AVG Compliance

AVG compliant website
laten maken

De meeste websites in Nederland overtreden de AVG. Vaak zonder dat de eigenaar het weet. Google Analytics zonder geldige toestemming, Google Fonts die IP-adressen lekken naar de USA, een cookiebanner die juridisch niet deugt. De Autoriteit Persoonsgegevens deelt boetes uit en de bedragen stijgen elk jaar. Wij bouwen websites die vanaf het fundament voldoen aan de AVG, de ePrivacy verordening en de GDPR. Geen juridische risico's, geen disclaimers achteraf, geen angst voor de toezichthouder.

0
AVG overtredingen
0
Data naar de USA
100%
Compliant by design

Wat de AVG vereist van jouw website

De Algemene Verordening Gegevensbescherming is sinds 25 mei 2018 van kracht in de hele Europese Unie. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving. De wet is duidelijk: elke verwerking van persoonsgegevens moet een wettelijke grondslag hebben, en bezoekers moeten vooraf worden geinformeerd over wat er met hun data gebeurt. Dat klinkt logisch. In de praktijk voldoet bijna geen enkele website eraan.

De AVG is niet de enige wet die relevant is. De ePrivacy richtlijn (ook bekend als de cookiewet) regelt specifiek het plaatsen van cookies en vergelijkbare technologieën. Samen vormen deze wetten een juridisch kader dat ver verder gaat dan een cookiebanner op je homepage. En de aankomende ePrivacy verordening zal de regels nog verder aanscherpen, met hogere boetes en strengere handhaving.

"AVG compliance is geen checkbox die je afvinkt met een cookiebanner. Het is een juridische verplichting die begint bij de architectuur van je website en doorwerkt in elke technische keuze."

De meest voorkomende AVG overtredingen op websites

Na het scannen van honderden websites van Nederlandse bedrijven, waaronder webbureaus, hostingpartijen en marketingbureaus, zien we steeds dezelfde overtredingen terugkomen. Het gaat niet om exotische fouten. Het zijn standaard configuraties die bij vrijwel elk webbureau als normaal worden beschouwd. Maar die stuk voor stuk in strijd zijn met de AVG.

Google Analytics zonder geldige toestemming

De meest voorkomende overtreding. Google Analytics plaatst cookies en verstuurt bezoekersdata (inclusief IP-adressen) naar servers in de USA. Dat vereist uitdrukkelijke, voorafgaande toestemming van de bezoeker. Veel websites laden Google Analytics al voordat de bezoeker een keuze heeft gemaakt in de cookiebanner. Andere websites hebben een cookiebanner die technisch niet werkt: het script laadt ongeacht de keuze van de bezoeker. En weer andere websites hebben helemaal geen cookiebanner maar laden Google Analytics wel op elke pagina. Elke variant is een overtreding van de AVG en de ePrivacy richtlijn.

Google Fonts: het IP-adres lek

Google Fonts wordt op miljoenen websites extern geladen. Bij elk paginabezoek stuurt de browser van de bezoeker een verzoek naar de servers van Google, inclusief het IP-adres. Dat is een doorgifte van persoonsgegevens naar een Amerikaans bedrijf zonder dat de bezoeker daarvan op de hoogte is of daar toestemming voor heeft gegeven. Het Duitse Landgericht Munchen oordeelde in januari 2022 dat het extern laden van Google Fonts in strijd is met de AVG en veroordeelde een website eigenaar tot het betalen van schadevergoeding aan een bezoeker. Sindsdien zijn er in Duitsland en Oostenrijk honderden vergelijkbare claims ingediend. Nederland volgt. De oplossing is eenvoudig: host je lettertypen lokaal op je eigen server. Nul verzoeken naar Google, nul IP-adres doorgifte.

Facebook Pixel en remarketing scripts

Facebook Pixel volgt bezoekers niet alleen op je website maar over het hele internet. Het bouwt een gedetailleerd profiel op van browsing gedrag, interesses en aankopen. Die data wordt verwerkt door Meta, een Amerikaans bedrijf met een bedrijfsmodel dat volledig draait op het verhandelen van gebruikersdata. Het gebruik van Facebook Pixel vereist niet alleen uitdrukkelijke toestemming maar ook een verwerkersovereenkomst met Meta. En zelfs met toestemming en een verwerkersovereenkomst blijft de doorgifte naar de USA juridisch problematisch onder het Schrems II arrest. Veel websites laden het Pixel standaard, zonder enige vorm van toestemming.

Ontbrekende of onvolledige privacyverklaring

De AVG verplicht elke website die persoonsgegevens verwerkt om een privacyverklaring te publiceren. Die moet specifiek zijn: welke gegevens worden verwerkt, met welk doel, op welke rechtsgrond, hoe lang ze worden bewaard, aan wie ze worden doorgegeven en welke rechten de bezoeker heeft. De meeste privacyverklaringen die we tegenkomen zijn generieke templates die niet aansluiten bij de daadwerkelijke verwerkingen op de website. Ze noemen Google Analytics als verwerking maar niet de 15 andere scripts die ook data verzamelen. Ze vermelden geen bewaartermijnen. Ze noemen geen verwerkersovereenkomsten. Of ze zijn simpelweg verouderd en verwijzen nog naar het Privacy Shield dat al jaren ongeldig is.

Cookiebanners die juridisch niet deugen

Een cookiebanner hebben is niet hetzelfde als compliant zijn. De meeste cookiebanners in Nederland bevatten juridische gebreken. De knop "alles accepteren" is groot en opvallend, terwijl de optie om te weigeren verborgen zit achter een extra klik. Dat is een dark pattern en geen vrije toestemming in de zin van de AVG. Veel banners plaatsen cookies al voor de bezoeker een keuze maakt. Sommige banners registreren de toestemming niet op een manier die later aantoonbaar is. Andere banners bieden geen optie om eerder gegeven toestemming in te trekken. De AP heeft in haar richtsnoeren expliciet aangegeven dat deze praktijken niet zijn toegestaan.

Cloudflare en Amerikaanse CDN's

Cloudflare wordt door veel websites en hostingpartijen gebruikt als CDN en DDoS bescherming. Wat veel website eigenaren niet weten: Cloudflare routeert al het verkeer naar je website door zijn eigen servers. Dat betekent dat Cloudflare het IP-adres, de bezochte URL's en potentieel de volledige inhoud van elk verzoek ziet. Cloudflare is een Amerikaans bedrijf, onderworpen aan Amerikaanse wetgeving inclusief de CLOUD Act. Dat maakt het gebruik van Cloudflare juridisch complex onder de AVG, zeker zonder expliciete vermelding in je privacyverklaring en een verwerkersovereenkomst.

"Wij hebben elk webbureau in de regio gescand. Zonder uitzondering scoren ze een F op privacy. Niet omdat ze slechte intenties hebben, maar omdat de standaard manier van websites bouwen in strijd is met de AVG."

De risico's van een niet-compliant website

De AVG is geen papieren tijger. De Autoriteit Persoonsgegevens heeft de afgelopen jaren tientallen boetes opgelegd aan Nederlandse organisaties, variërend van enkele duizenden euro's tot miljoenen. De trend is duidelijk: de boetes worden hoger en de handhaving wordt actiever. Het is niet langer een kwestie van of je wordt gecontroleerd, maar wanneer.

Boetes die oplopen tot miljoenen

De AVG kent twee niveaus van boetes. Voor minder ernstige overtredingen kan de AP boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor ernstige overtredingen, zoals het verwerken van persoonsgegevens zonder geldige rechtsgrond of het niet naleven van de rechten van betrokkenen, kan dat oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De AP heeft in 2024 een recordaantal onderzoeken geopend en het budget voor handhaving is structureel verhoogd. Voor het MKB zijn de boetes weliswaar lager dan voor multinationals, maar een boete van tienduizend tot honderdduizend euro kan voor een klein bedrijf desastreus zijn.

Schadeclaims van bezoekers

Naast boetes van de toezichthouder hebben individuele bezoekers het recht om schadevergoeding te eisen voor AVG overtredingen. Het Duitse Landgericht Munchen kende in 2022 een schadevergoeding van 100 euro toe aan een bezoeker wiens IP-adres zonder toestemming via Google Fonts naar Google was gestuurd. Dat klinkt als een klein bedrag, maar er zijn inmiddels gespecialiseerde claimorganisaties die namens grote groepen betrokkenen schadevergoedingen vorderen. Een website met duizenden bezoekers per maand die jarenlang onrechtmatig data heeft doorgestuurd naar Google, kan geconfronteerd worden met claims die oplopen tot aanzienlijke bedragen.

Reputatieschade

Een boete van de Autoriteit Persoonsgegevens is openbaar. De AP publiceert haar besluiten op haar website en ze worden opgepikt door de media. Voor een lokaal bedrijf dat afhankelijk is van vertrouwen, kan de reputatieschade van een openbare boete groter zijn dan de boete zelf. Klanten vragen zich af of hun gegevens veilig zijn. Potentiele klanten kiezen voor een concurrent die wel serieus omgaat met privacy. Het vertrouwen dat je in jaren hebt opgebouwd, kan in een dag worden beschadigd.

Last onder dwangsom

De AP kan naast boetes ook een last onder dwangsom opleggen. Dat betekent dat je een bepaalde overtreding binnen een vastgestelde termijn moet beeindigen, op straffe van een dagelijkse boete tot je het hebt opgelost. Als je website Google Analytics gebruikt zonder geldige toestemming en de AP legt een last onder dwangsom op, heb je bijvoorbeeld 30 dagen om het op te lossen. Elke dag die je er langer over doet, kost je geld. Onder tijdsdruk een website compliant maken is duurder, stressvoller en foutgevoeliger dan het vanaf het begin goed doen.

Klachten bij de AP zijn gratis en eenvoudig

Iedereen kan een klacht indienen bij de Autoriteit Persoonsgegevens. Het kost niets en het formulier is online in vijf minuten ingevuld. Een ontevreden klant, een concurrent, een privacy activist of een boze ex-medewerker: iedereen kan een klacht indienen over de manier waarop jouw website persoonsgegevens verwerkt. De AP is verplicht elke klacht te behandelen. En als uit onderzoek blijkt dat je website inderdaad de AVG overtreedt, volgt er een handhavingstraject. Het is niet langer een theoretisch risico. Het is een concreet scenario dat elk bedrijf met een niet-compliant website kan overkomen.

De ontwikkeling is helder. De Autoriteit Persoonsgegevens krijgt meer budget, meer bevoegdheden en meer capaciteit. De ePrivacy verordening zal de regels verder aanscherpen. Claimorganisaties richten zich steeds vaker op website overtredingen. De vraag is niet of de handhaving je bereikt, maar wanneer. Een AVG compliant website is geen luxe. Het is risicomanagement.

Hoe wij AVG compliant websites bouwen

Het verschil tussen een "privacy vriendelijke" website en een AVG compliant website is het verschil tussen intentie en juridische zekerheid. Een privacy vriendelijke website streeft ernaar om de privacy van bezoekers te respecteren. Een AVG compliant website kan bij een controle door de Autoriteit Persoonsgegevens aantonen dat elke verwerking van persoonsgegevens een geldige rechtsgrond heeft, dat alle vereiste documentatie op orde is en dat de technische maatregelen passend zijn. Wij bouwen voor die tweede standaard.

Privacy by design en privacy by default

De AVG verplicht in artikel 25 dat gegevensbescherming wordt meegenomen in het ontwerp van systemen en dat de standaardinstellingen de meest privacyvriendelijke zijn. Dat noemt de wet "privacy by design" en "privacy by default." In de praktijk betekent dit dat je niet eerst een website bouwt en daarna gaat nadenken over privacy. Je begint met de vraag: welke persoonsgegevens zijn strikt noodzakelijk voor het functioneren van deze website? Het antwoord is bijna altijd: nul. Een informatieve bedrijfswebsite hoeft geen enkel persoonsgegeven te verwerken om te functioneren. Contactformulieren verwerken alleen gegevens die de bezoeker zelf invoert, met een duidelijke rechtsgrond (toestemming of gerechtvaardigd belang). Verder niets.

Alles op eigen Europese servers

Elke website die wij bouwen draait op onze eigen servers in datacenters in Nederland en Duitsland. Geen doorgifte naar derde landen, geen afhankelijkheid van Amerikaanse clouddiensten, geen juridische onzekerheid over de geldigheid van het EU-US Data Privacy Framework. De data van je bezoekers verlaat nooit de Europese Economische Ruimte. Dat elimineert in een klap het volledige cluster van juridische problemen rond internationale doorgifte. Geen Schrems II discussie, geen standaard contractclausules, geen Transfer Impact Assessments. De data blijft in Europa, punt. Meer over onze hosting en servers.

Cookievrije analytics die geen toestemming vereisen

Wij gebruiken self-hosted Matomo voor analytics. Niet de cloud versie die op externe servers draait, maar een installatie op dezelfde server als je website. Matomo is zo geconfigureerd dat er geen cookies worden geplaatst, dat IP-adressen worden geanonimiseerd en dat er geen data wordt gedeeld met derden. Onder deze configuratie vallen de analytics onder de uitzondering voor strikt noodzakelijke verwerkingen in de ePrivacy richtlijn. Dat betekent: geen toestemming nodig, geen cookiebanner nodig, en toch volledige inzichten in je bezoekersaantallen, verkeersbronnen en paginaprestaties. Met een belangrijk voordeel: omdat er geen cookiebanner is die 30-40% van je bezoekers weigert, zijn je analytics data compleet en betrouwbaar.

Nul externe scripts, nul derde partijen

Geen Google Tag Manager, geen Hotjar, geen HubSpot, geen Intercom, geen Crisp, geen Facebook Pixel, geen LinkedIn Insight Tag. Elke functionaliteit die je website nodig heeft, wordt lokaal opgelost of gebouwd op je eigen server. Contactformulieren verwerken we via onze eigen mailserver. Kaarten integreren we via OpenStreetMap. Lettertypen hosten we lokaal. Elke externe afhankelijkheid is een potentiele verwerkersrelatie die gedocumenteerd moet worden, waarvoor een verwerkersovereenkomst nodig is en die juridisch verdedigbaar moet zijn. Door die afhankelijkheden te elimineren, elimineer je de juridische complexiteit. Simpeler, veiliger, compliant.

Passende technische maatregelen

De AVG verplicht in artikel 32 dat je "passende technische en organisatorische maatregelen" neemt om persoonsgegevens te beveiligen. Wij implementeren dat op serverniveau: HTTPS met een sterk SSL certificaat, strikte beveiligingsheaders (HSTS, X-Content-Type-Options, X-Frame-Options, Content-Security-Policy), regelmatige updates van alle software, brute force bescherming, dagelijkse backups met 30 dagen retentie en doorlopende monitoring. Niet als optionele extra's maar als standaard onderdeel van elke website die we opleveren.

Correcte privacyverklaring

Omdat onze websites geen data doorsturen naar externe partijen, is de privacyverklaring kort, helder en eerlijk. Geen pagina's vol disclaimers over Google, Facebook en tientallen andere partijen. Geen verwijzing naar het Privacy Shield of standaard contractclausules. Gewoon een duidelijke beschrijving van de minimale verwerkingen die plaatsvinden: server logs, contactformulier gegevens en cookievrije analytics. Met de juiste rechtsgrond, bewaartermijnen en contactgegevens voor het uitoefenen van rechten. Een privacyverklaring die je met een gerust hart aan de Autoriteit Persoonsgegevens kunt voorleggen.

"AVG compliance bereik je niet door disclaimers toe te voegen aan een website die de wet overtreedt. Je bereikt het door een website te bouwen die de wet niet hoeft te overtreden om te functioneren."

AVG compliance checklist voor je website

Hieronder vind je een overzicht van de belangrijkste punten waaraan je website moet voldoen om compliant te zijn met de AVG en de ePrivacy richtlijn. Gebruik deze checklist om je huidige website te beoordelen, of gebruik onze scanner hierboven voor een automatische check op de technische punten.

Cookies en tracking

Worden er cookies geplaatst voordat de bezoeker toestemming heeft gegeven? Worden er analytics cookies gebruikt die toestemming vereisen? Worden er tracking scripts geladen van derde partijen? Is er een werkende cookiebanner die voldoet aan de eisen van de AVG (vrije, specifieke, geinformeerde toestemming)? Kan de bezoeker eerder gegeven toestemming eenvoudig intrekken? Wordt de toestemming geregistreerd op een manier die later aantoonbaar is?

Doorgifte naar derde landen

Wordt er data verstuurd naar servers buiten de EER? Worden er diensten gebruikt van Amerikaanse bedrijven (Google Analytics, Google Fonts, Cloudflare, Facebook, Hotjar)? Is er een geldige grondslag voor de doorgifte (adequaatheidsbesluit, standaard contractclausules, uitdrukkelijke toestemming)? Is er een Transfer Impact Assessment uitgevoerd?

Verwerkersovereenkomsten

Is er een verwerkersovereenkomst afgesloten met elke partij die namens jou persoonsgegevens verwerkt? Denk aan je hostingpartij, je analytics provider, je e-mail service provider, je CDN, je formulieren verwerker. Zijn die overeenkomsten actueel en sluiten ze aan bij de werkelijke verwerkingen?

Privacyverklaring

Is er een privacyverklaring gepubliceerd die alle verwerkingen beschrijft? Worden de rechtsgronden per verwerking benoemd? Worden bewaartermijnen vermeld? Zijn de contactgegevens van de verwerkingsverantwoordelijke opgenomen? Wordt uitgelegd hoe betrokkenen hun rechten kunnen uitoefenen (inzage, correctie, verwijdering, bezwaar)? Is de verklaring geschreven in begrijpelijke taal?

Technische beveiliging

Is de verbinding beveiligd met HTTPS? Zijn beveiligingsheaders correct geconfigureerd? Worden software en plugins regelmatig geupdate? Is er brute force bescherming actief? Worden backups gemaakt en bewaard? Is er monitoring op ongeautoriseerde toegang?

Contactformulieren en e-mail

Worden formuliergegevens versleuteld verstuurd? Worden de gegevens opgeslagen op eigen servers of bij een derde partij? Is er een bewaartermijn voor ingezonden formulieren? Wordt de bezoeker geinformeerd over wat er met de ingevulde gegevens gebeurt?

Te veel punten om zelf te controleren? Onze scanner checkt de technische punten automatisch. Voor een volledige compliance audit inclusief privacyverklaring, verwerkersovereenkomsten en organisatorische maatregelen kun je contact met ons opnemen. We brengen de huidige staat in kaart en lossen alles op. Of we bouwen een nieuwe website die vanaf het begin compliant is.
Compliance vergelijking

Een AVG compliant website vs. een niet-compliant website.

Het verschil tussen juridische zekerheid en een tikkende tijdbom.

AVG compliant (Wiwi)

  • Nul verwerking van persoonsgegevens door derden
  • Cookievrije analytics, geen toestemming vereist
  • Alle fonts en assets lokaal gehost
  • Geen doorgifte naar de USA of andere derde landen
  • Geen cookiebanner nodig
  • Privacyverklaring aansluitend op werkelijke verwerkingen
  • Aantoonbaar compliant bij controle door de AP

Niet-compliant (standaard)

  • Persoonsgegevens naar 8-12 externe partijen
  • Google Analytics met gebrekkige toestemming
  • Google Fonts die IP-adressen lekken
  • Data doorgifte naar de USA zonder geldige grondslag
  • Cookiebanner met dark patterns
  • Generieke privacyverklaring die niet klopt
  • Risico op boetes tot 4% van de jaaromzet

Compliance is geen kwestie van een banner toevoegen. Het is het verschil tussen een website die de wet naleeft en een website die elke dag overtredingen begaat.

Onze aanpak

Van overtreding naar compliance.

Vijf stappen naar een website die juridisch waterdicht is.

01

Compliance audit

We scannen en analyseren je huidige website op alle AVG relevante punten. Welke scripts laden er? Naar welke servers wordt data gestuurd? Je ontvangt een gedetailleerd rapport.

02

Overtredingen in kaart

Op basis van de audit stellen we een overzicht op van alle overtredingen, gerangschikt op ernst en risico.

03

Technische oplossing

We verwijderen alle scripts en diensten die niet compliant zijn. Google Analytics wordt vervangen door self-hosted Matomo. Google Fonts worden lokaal gehost.

04

Verificatie en documentatie

Na de aanpassingen scannen we opnieuw en verifieren dat alle overtredingen zijn opgelost. We documenteren de maatregelen.

05

Doorlopende compliance

Bij onze managed hosting monitoren we doorlopend of je website compliant blijft. Nieuwe scripts worden gecontroleerd voor ze live gaan.

Gratis Website Check

Hoe scoort jouw website?

Scan je website op snelheid, veiligheid en privacy. Direct resultaat, volledig gratis.

Reviews

Wat onze klanten zeggen

Echte reviews van echte klanten.

0

Gebaseerd op 23 reviews

Bekijk op Trustpilot
0

Gebaseerd op 34 reviews

Bekijk op Google
Privacy by Design

Hoe wij zelf omgaan met de AVG.

Ons hele bedrijf is ingericht volgens de AVG. Geen big tech, geen doorgifte naar derde landen.

Proton

E-mail, wachtwoordbeheer, opslag. End-to-end versleuteld vanuit Zwitserland. Geen Google, geen Microsoft.

Matomo Analytics

Self-hosted analytics zonder cookies. Volledig AVG compliant.

Eigen servers

Nederlandse en Duitse datacenters, groene stroom, volledige controle.

GitLab CE

Self-hosted Git repository. Geen code bij Microsoft (GitHub).

Zenkit

Europees projectmanagement platform.

UptimeKuma

Self-hosted monitoring. 24/7 inzicht, geen externe diensten.

Veelgestelde vragen

Veelgestelde vragen.

De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die sinds 25 mei 2018 van kracht is. In het Engels heet deze wet de GDPR (General Data Protection Regulation). De AVG regelt hoe organisaties persoonsgegevens moeten verwerken en beschermt de privacyrechten van individuen. In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de naleving.
Ja. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van personen in de EU. Als je website bezoekers uit Nederland of andere EU-landen ontvangt en je verwerkt persoonsgegevens (wat vrijwel elke website doet, al is het maar via server logs of analytics), dan moet je voldoen aan de AVG. Het maakt niet uit hoe groot je bedrijf is of hoeveel bezoekers je hebt.
Dat hangt af van de implementatie, maar in de praktijk is het juridisch zeer risicovol. Google Analytics verstuurt persoonsgegevens naar de USA. De Oostenrijkse en Franse toezichthouders hebben het gebruik al in strijd met de AVG verklaard. Als je Google Analytics wilt gebruiken, heb je uitdrukkelijke toestemming nodig van elke bezoeker, een verwerkersovereenkomst met Google en een Transfer Impact Assessment. Zelfs dan blijft de doorgifte naar de USA juridisch betwistbaar. Wij adviseren self-hosted Matomo als compliant alternatief.
De AVG kent maximale boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet voor ernstige overtredingen. Voor het MKB liggen de boetes in de praktijk lager, maar ze kunnen nog steeds tienduizenden tot honderdduizenden euro's bedragen. Daarnaast kan de AP een last onder dwangsom opleggen (een dagelijkse boete tot je de overtreding hebt opgelost) en kunnen individuele bezoekers schadevergoeding eisen.
Alleen als je website cookies plaatst die niet strikt noodzakelijk zijn voor het functioneren van de website. Analytics cookies, marketing cookies en tracking cookies vereisen voorafgaande toestemming. Als je website geen dergelijke cookies plaatst (wat het geval is bij onze websites), heb je geen cookiebanner nodig. Technisch noodzakelijke cookies, zoals een winkelwagen in een webshop, zijn uitgezonderd van de toestemmingsplicht.
Een verwerkersovereenkomst is een contract dat je moet afsluiten met elke partij die namens jou persoonsgegevens verwerkt. Denk aan je hostingbedrijf, je analytics provider, je e-mail dienst en je CDN. De verwerkersovereenkomst regelt hoe de verwerker met de gegevens omgaat, welke beveiligingsmaatregelen worden genomen en wat er gebeurt bij een datalek. Zonder verwerkersovereenkomst ben je in overtreding. Bij onze websites minimaliseren we het aantal verwerkers tot een minimum, waardoor je verwerkersadministratie eenvoudig en overzichtelijk blijft.
Ja. Het Duitse Landgericht Munchen heeft in 2022 geoordeeld dat het extern laden van Google Fonts zonder toestemming een inbreuk is op de AVG, omdat het IP-adres van de bezoeker naar Google wordt gestuurd. De oplossing is simpel: host je lettertypen lokaal op je eigen server. Wij doen dit standaard voor elke website die we bouwen.
Een privacy vriendelijke website streeft ernaar om de privacy van bezoekers te respecteren. Een AVG compliant website kan bij een controle door de Autoriteit Persoonsgegevens juridisch aantonen dat elke verwerking een geldige rechtsgrond heeft, dat alle documentatie op orde is en dat de technische maatregelen passend zijn. Onze websites zijn beide: privacy vriendelijk als filosofie en AVG compliant als juridische realiteit.
Ja. We voeren een compliance audit uit, identificeren alle overtredingen en lossen ze op. Google Analytics wordt vervangen door compliant analytics, externe fonts worden lokaal gehost, onnodige scripts worden verwijderd. We zorgen dat de privacyverklaring aansluit bij de werkelijke verwerkingen. Bekijk onze website verbeteren pagina voor meer informatie.
Ja. Bij een webshop verwerk je naast bezoekersdata ook klantgegevens: namen, adressen, betalingsgegevens, bestelhistorie. Die vallen onder de AVG en vereisen passende beveiliging, bewaartermijnen en een duidelijke rechtsgrond. Wij bouwen WooCommerce webshops met Mollie betalingen (een Nederlands bedrijf), lokale opslag van klantdata en compliant analytics. De persoonsgegevens van je klanten verlaten nooit je eigen server.
Een correcte cookiebanner moet aan strenge eisen voldoen. De optie om te weigeren moet even prominent zijn als de optie om te accepteren. Er mogen geen cookies worden geplaatst voor de bezoeker een keuze maakt. De toestemming moet specifiek zijn per categorie cookies. De bezoeker moet eerder gegeven toestemming eenvoudig kunnen intrekken. En de toestemming moet worden geregistreerd als bewijs. In de praktijk voldoen de meeste cookiebanners niet aan deze eisen. Onze scanner controleert een deel van deze punten automatisch.
De ePrivacy verordening is de aankomende Europese wet die de huidige ePrivacy richtlijn (de cookiewet) zal vervangen. De verordening zal directe werking hebben in alle EU-lidstaten en strengere regels introduceren voor elektronische communicatie en het gebruik van cookies en vergelijkbare technologieën. De verwachting is dat de handhaving wordt geintensiveerd en de boetes worden verhoogd. Door nu al een website te bouwen die geen onnodige cookies plaatst en geen data doorstuurt naar derde partijen, ben je voorbereid op de toekomstige wetgeving.
Privacy by design is een principe uit artikel 25 van de AVG dat vereist dat gegevensbescherming wordt meegenomen in het ontwerp van systemen en processen, niet achteraf wordt toegevoegd. Het is inderdaad verplicht. In de praktijk betekent het dat je bij elke technische keuze voor je website de vraag moet stellen: is deze verwerking noodzakelijk, en zo ja, hoe minimaliseer ik de impact op de privacy van de bezoeker? Wij passen dit principe toe bij elke website die we bouwen.
Ja. De AVG maakt geen onderscheid naar bedrijfsgrootte. Een ZZP'er met een eenvoudige website moet net zo goed voldoen aan de wet als een multinational. In de praktijk zijn de boetes lager voor kleine organisaties, maar ze kunnen nog steeds substantieel zijn. Bovendien kunnen individuele bezoekers schadevergoeding eisen, ongeacht de grootte van je bedrijf. Juist voor kleine bedrijven is het verstandig om het vanaf het begin goed te doen, in plaats van achteraf te moeten repareren.

Neem contact op.

We denken graag mee over je project. Vrijblijvend en eerlijk.

Neem contact op Bekijk ons werk
Recent werk

Projecten op maat.

Een selectie van onze recente projecten.

pellets-maatwerk-laravel-applicatie
Maatwerk

NLPellets Dashboard

Maatwerk Laravel dashboard dat meerdere WooCommerce webshops verbindt. Centraal orderbeheer, automatische leverancier koppelingen en klantnotificaties.

Stack: Laravel + PHP + MariaDB + Redis + REST API
woonvloeren.nl
Woonvloeren
Webshop

Woonvloeren

WooCommerce webshop met 800 producten van 4 leveranciers. Custom zoek en filter zonder refresh, live search, sidebar winkelwagen. A+ Scanner score.

Stack: WordPress + WooCommerce + PHP + Bootstrap + LiteSpeed + MariaDB + Redis
suprapolix.com
SupraPolix
Website

SupraPolix

Herontwerp bedrijfswebsite voor chemiebedrijf uit Eindhoven. SupraB zelfherstellende polymeren. Custom WordPress theme, 7+ jaar samenwerking.

Stack: WordPress + PHP + Bootstrap + LiteSpeed + MariaDB + Redis
Bekijk alle projecten