Je website staat online, het contactformulier werkt en in Google Analytics zie je netjes bezoekers binnenkomen. Toch is dat precies het punt waarop veel ondernemers ongemerkt met privacyregels te maken krijgen. De AVG website regels gaan namelijk niet alleen over grote bedrijven of ingewikkelde databestanden, maar juist ook over gewone websites die namen, e-mailadressen of gedrag van bezoekers verzamelen.
Bij Webtify krijgen we vaak de vraag of een privacyverklaring en cookiebanner genoeg zijn. Het eerlijke antwoord: nee, meestal niet. Als je persoonsgegevens verwerkt via je website, moet je op meerdere onderdelen letten. Denk aan formulieren, cookies, analytics, beveiliging en de manier waarop je bezoekers informeert.
Wanneer valt je website onder de AVG?
Zodra je website persoonsgegevens verwerkt, valt die onder de AVG. Persoonsgegevens zijn bijvoorbeeld namen, e-mailadressen, telefoonnummers, IP-gerelateerde informatie of andere gegevens die naar een persoon te herleiden zijn. De Autoriteit Persoonsgegevens maakt ook duidelijk dat je mensen moet informeren als je hun gegevens verwerkt, bijvoorbeeld met een privacyverklaring op je website.
Dat betekent dat de AVG al snel relevant is als je een contactformulier gebruikt, een offerte-aanvraag ontvangt, nieuwsbriefinschrijvingen verzamelt of bezoekers meet via analytics. Ook een simpele zakelijke website kan dus al onder deze regels vallen.
Contactformulieren: vraag niet meer dan nodig
Een contactformulier lijkt onschuldig, maar je verzamelt er vaak wel persoonsgegevens mee. Volgens de AVG mag je niet meer gegevens vragen dan nodig is voor het doel. Wil iemand alleen een vraag stellen? Dan is een naam en e-mailadres vaak genoeg. Een verplicht telefoonnummer, bedrijfsomzet of geboortedatum is dan meestal niet logisch.
Daarnaast moet duidelijk zijn wat je met die gegevens doet. Bewaar je formulierinzendingen in WordPress? Komen ze ook in je mailbox terecht? En hoe lang bewaar je ze? We zien bij Webtify vaak dat formulieren technisch prima werken, maar dat ondernemers nooit hebben nagedacht over opslag, doorsturen en bewaartermijnen. In dat opzicht sluit dit ook aan op ons artikel over contactformulieren in WordPress.
Cookies en analytics: meten mag niet zomaar onbeperkt
Voor veel websites is dit het lastigste onderdeel. Niet iedere cookie is verboden zonder toestemming, maar tracking cookies en vergelijkbare volgtechnieken liggen gevoelig. De Rijksoverheid legt uit dat voor privacygevoelige cookies meestal toestemming nodig is, terwijl voor functionele of weinig privacygevoelige cookies een uitzondering kan gelden. De Autoriteit Persoonsgegevens controleert bovendien strenger op misleidende cookiebanners en op de mogelijkheid om toestemming ook weer in te trekken.
Gebruik je Google Analytics, dan is het dus niet genoeg om het script zomaar te plaatsen en verder te vergeten. Google geeft zelf aan dat Consent Mode samenwerkt met je cookiebanner en dat tags zich moeten aanpassen aan de keuze van de bezoeker. Ook is het belangrijk dat je geen direct herleidbare persoonsgegevens naar analytics stuurt. Denk aan e-mailadressen in URL’s of formulierdata in events. Als je hiermee bezig bent, is het slim om ook te kijken naar het verschil tussen Google Analytics en Google Tag Manager en naar het correct instellen van Google Analytics 4.
Een privacyverklaring is geen bijzaak
Als je persoonsgegevens verwerkt, moet je bezoekers daar helder over informeren. Een privacyverklaring is daarvoor meestal de meest logische plek. Daarin leg je in gewone taal uit welke gegevens je verzamelt, waarom je dat doet, met wie je ze deelt, hoe lang je ze bewaart en welke rechten bezoekers hebben.
Belangrijk is wel dat zo’n verklaring klopt met de praktijk. Een standaard template van internet overnemen is niet genoeg als jouw website andere tools, formulieren of koppelingen gebruikt. We zien regelmatig dat websites een keurige privacypagina hebben, terwijl de daadwerkelijke tracking of formulierafhandeling daar niet goed in terugkomt.
Beveiliging hoort ook bij AVG website-regels
AVG gaat niet alleen over toestemming en teksten, maar ook over beveiliging. De Autoriteit Persoonsgegevens benadrukt dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. Denk aan SSL, sterke wachtwoorden, beperkte toegang, updates en veilige opslag van formulieren of klantgegevens.
Dat klinkt misschien technisch, maar het is vaak gewoon basisbeheer. Een verouderde plugin, slecht beveiligde mailbox of onbeveiligde beheeromgeving kan al een risico vormen. Daarom verwijzen we ondernemers ook vaak door naar ons artikel over de veiligheid van WordPress, omdat privacy en beveiliging in de praktijk sterk samenhangen.
Vergeet je verwerkers en tools niet
Gebruik je externe partijen voor hosting, formulieren, analytics, e-mailmarketing of chat? Dan verwerken die partijen mogelijk persoonsgegevens namens jou. In veel gevallen moet je dan controleren of er goede afspraken nodig zijn, bijvoorbeeld via een verwerkersovereenkomst. Ook is het slim om kritisch te kijken welke tools je echt nodig hebt. Elke extra plugin of externe dienst maakt je privacyplaatje ingewikkelder.
Rust ontstaat vooral door goede inrichting
Voor veel ondernemers is AVG vooral lastig omdat het verspreid zit over allerlei onderdelen van de website. De banner staat ergens, analytics draait via een losse tool, formulieren slaan data op en niemand weet precies waar wat gebeurt. Juist daarom helpt het als je website technisch en praktisch goed is ingericht in plaats van achteraf opgelapt.
Met ons Website Business abonnement helpen we ondernemers daar volledig bij. Dat betekent niet alleen support bij design en techniek, maar ook meedenken over formulieren, updates, beveiliging en praktische keuzes rondom tools op je website. Daardoor hoef je niet bij ieder privacy- of onderhoudspunt zelf uit te zoeken waar het risico zit, en geeft dat uiteindelijk vooral rust.
Waar het in de praktijk op neerkomt
De kern is eigenlijk vrij simpel: als je website persoonsgegevens verwerkt, moet je weten wát je verzamelt, waarom je dat doet en hoe je dat veilig en transparant organiseert. Een goede AVG website is dus niet alleen een cookiebanner of privacyverklaring, maar een combinatie van duidelijke communicatie, terughoudend datagebruik en nette technische inrichting.
Wil je het goed aanpakken, begin dan bij de basis. Kijk naar je formulieren, controleer je cookies en analytics, werk je privacyverklaring bij en zorg dat je website technisch veilig blijft. Dan maak je AVG niet groter dan nodig, maar neem je het wel serieus op de plekken waar het echt telt.
Een website valt onder de AVG zodra er persoonsgegevens worden verwerkt. Dat is al snel het geval bij contactformulieren, analytics, nieuwsbriefinschrijvingen of andere functies waarbij gegevens van bezoekers worden verzameld of opgeslagen.
Nee, niet altijd. Voor functionele cookies is meestal geen toestemming nodig. Gebruik je tracking cookies of vergelijkbare technieken die privacygevoelig zijn, dan is toestemming vaak wel nodig en moet je banner aan de regels voldoen.
Ja, maar niet zonder nadenken. Je moet goed kijken naar toestemming, inrichting, welke data je verzamelt en of je geen herleidbare persoonsgegevens doorstuurt. Alleen Analytics installeren is dus niet automatisch AVG-proof.
In een privacyverklaring leg je uit welke persoonsgegevens je verzamelt, waarom je dat doet, hoe lang je ze bewaart, met wie je ze deelt en welke rechten bezoekers hebben. De inhoud moet wel passen bij hoe je website echt werkt.
Ja. De AVG verplicht organisaties om persoonsgegevens passend te beveiligen. Denk aan SSL, updates, sterke wachtwoorden, beperkte toegangsrechten en veilige opslag van gegevens die via je website binnenkomen.