Alle artikels
Legal

Moet je als KMO rekening houden met GDPR?

Profile picture of cofounder Maxime
Maxime De Roeck
UX Design
GDPR cover

"Wij zijn maar met vijf, geldt die GDPR eigenlijk wel voor ons?"

Een vraag die al wel eens terugkomt. En het korte antwoord is jammer genoeg het minst comfortabele: ja, ook voor jou.

Maar dat betekent niet dat je een compliance-afdeling moet oprichten of duizenden euro's aan consultancy moet uitgeven. Wat de GDPR van een KMO van vijf mensen vraagt, is fundamenteel anders dan wat ze van een multinational vraagt. In dit artikel zetten we op een rijtje wat dat in de praktijk inhoudt.

Geldt GDPR ook voor mijn KMO?

De regel is simpel: als je persoonsgegevens van EU-burgers verwerkt, val je onder de GDPR (in het Nederlands ook AVG). Er is geen vrijstelling voor kleine bedrijven, eenmanszaken of vrije beroepen. Een klantenbestand bijhouden, mailadressen verzamelen via je website, een nieuwsbriefinschrijving: alles is verwerking.

Wat de wet wél doet, is een aantal verplichtingen schalen naar de aard en het risico van wat je doet. Een lokale schrijnwerker die klantgegevens bijhoudt voor offertes, heeft een ander GDPR-profiel dan een online platform dat gedrag tracked. Beide moeten compliant zijn, maar de invulling verschilt.

De basisprincipes (die altijd gelden)

Ongeacht je grootte zijn dit de spelregels:

  • Een rechtsgrond voor elke verwerking. De vier meest gebruikte: toestemming, uitvoering van een contract, wettelijke verplichting, of gerechtvaardigd belang. Geen rechtsgrond = geen verwerking.
  • Dataminimalisatie. Verzamel enkel wat je echt nodig hebt. Geen geboortedatum vragen op een contactformulier "voor het geval dat".
  • Beveiliging. Passende technische en organisatorische maatregelen. Wachtwoordbeleid, toegangsbeheer, back-ups, encryptie waar relevant.
  • Transparantie. Een privacyverklaring die uitlegt wat je doet met welke data, voor hoelang, en met welke partijen je het deelt.
  • Rechten van betrokkenen. Mensen hebben het recht hun data in te zien, te laten corrigeren, te laten verwijderen, ...

Dit is geen optionele lijst. Maar het is ook niet onhaalbaar voor een KMO om dit op een halve dag in orde te brengen.

Het verwerkingsregister: ja, waarschijnlijk ook voor jou

Een veelgehoorde misvatting: "wij hebben minder dan 250 werknemers, dus geen register nodig."

Dat artikel bestaat, maar de uitzondering is zo eng geformuleerd dat ze in de praktijk bijna nooit toepasbaar is. De vrijstelling vervalt zodra je verwerking niet incidenteel is (en een klantenbestand of personeelsadministratie ís per definitie niet incidenteel) of zodra je gevoelige gegevens verwerkt.

Conclusie: de meeste KMO's hebben gewoon een register nodig. Het hoeft geen indrukwekkend document te zijn: een spreadsheet met per verwerking de doeleinden, categorieën van data, bewaartermijnen en ontvangers volstaat. De Gegevensbeschermingsautoriteit (GBA) bespreekt de exacte draagwijdte van die uitzondering in haar FAQ-brochure voor KMO's (vraag 9), en de Wegwijs in de AVG voor KMO's (april 2026) bevat een praktisch sjabloon om mee te starten.

Heb ik een DPO nodig?

Een Data Protection Officer is enkel verplicht in drie gevallen:

  1. Je bent een overheidsinstantie.
  2. Je kernactiviteit bestaat uit grootschalige, systematische monitoring van personen.
  3. Je kernactiviteit bestaat uit grootschalige verwerking van gevoelige gegevens (gezondheid, religie, biometrie, …).

Voor de doorsnee KMO (een bouwbedrijf, een advocatenkantoor, een webshop met enkele duizenden klanten) is geen DPO verplicht. Voor een medische praktijk, een marketingbureau dat profilering doet, of een platform dat gedragsdata verzamelt, wel.

Is een DPO niet verplicht, maar wil je toch iemand intern verantwoordelijk maken? Een goed idee. Je hoeft die persoon dan niet officieel als DPO aan te melden, maar interne accountability voorkomt dat compliance "van iedereen, dus van niemand" wordt.

Een datalek: de 72-uur-regel

Wat voor sommige KMO's misschien wel een verassing is: een datalek is niet alleen een hack. Een laptop die gestolen wordt, een mail naar de verkeerde bestemmeling, een verkeerd geconfigureerde cloudmap, een leverancier die wordt gehackt en jouw data daarbij betrokken raakt, het zijn allemaal datalekken.

De regel: als er een risico voor de betrokkenen is, moet je het lek binnen 72 uur melden aan de GBA. Bij hoog risico moet je ook de betrokkenen zelf inlichten.

Die 72 uur gaat snel. De praktische voorbereiding: weet vooraf wie het melding-traject opvolgt, hoe je technisch achterhaalt wat er precies gelekt is, en wie binnen je team bevoegd is om beslissingen te nemen. Dit is geen procedure die je in paniek improviseert om twee uur 's nachts.

En die boetes?

Ja, ze kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet. Nee, dat is niet wat een Belgische KMO realistisch riskeert.

De GBA werkt proportioneel. Voor bedrijven die te goeder trouw bezig zijn, hun zaken redelijk op orde hebben en meewerken bij een incident, is de eerste reactie meestal een waarschuwing of een aanmaning. De spectaculaire boetes vallen bij organisaties die structureel nalatig zijn of klachten van betrokkenen negeren.

Dat gezegd: de reputationele schade van een publiek datalek of een klacht is voor een KMO vaak groter dan de boete zelf. Je beste investering is preventie, niet verzekering achteraf.

Praktische checklist om vandaag mee te starten

  1. Maak een lijst van alle systemen waarin persoonsgegevens zitten. CRM, mailingsoftware, boekhouding, HR, website, cloudopslag. Vergeet niet de schaduw-IT (persoonlijke Dropbox-accounts, WhatsApp-groepen met klanten).
  2. Bepaal voor elke verwerking de rechtsgrond en bewaartermijn. Twee kolommen in een spreadsheet. Begin daar.
  3. Schrijf of update je privacyverklaring. Online vind je sjablonen die je voor 80% op weg helpen.
  4. Check de Data Processing Agreements met je belangrijkste leveranciers (cloudprovider, mailingtool, boekhoudpakket). Die contracten zijn meestal standaard beschikbaar.
  5. Spreek af wie intern het aanspreekpunt is voor privacy-vragen, ook als je geen DPO nodig hebt.
  6. Documenteer een eenvoudige incidentprocedure. Wat doen we bij een datalek? Wie wordt gebeld?
  7. Sensibiliseer je team. De meeste lekken zijn menselijke fouten, geen hacks.

Niet sexy. Wel essentieel. En in een halve dag tot een dag werk grotendeels te doen voor een typische KMO.

Officiële bronnen

Wil je dieper graven, of een vraag controleren bij de bron in plaats van bij een blogpost? Deze vier publicaties zijn alle gratis en in het Nederlands beschikbaar:

  • Wegwijs in de AVG voor KMO's (GBA, april 2026) — de meest recente en complete praktische gids, met sjablonen en voorbeelden. Onze startaanrader.
  • FAQ-brochure voor KMO's (GBA / KU Leuven CiTiP) — vraag-antwoordformaat, handig om snel een specifiek punt op te zoeken (verwerkingsregister, DPO, bewaartermijnen, …).
  • Als KMO omgaan met rechten van betrokkenen (GBA) — specifiek over hoe je een inzage-, correctie- of verwijderingsverzoek correct afhandelt. Onmisbaar als je dit voor het eerst meemaakt.
  • EDPB-gegevensbeschermingsgids voor KMO's (Europese Toezichthouder) — interactieve webgids met video's en voorbeelden, op Europees niveau. Nuttig als je internationaal werkt.

Kom je er na het doorlezen niet uit? Dat is normaal: die documenten zijn opgesteld voor algemene situaties, en de praktijk van één specifiek bedrijf zit altijd in de details.

Een speciale noot over AI

Wie vandaag AI-tools inzet (Mistral, ChatGPT, Copilot, Claude en co), heeft een extra dimensie aan zijn GDPR-verhaal. Elke prompt is een datatransfer, en niet elke leverancier heeft EU-verwerking standaard ingeschakeld. Binnenkort schrijven we specifiek daar een aparte gids over: GDPR, data-soevereiniteit en AI: wat Belgische bedrijven moeten weten in 2026 — aanrader als AI bij jullie verder gaat dan een occasionele samenvatting.

Hoe Tandem ermee omgaat

Wanneer we software bouwen voor klanten, vertrekken we standaard vanuit GDPR-by-design: Europese hosting, dataminimalisatie ingebouwd in het datamodel, retentiebeleid documenteren bij elke verwerking, en helder in kaart brengen welke externe partijen welke data zien. Niet omdat het leuk is, wel omdat het onomkeerbaar duurder wordt om die zaken er achteraf op te plakken.

Voor bestaande systemen kijken we vaak even mee in een GDPR-quickscan: waar zitten de risico's, wat moet er prioritair aangepakt worden, en wat kan in een later traject. Meestal blijkt dat een KMO 80% van het werk al impliciet doet — het ontbreekt vooral aan documentatie.

Disclaimer: dit artikel is een algemene introductie en geen juridisch advies. Voor je specifieke situatie (zeker bij gevoelige gegevens, internationale verwerking, of sectorale regelgeving) is gespecialiseerd advies aangewezen.

Twijfel je of je goed zit?

Een kort gesprek is meestal voldoende om de grootste risico's in kaart te brengen en te bepalen waar je vandaag op moet inzetten. Neem contact op met Tandem, vrijblijvend, en in mensentaal.

Gepubliceerd op 07 mei 2026
Profile picture of cofounder Maxime
UX Design
Maxime De Roeck

Brengt processen en pijnpunten in kaart, en vertaalt die naar oplossingen die mensen graag gebruiken.

Meer uit de studio

Alle artikels
Cover voor blogpost over "AI gaat je slechte processen niet oplossen (en zal ze mogelijk versterken)"
Strategie26 mei 2026

AI gaat je slechte processen niet oplossen (en zal ze mogelijk versterken)

Cover: Overengineering van software
Software24 mei 2026

Overengineering: 8 patronen die je software-budget opdrijven, en wat je eraan kan doen

Cover: Waarom mislukken software projecten
software22 mei 2026

Waarom mislukken software projecten? 10 oorzaken en hun impact