm font-semibold text-slate-900 mb-1">Black Tiger Belgium</p> <dl className="text-sm text-slate-700 space-y-1"> <div><dt className="inline font-medium">Datum: </dt><dd className="inline">16 januari 2024</dd></div> <div><dt className="inline font-medium">Regulator: </dt><dd className="inline">GBA Geschillenkamer</dd></div> <div><dt className="inline font-medium">Sanctie: </dt><dd className="inline">174.640 euro</dd></div> <div><dt className="inline font-medium">Les: </dt><dd className="inline">Transparantie is een kernvereiste, ook voor databrokers.</dd></div> </dl> <p className="text-xs mt-2"><a href="https://www.gegevensbeschermingsautoriteit.be/burger/gba-sanctioneert-gegevensbeheerder-black-tiger-belgium-wegens-gebrek-aan-transparantie">Bron: GBA</a></p> </div> <div className="border border-slate-300 rounded-lg p-4 bg-white"> <svg viewBox="0 0 48 48" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="HvJEU-arrest icoon" className="w-10 h-10 mb-2"> <title>HvJEU-arrest</title> <path d="M8 38 L24 8 L40 38 Z" fill="#dbeafe" stroke="#1d4ed8" strokeWidth="2" /> <line x1="16" y1="38" x2="32" y2="38" stroke="#1d4ed8" strokeWidth="2" /> <text x="24" y="32" textAnchor="middle" fontSize="9" fontFamily="system-ui" fontWeight="bold" fill="#1e3a8a">EU</text> </svg> <p className="text-sm font-semibold text-slate-900 mb-1">Mousse, C-394/23</p> <dl className="text-sm text-slate-700 space-y-1"> <div><dt className="inline font-medium">Datum: </dt><dd className="inline">9 januari 2025</dd></div> <div><dt className="inline font-medium">Regulator: </dt><dd className="inline">Hof van Justitie EU</dd></div> <div><dt className="inline font-medium">Sanctie: </dt><dd className="inline">Verlies van grondslag</dd></div> <div><dt className="inline font-medium">Les: </dt><dd className="inline">Benoem het concrete gerechtvaardigde belang in je verklaring.</dd></div> </dl> <p className="text-xs mt-2"><a href="https://curia.europa.eu/juris/document/document.jsf?docid=293818&doclang=NL">Bron: HvJEU</a></p> </div> </div>

Voor KMO's begint handhaving bijna altijd met een waarschuwing en een hersteltermijn. De GBA stuurt een compliance-order met een termijn van doorgaans 3 tot 6 maanden. Boetes komen pas bij weigering of herhaling. De realistische blootstelling voor een KMO is een compliance-traject, niet een miljoenenboete.

Het grotere risico is het verlies van juridische bescherming. Zonder volledige privacyverklaring kan een klant je grondslag aanvechten. Geen verklaring, geen bescherming.

Hoe TrustYourWebsite dit controleert

Onze scanner detecteert drie technische signalen. We checken of er een privacyverklaring-link in de footer aanwezig is, of die op elke pagina bereikbaar is en of de tekst minimumvereiste elementen bevat. Denk aan grondslagen, bewaartermijnen, rechten en klachtmogelijkheid.

Scannerbevindingen zijn technische signalen, geen juridische verdicts. Ze wijzen op transparantie-gaten, niet op juridische overtredingen.

Een privacyverklaring is handhavingsoppervlak

Het Mousse-arrest heeft de privacyverklaring veranderd van formaliteit naar de plek waar je grondslag staat of valt. Als je gerechtvaardigd belang claimt maar het belang niet benoemt, verlies je de grondslag. De privacyverklaring is daarmee het document waar de GBA als eerste naar kijkt bij een onderzoek.

De 14 onderdelen hierboven kosten een middag werk. Die middag voorkomt een maandenlang GBA-traject. En als je website zich op beide taalgemeenschappen richt, doe het dan ook in beide talen.

Bronnen

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.

Deel dit artikel

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Gratis scan starten