GDPR Verplichtingen KMO: Complete Checklist voor Belgische Bedrijven (2025)

“Moet mijn bedrijf ook iets doen met de GDPR?” – Het antwoord is bijna altijd: ja. En dan volgt meteen de vraag: “Maar wat precies?”

Als KMO-ondernemer in België heb je waarschijnlijk al genoeg aan je hoofd. Toch kun je GDPR-compliance niet negeren: de Gegevensbeschermingsautoriteit (GBA) voert actief controles uit, en boetes kunnen oplopen tot €20.000 (of 4% van je jaaromzet bij grotere overtredingen).

Het goede nieuws? Voor de meeste KMO’s is GDPR-compliance een kwestie van een aantal basisstappen doorlopen. In dit artikel geef ik je een concrete checklist van wat je écht moet doen. Geen juridisch jargon, gewoon praktisch advies.

Leestijd: 8 minuten. Actietijd: 4-6 weken voor een volledige implementatie.

Is Jouw KMO Verplicht Onder De AVG?

Kort antwoord: Waarschijnlijk wel

De Algemene Verordening Gegevensbescherming (AVG/GDPR) geldt voor elke organisatie die:

• Gevestigd is in de EU (dus België), of
• Persoonsgegevens verwerkt van mensen in de EU

Persoonsgegevens = alle informatie waarmee je een persoon kunt identificeren: naam, e-mailadres, telefoonnummer, IP-adres, klantnummer, maar ook indirecte identificatie (bijv. locatiegegevens + tijdstip).

Als jouw bedrijf aan één van deze situaties voldoet, val je onder de GDPR:

• ✅ Je hebt werknemers (= je verwerkt personeelsgegevens)
• ✅ Je hebt klanten waarvan je contactgegevens bewaart
• ✅ Je verstuurt nieuwsbrieven
• ✅ Je hebt een website met contactformulieren of analytics
• ✅ Je factureert (= je bewaart naam + adresgegevens)

Dus tenzij je een éénmanszaak bent zonder klanten, website of administratie (spoiler: die bestaat niet), moet je aan de slag met GDPR.

Uitzonderingen

Er zijn enkele minimale uitzonderingen:

• Zuiver persoonlijk gebruik – Je privé contactenlijst op je telefoon
• Nationale veiligheid / strafrecht – Politie en justitie hebben andere regels
• Volledig geanonimiseerde data – Als je data zo bewerkt dat personen niet meer te identificeren zijn

Deze uitzonderingen gelden niet voor normale bedrijfsactiviteiten.

Verschil tussen verwerkingsverantwoordelijke en verwerker

Belangrijk om te begrijpen:

Verwerkingsverantwoordelijke (controller): Jij als bedrijf bepaalt waarom en hoe persoonsgegevens worden verwerkt. In 99% van de gevallen ben jij dit als KMO-ondernemer.

Verwerker (processor): Een externe partij die in jouw opdracht gegevens verwerkt. Bijvoorbeeld:

• Je boekhoudkantoor (verwerkt loongegevens)
• Je website hosting provider
• Je CRM-software leverancier
• Mailchimp (e-mailmarketing)

Als verwerkingsverantwoordelijke ben jij verantwoordelijk voor compliance – ook voor wat je verwerkers doen. Daarom moet je verwerkersovereenkomsten met hen afsluiten.

De 8 Essentiële AVG Verplichtingen Voor Elke KMO

Dit zijn de absolute must-haves. Als je deze op orde hebt, ben je 80% van de weg naar volledige compliance.

1. Rechtmatige grondslag voor alle verwerkingen

Wat betekent dit? Je mag persoonsgegevens niet “zomaar” verzamelen en gebruiken. Je hebt een wettelijke reden nodig – een “rechtmatige grondslag”.

De 6 grondslagen:

1. Toestemming – De persoon zegt expliciet “ja”
   • Voorbeeld: Inschrijving nieuwsbrief (met opt-in checkbox)
2. Contract – Nodig om een overeenkomst uit te voeren
   • Voorbeeld: Klantgegevens voor orderlevering
3. Wettelijke verplichting – De wet verplicht je
   • Voorbeeld: Loongegevens bewaren voor sociale zekerheid
4. Vitaal belang – Nodig om levens te redden
   • Voorbeeld: Medische noodgegevens (zeldzaam voor KMO’s)
5. Publieke taak – Voor overheidsinstellingen (niet voor bedrijven)
6. Gerechtvaardigd belang – Je hebt een legitiem zakelijk belang
   • Voorbeeld: Fraude-preventie, netwerkbeveiliging

Wat moet je doen?

• Documenteer per verwerkingsactiviteit op welke grondslag je gegevens verwerkt
• Zorg dat je bewijs hebt (bijv. opt-in registratie voor nieuwsbrieven)
• Mix geen grondslagen (bijv. ordergegevens niet automatisch gebruiken voor marketing)

Veelgemaakte fout: Ervan uitgaan dat “gerechtvaardigd belang” alles dekt. Dat is niet zo – je moet kunnen aantonen dat je belang zwaarder weegt dan de privacy van de betrokkene.

2. Transparantie: Privacy verklaring opstellen

Wat betekent dit? Mensen hebben het recht te weten wat je met hun gegevens doet. Daarom moet je een heldere privacyverklaring (ook wel privacy policy of privacybeleid genoemd) hebben.

Wat moet erin staan?

• Wie je bent (bedrijfsnaam, contact)
• Welke persoonsgegevens je verzamelt
• Waarom je ze verzamelt (doeleinden)
• Hoe lang je ze bewaart
• Met wie je ze deelt (bijv. hosting provider)
• Welke rechten mensen hebben (inzage, verwijdering, etc.)
• Hoe mensen contact kunnen opnemen

Waar publiceer je het?

• Op je website (meestal footer link “Privacy” of “Privacybeleid”)
• In sollicitatieprocedures (bij ontvangst CV)
• Bij formulieren waar je gegevens verzamelt

Wat moet je doen?

• Schrijf een begrijpelijke privacyverklaring (geen copy-paste van Google)
• Update het als je nieuwe tools of processen introduceert
• Maak het toegankelijk op alle plaatsen waar je data verzamelt

Template tip: De GBA (Gegevensbeschermingsautoriteit) biedt voorbeeldteksten aan op hun website.

3. Dataregister bijhouden

Wat betekent dit? Je moet een overzicht hebben van alle manieren waarop je persoonsgegevens verwerkt. Dit heet een register van verwerkingsactiviteiten of dataregister.

Voor wie verplicht? In principe voor iedereen, behalve:

• Bedrijven met < 250 werknemers
• Die alleen occasioneel gegevens verwerken
• En geen risicogevoelige gegevens verwerken

In de praktijk vallen de meeste KMO’s hier niet onder, omdat je structureel persoonsgegevens verwerkt (werknemers, klanten, leveranciers).

Wat moet je doen? Documenteer per verwerkingsactiviteit:

• Waarom verzamel je de gegevens? (Doeleinde)
• Welke gegevens precies? (Naam, e-mail, etc.)
• Van wie? (Klanten, werknemers, etc.)
• Hoe lang bewaar je ze?
• Wie heeft toegang?
• Hoe beveilig je ze?

Zie mijn uitgebreide dataregister handleiding voor stap-voor-stap instructies en een gratis template.

Praktische tip: Begin met de 5 hoofdcategorieën:

1. HR / Personeelsbeheer
2. Klantenbeheer
3. Marketing
4. Leveranciers
5. Website & IT

4. Verwerkersovereenkomsten afsluiten

Wat betekent dit? Elke externe partij die toegang heeft tot persoonsgegevens in jouw opdracht, moet een verwerkersovereenkomst (processor agreement) met je ondertekenen.

Wanneer nodig? Als je diensten gebruikt zoals:

• Cloudopslag (Google Drive, Dropbox)
• CRM-systemen (Salesforce, HubSpot)
• E-mailmarketing (Mailchimp, Sendinblue)
• Hosting provider van je website
• Boekhoudkantoor (voor salarisadministratie)
• IT-support met toegang tot systemen

Wat moet erin staan?

• Beschrijving welke gegevens verwerkt worden
• Doel van de verwerking
• Beveiliging en vertrouwelijkheid
• Wat gebeurt bij datalekken
• Wat gebeurt na beëindiging contract (data verwijderen)

Wat moet je doen?

• Inventariseer welke externe partijen toegang hebben tot persoonsgegevens
• Check of je huidige contracten al een GDPR-clausule hebben
• Vraag ontbrekende verwerkersovereenkomsten op bij leveranciers (zij moeten deze verstrekken)
• Bewaar ondertekende overeenkomsten bij je administratie

Let op: Grote leveranciers (Google, Microsoft, Mailchimp) hebben standaard verwerkersovereenkomsten online staan. Je hoeft deze niet te onderhandelen, alleen te accepteren en documenteren dat je dit gedaan hebt.

5. Privacy rechten faciliteren

Wat betekent dit? Mensen hebben onder de GDPR verschillende rechten. Jij moet kunnen reageren op hun verzoeken.

De 8 privacy rechten:

1. Recht op inzage – “Welke gegevens heeft u van mij?”
2. Recht op rectificatie – “Mijn adres is verkeerd, corrigeer dit”
3. Recht op verwijdering (recht op vergetelheid) – “Verwijder mijn gegevens”
4. Recht op beperking – “Stop tijdelijk met gebruik van mijn data”
5. Recht op dataportabiliteit – “Geef me mijn gegevens in een leesbaar format”
6. Recht op bezwaar – “Ik wil niet dat jullie mijn data voor X gebruiken”
7. Rechten bij geautomatiseerde besluitvorming – “Ik wil geen beslissingen door algoritmes”
8. Recht om toestemming in te trekken – “Ik wil geen nieuwsbrief meer”

Wat moet je doen?

• Zorg voor een contactpunt (e-mailadres of formulier) waar mensen verzoeken kunnen indienen
• Vermeld dit in je privacyverklaring
• Reageer binnen 30 dagen (kan verlengd naar 60 dagen bij complexe verzoeken)
• Controleer de identiteit van de aanvrager (om identiteitsfraude te voorkomen)
• Documenteer elk verzoek en hoe je hebt gereageerd

Praktisch voorbeeld: Klant vraagt om inzage. Je stuurt binnen 30 dagen een overzicht:

• Welke gegevens je hebt (naam, adres, ordergeschiedenis)
• Waarvoor je ze gebruikt (orderbeheer, facturatie)
• Hoe lang je ze bewaart

Veelgemaakte fout: Denken dat je kan weigeren zonder geldige reden. Je moet voldoen aan verzoeken, tenzij je een wettelijke grond hebt om te weigeren (bijv. fiscale bewaartermijn voor facturen).

6. Datalekken melden (binnen 72 uur!)

Wat betekent dit? Een datalek (data breach) is elk incident waarbij persoonsgegevens verloren gaan, gestolen worden, of bij onbevoegden terechtkomen.

Voorbeelden:

• Laptop met klantgegevens gestolen
• Ransomware-aanval op je server
• E-mail met privacygevoelige info naar verkeerde persoon
• USB-stick met personeelsdossiers kwijt
• Database per ongeluk publiek toegankelijk gemaakt

Wat moet je doen bij een datalek?

1. Binnen 72 uur melden bij de GBA (Gegevensbeschermingsautoriteit) als:
   • Het lek risico’s met zich meebrengt voor de rechten van betrokkenen
2. Betrokkenen informeren zonder onredelijke vertraging als:
   • Er een hoog risico is voor hun rechten en vrijheden
3. Documenteer elk datalek (ook als je niet meldt) met:
   • Wat er gebeurd is
   • Hoeveel mensen getroffen
   • Welke gegevens
   • Welke maatregelen genomen

Wat moet je voorbereiden?

• Maak een datalekprocedure: wie doet wat bij een incident?
• Zorg dat je weet hoe je melding doet bij de GBA (online formulier)
• Bewaar contactgegevens van je IT-leverancier voor spoedgevallen
• Implementeer beveiligingsmaatregelen om lekken te voorkomen

Boete risico: Niet melden binnen 72 uur kan leiden tot forse boetes. De GBA neemt meldplicht zeer serieus.

7. Privacy by Design implementeren

Wat betekent dit? Privacy by Design betekent dat je privacy-bescherming inbouwt vanaf het begin, in plaats van achteraf proberen te repareren.

5 concrete maatregelen:

A. Minimale dataverzameling Vraag alleen gegevens die je echt nodig hebt.

❌ Fout: Verplicht telefoonnummer vragen voor nieuwsbrief
✅ Goed: Alleen e-mailadres vragen

B. Duidelijke toestemming Gebruik geen vooraf aangevinkte checkboxen.

❌ Fout: [☑] Ja, ik wil de nieuwsbrief ontvangen (pre-checked)
✅ Goed: [☐] Ja, ik wil de nieuwsbrief ontvangen (opt-in)

C. Beveiliging vanaf start Nieuwe systemen? Check meteen de privacy-instellingen.

Voorbeeld: Nieuw CRM-systeem implementeren

• Configureer toegangsbeheer (wie ziet wat?)
• Schakel ongebruikte features uit
• Activeer encryptie
• Stel automatische verwijdering in na bewaartermijnen

D. Standaard privacy-vriendelijk Default instellingen moeten privacy-vriendelijk zijn.

Voorbeeld: Website analytics

• Standaard IP-anonymisatie aan
• Geen cross-site tracking
• Cookie banner met opt-in (niet opt-out)

E. Transparantie in processen Maak duidelijk wat je doet met data.

Voorbeeld: Sollicitatieproces Vermeld in je vacaturetekst:

• Welke gegevens je vraagt
• Hoe lang je CV’s bewaart (bijv. 4 weken)
• Dat sollicitanten hun gegevens kunnen laten verwijderen

8. Bewijs van compliance bewaren (Accountability)

Wat betekent dit? De GDPR heeft een accountability principe: je moet niet alleen compliant zijn, maar ook kunnen bewijzen dat je compliant bent.

Welke documenten bewaren?

✅ Je dataregister (overzicht verwerkingsactiviteiten)
✅ Verwerkersovereenkomsten met leveranciers
✅ Privacyverklaring (en oudere versies met datums)
✅ Bewijs van toestemming (opt-in registraties)
✅ DPIA’s (risicoanalyses voor hoog-risico verwerkingen)
✅ Datalek documentatie (ook als je niet hebt gemeld)
✅ Privacy rechten verzoeken en hoe je reageerde
✅ Trainingsregistratie medewerkers (wie, wanneer getraind)
✅ Interne procedures (datalek, privacy rechten)

Hoe bewaren?

• Centraal opslaan (bijv. “GDPR Compliance” map op beveiligde cloud)
• Versie-beheer (zodat je wijzigingen kunt traceren)
• Beperkte toegang (alleen DPO / zaakvoerder / HR)

Waarom belangrijk? Bij een GBA-controle moet je kunnen aantonen wat je doet. “Wij doen aan GDPR” zonder documentatie = geen bewijs.

Moet Jouw KMO Een DPO Aanstellen?

Een Data Protection Officer (DPO) – in het Nederlands: Functionaris voor Gegevensbescherming – is verplicht in 3 situaties:

De 3 verplichte situaties:

1. Overheid en publieke instellingen Als je een overheidsorgaan bent (gemeente, provincie, etc.). Voor KMO’s niet van toepassing.

2. Grootschalige systematische monitoring Als je op grote schaal mensen in de gaten houdt. Bijvoorbeeld:

• Online gedragstracking voor advertising
• Grootschalige camerabewaking met gezichtsherkenning
• Location tracking van grote groepen

Voor normale KMO’s meestal niet van toepassing.

3. Grootschalige verwerking van bijzondere persoonsgegevens Als je grootschalig werkt met gevoelige gegevens zoals:

• Gezondheidsgegevens (ziekenhuizen, zorgcentra)
• Strafrechtelijke gegevens
• Kinderdata (scholen, kinderopvang)

Wat is “grootschalig”? Niet exact gedefinieerd, maar factoren:

• Aantal betrokkenen
• Volume van gegevens
• Geografische spreiding

Richtlijn: > 5.000 personen per jaar = waarschijnlijk grootschalig

Wanneer is het verstandig (niet-verplicht)?

Ook als je niet verplicht bent, kan een DPO waardevol zijn:

• ✅ Je hebt > 50 werknemers
• ✅ Je verwerkt gevoelige gegevens (ook op kleine schaal)
• ✅ Je wilt compliance zekerheid
• ✅ Je hebt geen tijd/expertise om het zelf te doen
• ✅ Je krijgt veel privacy rechten verzoeken

Externe vs interne DPO:

Interne DPO:

• Voordeel: Kent je organisatie goed
• Nadeel: Kost €50.000-70.000/jaar (fulltime functie)

Externe DPO:

• Voordeel: Expert, kostenefficiënt (€200-500/maand KMO)
• Nadeel: Kent je organisatie minder goed (in het begin)

Voor de meeste KMO’s is een externe DPO de beste optie. Bekijk mijn externe DPO diensten of lees mijn uitgebreide DPO gids.

AVG Compliance in 6 Stappen (Stappenplan)

Klaar om aan de slag te gaan? Volg deze stappen:

Stap 1: Inventariseer je persoonsgegevens (Week 1)

• Welke gegevens verzamel je? (HR, klanten, website, etc.)
• Waar bewaar je ze? (systemen, cloud, papier)
• Wie heeft toegang?

Tool: Maak een simpele lijst in Excel of Google Sheets.

Stap 2: Stel dataregister op (Week 2-3)

• Download een gratis dataregister template
• Vul in per verwerkingsactiviteit
• Documenteer rechtmatige grondslagen

Tijd: 3-4 uur voor gemiddelde KMO

Stap 3: Juridische basis checken (Week 3)

• Heb je toestemming waar nodig? (nieuwsbrieven: opt-in?)
• Zijn je contracten juridisch voldoende?
• Kun je je gerechtvaardigd belang onderbouwen?

Actie: Check je nieuwsbrief inschrijfprocedure en cookie banner.

Tip: Check gratis jouw GDPR via onze tool

Stap 4: Privacy verklaring updaten (Week 4)

• Schrijf of update je privacyverklaring
• Gebruik begrijpelijke taal (geen juridisch jargon)
• Publiceer op je website (footer)

Tip: Vermeld je contactgegevens voor privacy vragen.

Stap 5: Contracten controleren (Week 5)

• Lijst alle externe leveranciers
• Check welke toegang hebben tot persoonsgegevens
• Vraag/onderteken verwerkersovereenkomsten

Focus: Boekhoudkantoor, hosting, CRM, e-mailmarketing

Stap 6: Interne procedures opstellen (Week 6)

• Maak een datalekprocedure (wie doet wat?)
• Stel proces in voor privacy rechten verzoeken
• Train je medewerkers (basis awareness)

Documenteer: Zorg dat procedures schriftelijk zijn (niet alleen in je hoofd).

Bonus Stap 7: Jaarlijkse review

• Plan elk jaar (bijv. januari) een GDPR-check
• Update dataregister
• Check of procedures nog kloppen
• Train nieuwe medewerkers

Hoeveel Tijd/Geld Kost AVG Compliance Voor KMO’s?

Tijdsinvestering (DIY)

Eerste implementatie:

• Kleine KMO (< 10 werknemers): 15-25 uur
• Middelgrote KMO (10-50 werknemers): 30-50 uur
• Grotere KMO (50+ werknemers): 60+ uur

Jaarlijks onderhoud:

• 5-10 uur (updates, trainingen, reviews)

Kosten externe hulp

Opties:

1. Eenmalige audit + implementatie

• €2.500 – €5.000 (afhankelijk van complexiteit)
• Voordeel: Je bent in één keer klaar
• Nadeel: Daarna moet je het zelf onderhouden

2. Externe DPO (maandelijks)

• €200 – €500/maand voor KMO
• Voordeel: Continue ondersteuning, compliance zekerheid
• Nadeel: Terugkerende kosten

3. Hybride

• Start met implementatie + training (€1.500-2.500)
• Daarna advies on-demand (€100-150/uur)
• Voordeel: Flexibel, betaal wat je nodig hebt

Bekijk mijn GDPR diensten voor verschillende opties.

Wat kost niet-compliance?

Directe kosten:

• Boetes GBA: €2.000 – €20.000 (KMO’s)
• Juridische kosten bij geschillen: €5.000+
• Schadeclaims bij datalekken: variabel

Indirecte kosten:

• Reputatieschade
• Verlies klantvertrouwen
• Tijd en stress om problemen op te lossen achteraf

Conclusie: Compliance kost minder dan non-compliance.

Speciale Situaties voor KMO’s

E-commerce en webshops

Extra aandachtspunten:

• Cookie banner met opt-in (niet opt-out)
• Payment processor verwerkersovereenkomst
• Klantaccounts: wachtwoord beveiliging + privacy rechten
• Marketing tracking (Facebook Pixel, Google Ads) → toestemming nodig

Tip: Check je checkout proces – vraag je alleen noodzakelijke gegevens?

B2B bedrijven (minder persoonsgegevens?)

Veelgemaakte misvatting: “Wij doen alleen B2B, dus geen GDPR”

Feitelijk:

• Contactpersonen bij bedrijven = persoonsgegevens (naam, email functie)
• GDPR geldt ook voor B2B contacten
• Rechtmatige grondslag: meestal “gerechtvaardigd belang”

Verschil met B2C:

• Vaak minder gevoelige gegevens
• Meer zakelijke context (dus gerechtvaardigd belang makkelijker te onderbouwen)
• Maar compliance blijft nodig!

Internationale klanten/leveranciers

Binnen EU: Geen probleem – GDPR geldt in hele EU.

Buiten EU (bijv. UK, VS, Zwitserland):

• Check of er een “adequaatheidsbesluit” is (UK, Zwitserland: ja)
• Zo niet: gebruik Standard Contractual Clauses (SCC’s)
• Vermeld in je dataregister: “Doorgifte naar derde land: [land], waarborg: SCC’s”

Let op: Transfer naar VS (bijv. Google, Microsoft) is ingewikkeld sinds Schrems II arrest. Gebruik bij voorkeur EU-servers.

Veelgestelde Vragen

Mag ik persoonsgegevens van werknemers zonder meer verwerken? Ja, op basis van “contractuele noodzaak” (arbeidsovereenkomst) en “wettelijke verplichting” (sociale zekerheid). Maar je moet wel transparant zijn (privacyverklaring) en gegevens beveiligen.

Hoelang mag ik CV’s van sollicitanten bewaren? Algemeen advies: max 4 weken na afwijzing. Alleen langer met expliciete toestemming (“Mogen we je CV bewaren voor toekomstige vacatures?”).

Moet ik een cookie banner hebben op mijn website? Ja, als je cookies plaatst (analytics, tracking, advertising). De banner moet opt-in zijn, niet opt-out. Alleen technisch noodzakelijke cookies (login sessies) mogen zonder toestemming.

Kan ik Google Analytics nog gebruiken? Ingewikkelde vraag. Sinds Schrems II arrest is overdracht naar VS problematisch. Alternatieven:

• Google Analytics 4 met IP-anonymisatie + EU-servers (discutabel)
• Europese alternatieven: Matomo, Plausible, Simple Analytics

Wat als een klant vraagt om zijn gegevens te verwijderen, maar ik moet facturen 7 jaar bewaren? Fiscale bewaartermijn gaat voor. Je mag factuurgegevens bewaren, maar moet andere data (bijv. marketing profiel) wel verwijderen. Communiceer dit helder naar de klant.

Moet ik als eenmanszaak ook een dataregister hebben? Als je structureel persoonsgegevens verwerkt (klanten, leveranciers): ja. Ook eenmanszaken vallen onder GDPR. Het register kan wel simpeler zijn dan bij grotere bedrijven.

Hoe groot is de kans op een GBA-controle? Relatief klein, maar stijgend. De GBA voert thematische controles uit (bijv. gezondheidszorg, online retail). Daarnaast: als er een klacht komt of een datalek, wordt de kans groter.

Kan ik GDPR helemaal zelf doen, zonder expert? Voor simpele bedrijven: ja, met goede templates en deze handleiding. Voor complexere situaties (gevoelige gegevens, veel systemen, internationale activiteiten): advies is verstandig.

Hulp Nodig? Onze GDPR Diensten Voor KMO’s

AVG-compliance hoeft niet overweldigend te zijn. Kies de ondersteuning die bij jou past:

Gratis GDPR Quick Scan

30 minuten kennismaking waarin we je huidige situatie bespreken. Geen verplichtingen, gewoon praktisch advies. Boek je gratis quick scan →

GDPR Fundament – Basis compliance pakket

Voor KMO’s die hun GDPR-basis op orde willen krijgen. Inclusief: gap-analyse, dataregister opzet, privacy documenten, maandelijks advies. Bekijk GDPR Fundament →

Externe DPO – Volledige DPO dienstverlening

Voor organisaties die een officiële DPO nodig hebben of complete compliance zekerheid willen. Ik fungeer als jouw externe functionaris voor gegevensbescherming. Bekijk Externe DPO diensten →

Start Vandaag: Je Eerste 3 Acties

Klaar om te beginnen? Dit zijn de 3 quick wins die je deze week kunt doen:

1. Inventariseer (30 minuten) Maak een lijst: welke systemen gebruik je die persoonsgegevens bevatten? (CRM, boekhoudpakket, e-mailmarketing, website)

2. Check je website (20 minuten)

• Heb je een privacyverklaring? Is deze up-to-date?
• Heb je een cookie banner? Is deze opt-in?
• Staan je contactgegevens duidelijk voor privacy vragen?

3. Check één verwerkersovereenkomst (15 minuten) Kies je belangrijkste leverancier (bijv. boekhoudkantoor). Heb je een ondertekende verwerkersovereenkomst? Zo niet, vraag deze op.

Totaal: 1 uur werk, maar je hebt al 3 concrete stappen gezet naar compliance.

---

Vragen? Neem gerust contact met me op. Ik help je graag verder met pragmatische, no-nonsense GDPR-begeleiding voor je KMO.

Succes met je compliance-traject!

---

Laatst bijgewerkt: November 2025
Door Stijn Belmans – Data Protection Officer & GDPR Consultant