facebook-pixel
L
Lunyb

Gegevensbescherming voor Belgische Bedrijven: Complete Gids 2026

L
Lunyb Beveiligingsteam
··9 min read

Gegevensbescherming is in 2026 geen optionele kostenpost meer, maar een kerntaak voor elk Belgisch bedrijf dat persoonsgegevens verwerkt. Of u nu een eenmanszaak in Gent runt, een KMO in Antwerpen of een groter bedrijf in Brussel: de Algemene Verordening Gegevensbescherming (AVG) en de controle door de Belgische Gegevensbeschermingsautoriteit (GBA) raken u direct. In deze gids leest u welke verplichtingen gelden, hoe u uw organisatie compliant maakt en welke fouten u absoluut moet vermijden.

Wat is gegevensbescherming voor Belgische bedrijven?

Gegevensbescherming is het geheel van juridische, technische en organisatorische maatregelen die bedrijven nemen om persoonsgegevens van klanten, medewerkers en partners te beschermen tegen ongeoorloofde toegang, verlies of misbruik. In België wordt dit voornamelijk geregeld door de AVG (GDPR) en de Belgische Kaderwet van 30 juli 2018, met de Gegevensbeschermingsautoriteit (GBA) als toezichthouder.

Concreet betekent dit dat elk Belgisch bedrijf dat namen, e-mailadressen, telefoonnummers, IP-adressen, betaalgegevens of andere identificeerbare data verwerkt, moet kunnen aantonen hoe en waarom het deze gegevens beheert. Verantwoording (accountability) is het kernprincipe.

Wie valt onder deze regels?

  • Alle ondernemingen met een vestiging in België, ongeacht grootte
  • Buitenlandse bedrijven die producten of diensten aanbieden aan inwoners van België
  • Vrije beroepen (advocaten, artsen, accountants, consultants)
  • VZW's en non-profitorganisaties die ledenadministratie voeren
  • Webshops, ook eenmanszaken zonder personeel

De zes basisprincipes van de AVG

De AVG bouwt op zes principes die elk Belgisch bedrijf moet naleven bij iedere verwerking van persoonsgegevens. Deze principes vormen de juridische ruggengraat van uw privacybeleid.

  1. Rechtmatigheid, behoorlijkheid en transparantie: verwerk gegevens alleen met een geldige rechtsgrond en informeer betrokkenen duidelijk.
  2. Doelbinding: verzamel gegevens voor een welbepaald doel en gebruik ze niet voor iets anders.
  3. Minimale gegevensverwerking: beperk gegevens tot wat strikt nodig is.
  4. Juistheid: houd gegevens accuraat en actueel.
  5. Opslagbeperking: bewaar gegevens niet langer dan noodzakelijk.
  6. Integriteit en vertrouwelijkheid: beveilig gegevens passend tegen verlies of inbreuk.

Concrete verplichtingen voor Belgische bedrijven

Naast de principes legt de AVG een aantal harde verplichtingen op. De omvang verschilt per bedrijf, maar onderstaande lijst geldt voor de meeste Belgische organisaties.

1. Register van verwerkingsactiviteiten

Elke verwerkingsverantwoordelijke moet een intern register bijhouden van wat er met persoonsgegevens gebeurt. Voor bedrijven met meer dan 250 medewerkers is dit altijd verplicht; voor kleinere bedrijven geldt het zodra de verwerking niet incidenteel is, gevoelige gegevens bevat of risico's met zich meebrengt. In de praktijk betekent dit dat vrijwel elk Belgisch bedrijf dit register moet bijhouden.

2. Privacyverklaring op de website

Een actuele, leesbare privacyverklaring is verplicht. Deze moet onder andere bevatten:

  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke
  • Doeleinden en rechtsgrond van de verwerking
  • Categorieën van gegevens en ontvangers
  • Bewaartermijnen
  • Rechten van de betrokkene (inzage, correctie, verwijdering, etc.)
  • Klachtenmogelijkheid bij de GBA

3. Verwerkersovereenkomsten

Werkt u met externe leveranciers die gegevens verwerken (hostingpartij, boekhoudsoftware, e-mailmarketing tool)? Dan is een verwerkersovereenkomst (DPA) wettelijk verplicht. Zonder deze overeenkomst bent u zelf aansprakelijk voor fouten van uw leverancier.

4. Datalekken melden binnen 72 uur

Bij een datalek met risico voor betrokkenen moet u dit binnen 72 uur melden bij de GBA via het officiele meldformulier. Bij hoog risico moet u ook de getroffen personen rechtstreeks informeren. Het niet (tijdig) melden is een van de meest beboete overtredingen in België.

5. Functionaris Gegevensbescherming (DPO)

Een DPO is verplicht voor overheidsinstanties, bedrijven die op grote schaal individuen monitoren, of die op grote schaal bijzondere categorieën gegevens verwerken (zoals gezondheidsdata). Voor andere bedrijven is een DPO niet verplicht, maar wel sterk aanbevolen.

Boetes en handhaving door de GBA

De Belgische Gegevensbeschermingsautoriteit kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. In de praktijk legt de GBA jaarlijks tientallen boetes op aan Belgische bedrijven, vaak voor relatief eenvoudige overtredingen.

Type overtredingTypische boete (KMO)Maximum AVG
Geen privacyverklaring of onvolledig€ 1.000 - € 15.000€ 10 miljoen / 2% omzet
Datalek niet gemeld€ 5.000 - € 50.000€ 10 miljoen / 2% omzet
Direct marketing zonder toestemming€ 2.000 - € 25.000€ 20 miljoen / 4% omzet
Geen verwerkersovereenkomst€ 1.000 - € 20.000€ 10 miljoen / 2% omzet
Cookies zonder geldige toestemming€ 5.000 - € 100.000€ 20 miljoen / 4% omzet

Naast boetes kan de GBA verwerkingen tijdelijk verbieden, wat voor sommige bedrijven nog ingrijpender is dan een financiële sanctie.

Stappenplan: uw bedrijf compliant maken in 10 stappen

Onderstaand stappenplan helpt Belgische bedrijven die nog niet (volledig) AVG-conform zijn om systematisch op orde te komen. Plan ongeveer 4 tot 8 weken voor een eerste volledige doorloop.

  1. Maak een inventaris. Welke persoonsgegevens verwerkt u, waar staan ze, en wie heeft toegang?
  2. Stel het register van verwerkingsactiviteiten op. Gebruik het sjabloon van de GBA als startpunt.
  3. Bepaal voor elke verwerking de rechtsgrond: toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang, vitaal belang of taak van algemeen belang.
  4. Update uw privacyverklaring. Zorg dat deze aansluit op uw werkelijke praktijk.
  5. Sluit verwerkersovereenkomsten met al uw IT-leveranciers, cloud providers en marketingtools.
  6. Beveilig technisch: sterke wachtwoorden, multifactor-authenticatie, encryptie van laptops en back-ups, beperkte toegangsrechten.
  7. Implementeer een cookiebanner met granulaire toestemming en eenvoudig weigeren.
  8. Stel een procedure op voor datalekken en betrokkenenrechten. Wie doet wat, en hoe meldt u binnen 72 uur?
  9. Train uw medewerkers. De meeste datalekken ontstaan door menselijke fouten.
  10. Documenteer alles. Bij een controle moet u kunnen aantonen wat u doet en waarom.

Technische beveiligingsmaatregelen die echt werken

Naast juridische compliance vraagt de AVG om "passende technische en organisatorische maatregelen". Voor Belgische KMO's zijn de volgende maatregelen het belangrijkst en haalbaar binnen redelijk budget.

Basisbeveiliging (minimum)

  • Multifactor-authenticatie op alle zakelijke accounts
  • Wachtwoordmanager voor het hele team
  • Geautomatiseerde software-updates en patch management
  • Versleuteling van harde schijven (BitLocker, FileVault)
  • Regelmatige back-ups, getest op herstel
  • Antivirus en endpoint protection

Gevorderde beveiliging

  • Versleutelde DNS-resolvers en netwerksegmentatie
  • Privacy-gerichte browsers en zakelijke browsing-beleidsregels
  • Loggen en monitoren van toegang tot gevoelige systemen
  • Periodieke pentesten en kwetsbaarheidsscans
  • Veilige link-deelmechanismen bij externe communicatie

Dat laatste punt verdient aandacht. Veel bedrijven sturen documenten en bestanden via lange, onbeveiligde URL's die in mailfilters, logbestanden en chatgeschiedenissen achterblijven. Met een service zoals Lunyb kunt u gecontroleerde, eventueel met wachtwoord beveiligde korte links genereren voor externe communicatie. Zo verkleint u het lekrisico en houdt u zicht op wie wanneer klikt. Lees ook onze handleiding URL verkorten: zo werkt het en Eigen korte links maken.

Specifieke aandachtspunten voor Belgische sectoren

E-commerce en webshops

Voor Belgische webshops zijn cookies en marketingtoestemming de grootste risicogebieden. Sinds 2022 handhaaft de GBA streng op niet-conforme cookiebanners. "Doorgaan = akkoord" is verboden; weigeren moet net zo eenvoudig zijn als accepteren.

HR en personeelszaken

Werkgevers verwerken veel gevoelige gegevens: sollicitatiedossiers, ziekteattesten, evaluaties. Belangrijk: sollicitatiegegevens van afgewezen kandidaten mag u maximaal 2 jaar bewaren met toestemming, anders direct verwijderen. Camerabewaking op de werkvloer vereist een specifieke CAO 68-procedure naast AVG-compliance.

Vrije beroepen

Artsen, advocaten en accountants verwerken vaak bijzondere persoonsgegevens en hebben strengere bewaarplichten vanuit hun eigen wetgeving. De combinatie van beroepsgeheim en AVG vraagt om extra zorgvuldigheid in dossierbeheer en digitale communicatie.

VZW's en verenigingen

Ook VZW's vallen volledig onder de AVG. Ledenadministratie, nieuwsbrieven en foto's op de website zijn de meest voorkomende valkuilen. Vooral het publiceren van foto's van leden (en zeker minderjarigen) vereist expliciete toestemming.

De rechten van betrokkenen kennen en respecteren

Klanten, medewerkers en andere betrokkenen hebben acht concrete rechten onder de AVG. Belgische bedrijven moeten een eenvoudige procedure hebben om deze verzoeken binnen 30 dagen af te handelen.

  • Recht op inzage: welke gegevens heeft u van mij?
  • Recht op rectificatie: correctie van onjuiste gegevens
  • Recht op vergetelheid: verwijdering onder bepaalde voorwaarden
  • Recht op beperking van de verwerking
  • Recht op dataportabiliteit: gegevens in een leesbaar formaat ontvangen
  • Recht van bezwaar tegen verwerking
  • Recht op menselijke tussenkomst bij geautomatiseerde besluitvorming
  • Recht op intrekking van toestemming

In het tijdperk van AI worden vooral de rechten rond geautomatiseerde besluitvorming relevanter. Lees hierover meer in onze gids AI en Privacy: Wat verandert er in 2026.

Veelgemaakte fouten door Belgische bedrijven

Uit GBA-beslissingen en boetes blijkt dat dezelfde fouten telkens terugkomen. Vermijd deze valkuilen:

  1. Privacyverklaring kopiëren van een ander bedrijf zonder aanpassing aan de eigen praktijk
  2. E-mailmarketing zonder bewijs van geldige opt-in
  3. Oude klant- en sollicitatiegegevens "voor de zekerheid" eeuwig bewaren
  4. Geen verwerkersovereenkomst met de boekhouder of IT-leverancier
  5. Cookies die laden voór de toestemming gegeven is
  6. Geen procedure voor inzageverzoeken, waardoor termijnen verlopen
  7. Datalek niet melden uit angst voor reputatieschade (boete wordt meestal hoger dan de schade)
  8. Gevoelige documenten delen via onbeveiligde links of openbare cloudmappen

Voor bedrijven die ook met telefonische fraude of phishing te maken krijgen, is onze gids oplichtingsnummer melden nuttig. Combineer dit met de bredere privacygids voor België 2026.

Trends voor 2026 en daarna

Gegevensbescherming staat niet stil. Belgische bedrijven moeten in 2026 rekening houden met enkele nieuwe ontwikkelingen.

NIS2-richtlijn

De NIS2-richtlijn breidt cybersecurityverplichtingen uit naar veel meer Belgische bedrijven, ook in sectoren als voedselproductie, afvalverwerking en digitale dienstverlening. Compliance vereist een gestructureerd risk management framework.

AI Act

De Europese AI Act stelt extra eisen aan bedrijven die AI-systemen inzetten voor onder andere rekrutering, kredietbeoordeling en monitoring. Combineer dit met AVG-verplichtingen rond geautomatiseerde besluitvorming.

Strengere handhaving cookies en tracking

De GBA en EDPB werken aan strakkere richtlijnen rond consent management en tracking pixels. Verwacht meer audits op cookiebanners en third-party trackers in 2026.

Conclusie

Gegevensbescherming is voor Belgische bedrijven in 2026 een continu proces, geen eenmalig project. Wie de basis op orde heeft (register, privacyverklaring, verwerkersovereenkomsten, beveiliging en interne procedures) loopt nauwelijks risico op forse boetes. Begin klein, documenteer alles, en betrek uw medewerkers actief. Een investering van enkele dagen werk per jaar voorkomt boetes die tot in de tienduizenden euro's kunnen lopen en, belangrijker nog, bouwt vertrouwen op bij uw klanten.

Veelgestelde vragen

Heeft mijn KMO een DPO nodig?

Een DPO is alleen verplicht als u op grote schaal individuen monitort of bijzondere gegevens (gezondheid, religie, biometrie) verwerkt. Voor de meeste Belgische KMO's is een DPO niet verplicht, maar het is wel aan te raden om binnen het bedrijf één verantwoordelijke voor privacy aan te wijzen.

Hoe lang mag ik klantgegevens bewaren?

Er is geen vaste termijn in de AVG; u bepaalt zelf de bewaartermijn op basis van noodzaak. Voor boekhoudkundige documenten geldt de wettelijke termijn van 7 jaar in België. Marketinggegevens van inactieve klanten verwijdert u doorgaans na 2 tot 3 jaar. Belangrijk is dat u de termijn documenteert en communiceert.

Wat moet ik doen bij een datalek?

Stel direct vast wat er gelekt is, welke personen betrokken zijn en welk risico bestaat. Meld het binnen 72 uur bij de GBA via het meldformulier op gegevensbeschermingsautoriteit.be als er risico voor betrokkenen bestaat. Bij hoog risico moet u ook de getroffen personen rechtstreeks informeren. Documenteer alles intern, ook lekken die u niet hoeft te melden.

Geldt de AVG ook voor B2B-gegevens?

Ja, zodra het om persoonsgegevens gaat (zoals de naam en het zakelijk e-mailadres van een contactpersoon bij een ander bedrijf). Voor B2B-marketing geldt onder de Belgische wet wel een soepeler regime: bestaande zakelijke contacten mag u onder voorwaarden e-mailen op basis van gerechtvaardigd belang, mits u altijd een eenvoudige uitschrijfoptie biedt.

Kan ik een privacyverklaring gewoon kopiëren?

Nee, dit is een van de meest beboete fouten. Een privacyverklaring moet de werkelijke verwerkingsactiviteiten van uw bedrijf beschrijven: welke gegevens u concreet verzamelt, met welke leveranciers u werkt, welke bewaartermijnen u hanteert en welke cookies uw website plaatst. Gebruik een sjabloon als startpunt, maar pas het altijd grondig aan op uw eigen situatie.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Privacy Online in Belgie 2026: Complete Gids voor Bescherming

Privacy online in Belgie wordt steeds belangrijker in 2026. Deze gids legt uit welke rechten je hebt onder de AVG, hoe de GBA je beschermt, en welke 10 concrete stappen je vandaag kunt zetten om jouw digitale leven veiliger te maken.

6 min

AI en Privacy: Wat Verandert er in 2026 (Complete Gids)

In 2026 verandert de wereld van AI-privacy fundamenteel. De EU AI Act treedt in werking, de AVG wordt strenger toegepast op AI, en nieuwe risico's zoals deepfakes en datascraping vragen om actie. Lees wat er verandert en hoe je jezelf beschermt.

8 min

Recht op Vergetelheid: Zo Dien Je een Verzoek In (2026)

Het recht op vergetelheid onder de AVG geeft je het recht om bedrijven te dwingen jouw persoonsgegevens te wissen. In deze gids leer je stap voor stap hoe je een verzoek indient bij Google, sociale media en bedrijven, inclusief voorbeeldbrieven en wat te doen bij afwijzingen.

9 min

Datahandelaren: Wie Verkoopt Jouw Gegevens in 2026?

Datahandelaren verzamelen, combineren en verkopen jouw persoonlijke gegevens aan adverteerders, verzekeraars en zelfs werkgevers. Ontdek wie ze zijn, hoe ze aan jouw data komen en welke rechten je hebt onder de AVG om jezelf te beschermen.

8 min