Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 6 min leestijd

GDPR Checklist voor KMO's: Alles op een Rij

Weet je niet waar je moet beginnen met GDPR? Deze checklist geeft je een overzicht van alles wat je als MKB-ondernemer moet regelen, stap voor stap en zonder juridisch jargon.

summarize Kernpunten
  • check_circle Je hoeft niet alles tegelijk te doen; begin met de basis en bouw stap voor stap uit
  • check_circle De vijf belangrijkste stappen: verwerkingsregister, privacyverklaring, verwerkersovereenkomsten, datalekprocedure, en rechten van betrokkenen
  • check_circle De meeste MKB-ondernemers kunnen de basis binnen 2-4 weken op orde hebben
  • check_circle Compliance is geen eenmalig project maar een doorlopend proces

De basis in 5 stappen

Je hoeft geen privacyjurist in te huren om GDPR-compliant te worden. De meeste MKB-bedrijven kunnen de basis zelf regelen als ze weten wat er nodig is. Hieronder de vijf stappen, in volgorde van prioriteit.

Stap 1: Verwerkingsregister

Wat: een overzicht van alle activiteiten waarbij je persoonsgegevens verwerkt.

Waarom: de toezichthouder kan dit op elk moment opvragen. Het is ook je eigen referentie, als je niet weet welke gegevens je verwerkt, kun je de rest niet goed regelen.

Wat erin moet per activiteit:

  • Het doel van de verwerking
  • De categorieen persoonsgegevens
  • De categorieen betrokkenen
  • De ontvangers van de gegevens
  • De bewaartermijn
  • De beveiligingsmaatregelen

Lees ons artikel over het verwerkingsregister voor meer details.

Stap 2: Privacyverklaring

Wat: een document dat uitlegt aan klanten, websitebezoekers en medewerkers hoe je hun persoonsgegevens verwerkt.

Waarom: het is je wettelijke informatieplicht. Iedereen wiens gegevens je verwerkt heeft recht op deze informatie.

Wat je nodig hebt:

  • Een website-privacyverklaring (link in de footer van elke pagina)
  • Een intern privacybeleid voor werknemers

Kopieer nooit een privacyverklaring van internet. Lees ons artikel over het opstellen van een privacyverklaring.

Stap 3: Verwerkersovereenkomsten

Wat: een contract met elke externe partij die namens jou persoonsgegevens verwerkt.

Waarom: zonder verwerkersovereenkomst mag je persoonsgegevens niet door een derde partij laten verwerken.

Met wie heb je er een nodig?

  • Je boekhouder / accountant
  • Je e-mailtool (Mailchimp, ActiveCampaign)
  • Je cloudopslag (Google Workspace, Microsoft 365)
  • Je websitehoster
  • Je salarisverwerker / sociaal secretariaat
  • Je CRM-systeem
description

Sjabloon: Verwerkersovereenkomst (DPA)

Een kant-en-klare verwerkersovereenkomst die je direct naar je verwerkers kunt sturen.

Bekijk het sjabloon arrow_forward

Stap 4: Datalekprocedure

Wat: een vastgelegde procedure voor wat je doet als er een datalek plaatsvindt.

Waarom: een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Als je op dat moment nog moet uitzoeken wat je moet doen, haal je die termijn niet.

Wat je nodig hebt:

  • Een procedure die beschrijft wie wat doet bij een datalek
  • Een datalekregister om incidenten te documenteren
  • Sjablonen voor de melding aan de toezichthouder en betrokkenen

Lees ons artikel over datalekken.

description

Sjabloon: Datalekmelding

Meldingsformulier voor de toezichthouder en een sjabloon voor de kennisgeving aan betrokkenen.

Bekijk het sjabloon arrow_forward

Stap 5: Rechten van betrokkenen

Wat: een procedure voor het afhandelen van verzoeken van personen wiens gegevens je verwerkt.

Waarom: betrokkenen kunnen je vragen om inzage, correctie of verwijdering van hun gegevens. Je moet binnen een maand reageren.

Wat je nodig hebt:

  • Een procedure: wie ontvangt verzoeken, wie handelt ze af, hoe documenteer je het
  • Sjablonen voor standaardantwoorden
  • Een verzoekregister

Lees ons artikel over de rechten van betrokkenen.

description

Sjabloon: Antwoord op Inzageverzoek

Standaardantwoorden voor inzageverzoeken, correctieverzoeken en verwijderverzoeken.

Bekijk het sjabloon arrow_forward

Uitgebreide checklist

Documentatie

  • Verwerkingsregister opgesteld
  • Website-privacyverklaring gepubliceerd
  • Intern privacybeleid voor werknemers opgesteld
  • Verwerkersovereenkomsten afgesloten met alle verwerkers
  • Cookiebeleid opgesteld (als je website cookies plaatst)

Procedures

  • Datalekprocedure vastgelegd
  • Datalekregister ingericht
  • Procedure voor verzoeken van betrokkenen vastgelegd
  • Verzoekregister ingericht
  • Bewaartermijnen vastgelegd per verwerkingsactiviteit

Website

  • Privacyverklaring bereikbaar via link in footer
  • Cookiebanner met echte keuze (accepteren EN weigeren)
  • Cookie-audit uitgevoerd
  • Contactformulieren verwijzen naar privacyverklaring
  • Analytics GDPR-conform geconfigureerd

Beveiliging

  • Wachtwoordbeleid ingevoerd (sterke wachtwoorden, 2FA)
  • Laptops en mobiele apparaten versleuteld
  • Toegang tot persoonsgegevens beperkt op basis van noodzaak
  • Accounts van vertrekkende medewerkers direct verwijderd
  • Back-upprocedure ingericht

Organisatie

  • Verantwoordelijke aangewezen voor GDPR binnen de organisatie
  • Medewerkers basiskennis bijgebracht (wat is een datalek, wat is een verzoek)
  • Jaarlijkse review van verwerkingsregister en privacyverklaring gepland

Wat je NIET nodig hebt (als MKB)

Veel bedrijven denken dat GDPR ingewikkelder is dan het is. Als MKB-ondernemer heb je waarschijnlijk NIET nodig:

  • Een DPO (functionaris gegevensbescherming), tenzij je op grote schaal bijzondere gegevens verwerkt
  • Een DPIA (gegevensbeschermingseffectbeoordeling), tenzij je nieuwe, risicovolle verwerkingen start
  • Een dure consultant, de basis kun je zelf regelen met de juiste tools en informatie
  • Een privacy officer, wijs gewoon iemand intern aan als contactpunt
auto_awesome De hele checklist in 15 minuten?

GDPRWise scant je website en vult het grootste deel van deze checklist automatisch in: verwerkingsregister, privacyverklaring, cookie-audit en actielijst op maat.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.