Belgische wetgeving inzake gegevensbescherming: uitvoeringsgids AVG (2026)

België regelt gegevensprivacy via drie instrumenten: de Europese AVG (Verordening (EU) 2016/679), de Wet van 30 juli 2018, en artikel 22 van de Belgische Grondwet. De Belgische Gegevensbeschermingsautoriteit (GBA/APD) handhaaft de naleving en kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Kort antwoord: wat zijn de belangrijkste regels inzake gegevensbescherming in België?
Het Belgische gegevensbeschermingsregime rust op drie pijlers: de Europese Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679), die rechtstreeks van toepassing is in alle EU-lidstaten; de Wet van 30 juli 2018, de Belgische nationale uitvoeringswet die de door de AVG aan de lidstaten gelaten keuzeruimte invult; en artikel 22 van de Belgische Grondwet, het nationale grondwettelijke recht op privacy dat in 1994 werd ingevoerd. De Belgische Gegevensbeschermingsautoriteit (GBA/APD), opgericht bij de Wet van 3 december 2017, handhaaft de naleving. Elke organisatie die persoonsgegevens verwerkt van personen in België, valt onder dit kader, ongeacht of zij in België of in het buitenland is gevestigd. Voor een breder EU-perspectief op de werking van de AVG in alle lidstaten, zie ons overzicht van de Europese wetgeving inzake gegevensbescherming.
Reikwijdte: Dit artikel behandelt het gegevensbeschermingsregime van het Koninkrijk België, met inbegrip van de EU-AVG zoals toegepast in België, de Wet van 30 juli 2018, de handhaving door de GBA/APD, en de EU AI-verordening voor zover deze van toepassing is op de door België aangewezen autoriteiten. Het behandelt niet de Belgische opnamewetgeving; zie daarvoor Belgische opnamewetgeving.

Constitutionele grondslag: artikel 22 en het recht op eerbiediging van het privéleven
Het Belgische recht op privacy heeft nationale grondwettelijke wortels die decennia ouder zijn dan de AVG. Artikel 22 van de Belgische Grondwet waarborgt ieders recht op eerbiediging van zijn privéleven en gezinsleven. Het Belgische parlement voerde deze bepaling in 1994 in, waardoor privacy de status kreeg van een grondwettelijk recht dat onafhankelijk van het Unierecht kan worden afgedwongen.
Vóór de inwerkingtreding van de AVG in 2018 beschikte België al over artikel 22 van de Grondwet, een eigen gegevensbeschermingscommissie (de voorganger, de Commissie voor de bescherming van de persoonlijke levenssfeer), en de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer. Met de komst van de AVG kwamen Europese regelgevende vereisten bovenop een reeds volgroeide grondwettelijke traditie te liggen.
Ook artikel 8 van het Europees Verdrag voor de Rechten van de Mens heeft in België rechtstreekse werking. Belgische rechters passen artikel 8 EVRM toe als ondergrens voor privacybescherming in zaken die niet rechtstreeks onder de AVG of de nationale wetgeving vallen.
De praktische betekenis van artikel 22 is dat het de Belgische rechter in staat stelt privacybescherming toe te kennen in situaties die de AVG aan het nationale recht overlaat, en dat het de wetgever grondwettelijk gezag geeft bij het invoeren van nationale afwijkingen op grond van de artikelen 6, lid 2, 9, lid 4, en 23 van de AVG.

De AVG en de Wet van 30 juli 2018: het duale kader
De AVG heeft rechtstreekse werking in België, wat betekent dat zij van toepassing is zonder omzetting in Belgische wetgeving te vereisen. Zij vormt het plafond en de bodem voor de meeste regels inzake gegevensbescherming.
De Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens vervult drie hoofdfuncties. Ten eerste voert zij AVG-bepalingen uit die nadere invulling op nationaal niveau vereisen of toestaan. Ten tweede zet zij Richtlijn (EU) 2016/680 om, over gegevensverwerking door de instanties die bevoegd zijn voor strafrechtelijke doeleinden. Ten derde stelt zij regels vast voor gegevensverwerking door inlichtingen- en veiligheidsdiensten, die buiten het toepassingsgebied van de AVG vallen.
Het Belgische kader omvat ook de Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit zelf, ingrijpend gewijzigd bij de wetten van 7 september 2023 en 25 december 2023, om de onafhankelijkheid en de operationele capaciteit van de autoriteit te versterken.
Samen regelen deze instrumenten elke organisatie die persoonsgegevens verwerkt van personen in België, ongeacht of de organisatie in België of in het buitenland is gevestigd.
Digitale toestemmingsleeftijd vastgesteld op 13 jaar
Artikel 7 van de Wet van 30 juli 2018 stelt de leeftijd waarop een kind zelfstandig toestemming kan geven voor gegevensverwerking door diensten van de informatiemaatschappij, vast op 13 jaar. Artikel 8 van de AVG staat lidstaten toe deze drempel ergens tussen 13 en 16 jaar vast te stellen, en België koos voor de laagst toegestane leeftijd. De GBA onderbouwde deze keuze met het argument dat 13 jaar de gemiddelde leeftijd is waarop kinderen zelfstandig op internet beginnen te surfen, en dat een hogere drempel de digitale mogelijkheden van jongeren onnodig zou beperken.
Deze lagere drempel geldt specifiek voor rechtstreekse aanbiedingen van diensten van de informatiemaatschappij waarbij de verwerking op toestemming berust. Voor andere soorten gegevensverwerking waarbij minderjarigen betrokken zijn, moet de wettelijke vertegenwoordiger van het kind toestemming geven, hoewel kinderen met voldoende onderscheidingsvermogen (doorgaans verworven tussen 13 en 16 jaar) ook zelf toestemming moeten geven naast die van de vertegenwoordiger.
Bijzondere categorieën van gegevens: extra waarborgen
De Wet van 30 juli 2018 stelt extra vereisten bij de verwerking van genetische, biometrische en gezondheidsgegevens. Verwerkingsverantwoordelijken moeten een actuele lijst bijhouden van iedere persoon die toegang heeft tot deze bijzondere categorieën van gegevens, met vermelding van de categorieën gegevens waartoe elke persoon toegang heeft. Zij moeten er ook voor zorgen dat alle personen met toegang gebonden zijn aan een vertrouwelijkheidsverplichting, wettelijk of contractueel. Deze toegangslijsten moeten op verzoek van de GBA beschikbaar worden gesteld. Dit gaat verder dan wat de AVG zelf vereist en weerspiegelt de Belgische nadruk op verantwoording bij de verwerking van gevoelige gegevens.
Gegevens over strafrechtelijke veroordelingen en strafbare feiten
België voorziet in specifieke rechtsgronden voor de verwerking van gegevens over strafrechtelijke veroordelingen en strafbare feiten. De wet verplicht organisaties die deze gegevens verwerken tot het bijhouden van toegangslijsten en het naleven van vertrouwelijkheidsverplichtingen, naar analogie van de bescherming die geldt voor bijzondere categorieën van gegevens.
Journalistieke en academische uitzonderingen
Artikel 24 van de Wet van 30 juli 2018 voorziet in uitzonderingen voor gegevensverwerking met journalistieke, artistieke of literaire doeleinden. Verwerkingsverantwoordelijken die onder deze uitzonderingen vallen, kunnen worden vrijgesteld van bepaalde rechten van betrokkenen en verplichtingen, waaronder de meldplicht bij datalekken en beperkingen op internationale doorgiften. Deze uitzonderingen brengen gegevensbescherming in evenwicht met de vrijheid van meningsuiting.
Verjaringstermijn van vijf jaar
Artikel 105 van de Wet van 30 juli 2018 stelt een verjaringstermijn van vijf jaar vast voor beweerde inbreuken op de gegevensbescherming. De GBA moet binnen vijf jaar na de beweerde inbreuk een handhavingsprocedure starten, wat rechtszekerheid biedt aan zowel betrokkenen als verwerkingsverantwoordelijken.

Rechtsgronden voor de verwerking van persoonsgegevens in België
Artikel 6, lid 1, van de AVG voorziet in zes uitputtende rechtsgronden. Elke verwerkingsactiviteit in België moet op een van deze gronden berusten; het Belgische nationale recht voegt geen zevende grond toe.
Toestemming (art. 6, lid 1, a): de betrokkene heeft vrij, specifiek, geïnformeerd en ondubbelzinnig toestemming gegeven. De GBA heeft herhaaldelijk geoordeeld dat toestemming geen geldige rechtsgrond is voor de verwerking van persoonsgegevens van werknemers in een arbeidscontext, omdat de machtsongelijkheid tussen werkgever en werknemer vrij gegeven toestemming structureel onmogelijk maakt onder artikel 4, punt 11, van de AVG.
Overeenkomst (art. 6, lid 1, b): de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene precontractuele maatregelen te nemen. Het noodzakelijkheidsvereiste wordt strikt uitgelegd: verwerking die louter handig is voor de uitvoering van de overeenkomst, maar niet werkelijk noodzakelijk, voldoet niet.
Wettelijke verplichting (art. 6, lid 1, c): de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Belgische wetgeving, waaronder het belastingrecht, het socialezekerheidsrecht, en de collectieve arbeidsovereenkomsten van de Nationale Arbeidsraad, schept talrijke van dergelijke verplichtingen voor organisaties die in België actief zijn.
Vitale belangen (art. 6, lid 1, d): de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Deze grond is van toepassing in noodsituaties waarin andere grondslagen niet snel genoeg kunnen worden ingeroepen.
Algemeen belang (art. 6, lid 1, e): de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag. Belgische overheidsinstanties en hun verwerkers beroepen zich hier veelvuldig op.
Gerechtvaardigd belang (art. 6, lid 1, f): de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, mits die belangen niet zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene. Het Hof van Justitie van de EU heeft drie cumulatieve voorwaarden bevestigd: (i) het nastreven van een gerechtvaardigd belang; (ii) de noodzakelijkheid van de verwerking om dat belang te bereiken; (iii) de grondrechten van de betrokkene mogen na een belangenafweging niet prevaleren. De richtsnoeren van de GBA over direct marketing bevestigen dat gerechtvaardigd belang bepaalde marketingactiviteiten kan ondersteunen, maar de belangenafweging moet worden gedocumenteerd en duidelijke opt-outmechanismen moeten worden geboden.
Rechten van betrokkenen in België
De artikelen 12 tot en met 22 van de AVG geven personen een uitgebreid geheel van rechten over hun persoonsgegevens. Het Belgische nationale recht beperkt deze rechten niet verder dan de afwijkingen die de AVG zelf toestaat.
Recht op inzage (art. 15): betrokkenen kunnen bevestiging vragen of hun persoonsgegevens worden verwerkt, en een kopie ontvangen. De verwerkingsverantwoordelijke moet binnen een maand reageren, te verlengen met twee maanden bij complexe of talrijke verzoeken. De GBA heeft dit recht actief gehandhaafd: buitensporige vertragingen bij het beantwoorden van inzageverzoeken vormen een terugkerende schending in GBA-beslissingen.
Recht op rectificatie (art. 16): betrokkenen kunnen verlangen dat onjuiste persoonsgegevens worden gecorrigeerd en dat onvolledige gegevens worden aangevuld.
Recht op gegevenswissing / recht om vergeten te worden (art. 17): betrokkenen kunnen wissing verlangen in bepaalde omstandigheden, onder meer wanneer de gegevens niet langer nodig zijn voor het oorspronkelijke doel, wanneer toestemming wordt ingetrokken en geen andere grondslag bestaat, of wanneer de gegevens onrechtmatig zijn verwerkt. De tot dusver hoogste boete van de GBA, 600.000 euro tegen Google België (juli 2020), vloeide voort uit het niet honoreren van een verzoek tot verwijdering op grond van dit recht.
Recht op beperking van de verwerking (art. 18): betrokkenen kunnen verzoeken dat de verwerking in bepaalde omstandigheden wordt beperkt, bijvoorbeeld wanneer de juistheid van de gegevens wordt betwist of de verwerking onrechtmatig is maar de betrokkene beperking verkiest boven wissing.
Recht op overdraagbaarheid van gegevens (art. 20): wanneer de verwerking berust op toestemming of een overeenkomst en met geautomatiseerde middelen wordt uitgevoerd, kunnen betrokkenen hun persoonsgegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, en deze aan een andere verwerkingsverantwoordelijke overdragen.
Recht van bezwaar (art. 21): betrokkenen kunnen bezwaar maken tegen verwerking op grond van gerechtvaardigd belang of de taak van algemeen belang, met inbegrip van profilering op die gronden. Na ontvangst van een bezwaar moet de verwerkingsverantwoordelijke de verwerking staken, tenzij hij dwingende gerechtvaardigde gronden kan aantonen die zwaarder wegen dan de belangen van de betrokkene.
Rechten met betrekking tot geautomatiseerde besluitvorming en profilering (art. 22 AVG): betrokkenen hebben het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, met inbegrip van profilering, dat rechtsgevolgen heeft of hen op vergelijkbare wijze wezenlijk treft, met uitzonderingen voor de noodzaak van een overeenkomst, wettelijke machtiging, en uitdrukkelijke toestemming.
Het strategisch plan 2026-2028 van de GBA identificeert de handhaving van rechten van betrokkenen expliciet als prioriteit, en de nieuwe Procedureverordening (EU) 2025/2518 (van toepassing vanaf 2 april 2027) zal bindende termijnen van 15 maanden invoeren voor grensoverschrijdend onderzoek, waardoor de praktische afdwingbaarheid van deze rechten in klachten met een grensoverschrijdend karakter wordt versterkt.
De Belgische Gegevensbeschermingsautoriteit (GBA/APD)
De Belgische Gegevensbeschermingsautoriteit staat bekend onder twee namen die de tweetalige structuur van België weerspiegelen: Gegevensbeschermingsautoriteit (GBA) in het Nederlands, en Autorité de protection des données (APD) in het Frans. Zij volgde op 25 mei 2018, dezelfde dag waarop de AVG afdwingbaar werd, de voormalige Commissie voor de bescherming van de persoonlijke levenssfeer op.
De autoriteit is gevestigd aan de Drukpersstraat 35, 1000 Brussel, en telt ongeveer 90 voltijdse medewerkers. Zij is te bereiken via contact@apd-gba.be of +32 2 274 48 00.
Organisatiestructuur
De GBA is opgebouwd uit vijf operationele organen, plus een directiecomité:
Directiecomité: houdt toezicht op begrotingen, jaarverslagen, strategische plannen en organisatorische beslissingen.
Secretariaat-generaal: beheert human resources, budget, IT-infrastructuur, juridische aangelegenheden en communicatie.
Eerstelijnsdienst: ontvangt klachten van betrokkenen, voert bemiddeling tussen partijen, en bevordert publieke bewustwording van rechten inzake gegevensbescherming.
Kenniscentrum: geeft adviezen en aanbevelingen over gegevensverwerking, en verstrekt richtsnoeren aan zowel de publieke als de private sector.
Inspectiedienst: voert onderzoeken en handhavingsactiviteiten uit, met bevoegdheden om personen te verhoren, computersystemen in beslag te nemen, en tijdelijke opschorting van verwerkingsactiviteiten te eisen.
Geschillenkamer: functioneert als het administratieve geschillenorgaan, dat beslissingen neemt en boetes oplegt. Vanaf 25 april 2025 kan een alleenzetelende rechter zaken ten gronde beslissen, in plaats van de eerdere vereiste van kamers met drie leden. Deze structurele wijziging kan van invloed zijn op het totale aantal zaken dat de kamer jaarlijks behandelt.
Handhavingsbevoegdheden
De GBA beschikt over ruime handhavingsbevoegdheden onder de AVG. De Inspectiedienst kan onderzoeken ter plaatse uitvoeren, getuigen verhoren, toegang krijgen tot bedrijfsruimten, en relevant bewijs in beslag nemen. De Geschillenkamer kan waarschuwingen, berispingen, bevelen tot naleving, opschorting van gegevensverwerking, en administratieve boetes opleggen. De autoriteit heeft ook de bevoegdheid om dwangsommen op te leggen om naleving af te dwingen.
Een belangrijke beperking: de GBA kan doorgaans geen administratieve boetes opleggen aan overheidsinstanties, behalve wanneer die instanties goederen of diensten aanbieden op de vrije markt. Het Belgische Grondwettelijk Hof heeft deze vrijstelling gehandhaafd, met de overweging dat het onderscheid evenredig en gerechtvaardigd was, gelet op de noodzaak om de continuïteit van openbare diensten te waarborgen. De GBA kan nog wel bevelen en berispingen uitvaardigen tegen overheidsinstanties.
Strategisch plan 2026-2028 van de GBA: handhaving met systemische impact
De GBA publiceerde een nieuw strategisch plan voor 2026-2028 dat een belangrijke verschuiving in de handhavingsfilosofie markeert. In plaats van individuele klachten reactief te behandelen, wil de GBA zich richten op onderzoeken met systemische impact in sectoren met het grootste potentieel voor wijdverspreide privacyschade.
Prioritaire sectoren zijn zorginstellingen, financiële instellingen, en entiteiten die gegevens van minderjarigen verwerken. De autoriteit zal vaker proactief inspecties starten in plaats van op klachten te wachten. Voor kleinere geschillen, zoals verzoeken om toegang tot camerabeelden en routinematige verzoeken tot gegevenswissing, voert de GBA op bemiddeling gerichte snelle procedures in.
Wegens een aanwervingsstop tot 2029 zal de GBA niet langer systematisch reageren op individuele vragen van organisaties. In plaats daarvan zal zij openbare veelgestelde vragen, checklists en sectorspecifieke richtsnoeren opstellen, waardoor de primaire verantwoordelijkheid voor rechtszekerheid bij organisaties en hun functionarissen voor gegevensbescherming komt te liggen.
Rechtmatige verwerking van bijzondere categorieën: gezondheids-, biometrische en genetische gegevens
De Wet van 30 juli 2018 legt extra verplichtingen op aan verwerkingsverantwoordelijken die bijzondere categorieën van gegevens verwerken zoals omschreven in artikel 9 van de AVG, met name gezondheidsgegevens, genetische gegevens, en biometrische gegevens die worden gebruikt voor eenduidige identificatie.
Naast de vereisten van de AVG schrijft het Belgische recht voor dat verwerkingsverantwoordelijken een actueel toegangslogboek bijhouden waarin iedere persoon wordt vermeld die gemachtigd is om bijzondere categorieën van gegevens te raadplegen, met vermelding van de categorieën waartoe elke persoon toegang heeft. Alle personen met toegang moeten gebonden zijn aan wettelijke of contractuele vertrouwelijkheidsverplichtingen. Deze toegangslogboeken moeten op verzoek van de GBA beschikbaar worden gesteld.
De GBA handhaaft deze vereisten in de praktijk. In een beslissing van december 2024 legde zij een werkgever een boete van 45.000 euro op wegens het gebruik van een tijdsregistratiesysteem op basis van vingerafdrukken zonder geldige rechtsgrond voor de verwerking van biometrische gegevens (Beslissing 114/2024). In een afzonderlijke beslissing van december 2024 legde de GBA een ziekenhuis een boete van 200.000 euro op wegens het niet nemen van passende beveiligingsmaatregelen, wat leidde tot een ransomware-aanval waarbij gezondheidsgegevens van ongeveer 300.000 personen werden blootgesteld.
Vereisten voor de functionaris voor gegevensbescherming in België
België volgt de verplichte aanstellingscriteria van artikel 37 van de AVG, aangevuld met nationale vereisten op grond van de Wet van 30 juli 2018.
Verplichte aanstelling op grond van artikel 37 AVG
Een functionaris voor gegevensbescherming moet worden aangesteld wanneer:
- de gegevensverwerking wordt uitgevoerd door een overheidsinstantie of overheidsorgaan (met uitzondering van gerechten in de uitoefening van hun rechterlijke functie)
- de kernactiviteiten regelmatige en stelselmatige, grootschalige observatie van betrokkenen vereisen
- de kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens of van gegevens over strafrechtelijke veroordelingen
Aanvullende Belgische vereisten
Naast de AVG-verplichtingen schrijft het Belgische nationale recht de aanstelling van een functionaris voor gegevensbescherming voor in twee bijkomende gevallen:
- wanneer een privaatrechtelijk lichaam persoonsgegevens verwerkt namens een federale overheidsinstantie, en de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen
- wanneer de verwerking archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden betreft die waarschijnlijk een hoog risico met zich meebrengen
Onafhankelijkheid en registratie van de functionaris
De GBA is bijzonder actief geweest in het handhaven van de onafhankelijkheidsvereisten voor de functionaris voor gegevensbescherming. De Proximus-beslissing van 2020 stelde vast dat het combineren van de FG-functie met functies zoals audit, risico, of compliance een ontoelaatbaar belangenconflict creëert op grond van artikel 38, lid 6, van de AVG. De functionaris moet rechtstreeks rapporteren aan het hoogste managementniveau en mag geen instructies ontvangen over de uitoefening van zijn taken.
Organisaties die verplicht zijn een functionaris aan te stellen, moeten deze registreren bij de GBA. Na de lancering van het nieuwe GBA-portaal op 10 juni 2025 mag elke organisatie via het portaal slechts één functionaris per verwerkingsverantwoordelijke registreren. Functionarissen moeten controleren of hun registratie op het nieuwe platform juist is.
Vereisten voor de melding van datalekken
België volgt het standaard meldingskader van de AVG, maar heeft via de GBA procedurele verfijningen doorgevoerd.
Melding aan de autoriteit
Op grond van artikel 33 van de AVG moeten verwerkingsverantwoordelijken de GBA zonder onredelijke vertraging en uiterlijk binnen 72 uur na het ontdekken ervan op de hoogte stellen van een inbreuk in verband met persoonsgegevens. De enige uitzondering geldt wanneer het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokken personen.
Nieuw meldpunt (juni 2025)
De GBA lanceerde op 10 juni 2025 een nieuw uniform meldpunt voor datalekken. Organisaties moeten een enkel bedrijfsaccount aanmaken op het portaal, geauthenticeerd via de Belgische Federale Authenticatiedienst (FAS) met de Belgische eID of itsme. Het portaal bundelt meldingen van datalekken en registratie van functionarissen op één platform. Organisaties die voorheen het oudere, formuliergebaseerde systeem in twee delen (Deel 1 / Deel 2) gebruikten, moeten nu via dit portaal werken.
De GBA staat slechts één bedrijfsaccount per verwerkingsverantwoordelijke toe en slechts één registratie van een functionaris per verwerkingsverantwoordelijke. Had een organisatie onder het oude systeem meerdere FG-registraties, dan blijft alleen de meest recente registratie behouden.
Vereiste informatie
De melding aan de GBA moet het volgende bevatten:
- een beschrijving van de aard van de inbreuk, met inbegrip van de categorieën en het geschatte aantal betrokken personen en gegevensrecords
- de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt
- een beschrijving van de waarschijnlijke gevolgen van de inbreuk
- de maatregelen die zijn genomen of worden voorgesteld om de inbreuk aan te pakken en de gevolgen ervan te beperken
Melding aan betrokkenen
Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, moet de verwerkingsverantwoordelijke de inbreuk ook zonder onredelijke vertraging, in duidelijke en eenvoudige taal, meedelen aan de betrokken personen.
Statistieken over datalekken
De GBA ontving in 2024 1.455 meldingen van datalekken, wat het aantal incidenten weerspiegelt dat door organisaties in België wordt gemeld. De autoriteit behandelt jaarlijks ruim 3.000 informatieverzoeken van personen, hoewel de antwoordtermijnen historisch konden oplopen tot een jaar, wegens beperkte middelen onder het model dat gold vóór het strategisch plan.
Internationale doorgifte van gegevens
België volgt de regels van de AVG voor internationale doorgiften, zonder aanvullende nationale vereisten toe te voegen bovenop wat de verordening voorschrijft.
Doorgiften binnen de EER
Persoonsgegevens kunnen vrij bewegen tussen België en elke andere EU- of EER-lidstaat (Noorwegen, Liechtenstein, IJsland), zonder aanvullende waarborgen, mits de algemene AVG-beginselen worden nageleefd.
Doorgiften naar adequate landen
Doorgiften naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen op grond van artikel 45 van de AVG, kunnen plaatsvinden zonder specifieke machtiging. Landen die momenteel als adequaat worden beschouwd, zijn onder meer Canada (voor verwerking onder PIPEDA), Japan, Zuid-Korea, het Verenigd Koninkrijk, en de Verenigde Staten (voor doorgiften aan organisaties op de lijst van het EU-VS Data Privacy Framework, vastgesteld bij Uitvoeringsbesluit (EU) 2023/1795 van de Commissie). Organisaties die op het Amerikaanse DPF vertrouwen, moeten juridische ontwikkelingen blijven volgen, aangezien adequaatheidsbesluiten aan toetsing en betwisting onderhevig zijn.
Doorgiften die waarborgen vereisen
Voor doorgiften naar landen zonder adequaatheidsbesluit moeten organisaties passende waarborgen toepassen, zoals:
- standaardcontractbepalingen (SCC's) vastgesteld door de Europese Commissie
- bindende bedrijfsvoorschriften (BCR's) goedgekeurd door de bevoegde toezichthouder
- gedragscodes of certificeringsmechanismen
Een transfer impact assessment is vereist wanneer op SCC's of BCR's wordt vertrouwd, om na te gaan of het rechtskader van het ontvangende land de geboden bescherming niet ondermijnt. Voorafgaande goedkeuring van de GBA is niet vereist bij gebruik van SCC's of bij doorgifte naar adequate rechtsgebieden.
Cookies en elektronische privacy
De Belgische cookieregels vloeien voort uit artikel 10/2 van de Wet van 30 juli 2018, die de EU ePrivacy-richtlijn (Richtlijn 2002/58/EG) omzet. De Wet van 13 juni 2005 betreffende de elektronische communicatie, het Wetboek van Economisch Recht, en het Koninklijk Besluit van 4 april 2003 bevatten eveneens relevante bepalingen. Het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) heeft gedeelde bevoegdheid over elektronische communicatie.
Toestemmingsvereisten
Cookies en vergelijkbare trackingtechnologieën vereisen:
- duidelijke en volledige informatie aan de gebruiker over de doeleinden van de gegevensverwerking en zijn rechten
- geïnformeerde toestemming van de gebruiker voordat niet-essentiële cookies worden geplaatst
- de mogelijkheid voor gebruikers om hun toestemming te allen tijde kosteloos in te trekken
Strikt noodzakelijke cookies, dat wil zeggen cookies die essentieel zijn voor het verzenden van een communicatie of het leveren van een door de gebruiker uitdrukkelijk gevraagde dienst, zijn vrijgesteld van de toestemmingsvereiste.
Handhavingsfocus
Cookies vormen een consistente handhavingsprioriteit voor de GBA. De zaak RTL Belgium, waarin dagelijkse dwangsommen van 40.000 euro werden opgelegd voor niet-conforme cookiebanners, toont aan dat de autoriteit schendingen van cookietoestemming als ernstige inbreuken beschouwt. Cookienaleving blijft een van de prioritaire aandachtsgebieden van de GBA tot in 2026.
Regels voor direct marketing
De GBA publiceerde in februari 2020 een aanbeveling van 80 pagina's over direct marketing. In maart 2025 publiceerde zij het ontwerp van Aanbeveling 01/2025 om de richtsnoeren te actualiseren in overeenstemming met nieuwe rechtspraak, beslissingen van de Geschillenkamer, en EDPB-richtsnoeren. Vanaf mei 2026 dienen organisaties na te gaan of Aanbeveling 01/2025 definitief is vastgesteld.
Directmarketingcommunicatie via e-mail, sms, of geautomatiseerde belsystemen vereist doorgaans voorafgaande opt-intoestemming op grond van de ePrivacy-richtlijn. De Belgische omzetting volgt de standaard EU-aanpak: elektronische business-to-consumermarketing vereist toestemming, met een beperkte uitzondering voor bestaande klantrelaties waarbij de marketing betrekking heeft op soortgelijke producten of diensten.
De rechtsgrond gerechtvaardigd belang van de AVG kan bepaalde directmarketingactiviteiten ondersteunen, maar de richtsnoeren van de GBA benadrukken dat organisaties een gedocumenteerde belangenafweging moeten uitvoeren en duidelijke opt-outmechanismen moeten bieden. In Beslissing 72/2025 oordeelde de GBA dat het beroep van een B2B-databroker op gerechtvaardigd belang voor de verwerking van het e-mailadres van een persoon niet gerechtvaardigd was, en legde zij voor die specifieke schending een boete van 8.000 euro op.
Gegevensbescherming in de arbeidsrelatie
België hanteert een bijzondere aanpak van gegevensbescherming op de werkvloer door bescherming te verankeren via collectieve arbeidsovereenkomsten (cao's), onderhandeld binnen de Nationale Arbeidsraad. Deze overeenkomsten krijgen kracht van wet zodra zij bij koninklijk besluit worden goedgekeurd.
Belangrijke cao's die gegevensbescherming op de werkvloer regelen, zijn onder meer:
- Cao nr. 38: regelt gegevensbescherming bij werving en selectie van personeel
- Cao nr. 68: regelt camerabewaking op de werkvloer
- Cao nr. 81: regelt de controle op elektronische onlinecommunicatiegegevens door werkgevers, met inbegrip van e-mail- en internetgebruik
- Cao nr. 100: betreft gegevensverwerking in het kader van het alcohol- en drugsbeleid
Het consistente standpunt van de GBA is dat werkgevers zich niet kunnen beroepen op toestemming van de werknemer als rechtsgrond voor verwerking, gelet op de machtsongelijkheid die inherent is aan de arbeidsrelatie. Werkgevers beroepen zich doorgaans op een wettelijke verplichting (cao-verplichtingen, sociale zekerheid, belastingrecht) of op gerechtvaardigd belang, met een zorgvuldig gedocumenteerde belangenafweging in het verwerkingsregister.
Handhaving van de AVG in België: opvallende boetes en zaken
Het handhavingsdossier van België toont aan dat de GBA schendingen in alle sectoren serieus neemt, ook al blijven de totale boetebedragen bescheiden vergeleken met grotere EU-lidstaten zoals Frankrijk of Ierland.
Google België: 600.000 euro (2020)
De GBA legde haar hoogste individuele boete op aan Google Belgium SA in juli 2020, wegens het niet honoreren van het recht van een Belgische burger om vergeten te worden op grond van artikel 17 van de AVG. Een publieke figuur verzocht Google om verouderde artikelen over een ongefundeerde klacht wegens intimidatie te verwijderen uit de zoekresultaten. De Geschillenkamer oordeelde dat Google nalatig had gehandeld en bekritiseerde het gebrek aan transparantie in het verwijderingsformulier van Google, dat er niet in slaagde de verwerkingsverantwoordelijke duidelijk te identificeren. Naast de boete van 600.000 euro gelastte de GBA Google om de betreffende links uit de zoekresultaten binnen de Europese Economische Ruimte te verwijderen en haar verwijderingsformulier te herzien.
Proximus: belangenconflict functionaris, 50.000 euro (2020)
De GBA legde telecomoperator Proximus een boete van 50.000 euro op wegens schending van artikel 38, lid 6, van de AVG. Proximus had een functionaris voor gegevensbescherming aangesteld die tegelijk optrad als directeur audit, risico en compliance. De GBA oordeelde dat deze dubbele rol een ontoelaatbaar belangenconflict opleverde. Deze beslissing werd binnen de EU op grote schaal aangehaald als referentiepunt voor de onafhankelijkheidsvereisten van de functionaris.
Proximus: schendingen bij openbare telefoongidsen, 20.000 euro (2020)
In een afzonderlijke zaak legde de GBA Proximus een boete van 20.000 euro op wegens het publiceren van de persoonsgegevens van een burger in openbare telefoongidsen nadat de betrokkene zijn toestemming had ingetrokken, in strijd met de artikelen 6, 7, 24 en 5, lid 2, van de AVG inzake rechtmatigheid en verantwoording, en de artikelen 12 en 13 inzake transparantie.
IAB Europe: Transparency and Consent Framework (2022 tot 2026)
Deze meerjarige zaak illustreert de complexiteit van handhaving in het databroker-ecosysteem. In februari 2022 legde de GBA IAB Europe een boete van 250.000 euro op en gelastte zij haar het Transparency and Consent Framework (TCF) in overeenstemming te brengen met de AVG. Op 14 mei 2025 vernietigde het Belgische Marktenhof (zetelend als onderdeel van het Hof van Beroep te Brussel) de beslissing van de GBA van februari 2022, met de vaststelling dat de GBA onvoldoende had onderbouwd waarom zij TC Strings als persoonsgegevens beschouwde, en dat zij IAB Europe ten onrechte had aangemerkt als gezamenlijke verwerkingsverantwoordelijke voor de eigen advertentieverwerking van de TCF-deelnemers. Op 9 januari 2026 deed het Marktenhof een verdere uitspraak, waarbij het de goedkeuring door de GBA van januari 2023 van het corrigerende actieplan vernietigde wegens juridische gebreken.
Databroker: 174.640 euro (Beslissing 07/2024)
In Beslissing 07/2024 legde de GBA een databroker een boete van 174.640 euro op wegens het niet verstrekken van specifieke informatie over gegevensbronnen en ontvangers. Deze zaak weerspiegelt de toenemende aandacht van de GBA voor de databrokersector binnen haar strategische transparantieprioriteiten.
Biometrische gegevens: werkgever beboet voor 45.000 euro (Beslissing 114/2024)
In Beslissing 114/2024 legde de GBA een werkgever een boete van 45.000 euro op wegens het gebruik van een tijdsregistratiesysteem op basis van vingerafdrukken zonder geldige rechtsgrond voor de verwerking van biometrische gegevens op grond van artikel 9 AVG.
RTL Belgium: cookieschendingen (2024)
De GBA legde RTL Belgium dagelijkse dwangsommen van 40.000 euro op wegens AVG-schendingen in verband met niet-conforme cookiebanners, na een klacht ingediend door NOYB. Deze zaak bevestigt dat schendingen van cookietoestemming een voortdurend financieel risico met zich meebrengen, niet slechts een eenmalige boete.
Ziekenhuis: 200.000 euro (december 2024)
In een beslissing van 17 december 2024 legde de GBA een niet met naam genoemd Belgisch ziekenhuis een boete van 200.000 euro op wegens het niet nemen van passende cyberbeveiligingsmaatregelen na een ransomware-aanval in 2021 waarbij gezondheidsgegevens van ongeveer 300.000 personen werden blootgesteld. Het ziekenhuis had al in 2019 een eerdere ransomware-aanval ondergaan. De GBA stelde vast dat het ziekenhuis geen samenhangend informatiebeveiligingsbeleid had, geen DPIA had uitgevoerd, en geen personeelstraining, monitoring van systeemlogboeken, of cyberbeveiligingsaudits had ingevoerd. De GBA stelde aanvankelijk een boete van 3.000.000 euro voor, verlaagd tot 200.000 euro om rekening te houden met de omzet van het ziekenhuis. Deze zaak is bijzonder relevant voor verwerkingsverantwoordelijken in de Belgische gezondheidszorg.
Databroker: Beslissing 72/2025 (22 april 2025)
In Beslissing 72/2025 legde de GBA een B2B-databroker een boete van 20.000 euro op wegens de onrechtmatige verwerking van het e-mailadres van een betrokkene en verschillende gerelateerde schendingen: 8.000 euro voor onrechtmatige verwerking (artikelen 5, lid 1, a, 5, lid 2, 6, lid 1); 6.000 euro wegens het niet nakomen van transparantieverplichtingen (artikelen 5, lid 2, 12, lid 1, 14, lid 1, 14, lid 2, 24, lid 1, 25, lid 1); en 6.000 euro wegens het niet beantwoorden van een inzageverzoek (artikel 15, lid 1). De GBA oordeelde dat het beroep van de verwerkingsverantwoordelijke op gerechtvaardigd belang de verwerking niet kon rechtvaardigen.
Hervorming van de boetemethodologie
De Belgische boetebedragen zijn historisch bescheiden gebleven vergeleken met andere EU-landen. Een arrest van het Belgische Marktenhof van 14 juni 2023 verlaagde een GBA-boete van 10.000 euro tot een symbolische 1 euro, omdat de GBA de evenredigheid van de boete onvoldoende had onderbouwd. Deze uitspraak zette de GBA ertoe aan om openlijk over te stappen op een vijfstappen-boetemethodologie, in overeenstemming met de EDPB-richtsnoeren 04/2022, die hogere startpercentages hanteert dan de GBA historisch heeft toegepast. Wordt deze formeel aangenomen, dan zullen toekomstige Belgische AVG-boetes waarschijnlijk aanzienlijk hoger uitvallen.
Sancties en straffen
Het Belgische sanctiekader werkt op twee sporen: administratieve boetes op grond van de AVG en strafrechtelijke sancties op grond van nationaal recht.
Administratieve boetes
De AVG voorziet in twee categorieën administratieve boetes:
Lagere categorie (art. 83, lid 4): tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet, indien dit hoger is. Dit geldt voor schendingen van de verplichtingen van verwerkingsverantwoordelijken en verwerkers, verplichtingen van certificeringsinstellingen, en verplichtingen van toezichthoudende organen.
Hogere categorie (art. 83, leden 5-6): tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet, indien dit hoger is. Dit geldt voor schendingen van de beginselen van gegevensverwerking, de rechtmatigheid van de verwerking, de voorwaarden voor toestemming, de rechten van betrokkenen, en de regels voor internationale doorgifte van gegevens.
De GBA volgt een vijfstappen-boetemethodologie: (1) de inbreuken vaststellen; (2) het uitgangspunt voor de berekening bepalen; (3) verzachtende of verzwarende omstandigheden toepassen; (4) toetsen aan de wettelijke maxima; (5) doeltreffendheid, afschrikking en evenredigheid beoordelen. De GBA heeft aangegeven deze methodologie te willen afstemmen op de EDPB-richtsnoeren 04/2022, wat toekomstige boetebedragen aanzienlijk kan verhogen.
Vrijstelling voor de publieke sector
Overheidsinstanties en publiekrechtelijke organen in België zijn doorgaans vrijgesteld van administratieve boetes op grond van de AVG, behalve wanneer zij goederen of diensten aanbieden op de vrije markt in concurrentie met private entiteiten. Het Belgische Grondwettelijk Hof heeft deze vrijstelling gehandhaafd als evenredig en gerechtvaardigd. De GBA kan nog altijd waarschuwingen, berispingen en nalevingsbevelen uitvaardigen tegen entiteiten uit de publieke sector.
Strafrechtelijke sancties
De Wet van 30 juli 2018 voert strafrechtelijke sancties in voor bijzonder ernstige schendingen. Personen die veroordeeld worden voor strafbare feiten inzake gegevensbescherming, riskeren geldboetes tussen 800 en 160.000 euro. Rechters kunnen ook de publicatie van het vonnis als bijkomende sanctie gelasten. Strafrechtelijke procedures worden behandeld door het gewone strafrechtelijke systeem, niet door de GBA.
De EU AI-verordening: rol van BIPT en GBA
De EU AI-verordening (Verordening (EU) 2024/1689) is in België van toepassing zoals in alle EU-lidstaten. België heeft stappen gezet om zijn nationale toezichtstructuur aan te wijzen, al was dit proces nog niet voltooid tegen de deadline van 2 augustus 2025.
BIPT als markttoezichthouder
België heeft het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) aangewezen als voornaamste markttoezichthouder onder de EU AI-verordening, zoals aangekondigd in het Federaal Regeerakkoord 2025-2029 van 31 januari 2025. De FOD Economie coördineert de algemene uitvoering van de EU AI-verordening. Het officiële register van markttoezichthouders van de Europese Commissie vermeldde de Belgische aanwijzing op 26 september 2025 nog als in behandeling, wat erop wijst dat de formele wettelijke aanwijzing op die datum nog niet was voltooid.
De rol van het BIPT omvat markttoezicht om ervoor te zorgen dat AI-systemen die op de Belgische markt worden gebracht, voldoen aan de vereisten van de EU AI-verordening. Dit omvat toezicht op hoogrisico-AI-systemen in sectoren buiten het traditionele telecommunicatiedomein van het BIPT, waardoor het het centrale handhavingsorgaan voor AI wordt.
Rol van de GBA voor AI-systemen die persoonsgegevens verwerken
De GBA behoudt haar toezichtsfunctie inzake gegevensbescherming voor AI-systemen die persoonsgegevens verwerken of geautomatiseerde profilering uitvoeren. Op grond van artikel 77 van de EU AI-verordening heeft België 21 specifieke instanties aangewezen om toezicht te houden op hoogrisico-AI-systemen waarbij grondrechten op het spel staan; de GBA is de bevoegde instantie wanneer die systemen persoonsgegevens verwerken. Deze duale toezichtstructuur betekent dat AI-systemen die persoonsgegevens verwerken, zowel moeten voldoen aan de AVG (toezicht door de GBA) als aan de technische en risicobeheervereisten van de EU AI-verordening (toezicht door het BIPT).
Belangrijke nalevingstermijnen voor Belgische organisaties
- 2 februari 2025: verboden AI-praktijken worden verboden (subliminale manipulatie, social scoring, bepaalde vormen van biometrische identificatie)
- 2 augustus 2025: verplichtingen voor GPAI-modellen gaan gelden
- 2 augustus 2026: volledige naleving voor hoogrisico-AI-systemen vereist
- 2 augustus 2027: volledige toepassing van de EU AI-verordening, met inbegrip van integratie in productveiligheid
Sectorspecifieke autoriteiten
Naast het BIPT en de GBA houden sectorspecifieke autoriteiten toezicht op AI binnen hun eigen domein: het FAGG (Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten) voor AI in de farmaceutische en medische sector, en de FSMA (Autoriteit voor Financiële Diensten en Markten) voor AI in de financiële sector. Deze sectorale instanties opereren naast het BIPT binnen de bredere governancestructuur van de EU AI-verordening.
Recente ontwikkelingen (2024-2026)
Lancering portaal juni 2025: de GBA lanceerde op 10 juni 2025 een nieuw uniform portaal, dat meldingen van datalekken en registratie van functionarissen bundelt. Organisaties moeten zich authenticeren via de Belgische Federale Authenticatiedienst.
Uitspraak IAB Europe van 14 mei 2025: het Belgische Marktenhof vernietigde de beslissing van de GBA van februari 2022 tegen IAB Europe en haar TCF, wegens gebreken in de analyse van de GBA van TC Strings als persoonsgegevens en de status van IAB Europe als verwerkingsverantwoordelijke.
Tweede uitspraak IAB Europe van 9 januari 2026: een verdere uitspraak van het Marktenhof vernietigde de goedkeuring door de GBA van het corrigerende actieplan van IAB Europe, waardoor de regelgevende status van het TCF in België onzeker blijft.
Procedureverordening (EU) 2025/2518: deze nieuwe verordening, die op 1 januari 2026 in werking is getreden en van toepassing is vanaf 2 april 2027, voert bindende termijnen van 15 maanden in voor grensoverschrijdend AVG-onderzoek, en nieuwe procedurele rechten voor partijen. Organisaties met grensoverschrijdende activiteiten moeten hun interne processen voor het beantwoorden van vragen van toezichthouders herzien.
Strategisch plan 2026-2028 van de GBA: de GBA is formeel overgestapt van klachtgedreven naar op systemische impact gerichte handhaving. Gezondheidszorg, financiële diensten en gegevens van kinderen zijn de aangewezen prioritaire sectoren.
Hervorming van de boetemethodologie: na het arrest van het Marktenhof van juni 2023, waarbij een boete werd verlaagd tot 1 euro wegens ontoereikende motivering van de evenredigheid, is de GBA overgestapt op de openbaar gedocumenteerde vijfstappenmethodologie van de EDPB. Toekomstige boetes zullen daardoor waarschijnlijk hoger uitvallen.
Alleenzetelende Geschillenkamer (april 2025): de Geschillenkamer werkt sinds 25 april 2025 met een alleenzetelende rechter in plaats van een kamer van drie leden, wat de efficiëntie per zaak kan verhogen, maar het totale aantal zaken dat de kamer jaarlijks kan behandelen kan verminderen.
Checklist zakelijke naleving voor België
Organisaties die onder het Belgische gegevensbeschermingsregime vallen, moeten de volgende punten aanpakken:
Documentatie van de rechtsgrond: identificeer en documenteer de rechtsgrond van artikel 6, lid 1, AVG voor elke verwerkingsactiviteit. Vermijd het beroepen op toestemming van werknemers voor verwerking in verband met de arbeidsrelatie. Voer een gedocumenteerde driedelige toets van het gerechtvaardigd belang (LIA) uit telkens wanneer op artikel 6, lid 1, f, wordt vertrouwd.
Aanstelling en registratie van de functionaris: ga na of artikel 37 van de AVG of het Belgische nationale recht een functionaris voor gegevensbescherming voorschrijft. Stel indien vereist een functionaris aan zonder belangenconflicten en registreer deze via het portaal van de GBA. Slechts één registratie per verwerkingsverantwoordelijke is toegestaan onder het nieuwe portaal.
Bijzondere categorieën van gegevens: stel bij de verwerking van gezondheids-, genetische of biometrische gegevens het door het Belgisch nationaal recht vereiste toegangslogboek op, bind alle gemachtigde personen aan vertrouwelijkheidsverplichtingen, en bewaar logboeken voor inspectie door de GBA.
Toestemmingsleeftijd: implementeer voor diensten van de informatiemaatschappij die aan kinderen worden aangeboden, mechanismen voor leeftijdsverificatie of ouderlijke toestemming voor gebruikers jonger dan 13 jaar. Voor gebruikers van 13 tot 15 jaar staat de Wet van 30 juli 2018 verwerking toe met toestemming van het kind, maar het Belgisch burgerlijk recht kan afhankelijk van de aard van de dienst nog steeds ouderlijke betrokkenheid vereisen.
Voorbereiding op datalekken: registreer op het nieuwe GBA-portaal met authenticatie via Belgische eID/itsme. Stel interne procedures op om inbreuken binnen 72 uur na ontdekking te identificeren, te beoordelen en te melden.
Cookienaleving: controleer cookiebanners en toestemmingsmechanismen op naleving van de doorlopende handhavingsfocus van de GBA. Zorg ervoor dat het intrekken van toestemming even eenvoudig is als het geven ervan.
Functionaris en monitoring op de werkvloer: zorg bij het monitoren van werknemerscommunicatie of het gebruik van cameratoezicht voor naleving van cao nr. 68 en cao nr. 81, en documenteer de rechtsgrond gerechtvaardigd belang en de noodzakelijkheid van de monitoring.
Gereedheid voor de EU AI-verordening: ga na of AI-systemen die door de organisatie worden ingezet, kwalificeren als hoogrisico onder de EU AI-verordening. Zorg ervoor dat verboden praktijken (sinds 2 februari 2025) niet worden gebruikt. Volledige naleving voor hoogrisico-AI-systemen is vereist tegen 2 augustus 2026. De GBA houdt toezicht op AI-systemen die persoonsgegevens verwerken; het BIPT houdt algemeen toezicht op het op de markt brengen van AI.
Grensoverschrijdende doorgiften: bewaar transfer impact assessments voor doorgiften op basis van SCC's of BCR's, en volg de juridische status van adequaatheidsbesluiten, in het bijzonder het EU-VS Data Privacy Framework.
Disclaimer
Dit artikel bevat algemene juridische informatie over het Belgische gegevensbeschermingsregime per mei 2026. Het vormt geen juridisch advies. De beschreven wetten en regelgeving werden geverifieerd aan de hand van primaire bronnen op 19 mei 2026. De Belgische uitvoering van de EU AI-verordening was op die datum nog in ontwikkeling. Organisaties dienen een advocaat te raadplegen die is toegelaten in België of het relevante EU-rechtsgebied voor advies over hun specifieke situatie.
Frequently Asked Questions
Heeft België een eigen wetgeving inzake gegevensprivacy naast de AVG?
Ja. Hoewel de AVG als EU-lidstaat rechtstreeks van toepassing is in België, heeft België ook de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens aangenomen. Deze nationale wet behandelt onderdelen waarop de AVG de lidstaten keuzevrijheid laat: de digitale toestemmingsleeftijd (in België vastgesteld op 13 jaar), extra waarborgen voor bijzondere categorieën van gegevens met inbegrip van toegangslogboeken, strafrechtelijke sancties voor schendingen van de gegevensbescherming, en de oprichting en bevoegdheden van de Belgische Gegevensbeschermingsautoriteit. Het Belgische grondwettelijke recht op privacy op grond van artikel 22, ingevoerd in 1994, biedt een aanvullende nationale rechtsgrondslag die los staat van het Unierecht.
Wat is de maximale AVG-boete in België?
Administratieve boetes onder de AVG kunnen voor de ernstigste schendingen oplopen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet van de organisatie, indien dit hoger is. Dit betreft onder meer schendingen van de beginselen van gegevensverwerking, onrechtmatige verwerking, en schendingen van de rechten van betrokkenen. Het Belgische nationale recht voorziet ook in strafrechtelijke boetes tussen 800 en 160.000 euro voor bepaalde strafbare feiten. Belgische overheidsinstanties zijn doorgaans vrijgesteld van administratieve boetes. De GBA stapt over op de gepubliceerde vijfstappen-boetemethodologie van de EDPB, wat naar verwachting hogere boetes zal opleveren dan het historisch bescheiden Belgische sanctieniveau.
Hoe meld ik een datalek bij de Belgische Gegevensbeschermingsautoriteit?
Verwerkingsverantwoordelijken moeten de GBA binnen 72 uur na het ontdekken van een inbreuk in verband met persoonsgegevens die een risico inhoudt voor de rechten en vrijheden van personen, hiervan op de hoogte stellen. Sinds 10 juni 2025 moeten meldingen worden ingediend via het nieuwe uniforme portaal van de GBA. Organisaties moeten een bedrijfsaccount aanmaken, geauthenticeerd via de Belgische Federale Authenticatiedienst (FAS) met de Belgische eID of itsme. Slechts één bedrijfsaccount per verwerkingsverantwoordelijke is toegestaan. Meldingen moeten de aard van de inbreuk beschrijven, de categorieën en het geschatte aantal betrokken personen, de contactgegevens van de functionaris voor gegevensbescherming, de waarschijnlijke gevolgen, en de genomen of geplande maatregelen.
Vanaf welke leeftijd kunnen kinderen in België toestemming geven voor gegevensverwerking?
België stelt de digitale toestemmingsleeftijd op 13 jaar op grond van artikel 7 van de Wet van 30 juli 2018. Dit is de laagste drempel die de AVG aan lidstaten toestaat. Zij geldt specifiek voor diensten van de informatiemaatschappij die rechtstreeks aan kinderen worden aangeboden, waarbij de verwerking op toestemming berust. Voor kinderen onder de 13 jaar moet de wettelijke vertegenwoordiger van het kind toestemming geven. Voor verwerking buiten diensten van de informatiemaatschappij gelden de regels van het Belgisch burgerlijk recht inzake handelingsbekwaamheid, en kan ouderlijke betrokkenheid vereist zijn, ook voor kinderen vanaf 13 jaar, afhankelijk van de aard van de rechtshandeling.
Kan de Belgische toezichthouder overheidsinstanties beboeten wegens AVG-schendingen?
In het algemeen niet. Het Belgische recht stelt overheidsinstanties en publiekrechtelijke organen vrij van administratieve boetes onder de AVG, behalve wanneer die instanties goederen of diensten aanbieden op de vrije markt in concurrentie met private ondernemingen. Het Belgische Grondwettelijk Hof heeft deze vrijstelling gehandhaafd als evenredig en gerechtvaardigd. De GBA kan echter nog altijd waarschuwingen, berispingen en nalevingsbevelen uitvaardigen tegen entiteiten uit de publieke sector, en strafrechtelijke sancties op grond van de Wet van 30 juli 2018 kunnen van toepassing zijn op individuele ambtenaren die zich schuldig maken aan schendingen van de gegevensbescherming.
Wat is de strategische handhavingsfocus van de GBA voor 2026 tot 2028?
Het strategisch plan 2026-2028 van de GBA verschuift van reactieve klachtenbehandeling naar handhaving met systemische impact. De drie prioritaire sectoren zijn zorginstellingen, financiële instellingen, en entiteiten die gegevens van minderjarigen verwerken. De GBA zal in deze sectoren proactief inspecties starten in plaats van op klachten te wachten. De autoriteit zal niet langer individuele begeleiding bieden aan functionarissen voor gegevensbescherming, en publiceert in plaats daarvan sectorspecifieke veelgestelde vragen en checklists. Wegens een aanwervingsstop tot 2029 zal haar personeelsbestand van ongeveer 90 medewerkers worden ingezet voor onderzoeken met grote impact en bemiddeling bij routinematige verzoeken om inzage en wissing.
Hoe is de EU AI-verordening van toepassing in België?
De EU AI-verordening (Verordening (EU) 2024/1689) is rechtstreeks van toepassing in België. België heeft het BIPT (Belgisch Instituut voor postdiensten en telecommunicatie) aangewezen als voornaamste markttoezichthouder onder de AI-verordening, aangekondigd in het Federaal Regeerakkoord van 31 januari 2025. De GBA behoudt het toezicht op AI-systemen die persoonsgegevens verwerken. Verboden AI-praktijken zijn sinds 2 februari 2025 verboden. Volledige naleving voor hoogrisico-AI-systemen is vereist tegen 2 augustus 2026. Organisaties die AI-systemen in België inzetten, moeten beoordelen of hun systemen als hoogrisico kwalificeren en welke autoriteit, het BIPT of de GBA, de primaire toezichthouder zal zijn.
Wat zijn de Belgische regels voor monitoring van werknemers en privacy op de werkvloer?
België regelt privacy op de werkvloer voornamelijk via collectieve arbeidsovereenkomsten (cao's) van de Nationale Arbeidsraad, in plaats van via afzonderlijke wetten. Cao nr. 68 regelt cameratoezicht op de werkvloer. Cao nr. 81 regelt de controle door werkgevers op e-mail- en internetgebruik van werknemers. Cao nr. 38 regelt gegevensverwerking bij werving. De GBA heeft consequent geoordeeld dat toestemming van de werknemer niet kan dienen als rechtsgrond voor verwerking in het kader van de arbeidsrelatie, gelet op de inherente machtsongelijkheid. Werkgevers moeten zich beroepen op een wettelijke verplichting (met inbegrip van de cao's zelf, zodra goedgekeurd bij koninklijk besluit) of op een zorgvuldig gedocumenteerd gerechtvaardigd belang.
Wat gebeurde er in de IAB Europe TCF-zaak in België?
De IAB Europe-zaak omvat meerdere procedures. De GBA legde IAB Europe in februari 2022 een boete van 250.000 euro op en gelastte haar het Transparency and Consent Framework (TCF) in overeenstemming te brengen met de AVG. Op 14 mei 2025 vernietigde het Belgische Marktenhof de beslissing van februari 2022, met de vaststelling dat de GBA onvoldoende had onderbouwd waarom zij TC Strings als persoonsgegevens beschouwde en ten onrechte had geconcludeerd dat IAB Europe een gezamenlijke verwerkingsverantwoordelijke was voor de eigen advertentieverwerking van deelnemers. Op 9 januari 2026 deed het Marktenhof een verdere uitspraak, waarbij de goedkeuring door de GBA van januari 2023 van het corrigerende actieplan van IAB Europe werd vernietigd. De regelgevende status van het TCF onder Belgisch recht blijft onzeker.
Hoe gaat België om met internationale doorgifte van gegevens?
België volgt het internationale doorgiftekader van de AVG. Doorgiften binnen de EER verlopen vrij. Doorgiften naar landen met een adequaatheidsbesluit van de Europese Commissie vereisen geen aanvullende waarborgen; adequate landen zijn onder meer Canada (voor onder PIPEDA vallende verwerking), Japan, Zuid-Korea, het Verenigd Koninkrijk, en de Verenigde Staten (voor deelnemers aan het EU-VS Data Privacy Framework). Doorgiften naar alle andere landen vereisen standaardcontractbepalingen, bindende bedrijfsvoorschriften, of een andere waarborg op grond van artikel 46 van de AVG, vergezeld van een transfer impact assessment om na te gaan of het rechtskader van het ontvangende land de contractuele bescherming niet ondermijnt.
Sources and References
- Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Belgische gegevensbeschermingswet)(dataprotectionauthority.be).gov
- Belgische Gegevensbeschermingsautoriteit (GBA/APD): officiële website(dataprotectionauthority.be).gov
- Algemene Verordening Gegevensbescherming (AVG), Verordening (EU) 2016/679(eur-lex.europa.eu).gov
- Belgisch Grondwettelijk Hof: artikel 22, recht op eerbiediging van het privé- en gezinsleven(const-court.be).gov
- Europees Comité voor gegevensbescherming: Belgische toezichthouder legt Google België boete van 600.000 euro op(edpb.europa.eu).gov
- Europees Comité voor gegevensbescherming: Belgische toezichthouder legt Proximus boete van 20.000 euro op (openbare telefoongids)(edpb.europa.eu).gov
- Europese Commissie: adequaatheidsbesluiten voor internationale doorgifte van gegevens(commission.europa.eu).gov
- Europees Comité voor gegevensbescherming: richtsnoeren internationale doorgiften(edpb.europa.eu).gov
- EU AI-verordening: Verordening (EU) 2024/1689 van het Europees Parlement en de Raad(eur-lex.europa.eu).gov
- BIPT: toepassing van de AI-verordening in België(bipt.be).gov
- Europese Commissie: markttoezichthouders onder de AI-verordening(digital-strategy.ec.europa.eu).gov
- Verordening (EU) 2025/2518: aanvullende procedurele regels voor grensoverschrijdende AVG-handhaving(eur-lex.europa.eu).gov
- IAB Europe: Belgisch Marktenhof vernietigt GBA-beslissing over TCF (14 mei 2025)(iabeurope.eu)
- IAB Europe: wint beroep tegen GBA-beslissing over corrigerend actieplan (9 januari 2026)(iabeurope.eu)
- Stibbe: Belgische gegevensbeschermingsautoriteit beboet ziekenhuis na datalek (december 2024)(stibbe.com)
- CMS Law: lancering nieuw GBA-portaal voor melding van datalekken (juni 2025)(cms.law)
- FOD Buitenlandse Zaken België: bescherming van persoonsgegevens(unitedkingdom.diplomatie.belgium.be).gov
- CMS Law: AI-regelgevingsscanner voor België(cms.law)