AVG-checklist voor Belgische KMO (2026): 35 punten

In 2022 bestrafte de GBA (Gegevensbeschermingsautoriteit) IAB Europe in een baanbrekende beslissing over het TCF-raamwerk (Transparency and Consent Framework): het systeem dat door duizenden websites wordt gebruikt om cookietoestemming te beheren voldeed niet aan de AVG. In 2024 legde de GBA Mediahuis een dwangsom van €25.000 per dag op voor een cookiebanner met een opvallende accepteerknop en een nauwelijks zichtbare weigerknop. Dat zijn geen incidenten voor grote bedrijven alleen.

De GBA vermeldt in haar strategisch plan uitdrukkelijk dat KMO's een handhavingsprioriteit zijn. Uw website verwerkt waarschijnlijk meer persoonsgegevens dan u denkt. Onderstaande 35 punten helpen u te bepalen waar u staat.

Scan uw website gratis op de meest voorkomende AVG-problemen

Domein 1: wettelijke identificatie (5 punten)

☐ 1. KBO-nummer zichtbaar op de website

Op grond van het Wetboek van economisch recht (WER, Boek III) moeten alle Belgische bedrijven hun ondernemingsnummer (KBO-nummer) zichtbaar weergeven op hun website. Het nummer heeft 10 cijfers in het formaat 0123.456.789 en hoort in de voettekst én op de juridische vermeldingenpagina.

☐ 2. BTW-nummer vermeld (voor BTW-plichtigen)

BTW-plichtigen vermelden hun BTW-nummer in het Belgische formaat: BE gevolgd door het KBO-nummer. Dit nummer staat ook op facturen en in de algemene voorwaarden als u online verkoopt.

☐ 3. Volledige bedrijfsnaam en fysiek adres

Een postbusadres volstaat niet. Vermeld het volledige maatschappelijke adres en de rechtsvorm (BV, NV, VZW).

☐ 4. Werkend contactmailadres

Een contactmailadres is verplicht en dient ook als kanaal voor het uitoefenen van AVG-rechten (inzage, correctie, verwijdering).

☐ 5. Tweetalige vermeldingen voor Brusselse ondernemingen

Bedrijven gevestigd in het Brussels Hoofdstedelijk Gewest die zich tot het publiek richten, moeten hun consumenteninformatie in het Frans én het Nederlands aanbieden. Dit omvat juridische vermeldingen, algemene voorwaarden en privacyverklaring.

Domein 2: cookiebanner en toestemming (7 punten)

☐ 6. Cookiebanner aanwezig bij niet-functionele cookies

Als uw website analytics, marketingtrackers of sociale media-plugins laadt, is een toestemmingsbanner verplicht op grond van de wet van 13 juni 2005 betreffende de elektronische communicatie en de AVG.

☐ 7. Weigerknop even zichtbaar als accepteerknop

De GBA heeft in haar beslissing tegen Mediahuis (Beslissing 113/2024) geoordeeld dat een grote gekleurde accepteerknop met een kleine of verborgen weigeroptie geen geldige toestemming oplevert. Beide opties moeten visueel gelijkwaardig zijn.

☐ 8. Scripts niet geladen vóór toestemming

Test dit zelf: klik op "Weigeren" in uw eigen cookiebanner en open vervolgens het Netwerktabblad in de browsertools (F12). Als er verzoeken zichtbaar zijn naar google-analytics.com of facebook.com, blokkeert uw banner de scripts niet effectief.

☐ 9. Geen vooraf aangevinkte vakjes voor niet-functionele cookies

Categorieën zoals analytics of marketing mogen in een gedetailleerd instellingenpaneel standaard niet ingeschakeld zijn. De gebruiker moet actief kiezen.

☐ 10. Toestemming bewaard bij terugkerende bezoeken

De cookiebanner mag niet bij elk bezoek opnieuw verschijnen als de gebruiker al een keuze heeft gemaakt. De toestemming moet voor een redelijke periode worden bewaard.

☐ 11. Link om voorkeuren te beheren op elke pagina

Een link "Cookievoorkeuren beheren" of vergelijkbaar in de voettekst laat gebruikers hun toestemming te allen tijde intrekken of aanpassen.

☐ 12. Geen cookiewall die de toegang blokkeert

Een wall die toegang tot de website weigert tenzij de gebruiker instemt met advertentiecookies is in de meeste gevallen ongeldig. De GBA heeft dit standpunt bevestigd in haar richtsnoeren.

Domein 3: privacyverklaring (7 punten)

☐ 13. Privacyverklaring aanwezig en bereikbaar

De verklaring moet via een link in de voettekst bereikbaar zijn van elke pagina. Dit volgt uit artikel 13 van de AVG en de wet van 30 juli 2018 betreffende de bescherming van persoonsgegevens in België.

☐ 14. Identificatie van de verwerkingsverantwoordelijke

Naam, adres en KBO-nummer van uw onderneming staan in de verklaring. Als u een functionaris voor gegevensbescherming (FG/DPO) heeft, staat ook zijn of haar contactgegevens erin.

☐ 15. Doeleinden en grondslagen per verwerkingsactiviteit

Een algemeen statement volstaat niet. Per activiteit (contactformulier, nieuwsbrief, analytics, betalingen) vermeldt u het doel en de rechtsgrond: toestemming, overeenkomst, wettelijke verplichting of gerechtvaardigd belang.

☐ 16. Bewaartermijnen nauwkeurig omschreven

In België geldt op grond van het Wetboek van Vennootschappen en Verenigingen een bewaartermijn van 10 jaar voor boekhoudkundige documenten. Dat is langer dan de 7 jaar die in veel andere landen gangbaar is. Als klantgegevens aan transacties zijn gekoppeld (facturen, bestelhistorieken), geldt die 10 jaar voor de boekhoudkundige dimensie.

☐ 17. Ontvangers en verwerkers bij naam genoemd

Elke externe dienst die namens u persoonsgegevens verwerkt, staat in de verklaring: Google Analytics, Mailchimp, Stripe, uw hostingprovider. "Derde partijen" zonder namen voldoet niet aan de AVG.

☐ 18. Rechten van betrokkenen uitgelegd

De verklaring beschrijft concreet hoe een gebruiker inzage, correctie, verwijdering of overdraagbaarheid kan aanvragen. Een werkend e-mailadres bij die uitleg is voldoende.

☐ 19. Doorgifte buiten de EU vermeld

Als u Amerikaanse diensten gebruikt (Google, Meta, Stripe, Mailchimp), worden er gegevens doorgegeven naar de VS. Controleer of uw leverancier gecertificeerd is onder het EU-VS Data Privacy Framework en vermeld die overdracht in uw verklaring.

Domein 4: formulieren en gegevensverzameling (6 punten)

☐ 20. Link naar privacyverklaring bij elk formulier

Bij elk formulier staat een link naar de privacyverklaring, bij voorkeur vlak boven of onder de verzendknop.

☐ 21. Nieuwsbrief apart van andere toestemming

U mag de inschrijving op een nieuwsbrief niet samenvoegen met de acceptatie van algemene voorwaarden of een andere akkoordverklaring. Elke verwerking heeft een eigen, afzonderlijk akkoordvakje.

☐ 22. Geen vooraf aangevinkte vakjes voor marketing

Vooraf ingeschakelde marketingvakjes zijn ongeldig op grond van de AVG en de wet van 13 juni 2005. Het Planet49-arrest van het Hof van Justitie (C-673/17) bevestigt dat.

☐ 23. Bewijs van toestemming bewaard

U kunt aantonen wanneer en hoe een gebruiker zijn toestemming heeft gegeven. De meeste e-mailplatformen (Mailchimp, Brevo) registreren dit automatisch.

☐ 24. Werkende afmeldlink in elke marketingmail

Elke commerciële e-mail bevat een werkende afmeldlink. Uitschrijving moet binnen 10 werkdagen effectief zijn.

☐ 25. Geen overbodige velden in formulieren

Het dataminimalisatiebeginsel (AVG art. 5) verbiedt het verzamelen van meer gegevens dan noodzakelijk voor het opgegeven doel. Een contactformulier heeft geen geboortedatum of telefoonnummer nodig als die informatie voor de dienst niet vereist is.

Domein 5: verwerkers en contracten (4 punten)

☐ 26. Verwerkersovereenkomsten gesloten met externe tools

Voor elke tool die namens u persoonsgegevens verwerkt, heeft u een verwerkersovereenkomst (DPA). Google, Mailchimp, Stripe en uw hostingprovider bieden die standaard aan in hun klantomgeving of algemene voorwaarden.

☐ 27. Bijgewerkt overzicht van verwerkers

Een eenvoudig overzicht (tool, doel, verwerkte data, serverlocatie) maakt het beantwoorden van GBA-vragen sneller en beperkt de zoektijd bij een incident.

☐ 28. Google Fonts lokaal gehost of vervangen

Het laden van Google Fonts van Google-servers stuurt het IP-adres van elke bezoeker door naar Google zonder voorafgaande toestemming. De oplossing is het lokaal hosten van de lettertypebestanden op uw eigen server.

☐ 29. Google Maps en YouTube enkel na toestemming geladen

Rechtstreeks ingebedde Google Maps-kaarten en YouTube-video's laden trackingcookies zodra de pagina verschijnt. Vervang de directe integratie door een statische afbeelding die de echte integratie pas laadt nadat de gebruiker op de afbeelding klikt.

Domein 6: beveiliging en technische maatregelen (6 punten)

☐ 30. Website volledig op HTTPS

Een onbeveiligde verbinding is een beveiligingsrisico voor de verwerkte persoonsgegevens. Uw SSL/TLS-certificaat moet geldig en actueel zijn.

☐ 31. CMS en plugins up-to-date

Een WordPress- of WooCommerce-installatie met bekende beveiligingslekken is een veelvoorkomende oorzaak van datalekken. Schakel automatische updates in voor niet-kritieke componenten.

☐ 32. Procedure voor datalekmelding binnen 72 uur

Bij een datalek dat risico's meebrengt voor betrokkenen, moet u de GBA binnen 72 uur na de vaststelling verwittigen. Weet u wie in uw organisatie verantwoordelijk is voor die melding? Heeft u het contactformulier van de GBA bij de hand?

☐ 33. Register van verwerkingsactiviteiten (RAV)

KMO's waarvan de verwerking niet "incidenteel" is, zijn verplicht een RAV bij te houden. Voor de meeste actieve commerciële websites (met analytics, contactformulieren en nieuwsbrief) is dat het geval. Een eenvoudig Excel-bestand volstaat.

☐ 34. Sterke wachtwoorden voor het beheer

Het beheerderswachtwoord van uw CMS geeft toegang tot alle persoonsgegevens die het bevat. Gebruik unieke, sterke wachtwoorden en activeer tweefactorauthenticatie op beheerdersaccounts.

☐ 35. Regelmatige back-ups

Automatische back-ups beschermen klantgegevens bij een incident. Controleer of u een recente staat kunt herstellen als dat nodig zou zijn.

Wat de GBA de afgelopen jaren heeft gesanctioneerd

GBA vs IAB Europe (Beslissing nr. 21/2022): In haar beslissing van 2 februari 2022 oordeelde de GBA dat het TCF-raamwerk, het toestemmingssysteem dat door duizenden advertentiesites wordt gebruikt, geen geldige rechtsgrond bood. IAB Europe werd als medeverantwoordelijke verwerkingsverantwoordelijke aangemerkt en een boete van €250.000 werd opgelegd. Het Brusselse Marktenhof vernietigde Beslissing nr. 21/2022 op 14 mei 2025 om procedurele redenen, maar bevestigde de boete van €250.000 en de kern van de redenering van de GBA dat TC-strings persoonsgegevens zijn en IAB Europe gezamenlijk verwerkingsverantwoordelijke is.

GBA vs Mediahuis (Beslissing 113/2024): Dwangsom van €25.000 per dag voor dark patterns in een cookiebanner: een grote gekleurde accepteerknop met een nauwelijks zichtbare weigeroptie. De beslissing staat op de website van de GBA.

GBA Cookiebanner-sweep 2023-2024: De GBA heeft systematisch cookiebanners gecontroleerd op Belgische websites, zowel bij grote bedrijven als bij KMO's in de retail- en dienstensector.

Voor een stap-voor-stap audit van uw website, raadpleeg onze AVG website-audit voor Belgische ondernemers.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een advocaat of AVG-adviseur voor advies over uw specifieke situatie.

Bronnen

• GBA: Gegevensbeschermingsautoriteit
• AVG, Verordening 2016/679 (EUR-Lex)
• Wet van 30 juli 2018 betreffende de bescherming van persoonsgegevens (ejustice.just.fgov.be)
• Wet van 13 juni 2005 betreffende de elektronische communicatie (ejustice.just.fgov.be)