Artikel

AVG privacyverklaring voor je website: wat moet er in staan in 2026?

Verplicht zodra je website persoonsgegevens verwerkt. Artikel 13 AVG eist 11 onderdelen. Checklist en veelgestelde vragen voor mkb-websites.

Kort antwoord
  • Een privacyverklaring is verplicht voor elke website die persoonsgegevens verwerkt — contactformulieren, Google Analytics, nieuwsbrieven of winkelmandjes. De verplichting volgt uit artikel 13 van de AVG (Algemene Verordening Gegevensbescherming, ook wel GDPR). De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet.
  • De verklaring moet minimaal vermelden: wie de verwerkingsverantwoordelijke is, welke persoonsgegevens je verwerkt, op welke rechtsgrond (toestemming, gerechtvaardigd belang, wettelijke verplichting, uitvoering overeenkomst), hoe lang je de gegevens bewaart, met wie je ze deelt (verwerkers, derde landen), en welke rechten de betrokkene heeft (inzage, correctie, verwijdering, bezwaar, overdraagbaarheid, klacht bij AP).
  • Gebruik geen kant-en-klare generatoren zonder aanpassing: een generieke tekst dekt je concrete verwerkingen niet. Koppel de privacyverklaring aan je cookiebanner en verwerkersovereenkomsten (DPA's) met tools als Google Analytics, Mailchimp en HubSpot.

Wanneer is een privacyverklaring verplicht?

Een privacyverklaring is verplicht zodra jouw website persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon: naam, e-mailadres, IP-adres, cookie-ID of locatiedata. In de praktijk betekent dit dat vrijwel elke zakelijke website verplicht is een privacyverklaring te publiceren. Een contactformulier verwerkt naam en e-mail. Google Analytics registreert IP-adressen en cookie-ID's. Een nieuwsbriefsysteem slaat e-mailadressen op. De verplichting geldt voor eenmanszaken en zzp'ers even goed als voor bv's. De rechtsgrond is artikel 13 AVG: zodra je gegevens verzamelt bij de betrokkene, moet je hem of haar direct informeren.

Checklist

11 verplichte onderdelen van een AVG-privacyverklaring

Artikel 13 AVG (en artikel 14 voor indirect verkregen gegevens) eist dat je de volgende informatie verstrekt. Controleer elk onderdeel voor je eigen verklaring.

1. Identiteit en contactgegevens verwerkingsverantwoordelijke

Volledige naam (of bedrijfsnaam), adres en e-mailadres van de organisatie die beslist hoe persoonsgegevens worden verwerkt. Voor eenmanszaken: jouw naam en KvK-nummer.

2. Contactgegevens functionaris gegevensbescherming (FG)

Alleen verplicht als je organisatie een FG heeft aangesteld (verplicht voor overheidsinstanties en organisaties die op grote schaal bijzondere categorieën verwerken). Voor de meeste mkb-bedrijven niet van toepassing.

3. Doelen en rechtsgronden van de verwerking

Voor elk doel geef je de rechtsgrond: toestemming (art. 6 lid 1 sub a), uitvoering overeenkomst (sub b), wettelijke verplichting (sub c), gerechtvaardigd belang (sub f). Voorbeeld: 'Wij verwerken uw e-mailadres op basis van toestemming om onze nieuwsbrief te verzenden.'

4. Gerechtvaardigd belang (indien van toepassing)

Als je rechtsgrond 'gerechtvaardigd belang' (art. 6 lid 1 sub f) is, moet je dit belang omschrijven. Voorbeeld voor websitebezoekersanalyse: 'Wij hebben een gerechtvaardigd belang bij het meten van websiteprestaties om de gebruikerservaring te verbeteren.'

5. Ontvangers of categorieën van ontvangers

Noem alle derde partijen die toegang hebben tot de persoonsgegevens: hostingprovider, e-mailmarketingplatform (Mailchimp, HubSpot, ActiveCampaign), CRM-systeem, analyticstool (Google Analytics, Plausible), betalingsprovider (Stripe, Mollie). Sluit voor elk een verwerkersovereenkomst (DPA).

6. Doorgifte aan derde landen

Als je gegevens doorgeeft aan partijen buiten de EER (Europese Economische Ruimte) — zoals Google (VS) of Amazon AWS — vermeld je de doorgifte en de waarborg: adequaatheidsbesluit, standaard contractuele clausules (SCC's) of bindende bedrijfsregels.

7. Bewaartermijnen

Per verwerkingsdoel geef je aan hoe lang je de gegevens bewaart. Voorbeeld: contactformuliergegevens 2 jaar; factuurgegevens 7 jaar (fiscale bewaarplicht); nieuwsbriefabonnees tot afmelding plus 1 jaar.

8. Rechten van de betrokkene

Inzage (art. 15), rectificatie (art. 16), wissing ('recht op vergetelheid', art. 17), beperking (art. 18), overdraagbaarheid (art. 20), bezwaar (art. 21). Vermeld hoe de betrokkene een verzoek kan indienen (e-mailadres of formulier) en binnen welke termijn je reageert (wettelijk maximaal 1 maand, verlengbaar naar 3 maanden).

9. Recht om toestemming in te trekken

Als je verwerking is gebaseerd op toestemming: vermeld expliciet dat de betrokkene de toestemming te allen tijde kan intrekken zonder dat dit gevolgen heeft voor verwerkingen vóór de intrekking.

10. Recht om klacht in te dienen bij de AP

Betrokkenen hebben het recht om een klacht in te dienen bij de toezichthoudende autoriteit. In Nederland is dit de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Vermeld de naam en het webadres van de AP.

11. Geautomatiseerde besluitvorming en profilering

Alleen verplicht als je hieraan doet. Geef aan of je geautomatiseerde beslissingen neemt (bijv. dynamische prijsstelling, kredietscore) en wat de logica en gevolgen zijn. Voor de meeste mkb-websites niet van toepassing.

Praktische aanpak

Hoe schrijf je een deugdelijke privacyverklaring voor je mkb-website?

Begin met een verwerkingsregister: een lijst van alle systemen die persoonsgegevens ontvangen (contactformulier, analytics, nieuwsbrief, chat, CRM, betalingsprovider). Voor elk systeem noteer je doel, rechtsgrond en bewaartermijn. Op basis hiervan schrijf je de verklaring. Gebruik concrete taal — vermijd juridisch jargon en schrijf in begrijpelijke taal die voldoet aan de informatieplicht van art. 13 lid 3 AVG. Publiceer de verklaring op een vaste URL (bijv. /privacy) die bereikbaar is vanuit de footer van elke pagina en vanuit de cookiebanner. Koppel ook een aparte cookieverklaring als je niet-functionele cookies gebruikt (Google Analytics, Facebook Pixel, HotJar). Update de verklaring telkens als je een nieuwe verwerkingstool introduceert. Bewaar de versies met datum — de AP kan bij een klacht vragen om bewijs van de verklaring op een specifiek moment.

Veelgestelde vragen

Veelgestelde vragen over de AVG-privacyverklaring

Is een privacyverklaring verplicht voor een kleine website of eenmanszaak?
Ja. De AVG maakt geen onderscheid op basis van bedrijfsgrootte. Elke website die persoonsgegevens verwerkt — ook een eenmanszaak met alleen een contactformulier — is verplicht een privacyverklaring te publiceren en betrokkenen te informeren conform artikel 13 AVG. De Autoriteit Persoonsgegevens hanteert bij kleine bedrijven wel een proportionele aanpak, maar het ontbreken van een verklaring blijft een overtreding.
Mag ik een gratis privacyverklaring-generator gebruiken?
Een generator geeft een nuttige basisstructuur, maar de output moet altijd aangepast worden aan jouw concrete verwerkingen. Een generieke tekst die vermeldt 'wij kunnen persoonsgegevens delen met derde partijen' zonder die partijen te noemen, voldoet niet aan artikel 13 AVG. Loop de 11 verplichte onderdelen na en pas de tekst aan op jouw specifieke tools (Google Analytics, Mailchimp, HubSpot, Stripe, etc.).
Wat is het verschil tussen een privacyverklaring en een cookieverklaring?
Een privacyverklaring beschrijft alle verwerkingen van persoonsgegevens door je organisatie (contactformulieren, nieuwsbrieven, CRM, analytics). Een cookieverklaring is specifiek gericht op de plaatsing van cookies en gelijkwaardige technieken (pixels, local storage). De verplichting tot een cookieverklaring volgt uit de Telecommunicatiewet (straks de ePrivacy Verordening). De meeste mkb-websites hebben beide nodig: de cookieverklaring als onderdeel van de cookiebanner, de privacyverklaring als volledige informatieverstrekking conform AVG art. 13.
Hoe lang moet ik persoonsgegevens bewaren?
Er is geen universele wettelijke bewaartermijn in de AVG — je bewaar gegevens zo lang als nodig voor het doel (dataminimalisatie, art. 5 lid 1 sub e). Gangbare termijnen voor mkb-websites: contactformuliergegevens 2 jaar, factuurgegevens 7 jaar (fiscale bewaarplicht art. 52 AWR), nieuwsbriefabonnees tot afmelding plus 1 jaar voor bewijs van toestemming, websitelogbestanden maximaal 6 maanden. Leg je keuzes vast in je verwerkingsregister.
Welke boete kan de AP opleggen voor een ontbrekende privacyverklaring?
De Autoriteit Persoonsgegevens kan bij overtreding van de informatieplicht (art. 13 AVG) een bestuurlijke boete opleggen van maximaal €20 miljoen of 4% van de wereldwijde jaaromzet (het hoogste bedrag telt). Voor kleine mkb-bedrijven zijn de feitelijke boetes veel lager — de AP focust op zwaardere overtredingen — maar een klacht van een betrokkene kan leiden tot een bindende aanwijzing en alsnog een boete als je niet snel actie onderneemt.

Heb je hulp nodig bij de AVG-compliance van je website?

We bouwen websites die privacyproof zijn: cookiebanner, privacyverklaring en verwerkersovereenkomsten inbegrepen. Plan een gratis gesprek om te bespreken wat jouw website nodig heeft.

Plan een gratis gesprek →

Gratis en vrijblijvend · Reactie binnen één werkdag · Vaste prijs vooraf, geen verrassingen