AVG privacyverklaring voor je website: wat moet er in staan in 2026?
Verplicht zodra je website persoonsgegevens verwerkt. Artikel 13 AVG eist 11 onderdelen. Checklist en veelgestelde vragen voor mkb-websites.
- Een privacyverklaring is verplicht voor elke website die persoonsgegevens verwerkt — contactformulieren, Google Analytics, nieuwsbrieven of winkelmandjes. De verplichting volgt uit artikel 13 van de AVG (Algemene Verordening Gegevensbescherming, ook wel GDPR). De Autoriteit Persoonsgegevens (AP) kan bij overtreding een boete opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet.
- De verklaring moet minimaal vermelden: wie de verwerkingsverantwoordelijke is, welke persoonsgegevens je verwerkt, op welke rechtsgrond (toestemming, gerechtvaardigd belang, wettelijke verplichting, uitvoering overeenkomst), hoe lang je de gegevens bewaart, met wie je ze deelt (verwerkers, derde landen), en welke rechten de betrokkene heeft (inzage, correctie, verwijdering, bezwaar, overdraagbaarheid, klacht bij AP).
- Gebruik geen kant-en-klare generatoren zonder aanpassing: een generieke tekst dekt je concrete verwerkingen niet. Koppel de privacyverklaring aan je cookiebanner en verwerkersovereenkomsten (DPA's) met tools als Google Analytics, Mailchimp en HubSpot.
Wanneer is een privacyverklaring verplicht?
Een privacyverklaring is verplicht zodra jouw website persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon: naam, e-mailadres, IP-adres, cookie-ID of locatiedata. In de praktijk betekent dit dat vrijwel elke zakelijke website verplicht is een privacyverklaring te publiceren. Een contactformulier verwerkt naam en e-mail. Google Analytics registreert IP-adressen en cookie-ID's. Een nieuwsbriefsysteem slaat e-mailadressen op. De verplichting geldt voor eenmanszaken en zzp'ers even goed als voor bv's. De rechtsgrond is artikel 13 AVG: zodra je gegevens verzamelt bij de betrokkene, moet je hem of haar direct informeren.
11 verplichte onderdelen van een AVG-privacyverklaring
Artikel 13 AVG (en artikel 14 voor indirect verkregen gegevens) eist dat je de volgende informatie verstrekt. Controleer elk onderdeel voor je eigen verklaring.
1. Identiteit en contactgegevens verwerkingsverantwoordelijke
Volledige naam (of bedrijfsnaam), adres en e-mailadres van de organisatie die beslist hoe persoonsgegevens worden verwerkt. Voor eenmanszaken: jouw naam en KvK-nummer.
2. Contactgegevens functionaris gegevensbescherming (FG)
Alleen verplicht als je organisatie een FG heeft aangesteld (verplicht voor overheidsinstanties en organisaties die op grote schaal bijzondere categorieën verwerken). Voor de meeste mkb-bedrijven niet van toepassing.
3. Doelen en rechtsgronden van de verwerking
Voor elk doel geef je de rechtsgrond: toestemming (art. 6 lid 1 sub a), uitvoering overeenkomst (sub b), wettelijke verplichting (sub c), gerechtvaardigd belang (sub f). Voorbeeld: 'Wij verwerken uw e-mailadres op basis van toestemming om onze nieuwsbrief te verzenden.'
4. Gerechtvaardigd belang (indien van toepassing)
Als je rechtsgrond 'gerechtvaardigd belang' (art. 6 lid 1 sub f) is, moet je dit belang omschrijven. Voorbeeld voor websitebezoekersanalyse: 'Wij hebben een gerechtvaardigd belang bij het meten van websiteprestaties om de gebruikerservaring te verbeteren.'
5. Ontvangers of categorieën van ontvangers
Noem alle derde partijen die toegang hebben tot de persoonsgegevens: hostingprovider, e-mailmarketingplatform (Mailchimp, HubSpot, ActiveCampaign), CRM-systeem, analyticstool (Google Analytics, Plausible), betalingsprovider (Stripe, Mollie). Sluit voor elk een verwerkersovereenkomst (DPA).
6. Doorgifte aan derde landen
Als je gegevens doorgeeft aan partijen buiten de EER (Europese Economische Ruimte) — zoals Google (VS) of Amazon AWS — vermeld je de doorgifte en de waarborg: adequaatheidsbesluit, standaard contractuele clausules (SCC's) of bindende bedrijfsregels.
7. Bewaartermijnen
Per verwerkingsdoel geef je aan hoe lang je de gegevens bewaart. Voorbeeld: contactformuliergegevens 2 jaar; factuurgegevens 7 jaar (fiscale bewaarplicht); nieuwsbriefabonnees tot afmelding plus 1 jaar.
8. Rechten van de betrokkene
Inzage (art. 15), rectificatie (art. 16), wissing ('recht op vergetelheid', art. 17), beperking (art. 18), overdraagbaarheid (art. 20), bezwaar (art. 21). Vermeld hoe de betrokkene een verzoek kan indienen (e-mailadres of formulier) en binnen welke termijn je reageert (wettelijk maximaal 1 maand, verlengbaar naar 3 maanden).
9. Recht om toestemming in te trekken
Als je verwerking is gebaseerd op toestemming: vermeld expliciet dat de betrokkene de toestemming te allen tijde kan intrekken zonder dat dit gevolgen heeft voor verwerkingen vóór de intrekking.
10. Recht om klacht in te dienen bij de AP
Betrokkenen hebben het recht om een klacht in te dienen bij de toezichthoudende autoriteit. In Nederland is dit de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Vermeld de naam en het webadres van de AP.
11. Geautomatiseerde besluitvorming en profilering
Alleen verplicht als je hieraan doet. Geef aan of je geautomatiseerde beslissingen neemt (bijv. dynamische prijsstelling, kredietscore) en wat de logica en gevolgen zijn. Voor de meeste mkb-websites niet van toepassing.
Hoe schrijf je een deugdelijke privacyverklaring voor je mkb-website?
Begin met een verwerkingsregister: een lijst van alle systemen die persoonsgegevens ontvangen (contactformulier, analytics, nieuwsbrief, chat, CRM, betalingsprovider). Voor elk systeem noteer je doel, rechtsgrond en bewaartermijn. Op basis hiervan schrijf je de verklaring. Gebruik concrete taal — vermijd juridisch jargon en schrijf in begrijpelijke taal die voldoet aan de informatieplicht van art. 13 lid 3 AVG. Publiceer de verklaring op een vaste URL (bijv. /privacy) die bereikbaar is vanuit de footer van elke pagina en vanuit de cookiebanner. Koppel ook een aparte cookieverklaring als je niet-functionele cookies gebruikt (Google Analytics, Facebook Pixel, HotJar). Update de verklaring telkens als je een nieuwe verwerkingstool introduceert. Bewaar de versies met datum — de AP kan bij een klacht vragen om bewijs van de verklaring op een specifiek moment.
Veelgestelde vragen over de AVG-privacyverklaring
Is een privacyverklaring verplicht voor een kleine website of eenmanszaak?
Mag ik een gratis privacyverklaring-generator gebruiken?
Wat is het verschil tussen een privacyverklaring en een cookieverklaring?
Hoe lang moet ik persoonsgegevens bewaren?
Welke boete kan de AP opleggen voor een ontbrekende privacyverklaring?
Heb je hulp nodig bij de AVG-compliance van je website?
We bouwen websites die privacyproof zijn: cookiebanner, privacyverklaring en verwerkersovereenkomsten inbegrepen. Plan een gratis gesprek om te bespreken wat jouw website nodig heeft.
Plan een gratis gesprek →Gratis en vrijblijvend · Reactie binnen één werkdag · Vaste prijs vooraf, geen verrassingen