Als Belgische ondernemer met een website ben je verplicht om de Algemene Verordening Gegevensbescherming (AVG) — internationaal beter bekend als de GDPR — na te leven. Toch blijkt uit de praktijk dat heel wat kleine en middelgrote bedrijven nog steeds websites beheren die niet aan de wettelijke vereisten voldoen. Soms door onwetendheid, soms omdat het technisch ingewikkeld lijkt. In dit artikel leggen we uit wat GDPR concreet betekent voor jouw website, welke elementen verplicht zijn, en hoe je stap voor stap jouw site in orde brengt — met een praktische checklist om niets over het hoofd te zien.
⚠️ GDPR in cijfers: waarom je dit serieus moet nemen
- Boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet
- De Belgische GBA behandelde in 2023 meer dan 2.500 klachten
- 73% van Belgische websites heeft een niet-conforme cookiebanner (onderzoek GBA)
- Een klacht kan worden ingediend door elke bezoeker van je website
- GDPR geldt voor elke onderneming — ook eenmanszaken en vzw’s
Wat is GDPR en geldt het voor jouw website?
De GDPR is een Europese verordening die van kracht werd op 25 mei 2018. Ze beschermt de privacy van alle Europese burgers door strenge regels op te leggen aan organisaties die persoonsgegevens verzamelen, opslaan of verwerken. En ja: bijna elke website verzamelt vandaag persoonsgegevens — zelfs als je dat niet beseft.
Denk aan een contactformulier waar bezoekers hun naam en e-mailadres invullen, aan Google Analytics dat gedrag bijhoudt, of aan een cookiebanner die toestemming vraagt voor tracking. Al die momenten waarop jij informatie over je bezoekers verzamelt, vallen onder de GDPR. Het maakt niet uit of je een eenmanszaak bent of een kmo met tien medewerkers: de wet geldt voor iedereen.
In België is de toezichthoudende autoriteit de Gegevensbeschermingsautoriteit (GBA). Zij kunnen bij inbreuken boetes opleggen die kunnen oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro — voor kleine bedrijven klinkt dat misschien ver weg, maar ook zij riskeren administratieve sancties en reputatieschade.
Als je jouw website bouwt op WordPress — verreweg het populairste CMS in België — dan heb je gelukkig heel wat hulpmiddelen tot je beschikking. In onze beginnersgids WordPress website maken leggen we uit hoe je stap voor stap een professionele site opzet. GDPR-compliance is daarin een essentieel onderdeel dat je van bij het begin mee moet nemen.
Welke persoonsgegevens verzamelt jouw website?
Vooraleer je aan de slag gaat met technische maatregelen, is het belangrijk om een goed beeld te hebben van welke gegevens je eigenlijk verzamelt. Maak voor jezelf een overzicht van alle plekken op je website waar interactie plaatsvindt:
- Contactformulieren — naam, e-mailadres, telefoonnummer, boodschap
- Inschrijvingsformulieren nieuwsbrief — e-mailadres, soms naam of bedrijf
- Bestelprocessen in een webshop — adres, betalingsgegevens, bestelhistoriek
- Analysetools — IP-adressen, paginabezoeken, klikgedrag (via Google Analytics, Hotjar, …)
- Social media plugins — tracking via Facebook Pixel, LinkedIn Insight Tag, …
- Reactiefuncties op blogberichten — naam, e-mailadres
Zodra je weet welke gegevens je verzamelt en waarom, kun je de juiste maatregelen treffen om GDPR-conform te zijn.
De 5 pijlers van een GDPR-conforme website
1. Transparantie via een privacybeleid
Je bent wettelijk verplicht om bezoekers op een begrijpelijke manier te informeren over hoe je hun gegevens gebruikt. Dat doe je via een privacybeleid — een aparte pagina op je website. Dat document moet minstens bevatten: wie de verwerkingsverantwoordelijke is (jijzelf of je bedrijf), welke gegevens je verzamelt, waarvoor je ze gebruikt, hoe lang je ze bewaart, en welke rechten de bezoeker heeft (inzage, correctie, verwijdering, …).
Gebruik geen generieke templates zonder aanpassing. Een privacybeleid moet specifiek zijn voor jouw situatie en in duidelijke taal geschreven zijn — geen juridisch jargon dat niemand begrijpt.
2. Cookiebeheer met echte toestemming
Een cookiebanner is voor de meeste mensen het meest zichtbare GDPR-element. Maar let op: een banner die enkel informeert zonder een echte keuze te bieden, volstaat niet. De GDPR vereist voorafgaande, vrije, specifieke en geïnformeerde toestemming vooraleer je niet-essentiële cookies mag plaatsen.
Dat betekent concreet: de bezoeker moet actief “ja” kunnen klikken, maar ook even makkelijk “nee” kunnen zeggen. Een vinkje dat standaard aangevinkt staat, of een knop “Accepteer alles” zonder alternatief, is niet conform de GDPR. Gebruik een kwalitatief cookie consent platform zoals Cookiebot, Complianz of een vergelijkbare oplossing die ook een cookiebeleid genereert.
3. Beveiliging van persoonsgegevens
Technische beveiliging is een wettelijke verplichting. De GDPR verplicht je om “passende technische en organisatorische maatregelen” te treffen. Voor een website betekent dit minimaal een geldig SSL-certificaat (zodat je site via https:// bereikbaar is), sterke wachtwoorden, regelmatige updates van plugins en thema’s, en een betrouwbare hostingpartner.
Als je WordPress gebruikt, is het beheren van plugins cruciaal. Verouderde of onbetrouwbare plugins zijn een van de voornaamste oorzaken van beveiligingsproblemen. Lees onze gids over de beste gratis WordPress plugins voor kleine bedrijven om te weten welke tools je veilig en effectief kunt inzetten.
4. Verwerkersovereenkomsten
Werk je samen met externe partijen die in jouw naam persoonsgegevens verwerken — zoals je hostingbedrijf, je nieuwsbriefplatform of je boekhoudsoftware? Dan ben je wettelijk verplicht om met elk van die partijen een verwerkersovereenkomst af te sluiten. Dit is een contract waarin staat wat de verwerker wel en niet mag doen met de gegevens die jij hem toevertrouwt.
Veel gerenommeerde aanbieders bieden deze overeenkomst standaard aan — controleer dit bij je hostingprovider en bij tools zoals Mailchimp, Brevo of Google Workspace.
5. Rechten van betrokkenen respecteren
Elke persoon van wie je gegevens bijhoudt, heeft een reeks rechten: recht op inzage, recht op correctie, recht op verwijdering (het “recht op vergetelheid”), en het recht om toestemming in te trekken. Zorg ervoor dat je een duidelijk aanspreekpunt hebt — een e-mailadres of contactformulier — waar mensen deze rechten kunnen uitoefenen, en dat je in staat bent om verzoeken tijdig (binnen 30 dagen) te beantwoorden.
GDPR-checklist voor Belgische websites: 12 controlepunten
Gebruik onderstaande checklist om snel te controleren of jouw website voldoet aan de belangrijkste GDPR-vereisten.
| # | Controlepunt | Status | Actie als je er niet aan voldoet |
|---|---|---|---|
| 1 | Privacybeleid aanwezig | ✅ / ❌ | Maak een aparte pagina ‘Privacybeleid’ met vermelding van verwerkingsdoelen, bewaartermijnen en je contactgegevens. |
| 2 | Cookiebanner met echte opt-in | ✅ / ❌ | Installeer een GDPR-conform consent platform (bijv. Cookiebot of Complianz) met een duidelijke weiger-optie. |
| 3 | Cookiebeleid aanwezig | ✅ / ❌ | Maak een aparte pagina ‘Cookiebeleid’ of verwerk dit in je privacybeleid met een overzicht van alle gebruikte cookies per categorie. |
| 4 | Contactformulier met toestemmingsvraag | ✅ / ❌ | Voeg een niet-aangevinkt vakje toe met tekst zoals “Ik ga akkoord met de verwerking van mijn gegevens conform het privacybeleid” en link naar dat beleid. |
| 5 | SSL-certificaat actief (https://) | ✅ / ❌ | Vraag een gratis SSL-certificaat aan via Let’s Encrypt of via je hostingprovider. Zorg dat alle pagina’s via https:// laden. |
| 6 | Google Analytics geanonimiseerd of cookieloos | ✅ / ❌ | Activeer IP-anonimisering in GA4, gebruik server-side tracking, of stap over naar een privacy-vriendelijk alternatief zoals Plausible of Matomo. |
| 7 | Verwerkersovereenkomst met hostingprovider | ✅ / ❌ | Contacteer je hostingprovider en onderteken een DPA (Data Processing Agreement). Serieuze hosts bieden dit standaard aan. |
| 8 | Geen illegale tracking zonder toestemming | ✅ / ❌ | Controleer of Facebook Pixel, LinkedIn Tag of Hotjar pas laadt na toestemming. Koppel ze aan je consent platform zodat ze geblokkeerd worden bij weigering. |
| 9 | DPO vermeld indien van toepassing | ✅ / ❌ | Voor de meeste kmo’s is een DPO niet verplicht. Verwerk je op grote schaal gevoelige gegevens? Dan vermelding in je privacybeleid verplicht. |
| 10 | Recht op vergetelheid gewaarborgd | ✅ / ❌ | Zorg dat je een procedure hebt om op verzoek gegevens te wissen. Vermeld dit in je privacybeleid met een contactadres of formulier. |
| 11 | Beveiliging persoonsgegevens gewaarborgd | ✅ / ❌ | Zorg voor regelmatige updates, sterke wachtwoorden, tweefactorauthenticatie op je CMS en automatische back-ups. |
| 12 | Bewaarperiode data gedocumenteerd | ✅ / ❌ | Bepaal per gegevenscategorie hoe lang je ze bewaart en documenteer dit in je privacybeleid. |
🇧🇪 Belgische ondernemers over GDPR in de praktijk
Nathalie, coach uit Gent
“Ik dacht dat GDPR alleen voor grote bedrijven was. Toen een bezoeker vroeg om zijn gegevens te verwijderen, had ik geen procedure. Met Complianz en een aangepast privacybeleid was alles in twee weekends in orde.”
Brecht, webshophouder uit Mechelen
“Onze cookiebanner had geen weigerknop. Na een tip van een klant hebben we Cookiebot geïnstalleerd. De conversie van onze nieuwsbriefinschrijvingen daalde licht, maar we slapen nu veel beter.”
Veelgemaakte fouten bij GDPR op Belgische websites
- Cookiebanner die alleen informeert maar geen echte keuze biedt.
- Google Analytics actief zonder consent. Analytics mag pas starten nadat de bezoeker toestemming heeft gegeven voor analytische cookies.
- Contactformulieren zonder toestemmingsvakje. Zelfs een eenvoudig formulier valt onder de GDPR als je de gegevens opslaat of doorstuurt naar een CRM.
- Geen of verouderd privacybeleid. Een beleid van vóór 2018 dat nooit is aangepast, voldoet meestal niet meer.
- Geen verwerkersovereenkomst met de hostingprovider of het nieuwsbriefplatform.
- Embedded YouTube-video’s zonder toestemming. Gebruik “privacy-enhanced mode” of laad video’s pas na consent.
Praktische aanpak voor kleine ondernemers
GDPR-compliance hoeft niet te leiden tot een dure consultancyopdracht of weken werk. Begin met de meest zichtbare en meest risicovolle elementen: je privacybeleid, je cookiebanner en de beveiliging van je contactformulieren.
Sta je nog maar aan het begin van je online aanwezigheid? In ons artikel wat kost een website laten maken in België? geven we een eerlijk overzicht — inclusief de kosten van GDPR-conforme tools en plugins. En als je wil weten welke call-to-actions je GDPR-conform kunt opstellen, lees dan ook ons artikel over een goede call-to-action schrijven.
Conclusie: GDPR als fundament van je website, niet als bijzaak
GDPR-compliance is geen eenmalige taak die je afvinkt en vergeet. Het is een doorlopende verantwoordelijkheid die vraagt om regelmatige aandacht — zeker wanneer je nieuwe tools installeert, je website uitbreidt of externe diensten toevoegt.
Zie GDPR niet als een last, maar als een kans om het vertrouwen van je bezoekers te versterken. Een transparante website straalt professionaliteit uit en geeft bezoekers meer vertrouwen om contact op te nemen of een aankoop te doen.
Heb je vragen over hoe je jouw WordPress website GDPR-conform maakt? Neem gerust contact met ons op — we helpen je graag verder.
