Dataregister GDPR opstellen: Hoe begin je eraan?

Een dataregister of “register van verwerkingsactiviteiten” in officiële GDPR-taal is verplicht voor bijna alle Belgische bedrijven die persoonsgegevens verwerken. Toch blijkt uit controles van de Gegevensbeschermingsautoriteit (GBA) dat meer dan 60% van de KMO’s dit nog niet correct heeft geïmplementeerd.

Zonder een goed bijgehouden dataregister riskeert je organisatie niet alleen boetes tot €20.000, maar verlies je vooral het overzicht over je eigen dataverwerkingen. En zonder dat overzicht? Dan is echte GDPR-compliance bijna onmogelijk.

In deze handleiding leer je exact wat er in je dataregister moet staan, krijg je praktische voorbeelden, en zie je stap-voor-stap hoe je het opstelt. Leestijd: 10 minuten. Implementatietijd: 2-4 uur (afhankelijk van je bedrijfsgrootte).

Wat Is Een Dataregister (en Waarom Heb Je Het Nodig)?

De wettelijke basis

Een dataregister is een overzicht van alle verwerkingsactiviteiten waarbij jouw organisatie persoonsgegevens verzamelt, gebruikt, bewaart of deelt. Dit register is verplicht onder Artikel 30 van de GDPR (Algemene Verordening Gegevensbescherming).

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon: namen, e-mailadressen, telefoonnummers, IP-adressen, maar ook indirect identificerende informatie zoals een klantnummer gecombineerd met aankoopgeschiedenis.

Voor wie is het verplicht?

In principe voor elke organisatie die persoonsgegevens verwerkt. Er is één uitzondering: bedrijven met minder dan 250 werknemers die:

• Alleen occasioneel persoonsgegevens verwerken
• Geen risicogevoelige gegevens verwerken (zoals gezondheidsgegevens)
• De verwerking geen risico vormt voor de rechten van betrokkenen

In de praktijk vallen bijna alle KMO’s hier niet onder, omdat je als bedrijf continu met persoonsgegevens werkt: werknemersadministratie, klantenbeheer, facturatie, marketing, etc.

Wat risiceer je zonder dataregister?

De GBA kan boetes opleggen tot €20.000 bij een controle. Maar belangrijker dan de boete:

• Je hebt geen overzicht van welke data je verzamelt en waarom
• Je kunt niet aantonen dat je compliant bent (het “accountability” principe)
• Bij een datalek weet je niet welke systemen en personen getroffen zijn
• Je kunt geen goede privacy statements opstellen zonder dit overzicht
• Betrokkenen kunnen hun rechten (inzage, verwijdering) niet effectief uitoefenen

Kortom: een dataregister is niet alleen een wettelijke verplichting, het is de basis van je volledige GDPR-compliance.

Wat Moet Er In Je Dataregister Staan? (De 10 Verplichte Elementen)

GDPR Artikel 30 schrijft voor welke informatie je per verwerkingsactiviteit moet documenteren. Laat me elk element uitleggen met praktische voorbeelden:

1. Naam en contactgegevens van de verwerkingsverantwoordelijke

Dit ben jij als bedrijf. Noteer de officiële bedrijfsnaam, KBO-nummer, adres en contactpersoon.

Voorbeeld: “BVBA Bakkerij De Gouden Korst, KBO 0123.456.789, Hoogstraat 15, 1000 Brussel. Contactpersoon: Jan Janssens (zaakvoerder)”

2. Contactgegevens van de DPO (indien van toepassing)

Als je een Data Protection Officer (DPO) hebt aangesteld – verplicht bij grootschalige verwerking van gevoelige gegevens of vanaf 250 werknemers – vermeld je hier de naam en contactgegevens.

Als je geen DPO hebt, noteer je: “Niet van toepassing – geen DPO aangesteld”

3. Doeleinden van de verwerking

Waarom verzamel en gebruik je deze gegevens? Dit moet specifiek en helder zijn.

❌ Niet goed: “Voor bedrijfsdoeleinden”
✅ Wel goed: “Voor personeelsbeheer: salarisbetaling, verlofadministratie, prestatie-evaluaties”

Andere voorbeelden van doeleinden:

• Klantenbeheer en orderbeheer
• Marketing en nieuwsbrieven
• Facturatie en boekhouding
• Website analytics en gebruikservaring
• Wervingsproces nieuwe medewerkers

4. Beschrijving van de categorieën betrokkenen

Wie zijn de personen van wie je gegevens verwerkt?

Voorbeelden:

• Werknemers (vast en tijdelijk)
• Sollicitanten
• Klanten (B2C of B2B contactpersonen)
• Leveranciers en onderaannemers
• Websitebezoekers
• Nieuwsbrief abonnees

5. Categorieën van persoonsgegevens

Welke gegevens verzamel je precies?

Maak onderscheid tussen:

Gewone persoonsgegevens:

• Contactgegevens (naam, adres, email, telefoon)
• Identificatiegegevens (geboortedatum, geslacht, nationaliteit)
• Financiële gegevens (bankrekeningnummer, betalingsgeschiedenis)
• Technische gegevens (IP-adres, cookies, apparaat-ID)

Bijzondere persoonsgegevens (extra bescherming nodig):

• Gezondheidsgegevens
• Geloofsovertuiging
• Seksuele geaardheid
• Politieke opvattingen
• Vakbondslidmaatschap
• Biometrische gegevens (vingerafdrukken, gezichtsherkenning)
• Strafrechtelijke gegevens

⚠️ Als je bijzondere categorieën verwerkt, moet je extra juridische grondslagen hebben en aanvullende beveiligingsmaatregelen nemen.

6. Categorieën van ontvangers

Met wie deel je de gegevens?

Voorbeelden:

• Boekhoudkantoor (voor salarisverwerking)
• Cloudleveranciers (hosting van CRM-systeem)
• E-mailmarketingplatform (Mailchimp, Sendinblue)
• Betalingsprovider (Mollie, Stripe)
• Overheidsinstanties (RSZ, Belastingdienst)
• Juridische adviseurs

Belangrijk: Met elke externe partij die gegevens verwerkt, moet je een verwerkersovereenkomst afsluiten (processor agreement).

7. Doorgifte naar derde landen

Verzend je gegevens buiten de Europese Economische Ruimte (EEA)? Dan moet je dit noteren en aangeven welke waarborgen je hebt getroffen.

Voorbeelden:

• Google Analytics (servers in de VS) → moet je alternatieven overwegen sinds het “Schrems II” arrest
• Mailchimp (VS) → Gebruik maken van Standard Contractual Clauses (SCC’s)
• Australische cloudprovider → Vereist adequaatheidsbesluit of SCC’s

Als al je verwerking binnen de EU blijft, noteer je: “Geen doorgifte buiten EEA”

8. Bewaartermijnen

Hoe lang bewaar je de gegevens?

Dit moet gebaseerd zijn op:

• Wettelijke verplichtingen (bijv. boekhouding: 7 jaar)
• Het doel van de verwerking (als het doel bereikt is, moet je verwijderen)
• Toestemming van de betrokkene (tenzij andere grondslag)

Voorbeelden:

• Sollicitanten (niet aangenomen): 4 weken na afwijzing
• Klantgegevens actieve klanten: Zolang klantrelatie + 1 jaar
• Facturen: 7 jaar (wettelijk verplicht)
• Marketing e-mails: Tot intrekking toestemming of 3 jaar inactiviteit
• Website cookies: 13 maanden maximum (België)

❌ Niet goed: “Permanent” of “Zo lang als nodig”
✅ Wel goed: “7 jaar na einde dienstverband (conform boekhoudwetgeving)”

9. Beschrijving van de technische en organisatorische maatregelen

Hoe beveilig je de gegevens tegen verlies, diefstal of misbruik?

Technische maatregelen:

• Versleuteling (SSL-certificaten op website, encrypted databases)
• Toegangscontrole (sterke wachtwoorden, two-factor authenticatie)
• Firewalls en antivirussoftware
• Regelmatige back-ups
• Automatische software updates

Organisatorische maatregelen:

• Privacy policy en interne procedures
• Medewerkerstraining over gegevensbescherming
• Datalekprocedure
• Beperkte toegang (need-to-know principle)
• Verwerkersovereenkomsten met leveranciers

Je hoeft hier niet extreem technisch te zijn, maar moet kunnen aantonen dat je passende maatregelen hebt genomen gegeven de risico’s.

10. Rechtmatige grondslag

Op welke juridische basis verwerk je de gegevens? Er zijn 6 grondslagen in de GDPR:

1. Toestemming – De persoon heeft expliciet ja gezegd (opt-in)
2. Contractuele noodzaak – Nodig om een contract uit te voeren (bijv. levering bestelling)
3. Wettelijke verplichting – De wet verplicht je (bijv. loonadministratie)
4. Vitaal belang – Nodig om levens te redden (zeldzaam)
5. Publieke taak – Voor overheidsinstanties (niet voor bedrijven)
6. Gerechtvaardigd belang – Je hebt een legitiem bedrijfsbelang dat zwaarder weegt dan privacy (bijv. fraude-preventie)

Voorbeelden per categorie:

Verwerking	Grondslag	Toelichting
Nieuwsbrief versturen	Toestemming	Moet opt-in zijn, niet pre-checked
Bestelling leveren	Contract	Nodig om levering mogelijk te maken
Salarisadministratie	Wettelijke verplichting	Verplicht door arbeidsrecht
Website analytics	Gerechtvaardigd belang	Om gebruikservaring te verbeteren
Camerabewaking winkel	Gerechtvaardigd belang	Beveiliging tegen diefstal

Dataregister Opstellen in 5 Stappen

Nu je weet wat erin moet, gaan we het praktisch aanpakken. Volg deze stappen:

Stap 1: Inventariseer alle verwerkingsactiviteiten (Week 1)

Maak een lijst van alle processen waarbij je persoonsgegevens verzamelt of gebruikt. Denk aan:

HR-processen:

• Werving en selectie
• Personeelsbeheer (contracten, verlof, beoordelingen)
• Salarisadministratie
• Medisch dossier (arbeidsgeneeskunde)

Klantprocessen:

• Websiteregistratie / accountbeheer
• Orderverwerking en levering
• Klantenservice en klachtafhandeling
• Facturatie
• Marketing en nieuwsbrieven

Leveranciersprocessen:

• Contractbeheer leveranciers
• Betalingen aan onderaannemers

IT & Beveiliging:

• Website analytics en cookies
• Camerabewaking (indien van toepassing)
• Toegangsbeheer (badge systemen)

Tip: Loop door je organisatie heen – van ontvangst tot backoffice. Waar komt data binnen? Waar wordt het opgeslagen? Waar gaat het naartoe?

Stap 2: Verzamel de informatie per activiteit (Week 2-3)

Voor elke verwerkingsactiviteit die je hebt geïdentificeerd, verzamel je de antwoorden op deze vragen:

• Waarom doen we dit? (Doeleinde)
• Van wie zijn de gegevens? (Categorieën betrokkenen)
• Welke gegevens precies? (Categorieën persoonsgegevens)
• Waar bewaren we het? (Systemen, servers)
• Met wie delen we het? (Ontvangers)
• Hoe lang houden we het bij? (Bewaartermijn)
• Hoe beveiligen we het? (Technische maatregelen)
• Op welke juridische basis? (Rechtmatige grondslag)

Praktische tip: Maak een meeting met verschillende afdelingen (HR, sales, marketing, IT) om input te verzamelen. Zij weten vaak beter dan jij welke systemen ze gebruiken.

Stap 3: Gebruik een template (Week 3)

Je kunt een dataregister bijhouden in:

• Excel (meest gebruikte, simpel en flexibel)
• Google Sheets (handig voor samenwerking)
• Gespecialiseerde software (zoals DataGuard, OneTrust – duur maar uitgebreid)
• Word-document (niet aan te raden – moeilijk bij te werken)

Voor de meeste KMO’s is een Excel-template meer dan voldoende.

Stap 4: Documenteer elke activiteit (Week 4-5)

Vul voor elke verwerkingsactiviteit een aparte rij (of tab) in. Wees specifiek maar blijf praktisch – het moet begrijpelijk zijn voor iemand buiten je bedrijf.

Voorbeeld invulling – Verwerkingsactiviteit: “HR – Personeelsbeheer”

Veld	Invulling
Naam activiteit	HR – Personeelsbeheer vaste medewerkers
Doeleinde	Beheer arbeidsrelatie: contracten, verlofadministratie, prestatiebeheer, disciplinaire procedures
Categorieën betrokkenen	Vaste werknemers
Categorieën gegevens	Naam, adres, geboortedatum, rijksregisternummer, bankrekeningnummer, contract details, prestatie-evaluaties, verlofaanvragen, disciplinaire aantekeningen
Ontvangers	Boekhoudkantoor ABC (salarisadministratie), verzekeraar DPF (hospitalisatieverzekering), RSZ
Derde landen	Nee
Bewaartermijn	Tijdens dienstverband + 7 jaar na uitdiensttreding (sociale documenten)
Beveiligingsmaatregelen	HR-dossiers opgeslagen in afgesloten kast + digitaal in versleuteld CRM (toegang enkel HR-manager), wachtwoord beschermd
Rechtmatige grondslag	Contractuele noodzaak (arbeidsovereenkomst) + wettelijke verplichting (sociaal recht)

Stap 5: Actualiseer minimaal jaarlijks (Ongoing)

Een dataregister is geen statisch document. Update het wanneer:

• Je een nieuw systeem introduceert (nieuwe CRM, marketingtool)
• Je nieuwe verwerkingsactiviteiten start (bijv. een webshop lanceert)
• Je bewaartermijnen aanpast
• Je van leverancier wisselt
• Er nieuwe wetgeving komt

Beste praktijk: Plan elk jaar (bijv. begin januari) een “dataregister review” waarin je alles doorneemt en updatet.

Veelgemaakte Fouten Bij Het Dataregister

Na het begeleiden van tientallen KMO’s bij hun GDPR-compliance, zie ik deze fouten steeds terugkomen:

Fout 1: Te algemeen beschrijven

❌ “We verwerken klantgegevens voor zakelijke doeleinden”
✅ “We verwerken naam, e-mail en ordergeschiedenis voor orderverwerking, klantenservice en gerichte marketing (opt-in)”

Remedie: Wees specifiek. Een externe controleur moet precies kunnen begrijpen wat je doet.

Fout 2: Systemen vergeten

Veel bedrijven vergeten:

• Google Analytics op de website
• Social media pixels (Facebook, LinkedIn)
• E-mailmarketingtools
• Chatfuncties (Tawk.to, Intercom)
• Betalingsproviders

Remedie: Maak een inventaris van alle tools die je gebruikt (check je creditcard afschrijvingen!).

Fout 3: Geen onderscheid tussen verschillende doeleinden

Je mag gegevens verzameld voor orderverwerking niet zomaar gebruiken voor marketing. Dat zijn twee verschillende verwerkingsactiviteiten met elk hun eigen rechtmatige grondslag.

Remedie: Splits activiteiten op per doel, zelfs als je dezelfde gegevens gebruikt.

Fout 4: “Permanent” als bewaartermijn

Dit is bijna nooit toegestaan. Gegevens moeten verwijderd worden zodra het doel bereikt is, tenzij er een wettelijke bewaartermijn geldt.

Remedie: Bepaal per activiteit een realistische en verdedigbare bewaartermijn.

Fout 5: Geen verwerkersovereenkomsten vermelden

Als je gegevens deelt met een externe partij (boekhoudkantoor, cloudprovider), moet je:

1. Dat vermelden in je dataregister
2. Een verwerkersovereenkomst (processor agreement) met hen hebben

Remedie: Check welke externe partijen toegang hebben tot persoonsgegevens en sluit de juiste contracten af.

Fout 6: Het register verwarren met een privacyverklaring

Dit zijn twee verschillende documenten:

• Dataregister = intern document voor jezelf (en GBA bij controle)
• Privacyverklaring = publiek document voor betrokkenen (op je website)

Remedie: Houd ze gescheiden, maar zorg dat ze consistent zijn.

Dataregister Beheren: Best Practices

Wie is verantwoordelijk?

In een KMO is dit vaak:

• De zaakvoerder/directeur (eindverantwoordelijkheid)
• Een HR- of office manager (dagelijks beheer)
• Een externe DPO (bij complexere organisaties)

Tip: Wijs expliciet iemand aan als “dataregister beheerder” – anders blijft het liggen.

Hoe vaak updaten?

Minimum: Jaarlijks volledige review
Beter: Bij elke relevante wijziging direct updaten
Ideaal: Kwartaal check + directe updates bij veranderingen

Zet een herinnering in je agenda (bijv. elk kwartaal eerste maandag).

Waar bewaren?

Digitaal:

• Op een beveiligde cloudlocatie (Google Drive, OneDrive) met beperkte toegang
• Maak regelmatig back-ups
• Versie-beheer (bijv. “Dataregister_2025_v3.xlsx”)

Fysiek:

• Als je een printkant hebt: bewaar het in een afgesloten kast
• Niet nodig, digitaal is voldoende

Toegang:

• Alleen mensen die het nodig hebben (zaakvoerder, DPO, HR-verantwoordelijke)
• Niet toegankelijk voor alle medewerkers

Software tools voor dataregisters (optioneel)

Voor grotere bedrijven of complexe situaties bestaan er gespecialiseerde tools:

Gratis / Goedkoop:

• Excel/Google Sheets – Meer dan voldoende voor de meeste KMO’s
• GBA Template – De Belgische Gegevensbeschermingsautoriteit biedt een basis Word-template aan

Betaalde software (€50-200/maand):

• DataGuard
• OneTrust
• Legito
• Privacy Suite

Wanneer investeren in software?

• Als je 50+ verwerkingsactiviteiten hebt
• Als je in meerdere landen actief bent
• Als je team niet goed is in Excel
• Als je automatische compliance-rapportage wilt

Voor de meeste Belgische KMO’s met <50 werknemers is dit overkill – een goed bijgehouden Excel is perfect.

Voorbeeld: Dataregister Voor Een Fictieve KMO

Laat me een concreet voorbeeld geven van hoe een dataregister eruitziet voor “BVBA TechConsult” – een IT-consultancybedrijf met 12 werknemers.

Verwerkingsactiviteit 1: HR – Werving en Selectie

• Doeleinde: Selecteren van geschikte kandidaten voor openstaande vacatures
• Betrokkenen: Sollicitanten
• Gegevens: CV, motivatiebrief, contactgegevens, diploma’s, referenties
• Ontvangers: Niemand (intern proces)
• Derde landen: Nee
• Bewaartermijn: 4 weken na afwijzing (of tot einde wervingsproces indien aangenomen)
• Beveiliging: CV’s opgeslagen in beveiligde SharePoint map, toegang enkel HR-manager en hiring manager
• Grondslag: Gerechtvaardigd belang (wervingsproces) + toestemming sollicitant

Verwerkingsactiviteit 2: Klantenbeheer – CRM

• Doeleinde: Beheren klantrelaties, offertes, projectopvolging, facturatie
• Betrokkenen: Zakelijke contactpersonen bij klanten (B2B)
• Gegevens: Naam, functie, e-mail, telefoon, bedrijfsnaam, projectgeschiedenis, communicatie-historie
• Ontvangers: CRM-leverancier (HubSpot, servers EU), Boekhoudkantoor XYZ (voor facturatie)
• Derde landen: Nee (HubSpot EU servers)
• Bewaartermijn: Actieve klanten: onbeperkt tijdens relatie. Inactieve prospects: 3 jaar na laatste contact
• Beveiliging: HubSpot CRM met 2FA, toegang enkel sales team en management, SSL-encryptie
• Grondslag: Gerechtvaardigd belang (klantrelatiebeheer)

Verwerkingsactiviteit 3: Marketing – Nieuwsbrief

• Doeleinde: Versturen maandelijkse nieuwsbrief met IT-tips en bedrijfsupdates
• Betrokkenen: Newsletter abonnees (zakelijk en particulier)
• Gegevens: E-mailadres, voornaam, bedrijfsnaam (optioneel), inschrijfdatum
• Ontvangers: Mailchimp (e-mailmarketingplatform, servers EU)
• Derde landen: Nee
• Bewaartermijn: Tot uitschrijving, of 3 jaar inactiviteit (geen opens)
• Beveiliging: Mailchimp GDPR-compliant configuratie, double opt-in, makkelijke uitschrijflink
• Grondslag: Toestemming (opt-in bij inschrijving)

Verwerkingsactiviteit 4: Website Analytics

• Doeleinde: Meten websitegebruik, verbeteren gebruikservaring, conversie-optimalisatie
• Betrokkenen: Websitebezoekers
• Gegevens: IP-adres (geanonimiseerd), pagina views, browser type, verwijzende websites
• Ontvangers: Matomo Analytics (self-hosted op EU servers)
• Derde landen: Nee
• Bewaartermijn: 13 maanden (maximale cookiegeldigheid België)
• Beveiliging: IP-anonymisatie, cookie banner met opt-in, geen cross-site tracking
• Grondslag: Toestemming (via cookie banner)

Let op: Dit zijn versimpelde voorbeelden. In een echt dataregister zou je nog meer detail geven, vooral bij de beveiligingsmaatregelen.

Hulp Nodig Bij Het Opstellen?

Een dataregister opstellen is niet ingewikkeld, maar het vraagt tijd en aandacht. Vooral het eerste keer kan het overweldigend aanvoelen om alle verwerkingsactiviteiten in kaart te brengen.

Als je merkt dat je:

• Niet weet waar te beginnen
• Twijfelt over de juridische grondslagen
• Complexe IT-systemen hebt die moeilijk te documenteren zijn
• Gewoon geen tijd hebt om dit zelf uit te zoeken

…dan kan ik je helpen. Als externe DPO begeleid ik regelmatig KMO’s bij het opstellen van hun dataregister. We doen dit samen in een gestructureerde sessie van 2-4 uur, zodat je direct klaar bent.

Bekijk mijn GDPR Fundament dienst waarin het opstellen van je dataregister inclusief is, of boek een gratis kennismakingsgesprek om te bespreken wat het beste past bij jouw situatie.

Veelgestelde Vragen

Moet ik mijn dataregister publiceren op mijn website?

Nee. Het dataregister is een intern document voor jezelf (en voor de GBA bij een eventuele controle). Je privacyverklaring daarentegen moet wél publiek zijn op je website.

Hoe gedetailleerd moet mijn dataregister zijn?

Voldoende gedetailleerd dat een buitenstaander (zoals een GBA-inspecteur) begrijpt wat je doet, waarom, en hoe je de gegevens beschermt. Maar je hoeft geen 50-pagina technisch document te schrijven. Helder en compleet > uitgebreid maar vaag.

Wat als ik gebruik maak van dezelfde gegevens voor verschillende doeleinden?

Dan maak je twee aparte verwerkingsactiviteiten in je register. Bijvoorbeeld: “Klantgegevens – Orderverwerking” en “Klantgegevens – Marketing”. Elk met hun eigen rechtmatige grondslag.

Moet ik elke kleine verwerking documenteren?

Focus op de substantiële verwerkingsactiviteiten. Als je één keer per jaar een enquête verstuurt, hoef je dat niet als aparte activiteit op te nemen. Maar structurele, terugkerende verwerkingen wél.

Hoe zit het met mijn websiteregistraties en cookies?

Dit moet je documenteren in je dataregister. Maak een aparte verwerkingsactiviteit voor “Website Analytics” en één voor “Website Accounts/Registraties” indien van toepassing.

Kan de GBA mijn dataregister opvragen?

Ja. Bij een controle is dit vaak één van de eerste dingen die ze willen zien. Als je het niet hebt of het is niet up-to-date, kan dat leiden tot een boete.

Verschilt het Belgische dataregister van andere Europese landen?

De GDPR-vereisten zijn hetzelfde in heel Europa. Het verschil zit vooral in:

• Terminologie (FG vs DPO, GBA vs AP)
• Specifieke nationale wetgeving die invloed heeft op bewaartermijnen
• Interpretatie door lokale toezichthouders

Dus ja, je moet verwijzen naar Belgische wetgeving en de Gegevensbeschermingsautoriteit (GBA), niet de Nederlandse AP of Franse CNIL.

Wat is het verschil tussen een dataregister en een DPIA?

Een dataregister = overzicht van álle verwerkingsactiviteiten (verplicht voor bijna iedereen)
Een DPIA (Data Protection Impact Assessment) = risicoanalyse voor één specifieke hoog-risico verwerking (alleen verplicht bij hoog risico)

Je dataregister helpt je identificeren welke verwerkingen een DPIA nodig hebben.

Conclusie: Begin Vandaag

Een dataregister opstellen voelt misschien als een vervelende administratieve taak, maar het is de fundering van je privacy-compliance. Meer nog: het geeft je zelf inzicht in je dataverwerkingen – en dat is waardevol, ook los van de GDPR.

De investering:

• Tijd: 2-4 uur voor een eerste versie (bij een gemiddelde KMO)
• Kosten: €0 als je het zelf doet met een gratis template
• Onderhoud: 1-2 uur per jaar voor updates

De opbrengst:

• ✅ Compliant met GDPR Artikel 30
• ✅ Overzicht en controle over je gegevensverwerking
• ✅ Basis voor je privacyverklaring en andere GDPR-documenten
• ✅ Voorbereiding op eventuele GBA-controle
• ✅ Vertrouwen van klanten en partners

Actie: Download een Excel-template, check gratis jouw GDPR, plan 3 uur in je agenda volgende week, en begin met stap 1 (inventariseren). Je toekomstige zelf zal je dankbaar zijn.

Succes! En als je vastloopt of vragen hebt, aarzel niet om contact met me op te nemen.

---

Laatst bijgewerkt: November 2025
Door Stijn Belmans – Data Protection Officer & GDPR Consultant