AVG veilige website: artikel 32 voor Belgische KMO's
Steven | TrustYourWebsite · 12 juni 2026 · Laatst bijgewerkt: juni 2026
Elke website die persoonsgegevens verzamelt, valt onder de AVG/GDPR. En de AVG gaat niet alleen over cookiebanners en privacyverklaringen. Ze verplicht u ook om die gegevens te beschermen met degelijke beveiligingsmaatregelen. Voer een gratis websitescan uit om te zien waar uw site nu staat.
Artikel 32 van de AVG zegt het duidelijk: u moet "passende technische en organisatorische maatregelen" nemen om persoonsgegevens te beschermen. Als uw website wordt gehackt omdat u de basisbeveiliging oversloeg, heeft u niet alleen een datalek. U riskeert ook een boete.
AVG en websitebeveiliging in België: het wettelijke kader
In België is artikel 32 van de AVG rechtstreeks van toepassing, versterkt door de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Die wet wijst de Gegevensbeschermingsautoriteit / Autorité de protection des données (GBA/APD) aan als de Belgische toezichthouder.
De GBA/APD heeft een Geschillenkamer (Chambre Contentieuse) die handhavingsbeslissingen neemt. Wanneer een Belgisch bedrijf een datalek meldt op grond van artikel 33 AVG, onderzoekt de GBA/APD welke beveiligingsmaatregelen er vooraf waren. Als die maatregelen ontoereikend waren, kan een schending van artikel 32 volgen uit het datalekonderzoek.
De GBA/APD heeft richtsnoeren gepubliceerd die duidelijk maken dat ontoereikende technische beveiliging tot de meest voorkomende gronden voor handhaving tegen Belgische organisaties behoort. Kleine bedrijven zijn hiervan niet vrijgesteld: de verplichting om "passende" maatregelen te nemen geldt ongeacht de omvang.
Wat artikel 32 werkelijk zegt
De volledige tekst van artikel 32 spreekt over versleuteling, pseudonimisering, vertrouwelijkheid en veerkracht. Het klinkt alsof het voor banken en ziekenhuizen is geschreven. Maar het sleutelwoord is "passend". De AVG verwacht niet dat een bakkerij met vijf medewerkers dezelfde beveiligingsoperatie draait als een multinational. Ze verwacht maatregelen die in verhouding staan tot het risico.
Voor de website van een klein bedrijf betekent "passend" de basis op orde hebben. Niemand geeft u een boete omdat u geen eigen security operations centre heeft. Maar u krijgt wel een boete als u een verouderde WordPress-installatie draait met een standaard beheerderswachtwoord terwijl uw contactformulier klantgegevens onversleuteld verzamelt.
De norm is proportioneel. Een website die namen en e-mailadressen verwerkt via een contactformulier heeft een andere beveiliging nodig dan een site die medische dossiers opslaat. Maar beide hebben iets nodig.
Uw website verwerkt persoonsgegevens (ja, ook dat contactformulier)
Misschien denkt u dat uw website te eenvoudig is om u zorgen te maken over AVG-beveiliging. Maar kijk eens goed naar wat hij werkelijk doet.
Contactformulieren verzamelen namen, e-mailadressen, telefoonnummers en alles wat bezoekers in het berichtveld typen. Dat zijn persoonsgegevens.
Nieuwsbriefinschrijvingen slaan e-mailadressen en soms namen op. U verwerkt persoonsgegevens.
Boekingssystemen kunnen namen, telefoonnummers, geboortedata en zelfs gezondheidsinformatie verzamelen bij medische praktijken of tandartsen.
Analyticstools kunnen IP-adressen en surfgedrag volgen. Serverlogs doen hetzelfde.
Heeft uw website één van deze elementen, dan gelden de AVG-beveiligingsvereisten voor u. Er bestaat geen minimale omvangsdrempel. Zelfs een website van één pagina met een contactformulier valt onder deze verplichting.
Minimale beveiligingsmaatregelen voor AVG-naleving
"Passende technische maatregelen" voor de website van een klein bedrijf komen neer op zes concrete controles.
| Controle | Wat het doet | Waar te controleren | Wie is verantwoordelijk |
|---|---|---|---|
| Overal HTTPS | Versleutelt gegevens onderweg tussen browser en server | Browserslotje op elke pagina | De hostingprovider zet TLS op, u controleert de vernieuwing |
| Software-updates | Dicht bekende kwetsbaarheden voordat aanvallers ze gebruiken | CMS-beheerpaneel, pluginlijst | U (of uw ontwikkelaar) |
| Toegangscontrole | Stopt inbraken via inloggegevens | Lijst van gebruikersaccounts in uw CMS | U |
| Back-ups | Laat u herstellen na een incident zonder gegevensverlies | Hostingcontrolepaneel, externe opslag | Hostingprovider + u |
| Beveiligingsheaders | Beschermt tegen clickjacking en cross-site scripting | Mozilla Observatory | Uw ontwikkelaar of hostingconfiguratie |
| E-mailauthenticatie | Voorkomt dat aanvallers uw domein spoofen in phishingmails | DNS TXT-records van uw domein | U of uw DNS-provider |
Overal HTTPS
Elke pagina moet laden via HTTPS met een geldig SSL-certificaat. Geen uitzonderingen. Dit versleutelt gegevens onderweg tussen de browser van uw bezoeker en uw server. Toont uw site nog "Niet beveiligd" in de browserbalk, los dat dan eerst op.
Software-updates
Uw CMS, plugins, thema's en serversoftware moeten up-to-date zijn. Verouderde software is de belangrijkste manier waarop websites van kleine bedrijven worden gecompromitteerd. WordPress-sites met oude plugins zijn extra kwetsbaar.
Toegangscontrole
Beheerdersaccounts hebben sterke wachtwoorden nodig en waar mogelijk tweefactorauthenticatie. Standaard gebruikersnamen zoals "admin" moet u wijzigen. Beperk wie toegang heeft tot het beheergedeelte van uw website en uw hostingpaneel.
Back-ups
Regelmatige back-ups die gescheiden van uw webserver worden bewaard. Als uw site wordt gecompromitteerd, moet u hem kunnen herstellen. Een datalek is al erg genoeg zonder dat u ook nog al uw gegevens definitief verliest.
Beveiligingsheaders
HTTP-beveiligingsheaders beschermen uw bezoekers tegen veelvoorkomende aanvallen zoals clickjacking en cross-site scripting. De meeste hostingomgevingen worden geleverd met zwakke standaardinstellingen. U kunt de headers van uw site gratis controleren via Mozilla Observatory.
E-mailauthenticatie
Als uw domein e-mail verstuurt (en dat doet het waarschijnlijk via meldingen van uw contactformulier), stel dan SPF-, DKIM- en DMARC-records in. Die voorkomen dat aanvallers uw domein spoofen om phishingmails naar uw klanten te sturen.
Wat er gebeurt als de beveiliging faalt: de meldplicht voor datalekken
Artikel 33 van de AVG verplicht u om datalekken binnen 72 uur te melden aan de gegevensbeschermingsautoriteit. In België betekent dat melden bij de GBA/APD. Als het lek een hoog risico vormt voor de rechten van personen, moet u ook de betrokkenen zelf informeren op grond van artikel 34.
Hier verandert slechte websitebeveiliging in een echt probleem. Wanneer uw website wordt gehackt door een verouderde plugin of een zwak wachtwoord, gebeurt het volgende:
- U ontdekt het lek (soms weken of maanden later).
- U zoekt uit welke gegevens zijn ingezien.
- U meldt het binnen 72 uur na ontdekking bij de GBA/APD.
- De autoriteit onderzoekt de zaak. Ze vraagt welke beveiligingsmaatregelen er waren.
- Waren die maatregelen ontoereikend, dan riskeert u een boete bovenop het lek zelf.
De meldplicht is wat slechte beveiliging verbindt met echte boetes. Het gaat niet alleen om het voorkomen van aanvallen. Het gaat om wat er gebeurt tijdens het onderzoek achteraf. Is uw site al gecompromitteerd? Onze gids website gehackt: wat nu legt uit welke stappen u moet zetten.
Handhaving: waar de GBA/APD naar kijkt
Gegevensbeschermingsautoriteiten hebben boetes opgelegd specifiek voor ontoereikende websitebeveiliging. De Geschillenkamer van de GBA/APD kan administratieve boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet op grond van artikel 83(4)-(5) van de AVG. Voor kleine bedrijven begint handhaving doorgaans met een onderzoek na een datalekmelding, niet met een proactieve audit.
De Gegevensbeschermingsautoriteit publiceert haar beslissingen op haar website. Het patroon in de Belgische en bredere Europese handhaving is consistent: autoriteiten beboeten bedrijven niet omdat ze gehackt zijn. Ze beboeten hen omdat er vóór de hack geen redelijke bescherming was.
Lees meer over alle GDPR-verplichtingen voor Belgische KMO's om het volledige risico te begrijpen.
De kloof tussen wat u denkt en wat er werkelijk is
De meeste bedrijfsleiders gaan ervan uit dat hun webdesigner of hostingprovider de beveiliging heeft geregeld. Soms is dat zo. Vaak niet.
Uw hostingprovider levert u een server. Misschien met een firewall en basale DDoS-bescherming. Maar hij werkt uw WordPress-plugins niet bij. Hij stelt geen beveiligingsheaders in. Hij configureert uw e-mailauthenticatie niet.
Uw webdesigner heeft de site gebouwd. Misschien heeft hij een SSL-certificaat geïnstalleerd en een beheerdersaccount aangemaakt. Maar heeft hij automatische updates ingeschakeld? Heeft hij de standaard beheerdersnaam verwijderd? Heeft hij beveiligingsheaders ingesteld? In de meeste gevallen niet.
In die kloof zit het risico. De AVG legt, samen met de Belgische Wet van 30 juli 2018, de verantwoordelijkheid bij u als verwerkingsverantwoordelijke. U kunt niet naar uw hostingprovider wijzen en zeggen "ik dacht dat zij dat deden".
Wat u nu moet doen
Probeer niet alles tegelijk op te lossen. Begin met de grootste risico's.
Vandaag: Controleer of uw site op HTTPS draait. Toont hij ergens "Niet beveiligd", los dat dan eerst op.
Deze week: Log in op uw CMS en werk alles bij. Kernsoftware, plugins, thema's. Schakel automatische updates in als uw platform dat ondersteunt.
Deze maand: Vervang alle wachtwoorden door sterke unieke wachtwoorden. Stel tweefactorauthenticatie in. Controleer uw e-mailauthenticatierecords. Bekijk wie beheerderstoegang heeft en verwijder accounts die het niet nodig hebben.
Voer een scan uit: Onze gratis websitescan controleert uw site op beveiligingsproblemen, AVG-nalevingslacunes en andere problemen. U krijgt een risicoscore en een lijst van wat aandacht nodig heeft.
Voor het volledige nalevingsbeeld naast beveiliging bekijkt u onze AVG-checklist voor Belgische KMO's.
Veelgestelde vragen
Geldt de AVG voor mijn website als ik niets online verkoop?
Ja. De AVG geldt zodra u persoonsgegevens verwerkt van personen in de EU. Een contactformulier dat namen en e-mailadressen verzamelt, verwerkt persoonsgegevens. Een nieuwsbriefinschrijving verwerkt persoonsgegevens. Zelfs serverlogs die IP-adressen registreren, tellen mee. Of u online verkoopt of niet, maakt niet uit.
Kan mijn hostingprovider aansprakelijk worden gesteld voor een datalek?
Uw hostingprovider is een verwerker onder de AVG. Hij heeft eigen verplichtingen. Maar u bent de verwerkingsverantwoordelijke en u draagt de primaire verantwoordelijkheid. Als een lek ontstaat omdat u uw WordPress-plugins niet heeft bijgewerkt, treft de hostingprovider geen blaam. U heeft een verwerkersovereenkomst met uw hostingprovider nodig, maar die draagt uw eigen beveiligingsverplichtingen niet over.
Wat telt als een datalek dat ik moet melden?
Een datalek onder de AVG omvat elke accidentele of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. Een gehackt contactformulier waarbij klantberichten zijn blootgesteld, telt. Een databaselek telt. Zelfs het per ongeluk e-mailen van een klantenlijst naar de verkeerde persoon telt. U moet beoordelen of het lek een risico vormt. Is dat zo, meld het dan binnen 72 uur bij de GBA/APD.
Is een SSL-certificaat genoeg om AVG-conform te zijn?
Nee. Een SSL-certificaat versleutelt gegevens onderweg, en dat is één vereiste. Maar artikel 32 van de AVG omvat veel meer: toegangscontrole, software-updates, back-ups en het vermogen om gegevens te herstellen na een incident. HTTPS is het absolute minimum, niet de eindstreep.
Hoe bewijs ik dat ik "passende" beveiligingsmaatregelen heb?
Documenteer wat u heeft gedaan. Houd bij wanneer u uw software voor het laatst heeft bijgewerkt, welke beveiligingsmaatregelen er zijn, wie waar toegang toe heeft en welke back-upprocedures u volgt. Als de GBA/APD ooit een onderzoek opent, wil ze zien dat u over beveiliging heeft nagedacht en redelijke stappen heeft gezet. Ze zoekt geen perfectie. Ze zoekt bewijs dat u het serieus heeft genomen.
Controleer uw website in 60 seconden
Onze scanner controleert automatisch HTTPS, beveiligingsheaders, verouderde software en AVG-nalevingslacunes op uw website.
Controleer gratis hoe veilig uw website is →
Bronnen
- Verordening (EU) 2016/679 (AVG), artikel 32 (eur-lex.europa.eu)
- Verordening (EU) 2016/679 (AVG), artikel 33 (eur-lex.europa.eu)
- Verordening (EU) 2016/679 (AVG), volledige tekst in het Nederlands (eur-lex.europa.eu)
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen (ejustice.just.fgov.be)
- Gegevensbeschermingsautoriteit (GBA) (gegevensbeschermingsautoriteit.be)
- Autorité de protection des données (APD) (autoriteprotectiondonnees.be)
- GBA, gepubliceerde beslissingen (gegevensbeschermingsautoriteit.be)
Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.
Check je website nu
Scan je website op Beveiliging-problemen en 30+ andere checks.
Gratis scan startenWebsite-handleidingen
Website niet veilig oplossen: de Belgische aanpak
Toont uw browser 'Niet veilig' bij uw Belgische website? Activeer gratis SSL, voldoe aan artikel 32 AVG en gebruik de gratis Safeonweb-tools van het CCB.
Kwetsbare WordPress plugins: de waarschuwingen van het CCB
Het Belgische CCB waarschuwt publiek voor kwetsbare WordPress plugins. Zo volgt u de CERT.be-adviezen, patcht u snel en voldoet u aan artikel 32 AVG.
Website gehackt? Wat nu? Stappenplan voor België
Uw Belgische website is gehackt? Stap voor stap herstellen: schade beperken, de GBA binnen 72 uur verwittigen, melden bij CERT.be en weer veilig online gaan.