Kennisbank

AVG compliance checklist voor je website:
wat je echt moet regelen.

De AVG is geen vaag juridisch concept. Het is een wet met concrete eisen voor je website. Het goede nieuws: als je website goed gebouwd is, ben je al voor 90% compliant. Het slechte nieuws: de meeste websites zijn niet goed gebouwd. Dit is de praktische checklist.

De AVG is simpeler dan je denkt (als je website goed gebouwd is)

De Algemene Verordening Gegevensbescherming klinkt als iets waar je een advocaat voor nodig hebt. En voor sommige onderdelen is dat ook zo. Maar voor je website is het kernprincipe verrassend eenvoudig: verzamel geen persoonsgegevens die je niet nodig hebt, deel ze niet met derden die ze niet nodig hebben, en wees eerlijk over wat je doet.

Het probleem is dat de meeste websites dat principe van het begin af aan schenden. Google Analytics verzamelt bezoekersdata en stuurt het naar de USA. Google Fonts lekt IP-adressen naar Google. Een cookie consent tool registreert bezoekersgedrag voordat er toestemming is gegeven. Een contactformulier plugin stuurt data naar de servers van de plugin maker. De meeste website eigenaren weten niet eens dat dit gebeurt.

Als je website geen data deelt met derden, geen cookies plaatst die niet strikt noodzakelijk zijn en geen externe diensten laadt die bezoekersdata verzamelen, is AVG compliance geen complex juridisch vraagstuk. Het is een technische keuze die je maakt bij de bouw van je website.

Het kernprincipe: Hoe minder data je verzamelt en hoe minder partijen je data zien, hoe eenvoudiger AVG compliance is. Een website zonder Google Analytics, zonder Google Fonts CDN, zonder Facebook Pixel en zonder cookie consent tools van derden is inherent meer compliant dan een website met al die diensten plus een cookiebanner.

Hoe AVG compliant is jouw website?

Onze scanner detecteert automatisch welke externe diensten je website laadt, welke cookies worden geplaatst en welke data naar derden wordt gestuurd. Scan je website en zie direct waar de AVG risico’s zitten.

De complete AVG checklist voor je website

Dit is de praktische checklist. Geen juridisch jargon, geen theoretische overwegingen. Concrete punten die je kunt controleren en afvinken.

Externe diensten en third parties

Dit is waar de meeste websites falen. Elke externe dienst die je website laadt, stuurt bezoekersdata naar een derde partij. Dat is een verwerking van persoonsgegevens onder de AVG. Voor elke dienst heb je ofwel een rechtsgrond (gerechtvaardigd belang of toestemming) ofwel een verwerkersovereenkomst nodig.

  • Google Analytics — stuurt alle bezoekersdata naar Google (USA). Privacytoezichthouders in Oostenrijk, Frankrijk en Italie hebben dit als AVG strijdig beoordeeld. Alternatief: self-hosted Matomo. Data blijft op je eigen server, wordt niet gedeeld met derden. Lees ons uitgebreide artikel over analytics alternatieven.
  • Google Fonts via CDN — stuurt IP-adressen naar Google bij elke paginaweergave. Een Duitse rechter (LG München) oordeelde dat dit zonder toestemming een AVG schending is. Alternatief: self-host je fonts. Dezelfde fonts, geen data naar Google.
  • Google Tag Manager — stuurt data naar Google, zelfs als de container leeg is. Alternatief: verwijderen. Als je geen third party scripts meer laadt, heb je geen tagmanager nodig.
  • Google Maps embed — stuurt bezoekersdata naar Google. Alternatief: OpenStreetMap met Leaflet.js.
  • YouTube embed — plaatst DoubleClick cookies en stuurt data naar Google. Alternatief: self-hosted video of minimaal youtube-nocookie.com.
  • Google reCAPTCHA — verzamelt uitgebreide browser fingerprint data en stuurt die naar Google. Alternatief: hCaptcha, Friendly Captcha of server-side honeypot.
  • Facebook/Meta Pixel — stuurt alle bezoekersinteractie naar Facebook (USA). Alternatief: verwijderen.
  • Cloudflare — Amerikaans bedrijf dat al je websiteverkeer ontsleutelt en meeleest. Alternatief: Europese CDN of geen CDN.
  • Cookie consent tools (Cookiebot, CookieYes, Complianz) — ironisch genoeg verzamelen veel cookie consent tools zelf bezoekersdata. Cookiebot opereert een gecentraliseerde consent database over 1.5 miljoen websites. Lees ons artikel over waarom consent tools vaak het probleem zijn, niet de oplossing.

De simpelste oplossing: gebruik geen externe diensten die bezoekersdata verzamelen. Geen Google, geen Facebook, geen Amerikaanse CDN's. Self-host alles wat je kunt. . Een volledig overzicht van wat Google verzamelt lees je in Wat Google weet over je bezoekersDan heb je geen cookiebanner nodig, geen consent management en geen complex verwerkingsregister voor je website.

Cookies en tracking

  • Inventariseer alle cookies die je website plaatst. Niet alleen de cookies die je bewust instelt, maar ook cookies van plugins, themes en externe diensten. De meeste website eigenaren weten niet hoeveel cookies hun site plaatst.
  • Functionele cookies mogen zonder toestemming. Sessie cookies, winkelwagen cookies, taalvoorkeur cookies. Dit zijn cookies die noodzakelijk zijn voor het functioneren van de website.
  • Alles wat niet strikt noodzakelijk is vereist toestemming. Analytics cookies, marketing cookies, social media cookies, personalisatie cookies. Je mag ze pas plaatsen nadat de bezoeker expliciet toestemming heeft gegeven (opt-in, niet opt-out).
  • Geen pre-checked boxes. Toestemming moet actief worden gegeven. Een cookiebanner met "door verder te surfen ga je akkoord" is niet geldig. Een cookiebanner met aangevinkte hokjes is niet geldig.
  • Weigeren moet net zo makkelijk zijn als accepteren. Een grote groene "accepteer" knop en een klein grijs linkje "meer opties" is niet compliant. De optie om te weigeren moet even prominent zijn.

Contactformulieren en data opslag

  • Verzamel alleen wat je nodig hebt. Een contactformulier heeft een naam, e-mailadres en bericht nodig. Geen geboortedatum, geen telefoonnummer (tenzij je terugbelt), geen adres. Hoe minder je vraagt, hoe minder je hoeft te beschermen.
  • Waar gaat de data naartoe? Bij een goed gebouwde website gaat het formulier naar je eigen server en naar het e-mailadres van het bedrijf. Nergens anders. Geen third party formulier plugins die data naar hun eigen servers sturen. Geen Mailchimp, geen HubSpot, geen externe dienst die meekijkt.
  • Bewaar data niet langer dan nodig. Een contactformulier inzending die 3 jaar op je server staat is een risico. Ruim regelmatig op. Er is geen wettelijke verplichting om contactformulier data te bewaren (tenzij het onderdeel is van een overeenkomst).
  • SSL is verplicht. Elk formulier dat persoonsgegevens verwerkt moet over een versleutelde HTTPS verbinding worden verstuurd. In 2026 zou geen enkele website nog zonder SSL mogen draaien.

Privacyverklaring

  • Je hebt er een nodig. Elke website die persoonsgegevens verwerkt (en dat is vrijwel elke website, al is het maar een contactformulier) moet een privacyverklaring hebben.
  • Schrijf hem in begrijpelijk Nederlands. Niet in juridisch jargon. De AVG eist dat privacy informatie "in duidelijke en eenvoudige taal" wordt verstrekt. Een privacyverklaring die niemand begrijpt voldoet niet.
  • Wat er minimaal in moet staan: wie je bent (bedrijfsnaam, contactgegevens), welke gegevens je verzamelt, waarom je ze verzamelt, hoe lang je ze bewaart, met wie je ze deelt, welke rechten de bezoeker heeft (inzage, correctie, verwijdering) en hoe ze een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.
  • Wees eerlijk. Als je Google Analytics gebruikt, vermeld dat. Als je data naar de USA stuurt, vermeld dat. Veel privacyverklaringen zijn bewust vaag. Dat is niet compliant en het ondermijnt het vertrouwen van je bezoekers.
  • Houd hem actueel. Als je een nieuwe dienst toevoegt die data verwerkt, update je privacyverklaring. Een privacyverklaring van 2019 die niet meer klopt is een risico.

Extra AVG verplichtingen voor webshops

Een webshop verwerkt meer persoonsgegevens dan een standaard website: namen, adressen, betaalgegevens, bestelhistorie, mogelijk accounts met inloggegevens. Dat brengt extra verplichtingen met zich mee.

Klantdata en bewaartermijnen

  • Bewaar besteldata alleen zolang wettelijk verplicht. De fiscale bewaarplicht is 7 jaar voor financiele administratie. Na die 7 jaar mag (en zou) je de data moeten verwijderen. Klantgegevens die niet onder de fiscale bewaarplicht vallen (zoals accounts zonder bestellingen) mag je niet langer bewaren dan noodzakelijk.
  • Accounts moeten verwijderbaar zijn. Een klant moet zijn account kunnen verwijderen en je moet aan dat verzoek voldoen (recht op vergetelheid). Uitzondering: data die je wettelijk moet bewaren (fiscale administratie).
  • Betaalgegevens nooit zelf opslaan. Gebruik een betaalprovider (Mollie, MultiSafepay) die de betaalgegevens verwerkt. Sla nooit creditcardnummers of IBAN's op in je eigen database.

Verwerkersovereenkomsten

  • Met elke partij die klantdata verwerkt heb je een verwerkersovereenkomst nodig. Je hostingpartij, je betaalprovider, je e-mail marketingtool, je verzendpartner. Zonder verwerkersovereenkomst mag je geen persoonsgegevens delen.
  • Check of de verwerker in de EU opereert. Data delen met een verwerker buiten de EU is alleen toegestaan onder strikte voorwaarden. Amerikaans: problematisch (CLOUD Act). Europees: eenvoudiger.
  • Een verwerkersovereenkomst is niet optioneel. Het is een wettelijke verplichting. De meeste serieuze dienstverleners bieden standaard verwerkersovereenkomsten aan. Als je hostingpartij er geen heeft, is dat een rode vlag.

Nieuwsbrieven en marketing

  • Opt-in is verplicht. Je mag alleen marketing e-mails sturen aan mensen die daar expliciet toestemming voor hebben gegeven. Een pre-checked "schrijf me in voor de nieuwsbrief" checkbox is niet geldig.
  • Elke e-mail moet een uitschrijflink bevatten. En uitschrijven moet direct werken, niet via een inlogscherm of een "reden opgeven" formulier.
  • Bewijs van toestemming bewaren. Je moet kunnen aantonen wanneer en hoe iemand zich heeft ingeschreven. Bewaar het tijdstip, het IP-adres en de manier van inschrijving.

Hoeveel third parties laden op jouw website?

Elke externe dienst op je website is een AVG risico. Onze scanner detecteert automatisch alle third parties: Google diensten, Facebook trackers, CDN’s, externe fonts en meer. Zie direct waar je data naartoe gaat.

De 7 meest voorkomende AVG fouten op websites

We scannen dagelijks websites en zien dezelfde fouten terugkomen. Dit zijn de meest voorkomende AVG schendingen die wij tegenkomen bij Nederlandse bedrijfswebsites.

1. Google Analytics zonder geldige toestemming

De meest voorkomende overtreding. Google Analytics laadt op de achtergrond, plaatst cookies en stuurt data naar Google. Vaak zonder dat de bezoeker toestemming heeft gegeven, of met een cookiebanner die niet aan de eisen voldoet. Privacytoezichthouders in meerdere EU landen hebben dit als illegaal beoordeeld.

2. Google Fonts laden van het Google CDN

Elke paginaweergave stuurt het IP-adres van je bezoeker naar Google. Een Duitse rechter heeft geoordeeld dat dit een AVG schending is. De oplossing (self-hosting) kost 15 minuten. Toch laden meer dan de helft van alle Nederlandse websites Google Fonts van het CDN.

3. Geen privacyverklaring of een verouderde

Verrassend veel bedrijfswebsites hebben geen privacyverklaring. Of ze hebben er een van 5 jaar geleden die niet meer klopt. Een privacyverklaring is wettelijk verplicht zodra je persoonsgegevens verwerkt.

4. Cookiebanner die niet werkt

De bezoeker klikt op "weigeren" maar de cookies worden toch geplaatst. Of de cookiebanner verschijnt pas na 3 seconden, terwijl Google Analytics al op milliseconde 1 is geladen. Een cookiebanner die technisch niet functioneert is erger dan geen cookiebanner: het wekt de indruk van compliance terwijl de data al is verzonden.

5. Contactformulier data naar derden

Formulier plugins zoals Gravity Forms, WPForms of Contact Form 7 met externe add-ons sturen soms data naar de servers van de plugin maker of naar gekoppelde diensten (Mailchimp, HubSpot, Zapier). De meeste website eigenaren weten niet dat dit gebeurt.

6. Geen verwerkersovereenkomst met de hostingpartij

Je hostingpartij heeft toegang tot je server en daarmee tot alle data die erop staat. Zonder verwerkersovereenkomst is dat een AVG schending. De meeste serieuze hostingpartijen bieden standaard een verwerkersovereenkomst aan. Als die van jou dat niet doet, vraag ernaar.

7. Social media embeds die meevolgen

Facebook like knoppen, Instagram feeds, Twitter/X embeds. Elk van deze embeds stuurt bezoekersdata naar het betreffende platform, ongeacht of de bezoeker een account heeft bij dat platform. Facebook's tracking pixel volgt je bezoekers zelfs nadat ze je website hebben verlaten.

"De ironie van AVG compliance: de meeste websites laden een cookiebanner om compliant te zijn, terwijl de cookiebanner zelf data verzamelt en deelt met derden. De simpelste weg naar compliance is niet meer diensten toevoegen. Het is diensten verwijderen."
Waarom custom?

AVG compliant vs niet compliant:
het verschil in de praktijk.

Twee websites, dezelfde content, fundamenteel andere aanpak.

AVG compliant

  • Self-hosted analytics, data op eigen server
  • Fonts self-hosted op eigen server
  • Geen cookiebanner nodig (geen tracking cookies)
  • Contactformulier data alleen naar eigen server en e-mail
  • Actuele privacyverklaring in begrijpelijk Nederlands
  • Verwerkersovereenkomsten met alle partijen
  • Europese hosting, data in EU

Niet compliant

  • Google Analytics, data naar USA
  • Google Fonts CDN, IP-adres naar Google per bezoeker
  • Cookiebanner die niet werkt of data lekt voordat toestemming is gegeven
  • Formulier plugin stuurt data naar externe servers
  • Geen privacyverklaring of verouderde versie van 5 jaar geleden
  • Geen idee welke partijen data verwerken
  • Hosting op AWS/Google Cloud, data onder CLOUD Act

AVG compliance is geen checkbox. Het is een keuze die je maakt bij het bouwen van je website. Achteraf repareren is duurder dan het goed doen vanaf het begin.

Hoe pak je het aan?

AVG compliance voor je website is geen eenmalig project. Het is een combinatie van de juiste technische keuzes bij de bouw en doorlopend bewustzijn bij het beheer. Dit is de praktische aanpak.

Stap 1: Inventariseer

Scan je website. Kijk welke externe diensten geladen worden, welke cookies geplaatst worden en welke data naar derden gaat. Onze scanner doet dit automatisch, maar je kunt ook in je browser (F12 > Network tab) kijken welke externe domeinen je website aanroept. Maak een lijst.

Stap 2: Verwijder wat je niet nodig hebt

Google Analytics: heb je het echt nodig? Self-hosted Matomo geeft je dezelfde inzichten zonder data te delen. Google Fonts CDN: self-host ze. Google Maps: vervang door OpenStreetMap. Facebook Pixel: als je geen Facebook ads draait, verwijder het. reCAPTCHA: vervang door een honeypot of simpele rekensom. Elke dienst die je verwijdert is een AVG risico minder.

Stap 3: Regel de documentatie

Schrijf een privacyverklaring (of laat er een opstellen). Zorg voor verwerkersovereenkomsten met je hostingpartij, betaalprovider en eventuele andere dienstverleners die data verwerken. Hou een verwerkingsregister bij: een overzicht van welke persoonsgegevens je verwerkt, waarom, hoe lang en met wie je ze deelt.

Belangrijk: de privacyverklaring en het verwerkingsregister zijn juridische documenten. Wij kunnen je adviseren over de technische kant: welke diensten data verzamelen en hoe je dat voorkomt. Maar voor de juridische formulering adviseren we een specialist of een juridisch platform te raadplegen. Het opstellen van een waterdichte privacyverklaring is geen taak voor een webbureau.

Stap 4: Onderhoud

AVG compliance is geen eenmalige handeling. Elke keer dat je een nieuwe plugin installeert, een nieuwe dienst koppelt of een functionaliteit toevoegt, moet je controleren of het impact heeft op de persoonsgegevens die je verwerkt. Update je privacyverklaring bij wijzigingen. Scan je website regelmatig om te controleren of er geen nieuwe externe diensten zijn binnengeslopen.

Veelgestelde vragen

Veelgestelde vragen over AVG en websites.

Alleen als je website cookies plaatst die niet strikt noodzakelijk zijn voor het functioneren van de site. Als je Google Analytics, Facebook Pixel of andere tracking diensten gebruikt: ja, je hebt een cookiebanner nodig die toestemming vraagt voordat die cookies worden geplaatst. Als je website alleen functionele cookies gebruikt (sessie, winkelwagen) en self-hosted analytics draait zonder cookies: dan is een cookiebanner niet nodig. Lees ons uitgebreid artikel over dit onderwerp op /kennisbank/cookiebanner-nodig.
Het is een grijs gebied. Privacytoezichthouders in Oostenrijk, Frankrijk en Italie hebben geoordeeld dat Google Analytics in strijd is met de AVG. De Nederlandse Autoriteit Persoonsgegevens volgt dezelfde lijn. Het EU-US Data Privacy Framework biedt momenteel een juridische basis, maar die kan op elk moment worden vernietigd door het Europese Hof. Het veiligste alternatief is self-hosted analytics zoals Matomo, waarbij geen data naar derden wordt gestuurd.
Een verwerkersovereenkomst is een contract tussen jou (de verwerkingsverantwoordelijke) en een partij die namens jou persoonsgegevens verwerkt (de verwerker). Dat zijn je hostingpartij, je betaalprovider, je e-mail dienstverlener. De verwerkersovereenkomst legt vast wat de verwerker met de data mag doen, hoe ze het beveiligen en wat er gebeurt als je de samenwerking stopt. Het is wettelijk verplicht onder de AVG.
Ja, als je website persoonsgegevens verwerkt. En dat doet vrijwel elke website: een contactformulier, analytics, een nieuwsbrief aanmelding, een webshop met klantaccounts. De privacyverklaring moet in begrijpelijk Nederlands uitleggen welke gegevens je verzamelt, waarom, hoe lang je ze bewaart en met wie je ze deelt.
Niet langer dan noodzakelijk voor het doel waarvoor je ze hebt verzameld. Een contactformulier inzending die je hebt beantwoord: niet jaren bewaren. Klantdata voor een webshop: fiscale bewaarplicht is 7 jaar voor financiele administratie. Na die termijn: verwijderen. Er is geen standaard bewaartermijn. Het hangt af van het type data en het doel.
Je bent verplicht om hieraan te voldoen (recht op vergetelheid), tenzij er een wettelijke reden is om de data te bewaren (fiscale bewaarplicht). Je moet binnen een maand reageren op het verzoek. Verwijder alle persoonsgegevens van de betrokken persoon uit je systemen, inclusief backups waar redelijkerwijs mogelijk.
Ja. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, ongeacht grootte. Een ZZP-er met een contactformulier op zijn website valt er net zo goed onder als een multinational. Wel zijn de verwachtingen proportioneel: van een ZZP-er wordt geen dedicated privacy officer verwacht. Maar een privacyverklaring, verwerkersovereenkomsten en bewuste omgang met data zijn ook voor kleine bedrijven verplicht.
De maximale boete is €20 miljoen of 4% van de wereldwijde jaaromzet, welke hoger is. In de praktijk zijn boetes voor MKB bedrijven lager, maar de Autoriteit Persoonsgegevens deelt wel degelijk boetes uit. De reputatieschade van een datalek of AVG overtreding is vaak groter dan de boete zelf.
Scan je website met onze scanner of een vergelijkbare tool. Kijk welke externe diensten worden geladen, welke cookies worden geplaatst en welke data naar derden gaat. Als je Google Analytics, Google Fonts CDN, Facebook Pixel of andere tracking diensten ziet, is je website niet compliant zonder geldige toestemming van je bezoekers. Vraag je bureau om een concreet overzicht van alle diensten die data verwerken en de bijbehorende verwerkersovereenkomsten.
Self-hosted Matomo is een stuk eenvoudiger qua AVG compliance dan Google Analytics, omdat alle data op je eigen server blijft en niet wordt gedeeld met derden. Als je Matomo configureert zonder tracking cookies en met IP-anonimisatie, verwerk je minimale persoonsgegevens. Of je daarmee helemaal geen cookiebanner nodig hebt is juridisch een grijs gebied. Maar het feit dat er geen data naar derden gaat, maakt de situatie fundamenteel anders dan bij Google Analytics.

Website die AVG compliant is uit de doos?

Wij bouwen websites zonder Google, zonder tracking, zonder externe diensten die bezoekersdata verzamelen. Nul data naar derden, nul cookies die toestemming vereisen. AVG compliance begint bij de bouw, niet bij een cookiebanner.

Neem contact op