GDPR verplichtingen KMO België: complete website checklist 2026

Uw website verwerkt waarschijnlijk meer persoonsgegevens dan u denkt. Een contactformulier, Google Analytics, een nieuwsbrief — het valt allemaal onder de AVG/GDPR. En de Gegevensbeschermingsautoriteit (GBA) kijkt steeds vaker naar KMO's.

In 2024 legde de GBA Mediahuis een dwangsom op van €25.000 per dag voor een cookiebanner die niet voldeed: geen duidelijke weigerknop, misleidende kleurkeuzes. Dat is geen uitzondering. De GBA vermeldt in haar strategisch plan 2020-2025 expliciet dat het handhaven bij KMO's een prioriteit is.

Gebruik deze checklist om te controleren of uw website aan de regels voldoet.

---

1. Ondernemingsnummer op uw website

Verplicht: Ja, wettelijk verplicht op grond van het Wetboek van economisch recht (Boek III).

Belgische bedrijven moeten hun ondernemingsnummer (KBO-nummer) zichtbaar vermelden op hun website. Het gaat om een 10-cijferig nummer dat begint met 0 of 1, zoals 0123.456.789. Veel bedrijven vermelden ook het BTW-nummer in het formaat BE 0123.456.789.

Waar plaatsen: In de footer van elke pagina, op de contactpagina en op de pagina Algemene voorwaarden.

Boete bij niet-naleving: De FOD Economie kan boetes opleggen tot €80.000 of 4% van de omzet.

Actiepunt: Controleer nu de footer van uw website. Staat uw ondernemingsnummer er duidelijk in?

---

2. Privacyverklaring

Verplicht: Ja, op grond van AVG/GDPR artikel 13 en de Wet van 30 juli 2018.

Uw privacyverklaring moet beschrijven:

• Welke persoonsgegevens u verzamelt (namen, e-mailadressen, IP-adressen)
• Waarvoor u ze gebruikt
• Hoe lang u ze bewaart
• Welke derde partijen toegang hebben (Google Analytics, Mailchimp, enz.)
• Hoe bezoekers hun rechten kunnen uitoefenen (inzage, verwijdering, bezwaar)
• Hoe u contact kunt opnemen voor privacyvragen

Een generiek sjabloon dat nog "[Bedrijfsnaam]" bevat of activiteiten beschrijft die u niet uitvoert, voldoet niet. De GBA beoordeelt de nauwkeurigheid, niet alleen de aanwezigheid.

Actiepunt: Lees uw privacyverklaring zelf door. Klopt elke zin voor uw specifieke situatie?

---

3. Cookiebanner

Verplicht: Ja, voor alle niet-essentiële cookies (analytics, marketing, tracking).

Uw cookiebanner moet:

• Een even zichtbare "Alles weigeren" knop hebben als "Alles accepteren"
• Geen vooraf aangevinkte vakjes bevatten voor niet-essentiële cookies
• Geen trackingscripts laden vóór toestemming
• Toestemming opslaan en respecteren bij volgende bezoeken

Wat de GBA bestrafte bij Mediahuis (Beslissing 113/2024): Geen duidelijke weigerknop, de accepteerknop was groter en kleuriger dan de weigerknop. Dwangsom: €25.000 per dag.

Actiepunt: Klik op "Weigeren" in uw eigen cookiebanner. Laadt Google Analytics daarna nog steeds? Als ja, heeft u een probleem.

---

4. Algemene voorwaarden

Verplicht voor e-commerce: Ja. Voor zuivere informatiewebsites: sterk aanbevolen.

Als u online producten of diensten verkoopt, moet u vermelden:

• Herroepingsrecht (14 dagen bedenktijd voor consumenten)
• Leveringsvoorwaarden en -termijnen
• Prijzen inclusief BTW
• Procedure voor klachten en geschillen

Actiepunt: Verkopen via uw website? Controleer of "herroepingsrecht" en "14 dagen" in uw voorwaarden staan.

---

5. Verplichte contactinformatie

Verplicht: Op grond van het Wetboek van economisch recht (Boek XII) voor commerciële websites.

U moet vermelden:

• Volledige bedrijfsnaam
• Geografisch adres (geen postbus)
• E-mailadres
• Ondernemingsnummer
• Voor gereglementeerde beroepen: naam en adres van de bevoegde autoriteit

Actiepunt: Controleer uw contactpagina en footer. Staan alle gegevens erbij?

---

6. Nieuwsbrief en e-mailmarketing

Verplicht: Toestemming vooraf en makkelijk afmelden.

Als u een nieuwsbrief verstuurt:

• Gebruik een niet-aangevinkt toestemmingsvakje bij inschrijving
• Vermeld duidelijk waarvoor de inschrijver zich aanmeldt
• Voeg een werkende afmeldlink toe aan elke e-mail
• Bewaar het bewijs van toestemming

B2B e-mailmarketing is in België toegestaan op grond van het Wetboek van economisch recht, zolang er een duidelijk zakelijk verband bestaat en u een eenvoudige opt-out biedt.

Actiepunt: Stuur uzelf een testmail. Werkt de afmeldlink?

---

7. Google Fonts en externe resources

Risico: Hoog in België.

Het laden van Google Fonts via externe Google-servers stuurt het IP-adres van elke bezoeker door naar Google, zonder toestemming. De GBA volgt de EDPB-richtlijnen over gegevensoverdrachten naar de VS. Zelf hosten is de veiligste oplossing.

Hetzelfde geldt voor Google Maps, YouTube-insluitingen en sociale mediaknoppen die direct laden zonder toestemming.

Actiepunt: Host Google Fonts lokaal via google-webfonts-helper.herokuapp.com. Laad YouTube en Maps pas na toestemming.

---

Samenvatting: de 7-punten checklist

| Punt | Verplicht? | Snelle controle | |---|---|---| | Ondernemingsnummer in footer | Ja (WER Boek III) | Staat het er? | | Privacyverklaring aanwezig en nauwkeurig | Ja (AVG art. 13) | Klopt elke zin? | | Cookiebanner met weigerknop | Ja (voor niet-essentiële cookies) | Werkt weigeren echt? | | Algemene voorwaarden (e-commerce) | Ja | Herroepingsrecht erin? | | Contactinformatie compleet | Ja (WER Boek XII) | Adres en e-mail aanwezig? | | Nieuwsbrief met opt-in | Ja | Niet-aangevinkt vakje? | | Geen externe resources zonder toestemming | Aanbevolen | Google Fonts zelf gehost? |

---

Gratis controle in 60 seconden

U kunt dit alles handmatig controleren — maar onze scanner doet het automatisch. We testen uw cookiebanner echt (door op "Weigeren" te klikken en te controleren of trackers stoppen), controleren op uw ondernemingsnummer, analyseren uw privacyverklaring en meer.

Controleer gratis of uw website voldoet →

Het resultaat is binnen 60 seconden beschikbaar. Geen account nodig.

---

Dit is technische analyse, geen juridisch advies. Voor definitief juridisch advies raadpleegt u een advocaat of compliance-adviseur.