AVG/GDPR Website Check: Hoe Werkt Het?

Q: Wat is de AVG/GDPR precies?

De AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywet die sinds 25 mei 2018 van kracht is. In het Engels heet deze de GDPR (General Data Protection Regulation). De wet regelt hoe organisaties persoonsgegevens mogen verzamelen, verwerken en opslaan. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van personen in de EU, ongeacht waar de organisatie zelf is gevestigd.

Q: Heeft mijn website een privacyverklaring nodig?

Ja, vrijwel altijd. Als je website op enige manier persoonsgegevens verwerkt — en dat geldt voor bijna elke website met een contactformulier, analytics, cookies of nieuwsbriefaanmelding — ben je verplicht om bezoekers te informeren via een privacyverklaring. Deze moet onder andere vermelden welke gegevens je verzamelt, waarom, hoe lang je ze bewaart, met wie je ze deelt en welke rechten bezoekers hebben.

Q: Wat zijn de rechten van betrokkenen onder de AVG?

De AVG geeft personen uitgebreide rechten: het recht op inzage (welke gegevens heb je van mij?), het recht op correctie (pas onjuiste gegevens aan), het recht op verwijdering (wis mijn gegevens), het recht op dataportabiliteit (geef mij mijn gegevens in een bruikbaar formaat), het recht op beperking van verwerking en het recht van bezwaar. Je moet bezoekers informeren over deze rechten en een procedure hebben om verzoeken binnen 30 dagen af te handelen.

Q: Is deze check juridisch bindend?

Nee. De AVG/GDPR Website Check is een hulpmiddel dat je helpt om veelvoorkomende AVG-aandachtspunten te identificeren. Het is geen juridisch advies en vervangt geen advies van een privacyspecialist of jurist. De check geeft een indicatie van je compliance-niveau op basis van de antwoorden die je geeft, maar kan niet alle specifieke situaties en uitzonderingen beoordelen.

De AVG/GDPR Website Check is een interactieve checklist waarmee je beoordeelt in hoeverre je website voldoet aan de Algemene Verordening Gegevensbescherming (AVG/GDPR). De check loopt alle belangrijke aandachtspunten langs: privacyverklaring, cookieconsent, gegevensverwerking, rechten van betrokkenen en verwerkersovereenkomsten. Op deze pagina leggen we uit wat de AVG inhoudt, welke eisen er gelden voor websites en hoe je de resultaten interpreteert.

Wat is de AVG/GDPR?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels de General Data Protection Regulation (GDPR), is de Europese privacywet die sinds 25 mei 2018 van kracht is. De wet regelt hoe organisaties persoonsgegevens mogen verzamelen, verwerken en opslaan.

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van personen in de Europese Unie, ongeacht waar de organisatie zelf is gevestigd. Dit betekent dat vrijwel elke website met bezoekers uit de EU aan de AVG moet voldoen — van een eenvoudige blog met een contactformulier tot een grote webshop.

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een persoon. Dit omvat voor websites onder meer:

Naam en e-mailadres (bijvoorbeeld via een contactformulier)
IP-adressen (worden automatisch verwerkt bij elk websitebezoek)
Cookies en tracking-data (Google Analytics, advertentieplatforms)
Bestelgegevens (adres, betaalgegevens bij webshops)
Accountgegevens (gebruikersnaam, wachtwoord-hash, profielinformatie)

AVG-eisen voor websites

Privacyverklaring

Elke website die persoonsgegevens verwerkt moet een privacyverklaring (ook wel privacybeleid of privacy policy) hebben. Deze moet duidelijk, begrijpelijk en gemakkelijk vindbaar zijn — niet verstopt in juridisch jargon. De verklaring moet minimaal bevatten:

Welke persoonsgegevens je verzamelt en waarom (doeleinden).
De rechtsgrond voor de verwerking (toestemming, uitvoering overeenkomst, gerechtvaardigd belang, etc.).
Hoe lang je de gegevens bewaart (bewaartermijnen).
Met wie je gegevens deelt (verwerkers, derde partijen).
De rechten van betrokkenen en hoe ze deze kunnen uitoefenen.
Contactgegevens van de verantwoordelijke en eventueel de Functionaris Gegevensbescherming (FG/DPO).

Cookieconsent

Cookies die niet strikt noodzakelijk zijn voor de werking van je website mogen pas worden geplaatst nadat de bezoeker actief toestemming heeft gegeven. Dit geldt voor tracking-cookies (Google Analytics), advertentie-cookies, social media-cookies en andere cookies die het gedrag van bezoekers volgen.

Een correcte cookiebanner moet:

Verschijnen voordat niet-noodzakelijke cookies worden geplaatst.
"Weigeren" even gemakkelijk maken als "Accepteren" (geen dark patterns).
Specifieke categorieeen aanbieden (functioneel, analytisch, marketing) in plaats van alleen "alles accepteren".
De keuze van de bezoeker respecteren en onthouden.
Bezoekers de mogelijkheid geven om hun keuze later te wijzigen.

Gegevensverwerking & beveiliging

De AVG vereist dat je persoonsgegevens adequaat beveiligt met technische en organisatorische maatregelen. Voor websites betekent dit onder meer:

Een geldig SSL-certificaat (HTTPS) voor alle pagina's.
Versleutelde opslag van wachtwoorden (hashing, geen plaintext).
Beperkte toegang tot persoonsgegevens (need-to-know basis).
Regelmatige backups van gegevens.
Een procedure voor het melden van datalekken (binnen 72 uur aan de Autoriteit Persoonsgegevens).

Daarnaast moet je een verwerkingsregister bijhouden: een overzicht van alle verwerkingsactiviteiten, de doeleinden, de categorieen persoonsgegevens en de bewaartermijnen.

Rechten van betrokkenen

De AVG geeft personen uitgebreide rechten over hun persoonsgegevens. Je moet bezoekers en klanten informeren over deze rechten en een procedure hebben om verzoeken af te handelen:

Recht op inzage: welke gegevens heb je van mij en waarom?
Recht op correctie: pas onjuiste gegevens aan.
Recht op verwijdering: wis mijn gegevens (het "recht om vergeten te worden").
Recht op dataportabiliteit: geef mij mijn gegevens in een bruikbaar digitaal formaat.
Recht op beperking: stop tijdelijk met het verwerken van mijn gegevens.
Recht van bezwaar: ik wil dat je stopt met een specifieke verwerking.

Verzoeken moeten binnen 30 dagen worden afgehandeld. Zorg dat je een duidelijk contactpunt hebt (e-mailadres of formulier) voor privacyverzoeken.

Verwerkersovereenkomsten

Wanneer een derde partij namens jou persoonsgegevens verwerkt — je hostingprovider, e-mailmarketingdienst, analytics-platform, boekhouder — ben je verplicht om een verwerkersovereenkomst (data processing agreement) af te sluiten. Deze overeenkomst regelt onder meer:

Welke gegevens worden verwerkt en waarom.
Welke beveiligingsmaatregelen de verwerker treft.
Dat de verwerker de gegevens niet voor eigen doeleinden gebruikt.
Wat er met de gegevens gebeurt na beeindiging van de samenwerking.
Hoe wordt omgegaan met datalekken en verzoeken van betrokkenen.

De meeste grote dienstverleners (Google, Microsoft, Mailchimp, etc.) bieden standaard verwerkersovereenkomsten aan die je kunt accepteren via hun platform.

De checklist doorlopen

De AVG/GDPR Website Check presenteert een reeks vragen verdeeld over de vijf categorieen hierboven. Bij elke vraag geef je aan of je website aan het desbetreffende punt voldoet:

Loop alle vragen door — beantwoord eerlijk of je website aan elk punt voldoet. De check dekt de meest voorkomende AVG-aandachtspunten voor websites.
Bekijk je score — na het invullen krijg je een compliancescore als percentage, met een kleurgecodeerde beoordeling per categorie.
Ontvang aanbevelingen — voor elk punt waar je niet aan voldoet, krijg je een concrete aanbeveling over hoe je dit kunt oplossen.

De check werkt volledig in je browser. Er worden geen gegevens naar een server verstuurd.

Resultaten interpreteren

De AVG/GDPR Website Check geeft een compliancescore met een kleurcodering:

80-100% (groen): je website voldoet grotendeels aan de AVG-vereisten. Er zijn mogelijk enkele kleine verbeterpunten.
50-79% (oranje): er zijn meerdere aandachtspunten die verbetering behoeven. Plan actie in om de risico's te verminderen.
Onder 50% (rood): er zijn significante tekortkomingen in je AVG-compliance. Directe actie is noodzakelijk om boetes en klachten te voorkomen.

De score per categorie helpt je om te prioriteren: begin met de categorie die het laagst scoort. De concrete aanbevelingen geven je een duidelijk startpunt voor verbetering.

Belangrijk: deze check is een hulpmiddel en geen juridisch advies. Het geeft een indicatie van veelvoorkomende aandachtspunten maar kan niet alle specifieke situaties beoordelen. Bij twijfel adviseren we om een privacyspecialist of jurist te raadplegen.

Veelgemaakte fouten

Veelgemaakte AVG-fouten bij websites

Cookies plaatsen voor toestemming: Google Analytics of Facebook Pixel worden al geladen voordat de bezoeker op "Accepteren" klikt. Dit is een van de meest voorkomende overtredingen.
Geen optie om cookies te weigeren: de cookiebanner biedt alleen "Accepteren" aan, of "Weigeren" is bewust minder opvallend gemaakt (dark pattern). De Autoriteit Persoonsgegevens treedt hier actief tegen op.
Onvolledige privacyverklaring: de verklaring vermeldt niet alle verwerkers, mist bewaartermijnen of informeert niet over de rechten van betrokkenen.
Geen verwerkersovereenkomsten: er zijn geen overeenkomsten afgesloten met hostingproviders, analytics-diensten of e-mailmarketing-platformen.
Contactformulieren zonder doel: persoonsgegevens worden verzameld via formulieren zonder dat het doel en de bewaartermijn zijn vermeld.
Geen procedure voor privacyverzoeken: er is geen duidelijke manier voor bezoekers om hun rechten uit te oefenen (inzage, correctie, verwijdering).

Veelgestelde vragen

Wat is de AVG/GDPR precies?

De AVG (Algemene Verordening Gegevensbescherming), internationaal bekend als de GDPR (General Data Protection Regulation), is de Europese privacywet die sinds 25 mei 2018 van kracht is. De wet regelt hoe organisaties persoonsgegevens van EU-burgers mogen verzamelen, verwerken en opslaan. De AVG geldt voor elke organisatie die deze gegevens verwerkt, ongeacht waar de organisatie gevestigd is.

Welke boetes kan ik krijgen bij AVG-overtredingen?

De Autoriteit Persoonsgegevens (AP) kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. In de praktijk variëren de boetes sterk. Mkb-bedrijven hebben boetes gekregen van enkele duizenden tot honderdduizenden euro's. Naast financiele boetes kan de AP ook verwerkingsverboden opleggen, wat betekent dat je bepaalde gegevens niet meer mag verwerken totdat je compliant bent.

Heeft mijn website een privacyverklaring nodig?

Ja, vrijwel altijd. Als je website persoonsgegevens verwerkt — en dat geldt voor bijna elke website met een contactformulier, analytics, cookies of nieuwsbriefaanmelding — ben je verplicht een privacyverklaring te hebben. Zelfs het loggen van IP-adressen door je webserver telt als verwerking van persoonsgegevens. De verklaring moet in begrijpelijke taal zijn geschreven en gemakkelijk vindbaar zijn op je website.

Wanneer heb ik een cookiebanner nodig?

Je hebt een cookiebanner nodig zodra je website cookies plaatst die niet strikt noodzakelijk zijn. Dit geldt voor analytics-cookies (zoals Google Analytics), advertentie-cookies, social media-pixels en vergelijkbare tracking-technologieen. Strikt noodzakelijke cookies — zoals sessiecookies voor een winkelwagen of inlog — mogen zonder toestemming worden geplaatst. De banner moet verschijnen voordat niet-noodzakelijke cookies worden geplaatst, en weigeren moet even gemakkelijk zijn als accepteren.

Wat zijn de rechten van betrokkenen onder de AVG?

De AVG geeft personen zes kernrechten: recht op inzage, recht op correctie, recht op verwijdering ("recht om vergeten te worden"), recht op dataportabiliteit, recht op beperking van verwerking en recht van bezwaar. Je moet bezoekers en klanten actief informeren over deze rechten en een procedure hebben om verzoeken binnen 30 dagen af te handelen.

Is deze check juridisch bindend?

Nee. De AVG/GDPR Website Check is een indicatief hulpmiddel dat veelvoorkomende aandachtspunten identificeert. Het is geen juridisch advies en vervangt geen advies van een privacyspecialist of jurist. De check geeft een goede eerste indicatie van je compliance-niveau, maar elke organisatie heeft specifieke omstandigheden die een op maat gemaakte beoordeling vereisen. Bij twijfel adviseren we altijd om professioneel advies in te winnen.

Gratis

AVG/GDPR Website Check

Beoordeel de AVG-compliance van je website met een interactieve checklist en ontvang concrete verbeterpunten.

Start de AVG Check