In 2026 controleert de Gegevensbeschermingsautoriteit (GBA) actiever dan ooit op cookie- en GDPR-overtredingen. De boetes zijn niet mals: tot €20 miljoen of4% van je jaaromzet. En nee — "we wisten het niet" is geen geldig verweer. Dit is wat jouw website concreet moet doen.

⚠️ Waarschuwing

Een cookie banner toevoegen is niet genoeg. De GBA heeft bedrijven beboet die wél een banner hadden, maar deze technisch incorrect hadden geïmplementeerd. Lees verder voor de juiste aanpak.

Wat is GDPR en Waarom Geldt Het voor Jouw Website?

De Algemene Verordening Gegevensbescherming (AVG/GDPR) is van toepassing op elke website die persoonsgegevens verwerkt van EU-burgers. Dat klinkt als iets voor grote bedrijven, maar ook jouw website met een contactformulier, Google Analytics of een cookie voor winkelwagen-functionaliteit valt hieronder.

Persoonsgegevens omvatten: naam, e-mailadres, telefoonnummer, IP-adres, cookie-ID's, locatiedata — en zelfs gedragsgegevens die indirect een persoon identificeren.

De 5 GDPR-Verplichtingen voor Jouw Website

1. Een Geldige Cookie Banner

De meestgemaakte fout? Een "OK"-knop zonder afwijzingsmogelijkheid. De GDPR vereist dat toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Dat betekent:

Een even prominente "Weigeren"-knop als "Accepteren"
Cookies mogen pas na toestemming worden geladen (niet ervoor)
Geen pre-aangevinkte vakjes voor niet-essentiële cookies
Gebruikers moeten hun keuze altijd kunnen intrekken
De banner moet in de juiste taal zijn voor je doelgroep

Wat geldt als essentieel (geen toestemming nodig)?

✅ Sessie-cookies (inlogstatus, winkelwagen)
✅ Load-balancing cookies
✅ Beveiligingscookies (CSRF-tokens)
❌ Google Analytics → toestemming vereist
❌ Facebook Pixel → toestemming vereist
❌ Marketing/retargeting cookies → toestemming vereist

2. Een Privacyverklaring (Privacybeleid)

Elke website die persoonsgegevens verwerkt, moet een duidelijke privacyverklaring hebben. Deze moet minimaal bevatten:

Wie de verwerkingsverantwoordelijke is (jouw bedrijf)
Welke gegevens je verzamelt en waarom
Hoe lang je gegevens bewaart
Met wie je gegevens deelt (bijv. Google, Mailchimp)
Rechten van de betrokkene (inzage, correctie, verwijdering)
Contactgegevens voor privacyvragen

3. Verwerkingsregister

Als je meer dan 250 medewerkers hebt, of als je gevoelige gegevens verwerkt, ben je verplicht een Register van Verwerkingsactiviteiten bij te houden. Voor kleinere bedrijven is het sterk aanbevolen — het helpt bij audits en toont compliance aan.

4. Bewaartermijnen Respecteren

Je mag persoonsgegevens niet langer bewaren dan noodzakelijk. Concrete voorbeelden:

Gegevenstype	Bewaartermijn
Contactformulier leads	Max. 2 jaar na laatste contact
Klantgegevens (contractueel)	7 jaar (boekhoudkundige verplichting)
Websitelogboeken	Max. 13 maanden
Analytics-data	Max. 26 maanden (GA4 standaard)

5. Datalekprocedure

Bij een datalek moet je dit binnen 72 uur melden bij de GBA — als het lek een risico vormt voor betrokkenen. Zorg dat je weet:

Wie intern verantwoordelijk is voor het melden
Hoe je een lek herkent
Waar je het meldt (via het GBA-meldingsportaal)

Praktische Tools voor GDPR-Compliance

Cookie Consent Platforms

🍪 Cookiebot — automatische scan + banner
🍪 CookieYes — betaalbaar voor KMO
🍪 Axeptio — Belgisch/Frans platform
🍪 OneTrust — enterprise-niveau

Privacy-vriendelijke Analytics

📊 Plausible — cookieloos, EU-servers
📊 Fathom — GDPR-native
📊 Matomo — zelf-gehost
📊 GA4 — met consent mode v2

Google Consent Mode v2 (Verplicht vanaf 2024)

Als je Google Analytics of Google Ads gebruikt, ben je verplicht Google Consent Mode v2 te implementeren. Dit zorgt ervoor dat Google-tags pas worden geactiveerd na toestemming van de gebruiker, en werkt samen met je cookie consent platform.

Zonder Consent Mode v2 loop je het risico dat je advertentiedata onvolledig is én dat je GDPR-non-compliant bent.

Wat Kost GDPR-Compliance?

De kosten variëren sterk, maar als richtlijn voor een KMO-website:

Cookie consent tool: €0 – €150/jaar (of gratis met eigen implementatie)
Privacyverklaring laten opstellen: €200 – €800 (eenmalig)
Technische implementatie: €300 – €1.000 (eenmalig via webbureau)
DPO (optioneel): €1.000 – €5.000/jaar voor externe Functionaris Gegevensbescherming

💡 Webzley Aanpak

Bij elke website die wij bouwen, integreren we standaard een GDPR-conforme cookie consent oplossing. We configureren Google Analytics met Consent Mode v2, zorgen voor correcte datastromen en helpen je met een privacyverklaring template die je met je jurist kunt verfijnen. Geen extra kosten, onderdeel van de dienst.

De 5 Meest Gemaakte GDPR-Fouten (en hoe je ze vermijdt)

Cookies laden vóór toestemming — Technisch de ergste fout. Scripts mogen pas laden na actieve toestemming.
Geen afwijzingsknop — "Accepteren" zonder "Weigeren" is geen geldige toestemming.
Verouderde privacyverklaring — Bijwerken bij elke nieuwe tool die je integreert (bijv. nieuwe chatbot, CRM).
Contactformulier zonder toestemming — Vermeld hoe je de data gebruikt en hoe lang je ze bewaart.
Vergeten subverwerkers — Elke tool (Mailchimp, HubSpot, Intercom) is een subverwerker; dit moet in je privacyverklaring staan.

Conclusie: Compliance is Geen Optie

GDPR-compliance is in 2026 geen optionele extra meer — het is een basisvereiste voor elke professionele website. De GBA handhaaft actiever, en consumenten zijn bewuster van hun rechten dan ooit.

De goede nieuws: met de juiste technische implementatie en een solide privacyverklaring ben je goed beschermd. En je toont zo ook aan je bezoekers dat je hun data serieus neemt — wat direct bijdraagt aan vertrouwen en conversie.

Niet zeker of jouw website compliant is? Neem contact op met Webzley voor een gratis GDPR-check van je website.

GDPR & Cookie Consent 2026: Wat Jouw Website Verplicht Moet Doen