Privacyverklaring voor je website: wat moet erin staan?

Een privacyverklaring is verplicht op elke website die persoonsgegevens verwerkt. En dat is bijna elke website. Heb je een contactformulier? Dan verwerk je persoonsgegevens. Gebruik je Google Analytics? Dan ook. Een nieuwsbrief? Ja, ook dan.

De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro voor het niet naleven van de AVG. In de praktijk beginnen ze met waarschuwingen, maar de boetes voor mkb-bedrijven zijn er wel degelijk. En ze hoeven niet in de miljoenen te lopen om pijn te doen.

Dit artikel legt uit wat er in je privacyverklaring moet staan, stap voor stap. Geen juridisch jargon. Gewone taal.

Wat is een privacyverklaring?

Een privacyverklaring (ook wel privacybeleid of privacy policy) is een document op je website waarin je uitlegt:

• Welke persoonsgegevens je verzamelt
• Waarom je die gegevens verzamelt
• Wat je ermee doet
• Hoe lang je ze bewaart
• Welke rechten bezoekers hebben

Het is je informatieplicht onder de AVG (Artikel 13 en 14). Je bent verplicht om bezoekers te informeren over wat er met hun gegevens gebeurt.

Wat moet erin staan?

Hier is een overzicht van alles wat de AVG vereist, in volgorde.

1. Wie ben je?

Begin met je identiteit en contactgegevens:

• Bedrijfsnaam (of je eigen naam als zzp'er)
• Vestigingsadres
• KVK-nummer
• E-mailadres
• Eventueel telefoonnummer

Als je een functionaris voor gegevensbescherming (FG) hebt, vermeld dan ook diens contactgegevens. De meeste mkb-bedrijven hebben geen FG nodig.

2. Welke persoonsgegevens verzamel je?

Wees specifiek. Niet "wij verzamelen persoonsgegevens" maar een concrete opsomming:

• Naam, e-mailadres, telefoonnummer (via contactformulier)
• IP-adres, browsergegevens, bezoekgedrag (via analytics)
• E-mailadres (via nieuwsbrief-inschrijving)
• Betaalgegevens (bij aankopen)
• Eventueel locatiegegevens, foto's of andere data

Vergeet niet de minder voor de hand liggende gegevens. Google Fonts stuurt IP-adressen naar Google. YouTube-embeds plaatsen cookies. Een chatwidget verwerkt berichtinhoud.

3. Waarom verzamel je die gegevens? (de grondslag)

Voor elke categorie gegevens moet je een wettelijke grondslag noemen. De AVG kent zes grondslagen:

• Toestemming: de bezoeker heeft actief "ja" gezegd (bijvoorbeeld bij een nieuwsbrief)
• Uitvoering van een overeenkomst: je hebt de gegevens nodig om een bestelling te verwerken
• Wettelijke verplichting: je bent wettelijk verplicht gegevens te bewaren (bijvoorbeeld voor de Belastingdienst)
• Gerechtvaardigd belang: je hebt een zakelijk belang dat zwaarder weegt dan het privacybelang van de bezoeker (bijvoorbeeld websitebeveiliging)
• Vitaal belang: levensbedreigende situatie (bijna nooit van toepassing)
• Publiek belang: overheidsorganisaties (niet van toepassing voor mkb)

De meeste mkb-websites gebruiken toestemming (voor cookies en nieuwsbrief) en gerechtvaardigd belang (voor basisanalytics en beveiliging).

4. Wie krijgt de gegevens?

Som op met welke partijen je gegevens deelt:

• Hosting-provider (Vercel, TransIP, etc.)
• E-mailservice (Mailchimp, ActiveCampaign, etc.)
• Analytics (Google Analytics, Plausible, etc.)
• Betaalprovider (Mollie, Stripe, etc.)
• Boekhoudsoftware
• CRM-systeem

Noem de partijen bij naam of in elk geval de categorie. "Wij delen gegevens met derden" zonder uitleg is niet voldoende.

Vermeld ook of gegevens buiten de Europese Economische Ruimte (EER) worden verwerkt. Google Analytics verwerkt data in de VS, en dat is relevant voor je privacyverklaring.

5. Hoe lang bewaar je gegevens?

Geef per categorie een bewaartermijn:

• Contactformulier-berichten: [X maanden/jaren]
• Klantgegevens: [X jaren na laatste aankoop]
• Analytics-data: [standaard 26 maanden bij Google Analytics]
• Nieuwsbrief-abonnees: tot afmelding
• Factuurgegevens: 7 jaar (wettelijk verplicht)

De AVG zegt dat je gegevens niet langer mag bewaren dan noodzakelijk. "Onbeperkt" is nooit een goed antwoord.

6. Welke rechten hebben bezoekers?

Bezoekers hebben onder de AVG het recht op:

• Inzage: welke gegevens heb je van mij?
• Correctie: klopt er iets niet? Pas het aan.
• Verwijdering: verwijder mijn gegevens (het "recht om vergeten te worden")
• Beperking: stop tijdelijk met het verwerken van mijn gegevens
• Overdraagbaarheid: geef mijn gegevens in een standaardformaat
• Bezwaar: ik wil niet dat je mijn gegevens verwerkt

Leg uit hoe bezoekers deze rechten kunnen uitoefenen (via welk e-mailadres of formulier) en binnen welke termijn je reageert. De wettelijke termijn is vier weken.

7. Cookies

Beschrijf welke cookies je website plaatst:

• Functionele cookies (sessie, taalvoorkeur)
• Analytische cookies (Google Analytics, etc.)
• Marketing-cookies (als je die hebt)

Link naar je cookiebanner-instellingen waar bezoekers hun voorkeuren kunnen aanpassen.

8. Beveiliging

Beschrijf kort welke maatregelen je neemt om gegevens te beschermen:

• HTTPS-verbinding
• Versleutelde opslag
• Beperkte toegang (wie kan er bij de gegevens?)
• Back-ups

Je hoeft hier geen technisch detail te geven, maar de AVG verwacht dat je laat zien dat je bewust met beveiliging omgaat.

9. Klachten

Vermeld dat bezoekers een klacht kunnen indienen bij de Autoriteit Persoonsgegevens als ze vinden dat je hun gegevens niet goed verwerkt. Link naar autoriteitpersoonsgegevens.nl.

10. Wijzigingen

Neem een zin op dat je de privacyverklaring kunt wijzigen en wanneer de huidige versie voor het laatst is bijgewerkt.

Veelgemaakte fouten

Kopieer geen voorbeeld van internet. Elke privacyverklaring moet specifiek zijn voor jouw website. Een gekopieerde tekst klopt bijna nooit. De AP controleert of je verklaring overeenkomt met wat je website daadwerkelijk doet.

Vergeet derde partijen niet. De meeste ondernemers vermelden hun eigen formulieren maar vergeten dat Google Analytics, Google Fonts, YouTube-embeds en social media-knoppen ook gegevens verwerken.

Schrijf niet in juridische taal. De AVG vereist dat je privacyverklaring "beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk" is. Als je oma het niet begrijpt, is het te ingewikkeld.

Geen datums of bewaartermijnen. "Wij bewaren gegevens zo lang als nodig" is te vaag. Geef concrete termijnen.

Maak je privacyverklaring

Je kunt zelf een privacyverklaring schrijven met de punten hierboven. Of gebruik onze gratis privacyverklaring generator die je stap voor stap door alle vereiste onderdelen leidt en een kant-en-klare tekst oplevert.

Wil je controleren of je huidige privacyverklaring compleet is? Scan je website en wij checken automatisch of er een privacyverklaring aanwezig is, of die bereikbaar is vanuit de footer en of de basis-elementen aanwezig zijn.

Check ook of je cookiebanner en AVG-compliance in orde zijn.

Veelgestelde vragen

Is een privacyverklaring verplicht op mijn website?

Ja, zodra je website persoonsgegevens verwerkt. Dat geldt al bij een contactformulier, Google Analytics of een nieuwsbrief-inschrijving. Het maakt niet uit hoe klein je bedrijf is.

Mag ik een voorbeeld-privacyverklaring van internet kopieren?

Dat raden we af. Elke privacyverklaring moet specifiek beschrijven welke gegevens jij verzamelt en waarom. Een gekopieerde tekst klopt bijna nooit voor jouw situatie.

Hoe lang moet een privacyverklaring zijn?

Er is geen minimum of maximum. De AVG vereist dat de tekst beknopt, transparant en begrijpelijk is. Meestal kom je uit op 1-3 A4-pagina's, afhankelijk van hoeveel gegevens je verwerkt.

Waar moet ik mijn privacyverklaring plaatsen?

Op een eigen pagina die bereikbaar is via een link in de footer van je website. Die link moet op elke pagina zichtbaar zijn. Bij formulieren link je ook direct naar de privacyverklaring.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.