Customer Impact

Website & Development

Een GDPR-proof website in België: checklist voor B2B

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 5 min leestijd

Een GDPR-proof website in België betekent dat je alleen persoonsgegevens verzamelt die je echt nodig hebt, dat je geldige toestemming vraagt voordat je trackt, dat je afspraken met je leveranciers contractueel vastlegt en dat je transparant bent over wat er met de data gebeurt. Het is geen juridische formaliteit die je achteraf erbij plakt, maar een set keuzes die je in je formulieren, je tracking en je hosting verwerkt. In dit artikel krijg je een concrete checklist toegespitst op B2B-sites: wat de Gegevensbeschermingsautoriteit (GBA) verwacht, waar de meeste bedrijven de mist in gaan, en hoe je het risico op een boete en op verloren vertrouwen klein houdt.

Wat betekent GDPR-proof voor een B2B-website precies?

GDPR-proof betekent dat elke plek waar je site persoonsgegevens aanraakt, voldoet aan de Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR). Voor een B2B-website zijn dat vier zones: je formulieren, je tracking en cookies, je externe diensten zoals hosting en e-mailtools, en je informatieplicht via een privacyverklaring.

Veel B2B-ondernemers denken dat de AVG vooral voor webshops en consumentenmerken geldt. Dat klopt niet. Zodra je een naam, een zakelijk e-mailadres of een IP-adres verwerkt, val je onder de regels. Een contactformulier, een nieuwsbriefinschrijving of een Google Analytics-script is al genoeg. Het goede nieuws: voor een typische B2B-site is de lat goed haalbaar, zolang je de basis bewust inricht in plaats van er overheen te scrollen.

Wat zijn de regels rond cookies en tracking in België?

In België is de regel helder: geen voorafgaande toestemming, geen niet-essentiële cookies. Alleen strikt noodzakelijke cookies, zoals die voor een winkelmandje of een ingelogde sessie, mag je zonder toestemming plaatsen. Voor alle andere, denk aan analytics van derden, marketing- en trackingcookies, heb je vooraf de actieve toestemming van de bezoeker nodig.

De Gegevensbeschermingsautoriteit heeft daar duidelijke verwachtingen over en publiceerde een cookiechecklist. Een paar harde punten die in de praktijk vaak fout gaan:

  • Toestemming moet vrij, specifiek, geïnformeerd en actief zijn. Een voorgevinkt vakje of een banner die zegt “door verder te surfen ga je akkoord” telt niet als geldige toestemming.
  • Weigeren moet even makkelijk zijn als aanvaarden. Een banner met alleen een prominente knop “Alles aanvaarden” en een verstopte weigeroptie voldoet niet.
  • Geen cookiewall. Je mag de toegang tot je site niet blokkeren voor wie de niet-essentiële cookies weigert.
  • Een cookiebeleid is verplicht zodra je trackers plaatst, zodat bezoekers transparant zien wat er gebeurt.

Dat dit geen theorie is, bleek toen de GBA een Belgische perssite beboette omdat de cookies op de website niet voldeden aan de regels. Voor B2B betekent het concreet: zet je analytics- en advertentiescripts pas aan nadat er toestemming is, niet bij het laden van de pagina. Een correct geconfigureerde consent-tool die scripts blokkeert tot de bezoeker kiest, is hiervoor het werkpaard.

Hoe maak je je formulieren GDPR-proof?

Een formulier is GDPR-proof als je alleen vraagt wat je echt nodig hebt, duidelijk maakt waarvoor je de gegevens gebruikt, en toestemming niet verwart met functionaliteit. Dataminimalisatie is hier het kernprincipe: elk extra veld dat je niet gebruikt, is data die je onnodig bewaart en moet beveiligen.

Praktisch voor je B2B-formulieren:

  • Vraag minder. Een naam en een zakelijk e-mailadres volstaan meestal voor een eerste contact. Telefoonnummer, bedrijfsgrootte en budget kun je later in het gesprek ophalen. Dit is bovendien gewoon goede conversie-optimalisatie van formulieren: kortere formulieren leveren doorgaans meer leads op.
  • Scheid toestemmingen. Een contactaanvraag verwerken mag op basis van het gesprek dat de bezoeker zelf start. Wil je iemand daarna ook nieuwsbrieven sturen, dan vraag je daar een aparte, niet-voorgevinkte opt-in voor.
  • Wees expliciet over het doel. Een korte zin bij het formulier (“We gebruiken je gegevens enkel om je aanvraag te beantwoorden”) plus een link naar je privacyverklaring volstaat.
  • Beveilig de doorgifte. Je site hoort over HTTPS te draaien zodat ingevulde gegevens versleuteld verzonden worden, en de inzendingen mogen niet eindeloos rondslingeren in een onbeveiligde mailbox.

Diezelfde discipline geldt voor je contactpagina, vaak het drukste formulier op een B2B-site.

Wat is een verwerkersovereenkomst en heb je die nodig?

Een verwerkersovereenkomst is een contract tussen jou en elke externe partij die namens jou persoonsgegevens verwerkt, en ja, voor vrijwel elke B2B-site heb je er meerdere nodig. De AVG verplicht dit zodra een leverancier data voor jou verwerkt.

Denk aan de partijen achter je site die je makkelijk over het hoofd ziet: je hostingprovider, je CRM, je e-mailmarketingtool, je formulier- of chatdienst, en analytics-leveranciers. Stuk voor stuk verwerken zij gegevens van jouw bezoekers in jouw opdracht. De grote platformen bieden hiervoor standaard een verwerkersovereenkomst (vaak Data Processing Agreement of DPA genoemd) die je online aanvaardt of ondertekent.

Twee aandachtspunten voor B2B in België. Ten eerste: houd een eenvoudig overzicht bij van welke diensten welke data zien. Dat is meteen de basis van je verwerkingsregister. Ten tweede: let op waar de data terechtkomt. Worden gegevens buiten de Europese Economische Ruimte verwerkt, bijvoorbeeld bij Amerikaanse leveranciers, dan moet er een geldige doorgiftegrond zijn, zoals de standaardcontractbepalingen van de Europese Commissie. Het loont om bij de keuze van je tools te kijken of er een EU-hostingoptie bestaat.

Wat riskeer je als je site niet voldoet?

De zwaarste overtredingen van de AVG kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, het hoogste van de twee. Een tweede categorie, voor zaken als een ontbrekend verwerkingsregister of zwakke beveiliging, gaat tot 10 miljoen euro of 2 procent. In de praktijk treft de GBA kleinere B2B-bedrijven zelden met de maximumbedragen; ze kijkt naar de aard en ernst van de overtreding, het aantal betrokkenen en je medewerking.

Maar staar je niet blind op de boete. Het reëlere risico voor de meeste B2B-bedrijven is reputatieschade en verloren vertrouwen. Een opdringerige cookiebanner, een formulier dat te veel vraagt of een datalek dat je had kunnen voorkomen, ondermijnt precies het signaal dat je site moet uitstralen: dat je een betrouwbare partner bent. Privacy netjes regelen is dus ook gewoon een manier om vertrouwen te wekken op je B2B-website. Bezoekers die zich gerespecteerd voelen, vullen makkelijker een formulier in.

De korte samenvatting

Een GDPR-proof website in België staat of valt met vier dingen: verzamel alleen data die je echt gebruikt, vraag geldige voorafgaande toestemming voor niet-essentiële cookies en tracking, leg met elke leverancier een verwerkersovereenkomst vast en wees transparant via een heldere privacyverklaring. De GBA-regels rond cookies zijn streng, maar voor een doordachte B2B-site goed haalbaar. Bouw je het vanaf het begin mee in je formulieren, je tracking en je hosting, dan is naleving geen rem maar een vertrouwenssignaal dat conversie helpt.

Wil je dit goed verankerd hebben in een site die leads oplevert, lees dan onze complete gids over een B2B-website laten maken of bekijk hoe wij een website laten maken, waarbij privacy en conversie hand in hand gaan.

Plan je gratis intake

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit