Wie moet een privacyverklaring publiceren in België?

Iedere natuurlijke of rechtspersoon die persoonsgegevens verzamelt of verwerkt op het Belgisch grondgebied of zich richt tot personen in België. Dit omvat e-commerce-sites, SaaS, zelfstandigen, vzw's, medische of juridische kantoren, media en zelfs blogs met enkel een contactformulier of analytische cookies. De verplichting vloeit voort uit artikelen 13 en 14 AVG en geldt ongeacht de omvang van de organisatie.

Wanneer moet de privacyverklaring worden bijgewerkt?

De verklaring moet worden bijgewerkt bij elke substantiële wijziging: nieuw verwerkingsdoeleinde, nieuwe verwerker, nieuw bestemmingsland buiten de EU, wijziging van bewaartermijnen, regelgevende ontwikkeling (nieuwe richtsnoeren van de EDPB of aanbeveling van de GBA), of wijziging van FG. Het is aanbevolen ten minste eenmaal per jaar over te gaan tot een volledige herziening. De GBA verwacht een zichtbare datum van laatste bijwerking en een versienummer op het gepubliceerde document.

Wat zijn de verplichte vermeldingen van artikel 13 AVG?

Artikel 13 AVG somt 11 verplichte vermeldingen op bij directe verzameling: identiteit en contactgegevens van de verantwoordelijke, contactgegevens van de FG, doeleinden en rechtsgronden, gerechtvaardigde belangen indien van toepassing, ontvangers, doorgiften buiten EU en waarborgen, bewaartermijn, rechten van betrokkenen, recht om toestemming in te trekken, recht om klacht in te dienen bij de GBA, regelgevend of contractueel karakter van de verstrekking, bestaan van profilering. Het weglaten van zelfs één vermelding maakt de verklaring niet-conform en stelt bloot aan een Belgische boete.

Mag men meerdere rechtsgronden cumuleren voor hetzelfde doeleinde?

Nee. Het Europees Comité voor gegevensbescherming (EDPB) en de Belgische GBA zijn categoriek: elk doeleinde moet steunen op één enkele duidelijk geïdentificeerde rechtsgrond uit de zes voorzien in artikel 6 AVG. De praktijk waarbij gelijktijdig de overeenkomst EN de toestemming EN het gerechtvaardigd belang worden ingeroepen « om alles in te dekken » wordt gesanctioneerd omdat het de betrokkene duidelijke informatie over zijn rechten ontneemt — de intrekking van de toestemming heeft niet hetzelfde effect als het bezwaar tegen een verwerking gebaseerd op gerechtvaardigd belang.

Welke rechten kunnen Belgische gebruikers uitoefenen?

Artikelen 15 tot 22 AVG voorzien in zeven rechten: recht van inzage (Art. 15), recht op rectificatie (Art. 16), recht op gegevenswissing of « recht om vergeten te worden » (Art. 17), recht op beperking (Art. 18), recht op overdraagbaarheid (Art. 20), recht van bezwaar (Art. 21) en recht om niet onderworpen te zijn aan een geautomatiseerd besluit (Art. 22). Daaraan toegevoegd het recht om de toestemming op elk moment in te trekken (Art. 7§3). Het antwoord moet binnen één maand komen (Art. 12§3 AVG), verlengbaar met twee maanden voor complexe verzoeken, en gemotiveerd worden in geval van weigering.

Is de FG verplicht voor mijn Belgische organisatie?

Artikel 37 AVG legt de aanstelling van een Functionaris voor Gegevensbescherming op in drie gevallen: openbare instantie of instelling (met uitzondering van rechtbanken), grootschalige verwerking die regelmatig en systematisch toezicht op betrokkenen vereist (bijvoorbeeld: gedragstrackingplatformen, telecomoperatoren), grootschalige verwerking van bijzondere categorieën van gegevens (gezondheid, biometrie, opinies). Buiten deze gevallen blijft de aanstelling facultatief in België, maar wordt zij vaak aanbevolen om de verantwoordingsplicht aan te tonen (Art. 5§2 AVG).

Welke sancties kan de GBA opleggen?

De Geschillenkamer van de Belgische GBA kan administratieve boetes opleggen tot 10 miljoen EUR of 2% van de wereldwijde omzet voor inbreuken op de informatieplicht (Art. 83§4 AVG), en tot 20 miljoen EUR of 4% van de wereldwijde omzet voor inbreuken op de fundamentele beginselen of de rechten van betrokkenen (Art. 83§5 AVG). De GBA kan ook waarschuwingen, bevelen tot conformering, tijdelijke of definitieve verwerkingsbeperkingen opleggen, en haar beslissingen op haar officiële site publiceren — wat vaak de meest afschrikwekkende sanctie op reputationeel vlak vormt.

Hoe kunnen doorgiften van gegevens buiten de Europese Unie worden omkaderd?

Sinds het arrest Schrems II (HvJEU, juli 2020) moet elke doorgifte buiten de EER steunen op een grondslag van artikel 46 AVG. Voor de Verenigde Staten dekt het EU-US Data Privacy Framework (adequaatheidsbesluit 2023/1795) de gecertificeerde Amerikaanse dienstverleners. Voor andere landen vormen de standaardcontractbepalingen van de Commissie (besluit 2021/914) de standaardoplossing, vergezeld van een gedocumenteerde Transfer Impact Assessment (TIA) volgens aanbeveling 01/2020 van het EDPB. De BCR (bindende bedrijfsvoorschriften) zijn een alternatief voor multinationale groepen. De verklaring moet de bestemmingslanden en de toepasselijke waarborg vermelden.

Compliance & PersoonsgegevensBE

Gratis model Privacyverklaring voor België

Een kant-en-klare privacyverklaring voor websites, e-commerce, applicaties en diensten in België. Conform de AVG (artikelen 13-14), de Belgische Wet van 30 juli 2018 en de aanbevelingen van de Gegevensbeschermingsautoriteit (GBA). Vul uw gegevens in en download uw PDF in enkele minuten.

Créer votre Privacyverklaring

Utilisation gratuitePDF instantanéAucun compte requis

PRIVACYVERKLARING

AVG (EU 2016/679) · Belgische Wet Van 30 Juli 2018 · GBA België · Bijgewerkt Op: 01/05/2026 · Versie 2.1

VERWERKINGSVERANTWOORDELIJKE

Vandenberghe Tech BV (BV)

Meir 44, 2000 Antwerpen · KBO-nr.: 0123.456.789 · Contact: contact@voorbeeld.be · FG: dpo@voorbeeld.be

Site: voorbeeld.be

Bijgewerkt: 01/05/2026 · v2.1

Vandenberghe Tech BV, BV, met maatschappelijke zetel te Meir 44, 2000 Antwerpen, ingeschreven in de Kruispuntbank van Ondernemingen onder nummer 0123.456.789 (hierna « wij », « onze onderneming » of de « Verwerkingsverantwoordelijke »), hecht het grootste belang aan de bescherming van uw persoonsgegevens. Deze verklaring informeert u, overeenkomstig artikelen 13 en 14 van de Verordening (EU) 2016/679 (AVG) en de Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, over de manier waarop uw gegevens worden verzameld, gebruikt, bewaard en beschermd in het kader van onze e-commerce « Vandenberghe Shop » toegankelijk via voorbeeld.be.

Door gebruik te maken van onze diensten, erkent u kennis te hebben genomen van deze privacyverklaring. Voor alle vragen kunt u ons contacteren op contact@voorbeeld.be of rechtstreeks schrijven naar onze Functionaris voor Gegevensbescherming: dpo@voorbeeld.be.

IDENTITEIT VAN DE VERWERKINGSVERANTWOORDELIJKE

De verwerkingsverantwoordelijke van uw persoonsgegevens is Vandenberghe Tech BV, BV, ingeschreven in de KBO onder nr. 0123.456.789, met maatschappelijke zetel te Meir 44, 2000 Antwerpen.

Contactgegevens:
– E-mail: contact@voorbeeld.be
– Telefoon: +32 3 456 78 90
– Functionaris voor Gegevensbescherming (FG/DPO): dpo@voorbeeld.be (aangesteld overeenkomstig artikel 37 AVG)

VERZAMELDE PERSOONSGEGEVENS

In het kader van onze e-commerce verzamelen wij de volgende categorieën van persoonsgegevens:

Identificatiegegevens (naam, voornaam, geboortedatum)
Contactgegevens (e-mail, telefoon, postadres)
Accountgegevens (logingegevens, gehasht wachtwoord, voorkeuren)
Navigatiegegevens (IP-adres, browsertype, bezochte pagina's)
Betaalgegevens (afgekort kaartnummer, transactiegeschiedenis)
Gedragsgegevens (aankopen, klikken, tijd op de site)

Overeenkomstig het beginsel van minimale gegevensverwerking (Art. 5§1c AVG) verzamelen wij enkel de gegevens die strikt noodzakelijk zijn voor de doeleinden beschreven in het volgende artikel. De velden die als verplicht zijn aangeduid bij de inzameling zijn onontbeerlijk voor de uitvoering van de dienst; de optionele velden zijn dat niet en het ontbreken ervan belet niet het gebruik van de essentiële functies.

DOELEINDEN VAN DE VERWERKING

Uw persoonsgegevens worden verzameld en verwerkt voor de volgende welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (Art. 5§1b AVG):

Uitvoering van de dienstverlenings- of verkoopovereenkomst (levering, facturatie, support)
Aanmaak en beheer van het gebruikersaccount
Marketingcommunicatie (nieuwsbrief, promoties, gepersonaliseerde aanbiedingen)
Naleving van wettelijke verplichtingen (boekhouding, fiscaliteit, AML)
Beveiliging van de site en fraudepreventie
Bezoekersanalyse en statistische analyse

Geen enkel persoonsgegeven wordt verwerkt voor doeleinden die onverenigbaar zijn met de oorspronkelijk meegedeelde doeleinden. Elk later gebruik voor een ander doeleinde wordt voorafgegaan door een passende informatie en, in voorkomend geval, door een nieuwe rechtsgrond overeenkomstig artikelen 6§4 en 13§3 AVG.

RECHTSGRONDEN VAN DE VERWERKING (ART. 6 AVG)

Elke verwerking van persoonsgegevens steunt op één van de in artikel 6 AVG voorziene rechtsgronden. Afhankelijk van het betrokken doeleinde baseren wij ons op:

Uitvoering van een overeenkomst of precontractuele maatregelen (Art. 6§1b AVG)
Toestemming van de betrokkene (Art. 6§1a AVG)
Naleving van een wettelijke verplichting (Art. 6§1c AVG)
Gerechtvaardigd belang van de verwerkingsverantwoordelijke (Art. 6§1f AVG)

Wanneer de verwerking gebaseerd is op uw toestemming (Art. 6§1a en 7 AVG), kunt u deze op elk moment intrekken, zonder dat deze intrekking afbreuk doet aan de rechtmatigheid van de eerder verrichte verwerking. Wanneer wij ons beroepen op een gerechtvaardigd belang (Art. 6§1f AVG), voeren wij een gedocumenteerde belangenafweging uit tussen dat belang en uw fundamentele rechten en vrijheden; deze analyse kan op schriftelijk verzoek bij ons worden ingezien.

ONTVANGERS VAN DE GEGEVENS

Uw persoonsgegevens worden verwerkt door ons gemachtigd personeel, binnen de strikte grenzen van hun functie. Zij kunnen worden meegedeeld aan de volgende categorieën van ontvangers:

onze verwerkers (hostingprovider, betalingsverwerker, e-mailplatform, supportdienst, enz.), gebonden door een contract conform artikel 28 AVG dat een gelijkwaardig beschermingsniveau garandeert;
onze commerciële partners die hiertoe gemachtigd zijn, binnen de strikt noodzakelijke grenzen voor de uitvoering van de dienst;
de bevoegde overheidsinstanties, wanneer de Belgische of Europese wet ons hiertoe verplicht (bijvoorbeeld: GBA, fiscale administratie, gerechtelijke instanties).

In het bijzonder zijn onze voornaamste verwerkers de volgende:
Combell NV (hosting, België) · Stripe Payments Europe Ltd. (betalingen, Ierland) · Mailchimp / Intuit (nieuwsbrief, USA — DPF gecertificeerd) · Google Workspace (zakelijke e-mail, USA — DPF gecertificeerd) · Zendesk EU (klantondersteuning, Nederland)

Wij verkopen of verhuren uw persoonsgegevens nooit aan derden voor commerciële doeleinden.

BEWAARTERMIJN

Uw persoonsgegevens worden bewaard gedurende de strikt noodzakelijke termijn voor de verwezenlijking van de doeleinden waarvoor zij werden verzameld, overeenkomstig het beginsel van opslagbeperking (Art. 5§1e AVG).

Toegepaste bewaartermijnen:
Klantaccount: duur contract + 5 jaar (bewijs) — Boekhoudkundige gegevens: 7 jaar (art. III.86 WER) — Commerciële prospectie: 3 jaar te rekenen vanaf laatste contact — Verbindingslogs: 12 maanden — Analytics-cookies: 13 maanden

UW RECHTEN (ART. 15-22 AVG)

Overeenkomstig artikelen 15 tot 22 AVG en de Belgische Wet van 30 juli 2018 beschikt u over de volgende rechten op uw persoonsgegevens:

Recht van inzage (Art. 15): de bevestiging verkrijgen van de verwerking en een kopie van de verwerkte gegevens;
Recht op rectificatie (Art. 16): onjuiste gegevens laten corrigeren of onvolledige gegevens aanvullen;
Recht op gegevenswissing of « recht om vergeten te worden » (Art. 17): de verwijdering vragen van uw gegevens in de bij wet voorziene gevallen;
Recht op beperking (Art. 18): de verwerking tijdelijk beperken in geval van betwisting;
Recht op overdraagbaarheid (Art. 20): uw gegevens ontvangen in een gestructureerd, gangbaar en machine-leesbaar formaat;
Recht van bezwaar (Art. 21): bezwaar maken tegen de verwerking gebaseerd op gerechtvaardigd belang of tegen direct marketing;
Recht uw toestemming in te trekken (Art. 7§3) op elk moment, wanneer de verwerking daarop is gebaseerd.

U kunt deze rechten uitoefenen door ons te contacteren op contact@voorbeeld.be, vergezeld van een identiteitsbewijs. Wij beantwoorden uw verzoek binnen één maand, met een mogelijke verlenging van twee maanden voor complexe verzoeken (Art. 12§3 AVG).

BEVEILIGING VAN DE GEGEVENS (ART. 32 AVG)

Overeenkomstig artikel 32 AVG nemen wij passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, en met name:

versleuteling van de gegevens tijdens de overdracht (TLS 1.3) en, waar relevant, in rust (AES-256);
strikte toegangscontrole (rolbeheer, multifactor-authenticatie op administratieve tools);
regelmatige versleutelde back-ups, bewaard op servers gehost in de Europese Unie;
periodieke beveiligingstests en onverwijlde toepassing van beveiligingsupdates;
opleiding en sensibilisering van het personeel inzake gegevensbescherming.

In geval van een inbreuk in verband met persoonsgegevens die een risico voor uw rechten en vrijheden kan inhouden, melden wij dit aan de GBA (Gegevensbeschermingsautoriteit) binnen 72 uur en, indien het risico hoog is, informeren wij u onverwijld (Art. 33-34 AVG).

COOKIES EN TRACKERS (WET VAN 13 JUNI 2005, ART. 129)

Onze site gebruikt cookies en gelijksoortige technologieën overeenkomstig artikel 129 van de Belgische Wet van 13 juni 2005 betreffende de elektronische communicatie en de vereisten van de GBA.

Strikt noodzakelijke cookies voor de werking van de site (sessie, beveiliging, winkelmandje) worden geplaatst zonder voorafgaande toestemming, overeenkomstig de wettelijke uitzondering.

Analytische, marketing- en sociale media-cookies worden uitsluitend geplaatst na uw uitdrukkelijke toestemming via de cookiebanner die bij uw eerste bezoek wordt getoond. U kunt uw keuzes op elk moment wijzigen via de knop « Cookies beheren » onderaan elke pagina, of rechtstreeks via de instellingen van uw browser.

10.

WIJZIGINGEN AAN DEZE VERKLARING

Wij behouden ons het recht voor deze verklaring op elk moment te wijzigen, met name om rekening te houden met wettelijke, jurisprudentiële, technische of bedrijfsmatige ontwikkelingen. Elke substantiële wijziging zal u worden meegedeeld via een zichtbare melding op de site of per e-mail ten minste 30 dagen vóór de inwerkingtreding ervan, voor zover de AVG dit vereist. De geldende versie is steeds die welke op onze site is gepubliceerd, gedateerd en genummerd bovenaan de pagina.

11.

CONTACT

Voor alle vragen omtrent deze verklaring of de uitoefening van uw rechten:

E-mail: contact@voorbeeld.be
Functionaris voor Gegevensbescherming: dpo@voorbeeld.be
Telefoon: +32 3 456 78 90
Post: Meir 44, 2000 Antwerpen

12.

KLACHT BIJ DE TOEZICHTHOUDENDE AUTORITEIT

Indien u na contact met ons van oordeel bent dat uw rechten inzake gegevensbescherming niet worden gerespecteerd, kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit (GBA), de bevoegde Belgische toezichthoudende autoriteit:

Gegevensbeschermingsautoriteit / Autorité de Protection des Données
Drukpersstraat 35, 1000 Brussel
Telefoon: +32 2 274 48 00 — E-mail: contact@apd-gba.be
Site: www.gegevensbeschermingsautoriteit.be

Daarnaast behoudt u de mogelijkheid om beroep aan te tekenen bij de bevoegde Belgische rechtbanken (Art. 79 AVG).

13.

GEDETAILLEERDE COOKIE-INVENTARIS

De onderstaande tabel detailleert alle cookies die op onze site worden geplaatst, hun doeleinde, hun bewaartermijn en uitgever, overeenkomstig de aanbevelingen van de GBA (Aanbeveling 01/2020):

Strikt noodzakelijke cookies (geen toestemming vereist):
– session_id: behoud van de gebruikerssessie · 30 minuten · intern
– csrf_token: bescherming tegen CSRF-aanvallen · sessie · intern
– cookie_consent: registratie van uw cookiekeuzes · 12 maanden · intern

Analytische cookies (toestemming vereist):
– _ga, _ga_*: Google Analytics 4 · 13 maanden · Google Ireland Ltd. (USA-DPF)
– _pk_id, _pk_ses: Matomo Analytics · 13 maanden · zelf gehost (EU)

Marketing- en advertentiecookies (toestemming vereist):
– _fbp: Meta Pixel · 90 dagen · Meta Platforms Ireland (USA-DPF)
– NID, IDE: Google Ads, retargeting · 13 maanden · Google Ireland Ltd. (USA-DPF)
– _li_id: LinkedIn Insight Tag · 6 maanden · LinkedIn Ireland

U kunt uw toestemming op elk moment weigeren, selectief geven of intrekken via het centrum voor cookievoorkeuren dat onderaan elke pagina toegankelijk is (« Cookies beheren »).

14.

DOORGIFTEN VAN GEGEVENS BUITEN DE EUROPESE UNIE (ART. 44-49 AVG)

Aangezien sommige van onze verwerkers buiten de Europese Economische Ruimte gevestigd zijn, kunnen uw gegevens worden doorgegeven naar de volgende landen:
Verenigde Staten (USA-DPF), Verenigd Koninkrijk (adequaatheidsbesluit 2021/1772)

Deze doorgiften worden omkaderd door de volgende passende waarborgen: EU-US Data Privacy Framework (adequaatheidsbesluit 2023/1795). U kunt op eenvoudig verzoek aan ons contactadres een kopie van de toegepaste waarborgen verkrijgen.

Voor doorgiften naar de Verenigde Staten verifiëren wij systematisch de certificering van onze dienstverleners aan het EU-US Data Privacy Framework (adequaatheidsbesluit 2023/1795). Voor andere bestemmingen passen wij de standaardcontractbepalingen van de Europese Commissie toe (besluit 2021/914), zo nodig aangevuld met bijkomende maatregelen overeenkomstig de Schrems II-jurisprudentie en aanbeveling 01/2020 van het EDPB.

15.

GEAUTOMATISEERDE BESLUITVORMING EN PROFILERING (ART. 22 AVG)

Wij maken gebruik van geautomatiseerde verwerkingen, met inbegrip van profilering, in het kader van:
Anti-fraudescoring bij kaartbetalingen (op basis van aankoopgeschiedenis, IP-geolocatie, browservingerafdruk). Gepersonaliseerde productaanbevelingen in de klantenzone.

Deze verwerkingen kunnen rechtsgevolgen voor u teweegbrengen of u in aanzienlijke mate treffen. Overeenkomstig artikel 22 AVG beschikt u over het recht:

om niet onderworpen te worden aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd;
om menselijke tussenkomst van onzentwege te verkrijgen;
om uw standpunt kenbaar te maken en het besluit aan te vechten;
om informatie te verkrijgen over de onderliggende logica, het belang en de verwachte gevolgen van de verwerking.

Om deze rechten uit te oefenen, contacteert u ons op contact@voorbeeld.be met vermelding van het betrokken besluit.

16.

GEDETAILLEERDE TABEL VAN DE BEWAARTERMIJNEN

Aanvullend op het artikel betreffende de bewaartermijn detailleert de onderstaande tabel de toegepaste termijnen voor elke categorie van doeleinden, overeenkomstig het beginsel van opslagbeperking (Art. 5§1e AVG):

Actief klantaccount: duur van het contract — Afgesloten klantaccount: 5 jaar (bewijs) — Boekhoudkundige en fiscale gegevens: 7 jaar (art. III.86 WER) — Prospectiegegevens: 3 jaar na laatste contact — Serverlogs: 12 maanden — Beveiligingslogs (verbindingspogingen): 6 maanden — Camerabewaking van de gebouwen: 30 dagen — Analytics-cookies: 13 maanden — Marketingcookies: 6 maanden

Bij het verstrijken van de aangegeven termijnen worden de gegevens definitief verwijderd uit onze actieve systemen of onomkeerbaar geanonimiseerd voor statistische doeleinden.

17.

PROCEDURE BIJ INBREUK IN VERBAND MET PERSOONSGEGEVENS (ART. 33-34 AVG)

Wij hebben een gedocumenteerde procedure ingevoerd voor het beheer van inbreuken in verband met persoonsgegevens:

Detectie: continue monitoring via SIEM-tools, gecentraliseerde logging, realtime waarschuwingen;
Kwalificatie: analyse van het incident door ons beveiligingsteam binnen de 24 uur na detectie;
Melding aan de GBA: binnen 72 uur via het officiële platform (Art. 33 AVG), met inbegrip van de aard van de inbreuk, de categorieën van betrokken personen en gegevens, de waarschijnlijke gevolgen en de genomen maatregelen;
Mededeling aan de betrokkenen: onverwijld wanneer de inbreuk een hoog risico voor uw rechten en vrijheden kan inhouden (Art. 34 AVG);
Documentatie: bijhouden van een intern register van alle inbreuken, ongeacht of zij aan de GBA werden gemeld.

Privacyverklaring — Vandenberghe Tech BV
Versie 2.1 · Bijgewerkt op 01/05/2026
Document eenzijdig gepubliceerd door de verwerkingsverantwoordelijke — geen handtekening vereist.

Wat is een privacyverklaring in België?

Een privacyverklaring — ook wel « privacy notice » of « privacybeleid » genoemd — is een eenzijdig juridisch document waarmee de verwerkingsverantwoordelijke de betrokkenen informeert over hoe hun persoonsgegevens worden verzameld, gebruikt, bewaard, gedeeld en beschermd. In België is dit document verplicht voor iedere persoon of organisatie die persoonsgegevens verwerkt: webshops, SaaS-platformen, zelfstandigen, vzw's, ziekenhuizen, financiële instellingen, online media of zelfs eenvoudige blogs met een contactformulier of analytische cookies.

De verplichting om een privacyverklaring te verstrekken vloeit rechtstreeks voort uit artikelen 13 en 14 van de Algemene Verordening Gegevensbescherming (AVG, Verordening EU 2016/679). Deze bepalingen leggen de verwerkingsverantwoordelijke op om de betrokkenen vanaf de gegevensverzameling een nauwkeurige reeks informatie mee te delen: identiteit van de verantwoordelijke, doeleinden, rechtsgronden, ontvangers, bewaartermijnen, rechten, doorgiften buiten de Europese Unie en klachtenprocedure bij de Gegevensbeschermingsautoriteit (GBA). In België worden deze vereisten aangevuld door de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (LCV).

Naast de wettelijke verplichting is de privacyverklaring een standaard van digitaal vertrouwen geworden in België. De GBA legt regelmatig financiële sancties op aan organisaties met ontbrekende, generieke of niet-conforme verklaringen: kopieer-plakwerk van een buitenlandse site, ontbreken van een rechtsgrond per doeleinde, gebrek aan respect voor aanbeveling 01/2020 over cookies. Een goed opgestelde verklaring — duidelijk, specifiek voor uw activiteit, bijgewerkt met de laatste ontwikkelingen van de AVG — beschermt uw organisatie tegen boetes (tot 20 miljoen EUR of 4% van de wereldwijde omzet volgens artikel 83 AVG) en versterkt de vertrouwensrelatie met uw Belgische gebruikers.

Wat omvat dit sjabloon

Het Belgische privacyverklaring-sjabloon van Doxuno bevat alle verplichte vermeldingen van artikelen 13 en 14 AVG, aangevuld met de Expert-secties die door de GBA worden aanbevolen om bestand te zijn tegen een GBA-audit in België.

Identiteit van de verwerkingsverantwoordelijke

Benaming, KBO, zetel, e-mail en gegevens van de FG conform artikel 13§1a AVG

Verzamelde persoonsgegevens

Gedetailleerde categorieën met respect voor het beginsel van minimale gegevensverwerking (Art. 5§1c AVG)

Doeleinden van de verwerking

Welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden volgens artikel 5§1b AVG

Rechtsgronden (Art. 6 AVG)

Toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang — één grond per doeleinde

Ontvangers en verwerkers

Verwerkers volgens artikel 28 AVG, partners en Belgische overheidsinstanties

Bewaartermijnen

Indicatieve termijnen (klantaccount, boekhouding 7 jaar WER, prospectie, logs)

Rechten van betrokkenen (Art. 15-22)

Inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, intrekking toestemming

Beveiliging van gegevens (Art. 32)

Technische en organisatorische maatregelen: TLS 1.3-versleuteling, MFA, EU-back-ups

Cookies (Wet 13/06/2005, art. 129)

Onderscheid essentiële / analytische / marketingcookies — toestemming volgens GBA

Doorgiften buiten EU (Art. 44-49)

EU-US DPF, standaardcontractbepalingen, BCR — analyse na Schrems II

Profilering en geautomatiseerde besluiten

Versterkte informatie volgens artikel 22 AVG voor scoring, aanbevelingen, segmentatie

Klacht bij de GBA

Volledige contactgegevens van de Belgische Gegevensbeschermingsautoriteit te Brussel

Hoe maakt u uw privacyverklaring in België?

Geen juridische voorkennis vereist. Het Doxuno-formulier begeleidt u sectie per sectie en genereert een document dat voldoet aan de Belgische vereisten in enkele minuten.

1
Identificeer de verwerkingsverantwoordelijke
Vermeld de exacte handelsnaam zoals geregistreerd in de Kruispuntbank van Ondernemingen (KBO), de rechtsvorm (BV, NV, vzw, zelfstandige), de maatschappelijke zetel, het 10-cijferig ondernemingsnummer en de algemene contact-e-mail. Indien uw activiteit dit vereist (artikel 37 AVG: openbare instellingen, grootschalige verwerking van gevoelige gegevens, stelselmatig toezicht), stelt u een Functionaris voor Gegevensbescherming aan en publiceert u zijn specifieke e-mailadres.
2
Beschrijf uw site en sector
Vul de URL van de site of applicatie in, de commerciële naam van de dienst en de activiteitssector (e-commerce, SaaS, professionele diensten, gezondheid, financieel, media). Bepaal de datum van de laatste bijwerking en het versienummer — elementen die zichtbaar bovenaan de pagina worden vermeld en door de GBA worden vereist om uw permanente actualisatieproces aan te tonen.
3
Selecteer de gegevens en doeleinden
Vink de daadwerkelijk verwerkte gegevenscategorieën aan (identificatie, contact, navigatie, betaling, gedrag, locatie), de nagestreefde doeleinden (uitvoering van de overeenkomst, accountbeheer, marketing, wettelijke verplichtingen, beveiliging) en de toepasselijke AVG-rechtsgrond per doeleinde (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang). Het beginsel van minimale gegevensverwerking verbiedt verzameling boven het noodzakelijke.
4
Specificeer bewaring, verwerkers en cookies
Geef uw bewaartermijnen per categorie aan (standaard: klantaccount duur contract + 5 jaar, boekhouding 7 jaar volgens artikel III.86 WER, logs 12 maanden). Vermeld uw voornaamste verwerkers in de zin van artikel 28 AVG (hosting, betaling, e-mailing, support). Activeer de basisclausule cookies conform artikel 129 van de Belgische Wet van 13 juni 2005.
5
Activeer de Expert-clausules en download
Voor een verklaring die bestand is tegen een GBA-audit, activeert u de Expert-secties: gedetailleerde cookie-inventaris (aanbeveling 01/2020), analyse van doorgiften buiten de EU na Schrems II, profilering en geautomatiseerde besluitvorming (Art. 22), verwerking van bijzondere categorieën (Art. 9), uitputtende tabel van bewaartermijnen en gedocumenteerde procedure voor inbreukbeheer (Art. 33-34). Uw verklaring wordt gegenereerd als professionele PDF, klaar om te publiceren op uw Belgische site.

Juridische overwegingen in België

De privacyverklaring is een gevoelig juridisch document. Verschillende aspecten verdienen bijzondere aandacht vóór publicatie, in het bijzonder wanneer u gevoelige gegevens verwerkt of opereert in een gereguleerde sector in België.

Dit sjabloon is uitsluitend informatief en vormt geen juridisch advies. Voor sites die gezondheidsgegevens, bankgegevens verwerken of zich richten tot minderjarigen, alsook bij controle of audit door de GBA, raadpleegt u een advocaat gespecialiseerd in het recht inzake gegevensbescherming, ingeschreven aan de Belgische balie.

Inhoud nagekeken door juristen gespecialiseerd in het Belgisch recht inzake gegevensbescherming. De clausules zijn herzien in het licht van de aanbevelingen van de GBA en de recente Belgische rechtspraak inzake AVG.

Artikelen 13 en 14 AVG — Verplichte voorafgaande informatie

Artikelen 13 en 14 van Verordening (EU) 2016/679 verplichten de verwerkingsverantwoordelijke om de betrokkene, vanaf de directe (Art. 13) of indirecte (Art. 14) verzameling van de gegevens, een uitputtende reeks informatie te verstrekken: identiteit en contactgegevens van de verantwoordelijke, contactgegevens van de FG indien aanwezig, doeleinden van de verwerking en rechtsgrond, nagestreefde gerechtvaardigde belangen, ontvangers of categorieën van ontvangers, doorgiften naar derde landen en toepasselijke waarborgen, bewaartermijn, bestaan van de rechten (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar), recht om klacht in te dienen bij de GBA. Het weglaten van zelfs één van deze vermeldingen vormt een inbreuk die in België met een administratieve boete kan worden gesanctioneerd.

Wet van 30 juli 2018 (LCV) en bevoegdheid van de GBA

In België vult de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (« LCV ») de AVG aan en past deze aan het Belgisch recht aan. Zij verleent aan de Gegevensbeschermingsautoriteit (GBA) — of Autorité de Protection des Données (APD) in het Frans — een controle-, onderzoeks- en sanctiebevoegdheid. De Geschillenkamer van de GBA kan administratieve boetes opleggen tot 20 miljoen EUR of 4% van de wereldwijde jaaromzet (Art. 83 AVG), evenals bevelen tot inbeslagneming, tijdelijke verwerkingsbeperkingen en publicatie van de sancties.

Wet van 13 juni 2005 — Cookies en trackers (art. 129)

Inzake cookies en gelijkaardige tracking-technologieën zet artikel 129 van de Wet van 13 juni 2005 betreffende de elektronische communicatie de ePrivacy-richtlijn (2002/58/EG zoals gewijzigd) om. Het plaatsen van niet strikt noodzakelijke cookies (analytische, reclame-, sociale media-cookies) vereist de voorafgaande, vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker. De GBA publiceerde in 2020 een Aanbeveling 01/2020 met praktische vereisten: niet-manipulatieve banner, weigering even eenvoudig als aanvaarding, granulariteit per doeleinde, gedetailleerde cookie-inventaris. De niet-naleving van artikel 129 wordt afzonderlijk van de AVG gesanctioneerd.

Sectorregels: gezondheid, financieel, minderjarigen

Sommige sectoren leggen versterkte verplichtingen op. De verwerking van gezondheidsgegevens wordt geregeld door artikel 9 AVG en de Wet van 22 augustus 2002 betreffende de rechten van de patiënt; het beroepsgeheim vereist bijzondere beveiligingsmaatregelen en een gedetailleerd Verwerkingsregister (Art. 30 AVG). De financiële sector moet rekening houden met de PSD2-richtlijn, de Belgische antiwitwaswet van 18 september 2017 en de vereiste lange bewaring (10 jaar). Voor sites toegankelijk voor minderjarigen stelt artikel 8 AVG de leeftijd van toestemming voor diensten van de informatiemaatschappij in België vast op 13 jaar (omzetting LCV) — daaronder is ouderlijke toestemming vereist. Een privacyverklaring moet deze sectorale specificiteiten weerspiegelen.

Veelgestelde vragen

Klaar om een privacyverklaring conform het Belgisch recht te publiceren?

Vul uw gegevens in en ontvang in enkele minuten een privacyverklaring conform de AVG, de Belgische Wet van 30 juli 2018 en de aanbevelingen van de GBA. Gratis, geen account vereist voor de basisversie.

Créer votre Privacyverklaring Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis