Stijn Belmans
Contactgegevens
Stijn Belmans
BTW-nummer: BE 0698.645.666
E-mailadres
info@stijnbelmans.be
Back
GDPR
16 min read

De 8 Privacy Rechten van Klanten: Praktische Handleiding voor KMO’s

Leestijd: 5 minuten | Update: November 2025

“Ik wil weten welke gegevens jullie van mij hebben.”

“Verwijder mijn account en alle data.”

“Stop met het sturen van nieuwsbrieven.”

Als ondernemer krijg je deze verzoeken steeds vaker. En dat is logisch: mensen worden zich bewuster van hun privacy. Maar wist je dat je wettelijk verplicht bent om hierop te reageren?

Onder de AVG (Algemene Verordening Gegevensbescherming) of GDPR hebben mensen 8 fundamentele rechten over hun persoonsgegevens. Als bedrijf moet je deze rechten faciliteren – vaak binnen strikte termijnen.

In deze gids leg ik uit wat elk recht inhoudt, hoe je ermee omgaat, en wat de consequenties zijn als je het verkeerd doet.

Waarom Privacy Rechten Belangrijk Zijn

Privacy rechten zijn geen “nice-to-have” of administratieve last. Ze zijn een kernprincipe van de AVG en geven mensen controle over hun eigen gegevens.

De realiteit:

  • 40% van Belgische consumenten heeft ooit een privacy-verzoek ingediend
  • De Gegevensbeschermingsautoriteit (GBA) ontvangt jaarlijks 2.000+ klachten
  • Veel klachten gaan over bedrijven die verzoeken negeren of te traag reageren

De consequenties bij niet-naleving:

  • Boetes tot €20 miljoen of 4% van de jaaromzet
  • Reputatieschade
  • Rechtszaken van individuen

Maar het hoeft niet moeilijk te zijn. Met de juiste processen en templates kun je binnen 30 minuten op de meeste verzoeken reageren.

De 8 Privacy Rechten Uitgelegd

1. Recht op Inzage (Art. 15 AVG)

Wat betekent dit? Iemand kan vragen: “Welke persoonsgegevens heeft u van mij, en wat doet u ermee?”

Wat moet je verstrekken?

  • Een kopie van alle persoonsgegevens die je hebt
  • Waarvoor je ze gebruikt
  • Met wie je ze deelt
  • Hoe lang je ze bewaart
  • Hun rechten (wijzigen, verwijderen, etc.)

Termijn: 1 maand (verlengbaar tot 3 maanden bij complexe verzoeken)

Voorbeeld verzoek:

"Goedendag,

Graag zou ik een overzicht willen ontvangen van alle persoonsgegevens 
die jullie van mij bewaren onder artikel 15 AVG.

Met vriendelijke groet,
Jan Vermeulen

Hoe te reageren:

  1. Identificatie: Verifieer dat de aanvrager daadwerkelijk de persoon is (kopie ID, of bevestiging via gekend emailadres)
  2. Data verzamelen: Check alle systemen waar data kan staan (CRM, email, boekhouding, marketing tools)
  3. Rapport opstellen: Lijst alle gegevens overzichtelijk
  4. Versturen: Via beveiligde email of encrypted PDF

Template antwoord: Download mijn inzage-antwoord template [link naar lead magnet]

Let op: De eerste kopie is gratis. Bij herhaalde “ongegronde” verzoeken mag je kosten in rekening brengen.

2. Recht op Rectificatie (Art. 16 AVG)

Wat betekent dit? Iemand kan vragen om onjuiste of onvolledige gegevens te corrigeren.

Voorbeelden:

  • “Mijn achternaam is verkeerd gespeld”
  • “Mijn adres is verouderd”
  • “Mijn telefoonnummer klopt niet”

Termijn: 1 maand

Hoe te reageren:

  1. Verificatie: Check of de aanpassing gerechtvaardigd is
  2. Correctie: Pas de data aan in alle relevante systemen
  3. Bevestiging: Stuur een bevestiging naar de aanvrager
  4. Doorgifte: Als je de onjuiste data met derden hebt gedeeld, moet je hen ook informeren

Praktische tip: Bied klanten een self-service portal waar ze hun eigen gegevens kunnen updaten. Dit voorkomt veel formele verzoeken.

3. Recht op Verwijdering / Recht op Vergetelheid (Art. 17 AVG)

Wat betekent dit? Iemand kan vragen om hun gegevens volledig te verwijderen.

Wanneer moet je dit doen?

  • De data is niet langer nodig voor het doel waarvoor je het verzamelde
  • De persoon trekt toestemming in (en er is geen andere rechtsgrond)
  • De data is onrechtmatig verwerkt
  • De persoon maakt bezwaar tegen de verwerking

Wanneer mag je weigeren?

  • Je hebt een wettelijke bewaarplicht (bijv. facturen 7 jaar bewaren)
  • Je hebt de data nodig voor een juridische claim
  • Het gaat om vrijheid van meningsuiting (bijv. journalistiek)

Termijn: 1 maand

Voorbeeld verzoek:

"Goedendag,

Ik wil dat jullie al mijn persoonsgegevens verwijderen. Ik wil niet 
langer klant zijn en wens dat alle informatie gewist wordt.

Met vriendelijke groet,
Sophie Janssens

Hoe te reageren:

Scenario A: Akkoord:

  1. Verwijder data uit CRM, email marketing, boekhoudsoftware (behalve wat je wettelijk moet bewaren)
  2. Anonimiseer data die je niet kunt verwijderen (bijv. facturen → verwijder naam, vervang door “Verwijderde klant #12345”)
  3. Bevestig de verwijdering naar de aanvrager
  4. Documenteer het verzoek (voor eventuele controle GBA)

Scenario B: Weigering: Leg uit waarom je (delen van) de data moet bewaren, bijvoorbeeld:

"Goedendag Sophie,

Ik heb je verzoek ontvangen. Ik heb je gegevens verwijderd uit ons 
CRM-systeem en onze mailinglijst.

Let op: volgens Belgische wetgeving moeten we facturen en 
boekhoudgegevens 7 jaar bewaren. Deze informatie wordt geanonimiseerd 
maar kan niet volledig verwijderd worden.

Met vriendelijke groet,
Stijn Belmans

4. Recht op Beperking van de Verwerking (Art. 18 AVG)

Wat betekent dit? Iemand kan vragen om hun data “on hold” te zetten – je mag het bewaren, maar niet actief gebruiken.

Wanneer van toepassing?

  • De persoon betwist de juistheid van de data (tijdens verificatie)
  • De verwerking is onrechtmatig, maar de persoon wil geen verwijdering
  • Je hebt de data niet meer nodig, maar de persoon wel (voor juridische claim)
  • De persoon heeft bezwaar gemaakt (in afwachting van beoordeling)

Termijn: 1 maand

Praktisch voorbeeld: Een ex-werknemer beweert dat je valse informatie over hem hebt. Hij vraagt om beperking terwijl je de juistheid verifieert.

Hoe te reageren:

  1. “Bevries” de data – markeer het in je systeem als “beperkt”
  2. Gebruik de data niet voor andere doeleinden
  3. Informeer de persoon wanneer de beperking wordt opgeheven

In de praktijk: Dit recht wordt zelden ingeroepen, maar het is goed om te weten dat het bestaat.

5. Recht op Dataportabiliteit (Art. 20 AVG)

Wat betekent dit? Iemand kan vragen om hun data in een gestructureerd, machineleesbaar formaat te ontvangen (zodat ze het naar een concurrent kunnen verhuizen).

Voorwaarden:

  • Je verwerkt de data geautomatiseerd (niet op papier)
  • De rechtsgrond is toestemming of contractuele noodzaak

Termijn: 1 maand

Voorbeeld: Een klant wil van jouw boekhoudsoftware naar een andere switchen en vraagt om al zijn factuurdata in Excel-formaat.

Hoe te reageren:

Export de data in een veelgebruikt formaat:

  • CSV voor gestructureerde data
  • JSON voor complexere datasets
  • PDF voor documenten

Praktische tip: Als je software gebruikt die data-export ondersteunt (CRM, boekhouding), is dit eenvoudig. Zo niet, kan dit arbeidsintensief zijn.

6. Recht van Bezwaar (Art. 21 AVG)

Wat betekent dit? Iemand kan bezwaar maken tegen verwerking van hun data, vooral bij directe marketing.

Twee scenario’s:

A. Bezwaar tegen directe marketing → ALTIJD honoreren

"Stop met het sturen van reclamemails."

→ Je MOET direct stoppen. Geen uitzonderingen.

B. Bezwaar tegen andere verwerking → Afwegen

"Ik wil niet dat jullie mijn surfgedrag analyseren voor verbetering 
van jullie website."

→ Je moet stoppen, tenzij je dwingende gerechtvaardigde gronden hebt (zeldzaam).

Termijn: Direct bij directe marketing; 1 maand voor andere bezwaren

Hoe te reageren:

Bij marketing:

  1. Verwijder direct uit mailinglijst
  2. Bevestig binnen 24-48 uur
  3. Zorg dat ze geen verdere marketing ontvangen

Praktische tip: Zorg dat elke marketingemail een duidelijke “Uitschrijven”-link heeft. Dit voorkomt formele bezwaar-verzoeken.

7. Recht om Niet Onderworpen te Worden aan Geautomatiseerde Besluitvorming (Art. 22 AVG)

Wat betekent dit? Mensen hebben het recht om niet onderworpen te worden aan beslissingen die alleen gebaseerd zijn op geautomatiseerde verwerking (AI, algoritmes) en die hen juridisch of significant beïnvloeden.

Voorbeelden:

  • Automatische afwijzing van kredietaanvraag
  • AI-gedreven sollicitatiescreening zonder menselijke review
  • Geautomatiseerde prijsdifferentiatie

Wanneer van toepassing voor KMO’s? Eerlijk gezegd: zelden. De meeste KMO’s gebruiken geen volledig geautomatiseerde besluitvorming.

Let op met:

  • AI-recruitment tools die CV’s automatisch scoren
  • Kredietscoring zonder menselijke beoordeling
  • Geautomatiseerde prijsalgoritmes

Hoe te reageren:

Als je toch zo’n systeem gebruikt:

  1. Informeer mensen vooraf dat geautomatiseerde besluitvorming wordt gebruikt
  2. Geef hen de mogelijkheid om menselijke tussenkomst te vragen
  3. Leg uit hoe het algoritme werkt (transparantie)

8. Recht op Informatie (Art. 13-14 AVG)

Wat betekent dit? Mensen hebben het recht om geïnformeerd te worden voordat je hun data verzamelt.

Dit is feitelijk geen “verzoek-recht” maar een plicht die jij proactief moet nakomen.

Wat moet je vertellen?

  • Wie ben je? (Identiteit en contactgegevens)
  • Waarom verzamel je de data? (Doeleinden)
  • Wat is de rechtsgrond? (Toestemming, contract, wettelijke plicht, etc.)
  • Met wie deel je de data?
  • Hoe lang bewaar je de data?
  • Wat zijn hun rechten?

Waar moet dit staan?

  • Privacyverklaring op je website
  • Privacy notices bij specifieke dataverzameling (bijv. contactformulier, nieuwsbrief signup)

Let op: Dit is niet hetzelfde als algemene voorwaarden. Een privacyverklaring is specifiek over datav

erwerking.

Praktische Workflow: Hoe Reageer je op een Privacy-Verzoek?

Stap 1: Ontvangst en Registratie (Dag 1)

  • Log het verzoek in een register (Excel, CRM, of speciaal AVG-tool)
  • Noteer: datum, naam aanvrager, type verzoek, deadline

Stap 2: Identificatie (Dag 1-3)

Waarom? Je wilt niet per ongeluk data van Jan aan Piet geven.

Hoe:

  • Als het verzoek komt via een bekend emailadres → OK
  • Bij twijfel: vraag om kopie identiteitskaart (voor/achterkant, met verborgen foto indien gewenst)
  • Check of de persoon daadwerkelijk klant/relatie is

Stap 3: Beoordeling (Dag 3-7)

  • Welk recht wordt ingeroepen?
  • Is het verzoek gerechtvaardigd?
  • Zijn er uitzonderingen van toepassing? (bijv. wettelijke bewaarplicht bij verwijderverzoek)

Stap 4: Uitvoering (Dag 7-25)

  • Verzamel of wijzig de data
  • Check alle systemen: CRM, email, boekhouding, cloud storage, marketing tools
  • Documenteer wat je hebt gedaan

Stap 5: Antwoord (Voor Dag 30)

  • Stuur een formeel antwoord binnen 1 maand
  • Bij akkoord: bevestig wat je hebt gedaan
  • Bij weigering: leg uit waarom en verwijs naar klachtrecht bij GBA

Stap 6: Nazorg

  • Bewaar documentatie van het verzoek (voor eventuele controle)
  • Update je AVG-register indien nodig

Templates voor Privacy-Verzoeken

Ik heb 5 praktische templates gemaakt die je direct kunt gebruiken:

  1. Inzageverzoek Antwoord – Voor recht op inzage
  2. Rectificatie Bevestiging – Voor correcties
  3. Verwijdering Akkoord – Voor recht op vergetelheid
  4. Verwijdering Weigering – Als je (delen) moet bewaren
  5. Bezwaar Marketing – Voor uitschrijving nieuwsbrief

Download alle templates gratis: [Link naar lead magnet]

Veelvoorkomende Fouten bij Privacy-Verzoeken

Fout 1: Te traag reageren

Probleem: Je hebt 1 maand (maximaal 3 bij complexe zaken). Veel bedrijven vergeten dit of reageren veel te laat.

Oplossing: Zet een reminder in je agenda. Bij twijfel: stuur een tussentijdse update (“Uw verzoek wordt verwerkt, verwacht antwoord uiterlijk [datum]”).

Fout 2: Onvolledige verwijdering

Probleem: Je verwijdert iemands data uit je CRM, maar vergeet je email marketing tool, Google Drive backups, en oude Excel-bestanden.

Oplossing: Maak een checklist van alle plekken waar data kan staan. Bij verwijdering: check ze allemaal.

Fout 3: Te snel verwijderen

Probleem: Je verwijdert facturen die je wettelijk 7 jaar moet bewaren.

Oplossing: Ken je wettelijke bewaarplichten:

  • Facturen/boekhoudstukken: 7 jaar
  • Arbeidscontracten: diverse termijnen
  • Medische gegevens: 30 jaar (zorgverleners)

Fout 4: Geen identificatie

Probleem: Je stuurt persoonlijke data naar een emailadres zonder te verifiëren wie het echt is.

Oplossing: Vraag altijd om identificatie bij twijfel.

Fout 5: Geen documentatie

Probleem: De GBA vraagt tijdens een inspectie hoe je met privacy-verzoeken omgaat, en je hebt niets gedocumenteerd.

Oplossing: Bewaar alle verzoeken en je antwoorden voor minstens 2-3 jaar.

Mag Je Kosten Rekenen?

Regel: De eerste inzage is gratis. Bij herhaalde, “kennelijk ongegronde of buitensporige” verzoeken mag je:

  • Een redelijke vergoeding vragen (max. administratieve kosten)
  • Of het verzoek weigeren

Wanneer is iets “buitensporig”?

  • Dezelfde persoon vraagt elke maand om volledige inzage
  • Het verzoek is duidelijk bedoeld om te pesten
  • Het verzoek vereist excessief veel werk (bijv. 10.000 documenten doorzoeken)

Voorzichtig: Je moet kunnen bewijzen dat het ongegrond is. Bij twijfel: honoreer het verzoek kosteloos.

Checklist: Ben Je Klaar voor Privacy-Verzoeken?

  • [ ] Ik heb een proces voor het afhandelen van privacy-verzoeken
  • [ ] Ik weet waar alle persoonsgegevens in mijn organisatie staan
  • [ ] Ik heb templates klaar voor standaard antwoorden
  • [ ] Mijn team weet wat te doen bij een verzoek (of wie te contacteren)
  • [ ] Ik bewaar documentatie van alle verzoeken
  • [ ] Mijn privacyverklaring is up-to-date en duidelijk
  • [ ] Ik heb een systeem om deadlines (1 maand) te bewaken
  • [ ] Ik ken mijn wettelijke bewaarplichten

Score:

  • 7-8 vinkjes: ✅ Je bent goed voorbereid
  • 4-6 vinkjes: ⚠️ Nog wat werk te doen
  • 0-3 vinkjes: ❌ Prioriteit! Begin vandaag

Hulp Nodig bij Privacy Rechten?

Privacy-verzoeken kunnen complex zijn, vooral als je niet vaak mee te maken hebt. Als je hulp nodig hebt bij het opzetten van een proces, of als je niet zeker weet hoe te reageren op een specifiek verzoek, neem dan contact met me op.

Als DPO bij een Belgische politieke partij en EADPP-gecertificeerd consultant help ik KMO’s met praktische AVG-compliance.

Wat ik kan doen:

  • ✅ Proces opzetten voor privacy-verzoeken
  • ✅ Templates en checklists leveren
  • ✅ Training voor je team
  • ✅ Ad-hoc advies bij complexe verzoeken
  • ✅ Volledige AVG-compliance audit

Interesse?

Veelgestelde Vragen

Q: Moet ik reageren als iemand me via sociale media een privacy-verzoek stuurt? A: Ja. Het medium maakt niet uit. Wel mag je vragen om formele bevestiging via email voor identificatie.

Q: Wat als ik de 1-maand deadline niet haal? A: Informeer de persoon tijdig en leg uit waarom je verlenging nodig hebt (max. 2 extra maanden). Geen reactie = GBA-klacht risico.

Q: Kan iemand mij verplichten om data naar een concurrent te sturen? A: Ja, via dataportabiliteit (recht 5). Je moet de data in een overdraagbaar formaat leveren.

Q: Wat als ik per ongeluk data van de verkeerde persoon verstuur? A: Datalek. Meld dit bij de GBA binnen 72 uur en informeer beide betrokkenen.

Q: Hoelang moet ik privacy-verzoeken bewaren? A: De AVG specificeert dit niet, maar 2-3 jaar is gebruikelijk (voor eventuele controles of juridische claims).

Stijn Belmans
Stijn Belmans
https://stijnbelmans.be
Next Post
Cookie Compliance na RTL Belgium Boete: Wat Elke Website Nu Moet Doen

Related Posts

Verwerkersovereenkomst GDPR
  • Stijn Belmans
  • Posted by Stijn Belmans
november 23, 2025
14 min read

Verwerkersovereenkomst: Wanneer Verplicht?

Leestijd: 5 minuten | Update: November 2025 Je gebruikt waarschijnlijk tientallen online tools voor...

Read More
GDPR horeca
  • Stijn Belmans
  • Posted by Stijn Belmans
november 23, 2025
13 min read

GDPR voor Horeca: Camera's, Reserveringen en Klantendata

Leestijd: 10 minuten | Update: November 2025 Als horecaondernemer heb je dagelijks te maken...

Read More

Leave a Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Ik gebruik cookies uitsluitend voor anonieme verwerking. Cookies Policy