Tijdens de Stay Tuned as DPO-sessies van 2025 bespraken we samen met DPO’s en compliance officers de meest relevante recente uitspraken van de Gegevensbeschermingsautoriteit en Europese instanties.

Die jurisprudentie leverde opnieuw waardevolle inzichten op: over noodzakelijkheid en inzagerecht, bewaartermijnen, AI-gebruik, DPO-bescherming, cameratoezicht en datadoorgifte. In de sessies merkten we vooral één rode draad: GDPR wordt steeds minder zwart-wit en steeds meer contextgedreven.

In deze blogpost bundelen we de belangrijkste lessen uit die Stay Tuned as DPO-sessies in acht concrete, meteen toepasbare tips voor je dagelijkse GDPR-praktijk in 2026.

Thema 1: Noodzakelijkheid & inzagerecht: terug naar de basis (maar dan écht)

Tip 1: Doe een “noodzakelijkheids-audit” van je formulieren

Ga systematisch door:

klant- en personeelsformulieren
onboardingprocessen
CRM-verplichte velden

Stel per veld één simpele vraag: Wat kan er concreet niet doorgaan als dit gegeven ontbreekt?

Kan je daar geen helder antwoord op formuleren, dan is het gegeven waarschijnlijk niet noodzakelijk onder de GDPR.

Praktijktip voor DPO’s: Laat “het staat in het contract” nooit passeren zonder kritische doorvraag. Contract ≠ GDPR-rechtsgrond.

Tip 2: Bouw een standaard “inzage-response dossier”

Veel organisaties reageren ad hoc op inzageverzoeken. Dat is precies waar het fout loopt.

Zorg dat je vooraf:

een standaard beslisnota hebt bij (gedeeltelijke) weigering
een vaste structuur gebruikt:
- welke gegevens?
- waarom beperking?
- welke belangenafweging?
- waar werd dit intern goedgekeurd?

Onthoud: Zodra je beperkt, verschuift de bewijslast volledig naar de organisatie – zo bevestigde ook de Gegevensbeschermingsautoriteit.
Praktijktip: Train customer service en HR expliciet op het verschil tussen “lastig verzoek” en “misbruik met bewijs”. Dat verschil is juridisch cruciaal.

Thema 2: Bewaartermijnen & AI: weg van zwart-witdenken

Tip 3: Stop met vaste bewaartermijnen zonder context

Als DPO mag je gerust tegen de business zeggen: “5 jaar omdat we dat altijd doen, is geen motivering.”

Maak bewaartermijnen:

contextueel (sector, klantenrelatie, cycli)
verdedigbaar (waarom is dit redelijk?)
gedocumenteerd (niet enkel in beleid, maar ook in besluitvorming)

De autodealer-zaak toont dat de GBA nuance toelaat, zolang je huiswerk klopt.

Tip 4: Splits AI-processen juridisch op

De KBC-zaak was een wake-upcall in positieve zin.

Maak intern altijd onderscheid tussen:

trainen van AI-modellen
toepassen van AI (profilering, beslissingen)

Dat laat toe om:

training te baseren op gerechtvaardigd belang
toepassing te koppelen aan toestemming of andere strengere grond

Praktijktip: Laat IT en data teams hun AI-flow visueel uitschrijven. Juridische fouten ontstaan vaak omdat alles als “één proces” wordt gezien. De aanpak bij KBC toont dat het ook anders kan.

Thema 3: Persoonsgegevens & DPO-bescherming: context en rolvastheid

Tip 5: Maak “contextanalyse” standaard bij datadeling

De SRB-zaak bevestigt: gegevens zijn niet absoluut persoonsgegevens.

Maar let op:

voor wie zijn ze identificeerbaar?
in welke context?
met welke middelen?

Introduceer een vaste context-check bij elke doorgifte, ook intern.

Praktijktip: Zet dit expliciet in je verwerkingsregister als aparte kolom: “identificeerbaarheid voor ontvanger”.

Tip 6: Bescherm jezelf als DPO (contractueel én praktisch)

De uitspraak over het ontslag van een DPO toont hoe kwetsbaar de rol blijft.

Check als DPO:

staat je onafhankelijkheid expliciet in je functieomschrijving?
is er duidelijk vastgelegd:
- aan wie je rapporteert?
- hoe conflicten worden behandeld?
is je advies aantoonbaar (mail, memo, verslag)?

Let op: Als jouw rol vaag is, wordt bescherming vaag. En dat betaalt zich juridisch altijd tegen je.

Thema 4: Cameratoezicht & datadoorgifte: transparantie is geen formaliteit

Tip 7: Behandel cameratoezicht als een ‘DPIA-light’

Bij camera’s gaat het zelden fout op technologie, maar bijna altijd op:

informatie
proportionaliteit
motivering

Hanteer standaard:

duidelijke pictogrammen + detailinformatie
schriftelijke belangenafweging
periodieke herbeoordeling (“hebben we dit nog nodig?”)

Zeker op de werkvloer blijft CAO 68 (de collectieve arbeidsovereenkomst over cameratoezicht) een klassieke valkuil.

Tip 8: Voorzie een draaiboek voor faillissementen & doorstarts

Bij overnames en doorstarts is tijdsdruk dodelijk voor GDPR-compliance.

Zorg vooraf voor:

een template voor de Geschiktheids- en Adequaatheidstoets (GAT)
standaardcommunicatie aan betrokkenen
procedure voor bezwaarafhandeling

Praktijktip: Zet dit niet enkel bij Legal, maar ook bij Finance & M&A. GDPR wordt daar vaak “vergeten”, tot het te laat is.

Tot slot

Wat tijdens Stay Tuned as DPO 2025 telkens opnieuw duidelijk werd:
GDPR-compliance is geen statisch afvinkverhaal meer. Recente jurisprudentie toont dat nuance, context en onderbouwde keuzes centraal staan maar ook dat documentatie, rolvastheid en procedurele maturiteit doorslaggevend blijven.

De boodschap voor DPO’s en compliance professionals?

Ga verder dan checklists.
Stel de juiste vragen.
Documenteer keuzes bewust.
Zorg dat je de ruimte krijgt om je rol volwaardig op te nemen.

Verdiep je verder in Stay Tuned as DPO

Wil je deze thema’s structureel blijven opvolgen, concrete cases bespreken en samen leren uit nieuwe beslissingen van toezichthouders?

Ontdek het Stay Tuned as DPO-programma en onze andere GDPR-opleidingen via onze opleidingspagina.

8 concrete GDPR tips voor 2026: Jurisprudentie besproken tijdens Stay Tuned