Het nieuwe strategisch plan van de GBA: waarom je dit als ondernemer niet kunt negeren

Privacy. Voor veel ondernemers blijft het een verplicht nummertje, iets dat “moet” omdat de wet het zegt. Nochtans evolueert de digitale wereld razendsnel en groeit tegelijk ook de hoeveelheid en gevoeligheid van persoonsgegevens die organisaties verwerken.

De Gegevensbeschermingsautoriteit (GBA) heeft op 23 december 2025 haar Strategisch Plan 2026–2028gelanceerd. Voor ondernemers is dit geen ver-van-je-bed-show, wel integendeel: de keuzes die de GBA vandaag maakt, bepalen waar controles zullen plaatsvinden en welke sectoren extra aandacht krijgen de komende jaren.

Bij Mr. Franklin doken we in het plan en vertaalden we het naar wat jij écht moet weten.

De GBA kiest haar prioriteiten

Organisaties verwerken steeds meer persoonsgegevens, vaak via complexe digitale ecosystemen, terwijl nieuwe Europese wetgeving elkaar in sneltempo opvolgt. Tegelijk beschikt de GBA niet over onbeperkte middelen. Het antwoord daarop is strategische prioritering.

De GBA kondigt aan dat ze minder alles tegelijk wil doen en sterker wil inzetten op dossiers met een grote maatschappelijke impact. Dat vertaalt zich in een verschuiving van eerder klachtgedreven optreden naar meer proactieve handhaving. Met andere woorden: de GBA wacht minder af tot er iets fout loopt, maar kijkt zelf actiever waar risico’s ontstaan.

Grootschalige verwerking en kwetsbare groepen centraal

Er zijn twee inhoudelijke thema’s die de GBA naar voren schuift als prioriteiten voor de komende drie jaar.

De eerste focus ligt op grootschalige gegevensverwerkingen die mogelijks een hoog risico kunnen vormen voor de rechten en vrijheden van burgers. Dat klinkt abstract, maar in de praktijk gaat het om situaties die in veel ondernemingen voorkomen. Denk aan doorgedreven klantprofilering, registratiesystemen, grootschalige databanken, advertentietechnologie of de verwerking van gezondheidsgegevens door ziekenhuizen en zorgnetwerken.

Het is daarbij belangrijk te beseffen dat “grootschalig” niet synoniem is met “multinational”. Ook snelgroeiende kmo’s, platformen of organisaties met veel gebruikers kunnen onder deze noemer vallen. De vraag die de GBA stelt, is niet hoe groot je bent, maar welke impact je dataverwerking heeft.

De tweede prioriteit is de verwerking van persoonsgegevens van minderjarigen. In een digitale wereld waarin kinderen en jongeren opgroeien met apps, platformen en online diensten, ziet de GBA hen als een kwetsbare groep. Organisaties die actief zijn in onderwijs, edtech^[1], sport, gaming, e-commerce of marketing gericht op jongeren, zullen éxtra aandacht moeten hebben voor transparantie, proportionaliteit en bescherming.

Ook organisaties die zich niet spontaan als “datagedreven” zien — denk bijvoorbeeld aan sportverenigingen met minderjarige leden — vallen hieronder. Voor hen volstaat een basis-GDPR-beleid niet langer: de GBA verwacht dat zij extra zorgvuldigheid ten aanzien van minderjarigen kunnen aantonen, zowel in hun beleid als in de praktijk.

Wat betekent dit concreet voor ondernemers?

Ondernemers doen er goed aan zich vandaag al af te vragen of ze begrijpen welke persoonsgegevens ze verwerken, waarom ze dat doen en welke risico’s daaraan verbonden zijn. Verantwoorde gegevensverwerking niet alleen in theorie, maar ook in de praktijk en op papier.

Organisaties die vandaag investeren in privacy by design, duidelijke verantwoordelijkheden en goed onderbouwde keuzes, bouwen niet alleen compliance op, maar ook geloofwaardigheid. Wie daarentegen blijft werken met ad-hoc oplossingen of verouderde documenten, loopt het risico om achterop te raken.

Bij Mr. Franklin zien we dit strategisch plan van de GBA niet als een reden tot onrust, maar als een uitnodiging om privacy en data volwassener te benaderen. Organisaties die vandaag stilstaan bij hun dataverwerkingen, hun risico’s helder in kaart brengen en bewuste keuzes maken, staan sterker in gesprekken met toezichthouders, partners én klanten. Precies daar ligt de meerwaarde van een doordachte privacy- en datastrategie.

FAQ – veelgestelde vragen over het strategisch plan van de GBA

Gaat de GBA strenger handhaven?

De GBA kondigt vooral een gerichtere en proactievere aanpak aan. Ze wil haar middelen inzetten waar de maatschappelijke impact het grootst is, wat kan leiden tot meer controles in bepaalde sectoren of rond specifieke thema’s.

Moeten ook kmo’s hiermee rekening houden?

Absoluut. De grootte van een onderneming is minder relevant dan de aard, schaal en gevoeligheid van de gegevensverwerking. Ook kmo’s kunnen onder de prioriteiten van de GBA vallen.

Wat wordt bedoeld met “grootschalige verwerking”?

Dat is geen vast cijfer, maar een combinatie van factoren zoals het aantal betrokken personen, de hoeveelheid en gevoeligheid van de data, de duur van de verwerking en het gebruik van nieuwe technologieën zoals AI.

Waarom legt de GBA zoveel nadruk op minderjarigen?

Omdat minderjarigen vaak niet volledig kunnen inschatten wat er met hun gegevens gebeurt en welke gevolgen dat kan hebben. De GBA wil hen daarom extra beschermen én sensibiliseren.

Wat is een logische eerste stap als ik dit strategisch plan ernstig wil nemen?

Voor veel organisaties begint dat niet met een groot compliance project, maar met overzicht. Begrijpen welke persoonsgegevens worden verwerkt, met welk doel en waar de grootste risico’s zitten, maakt het mogelijk om gerichte keuzes te maken. Mr. Franklin begeleidt ondernemingen bij die analyse en helpt prioriteiten bepalen in functie van hun business, sector en groeiplannen. Dat hoeft niet complex te zijn, maar wel doordacht.

Moeten ondernemingen nu al actie ondernemen?

Ja. Het strategisch plan bepaalt de handhavingsprioriteiten voor de komende jaren. Wie zich vandaag voorbereidt, vermijdt morgen onaangename verrassingen.

Hoe kan Mr. Franklin hierbij ondersteunen?

Mr. Franklin helpt ondernemingen om privacy en gegevensbescherming strategisch en werkbaar te maken, met aandacht voor governance, risicoanalyse, AI-compliance en pragmatische oplossingen die passen bij de realiteit van het bedrijf.

^[1] Edtech is een afkorting van educational technology (educatieve technologie). De term verwijst naar het gebruik van digitale tools en technologie om het onderwijs en leerproces te ondersteunen, verbeteren en innoveren.