+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Privacybeleid op uw website: wat is verplicht volgens de AVG

oktober 19, 2025

Inleiding

Sinds 25 mei 2018 is een privacyverklaring verplicht voor elke website die persoonsgegevens verwerkt volgens de Algemene Verordening Gegevensbescherming (AVG). Of u nu een eenvoudige bedrijfswebsite beheert of een uitgebreide webshop runt, zodra uw website persoonsgegevens verzamelt – van IP-adressen tot contactformulieren – moet u voldoen aan strikte transparantie-eisen. Sinds 2018 zijn de nieuwe privacyregels van de AVG van kracht, die organisaties verplichten tot transparantie over de verwerking van persoonsgegevens.

De Autoriteit Persoonsgegevens kan boetes opleggen tot maximaal €20 miljoen of 4% van uw wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Wat Deze Gids Behandelt

Deze gids behandelt de concrete AVG-eisen voor uw website privacyverklaring, het verschil tussen een privacyverklaring en privacybeleid, verplichte inhoudselementen, cookiewetgeving en praktische implementatiestappen. We behandelen geen algemene AVG-theorie of sector-specifieke regelgeving.

Voor Wie Is Dit

Deze gids is bedoeld voor websitebeheerders, ondernemers, marketingverantwoordelijken en webdevelopers die hun website AVG-compliant willen maken. Of u nu een kleine ondernemer bent met een WordPress-site of een marketingmanager van een middelgroot bedrijf, u zult praktische stappen en concrete voorbeelden vinden. De AVG geldt voor alle organisaties die persoonsgegevens verwerken, ongeacht omvang of sector.

Waarom Dit Belangrijk Is

Een goede privacyverklaring is niet alleen een wettelijke verplichting – het bouwt vertrouwen op met uw bezoekers en beschermt uw organisatie tegen privacyboetes. Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat 27% van de Nederlandse consumenten ontevreden is over de begrijpelijkheid van privacyverklaringen op websites.

Wat U Zal Leren:

  • De 14 verplichte elementen voor uw website privacyverklaring
  • Wanneer u toestemming vragen moet en welke juridische grond te gebruiken
  • Hoe cookiewetgeving en AVG samenhangen
  • Praktische implementatiestappen en veelvoorkomende valkuilen

AVG-grondslagen en privacyverplichtingen voor websites

De AVG staat dat elke organisatie die persoonsgegevens verwerkt transparant moet informeren over deze verwerking. Voor websites betekent dit dat u bezoekers moet informeren zodra u gegevens verzamelt, ongeacht of dit gebeurt via contactformulieren, cookies, nieuwsbriefinschrijvingen of analytics. Organisaties nemen besluiten over het verwerken van persoonsgegevens en deze besluiten moeten voldoen aan wettelijke eisen. De AVG stelt regels voor hoe gegevens verwerkt mogen worden, met bijzondere aandacht voor de bescherming van gevoelige gegevens. Daarnaast moeten organisaties transparant zijn over hun gegevensverwerkingen, inclusief de doeleinden waarvoor gegevens verwerkt worden en de getroffen beveiligingsmaatregelen.

Persoonsgegevens omvatten alle informatie waarmee een persoon geïdentificeerd kan worden: namen, e-mailadressen, IP-adressen, locatiegegevens, cookie-identifiers en zelfs combinaties van schijnbaar anonieme gegevens. Bijzondere persoonsgegevens zoals medische gegevens, politieke voorkeur of strafrechtelijke gegevens vereisen extra bescherming onder de AVG, omdat deze gevoeliger zijn en een grotere impact kunnen hebben op de privacy van betrokkenen.

Het beeld toont een computerscherm met elementen van een privacybeleid, waaronder symbolen die gebruikersgegevens vertegenwoordigen, zoals persoonsgegevens en informatie over de verwerking daarvan. Dit benadrukt de noodzaak van een goede privacyverklaring in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

De AVG kent zes wettelijke grondslagen voor gegevensverwerking volgens artikel 6:

  1. Toestemming – expliciete instemming van de betrokkene
  2. Overeenkomst – noodzakelijk voor het uitvoeren van een contract
  3. Wettelijke verplichting – vereist door wet- of regelgeving; deze grondslag geldt alleen als de wet staat dat verwerking verplicht is.
  4. Vitaal belang – noodzakelijk om iemands leven te beschermen. De grondslag vitaal belang kan worden ingeroepen als gegevensverwerking essentieel is voor iemands leven of gezondheid en toestemming niet kan worden gevraagd.
  5. Algemeen belang – voor taken van algemeen belang of overheidstaken
  6. Gerechtvaardigd belang – uw rechtmatige belangen wegen zwaarder dan privacy-impact. De verwerking van persoonsgegevens mag alleen plaatsvinden als een van deze zes grondslagen van toepassing is. Organisaties moeten altijd een goede reden hebben om persoonsgegevens te verwerken; zonder geldige grondslag is verwerking niet toegestaan.

Let op: de informatieplicht geldt ongeacht de omvang, rechtsvorm of het type organisatie.

Privacyverklaring versus privacybeleid

Privacyverklaring: Een extern document op uw website voor bezoekers en klanten (informatieplicht artikel 12-14 AVG). Een privacyverklaring wordt ook wel privacy statement genoemd en is verplicht om transparantie richting bezoekers te bieden.
Privacybeleid: Een intern document voor medewerkers over hoe uw organisatie met persoonsgegevens omgaat (verantwoordingsplicht artikel 24 AVG). Het privacybeleid is vaak gericht aan medewerkers die met persoonsgegevens werken. De AVG maakt geen expliciete eisen voor de inhoud van een privacybeleid.

Voor websites is een online privacyverklaring altijd verplicht wanneer u persoonsgegevens verwerkt. Een intern privacybeleid wordt vooral verplicht bij systematische verwerking van gevoelige gegevens of wanneer u meer dan 250 medewerkers heeft.

Verplichte elementen voor websitegebruikers

De informatieplicht geldt ongeacht de manier waarop u gegevens verzamelt. Of bezoekers nu actief een formulier invullen of u passief data verzamelt via cookies – u moet altijd transparante informatie verstrekken in duidelijke en begrijpelijke taal. Uw privacyverklaring voldoet alleen als deze volledig aan de AVG-vereisten voldoet; alleen dan voldoet u aan de informatie- en verantwoordingsplicht en voorkomt u mogelijke boetes of sancties. De AVG stelt dat informatie gemakkelijk vindbaar en toegankelijk moet zijn, bij voorkeur via een permanente link in de footer van uw website.

Ook bij een fysiek product zonder scherm, zoals een verpakking, geldt de informatieplicht. U kunt bijvoorbeeld op de verpakking van producten een verwijzing opnemen naar de privacyverklaring of een QR-code plaatsen die leidt naar de relevante informatie over gegevensverwerking. De informatieplicht geldt dus niet alleen voor digitale diensten, maar ook voor producten zonder scherm, zodat consumenten altijd weten hoe hun persoonsgegevens worden verwerkt.

Overgang: Nu u begrijpt wanneer een privacyverklaring verplicht is, bekijken we welke specifieke informatie u moet verstrekken.

Verplichte inhoud van uw website privacyverklaring

De AVG stelt 14 verplichte elementen vast die in uw privacyverklaring moeten staan volgens artikel 13 en 14. Deze informatieplicht zorgt ervoor dat bezoekers volledig geïnformeerd worden over hoe hun persoonsgegevens verwerkt worden.

Contactgegevens en verwerkingsverantwoordelijke

Identiteit verwerkingsverantwoordelijke: Volledige naam van uw organisatie, KvK-nummer, vestigingsadres en contactgegevens Contactgegevens: E-mailadres en telefoonnummer voor privacy-gerelateerde vragen Functionaris Gegevensbescherming: Contactgegevens van uw DPO (Data Protection Officer) indien aangesteld – verplicht voor overheidsorganisaties en bedrijven die systematisch personen monitoren EU-vertegenwoordiger: Alleen nodig als uw organisatie buiten de Europese Economische Ruimte gevestigd is maar wel persoonsgegevens van EU-burgers verwerkt

Verwerkingsdoeleinden en rechtsgronden

Voor elke bepaalde verwerking moet u specificeren:

Doeleinden: Waarom verzamelt u de gegevens? Bijvoorbeeld “nieuwsbrief versturen”, “bestellingen afhandelen”, “website-analyse”, “klantenservice”. Persoonsgegevens mogen alleen gebruikt worden voor het doel waarvoor ze zijn verzameld of waarvoor toestemming is gegeven.

Juridische grond per verwerking:

  • Contactformulieren: Meestal gerechtvaardigd belang (reageren op uw verzoek)
  • Nieuwsbrieven: Toestemming (actieve opt-in vereist)
  • Bestellingen: Overeenkomst (noodzakelijk voor levering)
  • Boekhouding: Wettelijke verplichting (bewaarplicht facturen)

Gerechtvaardigd belang: Wanneer uw rechtmatige bedrijfsbelangen zwaarder wegen dan de privacy-impact. U moet aantonen dat de verwerking noodzakelijk is en de belangen van betrokkenen niet onevenredig schaadt.

Bewaartermijnen en gegevenstransfers

Concrete bewaartermijnen: Vermeld specifieke termijnen per gegevenstype, niet “zolang noodzakelijk”

  • Contactformulieren: 1-2 jaar
  • Nieuwsbrief: Tot uitschrijving
  • Factuurgegevens: 7 jaar (fiscale verplichting)
  • Analytics: 26 maanden maximum (Google Analytics)

Internationale gegevensoverdracht: Als u gegevens deelt met partijen buiten de Europese Economische Ruimte, moet u vermelden:

  • Naar welke landen u gegevens verzendt
  • Of er een adequaatheidsbesluit geldt
  • Welke waarborgen u heeft getroffen (zoals standaardcontractbepalingen). Als persoonsgegevens worden doorgegeven aan landen buiten de EU, moet het privacybeleid informatie geven over de waarborgen die zijn getroffen.

Ontvangers van gegevens: Lijst alle organisaties die toegang krijgen tot persoonsgegevens:

  • Hostingproviders
  • E-mailmarketingtools
  • Analytics diensten
  • Payment providers
  • CRM-systemen

Belangrijkste Punten:

  • Wees specifiek per gegevenstype en verwerkingsdoel
  • Vermeld concrete termijnen in plaats van vage formuleringen
  • Lijst alle derde partijen die toegang hebben tot gegevens

Overgang: Naast deze basisinformatie zijn er specifieke regels voor cookies en toestemming die veel websites raken.

Bijzondere persoonsgegevens: extra verplichtingen en aandachtspunten

Bijzondere persoonsgegevens zijn gegevens die volgens de Algemene Verordening Gegevensbescherming (AVG) extra gevoelig zijn en daarom onder strengere regels vallen. Denk hierbij aan informatie over iemands ras of etnische afkomst, politieke voorkeur, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens voor unieke identificatie, medische gegevens, gegevens over iemands seksuele leven of seksuele geaardheid, en strafrechtelijke gegevens. Omdat deze persoonsgegevens een grote impact kunnen hebben op de privacy van betrokkenen, stelt de AVG aanvullende verplichtingen aan organisaties die deze gegevens verwerken.

Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij er sprake is van een wettelijke uitzondering. De belangrijkste uitzonderingen zijn wanneer de betrokkene uitdrukkelijk toestemming heeft gegeven, wanneer er een wettelijke verplichting bestaat, of wanneer de verwerking noodzakelijk is voor bijvoorbeeld arbeidsrechtelijke doeleinden of de bescherming van vitale belangen. Ook mogen bepaalde stichtingen, verenigingen of andere non-profitorganisaties bijzondere persoonsgegevens verwerken als dit noodzakelijk is voor hun doelstellingen, mits de gegevens niet zonder toestemming aan derden worden verstrekt.

Als uw website bijzondere persoonsgegevens verwerkt, bent u als verwerkingsverantwoordelijke verplicht om extra waarborgen te treffen. Dit betekent dat u passende technische en organisatorische maatregelen moet nemen om deze gegevens te beschermen tegen ongeoorloofde toegang, verlies of onrechtmatige verwerking. Denk aan versleuteling, beperkte toegang tot de gegevens, en het opstellen van een register van verwerkingsactiviteiten. Daarnaast moet u in uw privacyverklaring duidelijk en transparant informeren over welke bijzondere persoonsgegevens u verwerkt, voor welke doeleinden, op basis van welke juridische grond, en hoe u de gegevens beschermt. Een goede privacyverklaring is hierbij essentieel om te voldoen aan de informatieplicht van de AVG.

Betrokkenen moeten altijd geïnformeerd worden over hun rechten, zoals het recht op inzage, correctie of verwijdering van hun bijzondere persoonsgegevens. Zorg ervoor dat deze rechten eenvoudig uit te oefenen zijn en dat uw organisatie hier snel op reageert.

Komt het tot een datalek waarbij bijzondere persoonsgegevens zijn betrokken, dan geldt een verscherpte meldplicht. U moet het datalek onverwijld, en uiterlijk binnen 72 uur, melden bij de Autoriteit Persoonsgegevens. Als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene, moet u ook de betrokkenen zelf direct informeren.

Kortom: het verwerken van bijzondere persoonsgegevens brengt extra verplichtingen en verantwoordelijkheden met zich mee. Zorg ervoor dat uw privacyverklaring volledig en transparant is, dat u passende beveiligingsmaatregelen treft, en dat u altijd kunt aantonen dat u voldoet aan de eisen van de algemene verordening gegevensbescherming. Zo beschermt u niet alleen de privacy van uw bezoekers, maar voorkomt u ook hoge boetes en reputatieschade.

Toestemming en cookies op uw website

Sinds mei 2018 werken de cookiewet (uit de Telecommunicatiewet) en de AVG samen. Voor trackingcookies, marketingcookies en social media integraties moet u expliciete toestemming vragen voordat u deze plaatst.

Stap-voor-stap: cookietoestemming implementeren

Wanneer te gebruiken: Voor alle niet-noodzakelijke cookies zoals Google Analytics, Facebook Pixel, marketingtools, social media widgets en retargeting scripts. Google Analytics moet privacy-vriendelijk worden ingesteld conform de AVG, bijvoorbeeld door IP-adressen te anonimiseren en gegevensdeling met Google uit te schakelen.

  1. Inventariseer alle cookies en scripts: Scan uw website met tools zoals CookieBot of Cookiepedia. Controleer ook WordPress plugins, Google Tag Manager en externe integraties.
  2. Categoriseer cookies per type:
    • Noodzakelijk: Winkelwagentje, beveiliging, sessies (geen toestemming vereist)
    • Functioneel: Chat widgets, video’s, kaarten (toestemming aanbevolen)
    • Analytisch: Google Analytics, heatmaps, A/B testing (toestemming verplicht). Google Analytics moet privacy-vriendelijk worden ingesteld conform de AVG.
    • Marketing: Facebook Pixel, Google Ads, retargeting (toestemming verplicht)
  3. Implementeer cookiebanner met granulaire keuzes: Bied bezoekers de mogelijkheid om per categorie te kiezen. Vooraf aangevinkte vakjes zijn niet toegestaan – bezoekers moeten actief instemmen.
  4. Documenteer toestemmingen: Bewaar wie, wanneer en voor welke cookies toestemming heeft gegeven. Bied een gemakkelijke manier om toestemming in te trekken.
Een laptop toont een cookie-toestemmingsbanner op het scherm, omringd door verschillende privacy-symbolen. Dit beeld benadrukt het belang van de algemene verordening gegevensbescherming (AVG) en de noodzaak om toestemming te vragen voor het verwerken van persoonsgegevens.

Vergelijking: Google Analytics 4 vs alternatieven

AspectGoogle Analytics 4MatomoPlausible
ToestemmingsvereistJa (tracking buiten EU)Nee (bij juiste configuratie)Nee (privacy-first)
IP-anonimiseringStandaard ingeschakeldConfigureerbaarVolledig anoniem
GegevensbewaringTot 26 maandenVolledig onder uw controle30 dagen standaard
AVG-complianceVerwerkersovereenkomst vereistSelf-hosted = volledig compliantPrivacy-vriendelijk design

Voor kleine websites (< 10.000 bezoekers/maand) zijn privacy-vriendelijke alternatieven zoals Plausible of Simple Analytics vaak voldoende. Grotere organisaties kunnen Matomo self-hosted overwegen voor volledige datacontrole zonder toestemmingsvereisten.

Overgang: Ondanks goede voorbereidingen komen veel organisaties praktische uitdagingen tegen bij AVG-implementatie.

Veelvoorkomende problemen en oplossingen

Uit ervaring blijken bepaalde privacyuitdagingen regelmatig terug te komen bij websites van verschillende groottes. Deze praktische problemen vereisen concrete oplossingen.

Probleem 1: Ontbrekende verwerkersovereenkomsten

Oplossing: Maak een volledige inventaris van alle externe diensten die toegang hebben tot persoonsgegevens van uw website bezoekers. Dit omvat hosting, analytics, e-mailmarketing, CRM-systemen, chatbots, payment providers en social media plugins.

Sluit met elke verwerker een Data Processing Agreement (DPA) af waarin wordt vastgelegd hoe zij uw gegevens verwerken, beveiligen en bewaren. Grote leveranciers zoals Google, Microsoft en Mailchimp bieden standaard DPA’s aan via hun websiteds.

Probleem 2: Onduidelijke bewaartermijnen

Oplossing: Stel voor elk gegevenstype concrete, onderbouwde bewaartermijnen vast en automatiseer waar mogelijk de verwijdering. Vermijd vage formuleringen zoals “zolang noodzakelijk” of “conform wettelijke vereisten”.

Voorbeelden van concrete termijnen:

  • Contactformulieren: 1 jaar na laatste contact
  • Nieuwsbrief: Tot actieve uitschrijving + 1 maand
  • Factuurgegevens: 7 jaar (fiscale bewaarplicht)
  • Website analytics: 26 maanden maximum
  • Werving & selectie: 4 weken na afwijzing

Probleem 3: WordPress plugins en AVG-compliance

Oplossing: Voer regelmatig een audit uit van alle geïnstalleerde plugins. Veel populaire plugins zoals contactformulieren, social media widgets en analytics tools verzamelen onzichtbaar persoonsgegevens.

Let vooral op:

  • Contact Form 7: Kan e-mails opslaan in database
  • Social media widgets: Plaatsen tracking cookies
  • Google Analytics plugins: Vereisen toestemming voor tracking
  • Live chat tools: Bewaren gesprekgeschiedenis

Vervang niet-AVG-conforme plugins door privacy-vriendelijke alternatieven en update regelmatig naar de nieuwste versies.

Overgang: Met deze praktische kennis kunt u direct starten met het AVG-compliant maken van uw website.

Conclusie en volgende stappen

Een privacyverklaring verplicht vanaf het moment dat uw website persoonsgegevens verzamelt – ongeacht de manier van verzameling. De AVG stelt duidelijke eisen: 14 verplichte informatie-elementen, specifieke doeleinden en rechtsgronden per verwerking, en expliciete toestemming voor trackingcookies.

Om direct te beginnen:

  1. Voer een privacy-audit uit: Inventariseer alle manieren waarop uw website persoonsgegevens verwerkt – van contactformulieren tot analytics en marketing tools
  2. Stel een AVG-conforme privacyverklaring op: Neem alle 14 verplichte elementen op met specifieke informatie per gegevensverwerking
  3. Implementeer cookietoestemming: Installeer een cookiebanner met granulaire keuzemogelijkheden en sluit verwerkersovereenkomsten af met alle externe dienstverleners

Gerelateerde onderwerpen: Voor complexere websites kan een Data Protection Impact Assessment (DPIA) noodzakelijk zijn. Organisaties die systematisch personen monitoren moeten overwegen een Functionaris Gegevensbescherming aan te stellen. Zorg ook voor duidelijke procedures voor datalekken en meldplicht bij de Autoriteit Persoonsgegevens. Als er sprake is van geautomatiseerde besluitvorming met juridische gevolgen, moet het privacybeleid dit uitleggen, inclusief de logica, het belang en de verwachte gevolgen van dergelijke besluitvorming.

Aanvullende bronnen

  • Autoriteit Persoonsgegevens: Officiële richtlijnen en voorbeelden van privacyverklaringen op autoriteitpersoonsgegevens.nl
  • Privacy-tools: CookieBot, Complianz of Cookie Notice voor WordPress cookiemanagement
  • Juridische ondersteuning: Raadpleeg Law & More voor complexe verwerkingen of internationale gegevensoverdracht
Previous
Wat Zijn de Juridische Risico’s van AI in het Bedrijfsleven: Complete Gids voor 2025
Next
Samenlevingscontract versus Huwelijk: Juridische Verschillen Uitgelegd
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80