gdprcookiescompliancebelgië

GDPR & cookieconsent in 2026: praktische gids voor Belgische websites

Wat de Gegevensbeschermingsautoriteit (GBA) in 2026 echt verwacht van Belgische websites: geldige toestemming, cookie walls, privacyverklaring en de boetes die er stilaan komen. Met praktische checklist.

Auteur: Nicolas Robinet Read in English

Acht jaar na de invoering van de GDPR is de Belgische handhaving eindelijk concreet geworden. Waar de Gegevensbeschermingsautoriteit (GBA) in de eerste jaren vooral waarschuwde, zien we sinds 2024 een duidelijke verschuiving naar effectieve boetes, ook voor kleinere Belgische bedrijven. Tijd dus om je website serieus te nemen.

Deze gids vat samen wat de GBA in 2026 verwacht, welke fouten we het vaakst zien bij Belgische KMO-websites, en hoe je het in orde brengt zonder een advocatenkantoor nodig te hebben.

Disclaimer: dit is geen juridisch advies. We zijn webontwikkelaars die elke dag met deze regels werken, geen advocaten. Voor een complex dossier (medische sector, financiële sector, grote datavolumes) is een DPO of advocaat gespecialiseerd in privacyrecht onvervangbaar.

Waar de Belgische handhaving anno 2026 staat

In 2024 en 2025 publiceerde de GBA een reeks beslissingen rond cookies en tracking-pixels die de toon zetten voor de huidige praktijk:

  • Toestemming moet écht een actieve handeling zijn. Pre-vinkte vakjes, “OK”-banners zonder echte keuze, of “verder browsen = toestemming” worden niet aanvaard.
  • De “weigeren”-knop moet even prominent zijn als de “accepteren”-knop. Veel sites hebben nog steeds een grote groene “Accepteer alles” en een verstopt linkje “Voorkeuren beheren”. Dat is in strijd met de GBA-richtlijnen sinds eind 2023.
  • Tracking-pixels van Meta, TikTok of LinkedIn vragen evenzeer toestemming als Google Analytics. Geen uitzonderingen.
  • Boetes voor KMO’s zijn realistisch geworden. Bedragen tussen €5.000 en €50.000 zijn de afgelopen twee jaar effectief opgelegd aan Belgische bedrijven met enkele tientallen werknemers.

Daarnaast werkt de EU aan een vereenvoudiging van het cookieconsent-regime (“cookie pledge”, later mogelijk een herziening van de ePrivacy-verordening). Tot die er definitief is, blijven de huidige regels gewoon van kracht.

Wat is “geldige toestemming”?

De GDPR (artikel 4 en artikel 7) bepaalt dat toestemming vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig moet zijn. Concreet voor een website betekent dat:

  1. Vrij: de bezoeker mag geen schade ondervinden als hij weigert. Een site die zonder cookies onbruikbaar wordt voor wat in essentie een gewone informatiesite is, voldoet niet.
  2. Specifiek: per doel (analytics, marketing, sociale media) moet je apart toestemming kunnen geven of weigeren. Eén grote “ja”-knop voor alles is niet voldoende.
  3. Geïnformeerd: de bezoeker moet weten welke cookies of trackers er gezet worden, door wie, en wat ze doen, vóór hij toestemming geeft.
  4. Ondubbelzinnig: een actieve handeling. Niet: “door verder te surfen, ga je akkoord”. Wel: een klik op een knop die specifiek voor toestemming bedoeld is.

Niet alle cookies vragen om toestemming. De standaard onderverdeling:

1. Strikt noodzakelijke cookies, geen toestemming nodig

Cookies die de basisfunctionaliteit van je site garanderen: sessie-cookies, winkelmandje, login-state, taalkeuze. Deze mag je plaatsen zonder voorafgaande toestemming, mits ze technisch noodzakelijk zijn.

2. Functionele cookies, toestemming aanbevolen

Cookies die de ervaring verbeteren maar niet strikt noodzakelijk zijn: voorkeuren onthouden, ingesloten YouTube-video’s, chatwidgets. De GBA neigt naar “toestemming vragen”, tenzij ze écht functioneel zijn (bijvoorbeeld een live chat die de kern is van je dienstverlening).

3. Analytics-cookies, toestemming verplicht

Google Analytics, Plausible (in cookie-modus), Matomo (in cookie-modus), Microsoft Clarity. Allemaal toestemming verplicht.

Er is één uitzondering die soms aangehaald wordt: een server-side analytics-setup zonder cookies en zonder persoonsgegevens (bijvoorbeeld geanonimiseerde IP, geen fingerprinting) kan onder strikte voorwaarden zonder toestemming. De Franse CNIL heeft een lijstje vrijgegeven van analytics-tools die zo gebruikt mogen worden, de Belgische GBA volgt die lijn in de praktijk.

4. Marketing- en tracking-cookies, toestemming verplicht

Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Google Ads remarketing, Hotjar, alle retargeting. Geen uitzonderingen, altijd actieve toestemming nodig.

Een “cookie wall” is een banner die je site volledig blokkeert tot je toestemming geeft. De GBA en EDPB hebben dit principe sinds 2020 verworpen als incompatibel met “vrije toestemming”, behalve voor enkele specifieke gevallen (bv. nieuwswebsites die een “pay or accept”-model hanteren). Voor een normale Belgische KMO is een cookie wall geen optie.

Wat wél mag: een passieve banner onderaan of bovenaan met duidelijke opties (Accepteren / Weigeren / Voorkeuren) zonder dat je site geblokkeerd wordt.

Wat moet er in je privacyverklaring?

Een correcte privacyverklaring bevat minstens:

  • Wie de verwerkingsverantwoordelijke is (jij of je bedrijf, met adres en BTW-nummer)
  • Welke persoonsgegevens je verzamelt (naam, email, IP, gedragsgegevens, etc.)
  • Waarvoor je ze gebruikt (contact, nieuwsbrief, statistieken, advertenties)
  • Op welke rechtsgrond (toestemming, gerechtvaardigd belang, uitvoering overeenkomst, wettelijke verplichting)
  • Hoe lang je ze bewaart
  • Met wie je ze deelt (hostingprovider, mailingdienst, betalingsverwerker, …)
  • Of er datatransfers buiten de EU plaatsvinden (cruciaal voor Google, Meta, US-gebaseerde tools)
  • De rechten van de gebruiker (inzage, correctie, verwijdering, bezwaar, overdraagbaarheid)
  • Contactgegevens van je DPO als je er een hebt
  • Een verwijzing naar de GBA voor klachten

Onze eigen privacyverklaring is een werkbaar voorbeeld voor een KMO.

Praktische checklist voor je Belgische website

  • Cookie-banner aanwezig op elke pagina, voor enige niet-noodzakelijke cookie geplaatst wordt
  • “Accepteren” en “Weigeren” even prominent (zelfde kleur, zelfde grootte, zelfde plaats)
  • Granulaire keuze: gebruikers kunnen analytics weigeren maar marketing accepteren (of omgekeerd)
  • Geen tracking-scripts geladen voor toestemming. Geen Google Analytics, Meta Pixel of soortgelijke voor de bezoeker klikt op “Accepteren”
  • Toestemming intrekbaar: een link of icoon waarmee bezoekers hun keuze kunnen herzien
  • Privacyverklaring volledig en toegankelijk vanaf elke pagina (footer)
  • Cookieverklaring: een aparte pagina met een actueel overzicht van alle cookies die je site plaatst
  • DPA’s afgesloten met al je verwerkers (hosting, mailing, CRM, analytics)
  • Datatransfers buiten EU gedocumenteerd: voor elke US-gebaseerde tool (Google, Meta, Webflow, Mailchimp) moet je een geldige rechtsgrond hebben (DPF, SCC’s)
  • Register van verwerkingsactiviteiten (artikel 30 GDPR), verplicht voor bedrijven met meer dan 250 werknemers, sterk aanbevolen voor iedereen
  • Datalek-procedure, wat doe je als je gehackt wordt? Je hebt 72 uur om de GBA te informeren
  • Logs van toestemming bewaard, kan je bewijzen dat een specifieke gebruiker op een specifiek moment toestemming gaf?

Welke cookieconsent-tools gebruiken we in België?

We hebben de afgelopen jaren met de meeste tools gewerkt. Onze evaluatie:

  • Cookiebot, Deens, GDPR-native, scant je site automatisch, prijs ~€10-€60 per maand afhankelijk van site-omvang. Onze go-to voor middelgrote KMO’s.
  • Iubenda, Italiaans, doet ook privacyverklaring-generatie. Prima alternatief.
  • Cookie Notice & Compliance (WordPress plugin), gratis, doet wat het moet doen voor kleine sites, maar manuele cookie-categorisatie.
  • CookieYes, goed gratis pakket tot 25.000 sessies per maand.
  • OneTrust / Usercentrics, enterprise-tools, overkill voor de meeste KMO’s.
  • Een custom build, voor sites met heel weinig externe scripts is een eigen cookie banner in 200 regels code vaak de schoonste oplossing.

Op onze eigen site zit een zelfgebouwde cookie banner, bewust minimaal omdat we zelf bijna geen externe trackers gebruiken.

Veelgestelde vragen

Heb ik een DPO (Data Protection Officer) nodig? Verplicht als je systematisch grote hoeveelheden persoonsgegevens verwerkt (artikel 37 GDPR). Voor de meeste KMO’s is een DPO niet verplicht, maar wel aan te raden voor sectoren als zorg, HR-diensten of marketing.

Wat als ik geen analytics gebruik? Dan heb je geen toestemming nodig voor analytics. Maar als je ook geen embedded YouTube-video’s, Google Maps, of social media-pixels gebruikt, kan je in theorie zonder cookie banner werken. Realistisch is dat zeldzaam.

Hoe zit het met server-side Google Analytics? Een server-side setup vermijdt cookies in de browser, maar de data-doorgifte naar Google in de US blijft een issue. Sinds het EU-US Data Privacy Framework (DPF) is er een geldige rechtsgrond, maar je moet die expliciet vermelden in je privacyverklaring.

Wat met embedded YouTube of Vimeo? YouTube zet cookies zodra de player laadt. Gebruik de “youtube-nocookie.com”-variant of laad de embed pas na toestemming. Vimeo heeft een “Do Not Track”-modus die wel respectvol omgaat met privacy.

Wat zijn de boetes? Theoretisch kan een GDPR-boete oplopen tot 4% van de wereldwijde jaaromzet. In de Belgische praktijk zien we voor KMO’s bedragen tussen €5.000 en €50.000 voor systematische overtredingen. De GBA gaat geleidelijk strenger handhaven.

Tot slot

GDPR-compliance is geen project dat je één keer afwerkt, het is een aanhoudende discipline. De goeie boodschap: als je website netjes opgebouwd is met privacy-by-design in gedachten, valt de praktische last enorm mee.

Wij bouwen al onze sites met een werkende cookie-consent integratie, een correcte privacyverklaring en een register van DPA’s. Plan een gratis review als je benieuwd bent of je huidige site in orde is, we kijken er gratis vrijblijvend naar.

← Terug naar alle artikelen