AVG checklist voor je website: voldoe je aan de regels?

Je website verwerkt meer persoonsgegevens dan je denkt. Een contactformulier, Google Analytics, een nieuwsbrief-inschrijving of zelfs een ingebed YouTube-filmpje: het valt allemaal onder de AVG.

De Autoriteit Persoonsgegevens heeft in 2025 meer dan 200 Nederlandse websites gewaarschuwd. Driekwart paste hun site aan na die waarschuwing. De rest krijgt een onderzoek aan hun broek.

Hieronder staat een checklist waarmee je in een halfuur kunt controleren of jouw website aan de regels voldoet.

1. Privacyverklaring

Elke website die persoonsgegevens verwerkt, moet een privacyverklaring hebben. Dat geldt ook voor eenmanszaken en zzp'ers.

Controleer:

• Staat er een privacyverklaring op je website?
• Is die bereikbaar via een link in de footer (op elke pagina)?
• Staan je contactgegevens erin (bedrijfsnaam, adres, e-mail)?
• Leg je uit welke persoonsgegevens je verzamelt?
• Leg je uit waarom je die gegevens verzamelt (de "grondslag")?
• Staat de bewaartermijn erin?
• Vermeld je de rechten van bezoekers (inzage, verwijdering, correctie)?
• Is de tekst begrijpelijk voor een niet-jurist?

Als je nog geen privacyverklaring hebt, gebruik dan onze gratis privacyverklaring generator.

2. Cookies en tracking

Hier gaat het het vaakst mis. De AP controleert actief op misleidende cookiebanners.

Controleer:

• Heb je een cookiebanner als je niet-functionele cookies plaatst?
• Kan een bezoeker cookies weigeren net zo makkelijk als accepteren? (Geen grote groene "accepteer" knop naast een klein grijs "weigeren" linkje)
• Worden er geen tracking-cookies geplaatst voordat iemand toestemming geeft?
• Kun je aantonen dat je toestemming hebt opgeslagen?
• Staat Google Analytics op anonieme modus? Anders is het een tracking-cookie.
• Gebruik je Google Fonts? Dan lekt je website IP-adressen naar Google.

Twijfel je of je een cookiebanner nodig hebt? Lees onze beslishulp over cookiebanners.

3. Formulieren en gegevensverzameling

Elk formulier op je website verzamelt persoonsgegevens. Dat klinkt logisch, maar de regels eromheen vergeten veel ondernemers.

Controleer:

• Vraag je alleen gegevens die je echt nodig hebt? (Geen geboortedatum in een contactformulier)
• Link je bij elk formulier naar je privacyverklaring?
• Staan er geen vooraf aangevinkte checkboxen voor nieuwsbrieven of marketing?
• Bewaar je formuliergegevens niet langer dan nodig?
• Worden de gegevens versleuteld verstuurd (HTTPS)?

4. Nieuwsbrief en e-mailmarketing

Nederland heeft bovenop de AVG ook de Telecommunicatiewet. Die stelt extra eisen aan commerciele e-mails.

Controleer:

• Vraag je actieve toestemming voordat je iemand aan je mailinglijst toevoegt?
• Is die toestemming specifiek? (Niet "ik ga akkoord met alles")
• Bevat elke mail een werkende afmeldlink?
• Bewaar je bewijs van wanneer en hoe iemand zich heeft aangemeld?

5. Derde partijen en embeds

Je website laadt waarschijnlijk scripts en content van andere bedrijven. Elk van die verbindingen kan persoonsgegevens doorsturen zonder dat je het weet.

Controleer:

• Laad je Google Fonts extern? Host ze lokaal.
• Heb je YouTube-video's ingebed? Die sturen data naar Google voordat een bezoeker op play klikt.
• Gebruik je Google Maps? Dat verstuurt IP-adressen.
• Heb je social media-knoppen met tracking (Facebook Pixel, LinkedIn Insight Tag)?
• Staat elke derde partij in je privacyverklaring?
• Heb je verwerkersovereenkomsten met je software-leveranciers?

6. Beveiliging

De AVG schrijft in Artikel 32 voor dat je "passende technische maatregelen" moet nemen om persoonsgegevens te beschermen.

Controleer:

• Draait je website op HTTPS (SSL-certificaat)?
• Is je CMS (WordPress, Joomla, etc.) up-to-date?
• Zijn alle plugins en thema's bijgewerkt?
• Gebruik je sterke wachtwoorden voor je admin-paneel?
• Heb je een back-up die je kunt herstellen bij een datalek?

7. Rechten van betrokkenen

Bezoekers en klanten hebben rechten onder de AVG. Je moet een verzoek tot inzage, correctie of verwijdering kunnen afhandelen.

Controleer:

• Weet je hoe je een inzageverzoek afhandelt?
• Kun je alle persoonsgegevens van een persoon verzamelen en aanleveren?
• Kun je gegevens verwijderen op verzoek?
• Heb je een e-mailadres of formulier waar mensen hun rechten kunnen uitoefenen?
• Reageer je binnen 4 weken op een verzoek? (Dat is de wettelijke termijn)

8. KVK en bedrijfsgegevens

Los van de AVG is het in Nederland wettelijk verplicht om bepaalde bedrijfsgegevens op je website te tonen.

Controleer:

• Staat je KVK-nummer op je website?
• Staat je BTW-nummer op je website? (Let op: als zzp'er gebruik je je BTW-identificatienummer, niet je oude BTW-nummer dat je BSN bevatte)
• Staan je bedrijfsnaam en vestigingsadres vermeld?
• Staat er een e-mailadres op je website?

Hoeveel punten scoor jij?

Tel het aantal checks dat je hebt afgevinkt. Dit is een ruwe indicatie:

• 30+ van 35: Goed bezig. Je website is grotendeels in orde.
• 20-29: Er zijn verbeterpunten. Pak de ontbrekende items zo snel mogelijk op.
• Minder dan 20: Er is werk aan de winkel. Begin met de privacyverklaring en cookiebanner.

Wil je het zeker weten?

Een checklist is een goed begin, maar het vertelt je niet wat er technisch op je website gebeurt. Tracking-scripts, verborgen cookies, externe verbindingen: die zie je niet door naar je eigen site te kijken.

Scan je website gratis en krijg binnen twee minuten een rapport met alles wat er verbeterd kan worden. Geen account nodig.

Veelgestelde vragen

Is de AVG verplicht voor mijn kleine website?

Ja. Zodra je website persoonsgegevens verwerkt (contactformulier, analytics, nieuwsbrief) geldt de AVG. Het maakt niet uit hoe klein je bedrijf is.

Wat kost het om mijn website AVG-compliant te maken?

De meeste aanpassingen kun je zelf doen in een middag. Een cookiebanner instellen, privacyverklaring plaatsen en analytics aanpassen kost niks tot een paar tientjes per maand voor een consent tool.

Kan ik een AVG-boete krijgen als zzp'er?

Ja. De Autoriteit Persoonsgegevens maakt geen onderscheid op bedrijfsgrootte. In 2025 waarschuwde de AP meer dan 200 websites, waaronder kleine ondernemers.

Hoe vaak moet ik mijn AVG-compliance controleren?

Minimaal elk kwartaal. En altijd als je een nieuwe tool, plugin of formulier aan je website toevoegt. Elke wijziging kan nieuwe gegevensverwerking introduceren.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.