Privacyverklaring Voorbeeld: Wat Er Verplicht In Moet

Je hebt een website en je weet dat je een privacyverklaring nodig hebt. Maar wat moet erin staan? En hoe ziet een goede privacyverklaring er eigenlijk uit?

Artikel 13 van de AVG somt precies op welke informatie je moet geven als je persoonsgegevens verzamelt. Dat geldt voor elke website met een contactformulier, analytics, een chatwidget of een nieuwsbrief. In dit artikel loop ik alle verplichte onderdelen langs, met voorbeeldteksten die je als basis kunt gebruiken. En ik laat zien welke fouten je absoluut moet vermijden.

Wil je direct aan de slag? Gebruik dan de gratis privacyverklaring generator en heb binnen vijf minuten een complete tekst.

Waarom elke website een privacyverklaring nodig heeft

Zodra je website persoonsgegevens verwerkt, ben je verplicht om bezoekers daarover te informeren. Dat staat in Artikel 13 van de AVG. En "persoonsgegevens verwerken" gaat verder dan je denkt.

Een contactformulier dat een naam en e-mailadres vraagt? Persoonsgegevens. Google Analytics dat IP-adressen registreert? Persoonsgegevens. Een YouTube-video die cookies plaatst? Persoonsgegevens. Zelfs Google Fonts laden vanaf Google-servers stuurt het IP-adres van je bezoeker naar de VS.

Geen privacyverklaring hebben terwijl je wel gegevens verwerkt, is een overtreding. De Autoriteit Persoonsgegevens kan boetes opleggen, en doet dat ook bij kleinere bedrijven. Los van boetes: een ontbrekende privacyverklaring valt op bij klanten die bewust met hun gegevens omgaan. Het straalt onprofessionaliteit uit.

De 10 verplichte onderdelen (AVG Artikel 13)

Hieronder staan alle onderdelen die de AVG vereist, met bij elk onderdeel een voorbeeldtekst. Pas de teksten aan op jouw situatie. Kopieer ze niet letterlijk als ze niet kloppen voor jouw website.

1. Identiteit en contactgegevens

De bezoeker moet weten wie verantwoordelijk is voor de verwerking van zijn gegevens.

Voorbeeldtekst:

Deze website wordt beheerd door [Bedrijfsnaam], gevestigd aan [Straatnaam 1, 1234 AB Plaatsnaam], ingeschreven bij de Kamer van Koophandel onder nummer [12345678]. Je kunt ons bereiken via [info@jouwbedrijf.nl] of [telefoonnummer].

Vergeet je KVK-nummer niet. Dat is ook los van de AVG al verplicht op je website.

2. Welke persoonsgegevens je verzamelt

Wees concreet. Niet "wij verwerken persoonsgegevens", maar een opsomming per situatie.

Voorbeeldtekst:

Wij verzamelen de volgende persoonsgegevens:

• Naam en e-mailadres (via het contactformulier)
• E-mailadres (via de nieuwsbrief-inschrijving)
• IP-adres, browsertype en bezoekgedrag (via analytics)
• Betaalgegevens (bij bestellingen, verwerkt door onze betaalprovider)

Denk ook aan minder voor de hand liggende gegevens: IP-adressen die via externe scripts worden doorgestuurd, cookies van ingebedde video's, of locatiegegevens via Google Maps.

3. Het doel van de verwerking

Per categorie gegevens leg je uit waarom je die nodig hebt.

Voorbeeldtekst:

Wij verwerken je gegevens voor de volgende doelen:

• Het beantwoorden van je vraag via het contactformulier
• Het versturen van onze nieuwsbrief (alleen na je aanmelding)
• Het analyseren van websitegebruik om onze website te verbeteren
• Het afhandelen van bestellingen en betalingen

Houd het bij doelen die je daadwerkelijk nastreeft. Een standaardlijst van twintig doelen waarvan je er drie gebruikt, maakt je verklaring ongeloofwaardig.

4. De juridische grondslag

De AVG kent zes grondslagen. Voor elke verwerking kies je er een.

Voorbeeldtekst:

De grondslag voor het verwerken van je gegevens is:

• Toestemming: voor het versturen van de nieuwsbrief en het plaatsen van analytische cookies
• Uitvoering van een overeenkomst: voor het verwerken van bestellingen
• Gerechtvaardigd belang: voor basisanalytics en websitebeveiliging
• Wettelijke verplichting: voor het bewaren van factuurgegevens (7 jaar, fiscale bewaarplicht)

De meeste mkb-websites komen uit op twee of drie grondslagen. Toestemming gebruik je voor alles wat niet strikt noodzakelijk is (nieuwsbrief, marketing-cookies). Gerechtvaardigd belang geldt voor dingen als het bijhouden van bezoekersaantallen of het beveiligen van je website.

5. Ontvangers van de gegevens

Noem de partijen waarmee je gegevens deelt, bij naam of categorie.

Voorbeeldtekst:

Wij delen je gegevens met de volgende partijen:

• [Hostingprovider] (hosting van de website)
• [Mailchimp / ActiveCampaign] (versturen van nieuwsbrieven)
• [Google Analytics / Plausible] (websitestatistieken)
• [Mollie / Stripe] (betalingsverwerking)
• [Boekhoudpakket] (facturatie en administratie)

Met elk van deze partijen hebben wij een verwerkersovereenkomst gesloten.

Dat laatste punt is belangrijk. Je moet met elke partij die namens jou gegevens verwerkt een verwerkersovereenkomst (Data Processing Agreement) hebben. De meeste SaaS-tools bieden die standaard aan in hun instellingen.

6. Doorgifte buiten de EER

Als gegevens buiten de Europese Economische Ruimte worden verwerkt, moet je dat vermelden.

Voorbeeldtekst:

Een aantal van onze dienstverleners verwerkt gegevens buiten de Europese Economische Ruimte. Wij maken alleen gebruik van partijen die voldoen aan het EU-US Data Privacy Framework of werken met Standard Contractual Clauses.

Dit is relevant als je Google Analytics, Mailchimp, Cloudflare of andere Amerikaanse diensten gebruikt. Controleer per dienst of ze onder het EU-US Data Privacy Framework vallen.

7. Bewaartermijnen

Geef per categorie aan hoe lang je gegevens bewaart.

Voorbeeldtekst:

Wij bewaren je gegevens niet langer dan nodig:

• Contactformulier-berichten: 12 maanden
• Klantgegevens: 2 jaar na de laatste bestelling
• Nieuwsbrief-gegevens: tot je je afmeldt
• Analytics-gegevens: 26 maanden
• Factuurgegevens: 7 jaar (wettelijke bewaarplicht)

"Zo lang als nodig" of "onbeperkt" is niet voldoende. De AP verwacht concrete termijnen.

8. Rechten van de bezoeker

De AVG geeft bezoekers zes rechten. Noem ze allemaal en leg uit hoe ze die kunnen uitoefenen.

Voorbeeldtekst:

Je hebt de volgende rechten met betrekking tot je persoonsgegevens:

• Recht op inzage: je mag opvragen welke gegevens we van je hebben
• Recht op correctie: klopt er iets niet? Dan passen we het aan
• Recht op verwijdering: je kunt vragen om je gegevens te verwijderen
• Recht op beperking: je kunt vragen om de verwerking tijdelijk te stoppen
• Recht op overdraagbaarheid: je kunt je gegevens in een standaardformaat opvragen
• Recht op bezwaar: je kunt bezwaar maken tegen de verwerking van je gegevens

Stuur je verzoek naar [privacy@jouwbedrijf.nl]. We reageren binnen vier weken.

Die vier weken is de wettelijke termijn. In de praktijk is het beter om sneller te reageren.

9. Klachtrecht bij de Autoriteit Persoonsgegevens

Je bent verplicht om bezoekers te wijzen op hun recht om een klacht in te dienen.

Voorbeeldtekst:

Ben je het niet eens met hoe wij je gegevens verwerken? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

Dit punt vergeten veel ondernemers, maar het is expliciet vereist door Artikel 13 lid 2 sub d van de AVG.

10. Wijzigingen en versiedatum

Sluit af met wanneer de privacyverklaring voor het laatst is bijgewerkt.

Voorbeeldtekst:

Deze privacyverklaring is voor het laatst bijgewerkt op [datum]. Wij kunnen deze verklaring aanpassen als onze dienstverlening of de wet verandert. De actuele versie is altijd beschikbaar op deze pagina.

Werk de datum bij als je iets wijzigt. Een privacyverklaring uit 2019 terwijl je in 2026 allerlei nieuwe tools gebruikt, wekt geen vertrouwen.

Voorbeeld-structuur van een goede privacyverklaring

Een duidelijke privacyverklaring volgt een logische opbouw. Hieronder een inhoudsopgave die je kunt overnemen:

1. Wie zijn wij? (bedrijfsnaam, adres, KVK, contactgegevens)
2. Welke gegevens verzamelen wij?
3. Waarom verzamelen wij deze gegevens?
4. Op welke grondslag verwerken wij je gegevens?
5. Met wie delen wij je gegevens?
6. Worden je gegevens buiten Europa verwerkt?
7. Hoe lang bewaren wij je gegevens?
8. Welke rechten heb je?
9. Cookies (met link naar cookie-instellingen)
10. Beveiliging
11. Klachten
12. Wijzigingen

Elke sectie is een apart kopje. Zo kunnen bezoekers direct naar het onderdeel springen dat ze zoeken. De AVG eist dat je verklaring "gemakkelijk toegankelijk" is. Een muur tekst zonder structuur voldoet daar niet aan.

Veelgemaakte fouten

Een privacyverklaring kopieren van een andere website. Dit is de meestgemaakte fout. De tekst klopt dan niet voor jouw situatie. Als de AP onderzoek doet, vergelijken ze je verklaring met wat je website daadwerkelijk doet. Een gekopieerde verklaring die niet overeenkomt met de praktijk werkt juist tegen je.

Te lang en onleesbaar. Sommige privacyverklaringen zijn tien pagina's juridisch jargon. De AVG schrijft letterlijk voor dat de tekst "beknopt, transparant, begrijpelijk en in duidelijke en eenvoudige taal" moet zijn. Schrijf alsof je het aan een klant uitlegt, niet aan een rechter.

Verwerkers niet noemen. Je contactformulier vermeldt misschien alleen naam en e-mail. Maar achter de schermen stuurt je website data naar Google (Analytics, Fonts, Maps), naar je hosting-provider, naar je e-mailtool en misschien naar een CRM. Al die partijen horen in je privacyverklaring.

Geen concrete bewaartermijnen. "Wij bewaren gegevens zo lang als noodzakelijk" is een zinloze zin. De AP verwacht dat je per categorie een termijn noemt. Weet je het niet? Kies dan een redelijke termijn en schrijf die op.

Verouderde privacyverklaring. Je website verandert. Je voegt een chatwidget toe, schakelt over naar een andere analytics-tool of begint met een nieuwsbrief. Als je privacyverklaring niet meegroeit, klopt die niet meer. Check je verklaring minstens twee keer per jaar.

Cookiebeleid vergeten. Cookies verdienen een eigen sectie in je privacyverklaring, of een apart cookiebeleid. Vermeld welke cookies je plaatst, waarom, en hoe bezoekers hun voorkeuren kunnen aanpassen.

Generator vs. zelf schrijven vs. jurist

Er zijn drie manieren om aan een privacyverklaring te komen. Elk heeft voor- en nadelen.

Zelf schrijven

Je loopt de AVG-vereisten langs en schrijft elke sectie zelf. Voordeel: je weet precies wat erin staat. Nadeel: je mist makkelijk onderdelen als je de AVG niet goed kent. En de kans op juridisch incorrecte formuleringen is groot.

Geschikt voor: mensen met kennis van de AVG die de volledige controle willen.

Een generator gebruiken

Een generator stelt vragen over je website (welke formulieren, welke cookies, welke tools) en genereert op basis van je antwoorden een volledige tekst. Voordeel: je mist geen verplichte onderdelen en de formuleringen zijn juridisch gecontroleerd. Nadeel: het is een template, geen maatwerk.

Onze gratis privacyverklaring generator leidt je stap voor stap door alle vereiste onderdelen en levert een kant-en-klare tekst op die je direct kunt plaatsen.

Geschikt voor: mkb en zzp met een standaard website (contactformulier, analytics, eventueel webshop).

Een jurist inhuren

Een privacy-jurist schrijft een verklaring op maat voor jouw specifieke situatie. Voordeel: volledige zekerheid. Nadeel: kost honderden tot duizenden euro's.

Geschikt voor: bedrijven die gevoelige gegevens verwerken (gezondheidsdata, financiele gegevens, gegevens van kinderen), grote hoeveelheden data verwerken of in een gereguleerde sector zitten.

Voor de meeste mkb-websites is een goede generator meer dan voldoende. Pas bij bijzondere situaties heb je echt een jurist nodig.

Waar moet je privacyverklaring op je website staan?

Je privacyverklaring moet op een eigen pagina staan, bereikbaar via een link in de footer van je website. Die footer-link moet op elke pagina zichtbaar zijn, niet alleen op de homepage.

Daarnaast link je naar je privacyverklaring:

• Bij elk formulier (contactformulier, inschrijfformulier, bestelformulier)
• In je cookiebanner (als je die hebt, en die heb je bijna altijd nodig)
• In je e-mails (nieuwsbrieven, transactionele e-mails)
• Bij je checkout (als je een webshop hebt)

De gangbare URL is /privacy of /privacyverklaring. Gebruik een duidelijke linktekst in je footer, zoals "Privacyverklaring" of "Privacybeleid". Niet "Juridisch" of "Voorwaarden" waar alles op een hoop wordt gegooid.

Volgende stappen

Een goede privacyverklaring is een van de bouwstenen van een compliant website, maar niet de enige. Check ook:

• De complete AVG-checklist voor alle andere verplichtingen
• Of je cookiebanner goed is ingesteld
• Of je KVK-nummer zichtbaar op je site staat
• De uitgebreide uitleg over verplichte onderdelen

Klaar om je privacyverklaring te maken? Gebruik de gratis generator en heb binnen vijf minuten een volledige tekst die aan de AVG voldoet.

Veelgestelde vragen

Wat moet er verplicht in een privacyverklaring staan?

Je identiteit en contactgegevens, welke gegevens je verzamelt en waarom, de juridische grondslag, met wie je gegevens deelt, bewaartermijnen, de rechten van bezoekers en hoe ze een klacht kunnen indienen bij de AP.

Kan ik een privacyverklaring van een andere website kopieren?

Nee. Een privacyverklaring moet specifiek beschrijven hoe jouw website persoonsgegevens verwerkt. Een gekopieerde verklaring klopt waarschijnlijk niet voor jouw situatie en kan juist tegen je werken bij een klacht.

Moet ik een jurist inhuren voor mijn privacyverklaring?

Voor een standaard mkb-website is een goede generator of template voldoende. Bij gevoelige gegevens (gezondheid, financieel) of grote hoeveelheden data is juridisch advies wel verstandig.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.