Privacyverklaring voor je website in Belgie: AVG-eisen en GBA-richtlijn 2026
Steven | TrustYourWebsite · 20 april 2026 · Laatst bijgewerkt: april 2026
Elke commerciele website die persoonsgegevens verwerkt, heeft een privacyverklaring nodig. Dat geldt voor Belgische ondernemingen net zo goed als voor de rest van de EU. De basis is dezelfde AVG, maar de Gegevensbeschermingsautoriteit (GBA) in Brussel heeft eigen verwachtingen en een eigen handhavingsstijl. In 2026 voert het EDPB een gecoordineerde handhavingsactie uit op transparantie. Alle EU-toezichthouders, inclusief de GBA, controleren tegelijkertijd of privacyverklaringen voldoen aan artikel 12-14 AVG.
Staat jouw privacyverklaring op orde?
Onze gratis scan controleert of je privacyverklaring vindbaar is, in de footer staat en de AVG-basis dekt.
De 14 verplichte onderdelen onder artikel 13 AVG
De AVG schrijft 14 informatievereisten voor die in je privacyverklaring thuishoren. Ze gelden in heel de EU. Hieronder volgt de volledige lijst.
1. Identiteit en contactgegevens van de verwerkingsverantwoordelijke (art. 13(1)(a)). Je ondernemingsnaam, ondernemingsnummer (KBO-nummer), maatschappelijke zetel en een contactadres. Bij een eenmanszaak is dat je eigen naam.
2. Contactgegevens van de functionaris voor gegevensbescherming (art. 13(1)(b)). Alleen verplicht als je een DPO hebt aangesteld. De meeste KMO's in Belgie hoeven dat niet.
3. De doeleinden van de verwerking (art. 13(1)(c)). Concreet formuleren. Niet "wij verwerken persoonsgegevens voor onze dienstverlening", maar per verwerking benoemen wat je doet en waarvoor.
4. De rechtsgrondslag per verwerking (art. 13(1)(c)). Koppel elke verwerking aan een grondslag: toestemming, uitvoering overeenkomst, wettelijke verplichting of gerechtvaardigd belang.
5. Het specifieke gerechtvaardigde belang (art. 13(1)(d)). Na het CJEU Mousse-arrest (zaak C-394/23) moet je het concrete belang benoemen. "Gerechtvaardigd belang" zonder uitleg is niet meer voldoende. De grondslag zelf vervalt als je het belang niet specificeert.
6. De ontvangers of categorieen van ontvangers (art. 13(1)(e)). Hostingprovider, betaaldienst, analytics, e-mailmarketing, boekhoudsoftware. Noem ze bij naam of categorie.
7. Doorgifte aan een derde land (art. 13(1)(f)). Vermeld het land, de waarborg (adequaatheidsbesluit, standaardcontractbepalingen) en waar een kopie beschikbaar is. Dit ontbreekt in de meeste KMO-verklaringen.
8. Bewaartermijnen per datacategorie (art. 13(2)(a)). Concrete termijnen. Factuurgegevens: 7 jaar. Contactformulierberichten: 12 maanden. Analytische data: 26 maanden. "Zo lang als nodig" accepteert de GBA niet.
9. De rechten van betrokkenen (art. 13(2)(b)). Inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar. Vermeld hoe iemand een verzoek indient en binnen welke termijn je reageert (1 maand).
10. Het recht om toestemming in te trekken (art. 13(2)(c)). Verwijs naar je cookiebanner-instellingen en je afmeldmogelijkheid voor nieuwsbrieven.
11. Het recht om een klacht in te dienen bij de toezichthouder (art. 13(2)(d)). Verwijs naar de Gegevensbeschermingsautoriteit: Drukpersstraat 35, 1000 Brussel, of online via gegevensbeschermingsautoriteit.be.
12. Of het verstrekken van persoonsgegevens verplicht is (art. 13(2)(e)). Leg uit welke gegevens optioneel zijn en welke nodig zijn voor je dienstverlening.
13. Geautomatiseerde besluitvorming / profilering (art. 13(2)(f)). Alleen vermelden als je geautomatiseerde besluiten neemt op basis van persoonsgegevens.
14. De bron van persoonsgegevens (art. 14(2)(f)). Alleen relevant als je gegevens ontvangt van derden.
Wat de GBA in Belgie extra verwacht
De Gegevensbeschermingsautoriteit heeft in Aanbeveling 01/2025 verduidelijkt wat ze van Belgische websites verwacht bovenop de AVG-vereisten.
De GBA stelt dat de privacyverklaring een zelfstandig document moet zijn. Het insluiten van privacy-informatie in je algemene voorwaarden volstaat niet. De verklaring moet apart toegankelijk zijn, met een eigen link in de footer.
Als je website zich richt op beide taalgemeenschappen, verwacht de GBA dat de privacyverklaring in het Nederlands en het Frans beschikbaar is. Een Nederlandstalige webshop die ook aan Franstalige klanten levert, heeft twee taalversies nodig.
De GBA hanteert een tweetalig klachtadres: gegevensbeschermingsautoriteit.be (NL) en autoriteprotectiondonnees.be (FR). Vermeld de versie die past bij de taal van je verklaring.
Wat verandert er in 2026
Het CJEU Mousse-arrest (C-394/23) eist dat je het specifieke gerechtvaardigde belang benoemt. Zonder die specificatie verlies je de grondslag. Dit raakt elke Belgische website die analytics, beveiligingsmaatregelen of chatwidgets op gerechtvaardigd belang baseert.
Het EDPB Coordinated Enforcement Framework 2026 heeft transparantie als thema. De GBA participeert en controleert of Belgische privacyverklaringen voldoen aan artikel 12-14 AVG. De kans op een audit stijgt.
Vanaf 2 augustus 2026 geldt artikel 50 van de AI Act. Gebruik je een AI-chatbot op je website? Dan moet je bezoekers informeren dat ze met een AI-systeem communiceren.
Handhaving door de GBA
Black Tiger Belgium kreeg op 16 januari 2024 een boete van 174.640 euro van de GBA. De overtreding: schending van het transparantiebeginsel als databroker. Black Tiger is geen KMO, maar het signaal is duidelijk. De GBA toetst transparantie als kernvereiste.
Voor KMO's begint handhaving bijna altijd met een waarschuwing en een hersteltermijn. De GBA stuurt een compliance-order met een termijn van doorgaans 3-6 maanden. Boetes komen pas bij weigering of herhaling. De realistische blootstelling voor een KMO is een compliance-traject, niet een miljoenenboete.
Het grotere risico is het verlies van juridische bescherming. Zonder volledige privacyverklaring kan een klant je grondslag aanvechten. Geen verklaring, geen bescherming.
Hoe TrustYourWebsite dit controleert
Onze scanner detecteert drie technische signalen. We checken of er een privacyverklaring-link in de footer aanwezig is, of die op elke pagina bereikbaar is en of de tekst minimumvereiste elementen bevat (grondslagen, bewaartermijnen, rechten, klachtmogelijkheid).
Scannerbevindingen zijn technische signalen, geen juridische verdicts. Ze wijzen op transparantie-gaten, niet op juridische overtredingen.
Checklist: de 14 verplichte onderdelen
| Nr | Onderdeel | AVG-artikel | Vaak gemist? |
|---|---|---|---|
| 1 | Identiteit en contactgegevens (incl. KBO-nummer) | Art. 13(1)(a) | Nee |
| 2 | Contactgegevens DPO (indien aangesteld) | Art. 13(1)(b) | Nee |
| 3 | Doeleinden van de verwerking | Art. 13(1)(c) | Soms |
| 4 | Rechtsgrondslag per verwerking | Art. 13(1)(c) | Soms |
| 5 | Specifiek gerechtvaardigd belang | Art. 13(1)(d) | Ja |
| 6 | Ontvangers / categorieen ontvangers | Art. 13(1)(e) | Soms |
| 7 | Doorgifte buiten EER + waarborgen | Art. 13(1)(f) | Ja |
| 8 | Bewaartermijnen per datacategorie | Art. 13(2)(a) | Ja |
| 9 | Rechten van betrokkenen | Art. 13(2)(b) | Nee |
| 10 | Recht op intrekking toestemming | Art. 13(2)(c) | Soms |
| 11 | Klachtrecht bij GBA | Art. 13(2)(d) | Nee |
| 12 | Verplicht karakter gegevensverstrekking | Art. 13(2)(e) | Soms |
| 13 | Geautomatiseerde besluitvorming / profilering | Art. 13(2)(f) | N.v.t. |
| 14 | Bron van gegevens (als niet rechtstreeks verzameld) | Art. 14(2)(f) | N.v.t. |
Een privacyverklaring is handhavingsoppervlak
Het Mousse-arrest heeft de privacyverklaring veranderd van formaliteit naar de plek waar je grondslag staat of valt. Als je gerechtvaardigd belang claimt maar het belang niet benoemt, verlies je de grondslag. De privacyverklaring is daarmee het document geworden waar de GBA als eerste naar kijkt bij een onderzoek.
De 14 onderdelen hierboven kosten een middag werk. Die middag voorkomt een maandenlang GBA-traject. En als je website zich op beide taalgemeenschappen richt, doe het dan ook in beide talen.
Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Scan je site gratis