Wet Bescherming Persoonsgegevens

Wbp, Wet bescherming persoonsgegevens, WBP, Wet persoonsgegevens, Privacywet
De Wet Bescherming Persoonsgegevens (Wbp) was de Nederlandse privacywet tot mei 2018. Sindsdien geldt de AVG als vervangend kader.

Wat is de Wet Bescherming Persoonsgegevens?

De Wet Bescherming Persoonsgegevens (Wbp) was van 2001 tot 25 mei 2018 de Nederlandse wet die bepaalde hoe organisaties met persoonsgegevens moesten omgaan. De wet schreef voor dat bedrijven gegevens van klanten, medewerkers of bezoekers alleen mochten verzamelen voor een duidelijk doel, en dat ze mensen moesten informeren over het gebruik van hun gegevens. Sinds 25 mei 2018 is de Wbp vervangen door de Algemene Verordening Gegevensbescherming (AVG), een Europese wet die in alle lidstaten direct van kracht is. Voor Nederlandse MKB-bedrijven is het vooral relevant om te weten dat alle verplichtingen die onder de Wbp golden nu onder de AVG vallen, vaak met strengere regels en hogere boetes.

Hoe de Wbp werkte in de praktijk

De Wbp verplichtte bedrijven om een register bij te houden van welke persoonsgegevens ze verzamelden, met welk doel en hoe lang ze die bewaarden. Bij twijfel of bij gevoelige gegevens moest je een melding doen bij het College Bescherming Persoonsgegevens (CBP), de toezichthouder. Klanten hadden het recht om hun gegevens in te zien, te corrigeren of te laten verwijderen. Bedrijven moesten beveiligingsmaatregelen treffen tegen datalekken. In de praktijk zagen we bij veel MKB-bedrijven dat de Wbp een papieren exercitie bleef: een privacyverklaring op de website en een Excel-lijst met verwerkingen, maar weinig structurele controle. Dat veranderde abrupt met de komst van de AVG, die hogere boetes en actievere handhaving introduceerde.

Waarom de Wbp werd vervangen door de AVG

De Wbp was gebaseerd op een Europese richtlijn uit 1995, toen internet en data-gedreven marketing nog in de kinderschoenen stonden. De wet kon niet meer meekomen met cloud-opslag, marketing automation, tracking en internationale datastromen. Daarom ontwikkelde de Europese Unie de AVG, een verordening die direct geldt in alle lidstaten zonder nationale implementatie. De AVG stelt strengere eisen aan toestemming, introduceert het recht op dataportabiliteit en verhoogt de maximale boete naar 4% van de wereldwijde jaaromzet of 20 miljoen euro. Voor Nederlandse bedrijven betekende dit dat ze hun processen opnieuw moesten inrichten. Meer informatie over de huidige regels vind je op de website van de Autoriteit Persoonsgegevens.

Wat de overgang van Wbp naar AVG betekent voor jouw bedrijf

Hoewel de Wbp niet meer geldt, zijn de basisprincipes overgenomen in de AVG. Als je destijds al voldeed aan de Wbp, heb je een goede basis. Maar de AVG vraagt meer: actieve toestemming in plaats van stilzwijgende instemming, verwerkersovereenkomsten met alle externe partijen die gegevens verwerken, en een meldplicht bij datalekken binnen 72 uur. In de praktijk merken we bij MKB-klanten dat vooral de documentatieplicht een struikelblok is. Je moet kunnen aantonen dat je compliant bent, niet alleen beweren dat je het bent. Een goed vertrekpunt is een SEO-strategie die rekening houdt met cookiebanners en tracking, gekoppeld aan een heldere privacyverklaring. Ook een link naar je privacy policy helpt bezoekers begrijpen hoe je met hun gegevens omgaat.

Toepassingen van de Wet Bescherming Persoonsgegevens in historische context

Hoewel de Wbp sinds 2018 niet meer van kracht is, kom je de term nog regelmatig tegen in oude contracten, archiefstukken en verwerkersovereenkomsten die voor die datum zijn opgesteld. Het is nuttig om te weten hoe de Wbp destijds werd toegepast, zodat je begrijpt welke verplichtingen nu onder de AVG vallen en hoe je oude afspraken moet interpreteren.

Meldplicht bij het College Bescherming Persoonsgegevens

Onder de Wbp moest je bepaalde gegevensverwerkingen melden bij het CBP, bijvoorbeeld als je gevoelige gegevens verwerkte zoals medische of strafrechtelijke informatie. Ook nieuwe verwerkingen of wijzigingen moesten gemeld worden. Dit leidde tot een centraal register waarin organisaties hun verwerkingen beschreven. Veel MKB-bedrijven meldden hun CRM-systeem, nieuwsbrieflijst of personeelsdossiers. Sinds de AVG is die meldplicht vervallen, maar je moet nu zelf een intern register bijhouden. In de praktijk betekent dit dat je oude Wbp-meldingen kunt gebruiken als basis voor je huidige verwerkingsregister, mits je ze actualiseert met nieuwe doelen, bewaartermijnen en beveiligingsmaatregelen.

Toestemming voor direct marketing en nieuwsbrieven

De Wbp stond toe dat je gegevens voor direct marketing gebruikte als mensen daar geen bezwaar tegen maakten, de zogenaamde opt-out-methode. Je mocht een nieuwsbrief sturen naar klanten die bij je hadden gekocht, tenzij ze aangaven dat niet te willen. De AVG draaide dit om: nu moet je actieve toestemming vragen voordat je iemand in je mailinglijst opneemt, behalve bij bestaande klantrelaties onder strikte voorwaarden. Veel bedrijven die voor 2018 een grote nieuwsbrieflijst hadden opgebouwd onder de Wbp, moesten na de invoering van de AVG hun lijst opschonen en opnieuw toestemming vragen. Dat leidde vaak tot een flinke daling van het aantal abonnees, maar wel tot een betere kwaliteit en hogere open rates.

Bewaartermijnen en archiefplicht

De Wbp schreef voor dat je gegevens niet langer mocht bewaren dan noodzakelijk voor het doel waarvoor je ze verzamelde. Tegelijk had je vaak een wettelijke bewaarplicht vanuit de fiscale wetgeving, bijvoorbeeld zeven jaar voor facturen. Onder de Wbp loste je dat op door in je privacyverklaring te vermelden dat je gegevens bewaarde zolang de wet dat vereiste. De AVG hanteert hetzelfde principe, maar vraagt nu om een expliciete bewaartermijn per verwerkingsdoel. In de praktijk betekent dit dat je oude Wbp-afspraken moet vertalen naar concrete termijnen: klantgegevens drie maanden na laatste contact, offertegegevens één jaar, personeelsdossiers vijf jaar na uitdiensttreding. Een doordacht data management-beleid helpt je om dit gestructureerd aan te pakken.

Wanneer de Wbp nog relevant is en wanneer niet

De Wbp is alleen nog relevant als je oude contracten, verwerkersovereenkomsten of documentatie moet interpreteren die voor mei 2018 zijn opgesteld. Als je bijvoorbeeld een overeenkomst hebt met een leverancier die verwijst naar de Wbp, moet je die updaten naar de AVG. Voor alle nieuwe verwerkingen, toestemmingen en privacyverklaringen geldt de AVG. Vertrouw dus niet op oude Wbp-teksten of -procedures. Veel bedrijven maken de fout om een privacyverklaring uit 2016 te blijven gebruiken omdat die destijds door een jurist is goedgekeurd. Dat is niet meer voldoende. Je hebt nu een AVG-conforme verklaring nodig die ingaat op rechten zoals dataportabiliteit en geautomatiseerde besluitvorming, die onder de Wbp niet bestonden.

Wil je dit toepassen in jouw bedrijf? Monkey Vision helpt MKB-ondernemers met webdesign, SEO en slimme digitale oplossingen. Plan een vrijblijvende kennismaking en ontdek wat er voor jou mogelijk is.

Plan een kennismaking

Veelgestelde vragen

Nee, de Wbp en de AVG zijn twee verschillende wetten. De Wet Bescherming Persoonsgegevens was de Nederlandse privacywet van 2001 tot mei 2018. De AVG is de Europese verordening die sinds 25 mei 2018 geldt in alle EU-lidstaten en de Wbp heeft vervangen. De AVG is strenger: hogere boetes, meer rechten voor betrokkenen en een actieve toestemmingsplicht in plaats van opt-out. Veel basisprincipes zijn hetzelfde, maar de uitvoering en handhaving verschillen flink. Als je nog werkt met documenten of contracten die verwijzen naar de Wbp, moet je die updaten naar de AVG om compliant te blijven.

Ja, absoluut. Een privacyverklaring die is opgesteld onder de Wbp voldoet niet meer aan de eisen van de AVG. De AVG vereist dat je ingaat op nieuwe rechten zoals dataportabiliteit, het recht op vergetelheid en geautomatiseerde besluitvorming. Ook moet je duidelijker zijn over de rechtsgrond voor verwerking, de bewaartermijnen per doel en de doorgifte naar landen buiten de EU. In de praktijk zien we dat veel MKB-bedrijven nog steeds een verouderde tekst op hun website hebben staan. Dat kan leiden tot boetes bij een controle of klacht. Update je privacyverklaring naar een AVG-conforme versie en zorg dat deze aansluit bij je huidige verwerkingen, bijvoorbeeld je CRM-systeem en marketing automation.

Onder de Wbp kon het CBP een boete opleggen tot maximaal 820.000 euro, maar dat gebeurde zelden. De meeste overtredingen leidden tot een waarschuwing of een last onder dwangsom. Sinds de AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bovendien is de handhaving veel actiever: er worden vaker controles uitgevoerd en boetes opgelegd, ook bij MKB-bedrijven. Een datalek dat je niet binnen 72 uur meldt, kan al leiden tot een forse boete. Het verschil zit vooral in de afschrikwekkende werking en de internationale reikwijdte van de AVG.

De overgang van Wbp naar AVG vraagt om een grondige check van je processen. Begin met een verwerkingsregister waarin je alle gegevensverwerkingen beschrijft: welke data, welk doel, welke rechtsgrond, welke bewaartermijn. Controleer je toestemmingen: zijn ze actief en specifiek? Update je privacyverklaring en zorg voor verwerkersovereenkomsten met alle partijen die namens jou gegevens verwerken, zoals je hostingpartij of marketing automation-platform. Stel een procedure in voor datalekken en train je team. Wil je weten waar je nu staat en wat de grootste risico's zijn? Plan een gratis privacyscan van 30 minuten bij Monkey Vision. Je krijgt direct drie verbeterpunten en een realistisch stappenplan om compliant te worden, afgestemd op jouw situatie. Meer informatie vind je via onze SEO-diensten, waar we ook ingaan op cookiebanners en tracking.

Over de auteur

Monkey Vision

Monkey Vision is een full-service digitaal bureau in Nijmegen, gespecialiseerd in webdesign, SEO en AI-automatisering voor het MKB. De kennisbank is samengesteld door ons team van online-strategen en doorlopend bijgehouden op basis van actuele inzichten.

Publicatiedatum: 26-04-2026
Laatste update: 26-04-2026