AVG en website in 2026: conformiteitsgids voor Europese kmo's
Een kmo bereikt AVG-conformiteit door 8 punten af te vinken: Consent Mode v2 geïmplementeerd, cookiebanner zonder dark patterns, verwerkingsregister actueel, EU-hosting bevestigd, FG aangesteld indien verplicht, gebruikersrechten operationeel (inzage/wissing), bewaartermijnen gedocumenteerd en toegankelijk privacybeleid. De cumulatieve boetes voor Meta, TikTok en Uber overschreden in 2024-2025 de kaap van een miljard euro.
De AVG bestaat in 2026 acht jaar, maar 70% van de Europese kmo-sites blijft volgens het Cookiebot-onderzoek 2025 deels niet-conform. Tussen de verplichte komst van Consent Mode v2 in maart 2024, de DSA, het einde van het Privacy Shield en de heropstanding ervan als Data Privacy Framework, en de nieuwe beslissingen rond dark patterns, blijft het terrein bewegen. Hier is de checklist die OptionWeb in 2026 toepast op alle klantsites.
1. Google Consent Mode v2 verplicht
Sinds 6 maart 2024 vereist Google de implementatie van Consent Mode v2 voor het gebruik van Google Ads en Google Analytics met Europese gebruikers. Zonder Consent Mode v2 kunnen uw campagnes geen EER-data meer gebruiken voor optimalisatie en worden conversies massaal ondergerapporteerd.
Concreet moet u 7 toestemmingsparameters aan Google doorgeven: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Een door Google gecertificeerd CMP (Consent Management Platform) regelt dit automatisch.
| CMP | Maandprijs | Voordelen | Nadelen |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k views | Robuust, Google-gecertificeerd, automatische cookiescan | Duur boven 100k views, gedateerde UI |
| Didomi | Op aanvraag (~80-300 €) | Enterprise-referentie, multilanden-conformiteit | Duur voor kmo's |
| Axeptio | 9-49 € | Moderne UX, vriendelijke toon, EU-hoofdzetel | Minder technische granulariteit |
| Iubenda | 5-30 € | Goede prijs-kwaliteit, meertalig | Minder duidelijke documentatie |
| Open-source CMP (Klaro) | 0 € | Self-hosted, gratis, AVG-compatibel | Handmatig onderhoud, geen autoscan |
Aanbeveling van OptionWeb: Axeptio voor kmo's tot 100k views/maand (UX, prijs, EU-hoofdzetel), Cookiebot daarboven als u automatische multidomeinscan nodig heeft.
2. Cookiebanner zonder dark patterns
De Belgische GBA en de Franse CNIL verveelvoudigden in 2024-2025 de sancties op cookiebanners. Expliciet verboden patronen: knop 'Alles weigeren' verborgen of minder zichtbaar dan 'Aanvaarden', vooraangevinkte vakjes voor niet-essentiële cookies, paginascroll als impliciete toestemming, banner sluiten zonder keuze gelijkstellen aan aanvaarding.
Strikte regel: 'Alles aanvaarden' en 'Alles weigeren' op hetzelfde visuele niveau — zelfde grootte, kleur, positie. Weigeren moet even gemakkelijk zijn als aanvaarden. Een Franse kmo kreeg in 2024 een boete van 8.000 € omdat haar 'Weigeren'-knop tweemaal kleiner was.
3. Verwerkingsregister
Het register van verwerkingsactiviteiten is verplicht voor elke organisatie met meer dan 250 werknemers, en sterk aanbevolen daaronder. Voor een kmo die gecontroleerd wordt is dit het eerste document dat de GBA zal opvragen.
Documenteer voor elke verwerking (nieuwsbrief, contactformulier, betaling, rekrutering, boekhouding):
- Doel — Waarom u deze gegevens verzamelt (bv. een maandelijkse nieuwsbrief versturen).
- Rechtsgrond — Toestemming, contract, wettelijke verplichting, gerechtvaardigd belang, taak van algemeen belang of vitale belangen.
- Gegevenscategorieën — E-mail, naam, IP, gedrag, betaalgegevens enz.
- Categorieën van betrokkenen — Prospects, klanten, werknemers, onderaannemers, kandidaten.
- Ontvangers — Wie de gegevens ontvangt: intern team, subverwerkers (Mailchimp, Stripe), partners.
- Doorgiften buiten de EU — Indien van toepassing: land, rechtsgrond (SCC, BCR, adequaatheidsbesluit).
- Bewaartermijn — Actief + tussentijds archief + wettelijk archief.
- Beveiligingsmaatregelen — Versleuteling, toegangscontrole, back-ups, opleiding van het team.
Praktisch formaat: Excel- of Notion-tabel, bijgewerkt bij elke nieuwe verwerking. De GBA biedt een gratis sjabloon. Reken op 1-2 dagen werk om het de eerste keer op te stellen.
4. Hosting en doorgiften buiten de EU
Sinds het Schrems II-arrest (juli 2020) staat het hosten van een website voor Europese gebruikers op AWS US, Google Cloud US of Azure US zonder Standard Contractual Clauses + impactanalyse gelijk aan duidelijke niet-conformiteit. Het EU-VS Data Privacy Framework van juli 2023 stabiliseerde de situatie voor DPF-gecertificeerde Amerikaanse hosts, maar er blijft restrisico (vernietigingsberoep loopt).
Eenvoudige oplossing voor kmo's: een EU-host (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Geen doorgifte buiten de EU = geen discussie. Dat is onze standaardkeuze bij OptionWeb met Verpex (datacenter Nederland).
Voor onmisbare Amerikaanse subverwerkers (Stripe, Mailchimp, HubSpot, Google Workspace) moet u:
- De DPF-certificering van de subverwerker controleren op dataprivacyframework.gov
- Een DPA (Data Processing Agreement) ondertekenen (meestal automatisch via hun voorwaarden)
- De SCC's (Standard Contractual Clauses) bij de DPA controleren
- De doorgifte en de rechtsgrond ervan in het verwerkingsregister documenteren
- De doorgifte expliciet in het privacybeleid vermelden
5. FG: verplicht of niet?
De functionaris voor gegevensbescherming (FG) is enkel in 3 gevallen verplicht: overheidsinstantie, systematisch grootschalig toezicht op personen, grootschalige verwerking van gevoelige gegevens (gezondheid, opinies, religie, biometrie). Voor 95% van de kmo's is het niet verplicht.
Maar het is sterk aanbevolen voor B2C-kmo's en e-commerce: een externe gemutualiseerde FG kost 200-500 €/maand en biedt juridische dekking bij controle. Drie opties:
| Optie | Kost | Voor wie |
|---|---|---|
| Interne FG (zaakvoerder of opgeleide HR) | Opleiding 800-2000 € | Kmo 10-50 personen, eenvoudige verwerkingen |
| Externe gemutualiseerde FG | 200-500 €/maand | B2C- of e-commerce-kmo met gebruikersgegevens |
| Toegewijde interne FG | Loon 50-80k €/jaar | 100+ werknemers of gevoelige verwerkingen |
6. Rechten van gebruikers (inzage, wissing)
Elke gebruiker heeft 6 afdwingbare rechten: inzage, rectificatie, wissing (recht om vergeten te worden), beperking, overdraagbaarheid, bezwaar. Een kmo moet een verzoek binnen 1 maand behandelen (verlengbaar tot 2 maanden voor complexe gevallen met motivering).
Minimale set-up: een specifiek e-mailadres (privacy@uwdomein.eu), contactformulier met label 'AVG-verzoek', een gedocumenteerde interne procedure om het verzoek te identificeren, de gegevens terug te vinden, te exporteren of te wissen en de gebruiker te informeren.
7. Bewaartermijnen
Gegevens 'voor het geval dat' bewaren = inbreuk op de AVG. Elke gegevenscategorie moet een gerechtvaardigde bewaartermijn hebben. Sjabloon voor kmo's:
| Categorie | Actief | Tussentijds archief | Wettelijk |
|---|---|---|---|
| Prospects (contactformulier) | 3 jaar na laatste contact | — | — |
| Klanten | Duur relatie + 3 jaar | 5 jaar | 10 jaar (facturen) |
| Nieuwsbriefabonnees | Zolang abonnee | 1 jaar na uitschrijving | — |
| Niet-weerhouden cv's | 2 jaar (tenzij wissingsverzoek) | — | — |
| Serverlogs (beveiliging) | Max 1 jaar | — | — |
| Analytische cookies | Max 13 maanden | — | — |
8. Toegankelijk privacybeleid
Een specifieke pagina, link in de footer van elke pagina, geschreven in heldere taal (geen onleesbaar juridisch jargon). Moet bevatten: identiteit van de verwerkingsverantwoordelijke, doelen en rechtsgronden, bewaartermijnen, gebruikersrechten en hoe ze uit te oefenen, eventuele doorgiften buiten de EU, lijst van externe subverwerkers (Google Analytics, Mailchimp enz.), FG indien aangesteld, recht om klacht in te dienen bij de toezichthouder (GBA in België, CNIL in Frankrijk).
Bij elke nieuwe subverwerker of nieuw doel bijwerken. Datum van laatste update zichtbaar bovenaan de pagina.
Recente boetes: wat te onthouden
De AVG-boetes overschreden in 2024 de cumulatieve kaap van een miljard euro alleen al voor Meta (1,2 mld €), TikTok (345 M€) en Uber (290 M€). Voor kmo's blijven sancties bescheidener, maar de terugkerende motieven zijn veelzeggend:
- Knop 'Weigeren' verborgen of kleiner — Herhaalde sancties tussen 5.000 € en 100.000 € in 2024.
- Nieuwsbrief zonder geverifieerde double opt-in — Typisch geval: 10.000 € boete voor een kmo die een lijst importeerde zonder bewijs van toestemming.
- Te lange bewaartermijn — Cv's 10 jaar 'voor het geval dat' bewaren = sanctie. Aanbevolen limiet: 2 jaar.
- Doorgifte aan VS-subverwerker zonder SCC — Sanctie 2025 tegen een kmo die een niet-DPF marketingtool uit de VS gebruikte: 25.000 €.
- Privacybeleid afwezig of onvolledig — Minimumboete van 5.000 € quasi systematisch bij klacht.
Read next
Webtoegankelijkheid en European Accessibility Act 2025: WCAG 2.2-gids
De European Accessibility Act trad in werking op 28 juni 2025. Welke bedrijven zijn betrokken, welke WCAG 2.2 en 2.4 verplichtingen, en hoe een kmo-site auditeren en corrigeren in 2026.
Webhosting in België in 2026: de volledige gids voor kmo's
Hoe kies je een Belgische webhost in 2026 — selectiecriteria, werkelijke kosten, GDPR-conformiteit, lokale datacenters, prestaties. Praktische gids van OptionWeb.
Local SEO en Google Business Profile voor Belgische KMO's in 2026
Hoe ranken in de Google local pack: Google Business Profile-optimalisatie, NAP-citaties, review velocity, schema LocalBusiness en specifieke strategie voor Belgische KMO's.