GBA Strategisch Plan 2026-2028: proactiever privacytoezicht: wat betekent dit voor kmo’s? 

Geschreven door LEAGL MARKETING

Op 23 december 2025 publiceerde de Gegevensbeschermingsautoriteit (GBA) haar definitieve Strategisch Plan 2026 - 2028. In dit plan schetst de GBA haar visie en prioriteiten voor de komende drie jaar, met als doel een evenwichtige bescherming van persoonsgegevens te waarborgen in een voortdurend digitaliserende wereld.  

De GBA staat voor belangrijke uitdagingen: steeds meer en complexere dossiers, nieuwe Europese regels (het “Digital Rulebook” met o.a. de Digital Services Act, AI Act, etc.) en beperkte middelen (er geldt zelfs een wervingsstop, waardoor extra personeel aantrekken niet mogelijk is).  

Om in dit veranderende landschap effectief te blijven, kiest de GBA voor een nieuwe koers. Die koers draait om gerichte prioritering van onderwerpen en een proactievere toezichtstrategie. 

Deze blogpost zet in begrijpelijke taal uiteen wat de GBA’s strategische plan inhoudt. We bespreken de nieuwe prioriteiten, welke risico’s en thema’s extra aandacht krijgen, en vooral wat dit concreet betekent voor jou als ondernemer. 

Je krijgt praktische tips om tijdig in orde te zijn met de privacyregels. Tot slot lichten we de verschuiving toe van een klachtgedreven naar een proactieve aanpak van de GBA. Zo ben je helemaal mee en kun je je compliance daarop afstemmen. 

Nieuwe prioriteiten GBA: focus op risico en impact 

Prioriteit 1: Grootschalige verwerkingen met hoog risico 

Onder “grootschalige gegevensverwerkingen met hoog risico” verstaat de GBA verwerkingen (zowel in de private als publieke sector) die door hun omvang of aard een potentieel grote impact hebben op de privacy van betrokkenen. In het strategisch plan worden expliciet enkele voorbeelden genoemd: 

  • Gezondheidsgegevens: denk aan de verwerking van medische data door ziekenhuizen en zorgnetwerken . Ook individuele huisartsen(praktijken) met grote patiëntenbestanden (digitale medische dossiers) vallen hieronder . Gezondheidsinformatie is zeer gevoelig; één datalek in een ziekenhuis kan duizenden patiënten treffen. 

  • Financiële profielen: zoals uitgebreide profilering in de bank- en verzekeringssector . Bijvoorbeeld het opstellen van gedetailleerde klantenprofielen voor kredietscores of gepersonaliseerde verzekeringspremies. Dergelijke verwerkingen kunnen diep ingrijpen in iemands persoonlijke levenssfeer en moeten dus extra zorgvuldig gebeuren. 

  • Grote databanken bij overheid: bijvoorbeeld omvangrijke databanken bij de fiscus (belastingsdiensten). Overheidsinstanties beheren persoonsgegevens van vrijwel alle burgers. Als hier iets misgaat (onzorgvuldig datagebruik, datalekken), zijn de maatschappelijke gevolgen groot. 

  • Datahandel en advertentietechnologie: dit verwijst naar advertentietechnologieën en grootschalige verwerkingen door databrokers. Concreet gaat het om partijen die op grote schaal gegevens verzamelen, combineren en verhandelen, vaak voor gerichte online marketing. Denk aan trackers en cookies die surfgedrag van duizenden mensen monitoren, of data brokers die enorme datasets doorverkopen. Dit domein (ook wel AdTech genoemd) ligt al langer onder vuur wegens zijn impact op privacy. 

Wat betekent deze prioriteit voor jou als ondernemer?  

Bevindt je onderneming zich in een van bovenstaande categorieën, wees dan extra alert. Verwerk je bijvoorbeeld gevoelige gezondheidsdata (bv. als ziekenhuis, groepspraktijk of gezondheidsapp), dan zal de GBA strenger toekijken op beveiliging, toestemming en het principe van minimale gegevensverwerking. 

 Ben je actief in financiën of verzekeringen, zorg dan dat je klantprofilering volledig AVG-conform is (transparant, met correcte rechtsgrond en geen disproportionele risico’s voor de klant).

 Vraag je af: als wij een datalek zouden hebben, hoeveel mensen en hoe gevoelige info zou dat raken? Is dat aantal aanzienlijk, dan valt je verwerking mogelijk in deze categorie. Zorg in dat geval voor extra voorzorgsmaatregelen (bijv. versleuteling, regelmatige veiligheidsaudits, strikte toegangsrechten voor personeel, enz.). 

Een praktisch voorbeeld: Stel, je runt een webshop met een klantenbestand van 50.000 personen en je gebruikt geavanceerde tracking om hun koopgedrag te analyseren en gericht advertenties te sturen. Dit is grootschalige profilering in marketingcontext, precies het soort verwerking dat de GBA als hoog risico bestempelt. Je doet er verstandig aan nu al te controleren of je aan alle verplichtingen voldoet: is je privacybeleid op orde, hebben klanten geldig toestemming gegeven voor tracking cookies, voer je een Data Protection Impact Assessment (DPIA) uit voor deze profilering, enz. Zo niet, breng dit dan in lijn vóór de GBA eventueel uit eigen beweging een controle uitvoert. 

Prioriteit 2: Bescherming van persoonsgegevens van minderjarigen 

De tweede pijler in het strategisch plan is de bescherming van kinderen en jongeren op het vlak van privacy . Minderjarigen vormen een kwetsbare groep in het digitale tijdperk, zo benadrukt de GBA. Jongeren groeien op in een online wereld waarin hun gegevens continu worden verzameld, gedeeld en geanalyseerd, vaak zonder dat ze de gevolgen volledig beseffen. Ze hebben daarom recht op extra bescherming en begeleiding. 

De GBA wil dit thema op twee manieren aanpakken: enerzijds door gericht op te treden tegen organisaties die onzorgvuldig omgaan met kinder- of jongerengegevens, anderzijds door jongeren zelf beter te informeren en sensibiliseren over privacy (zodat zij de juiste reflexen ontwikkelen om hun gegevens te beschermen). 

Wat betekent dit concreet? Als je onderneming diensten of producten aanbiedt die (ook) door kinderen gebruikt worden, moet je rekening houden met strengere eisen. Enkele aandachtspunten voor ondernemers: 

  • Toestemming en leeftijdscontrole:  In België is de digitale leeftijdsgrens voor toestemming onder de AVG 13 jaar. Onder die leeftijd moet je ouderlijke toestemming vragen voor de verwerking van persoonsgegevens in het kader van online diensten die rechtstreeks aan kinderen worden aangeboden . Praktisch: bouw een effectieve leeftijdsverificatie in of vraag expliciet een ouder om akkoord, bijvoorbeeld via een checkbox met e-mailbevestiging van een ouder. Negeer deze verplichting niet – het is een makkelijk controleerbaar punt waar de GBA streng op kan toezien. 

  • Transparantie op kindermaat: Zorg dat privacyinformatie (zoals een privacyverklaring of pop-up uitleg) begrijpelijk is voor jonge gebruikers. Vermijd juridisch jargon; gebruik eenvoudige taal of visuele hulpmiddelen. Bijvoorbeeld: als je een mobiele app voor tieners hebt, voorzie een korte “wist-je-dat” uitleg in de app over welke gegevens je verzamelt en waarom. 

  • Beperking van profilering: Wees extra voorzichtig met gepersonaliseerde advertenties of profilering richting minderjarigen. Bepaalde vormen van gerichte reclame naar kinderen kunnen onder “hoog risico” vallen of zelfs verboden zijn door andere regelgeving. Ga na of je marketingpraktijken verenigbaar zijn met de kinderbescherming – bij twijfel, kies voor een voorzichtige aanpak of vraag juridisch advies. 

  • Beveiliging en dataminimalisatie: Verzamel van kinderen enkel wat echt nodig is (dataminimalisatie). Sla geen gevoelige gegevens op als dat niet essentieel is. En hanteer hoge beveiligingsstandaarden – een datalek met kinderdata (bijvoorbeeld naam, adres, foto’s) kan niet alleen tot sancties leiden, maar ook tot imagoschade en verlies van vertrouwen bij je publiek. 

De GBA zelf investeert ook in educatie voor jongeren. Zo heeft ze de website Ikbeslis.be gelanceerd, een platform waarop jongeren informatie en tips vinden over privacy. Als ondernemer kun je hier inspiratie opdoen over hoe je jonge klanten bewuster maakt. Een praktisch idee: als je een online dienst hebt voor jongeren, link eens naar ikbeslis.be of deel op je sociale media enkele privacy-tips voor je jongere gebruikers. Het laat zien dat je privacy van minderjarigen serieus neemt, iets wat de toezichthouder zeker positief zal opmerken. 

Van klachtgedreven naar proactief toezicht 

Misschien wel de grootste strategiewijziging: de GBA wil minder afhankelijk zijn van klachten om in actie te schieten, en in plaats daarvan uit eigen beweging controles uitvoeren op hoog-risico onderwerpen. In het verleden kwam een onderzoek bij de Privacycommissie/GBA vaak pas op gang nadat een burger een klacht indiende. Veel kmo’s gingen ervan uit dat als er geen klachten waren, ze buiten schot bleven. Die aanname gaat niet langer op. Het strategisch plan maakt duidelijk dat de toezichthouder “streeft naar een meer proactief handhavingsbeleid dat minder klacht-gedreven is”. 

Wat houdt dit in de praktijk in?  

De GBA zal bijvoorbeeld gerichte controles of audits kunnen opstarten in sectoren of bij bedrijven die onder de prioritaire thema’s vallen – zonder dat er eerst een specifieke klacht is ingediend. Men zal dus meer risicogericht gaan handhaven. Bedrijven in de zorg, financiële sector, online advertising of met veel kinderklanten minderjarige klanten lopen een groter risico op zo’n proactieve inspectie de komende jaren.  

Het plan benoemt dit letterlijk: voor organisaties actief in bv. zorg, financiën, adtech of die gegevens van minderjarigen verwerken, is het risico op een proactieve controle significant groter geworden. 

Daar staat tegenover dat de GBA ook wil vermijden om verstrikt te raken in elk individueel klein geschil. Eenvoudige klachten van burgers zullen vaker via bemiddeling of advies worden afgehandeld in plaats van onmiddellijk een formeel onderzoek en sanctie. Dit bemiddelingsgerichte optreden ziet de GBA als een manier om geschillen “snel en pragmatisch” op te lossen zonder zware procedure. Voor ondernemers kan dit positief zijn: een kleine eerste overtreding hoeft niet meteen tot een boete te leiden als je bereid bent mee te werken aan een oplossing. Stel, een klant klaagt dat hun verwijderingsverzoek te traag werd opgevolgd. De GBA kan je dan benaderen om dit informeel recht te zetten. Grijp zo’n kans aan: los het snel op, leer ervan en voorkom herhaling. Je voorkomt daarmee dat de zaak escaleert. 

Belangrijk is ook dat de GBA aangeeft niet langer elk individueel informatieverzoek uitgebreid te zullen beantwoorden. Voorheen fungeerde de GBA soms als vraagbaak voor AVG-vragen. Voortaan verwacht men dat organisaties zélf hun verantwoordingsplicht serieus nemen. Accountability is een kernprincipe van de AVG: je moet kunnen aantonen dat je bedrijf de privacyregels naleeft, zonder dat de toezichthouder je voortdurend bij de hand neemt. Reken er dus minder op dat de GBA al je vragen persoonlijk beantwoordt; oriënteer je aan de algemene richtsnoeren die de GBA en het Europees Comité voor Gegevensbescherming publiceren, of win extern advies in. 

Kortom, de GBA transformeert zich van reactieve klachtenbehandelaar naar een proactieve privacywaakhond die zelf het initiatief neemt. Voor jou als ondernemer betekent dit: geen nieuws is niet langer goed nieuws. Actief blijven voldoen aan de AVG-verplichtingen is de boodschap, want de afwezigheid van klachten biedt geen garantie meer dat je onder de radar blijft. 

Praktische tips: hoe bereid je je voor? 

Gezien de nieuwe focus van de GBA, doe je er goed aan om je privacyhuishouding proactief onder de loep te nemen. Enkele concrete stappen die elke kmo nu kan zetten: 

  • Breng je gegevensverwerkingen in kaart: Weet je precies wélke persoonsgegevens je organisatie verzamelt, van wie, en waarom? Zo niet, stel dan een register van verwerkingsactiviteiten op (verplicht onder de AVG voor de meeste organisaties). Dit register is niet alleen een wettelijke plicht, maar ook een nuttig instrument om risico’s te spotten. Als je bijvoorbeeld merkt dat je veel gevoelige gegevens opslaat zonder duidelijke noodzaak, is dat een rode vlag om actie te ondernemen vóór de GBA er vragen over stelt. 

  • Update je privacydocumentatie: Controleer of je externe privacyverklaring (op je website, in contracten, etc.) up-to-date en volledig is. Bevat deze alle verplichte informatie (doeleinden, rechten van betrokkenen, contactgegevens, enz.)? Een duidelijk en eerlijk privacybeleid schept vertrouwen bij klanten en laat zien dat je transparantie serieus neemt – iets waar de GBA veel belang aan hecht. Vergeet ook niet interne policy’s (bv. een dataretentiebeleid of datalekprocedure) op te stellen of bij te werken. Dergelijke documentatie kan de GBA opvragen bij een controle, en dan wil je die op orde hebben. 

  • Check compliance in hoog-risico domeinen: Valt je onderneming (deels) onder een van de prioritaire thema’s (grootschalige data of kinderen)? Zo ja, voer dan gericht een audit uit op die activiteiten.   

Enkele voorbeelden: 

  • Heb je veel klanten in je loyalty-systeem? Bekijk of je niet méér data vraagt dan nodig (naam en e-mail volstaan vaak – geboortedata of ID-nummers zijn zelden nodig voor een klantenkaart). 

  • Verwerk je kindergegevens? Ga na of je verifieerbaar ouderlijke toestemming hebt voor de jongsten en of je communicatie kindvriendelijk is. 

  • Doe je aan intensieve profilering of geautomatiseerde besluitvorming (bv. credit scoring, gepersonaliseerde marketing op basis van gedrag)? Check of je aan de DPIA-verplichting voldoet. Bij veel high-risk verwerkingen vereist de AVG een Data Protection Impact Assessment – een grondige risicoanalyse – vóór je start. Als je dat nagelaten hebt, is het cruciaal dit zo snel mogelijk in te halen. 

 

  • Versterk je beveiligingsmaatregelen: Security en privacy gaan hand in hand. Veel grootschalige inbreuken waar de GBA tegen optreedt, beginnen bij onvoldoende technische of organisatorische maatregelen. Investeer in basiszaken zoals een up-to-date antivirus, firewalls, versleuteling van gevoelige info, en regelmatige back-ups. Maar ook in bewustwording van je medewerkers: zorg dat iedereen die met persoonsgegevens werkt de do’s-and-don’ts kent. Menselijke fouten (zoals phishing, verkeerde mailadressen gebruiken, usb-sticks verliezen) zijn een grote oorzaak van datalekken. Een jaarlijkse privacy- en securitytraining voor personeel is geen overbodige luxe. 

  • Volg sectorrichtlijnen of gedragscodes: Kijk of er in je sector specifieke privacyrichtlijnen of een gedragscode bestaant of in de maak is. De GBA moedigt sectororganisaties aan om zelf codes of best practices op te stellen die verder gaan dan de wet . Een gedragscode (eens goedgekeurd door de GBA) kan dienen als een soort keurmerk: het toont dat je de regels niet alleen volgt, maar zelfs proactief invult op een manier die voor je sector logisch is. Bijvoorbeeld, in de marketingsector zou een code kunnen bepalen hoe om te gaan met tracking cookies op een klantvriendelijke manier. Door zo’n code na te leven, ben je meteen ook beter beschermd bij een controle – je kunt aantonen dat je erkende best practices volgt. Heeft je sector (nog) geen code, dan kun je uiteraard terugvallen op de algemene richtsnoeren van de GBA en het EDPB (Europees Comité voor Gegevensbescherming) voor interpretatie van de regels. 

Tot slot: aarzel niet om advies in te winnen als je door de bomen het bos niet meer ziet.
Privacywetgeving kan complex zijn en met de opkomst van nieuwe regels (AI Act, Data Act, enz.) wordt het er niet eenvoudiger op.  

De GBA zal niet langer ieder individueel geval begeleiden, dus de verantwoordelijkheid ligt bij jou om kennis te vergaren of experts te betrekken. Dit kan betekenen: overleg met je intern aangestelde Data Protection Officer (indien je die moet hebben), raadpleeg een juridisch adviseur gespecialiseerd in gegevensbescherming, of neem deel aan branche-initiatieven rond privacy.  

Zie het als een investering: voorkomen is beter (en goedkoper) dan genezen, een datalek of sanctie kan immers veel duurder uitvallen dan tijdig compliance op peil brengen. 

Wees voorbereid en check je compliance 

De nieuwe strategie van de GBA is een wake-upcall voor alle ondernemingen, groot en klein. Privacy compliance verschuift van “iets waar je pas werk van maakt bij een klacht” naar “een doorlopende verantwoordelijkheid” in je bedrijfsvoering.  

Neem de signalen uit het Strategisch Plan ter harte: de lat komt hoger te liggen voor verwerkingen met grote risico’s en voor bescherming van kinderen. Tegelijk biedt de GBA ruimte voor pragmatische oplossingen bij kleinere issues, iets waar je als kmo je voordeel mee kunt doen door bij een fout meteen in de oplossingsmodus te schieten in plaats van in de verdediging. 

Gebruik dit moment om je eigen werking tegen het licht te houden. Zijn al je juridische documenten up-to-date? Hebben je medewerkers voldoende privacybewustzijn? Zou je een GBA-controle glansrijk doorstaan? Zo nee, dan is dit het moment om bij te sturen. Je hoeft dit niet alleen te doen, onze LEAGL Data Protection Officers staan voor je klaar.

Hulp nodig?

Privacy naleven is geen last, maar een troef die je onderneming toekomstbestendig maakt.  
Mocht je twijfels hebben over je huidige aanpak, aarzel dan niet om contact met ons op te nemen!

Zo ben je niet alleen voorbereid op een meer proactieve GBA, maar bouw je ook vertrouwen op bij je klanten en zakenpartners.

LEAGL MARKETING
Vorige

Partnership met Responsum: samen bouwen aan werkbare GDPR-compliance
Volgende

LEAGL in de kijker bij dVO.be: waarom juridische hulp eenvoudiger moet (en kan)