Zeven jaar GDPR: vereenvoudiging op komst, wat betekent het voor kmo’s?
Op 25 mei 2025 was het precies zeven jaar geleden dat de GDPR (Algemene Verordening Gegevensbescherming) van toepassing werd in Europa. Deze baanbrekende privacywet heeft sindsdien heel wat veranderd voor bedrijven, van kmo’s tot multinationals, en in hoe ze met persoonlijke data omgaan.
Nu, zeven jaar later, kondigt de Europese Commissie een vereenvoudiging van de GDPR aan om vooral kleinere bedrijven tegemoet te komen. Wat heeft de GDPR oorspronkelijk veranderd? Wat werkt er goed en waar worstelen ondernemers nog mee? En wat houden de nieuwe vereenvoudigingsplannen precies in?
In deze blogpost leggen we het voor je uit in duidelijke taal en met een praktische insteek.
GDPR in 2018: een nieuwe privacy-standaard voor bedrijven
De invoering van de GDPR op 25 mei 2018 luidde een nieuw tijdperk in voor de bescherming van persoonsgegevens. Waar er voordien ook al privacyregels golden, bracht de GDPR een eengemaakt en strenger kader in de hele EU. Organisaties moeten sindsdien kunnen aantonen dat ze zorgvuldig met persoonsgegevens omgaan (“accountability”).
Concreet verplicht de GDPR organisaties om persoonsgegevens rechtmatig, transparant en veilig te verwerken. Je mocht niet zomaar gegevens verzamelen “voor de zekerheid”: er moest een gerechtvaardigde grond zijn, je mocht niet meer vragen dan nodig was en je moest duidelijk informeren wat je met de gegevens doet. Daarnaast verplichtte de GDPR tot stevige technische en organisatorische beveiligingsmaatregelen en introduceerde ze nieuwe rechten voor burgers, zoals het recht op inzage en vergetelheid.
Andere grote verandering waren de hoge maximale boetes (tot 4% van de wereldwijde omzet) en de focus op vooraf in orde zijn in plaats van achteraf. Dit maakte privacycompliance van bij de start een topprioriteit. Veel kmo’s die voorheen weinig met datawetgeving bezig waren, moesten plots nieuw beleid en documentatie invoeren. Ook kwamen er verplichtingen zoals het melden van datalekken (binnen 72 uur) en in bepaalde gevallen het aanstellen van een Data Protection Officer (DPO). Kortom, GDPR bracht voor ondernemers een hele checklist aan nieuwe aandachtspunten.
Praktisch voorbeeld: vóór 2018 zou een lokale webshop eigenaar misschien achteloos een klantenmailinglijst hebben opgebouwd zonder duidelijke toestemming. Na de invoering van GDPR moest diezelfde ondernemer expliciet toestemming vragen of een andere wettelijke grond hebben, een privacyverklaring voorzien op de website, en ervoor zorgen dat klantgegevens goed beveiligd zijn. Bovendien moesten alle processen gedocumenteerd worden. Het was even slikken voor veel kleine bedrijven, maar het verhoogde wel het privacybewustzijn bij zowel henzelf als hun klanten.
Zeven jaar later: wat werkt goed en waar worstelen kmo’s mee?
Na zeven jaar is de impact van de GDPR duidelijk merkbaar. Positief is dat privacy hoog op de agenda staat bij bedrijven van alle groottes. Uit een internationaal onderzoek blijkt dat 51% van de bedrijfsleiders gegevensbescherming intussen tot hun top-5 prioriteiten rekent, dit is een signaal dat we met z’n allen meer waarde hechten aan data privacy en klantenvertrouwen. Veel bedrijven hebben intussen de basis op orde: ze hebben privacyverklaringen, beveiligingsprocedures en bewustmaking bij hun personeel. Gegevenslekken worden nu sneller gemeld en opgevolgd, waardoor klanten beter beschermd zijn. Ook merken we dat bedrijven bewuster omgaan met welke data ze verzamelen. Er is een zekere cultuuromslag gebeurd: waar vroeger privacy een bijzaak was, is het nu een standaardonderdeel van de bedrijfsvoering geworden.
Toch is het niet allemaal rozengeur en maneschijn. Ondernemers, vooral kmo’s, ervaren nog geregeld moeilijkheden bij GDPR-naleving. De AVG/GDPR geldt als een van de meest complexe wetgevingen in Europa, en dat voel je als kleine organisatie.
Veel kmo’s hebben geen eigen jurist of privacy-expert in huis, en dan zijn de regels best uitdagend om correct toe te passen. Er wordt vaak geklaagd over de administratieve lasten: allerlei documenten en procedures bijhouden waar men de waarde niet altijd direct van inziet. Zo moeten kleine bedrijven in principe dezelfde uitgebreide privacymaatregelen nemen als grote bedrijven, wat voor hen disproportioneel en lastig kan zijn. Denk aan het beruchte verwerkingsregister: voor een eenmanszaak kan zo’n register opstellen aanvoelen als nodeloze bureaucratie, ook al was het bedoeld om inzicht te krijgen in datastromen.
Bepaalde elementen van de GDPR zorgen ook na 7 jaar voor twijfel of fouten. Bijvoorbeeld: hoe zit het precies met cookies en toestemming? Wanneer moet ik een Data Protection Impact Assessment (DPIA) uitvoeren? Moet ik elke vraag van een betrokkene direct honoreren? Deze vragen blijven leven.
Sommige ondernemers hebben uit onwetendheid of misinterpretatie de regels overtreden en daarop ook sancties gekregen. In België heeft de Gegevensbeschermingsautoriteit (GBA) bijvoorbeeld al boetes uitgedeeld aan kmo’s die de GDPR negeerden. Zo werd een bouwbedrijf beboet omdat het zonder toestemming reclame mailde en vervolgens niet reageerde op een verwijderingsverzoek, een dure les dat ook kleine spelers niet buiten schot blijven. Over het algemeen worstelen ondernemers dus vooral met de complexiteit en het vinden van een haalbare manier om aan de regels te voldoen zonder hun hele werking te belasten.
Zeven jaar later: wat werkt goed en waar worstelen kmo’s mee?
Na zeven jaar is de impact van de GDPR duidelijk merkbaar. Positief is dat privacy hoog op de agenda staat bij bedrijven van alle groottes. Uit een internationaal onderzoek blijkt dat 51% van de bedrijfsleiders gegevensbescherming intussen tot hun top-5 prioriteiten rekent, dit is een signaal dat we met z’n allen meer waarde hechten aan data privacy en klantenvertrouwen. Veel bedrijven hebben intussen de basis op orde: ze hebben privacyverklaringen, beveiligingsprocedures en bewustmaking bij hun personeel. Gegevenslekken worden nu sneller gemeld en opgevolgd, waardoor klanten beter beschermd zijn. Ook merken we dat bedrijven bewuster omgaan met welke data ze verzamelen. Er is een zekere cultuuromslag gebeurd: waar vroeger privacy een bijzaak was, is het nu een standaardonderdeel van de bedrijfsvoering geworden.
Toch is het niet allemaal rozengeur en maneschijn. Ondernemers, vooral kmo’s, ervaren nog geregeld moeilijkheden bij GDPR-naleving. De AVG/GDPR geldt als een van de meest complexe wetgevingen in Europa, en dat voel je als kleine organisatie.
Veel kmo’s hebben geen eigen jurist of privacy-expert in huis, en dan zijn de regels best uitdagend om correct toe te passen. Er wordt vaak geklaagd over de administratieve lasten: allerlei documenten en procedures bijhouden waar men de waarde niet altijd direct van inziet. Zo moeten kleine bedrijven in principe dezelfde uitgebreide privacymaatregelen nemen als grote bedrijven, wat voor hen disproportioneel en lastig kan zijn. Denk aan het beruchte verwerkingsregister: voor een eenmanszaak kan zo’n register opstellen aanvoelen als nodeloze bureaucratie, ook al was het bedoeld om inzicht te krijgen in datastromen.
Bepaalde elementen van de GDPR zorgen ook na 7 jaar voor twijfel of fouten. Bijvoorbeeld: hoe zit het precies met cookies en toestemming? Wanneer moet ik een Data Protection Impact Assessment (DPIA) uitvoeren? Moet ik elke vraag van een betrokkene direct honoreren? Deze vragen blijven leven.
Sommige ondernemers hebben uit onwetendheid of misinterpretatie de regels overtreden en daarop ook sancties gekregen. In België heeft de Gegevensbeschermingsautoriteit (GBA) bijvoorbeeld al boetes uitgedeeld aan kmo’s die de GDPR negeerden. Zo werd een bouwbedrijf beboet omdat het zonder toestemming reclame mailde en vervolgens niet reageerde op een verwijderingsverzoek, een dure les dat ook kleine spelers niet buiten schot blijven. Over het algemeen worstelen ondernemers dus vooral met de complexiteit en het vinden van een haalbare manier om aan de regels te voldoen zonder hun hele werking te belasten.
Vereenvoudiging na 7 jaar: het voorstel van mei 2025
De Europese Commissie heeft de signalen van ondernemers en kmo’s ter harte genomen. In mei 2025, exact zeven jaar na de inwerkingtreding, stelde ze een pakket vereenvoudigingsmaatregelen voor om de regeldruk te verlagen, onder meer op het vlak van gegevensbescherming. Volgens de Commissie kan dit plan Europese bedrijven jaarlijks zo’n €300 à €400 miljoen aan administratieve kosten besparen.
Een kernpunt in het voorstel is het versoepelen van de registerplicht (het verplicht intern bijhouden van een verwerkingsregister) voor organisaties met minder dan 750 medewerkers. In de praktijk betekent dit dat zowel kleine als een groot deel van de middelgrote ondernemingen mogelijk geen formeel register meer hoeven bij te houden, op voorwaarde dat hun gegevensverwerkingen niet als “hoog risico” worden beschouwd.
Dit betekent dat een gemiddelde kmo in de toekomst géén formeel verwerkingsregister meer zou moeten bijhouden, tenzij men gevoelige of riskante verwerkingen doet. Onder hoog risico verstaat men bijvoorbeeld grootschalige verwerking van gevoelige persoonsgegevens, grootschalige monitoring van individuen of andere verwerkingen die normaal een Data Protection Impact Assessment vereisen. In de praktijk zou een lokaal bedrijf met pakweg 100 of 300 werknemers dat vooral standaard HR- en klantgegevens verwerkt, verlost kunnen worden van de verplichting om een gedetailleerd register bij te houden. Dit was een expliciete vraag vanuit het bedrijfsleven: de huidige uitzondering in de GDPR voor ondernemingen <250 werknemers bleek namelijk bijna nooit van toepassing, door de strenge voorwaarden daaraan. Vrijwel elke kmo moest tot nu toe dus toch een verwerkingsregister opstellen, wat men als onnodige rompslomp ervaarde. Met de nieuwe drempel van 750 werknemers zal een veel grotere groep bedrijven van de plicht ontheven zijn, zij het alleen zolang hun datawerkzaamheden niet risicovol zijn.
Belangrijk om te benadrukken is dat dit slechts een voorstel betreft (ingekaderd in het zogeheten “Omnibus IV” wetgevingspakket). Het moet nog goedgekeurd worden via de Europese wetgevingsprocedure. Er is dus nog geen directe verandering op 25 mei 2025 zelf, maar de bal is aan het rollen. Ook geeft de Commissie aan dat de vereenvoudiging niet betekent dat privacy minder belangrijk wordt, het blijft de bedoeling om hoge normen te behouden.
Gevolgen voor jouw bedrijf: verlichting, maar geen carte blanche
Als je met jouw bedrijf onder de drempel van 750 werknemers valt, klinkt dit voorstel ongetwijfeld als goed nieuws. Het betekent mogelijk minder papierwerk: je zou niet langer verplicht zijn om een formeel verwerkingsregister bij te houden, tenzij je je met risicovolle data-verwerkingen bezighoudt. Dat scheelt tijd en administratieve kopzorgen. Bedrijven kunnen zo hun middelen meer richten op groei en innovatie in plaats van checkbox-compliance. Het voorstel erkent eindelijk dat een one-size-fits-all aanpak niet altijd werkt en dat kleinere spelers wat meer ademruimte kunnen gebruiken.
Maar let op: dit is geen vrijgeleide om gegevensbescherming links te laten liggen. Ook zonder formele registerplicht blijft de geest van de GDPR overeind. Alle andere verplichtingen, van het hebben van een wettelijke basis voor elke verwerking tot transparantie richting betrokkenen en het adequaat beveiligen van data blijven gewoon gelden.
Sterker nog, de algemene accountability-verplichting (je moet kunnen aantonen dat je de regels naleeft) blijft gewoon gelden. In de praktijk betekent dit dat je als organisatie nog steeds inzicht moet hebben in welke persoonsgegevens je verwerkt, met welk doel, op welke grondslag en met wie je ze deelt.
Alleen hoeft dit in de toekomst mogelijk niet langer in een vast schema te worden gegoten voor organisaties met minder dan 750 medewerkers. Het formele verwerkingsregister vervalt dan, maar veel privacy-experts raden aan om – zelfs als het niet verplicht is – een beknopte weergave van je gegevensverwerkingen bij te houden. Zo behoud je het overzicht en kun je je werking blijven onderbouwen. Bovendien zal je in veel gevallen nog steeds moeten kunnen motiveren waarom je géén register hebt opgesteld. In dat opzicht blijft het register ook een nuttig intern hulpmiddel voor transparantie en datahygiëne.
Bovendien geldt de voorgenomen uitzondering alleen voor niet-hoog-risico verwerkingen. Doe je als kleine organisatie toch iets dat gevoelige info bevat of een bijzondere privacy-invloed heeft, dan blijft de registerplicht gewoon gelden. En terecht, want dan is documentatie des te belangrijker. Het is dus zaak om eerlijk te evalueren: valt mijn bedrijf onder die uitzondering, en is dat verstandig in onze situatie? Misschien heb je bijvoorbeeld weinig personeel en zou je vrijgesteld zijn, maar verwerk je wel medische gegevens van klanten, dat is iets om goed te bekijken samen met een adviseur.
Samengevat: de mogelijke voordelen voor bedrijven zijn minder administratieve last en meer focus op de essentie, zonder de angst meteen in overtreding te zijn als er eens een document ontbreekt. Tegelijkertijd moet je beseffen dat de kernprincipes van de GDPR niet veranderen. Privacy blijft een aandachtspunt dat je als ondernemer niet mag verwaarlozen, zowel uit respect voor je klanten als om boetes en reputatieschade te vermijden.
Tijd om jouw gegevensbeleid te herbekijken
Deze aangekondigde versoepeling is een uitgelezen moment om jouw eigen gegevensbeleid onder de loep te nemen. Je hoeft niet te wachten tot de wetswijziging erdoor is om al stappen te zetten.
Enkele suggesties om proactief aan de slag te gaan:
Evalueer je dataverwerkingen: Maak (opnieuw) een lijst van welke persoonsgegevens jouw bedrijf allemaal verwerkt en waarom. Dit hoeft geen formeel register te zijn als dat niet (meer) verplicht is, maar een up-to-date overzicht voor jezelf is goud waard. Zo zie je meteen of er verwerkingen zijn die mogelijk “hoog risico” inhouden of waar je eigenlijk mee zou kunnen stoppen.
Hou nuttige praktijken aan: Heb je de voorbije jaren bepaalde procedures geïmplementeerd (bv. privacybeleid, modelcontracten, antwoorden op inzageverzoeken)? Blijf die onderhouden. De administratieve vereisten kunnen dan wel versoepelen, maar goede privacy-hygiëne blijft een troef. Continuïteit in je aanpak zorgt dat je niet van nul hoeft te herbeginnen als er toch iets misloopt.
Raadpleeg je juridisch adviseur: Bespreek de aankomende wijzigingen met je juridisch adviseur of privacy-expert. Zij kunnen inschatten in hoeverre jouw onderneming baat heeft bij de vrijstellingen en welke verplichtingen onverminderd blijven gelden. Zo voorkom je misverstanden. Bijvoorbeeld, je wilt niet ten onrechte stoppen met een register bijhouden als dat eigenlijk wel zou moeten. Een kort overleg nu kan je later veel kopzorgen besparen.
Ter conclusie, zeven jaar na de start van de GDPR staan we op een punt van bijsturen en verbeteren. Voor kmo’s lijkt verlichting onderweg in de vorm van minder paperassen en meer vertrouwen in de risico-gebaseerde aanpak. Tegelijk is het duidelijk dat privacy-compliance een blijvend onderdeel van goed ondernemingsbestuur is.
Gebruik dit moment om je gegevensbeheer scherp te stellen: profiteer van vereenvoudigingen waar je kan, maar blijf verantwoordelijk omgaan met de data die je beheert. Zo bescherm je niet alleen je onderneming tegen problemen, maar bouw je ook verder aan het vertrouwen van je klanten in het digitale tijdperk.
Vragen? Wij staan voor je klaar.
Aarzel niet om expertise in te schakelen. Bij LEAGL staan we klaar om je oplossingsgericht te adviseren, zodat je met een gerust hart kunt inspelen op de nieuwste wetgeving zonder kopzorgen. Flexibel én juridisch sterk ondernemen: het kan, met de juiste aanpak!