Stijn Belmans
Contactgegevens
Stijn Belmans
BTW-nummer: BE 0698.645.666
E-mailadres
info@stijnbelmans.be
Back

Externe DPO met kennis in websites & marketing

Geen interne recrutering. Geen dure advocatenkantoren. Gewoon: maandelijkse GDPR-compliance met iemand die techniek én privacy spreekt.
Bekijk alle privacy diensten
DPO bij grote organisatie
EADPP gecertificeerd
Bereikbaar bij datalekken

De Algemene Verordening Gegevensbescherming in gewoon Nederlands

De GDPR (in Nederland: AVG of Algemene Verordening Gegevensbescherming) is sinds mei 2018 de Europese privacywet die bepaalt hoe organisaties met persoonlijke data mogen omgaan. Elke organisatie die data verwerkt van mensen in de EU moet zich hieraan houden: van eenmanszaken tot multinationals, van verenigingen tot overheidsdiensten.

De wet geeft mensen controle over hun eigen gegevens: het recht om te weten wat je met hun data doet, het recht om vergeten te worden, en het recht om bezwaar te maken tegen bepaalde verwerkingen. Voor organisaties betekent dit dat je transparant moet zijn over je data verwerking, dat je alleen data mag verzamelen die je echt nodig hebt, en dat je die data goed moet beveiligen.

Wie de regels schendt, riskeert boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. Maar belangrijker nog: je riskeert het vertrouwen van je klanten, medewerkers of leden te verliezen. De GDPR is geen bureaucratische last: het is een kans om te tonen dat je privacy serieus neemt.

Check gratis jouw GDPR

Heb jij een DPO nodig?

Sinds de GDPR (AVG) is een Data Protection Officer verplicht voor bepaalde organisaties. Of jij er één nodig hebt, hangt af van wat je precies doet met persoonlijke data. Er zijn drie hoofdcriteria waarbij een DPO wettelijk verplicht is.

Ten eerste: als je gevoelige gegevens verwerkt op grote schaal. Denk hierbij aan ziekenhuizen en thuiszorgdiensten die gezondheidsdata bijhouden, advocatenkantoren die strafrechtelijke informatie verwerken, politieke partijen die de overtuiging van hun leden registreren, of organisaties die biometrische data gebruiken zoals vingerafdrukken of gezichtsherkenning.

Ten tweede: als je mensen systematisch monitort op grote schaal. Dit geldt voor camerabewaking met meer dan tien camera’s, GPS-tracking van werknemers of voertuigen, grootschalige gedragsanalyse op websites of apps, employee monitoring software, of profiling voor marketing waarbij je uitgebreide klantenprofielen opbouwt.

Ten derde: als je een overheidsinstantie bent. Gemeenten, OCMW’s, provincies, politiezones en andere publieke instellingen hebben altijd een DPO verplicht – zonder uitzonderingen.

Twijfel je of dit op jouw organisatie van toepassing is? Boek dan een gratis intake. Ik vertel je eerlijk of je een DPO nodig hebt volgens de wet – ook als het antwoord “nee” is. Beter zekerheid dan later verrast worden bij een controle van de Gegevensbeschermingsautoriteit.

Boek een gratis intake

Wat doet een DPO eigenlijk?

Een DPO is geen papieren tijger die ergens in een hoekje zit. Het is je privacy geweten én uitvoerder – iemand die actief meedenkt en bijstuurt. Hier is wat ik concreet voor je doe:

Compliance bewaken
  • Verwerkingsregister: Overzicht van alle data die je verwerkt: verplicht volgens GDPR Artikel 30
  • Jaarlijkse audit: Check of alles nog klopt (nieuwe tools? nieuwe processen? nieuwe risico's?)
  • Toezicht op processen: Van je website tot je HR-systeem: alles GDPR-proof houden
  •  
Datalekken managen

Je website gehackt? USB-stick verloren? Email naar verkeerde persoon gestuurd? Dan moet je snel handelen:

  • 72-uurs melding: Verplichte melding bij de Gegevensbeschermingsautoriteit (GBA)
  • Communicatie betrokkenen: Als het risico hoog is, moeten mensen geïnformeerd worden
  • Preventie: Maatregelen nemen zodat het niet opnieuw gebeurt
Adviseren & opleiden

Je team moet weten wat wel en niet mag. Ik help jullie hiermee:

  • Sparringpartner management: "Mogen we deze nieuwe tool gebruiken?" → Ik check het
  • Medewerkerstraining: Van receptioniste tot IT-manager - iedereen krijgt praktische tips
  • DPIA begeleiding: Privacy impact assessments voor nieuwe projecten (nieuwe software, camera's, AI-tools)
Contact met toezichthouder
  • Officieel aanspreekpunt voor de GBA
  • Ik handel controles en vragen af
  • Juridische dekking bij audits

Kort samengevat: Ik zorg dat jij rustig kunt slapen, wetende dat je privacy op orde is.

Waarom mij als externe DPO?

Er zijn tientallen privacy consultants in België. Sommigen werken vanuit grote advocatenkantoren en rekenen €200+ per uur. Anderen zijn theoretici die wetten kunnen citeren maar nog nooit een website hebben gebouwd. Wat maakt mijn aanpak anders?

Ten eerste de kostprijs: een interne DPO kost je €50.000 tot €70.000 per jaar aan voltijds salaris plus sociale lasten, terwijl advocatenkantoren met uurtarieven van €150 tot €300 werken waarbij facturen snel oplopen. Bij mij krijg je een externe DPO vanaf €4.200 per jaar: dezelfde expertise en beschikbaarheid, maar voor een fractie van de kost. Je betaalt geen fulltime salaris voor een functie die je gemiddeld twee tot vier uur per maand nodig hebt.

Ten tweede ben ik technisch onderlegd: geen theoreticus die alleen wetten citeert. Ik bouw zelf websites en webshops in WordPress en WooCommerce, waarbij ik vanaf de ontwikkeling GDPR-compliance inbouw. Ik beheer hosting op eigen servers in Nederland en België, met alle verwerkersovereenkomsten op orde. Ik draai marketing campaigns via Google Ads, Meta en LinkedIn met first-party tracking en privacy by design. En ik implementeer AI-tools voor bedrijven, van ChatGPT policies tot eigen chatbots en privacy LLM’s. Waarom dat belangrijk is? Privacy by design betekent dat je vanaf het begin nadenkt over privacy – niet achteraf probeert te repareren wat mis is gegaan. Ik spreek de taal van je developers én je juristen, en kan beide werelden met elkaar verbinden.

Ten derde schakel ik snel: zonder bureaucratie. Geen ticketsysteem waar je dagen op antwoord wacht. Je hebt een directe lijn via email, telefoon of WhatsApp. Bij datalekken reageer ik binnen de werkuren. En je zit vast aan een maand-tot-maand contract zonder lock-in van drie jaar zoals bij veel andere partijen. Je werkt niet met een “dienstverlener” die facturen stuurt en verdwijnt. Je krijgt een partner die meedenkt over je groei en je helpt om privacy in te zetten als competitief voordeel in plaats van als verplicht nummer.

Boek een gratis intake

Verschillende opties

STARTER

Voor kleine organisaties die GDPR-compliant willen zijn zonder overbodige complexiteit.

€350 Per maand
Voor verenigingen en kleine NGO's, consultancy bureaus, KMO's met <50 medewerkers
  • 24 uur beschikbaarheid per jaar (gemiddeld 2 uur/maand)
  • Verwerkingsregister opstellen én actueel houden
  • Jaarlijkse compliance audit (check of alles nog klopt)
  • E-mail & telefoon support (reactie binnen 48 uur)
  • Verwerkersovereenkomsten (DPA's) reviewen met je leveranciers
  • Toegang tot templates & checklists (privacy policy, cookiebeleid, etc.)
Contacteer mij
PROFESSIONAL

Voor organisaties waar data verwerking een core onderdeel is van je business.

€595 Per maand
Voor HR, zorgorganisaties, marketingbureaus en KMO's met 50-250 medewerkers
  • 48 uur beschikbaarheid per jaar (gemiddeld 4 uur/maand)
  • Kwartaal compliance reviews (4x per jaar)
  • Privacy impact assessments (DPIA) begeleiden bij projecten
  • Spoedlijn bij datalekken (bereikbaarheid)
  • Datalekprocedure opstellen + GBA registratie als contactpunt bij lekken
  • 1 medewerkerstraining per jaar (halve dag, maximum 15 personen)
Contacteer mij
ENTERPRISE

Voor organisaties waar privacy strategisch is en je proactief wil blijven.

€995 Per maand
Voor politieke partijen, grote NGO's, gemeenten en publieke instellingen, tech bedrijven
  • 96 uur beschikbaarheid per jaar (gemiddeld 8 uur/maand)
  • Kwartaal compliance reviews (4x per jaar)
  • Privacy impact assessments (DPIA) begeleiden bij projecten
  • Spoedlijn bij datalekken (bereikbaarheid)
  • Datalekprocedure opstellen + GBA registratie als contactpunt bij lekken
  • 1 medewerkerstraining per jaar (halve dag, maximum 15 personen)
Contacteer mij

Eenmalige diensten

Nog niet klaar voor een maandelijks pakket? Ik help je ook met losse projecten:

  • Privacy Gap Analyse: Rapport met status, risico's en actieplan
  • Verwerkingsregister: Volledig register + uitleg hoe je het bijhoudt
  • Privacy policy + Cookiebeleid: Op maat geschreven voor jouw website
  • DPIA begeleiding: Volledige impact assessment + rapportage
  • Datalekmelding GBA: Spoedmelding binnen 72 uur
  • GDPR training: Halve dag voor max 15 personen (on-site of online)

Beproefde expertise: geen theorie

Ik praat niet alleen over privacy. Ik doe het dagelijks – en dat al jaren. Als DPO ben ik verantwoordelijk voor de GDPR-compliance van een politieke partij met meer dan honderd lokale websites. Politieke overtuiging valt onder de speciale categorieën van de GDPR, wat betekent dat de eisen strenger zijn en de risico’s groter. Ik beheer complexe verwerkersovereenkomsten met tientallen leveranciers, van hostingpartijen tot marketingtools, en zorg ervoor dat alle lokale afdelingen compliant werken met de centrale richtlijnen.

Daarnaast heb ik de afgelopen jaren meer dan honderdvijftig websites gebouwd voor uiteenlopende klanten. Van WordPress en WooCommerce sites tot maatwerk webapplicaties – allemaal met privacy by design vanaf de eerste regel code. Dat betekent GDPR-compliant formulieren zonder onnodige datavelden, correcte cookie implementatie zonder pre-ticked boxes, en tracking oplossingen die geen persoonlijke data lekken naar Amerikaanse servers. Als ik een website bouw, is privacy geen “nice to have” die achteraf wordt toegevoegd: het zit in het DNA van het project.

Ook op het gebied van marketing combineer ik praktijk met privacy. Ik draai advertising campaigns voor bedrijven via Google Ads, Meta Ads en LinkedIn, maar dan met first-party tracking in plaats van invasieve third-party cookies. Ik configureer cookiebanners correct volgens de laatste GBA-richtlijnen en implementeer analytics oplossingen zoals Matomo en Plausible die geen toestemming nodig hebben omdat ze privacy-vriendelijk zijn. Mijn klanten kunnen meten en optimaliseren zonder hun bezoekers te tracken zoals een stalker.

Boek een gratis intake
Stappenplan

Hoe werkt het?

Of check gratis jouw GDPR
Stap 1: Intake gesprek (30 minuten, gratis)

We plannen een videocall of koffie-afspraak waarin ik luister naar jouw situatie:

  • Wat doet jouw organisatie precies?
  • Welke data verwerk je?
  • Heb je al privacy documentatie?
  • Wat zijn je zorgen of vragen?

Belangrijkste vraag die ik beantwoord: Heb je überhaupt een DPO nodig volgens de wet?

Stap 2: Gap analyse (optioneel)

Als je wil weten waar je nu staat, doe ik een grondige check:

  • Check verwerkingsregister (of het ontbreekt)
  • Review je website (cookies, tracking, formulieren)
  • Check verwerkersovereenkomsten met leveranciers
  • ✓ Interview key stakeholders (IT, HR, marketing)

Je krijgt een duidelijk rapport: wat is goed, wat moet beter, wat zijn de risico's.

Stap 3: Offerte op maat

Ik stel voor:

  • Welk pakket past (of maatwerk voorstel)
  • Wat zijn de eerste prioriteiten
  • Indicatieve tijdlijn

Alles transparant en zoveel mogelijk op voorhand besproken.

Stap 4: Onboarding (geschat 1 maand)

We gaan aan de slag:

  • Week 1-1: Verwerkingsregister opzetten, leveranciers inventariseren
  • Week 3-4: Procedures documenteren, team informeren

Daarna: Continue compliance. Ik ben beschikbaar volgens je pakket: proactief én reactief.

Veelgestelde vragen

Wat is het verschil tussen een DPO en een privacy consultant?

Een DPO is een wettelijke functie volgens GDPR Artikel 37-39. Als je organisatie aan de criteria voldoet, moet je er één hebben: geen optie. Een privacy consultant adviseert je, maar heeft niet de formele rol en verantwoordelijkheden van een DPO.

De rol van DPO:

  • Officieel aanspreekpunt voor toezichthouder (GBA)
  • Onafhankelijke positie (mag niet geïnstrueerd worden door management over HOE privacy gedaan moet worden)
  • Specifieke taken volgens GDPR

Ik kan beide rollen vervullen: DPO voor wie het verplicht heeft, consultant voor wie het niet nodig heeft maar wel wil optimaliseren.

Kan een DPO extern zijn?

Absoluut. De GDPR staat externe DPO's expliciet toe (Artikel 37 lid 6). Veel organisaties kiezen hiervoor omdat:

  • Het goedkoper is dan een interne voltijdse
  • Je toegang hebt tot specialistische kennis
  • Je niet afhankelijk bent van één persoon (vakantie, ziekte, ontslag)
  • Er geen belangenconflict is (interne DPO mag geen marketing manager of IT-hoofd zijn)

Belangrijkste voorwaarde: De externe DPO moet goed bereikbaar zijn en voldoende beschikbaar. Daarom werk ik met vaste pakketten met uren per jaar + spoedlijn bij datalekken.

Hoeveel uren heb ik echt nodig?

Dit hangt af van je organisatie, maar hier zijn gemiddelden:

Startfase (eerste 2-3 maanden):

  • Klein: 8-12 uur (registers opzetten, basisprocessen)
  • Middelgroot: 16-24 uur (complexere situatie, meer leveranciers)
  • Groot: 32-48 uur (uitgebreide verwerkingen, veel afdelingen)

Lopende basis (per maand gemiddeld):

  • Klein: 1-2 uur (updates, ad-hoc vragen, jaarlijkse audit)
  • Middelgroot: 2-4 uur (kwartaalreviews, DPIA's, training)
  • Groot: 4-8 uur (maandelijkse check-ins, proactief meedenken)

Pieken:

  • Datalek: 4-8 uur (afhankelijk complexiteit)
  • Nieuwe software/tool: 2-4 uur (DPIA + implementatie check)
  • GBA-controle: 8-16 uur (voorbereiding + begeleiding)
Wat gebeurt er concreet bij een datalek?

Je belt mij op de spoedlijn. Daarna volgen we dit proces:

Uur 0-2: Assessment

  • Wat is er precies gebeurd?
  • Welke data is gelekt?
  • Hoeveel mensen getroffen?
  • Wat is het risico?

Uur 2-24: Containment

  • Lek dichten (samenwerking met IT)
  • Bewijsmateriaal veiligstellen
  • Intern communicatieplan

Uur 24-72: Melding

  • Melding voorbereiden voor GBA (verplicht binnen 72 uur)
  • Besluit: moeten betrokkenen geïnformeerd? (alleen bij hoog risico)
  • Indienen melding bij GBA

Na 72 uur: Nazorg

  • Preventieve maatregelen implementeren
  • Documentatie bijwerken
  • Indien nodig: communicatie naar betrokkenen

Wat kost het? Bij Professional en Enterprise pakket: inclusief. Bij Starter pakket: €750 voor spoedbegeleiding.

Mag een DPO ook andere taken hebben bij onze organisatie?

Belangrijk juridisch punt: Een DPO mag geen taken hebben die een belangenconflict creëren. Concreet:

MAG NIET gecombineerd worden met:

  • CEO, directeur, bestuurslid
  • Marketing manager
  • IT-manager
  • HR-manager
  • Compliance officer

Waarom? Deze functies bepalen "doeleinden en middelen" van gegevensverwerking. De DPO moet daar onafhankelijk toezicht op houden.

MAG WEL gecombineerd worden met:

  • Website ontwikkeling
  • Hosting diensten
  • Technische implementatie
  • Marketing uitvoering (geen strategie)

In mijn geval: Ik ben extern, dus geen belangenconflict. Als ik je website bouw of hosting doe, versterkt dat juist de privacy compliance (ik implementeer privacy by design vanaf het begin).

Wat kost een GDPR-boete eigenlijk?

De GDPR kent twee categorieën boetes:

Categorie 1 (minder ernstig):

  • Maximum: €10 miljoen OF 2% wereldwijde jaaromzet
  • Voorbeelden: geen verwerkingsregister, geen DPO als het verplicht is

Categorie 2 (ernstig):

  • Maximum: €20 miljoen OF 4% wereldwijde jaaromzet
  • Voorbeelden: verwerken zonder rechtsgrond, datalek niet melden, geen toestemming

In de Belgische praktijk:

De Gegevensbeschermingsautoriteit (GBA) kan ook:

  • Waarschuwingen geven
  • Tijdelijke of permanente verwerkingsverboden opleggen
  • Audits verplichten

Gemiddelde boetes in België:

  • KMO's: €5.000 - €50.000 (afhankelijk van ernst en omzet)
  • Grote bedrijven: €50.000 - €500.000
  • Multinationals: €1+ miljoen

Maar: Imagoschade is vaak erger dan de boete. Klanten verliezen vertrouwen, media-aandacht is negatief, recruitment wordt moeilijker.

Kan ik maand-tot-maand opzeggen?

Ja. Alle pakketten zijn maand-tot-maand met 1 maand opzegtermijn.

Waarom? Ik geloof in samenwerking op basis van kwaliteit - niet omdat je vastgeklonken zit aan een 3-jarig contract. Als je niet tevreden bent, moet je kunnen stoppen.

Voordeel langdurig contract: Als je wel voor 1 of 2 jaar wil vastleggen, bespreek ik graag een korting (tot 15%).

Wat als ik meer uren nodig heb dan in mijn pakket?

Flexibiliteit ingebouwd:

  • Extra uren: €95/uur (bovenop je pakket)
  • Grote projecten (DPIA, audit, etc.): vooraf offerte
  • Upgrade naar hoger pakket: pro-rata berekening

Praktijk: De meeste klanten blijven binnen hun pakket. Als je structureel meer nodig hebt, upgraden we gewoon.

Mijn reviews

Wat zeggen klanten
over mij?

⭐⭐⭐⭐⭐

“De webshop die we voor ogen hadden is snel en vakkundig opgezet. Wij kunnen deze nu zelf beheren waardoor we uiteindelijk kosten besparen."

Wouter den Ouden
⭐⭐⭐⭐⭐

“Goede samenwerking, professioneel werk afgeleverd. De communicatie verliep eenvoudig waardoor je snel met elkaar kan schakelen.”​

Jasper Bulthoven
⭐⭐⭐⭐⭐

"Resultaatgericht, vlotte communicatie en betrouwbaar. Ze vragen feedback voor optimaal resultaat. Website werd snel afgeleverd."

Danny Petersen
België

"Revaio heeft ons goed geholpen met SEO & digital marketing. Het aantal backlinks is sterk gestegen wat onze Google rankings ten goede kwam. Verder heeft Revaio onze eerste digital marketing campagnes op Facebook & Google succesvol opgezet."

Valérie Brabanders

Mede-manager Glazoo

Nederland

"Stijn is met Revaio onze held op gebied van online marketing. Hij onderhoud zelfstandig onze Facebook pagina, maakt doelgerichte advertenties en werkt aan de hand van duidelijke doelen."

Daniel Jan van Oudheusden

Manager iXL Hosting

Nederland

"Heel prettig samengewerkt met Stijn. Snel in reactie en vlot in verbeteringen doorvoeren. Met een frisse nieuwe website als resultaat: vso-beoordeling.nl. Enorme aanrader!"

Martin Saul

Manager VSO Beoordeling

Laten we samenwerken!

Nood aan een babbel?
Let's talk business.

Contacteer mij

Mijn expertise in strategie, privacy en technische skills, tillen jouw organisatie naar een hoger privacy- en productiviteitsniveau.

Ik gebruik cookies uitsluitend voor anonieme verwerking. Cookies Policy