Een GDPR-checklist voor uw Belgische website.

A GDPR checklist for your Belgian website.

Een praktische gids over wat de Belgische wet werkelijk verwacht van een ondernemerswebsite. We lazen de Algemene Verordening Gegevensbescherming, de Belgische ePrivacy-wet en de meest recente richtlijnen van de Gegevensbeschermingsautoriteit, en zetten alles om in één leesbare checklist die u dit weekend nog kunt afvinken. Leestijd ongeveer twintig minuten.

A practical guide on what Belgian law actually expects from a business website. We read the GDPR, the Belgian ePrivacy law and the most recent guidance from the Belgian Data Protection Authority, and turned it all into one readable checklist a Belgian entrepreneur can tick off in a single evening. Roughly twenty minutes to read.

Auteur Author The VALE team
Status Status Gepubliceerd Published
Onderwerp Topic AVG, ePrivacy, cookies, GBA GDPR, ePrivacy, cookies, Belgian DPA
Verschenen Published on Mei 2026 May 2026

De regels zijn duidelijk. De praktijk minder.

The rules are clear. The practice less so.

De meeste Belgische bedrijfswebsites zijn niet volledig GDPR-conform. Niet uit kwade wil, maar omdat een praktische vertaling van de regelgeving zeldzaam genoeg is dat ondernemers er nooit aan toekomen. De wettekst is lang, de adviesblogs zijn algemeen, en het stuk dat zegt "doe dit, niet dat, voor uw eigen kleine site" ontbreekt meestal.

Dit artikel is onze poging om die vertaling te schrijven. We baseren ons op de AVG (Verordening (EU) 2016/679), de Belgische wet van 30 juli 2018 betreffende de bescherming van persoonsgegevens, de ePrivacy-richtlijn zoals omgezet in artikel 129 van de Belgische wet op de elektronische communicatie, en de meest recente aanbevelingen en sanctiebeslissingen van de Gegevensbeschermingsautoriteit (GBA / APD).

Het doel is geen juridisch advies. Het doel is een leesbare lijst van dingen die elke Belgische ondernemer met een website binnen één avond kan controleren en, waar nodig, in orde brengen. Aan het einde van het stuk staan alle bronnen die we gebruikt hebben, zodat u zelf verder kunt lezen waar nodig.

Most Belgian business websites are not fully GDPR-compliant. Not out of bad intent, but because a practical translation of the regulation is rare enough that entrepreneurs never get around to it. The legal text is long, the advice blogs are generic, and the piece that says "do this, not that, for your own small site" is usually missing.

This article is our attempt at writing that translation. We pull from the GDPR (Regulation (EU) 2016/679), the Belgian act of 30 July 2018 on the protection of natural persons with regard to the processing of personal data, the ePrivacy directive as transposed in article 129 of the Belgian Electronic Communications Act, and the most recent recommendations and sanction decisions of the Belgian Data Protection Authority (Gegevensbeschermingsautoriteit / GBA).

The goal is not legal advice. The goal is a readable list of things every Belgian entrepreneur with a website can check, and where needed fix, in a single evening. Every source we drew from is collected at the bottom of the article, so you can read further wherever you want.

Welke persoonsgegevens uw website verzamelt zonder dat u het weet.

The personal data your website collects without you noticing.

Het is goed om te beginnen met wat de wet eigenlijk een persoonsgegeven noemt. Artikel 4(1) van de AVG definieert het als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Belangrijk: een IP-adres telt mee. Zo oordeelde het Europees Hof van Justitie in Breyer (C-582/14, 2016), en zo bevestigde de Duitse rechter het opnieuw toen Google Fonts in januari 2022 een boete kostte aan een websitebeheerder die het lettertype rechtstreeks bij Google ophaalde en daarmee elk IP-adres van zijn bezoekers naar Mountain View doorstuurde.

Praktisch betekent dit dat uw site al persoonsgegevens verwerkt vóór een bezoeker iets invult. De gebruikelijke bronnen, in volgorde van hoe vaak we ze in audits over het hoofd zien:

  • Servertoegangslogs. Bijna elke hostingomgeving logt IP-adres, tijdstip, opgevraagde URL en user-agent. Dat is een verwerking. U heeft er een grondslag voor nodig (meestal artikel 6(1)(f) AVG, gerechtvaardigd belang voor beveiliging) en u moet er in uw privacyverklaring iets over zeggen.
  • Contactformulieren. Naam, e-mail, telefoonnummer en het bericht zelf. De inhoud van het bericht kan, afhankelijk van wat iemand schrijft, ook bijzondere persoonsgegevens bevatten: gezondheidsinfo bijvoorbeeld als u een fysiotherapeut bent.
  • Embedded scripts. YouTube-embeds, Google Maps, Calendly, Mailchimp formulieren, Vimeo, sociale media-feeds. Elk daarvan stuurt het IP-adres van uw bezoeker naar een derde partij, vaak voordat de gebruiker een knop heeft aangeraakt.
  • Externe lettertypen. Google Fonts opgehaald via fonts.googleapis.com is hetzelfde verhaal. De fix is letterlijk vijf minuten werk: download het lettertype, host het bij uzelf.
  • Analytics. Google Analytics, Hotjar, Microsoft Clarity. Elk daarvan plaatst cookies en stuurt gedragsdata door. Hier zit u meteen in het ePrivacy-regime, niet alleen in de AVG.
  • Pixel-tags en remarketing. Meta Pixel, LinkedIn Insight Tag, TikTok Pixel. Onder dezelfde regels als analytics, met als bijkomende complicatie dat het doel reclame is en de doorgifte vrijwel altijd buiten de EER gaat.

De oefening voor uw avondje werk is eenvoudig: open uw site in een privévenster, druk F12, klik op het tabblad Network en herlaad. Elke regel die u daar ziet met een domeinnaam die niet uw eigen domein is, is een derde partij die iets ontvangt over uw bezoeker. Schrijf ze op. Dat lijstje is de feitelijke startsituatie van uw GDPR-werk.

Worth starting with what the law actually calls personal data. Article 4(1) of the GDPR defines it as any information relating to an identified or identifiable natural person. Importantly, an IP address counts. The European Court of Justice settled that in Breyer (C-582/14, 2016), and a German regional court reaffirmed it in January 2022 when Google Fonts cost a website operator damages for piping every visitor's IP address straight to Mountain View by calling the font directly from Google.

The practical consequence is that your site is processing personal data before a visitor fills in anything. The usual sources, ranked by how often we miss them in audits:

  • Server access logs. Almost every hosting environment logs the IP, the timestamp, the URL requested and the user agent. That is a processing activity. You need a lawful basis for it (usually Article 6(1)(f) GDPR, legitimate interest in security) and you need to say something about it in your privacy notice.
  • Contact forms. Name, email, phone and the message itself. Depending on what the visitor writes, the body of the message can also contain special category data: health information, for example, if you are a physio.
  • Embedded scripts. YouTube embeds, Google Maps, Calendly, Mailchimp forms, Vimeo, social feeds. Each of these sends your visitor's IP to a third party, often before the user has touched a button.
  • External fonts. Google Fonts loaded through fonts.googleapis.com is the same story. The fix is five minutes of work: download the font, host it locally.
  • Analytics. Google Analytics, Hotjar, Microsoft Clarity. Each of these drops cookies and pipes behavioural data out. Here you immediately land in the ePrivacy regime as well as the GDPR.
  • Pixel tags and remarketing. Meta Pixel, LinkedIn Insight Tag, TikTok Pixel. Same rules as analytics, with the added complication that the purpose is advertising and the transfer is almost always outside the EEA.

The exercise for your evening is simple: open your site in a private window, hit F12, open the Network tab and reload. Every row that shows a domain that is not your own is a third party receiving something about your visitor. Write them all down. That list is the real starting point for your GDPR work.

Wat een echte privacyverklaring bevat.

What a real privacy notice contains.

De privacyverklaring is het meest zichtbare GDPR-element van een website en, in onze ervaring, ook het element dat het vaakst slecht gedaan wordt. Vaak is het een gekopieerde tekst van een sjabloonsite, met velden die niet zijn ingevuld of die helemaal niet kloppen voor de eigenlijke werking van de site.

Artikel 13 AVG schrijft heel precies voor welke informatie u moet geven op het moment dat u persoonsgegevens verzamelt. De minimumlijst:

  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke, dus de echte naam, het maatschappelijk adres en een werkend contactkanaal van uw onderneming.
  • Contactgegevens van de functionaris voor gegevensbescherming (DPO), wanneer u er een moet aanstellen. Voor de meeste Belgische KMO's is dat niet verplicht, maar als u veel gevoelige gegevens verwerkt wel.
  • De verwerkingsdoeleinden en de rechtsgrond. Dus niet alleen "wij verzamelen uw gegevens", maar "wij verzamelen uw naam en e-mail om uw offerte-aanvraag te beantwoorden, op basis van onze precontractuele relatie, artikel 6(1)(b) AVG".
  • Indien u zich baseert op gerechtvaardigd belang (artikel 6(1)(f)): welk belang dat precies is.
  • De ontvangers of categorieën van ontvangers. Uw hosting provider, uw mailinglijsttool, uw boekhoudpakket. Geen vaag "derden waar nodig".
  • Of u gegevens doorgeeft buiten de EER en, zo ja, op welke juridische basis (adequaatheidsbesluit, modelcontractbepalingen, enz.).
  • De bewaartermijn, of, als die niet vast te leggen is, de criteria om die termijn te bepalen.
  • De rechten van de betrokkene: inzage, rectificatie, verwijdering, beperking, bezwaar, dataportabiliteit, en het recht om een klacht in te dienen bij de GBA.
  • Of het verstrekken van de gegevens wettelijk of contractueel verplicht is, en de gevolgen wanneer iemand ze niet verstrekt.
  • Het bestaan van geautomatiseerde besluitvorming, inclusief profilering, indien van toepassing.

De GBA heeft in haar recente beslissingen meerdere keren bekritiseerd dat verklaringen technisch alle onderdelen bevatten maar in een taal die geen gewone bezoeker begrijpt. Schrijf het in normaal Nederlands. Een privacyverklaring van vijf duidelijke alinea's is wettelijk beter dan een onleesbare tekst van zeven pagina's.

Een laatste verplicht element wordt vaak vergeten: de verklaring moet bereikbaar zijn op het moment dat de gegevens worden verzameld. Een link in de footer is goed; een link onmiddellijk onder elk contactformulier is beter.

The privacy notice is the most visible GDPR element of a website and, in our experience, also the most badly done. Often it is a copied paste from a template site with fields that have not been filled in or that do not reflect what the site actually does.

Article 13 GDPR spells out exactly what information you must give at the moment personal data is collected. The minimum list:

  • The identity and contact details of the controller, meaning the real name, the registered address and a working contact channel for your company.
  • The contact details of the data protection officer (DPO), where you have to appoint one. For most Belgian SMEs this is not mandatory, but it is if you process significant amounts of sensitive data.
  • The purposes of processing and the legal basis. So not just "we collect your data", but "we collect your name and email to respond to your quote request, on the basis of our pre-contractual relationship, Article 6(1)(b) GDPR".
  • If you rely on legitimate interest (Article 6(1)(f)): the specific interest you are pursuing.
  • The recipients or categories of recipients. Your hosting provider, your mailing list tool, your accounting software. Not a vague "third parties where necessary".
  • Whether you transfer data outside the EEA, and if so, on which legal basis (adequacy decision, standard contractual clauses, etc.).
  • The retention period, or, if it cannot be set, the criteria you use to determine it.
  • The data subject rights: access, rectification, erasure, restriction, objection, portability, and the right to lodge a complaint with the Belgian DPA.
  • Whether providing the data is a statutory or contractual requirement, and what happens if a person does not provide it.
  • The existence of automated decision-making, including profiling, where applicable.

The Belgian DPA has criticised in several recent decisions that notices technically include every required element but in language no ordinary visitor understands. Write it in plain Dutch or English. A privacy notice of five clear paragraphs is legally better than an unreadable seven-page text.

One final mandatory element gets forgotten a lot: the notice must be reachable at the moment data is collected. A footer link is fine; a link immediately under each contact form is better.

Cookies en de Belgische ePrivacy-wet.

Cookies and the Belgian ePrivacy law.

Cookies zitten in een eigen wettelijk regime: artikel 5(3) van de ePrivacy-richtlijn, in België omgezet via artikel 129 van de wet op de elektronische communicatie. De regel is eenvoudig: voor elke cookie of vergelijkbare technologie die niet strikt noodzakelijk is voor een door de gebruiker uitdrukkelijk gevraagde dienst, heeft u voorafgaande, geïnformeerde, vrije, specifieke en ondubbelzinnige toestemming nodig.

"Strikt noodzakelijk" is een smaller begrip dan veel ondernemers denken. Een winkelmandje voor uw webshop is strikt noodzakelijk. Een sessie-cookie die uw bezoeker ingelogd houdt, is strikt noodzakelijk. Een analytics-cookie van Google Analytics is dat niet, ook al voelt het voor u nuttig. Een Meta Pixel is dat ook niet.

De praktische gevolgen voor uw cookiebanner, op basis van de meest recente beslissingen van de GBA in 2024 (Mediahuis, RTL België, en de zaken 37/2024 en 38/2024 over de persgroepen):

  • Een "Alles weigeren"-knop staat op de eerste laag. Dezelfde laag als "Alles aanvaarden", met dezelfde grootte en hetzelfde contrast. Geen verstopte link onderaan, geen lichtgrijze tekst op een witte achtergrond. De GBA noemt dit type ontwerp uitdrukkelijk "deceptive design".
  • Geen vooraf aangevinkte vakjes. Het Hof van Justitie heeft dit al in 2019 in Planet49 (C-673/17) duidelijk gemaakt: toestemming moet een actieve handeling zijn.
  • Cookies plaatsen pas na toestemming. Niet vóór. Veel banners laten al een hele waslijst aan trackers vuren bij paginabezoek en wachten dan op "ja". Dat is geen voorafgaande toestemming.
  • Cookiewall is verboden. U mag de toegang tot de site niet weigeren aan iemand die de cookies weigert. Een betalend abonnement als alternatief (zogenaamde "pay or okay"-modellen) is door de Europese Toezichthouder uitdrukkelijk in twijfel getrokken in haar advies van april 2024.
  • Toestemming intrekken even makkelijk als geven. Een blijvend, zichtbaar mechanisme om de keuze later aan te passen. Een verstopt linkje in de footer met de tekst "cookie-voorkeuren" is in de praktijk acceptabel, mits het echt werkt en de banner echt opnieuw opent.
  • Per categorie of per cookie, niet één globale knop. De gebruiker moet kunnen kiezen tussen functionele, analytische en marketingcookies. Eén knop "aanpassen" die naar een pagina vol uitgevinkte vakjes leidt is acceptabel.

In de Mediahuis-beslissing (113/2024) heeft de GBA bevolen om de banners van De Standaard, Het Nieuwsblad, Het Belang van Limburg en Gazet van Antwerpen binnen 45 dagen aan te passen, op straffe van 25.000 euro per dag per website bij niet-naleving. Het Marktenhof heeft die specifieke beslissing in maart 2025 vernietigd op procedurele gronden (de klagende partij, een stagiair bij privacy-NGO noyb, werd niet als rechtstreeks getroffen betrokkene aanvaard) en het dossier teruggestuurd naar de GBA. De onderliggende inhoudelijke principes (geen dark patterns, "Alles weigeren" op gelijke voet) blijven echter de norm, en de RTL-zaak (131/2024) volgt dezelfde lijn. Dit zijn geen marginale boetes voor marginale spelers.

Een laatste praktisch puntje: u heeft naast de banner ook een echte cookiebeleidspagina nodig die per cookie de naam, het doel en de bewaartermijn beschrijft. Een banner zonder achterliggend beleid voldoet niet aan de transparantieplicht van artikel 13 AVG.

Cookies sit in their own legal regime: Article 5(3) of the ePrivacy directive, transposed in Belgium through Article 129 of the Electronic Communications Act. The rule is simple: for every cookie or similar technology that is not strictly necessary for a service the user explicitly requested, you need prior, informed, freely given, specific and unambiguous consent.

"Strictly necessary" is narrower than most entrepreneurs assume. A shopping cart on your webshop is strictly necessary. A session cookie that keeps your visitor logged in is strictly necessary. A Google Analytics cookie is not, however useful you find it. A Meta Pixel is not either.

The practical consequences for your cookie banner, based on the Belgian DPA's most recent 2024 decisions (Mediahuis, RTL Belgium, and the press group cases 37/2024 and 38/2024):

  • A "Reject all" button on the first layer. The same layer as "Accept all", the same size, the same contrast. Not a hidden link at the bottom, not light grey text on a white background. The DPA explicitly calls this type of design "deceptive design".
  • No pre-ticked boxes. The Court of Justice already settled this in 2019 in Planet49 (C-673/17): consent must be an active act.
  • Cookies only drop after consent. Not before. Many banners already fire a full stack of trackers on page load and then wait for "yes". That is not prior consent.
  • A cookie wall is forbidden. You cannot deny access to the site to someone who refuses cookies. A paid subscription as alternative (so-called "pay or okay" models) was explicitly questioned by the European Data Protection Board in its opinion of April 2024.
  • Withdrawing consent must be as easy as giving it. A persistent, visible mechanism to change the choice later. A discreet link in the footer reading "cookie preferences" is acceptable in practice, as long as it really works and really reopens the banner.
  • Per category or per cookie, not one global button. The user must be able to choose between functional, analytical and marketing cookies. One "customise" button leading to a page of unticked checkboxes is acceptable.

In the Mediahuis decision (113/2024) the Belgian DPA ordered the banners of De Standaard, Het Nieuwsblad, Het Belang van Limburg and Gazet van Antwerpen to be revised within 45 days, with a fine of EUR 25,000 per day per website for non-compliance. The Brussels Market Court annulled that specific decision in March 2025 on procedural grounds (the complainant, an intern at the privacy NGO noyb, was not accepted as a directly affected data subject) and sent the file back to the DPA. The underlying substantive principles (no dark patterns, "Reject all" at equal prominence) remain the standard, however, and the RTL case (131/2024) follows the same line. These are not marginal fines for marginal players.

One final practical point: alongside the banner you also need a real cookie policy page that lists, per cookie, the name, purpose and retention period. A banner without an underlying policy fails the transparency obligation in Article 13 GDPR.

Verwerkers en doorgiftes buiten de EER.

Processors and transfers outside the EEA.

Elke leverancier die in uw plaats persoonsgegevens verwerkt, is in de woorden van de AVG een verwerker. Uw hosting provider, uw mailingplatform, uw boekhoudpakket, uw CRM, uw afsprakentool. Met elk van die partijen heeft u onder artikel 28 AVG een schriftelijke verwerkersovereenkomst nodig.

Dat hoeft geen advocatencontract te zijn. De meeste serieuze SaaS-providers (Google Workspace, Microsoft 365, Mailchimp, HubSpot, Teamleader) hebben een standaard Data Processing Addendum dat u eenmalig aanvaardt. Het bevat per definitie de verplichte elementen uit artikel 28(3): verwerking enkel op gedocumenteerde instructie, vertrouwelijkheid, beveiligingsmaatregelen, regels rond sub-verwerkers, hulp bij verzoeken van betrokkenen, hulp bij meldplichten, teruggave of verwijdering aan het einde, en het recht op audit.

Aanvinken is niet het werk. Een lijst opmaken is het werk. We raden klanten aan om één tabblad in een spreadsheet bij te houden met daarop: leverancier, dienst, type gegevens, of er een verwerkersovereenkomst is, en waar die te vinden is. Dat is op zichzelf geen wettelijke vereiste, maar het maakt het register van verwerkingsactiviteiten (verplicht onder artikel 30 AVG voor bedrijven boven 250 werknemers, of bij structurele verwerking voor kleinere bedrijven) onmiddellijk haalbaar.

De moeilijke kant zit in de internationale doorgiftes. Wanneer een verwerker buiten de Europese Economische Ruimte zit (typisch in de Verenigde Staten) heeft u een extra grondslag nodig. Sinds de uitspraak van het Hof van Justitie in Schrems II (2020) is dat een actief vraagstuk geworden. De situatie eind 2025:

  • EU-US Data Privacy Framework. Sinds 10 juli 2023 is er een adequaatheidsbesluit voor de Verenigde Staten, mits het ontvangende bedrijf is gecertificeerd onder het DPF. U kunt dat opzoeken op dataprivacyframework.gov. Het besluit overleefde in september 2025 zijn eerste juridische uitdaging voor het Gerecht van de EU, maar een tweede Schrems-zaak (Schrems III) is bij het Hof van Justitie in voorbereiding.
  • Modelcontractbepalingen (SCC's). Als de verwerker niet onder het DPF gecertificeerd is, vallen de meeste bedrijven terug op de modelcontractbepalingen van de Europese Commissie in haar uitvoeringsbesluit van juni 2021.
  • Transfer Impact Assessment. Schrems II vereist dat u niet alleen de SCC's tekent, maar ook documenteert dat ze in de praktijk equivalent zijn. Een korte interne nota volstaat voor de meeste KMO-situaties.

De vraag die de meeste Belgische ondernemers ons stellen is concreet en eerlijk: moet ik mijn Mailchimp dan opzeggen? Het korte antwoord is nee, op voorwaarde dat Mailchimp DPF-gecertificeerd is (dat zijn ze, via hun moederbedrijf Intuit), u hun DPA aanvaardt en u in uw eigen privacyverklaring uitlegt dat u doorgeeft op basis van het adequaatheidsbesluit. Hetzelfde geldt voor Calendly, HubSpot, Stripe en de meeste grote tools die u gebruikt. Voor kleinere of nieuwere Amerikaanse tools is een controle de moeite waard.

Every supplier that processes personal data on your behalf is, in GDPR language, a processor. Your hosting provider, your mailing platform, your accounting software, your CRM, your scheduling tool. Under Article 28 GDPR you need a written processor agreement with each of them.

This does not have to be a custom lawyer's contract. Most serious SaaS providers (Google Workspace, Microsoft 365, Mailchimp, HubSpot, Teamleader) publish a standard Data Processing Addendum you accept once. By design it contains the required elements of Article 28(3): processing only on documented instructions, confidentiality, security measures, rules on sub-processors, help with data subject requests, help with notification duties, return or deletion at the end, and the right to audit.

Ticking the box is not the work. Keeping a list is the work. We recommend our clients maintain one spreadsheet tab with: supplier, service, type of data, whether a DPA exists, and where it is. That is not itself a legal requirement, but it makes the record of processing activities (mandatory under Article 30 GDPR for organisations of 250 employees or more, or where processing is structural for smaller ones) immediately doable.

The harder side is international transfers. When a processor sits outside the European Economic Area (typically in the United States) you need an additional ground. Since the Court of Justice ruling in Schrems II (2020) this has become a live question. As of late 2025:

  • EU-US Data Privacy Framework. Since 10 July 2023 there is an adequacy decision for the United States, provided the receiving company is certified under the DPF. You can check this on dataprivacyframework.gov. The decision survived its first legal challenge in the EU General Court in September 2025, but a second Schrems case (Schrems III) is being prepared before the Court of Justice.
  • Standard Contractual Clauses (SCCs). If the processor is not DPF-certified, most companies fall back to the European Commission's SCCs in its implementing decision of June 2021.
  • Transfer Impact Assessment. Schrems II requires that you do not just sign the SCCs but also document that they are equivalent in practice. A short internal memo is enough for most SME situations.

The honest question most Belgian entrepreneurs ask us is concrete: do I have to drop Mailchimp? The short answer is no, provided Mailchimp is DPF-certified (it is, through its parent Intuit), you accept their DPA, and your own privacy notice explains that you transfer on the basis of the adequacy decision. The same goes for Calendly, HubSpot, Stripe and most of the large tools you use. For smaller or newer US tools it is worth a check.

Recht op inzage, rechtzetting en verwijdering.

The rights of access, rectification and erasure.

De AVG geeft elke persoon over wie u gegevens verwerkt een reeks rechten: inzage (artikel 15), rechtzetting (16), verwijdering (17), beperking (18), dataportabiliteit (20) en bezwaar (21). Voor de meeste Belgische KMO's komt dit in de praktijk neer op drie vragen die ze van tijd tot tijd krijgen: "welke gegevens hebt u over mij", "kunt u dit corrigeren" en "kunt u mij volledig verwijderen".

U heeft daar geen gespecialiseerde tooling voor nodig. Wat u wel nodig heeft is:

  • Een werkend e-mailadres voor verzoeken. Liefst iets als privacy@uwbedrijf.be. Dat hoeft niet bemand te zijn buiten kantooruren; het moet alleen tijdig gelezen worden.
  • Een termijn van één maand. Artikel 12(3) AVG: u moet binnen één maand antwoorden, met een mogelijke verlenging van twee bijkomende maanden voor complexe verzoeken, mits gemotiveerd.
  • Identiteitsverificatie zonder overdrijving. U mag bewijs van identiteit vragen, maar niet meer informatie dan u al heeft. Iemand vragen om een kopie van hun identiteitskaart wanneer u alleen een e-mailadres hebt, is disproportioneel.
  • Een interne lijst van plaatsen waar de gegevens staan. Hosting, e-mail, CRM, boekhouding, mailing tool. Dezelfde lijst die uit het verwerkersregister komt.
  • Een sjabloon antwoordmail. Drie of vier zinnen die de gevraagde informatie netjes opsommen, of die bevestigen dat de gegevens verwijderd zijn.

Het recht op verwijdering kent een belangrijke beperking: het geldt niet wanneer er een andere wettelijke verplichting is om de gegevens te bewaren. Voor Belgische ondernemers is dat vooral relevant voor de boekhoudkundige bewaartermijn van zeven jaar voor facturen en de boekhouding. Wanneer een klant vraagt om "volledig verwijderd" te worden, kunt u de marketingdata wissen maar moet u de facturatiegegevens behouden tot de wettelijke termijn verstreken is. Die nuance hoort in uw antwoord te staan.

The GDPR gives every person whose data you process a set of rights: access (Article 15), rectification (16), erasure (17), restriction (18), data portability (20) and objection (21). For most Belgian SMEs this comes down in practice to three questions they get from time to time: "what data do you have on me", "can you correct this" and "can you fully delete me".

You do not need specialised tooling for this. What you do need:

  • A working email address for requests. Preferably something like privacy@yourcompany.be. It does not need to be staffed outside office hours; it just needs to be read in time.
  • A one-month response window. Article 12(3) GDPR: you must respond within one month, with a possible extension of two further months for complex requests, provided you justify it.
  • Identity verification without excess. You may ask for proof of identity, but no more information than you already hold. Asking for a copy of someone's ID card when you only have their email is disproportionate.
  • An internal map of where the data sits. Hosting, email, CRM, accounting, mailing tool. The same list that comes out of your processor register.
  • A template response email. Three or four lines that neatly summarise the requested information, or confirm that the data has been deleted.

The right to erasure has an important limit: it does not apply where another legal obligation requires you to keep the data. For Belgian entrepreneurs this is mostly relevant for the seven-year accounting retention period for invoices and bookkeeping. When a customer asks to be "fully deleted", you can wipe the marketing data but you must keep the invoicing records until the statutory period expires. That nuance belongs in your response.

De boetestructuur en de praktijk.

The fine structure and the reality.

De AVG voorziet boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, naargelang welk bedrag hoger is. Dat is het maximum. De praktijk in België is een ander verhaal en de moeite om kort te bekijken.

Uit het jaarverslag 2024 van de Gegevensbeschermingsautoriteit:

  • Totaal opgelegde boetes in 2024: 708.371 euro, verspreid over 173 beslissingen van de Geschillenkamer. Ter vergelijking: in 2023 was dat 80.000 euro voor 171 beslissingen.
  • 1.455 meldingen van datalekken in 2024, een stijging van 12% ten opzichte van 2023. Bijna vier per dag.
  • 40% van die incidenten had menselijke fouten als oorzaak. Verkeerd geadresseerde e-mails, verloren USB-sticks, paswoorden in een spreadsheet.
  • Slechts één van de 173 beslissingen ging eigenlijk over een datalek. De overgrote meerderheid gaat over transparantie, toestemming en cookiebanners.

Wat opvalt aan dit cijferbeeld is hoe ver de gemiddelde boete weg blijft van de "miljoenen euro's" die de pers graag aanhaalt. De meeste GBA-boetes voor KMO's liggen tussen de 1.500 en 25.000 euro. De boete van een paar honderdduizend euro die we wel zagen in 2024 (Mediahuis) ging over een grote mediagroep met miljoenen bezoekers en een cookiebanner die door de toezichthouder als doelbewust misleidend werd gekwalificeerd.

De praktische conclusie voor een kleine ondernemer: het echte risico is niet een spectaculaire boete, maar een klacht van een misnoegde voormalige klant, een ex-werknemer of een concurrent. De GBA opent een onderzoek, vraagt om documentatie, en wanneer u geen privacyverklaring, geen verwerkersovereenkomst en geen cookiebanner kunt voorleggen, eindigt dat met een berisping en een formele verplichting om binnen X dagen orde te scheppen. Een paar uur werk vandaag voorkomt veel uren werk later.

The GDPR provides for fines up to 20 million euros or 4% of global annual turnover, whichever is higher. That is the cap. Belgian practice is a different story and worth a brief look.

From the 2024 annual report of the Belgian DPA:

  • Total fines imposed in 2024: EUR 708,371, across 173 decisions of the Litigation Chamber. For context, in 2023 the total was EUR 80,000 across 171 decisions.
  • 1,455 data breach notifications in 2024, up 12% on 2023. Nearly four per day.
  • 40% of those incidents were caused by human error. Mis-addressed emails, lost USB sticks, passwords in a spreadsheet.
  • Only one of the 173 decisions actually concerned a data breach. The overwhelming majority concerned transparency, consent and cookie banners.

What stands out is how far the average fine sits from the "millions of euros" the press likes to cite. Most Belgian DPA fines against SMEs fall between EUR 1,500 and EUR 25,000. The few hundred thousand euros we did see in 2024 (Mediahuis) involved a large media group with millions of visitors and a cookie banner the regulator qualified as deliberately deceptive.

The practical takeaway for a small entrepreneur: the real risk is not a spectacular fine, it is a complaint from an unhappy ex-customer, an ex-employee or a competitor. The DPA opens an investigation, asks for documentation, and when you cannot produce a privacy notice, a processor agreement and a cookie banner, the outcome is a reprimand and a formal order to fix things within X days. A few hours of work today saves a lot of hours of work later.

De vijf meest voorkomende fouten op Belgische sites.

The five most common mistakes on Belgian sites.

Wat hieronder volgt is een geanonimiseerd lijstje van wat we het vaakst zien terugkomen wanneer we een Belgische ondernemerswebsite tegen de checklist leggen. De voorbeelden zijn echt; de namen niet.

  • Een privacyverklaring die naar een ander bedrijf verwijst. Een Brusselse architect waarvan de verklaring nog steeds de naam droeg van het sjabloon-bureau in Antwerpen. De fix: open de verklaring, vervang alle namen, adressen en contactgegevens door uw eigen. Vijftien minuten.
  • Een cookiebanner die niets blokkeert. Een Gentse fysiotherapeut met een mooie banner die "Aanvaarden" en "Weigeren" toonde, maar waarbij Google Analytics en de Meta Pixel onmiddellijk bij paginabezoek werden geladen, ongeacht de keuze. De fix: een echte consent management tool (Cookiebot, Usercentrics, CookieYes, of een open-source variant), correct geconfigureerd zodat scripts pas vuren na "ja".
  • Google Fonts opgehaald via het CDN van Google. Veel WordPress-thema's doen dit standaard. De fix: download het lettertype, plaats het in uw eigen /fonts-map, pas de @font-face-regel in uw CSS aan. Half uur, definitief opgelost.
  • Een contactformulier zonder zichtbare verwijzing naar de privacyverklaring. De wet vereist dat de informatie beschikbaar is op het moment van de gegevensverzameling. Een footerlink is meestal niet voldoende. De fix: één regel tekst onder elk formulier, "Door dit formulier in te dienen aanvaardt u onze [privacyverklaring]", met een werkende link.
  • Bewaartermijnen die niet bestaan. Klantendata van vijftien jaar geleden die nog altijd in het CRM staat omdat niemand ooit een opruimactie heeft gepland. De fix: definieer voor elke categorie gegevens een bewaartermijn, schrijf die in uw verklaring, en plan één keer per jaar een opruiming. Mailchimp en de meeste CRM's hebben filters waarmee u inactieve contacten eenvoudig kunt selecteren en wissen.

What follows is an anonymised list of what we most often see come up when we hold a Belgian business website up to the checklist. The examples are real; the names are not.

  • A privacy notice that points at another company. A Brussels architect whose notice still carried the name of the Antwerp template firm it was copied from. The fix: open the notice, replace every name, address and contact detail with your own. Fifteen minutes.
  • A cookie banner that blocks nothing. A Ghent physio with a slick banner showing "Accept" and "Reject", while Google Analytics and the Meta Pixel were loaded on page view regardless of the choice. The fix: a real consent management tool (Cookiebot, Usercentrics, CookieYes, or an open-source alternative), properly configured so scripts only fire after "yes".
  • Google Fonts loaded through Google's CDN. Many WordPress themes do this by default. The fix: download the font, drop it in your own /fonts folder, adjust the @font-face rule in your CSS. Half an hour, permanently resolved.
  • A contact form without a visible reference to the privacy notice. The law requires the information to be available at the moment of collection. A footer link is usually not enough. The fix: one line of text under each form, "By submitting this form you accept our [privacy notice]", with a working link.
  • Retention periods that do not exist. Customer records from fifteen years ago still sitting in the CRM because nobody ever scheduled a cleanup. The fix: define a retention period for every data category, write it into your notice, and schedule one cleanup a year. Mailchimp and most CRMs have filters that make it easy to select and erase inactive contacts.

BTW en e-commerce als korte bonus.

VAT and e-commerce as a short bonus.

Een aanverwant onderwerp dat we vaak in dezelfde gesprekken aansnijden: BTW voor wie ook online verkoopt. Dit zit niet in de AVG maar in de Belgische BTW-wet en in de Europese BTW e-commerce-richtlijn. We vermelden het hier omdat een webshop die GDPR-conform is maar BTW-technisch verkeerd zit, alsnog een groot risico draagt.

Sinds 1 juli 2021 geldt EU-breed één drempel van 10.000 euro voor B2C-afstandsverkopen aan particulieren in andere EU-lidstaten. Daaronder mag u Belgische BTW blijven aanrekenen en gewoon in België aangeven. Daarboven moet u in principe de BTW aanrekenen van het land van de klant en daar ook afdragen.

Om dat laatste hanteerbaar te houden bestaat de One-Stop Shop (OSS). U registreert zich eenmalig in België, dient één kwartaalaangifte in waarin u per lidstaat de BTW vermeldt, en betaalt alles via de Belgische fiscus. Geen aparte BTW-registratie per land.

Voor Belgische ondernemers die op MyMinfin de OSS-registratie willen doen, is de praktische volgorde: bekijk uw jaarlijkse buitenlandse omzet, registreer wanneer u de drempel nadert, configureer uw webshop om automatisch de juiste BTW-voet toe te passen (Shopify, WooCommerce en de meeste platformen ondersteunen dit native), bewaar de bewijsstukken van het bestemmingsland (twee niet-tegenstrijdige bewijzen: IP-adres, factuuradres, telefoonnummer met landcode, bankgegevens) voor tien jaar.

De gevoeligheid van dit onderwerp komt door de combinatie: BTW-fouten zijn relatief makkelijk vast te stellen door een fiscale controle, en de boetestructuur ligt los van de AVG. Als u online verkoopt aan particulieren in Frankrijk, Nederland of Duitsland, is een correcte OSS-aangifte minstens even belangrijk als een correcte cookiebanner.

A related topic we often raise in the same conversations: VAT for those who also sell online. This is not in the GDPR but in the Belgian VAT code and in the European VAT e-commerce directive. We mention it here because a webshop that is GDPR-compliant but VAT-wrong still carries serious risk.

Since 1 July 2021, an EU-wide threshold of EUR 10,000 applies to B2C distance sales to private individuals in other EU member states. Below it, you can keep charging Belgian VAT and reporting in Belgium. Above it, in principle, you must charge the VAT of the customer's country and remit it there.

To keep that workable there is the One-Stop Shop (OSS). You register once in Belgium, file one quarterly return listing the VAT per member state, and pay everything through the Belgian tax authority. No separate VAT registration per country.

For Belgian entrepreneurs filing the OSS registration via MyMinfin, the practical order is: review your annual foreign turnover, register as you approach the threshold, configure your webshop to automatically apply the right VAT rate (Shopify, WooCommerce and most platforms support this natively), and keep two non-contradictory pieces of evidence of the destination country (IP address, billing address, phone number with country code, bank details) for ten years.

The sensitivity of this topic comes from the combination: VAT mistakes are relatively easy to find in a tax audit, and the penalty structure sits outside the GDPR. If you sell online to private individuals in France, the Netherlands or Germany, a correct OSS return matters at least as much as a correct cookie banner.

Dit weekend afvinken.

To tick off this weekend.

Voor wie alleen de praktische samenvatting wil:

  • Open uw site in een privévenster, open de Network-tab, herlaad, schrijf alle externe domeinen op.
  • Lees uw eigen privacyverklaring opnieuw met artikel 13 AVG erbij. Mis er één element van? Schrijf het bij.
  • Vervang Google Fonts door zelf-gehoste lettertypen.
  • Vervang uw cookiebanner door een echte consent management tool die scripts pas vuurt na "ja", met "Alles weigeren" op de eerste laag.
  • Maak een spreadsheet met al uw verwerkers, controleer of u voor elk een DPA hebt, en noteer welke buiten de EER zitten en op welke grondslag.
  • Zet een werkend privacy-mailadres op en schrijf een sjabloon antwoord voor inzage- en verwijderingsverzoeken.
  • Definieer een bewaartermijn per categorie gegevens en plan één keer per jaar een opruiming.
  • Als u online verkoopt aan EU-particulieren: controleer uw OSS-status en de BTW-configuratie van uw shop.

De gemiddelde lezer doet dit op één lange zaterdag.

For readers who only want the practical summary:

  • Open your site in a private window, open the Network tab, reload, write down every external domain.
  • Read your own privacy notice again next to Article 13 GDPR. Missing an element? Add it.
  • Replace Google Fonts with self-hosted fonts.
  • Replace your cookie banner with a real consent management tool that only fires scripts after "yes", with "Reject all" on the first layer.
  • Build a spreadsheet listing every processor, check you have a DPA for each, note which ones sit outside the EEA and on which basis.
  • Set up a working privacy email address and write a template response for access and erasure requests.
  • Define a retention period per data category and schedule one cleanup a year.
  • If you sell online to EU private individuals: check your OSS status and your shop's VAT configuration.

The average reader does this in one long Saturday.

De teksten die we gelezen hebben.

The texts we drew from.

De integrale wetteksten en officiële bronnen, in dezelfde volgorde als ze in het artikel verschijnen:

The full legal texts and official sources, in the order they appear in the article:

Plan een meeting

Plan a meeting

Wilt u uw site tegen deze checklist laten doorlichten?

Want us to run your site against this checklist?

Een GDPR-doorlichting bij VALE duurt typisch een halve dag. We bekijken uw site tegen de acht punten hierboven, schrijven een kort verslag en geven concrete fixes per punt. Geen juridische factuur, geen jargon. Plan een meeting en we lopen het samen door.

A GDPR audit at VALE typically takes half a day. We hold your site against the eight points above, write a short report and give concrete fixes per point. No legal invoice, no jargon. Plan a meeting and we will walk it through together.

Neem contact op Get in touch