015 55 00 31
nl
Home Nieuws

GDPR : De GBA scherpt haar strategie aan: wat betekent dit voor uw onderneming?

17/03/2026

Van reactief naar proactief: een nieuwe koers voor gegevensbescherming

De Gegevensbeschermingsautoriteit (GBA) heeft haar strategisch plan voor 2026–2028 gepubliceerd. De boodschap is duidelijk: de GBA wil af van een aanpak die louter gedreven wordt door klachten en wil resoluut kiezen voor een meer proactief, risicogebaseerd handhavingsbeleid. Voor ondernemingen betekent dit dat een afwachtende houding inzake GDPR-compliance voortaan risicovoller is dan ooit.

Wat verandert er concreet?

De GBA kiest voor twee centrale principes: prioritering en samenwerking. Dat klinkt abstract, maar de gevolgen zijn zeer concreet.

Vooreerst worden informatievragen niet langer systematisch beantwoord. In 2024 behandelde de GBA meer dan 3.000 dergelijke verzoeken. Die praktijk wordt afgebouwd. Voortaan bundelt de GBA gelijkaardige vragen in FAQ's, themafiches en checklists op haar website. Wie vroeger rechtstreeks bij de GBA aanklopte voor advies over een specifieke verwerking, zal dat in de toekomst grotendeels zelf moeten uitzoeken — of zich laten begeleiden door een DPO of externe expert.

Daarnaast hervormt de GBA haar klachtenbehandeling grondig. Bemiddeling wordt de voorkeursroute voor eenvoudige geschillen. Wie als onderneming niet constructief meedoet aan een bemiddelingsprocedure, riskeert een versneld handhavingstraject. Voor complexere of maatschappelijk impactvolle zaken blijft sanctionering via de Geschillenkamer mogelijk, maar ook daar kiest de GBA bewust voor proportionaliteit.

Twee thema's in het bijzonder vizier

De GBA duidt twee inhoudelijke prioriteiten aan waarop zij de komende jaren actief zal inzetten.

Ten eerste: grootschalige gegevensverwerkingen met hoog risico, zowel in de publieke als de private sector. Denk aan profilering in de bank- en verzekeringssector, gezondheidsgegevens bij zorgnetwerken, registratiesystemen bij huisartsen of restaurants, en advertentietechnologieën. Ondernemingen actief in e-commerce, zorg, fintech of media bevinden zich daarmee expliciet in het vizier van de toezichthouder.

Ten tweede: de verwerking van persoonsgegevens van minderjarigen. Wie zich richt op jongeren — via apps, games, educatieve platformen of gerichte marketingcampagnes — zal werk moeten maken van leeftijdsverificatie, toestemming en aangepaste privacydocumentatie.

Proactieve handhaving: ook zonder klacht bent u niet veilig

Een van de meest ingrijpende verschuivingen is de evolutie naar proactieve controles. De GBA zal voortaan ook op eigen initiatief inspecties uitvoeren, zonder dat er een klacht aan voorafgaat. Ondernemingen die tot nu toe redeneerden dat een lage klachtendruk gelijkstaat aan een laag compliance-risico, moeten die redenering herzien.

Bovendien werkt de GBA steeds vaker samen met andere toezichthouders, zoals het BIPT, de BMA en Belac. Toezicht op gegevensverwerking wordt daarmee een aangelegenheid die meerdere regulatoren kan betrekken, zeker in het kader van de AI Act, de Digital Services Act en NIS2.

Wat betekent dit praktisch voor uw kmo?

Voor grote ondernemingen met een uitgebouwde compliance-structuur is de impact van dit nieuwe plan wellicht beheersbaar. Voor kmo's ligt de situatie genuanceerder. De GBA stapt immers bewust af van het model waarbij individuele vragen worden beantwoord — net het kanaal waarop veel kleinere ondernemingen tot nu toe terugvielen. Die zelfstandigheid vergt voorbereiding.

Een aantal concrete stappen om u voor te bereiden:

Zorg allereerst voor een actueel en volledig verwerkingsregister. Dat is niet alleen een wettelijke verplichting, maar ook het vertrekpunt voor elke verdere compliance-oefening. Breng vervolgens uw verwerkersovereenkomsten in orde: weet met wie u samenwerkt, op welke basis, en of die basis nog actueel is.

Voer daarnaast voor verwerkingen met een potentieel hoog risico een gegevensbeschermingseffectbeoordeling (DPIA) uit. Dat geldt zeker wanneer u persoonsgegevens verwerkt op een schaal of met een intensiteit die de aandacht van de GBA kan trekken. Bouw ten slotte een interne governance uit die u in staat stelt snel te reageren op een mogelijke bemiddelingsprocedure — want die kan sneller aanvangen dan een klassiek handhavingstraject.

Of een DPO voor uw onderneming wettelijk verplicht of gewoon aangewezen is, bespraken we eerder al in een eerdere nieuwsbrief. Wat dit nieuwe strategisch plan duidelijk maakt, is dat de DPO — intern of extern — voor veel kmo's niet langer een optionele luxe is, maar een praktische noodzaak. Wie geen interne expertise heeft om zelfstandig de juiste afwegingen te maken, kan altijd beroep doen op de advocaten van LM&DS om zich te laten begeleiden.

Bericht geplaatst door Robbe De Backer - Veerle Stroobants , advocaten op 17/03/2026.

Veerle Stroobants Advocaat - vennoot
Robbe De Backer Advocaat

Terug naar overzicht

Recente berichten

VACATURE STAGIAIR ONDERNEMINSGRECHT EN CONTRACTENRECHT (09/03/2026) Peppol, e-facturatie & de juridische gevolgen voor uw onderneming (23/02/2026) GDPR - Wat doet een DPO en heeft u één nodig binnen uw onderneming? (19/02/2026) Wijziging in betaling van facturen aan gerechtsdeurwaarders (14/01/2026) Maximum bedrag maaltijdcheques stijgt vanaf 1 januari 2026 (14/01/2026)
Ik wil een afspraak
Contacteer ons
Grote Nieuwedijkstraat 417
2800 Mechelen
015 55 00 31
info@lmds.be
Nuttige info

Jobs
Nieuws
Tarieven
Veelgestelde vragen

Beëindigen arbeidsovereenkomst?

Bereken opzegtermijn
Blijf op de hoogte

Ontvang uitnodigingen voor infosessies en alleen het belangrijkste nieuws.

Schrijf in

© 2026 LM&DS - Grote Nieuwedijkstraat 417, 2800 Mechelen - BTW BE 0894.715.033
dienstenwet - algemene voorwaarden - privacy policy - cookie policy Quoted: Websites met méér