De Algemene Verordening Gegevensbescherming (AVG/GDPR) geldt sinds mei 2018 en wordt door de Belgische Gegevensbeschermingsautoriteit steeds actiever gehandhaafd. KMO’s krijgen sinds 2024 vaker boetes voor basisinbreuken. Wie het correct implementeert, vermijdt niet alleen straffen, maar bouwt ook vertrouwen bij klanten op.
Inventariseer je gegevensverwerkingen
Begin met een register van verwerkingsactiviteiten (artikel 30 AVG). Daarin lijst je op: welke persoonsgegevens je verwerkt (naam, adres, e-mail, betaalgegevens, IP-adres), met welk doel, op welke rechtsgrond, hoe lang je ze bewaart en met wie je ze deelt.
Voor de meeste KMO’s gaat het om een handvol verwerkingen: klantadministratie, leveranciersbestand, personeelsadministratie, e-mailmarketing, websiteanalyse en eventueel CCTV-bewaking. Een eenvoudig Excel-tabblad volstaat voor kleine zaken; grotere structuren werken met een tool zoals OneTrust of TrustArc.
Privacyverklaring op je website
Een AVG-conforme privacyverklaring is verplicht. Hij beschrijft welke gegevens je verzamelt, waarom, op welke rechtsgrond, hoelang, en welke rechten de bezoeker heeft (inzage, correctie, verwijdering, overdraagbaarheid, bezwaar). Hij vermeldt ook of je gegevens deelt met derden of doorgeeft buiten de EU.
Vermijd algemene templates zonder enige aanpassing. Een controle van de Gegevensbeschermingsautoriteit checkt of de verklaring jouw werkelijke verwerking weerspiegelt. Werk hem minstens jaarlijks bij of bij elke nieuwe tool die je inzet.
Beveilig je systemen
Sterke wachtwoorden (minimaal 12 tekens), tweefactor-authenticatie op kritieke systemen, regelmatige software-updates en encryptie van laptops en USB-sticks zijn de basis. Gebruik een wachtwoordmanager zoals 1Password of Bitwarden voor je hele team.
Backup je gegevens dagelijks, en test minstens elk kwartaal of je werkelijk kunt herstellen. Een goede 3-2-1-strategie (3 kopieen, op 2 verschillende media, 1 buitenshuis of in een andere cloud) beschermt tegen zowel hardware-uitval als ransomware-aanvallen, die volgens Cert.be in 2025 met 40 procent toenamen voor Belgische KMO’s.
Verwerkersovereenkomsten
Elke partij die jouw klantgegevens verwerkt voor jou (boekhouder, IT-leverancier, e-mailtool, hostingprovider) is een verwerker volgens de AVG. Met elk van hen sluit je een verwerkersovereenkomst (artikel 28 AVG). Veel grote leveranciers (Microsoft, Google) bieden een standaardversie online; kleinere lokale leveranciers vragen er soms nog niet uit zichzelf om.
Inventariseer minstens een keer per jaar wie jouw verwerkers zijn en check of de overeenkomsten op orde zijn. Een ontbrekende DPA bij een controle is een van de meest gemaakte fouten en levert standaard een waarschuwing of boete op.
Rechten van betrokkenen
Klanten en bezoekers hebben recht op inzage, correctie, verwijdering en overdraagbaarheid van hun gegevens. Een verzoek moet je binnen een maand beantwoorden, gratis. Een centraal e-mailadres (privacy@jouwbedrijf.be) en een eenvoudig procesfiche bij je personeel maken dit overzichtelijk.
Verwijderingsverzoeken zijn niet altijd absoluut. Wettelijke bewaartermijnen (boekhouding 7 jaar, fiscale documenten 7 jaar, sociale wetgeving 5 jaar) gaan voor het recht op vergetelheid. Documenteer waarom je niet (volledig) kunt verwijderen.
Personeel
Je medewerkers zijn vaak het grootste lek. Een goed AVG-beleid bestaat uit een interne richtlijn, een korte opleiding bij indiensttreding, en jaarlijkse herhaling. Cijfers van Cert.be tonen dat 70 tot 80 procent van datalekken bij Belgische KMO’s te maken heeft met menselijke fouten (verkeerde mail, verloren laptop, phishing).
Maak het concreet: hoe ga je om met klantgegevens, wat doe je bij een verloren laptop, hoe herken je phishingmails, mag je via WhatsApp persoonsgegevens delen? Een fiche van 1 A4 plus een jaarlijkse refresher voorkomt veel ellende.
Boetes
De Belgische Gegevensbeschermingsautoriteit deelde in 2024 boetes uit van 1.000 tot meer dan 600.000 euro, met meerdere KMO-boetes in de range van 5.000 tot 50.000 euro. De boetes worden bovendien vaker openbaar gemaakt, met reputatieschade als gevolg.
De grootste valkuilen blijven: ontbrekende privacyverklaring, geen verwerkersovereenkomsten, niet-tijdig melden van datalekken (binnen 72 uur), en doorzichtige cookiebanners. Een audit door een externe DPO of consultant (kost 1.500 tot 5.000 euro) kan je een veelvoud aan boetes besparen.
