NedDev
Terug naar blog
Business10 min leestijd2025-11-28

AVG/GDPR compliance voor websites en apps

Cookie consent, privacyverklaring, gegevensverwerking en boetes — alles wat je moet weten over AVG-compliance.

AVG compliance is geen optie — het is een verplichting

Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG, internationaal: GDPR) van kracht. De boetes zijn niet mals: tot €20 miljoen of 4% van de wereldwijde omzet. Toch zijn veel Nederlandse websites nog niet compliant. Bij NedDev bouwen we privacy-by-design als standaard in elk project. In dit artikel leggen we uit wat je minimaal moet regelen.

Wat valt onder persoonsgegevens?

Alles waarmee een persoon direct of indirect geïdentificeerd kan worden:

  • Naam, e-mailadres, telefoonnummer
  • IP-adressen
  • Cookie-ID's en device fingerprints
  • Locatiegegevens
  • Bestelgeschiedenis gekoppeld aan een account
  • Zelfs een combinatie van "leeftijd + woonplaats + beroep" kan persoonlijk zijn

    • Vuistregel: als je twijfelt of iets een persoonsgegeven is, behandel het als een persoonsgegeven.

    Cookie consent: hoe het hoort

    De cookie wall die je op 90% van de Nederlandse sites ziet, is meestal niet AVG-compliant. Hier zijn de regels:

    Wat moet er in je cookie banner?

  • Duidelijke uitleg welke cookies je plaatst en waarvoor
  • Actieve toestemming per cookie-categorie (niet vooraf aangevinkt)
  • Een even prominente "Weigeren" knop als de "Accepteren" knop
  • De mogelijkheid om toestemming later in te trekken
  • Link naar je cookieverklaring

    • Cookie-categorieën

  • 1. Noodzakelijk: Sessiecookies, winkelwagen, authenticatie — geen toestemming nodig
  • 2. Analytisch: Google Analytics, Hotjar — toestemming vereist (tenzij privacy-vriendelijk geconfigureerd)
  • 3. Marketing: Facebook Pixel, Google Ads, remarketing — altijd toestemming vereist
  • 4. Functioneel: Taalvoorkeur, thema — technisch geen toestemming nodig, maar transparantie is aan te raden

    • Google Analytics 4 en AVG

    GA4 zonder toestemming kan AVG-compliant zijn als je:

  • IP-anonimisering activeert
  • Data Processing Agreement met Google tekent
  • Geen data deelt met andere Google diensten
  • Dit documenteert in je privacyverklaring

    • Alternatief: Overweeg privacy-first analytics als Plausible, Fathom of Umami. Geen cookies, geen toestemming nodig, volledig AVG-compliant.

    De privacyverklaring

    Elke website die persoonsgegevens verwerkt, heeft een privacyverklaring nodig. Dit moet erin staan:

  • Wie je bent: Naam, KvK-nummer, contactgegevens, en wie je Functionaris Gegevensbescherming is (indien van toepassing)
  • Welke gegevens je verwerkt: Specifiek en volledig
  • Waarom je ze verwerkt: De wettelijke grondslag (toestemming, overeenkomst, gerechtvaardigd belang, wettelijke verplichting)
  • Hoe lang je ze bewaart: Concrete bewaartermijnen per categorie
  • Met wie je ze deelt: Subverwerkers, hostingpartijen, analytics diensten
  • Rechten van betrokkenen: Inzage, correctie, verwijdering, overdraagbaarheid, bezwaar
  • Hoe je gegevens beveiligt: Technische en organisatorische maatregelen

    • Rechten van gebruikers

    Onder de AVG hebben je gebruikers vergaande rechten:

    Recht op inzage

    Gebruikers mogen opvragen welke gegevens je van hen hebt. Je hebt één maand om te reageren.

    Recht op correctie

    Onjuiste gegevens moeten gecorrigeerd worden op verzoek.

    Recht op verwijdering (recht om vergeten te worden)

    Gebruikers kunnen vragen al hun gegevens te verwijderen. Je moet hieraan voldoen tenzij je een wettelijke bewaarplicht hebt.

    Recht op dataportabiliteit

    Gebruikers kunnen hun gegevens opvragen in een machine-leesbaar formaat (JSON, CSV) om naar een andere dienst over te stappen.

    Verwerkersovereenkomsten

    Gebruik je externe diensten die persoonsgegevens verwerken (hosting, e-mail service, analytics)? Dan heb je met elke partij een verwerkersovereenkomst nodig. Dit is een juridisch document dat vastlegt hoe de verwerker met de gegevens omgaat.

    Let op: De meeste grote diensten (Google, Mailchimp, Vercel) bieden standaard verwerkersovereenkomsten aan. Teken ze. Bewaar ze. Documenteer ze.

    Technische maatregelen

  • HTTPS: Verplicht voor elke website die persoonsgegevens verwerkt
  • Encryptie: Gevoelige data versleuteld opslaan (at rest) en verzenden (in transit)
  • Toegangscontrole: Minimaliseer wie toegang heeft tot persoonsgegevens
  • Logging: Houd bij wie wanneer welke gegevens heeft ingezien
  • Updates: Houd je software up-to-date — kwetsbaarheden zijn datalekken in wording

    • Wat kost een datalek?

    De Autoriteit Persoonsgegevens deelt steeds vaker boetes uit. Enkele voorbeelden:

  • Een ziekenhuis: €440.000 voor onvoldoende toegangsbeveiliging
  • Een tennisbond: €525.000 voor het delen van ledengegevens zonder toestemming
  • Een belastingdienst: €2.750.000 voor discriminerende verwerkingen

    • Kleinere bedrijven krijgen lagere boetes, maar zelfs €10.000-€50.000 kan een MKB-bedrijf hard raken.

    Checklist voor je website

  • [ ] Cookie banner met actieve toestemming en weiger-optie
  • [ ] Privacyverklaring met alle vereiste onderdelen
  • [ ] Verwerkersovereenkomsten met alle externe diensten
  • [ ] SSL-certificaat (HTTPS)
  • [ ] Bewaartermijnen gedefinieerd en geïmplementeerd
  • [ ] Procedure voor inzage- en verwijderingsverzoeken
  • [ ] Datalekprotocol (melding bij AP binnen 72 uur)

    • Privacy is geen kostenpost — het is vertrouwen. En vertrouwen is de basis van elke klantrelatie.

    Meer artikelen

    Development

    Next.js vs WordPress: Welke is beter voor jouw bedrijf?

    Een eerlijke vergelijking tussen Next.js en WordPress. Performance, SEO, kosten en onderhoud — we bespreken alles.

    Lees meer
    SEO & Marketing

    Wat is AEO? AI Engine Optimization uitgelegd

    AEO is de toekomst van online vindbaarheid. Leer hoe je je website optimaliseert voor AI assistenten zoals ChatGPT en Claude.

    Lees meer
    Development

    SaaS bouwen: het complete stappenplan voor 2025

    Van idee tot lancering — een praktisch stappenplan voor het bouwen van je eigen SaaS platform met moderne technologieën.

    Lees meer

    Klaar om te bouwen?

    Van inzicht naar actie. Laat ons je project realiseren.

    Start een project