AVG en je website: privacyproof in 2026 (zonder juridische hoofdpijn) GDPR and Your Website: Privacy-Proof in 2026 (Without Legal Headaches)
In dit artikel
De Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als GDPR, is de Europese privacywet die bepaalt hoe je persoonsgegevens mag verzamelen, opslaan en verwerken. Als je een website hebt die bezoekers uit de EU bereikt, moet je aan de AVG voldoen — ongeacht de grootte van je bedrijf.
Klinkt intimiderend? Dat valt mee. De meeste aanpassingen zijn eenmalig en technisch niet complex. In deze checklist lopen we alle punten langs die je website privacyproof maken.
De AVG in het kort
De kernprincipes van de AVG zijn:
Doelbinding — Verzamel alleen gegevens voor een specifiek, duidelijk doel.
Dataminimalisatie — Verzamel niet meer gegevens dan strikt noodzakelijk.
Opslagbeperking — Bewaar gegevens niet langer dan nodig.
Transparantie — Vertel bezoekers welke gegevens je verzamelt en waarom.
Toestemming — Vraag expliciete toestemming voor niet-essentiële gegevensverwerking.
Welke persoonsgegevens verzamelt jouw website?
Meer dan je denkt. Een overzicht van veelvoorkomende bronnen:
| Bron | Type gegevens | AVG-actie nodig? |
|---|---|---|
| Contactformulier | Naam, e-mail, bericht | Ja — privacyverklaring + bewaartermijn |
| Google Analytics | IP-adres, gedrag, locatie | Ja — consent of anonimiseren |
| Cookies | Voorkeuren, tracking | Ja — cookiebanner + beleid |
| Webshop | NAW, betaalgegevens, bestellingen | Ja — verwerkersovereenkomst |
| Nieuwsbrief | E-mailadres | Ja — dubbele opt-in |
| Reacties | Naam, e-mail, IP-adres | Ja — privacyverklaring |
| Hosting logs | IP-adres, useragent | Ja — verwerkersovereenkomst |
De 12-punten checklist
1. Privacyverklaring
Elke website die persoonsgegevens verwerkt moet een privacyverklaring hebben. Vermeld: wie je bent, welke gegevens je verzamelt, waarom, hoe lang je ze bewaart, met wie je ze deelt en hoe bezoekers hun rechten kunnen uitoefenen.
2. Cookiebanner en cookiebeleid
Plaats alleen functionele cookies zonder toestemming. Voor tracking-cookies (Google Analytics, Facebook Pixel) heb je expliciete toestemming nodig voordat ze worden geplaatst. Gebruik een cookiebanner die echte keuze biedt — niet alleen “Akkoord.”
3. Contactformulieren
Voeg een link naar je privacyverklaring toe bij elk formulier. Vraag niet meer informatie dan nodig. Stel een bewaartermijn in en verwijder berichten na die termijn.
4. Google Analytics privacy-vriendelijk
Optie 1: Gebruik Google Analytics 4 met consent mode — de tool verzamelt alleen data na toestemming van de bezoeker. Optie 2: Schakel IP-anonimisering in. Optie 3: Gebruik een privacy-vriendelijk alternatief zoals Plausible of Fathom.
5. Nieuwsbrief: dubbele opt-in
Stuur na inschrijving een bevestigingsmail. Pas na klik op de bevestigingslink wordt het abonnement actief. Dit bewijst dat de persoon daadwerkelijk toestemming heeft gegeven.
6. Webshop-klantgegevens
Bewaar klantgegevens niet langer dan nodig voor de wettelijke bewaarplicht (7 jaar voor financiële administratie). Verwijder accounts op verzoek. Deel klantgegevens niet met derden zonder toestemming.
7. Verwerkersovereenkomsten
Sluit een verwerkersovereenkomst af met elke partij die namens jou persoonsgegevens verwerkt: je hostingprovider, e-mailmarketingplatform, betaalprovider en analytics-tool. De meeste aanbieders hebben een standaard DPA (Data Processing Agreement).
8. Bewaartermijnen
Stel voor elk type gegevens een bewaartermijn in. Contactformulierberichten: maximaal 1 jaar. Klantgegevens: tot 7 jaar (fiscale bewaarplicht). Analytics-data: maximaal 14 maanden.
9. Recht op inzage en verwijdering
Bezoekers hebben het recht om te weten welke gegevens je over hen hebt en om verwijdering te vragen. Zorg dat je dit kunt uitvoeren — en documenteer het proces.
10. Beveiligingsmaatregelen
Gebruik SSL/HTTPS, sterke wachtwoorden, regelmatige updates en beperkte toegangsrechten. De AVG vereist “passende technische en organisatorische maatregelen.”
11. Datalekprotocol
Stel een procedure op voor datalekken. Een ernstig datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Documenteer elk incident, ook als het niet meldplichtig is.
12. Functionaris gegevensbescherming (FG)
Een FG is verplicht voor overheidsinstanties en organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Voor de meeste MKB-websites is het niet verplicht, maar het is wel verstandig om iemand verantwoordelijk te maken voor privacy.
WordPress plugins die helpen
| Plugin | Functie |
|---|---|
| Complianz | Cookiebanner, cookiebeleid, consent-logging |
| WP GDPR Compliance | Toestemmingsbeheer voor formulieren en reacties |
| Really Simple SSL | HTTPS-configuratie |
| WP-Optimize | Database opschonen (verouderde data verwijderen) |
Belangrijk
Een plugin maakt je niet automatisch AVG-compliant. Je hebt ook inhoudelijke documenten nodig (privacyverklaring, cookiebeleid) en organisatorische maatregelen (bewaartermijnen, procedures). De plugin is het gereedschap, niet de oplossing.
Veelgemaakte fouten
“We hebben een cookiebanner, dus we zijn compliant” — Een cookiebanner is slechts één onderdeel. Zonder privacyverklaring, verwerkersovereenkomsten en bewaartermijnen ben je niet AVG-proof.
Google Analytics zonder consent — Analytics-cookies zijn tracking-cookies. Je mag ze niet plaatsen zonder expliciete toestemming. De Autoriteit Persoonsgegevens heeft hier meerdere boetes voor uitgedeeld.
Geen verwerkersovereenkomst met je hostingprovider — Je hostingprovider verwerkt persoonsgegevens namens jou. Zonder verwerkersovereenkomst is dat een overtreding.
Contactformuliergegevens eeuwig bewaren — Stel een bewaartermijn in en ruim regelmatig op. “We bewaren alles voor de zekerheid” is geen geldige grondslag.
Veelgestelde vragen
Geldt de AVG ook voor mijn kleine website?
Ja. De AVG geldt voor iedereen die persoonsgegevens verwerkt van EU-burgers, ongeacht de grootte van je bedrijf. Zelfs een simpel contactformulier verwerkt persoonsgegevens.
Wat is het risico als ik niet voldoe?
De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van je jaaromzet. In de praktijk focust de AP zich op grote bedrijven, maar klachten van individuele bezoekers kunnen ook tot onderzoek leiden.
Is Google Analytics nog toegestaan?
Ja, mits je toestemming vraagt via een cookiebanner voordat de tracking start, of als je een privacy-vriendelijke configuratie gebruikt (server-side tracking, consent mode). De discussie over Google Analytics en de AVG is nog gaande in Europa.
Kan ik mijn privacyverklaring kopiëren van een andere website?
Nee. Je privacyverklaring moet specifiek je eigen gegevensverwerking beschrijven. Een gekopieerde verklaring klopt waarschijnlijk niet voor jouw situatie en kan zelfs misleidend zijn.
In this article
The General Data Protection Regulation (GDPR), known in the Netherlands as AVG, is the European privacy law that determines how you may collect, store and process personal data. If you have a website that reaches visitors from the EU, you must comply with the GDPR — regardless of your company's size.
Sounds intimidating? It's not that bad. Most adjustments are one-time and technically not complex. In this checklist, we cover all the points to make your website privacy-proof.
GDPR in brief
The core principles of the GDPR are:
Purpose limitation — Only collect data for a specific, clear purpose.
Data minimization — Don't collect more data than strictly necessary.
Storage limitation — Don't store data longer than needed.
Transparency — Tell visitors what data you collect and why.
Consent — Ask explicit consent for non-essential data processing.
What personal data does your website collect?
More than you think. An overview of common sources:
| Source | Data type | GDPR action needed? |
|---|---|---|
| Contact form | Name, email, message | Yes — privacy policy + retention period |
| Google Analytics | IP address, behavior, location | Yes — consent or anonymize |
| Cookies | Preferences, tracking | Yes — cookie banner + policy |
| Web store | Address, payment details, orders | Yes — data processing agreement |
| Newsletter | Email address | Yes — double opt-in |
| Comments | Name, email, IP address | Yes — privacy policy |
| Hosting logs | IP address, user agent | Yes — data processing agreement |
The 12-point checklist
1. Privacy policy
Every website that processes personal data must have a privacy policy. State: who you are, what data you collect, why, how long you keep it, who you share it with and how visitors can exercise their rights.
2. Cookie banner and cookie policy
Only place functional cookies without consent. For tracking cookies (Google Analytics, Facebook Pixel) you need explicit consent before they're placed. Use a cookie banner that offers real choice — not just "Accept."
3. Contact forms
Add a link to your privacy policy with every form. Don't ask for more information than necessary. Set a retention period and delete messages after that period.
4. Privacy-friendly Google Analytics
Option 1: Use Google Analytics 4 with consent mode — the tool only collects data after visitor consent. Option 2: Enable IP anonymization. Option 3: Use a privacy-friendly alternative like Plausible or Fathom.
5. Newsletter: double opt-in
Send a confirmation email after sign-up. The subscription only becomes active after clicking the confirmation link. This proves the person actually gave consent.
6. Web store customer data
Don't store customer data longer than needed for the legal retention obligation (7 years for financial records). Delete accounts on request. Don't share customer data with third parties without consent.
7. Data processing agreements
Sign a data processing agreement with every party that processes personal data on your behalf: your hosting provider, email marketing platform, payment provider and analytics tool. Most providers have a standard DPA.
8. Retention periods
Set a retention period for each type of data. Contact form messages: maximum 1 year. Customer data: up to 7 years (tax retention obligation). Analytics data: maximum 14 months.
9. Right of access and deletion
Visitors have the right to know what data you have about them and to request deletion. Make sure you can do this — and document the process.
10. Security measures
Use SSL/HTTPS, strong passwords, regular updates and limited access rights. The GDPR requires "appropriate technical and organizational measures."
11. Data breach protocol
Establish a procedure for data breaches. A serious data breach must be reported to the Data Protection Authority within 72 hours. Document every incident, even if it doesn't need to be reported.
12. Data Protection Officer (DPO)
A DPO is mandatory for government agencies and organizations that process special personal data on a large scale. For most SMB websites, it's not required, but it's wise to make someone responsible for privacy.
WordPress plugins that help
| Plugin | Function |
|---|---|
| Complianz | Cookie banner, cookie policy, consent logging |
| WP GDPR Compliance | Consent management for forms and comments |
| Really Simple SSL | HTTPS configuration |
| WP-Optimize | Database cleanup (delete outdated data) |
Important
A plugin doesn't automatically make you GDPR compliant. You also need substantive documents (privacy policy, cookie policy) and organizational measures (retention periods, procedures). The plugin is the tool, not the solution.
Common mistakes
"We have a cookie banner, so we're compliant" — A cookie banner is just one component. Without a privacy policy, data processing agreements and retention periods, you're not GDPR-proof.
Google Analytics without consent — Analytics cookies are tracking cookies. You may not place them without explicit consent. The Dutch Data Protection Authority has issued multiple fines for this.
No processing agreement with your hosting provider — Your hosting provider processes personal data on your behalf. Without a processing agreement, that's a violation.
Keeping contact form data forever — Set a retention period and clean up regularly. "We keep everything just in case" is not a valid legal basis.
Frequently asked questions
Does the GDPR also apply to my small website?
Yes. The GDPR applies to everyone who processes personal data of EU citizens, regardless of company size. Even a simple contact form processes personal data.
What's the risk if I don't comply?
The Data Protection Authority can impose fines up to €20 million or 4% of annual turnover. In practice, the authority focuses on large companies, but complaints from individual visitors can also lead to investigations.
Is Google Analytics still allowed?
Yes, provided you ask consent via a cookie banner before tracking starts, or if you use a privacy-friendly configuration (server-side tracking, consent mode). The discussion about Google Analytics and the GDPR is still ongoing in Europe.
Can I copy my privacy policy from another website?
No. Your privacy policy must specifically describe your own data processing. A copied policy probably doesn't match your situation and could even be misleading.