Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 mei 2026 schedule 9 min leestijd

GDPR Checklist voor KMO's: 3 Delen, 13 Stappen

verified Laatst beoordeeld 7 mei 2026 · het GDPRWise juridisch team

Een praktische, afvinkbare GDPR-checklist voor KMO's. Dertien items in drie prioriteitsblokken, met sjablonen en tools, zonder juridisch jargon.

summarize Kernpunten
  • check_circle Dertien concrete checks, geordend op prioriteit; de eerste vijf zijn wat de toezichthouder altijd nakijkt
  • check_circle De meeste KMO's krijgen de basis op orde in twee tot vier weken bij een paar uur per week
  • check_circle Je hebt geen DPO, geen DPIA en geen externe consultant nodig voor de basis; wel discipline en de juiste sjablonen
  • check_circle Compliance is een doorlopende operatie, geen eenmalig project; de laatste drie checks houden het levend

Hoe je deze checklist gebruikt

Dit is een checklist van dertien stappen die een KMO-zaakvoerder of office manager kan doorlopen zonder juridische opleiding. De items staan in volgorde van prioriteit. De eerste vijf zijn de basis die elke toezichthouder zal nakijken. De volgende vier zijn operationele essentials. De laatste vier houden je compliance over de tijd levend.

Je hoeft niet alle dertien tegelijk te doen. De meeste KMO’s krijgen de eerste vijf rond in twee tot vier weken bij een paar uur per week, en bouwen daarna de rest erbij.

Deel 1 - De basis (stappen 1 tot 5)

Stap 1: Benoem een privacycoordinator

De check: een aangewezen persoon binnen je organisatie is eigenaar van GDPR.

Dit is geen formele DPO-rol; die is voorbehouden aan organisaties die grootschalige monitoring doen of grootschalig bijzondere categorieen persoonsgegevens verwerken. Voor de meeste KMO’s is “privacycoordinator” de juiste titel: hetzelfde aanspreekpunt, geen formele DPO-verplichtingen, geen onafhankelijkheidsvereisten.

De coordinator houdt deze checklist groen, neemt inkomende privacyvragen en klachten in ontvangst, en is de gesprekspartner voor je toezichthouder als er iets misgaat.

  • Een privacycoordinator is benoemd en bereikbaar via een specifieke mailbox (bv. privacy@jouwbedrijf.com).
  • De rol is gedocumenteerd en bekend bij de rest van het team.

Heb je echt een DPO nodig? Lees DPO: wat is een functionaris gegevensbescherming en heb je er een nodig?.

Stap 2: Houd een GDPR-verwerkingsregister bij

De check: een enkel document dat elke activiteit vermeldt waarin je persoonsgegevens verwerkt.

Dit is het eerste dat je toezichthouder vraagt als ze aankloppen. Het is ook je eigen masterinventaris: als je niet weet welke data je verwerkt, kun je verder niets op deze lijst nakomen.

Voor elke verwerkingsactiviteit leg je vast:

  • Doel (waarom je de data verwerkt)
  • Rechtsgrond (toestemming, overeenkomst, wettelijke verplichting, vitaal belang, openbaar belang of gerechtvaardigd belang)
  • Categorieen gegevens (namen, e-mails, financieel, gezondheid, enz.)
  • Betrokkenen (klanten, werknemers, leveranciers, prospects)
  • Ontvangers / derden (boekhouder, CRM-leverancier, hosting, enz.)
  • Bewaartermijn
  • Beveiligingsmaatregelen

Houd aparte secties voor activiteiten waarin jij verwerkingsverantwoordelijke bent versus waar je verwerker bent voor iemand anders. Lees Verwerkingsregister voor de volledige structuur.

  • Verwerkingsregister bestaat en bevat elke activiteit die persoonsgegevens raakt.
  • Activiteiten als verwerkingsverantwoordelijke en als verwerker zijn apart opgenomen.
  • Datum voor jaarlijkse herziening staat in de agenda.

Stap 3: Een op maat gemaakte klant-privacyverklaring

De check: een privacyverklaring op je website, geschreven specifiek voor jouw bedrijf.

De GDPR (in Nederland ook AVG genoemd) is hier expliciet over: vage boilerplate, gekopieerde verklaringen of juridisch jargon dat niet weergeeft wat je werkelijk doet, zijn niet conform. De verklaring moet jouw processen, jouw rechtsgronden en jouw verwerkers beschrijven.

Een conforme privacyverklaring voor een KMO dekt:

  1. Wie je bent (verwerkingsverantwoordelijke, contactmail, adres).
  2. De verwerkingsactiviteiten die je uitvoert (op hoog niveau gespiegeld aan je register).
  3. De rechtsgrond per activiteit.
  4. Categorieen data en ontvangers (inclusief platforms zoals Mailchimp, Stripe, Google Workspace).
  5. Bewaartermijnen.
  6. Internationale doorgiften, indien van toepassing.
  7. Rechten van de betrokkene en hoe die uit te oefenen.
  8. Klachtenroute naar je toezichthouder.

Publiceer de verklaring als top-level link in de footer van elke pagina van je site. Verstop ze niet binnen algemene voorwaarden.

Kopieer geen verklaring van een andere bedrijfssite. Lees Een privacyverklaring opstellen voor de volledige gids.

  • Klant-privacyverklaring is gepubliceerd.
  • Linken vanuit de footer op elke pagina.
  • Geeft weer wat je werkelijk doet (geen boilerplate).
  • Bevat rechten van betrokkenen en klachtenroute.

Stap 4: Sluit verwerkersovereenkomsten met elke verwerker

De check: een ondertekende verwerkersovereenkomst (DPA) met elke externe partij die persoonsgegevens namens jou verwerkt.

Zonder DPA mag je geen persoonsgegevens naar een verwerker sturen. Dat geldt zelfs als de verwerker een huisnaam is zoals Google of Microsoft; de verplichting ligt bij jou om de overeenkomst op orde te hebben.

Typische verwerkers voor een KMO:

  • E-mail- en marketingplatform (Mailchimp, ActiveCampaign, Brevo, enz.)
  • CRM (HubSpot, Pipedrive, Salesforce, enz.)
  • Cloudopslag en kantoor (Google Workspace, Microsoft 365)
  • Webhosting en CDN
  • Betaalprovider (Stripe, Mollie, Adyen)
  • Loonadministratie en boekhouding
  • Klantenservice-tools

De meeste grote SaaS-leveranciers publiceren een standaard-DPA die je elektronisch kunt ondertekenen. Voor kleinere leveranciers gebruik je je eigen sjabloon.

description

Sjabloon: verwerkersovereenkomst (DPA)

Een kant-en-klare verwerkersovereenkomst die je naar elke verwerker kunt sturen die er nog geen heeft.

Bekijk sjabloon arrow_forward
  • Elke verwerker in je register heeft een ondertekende DPA in dossier.
  • DPA’s worden centraal bewaard en zijn vindbaar.

Stap 5: Implementeer cookietoestemming (als je cookies plaatst)

De check: een cookiebanner die toestemming vraagt voor elke niet-essentiele cookie wordt geplaatst, en die een echte weigeroptie biedt.

Cookies die een bezoeker kunnen identificeren verwerken persoonsgegevens. Onder GDPR plus de ePrivacy-richtlijn heb je toestemming nodig voor je ze plaatst, en die toestemming moet geinformeerd zijn, vrij gegeven, en even makkelijk te weigeren als te aanvaarden.

Veelvoorkomende fouten waarvoor toezichthouders boetes uitschrijven:

  • Cookies geplaatst bij paginalading, voor er een banner verscheen.
  • “Aanvaarden”-knop prominent weergegeven terwijl “Weigeren” verstopt of moeilijker te vinden is.
  • Vooraf aangevinkte vakjes.
  • “Door deze site te gebruiken aanvaard je cookies” - dat is geen toestemming, dat is een mededeling.

Test je eigen site: open hem in een privevenster, weiger cookies, en check de cookielijst in de developer tools. Als er iets niet-essentieels staat, is je toestemmingsstroom kapot.

Een rustigere optie: gebruik geen niet-essentiele cookies. Veel KMO’s draaien prima zonder tracking van derden.

Lees Cookies en toestemming: wat je moet weten voor het volledige beeld.

description

Sjabloon: cookie-audit

Spreadsheet-sjabloon om elke cookie op je site te inventariseren, te classificeren (essentieel / functioneel / marketing / tracking) en te beslissen welke je behoudt.

Bekijk sjabloon arrow_forward
  • Geen niet-essentiele cookie wordt geplaatst voor de toestemming is gegeven.
  • Weigeren is even prominent als aanvaarden.
  • Cookie-inventaris bestaat, met doel en bewaartermijn per cookie.

Deel 2 - Operaties (stappen 6 tot 9)

Stap 6: Operationaliseer de rechten van de betrokkene

De check: een gedocumenteerde procedure voor het afhandelen van rechtenverzoeken, met sjablonen en een register.

Personen wiens gegevens je verwerkt kunnen vragen om inzage, rectificatie, wissing, beperking, overdraagbaarheid of bezwaar tegen de verwerking. Je hebt een maand om te antwoorden (uitbreidbaar tot drie maanden voor complexe gevallen). De deadline missen is een populaire boete bij toezichthouders.

Wat je nodig hebt:

  • Een gemonitorde inbox waar verzoeken landen (vaak het privacy@-adres uit stap 1).
  • Een gedocumenteerd intern proces: wie triageert, wie verwerkt, wie tekent af.
  • Sjablonen voor de standaardantwoorden.
  • Een register zodat je kunt aantonen dat je eerdere verzoeken binnen de termijn hebt afgehandeld.

Lees GDPR-rechten van de betrokkene voor de volledige negen rechten.

description

Sjabloon: antwoord op inzageverzoek

Standaardantwoorden voor inzage-, rectificatie- en wissingsverzoeken, plus een verzoekenregister.

Bekijk sjabloon arrow_forward
  • Privacy-inbox wordt gemonitord.
  • Procedure voor verzoeken is gedocumenteerd.
  • Antwoordsjablonen en register staan klaar.

Stap 7: Datalekprocedure en 72-uursmelding

De check: een gedocumenteerde procedure die je van “er is iets misgegaan” naar een melding aan de toezichthouder brengt binnen 72 uur.

Een datalek is niet alleen een hacker. Het omvat een collega die klantgegevens naar de verkeerde bestemmeling mailt, een verloren USB-stick, een gestolen laptop, een per ongeluk verwijderd bestand, of een verkeerd geconfigureerde back-up die records naar buiten lekt.

Wat je nodig hebt:

  • Een intern incidentenregister (elk incident, ongeacht of het meldingsplichtig is).
  • Een duidelijke test: wat moet aan de toezichthouder gemeld (waarschijnlijk risico voor rechten en vrijheden van de betrokkenen) en wat aan de betrokkenen zelf (hoog risico).
  • Contactgegevens van je toezichthouder vooraf ingevuld in de procedure: geen paniek op uur nul.
  • Meldingssjablonen klaar.

Lees Datalek: wat te doen.

description

Sjabloon: datalekmelding

Meldingsformulier voor de toezichthouder en sjabloon voor melding aan de betrokkenen.

Bekijk sjabloon arrow_forward
  • Datalekprocedure is gedocumenteerd en bekend bij het team.
  • Intern incidentenregister bestaat.
  • Meldingssjablonen zijn vooraf ingevuld met de gegevens van je toezichthouder.

Stap 8: Direct marketing - bron en opt-out

De check: elke direct-marketingmail of -sms bevat een werkende opt-out, en je kunt aantonen waar de gegevens van de ontvanger vandaan komen.

GDPR plus ePrivacy voegen twee verplichtingen toe waar KMO’s vaak de mist ingaan:

  1. Bronvermelding. Je moet een ontvanger kunnen vertellen waar zijn persoonsgegevens vandaan komen (ingeschreven op je site, geschraapt van een publieke lijst, gekocht bij een partner, enz.). Dat impliceert een proces om de bron vast te leggen bij elke listimport en signup.
  2. Opt-out in elke boodschap. Een werkende “uitschrijven”-link in elke direct-marketingmail. De meeste marketingplatforms (Mailchimp, Brevo, enz.) regelen dit standaard, maar controleer.

Eens iemand zich uitschrijft, mag hij geen vergelijkbare boodschappen meer krijgen, permanent. Hem later opnieuw inschrijven omdat hij in een andere funnel terechtkwam, is een boete waard.

Lees Direct marketing onder GDPR.

  • Elke marketingmail heeft een uitschrijfknop met een klik.
  • Bron-van-data wordt vastgelegd voor elke listinschrijving.
  • Suppressielijst wordt gerespecteerd over alle tools (CRM, marketingplatform, advertentiedoelgroepen).

Stap 9: Een aparte privacyverklaring voor personeel

De check: een specifieke privacyverklaring voor werknemers en contractors, los van de klantverklaring.

De data die je over personeel verwerkt (loon, prestatie, ziekte, evaluaties, tijdsregistratie) is heel anders dan klantdata. Het is ook de bron van de meeste GDPR-klachten wanneer een arbeidsrelatie eindigt. Een aparte personeelsverklaring dekt je in.

Wat erin hoort:

  • HR-systemen en wat ze bevatten.
  • Prestaties, ziekte, evaluaties.
  • Monitoring (mail, internet, gebouwtoegang, camera’s) en op welke rechtsgrond.
  • Bewaartermijn: hoe lang na uitdiensttreding houd je het dossier bij.
  • Hun rechten en hoe die uit te oefenen.

Lees Personeelsprivacybeleid: wat je je personeel moet vertellen.

  • Personeelsprivacyverklaring bestaat en wordt aan elke nieuwe medewerker overhandigd.
  • Gelinkt of bijgevoegd bij de arbeidsovereenkomst.
  • Jaarlijks herzien.

Deel 3 - Hogere zorg (stappen 10 tot 13)

Stap 10: Check op bijzondere categorieen persoonsgegevens

De check: je hebt expliciet vastgesteld of je bijzondere categorieen persoonsgegevens verwerkt, en zo ja, op welke rechtsgrond.

Artikel 9 GDPR verbiedt het verwerken van het volgende, behalve als een van negen specifieke uitzonderingen geldt:

  • Ras of etnische oorsprong
  • Politieke opvattingen
  • Religieuze of filosofische overtuiging
  • Lidmaatschap van een vakbond
  • Genetische of biometrische gegevens
  • Gezondheidsgegevens
  • Gegevens over seksueel leven of geaardheid

De meeste KMO’s verwerken hier doelbewust niets van. Maar je raakt het misschien onbewust: een ziekteafwezigheid (gezondheid), een dieetvoorkeur voor een event (mogelijk religie), een uniformmaat (mogelijk gezondheid), een CV met foto (mogelijk afkomst).

Loop je verwerkingsregister door en markeer alles wat de bovenstaande lijst raakt. Documenteer voor elk de uitzondering uit artikel 9 (meestal: uitdrukkelijke toestemming, arbeidsrechtelijke verplichting, of vitaal belang). Vind je geen rechtsgrond, stop dan met de verwerking.

  • Elke entry in het verwerkingsregister is gecheckt op bijzondere categorieen.
  • Waar aanwezig, is de uitzondering uit artikel 9 gedocumenteerd.

Stap 11: Beveiligingspraktijken nakijken

De check: de beveiligingsmaatregelen achter elk systeem in je verwerkingsregister zijn gedocumenteerd en passend.

Geen privacy zonder beveiliging. De toezichthouder en een eventuele beboeting beoordelen “passend” relatief aan de gevoeligheid van de data, de stand van de techniek en de kosten. Een KMO heeft dus geen banking-grade beveiliging nodig, wel verdedigbare basics.

Loop je register systeem voor systeem door. Voor elk:

Fysieke beveiliging

  • Voor cloud-gehoste SaaS: vertrouw op de certificaten van de leverancier (ISO 27001, SOC 2). Bewaar het bewijs in je DPA-dossier.
  • Voor zelf-gehoste apparatuur: serverruimte, archiefkast en kantoor afgesloten. Lees Beveiliging van papieren documenten voor wat niet op een scherm staat.

Systeem- en software-beveiliging

  • Laatste beveiligingspatches geinstalleerd.
  • Sterke wachtwoorden afgedwongen; tweefactor-authenticatie waar het systeem dat ondersteunt.
  • Toegang op need-to-know-basis; review halfjaarlijks wie toegang heeft.
  • Lees Periodieke toegangscontrole.

Databeveiliging

Beveiliging van leveranciers

  • DPA in dossier (gedekt in stap 4).

  • Voor verwerkers met hoge gevoeligheid: lijst van subverwerkers nagekeken.

  • Elk systeem in het register heeft een gedocumenteerde beveiligingsreview.

  • Back-ups worden minstens jaarlijks getest met een echte restore.

  • Toegangsreviews zijn ingepland.

Stap 12: Privacy-awareness training en gedragscode

De check: elke medewerker die persoonsgegevens behandelt, heeft de afgelopen twaalf maanden basis-privacy-awareness-training gevolgd.

De menselijke factor is de meest constante bron van datalekken: phishing, BCC-versus-CC-fouten, bijlagen naar de verkeerde bestemmeling, zwakke wachtwoorden, gedeelde accounts, niet-versleutelde laptops mee naar huis. Geen van die zijn technische tekortkomingen. Het zijn trainingstekortkomingen.

Een verdedigbaar trainingsprogramma voor een KMO:

  • Jaarlijkse privacy- en beveiligingsbewustzijnsessie voor al het personeel (online, 30 tot 60 minuten).
  • Onboardingsessie voor nieuwkomers voor ze persoonsgegevens aanraken.
  • Een gedragscode die iedereen ondertekent, met privacy, beveiliging en ethisch gedrag.

Lees De menselijke factor in datalekken en Privacy en ethiek: gedragscode.

  • Training wordt jaarlijks en bij onboarding gegeven.
  • Aanwezigheid wordt bijgehouden en bewaard.
  • Gedragscode is door elke medewerker ondertekend.

Stap 13: Internationale aspecten en jaarlijkse herziening

De check (indien van toepassing): als je EU-klanten bedient van buiten de EU, of in meerdere EU-landen actief bent, heb je de cross-border specifieken geregeld.

Je zit buiten de EU maar verkoopt erin: artikel 27 vereist een EU-vertegenwoordiger. De goedkoopste route is een commerciele Article-27-representative-dienst.

Je bent in meerdere EU-landen actief: identificeer je lead-toezichthouder, dat is die van het land waar je hoofdvestiging (of waar de hoofdbeslissingen over verwerking) zich bevindt. Die autoriteit leidt elk grensoverschrijdend dossier onder het one-stop-shop-mechanisme.

Grensoverschrijdende doorgiften: geef je persoonsgegevens door buiten de EU/EER, documenteer dan voor elk systeem het doorgiftemechanisme (adequaatheidsbesluit, Standard Contractual Clauses, Binding Corporate Rules). Lees Goedgekeurde derde landen voor doorgifte buiten de EU.

De jaarlijkse herziening: loop eens per jaar elke check uit dit artikel opnieuw door en bevestig dat hij nog actueel, accuraat en compleet is. Nieuwe tools, nieuwe medewerkers, nieuwe processen en nieuwe sub-verwerkers sluipen er door het jaar in; de jaarlijkse herziening houdt de checklist eerlijk in plaats van aspirationeel.

Geef speciaal aandacht aan deze vier items, waar de drift het grootst is:

  • Verwerkingsregister opnieuw doorgelopen - elke entry geverifieerd, nieuwe activiteiten toegevoegd, gestopte activiteiten verwijderd.
  • Elke gelinkte verklaring is nog correct - klant-privacyverklaring, personeelsverklaring, cookiebeleid, interne procedures.
  • Beveiligingsreview opnieuw uitgevoerd per systeem - patches, toegangsreview, back-up-restore-test, encryptiestatus.
  • Personeelstraining vernieuwd - iedereen heeft de jaarlijkse sessie gevolgd; nieuwkomers zijn ingewerkt; ondertekende gedragscode in dossier.

En de cross-border specifieken:

  • Article-27-vertegenwoordiger op orde als je vanuit buiten de EU verkoopt aan EU-klanten.
  • Lead-toezichthouder geidentificeerd voor cross-border activiteiten.
  • Internationale doorgiften gedocumenteerd per systeem.
  • Datum voor volgende jaarlijkse herziening staat in de agenda.

Hoofdchecklist (compacte versie)

Druk deze pagina af of kopieer onderstaande naar je tracker.

Documentatie

  • Privacycoordinator benoemd, privacy@-mailbox actief
  • Verwerkingsregister volledig
  • Klant-privacyverklaring gepubliceerd, footer-link actief
  • Personeelsprivacyverklaring overhandigd aan elke nieuwkomer
  • DPA’s ondertekend met elke verwerker
  • Cookie-inventaris en toestemmingsstroom gevalideerd

Operaties

  • Procedure en sjablonen voor rechtenverzoeken klaar
  • Datalekprocedure en 72-uurs-meldingssjablonen klaar
  • Direct marketing: bron vastgelegd, opt-out werkt, suppressie wordt gerespecteerd
  • Bijzondere categorieen geidentificeerd en rechtmatig onderbouwd

Beveiliging en mensen

  • Systeem-per-systeem-beveiligingsreview gedocumenteerd
  • Back-ups getest met echte restore
  • Jaarlijkse privacy- en beveiligingstraining gevolgd door elke medewerker
  • Gedragscode ondertekend
  • Article-27-vertegenwoordiger als je buiten-EU bent
  • Datum jaarlijkse herziening staat in de agenda

Veelvoorkomende mythes en wat je niet echt nodig hebt

lightbulb Trap er niet in

GDPR wordt vaak zwaarder voorgesteld dan het voor een KMO is. Een deel van wat je hoort is mythe, en een deel van wat je verkocht wordt is niet werkelijk vereist. De lijst hieronder helpt je beide te scheiden.

Veelgehoorde KMO-mythes

  • “GDPR geldt enkel voor grote bedrijven.” Het geldt voor iedereen die persoonsgegevens verwerkt, ongeacht omvang. Lees meer.

  • “Kleine bedrijven krijgen geen boete.” Toch wel; en de boetes schalen mee met wat een KMO kan dragen. Lees meer.

  • “GDPR gaat alleen over cookies.” Cookies zijn een schijfje; de verplichtingen dekken alle verwerking van persoonsgegevens. Lees meer.

  • “Ik heb geen persoonsgegevens.” Heb je klanten, personeel of leveranciers, dan heb je ze bijna zeker. Lees meer.

  • “De toezichthouder heeft toch geen interesse in mij.” De meeste handhaving start met een klacht van een individu, niet met een proactieve audit. Lees meer.

Wat je kunt overslaan (als KMO)

  • Een formele DPO - tenzij je grootschalige monitoring of grootschalige verwerking van bijzondere categorieen doet. De privacycoordinator uit stap 1 dekt de rest.

  • Een DPIA voor routineuze verwerking - alleen vereist voor nieuwe hoogrisico-verwerking (grootschalige systematische monitoring, grootschalige bijzondere categorieen, automatische besluiten met juridisch effect).

  • Een dure externe consultant - de basis is intern beheersbaar met de juiste sjablonen en tools.

  • Een privacy-advocaat op retainer - de website van je toezichthouder bevat KMO-gerichte begeleiding, en een eenmalige juridische check op het einde van het jaar volstaat ruim.

auto_awesome De checklist op 15 minuten afwerken?

GDPRWise scant je website en vult automatisch het grootste deel van deze checklist in: verwerkingsregister, privacyverklaring, cookie-audit en een aangepaste actielijst.

Delen share LinkedIn mail E-mail
GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.