AVG-compliance draait om vier dingen: vraag alleen data die je nodig hebt, verkrijg geldige toestemming voor tracking-cookies voordat ze laden, beveilig persoonsgegevens en regel verwerkersovereenkomsten met je leveranciers. Een cookiebanner die alvast tracking laadt is niet compliant. Hosting binnen de EU vermindert risico's rond datadoorgifte. Bij NedDev hosten we op Hetzner in Duitsland en bouwen we toestemming netjes in vanaf de eerste regel.
De meeste cookiebanners in Nederland zijn niet compliant. Ze laden tracking-cookies al voordat je op "accepteren" klikt, of de "weigeren"-knop is bewust verstopt achter een extra klik of een grijze tekstlink. De Autoriteit Persoonsgegevens en haar Europese zusterorganisaties beboeten dit steeds vaker, met boetes die in de papieren kunnen lopen. AVG-compliance is geen juridische bijzaak die je met een plugin afvinkt: het is bouwwerk dat in je code en je processen zit.
Het fundament van de AVG is simpel: verzamel alleen wat je echt nodig hebt, en bewaar het niet langer dan nodig. Elk veld dat je opslaat, is zowel een verplichting als een risico. Hoe meer persoonsgegevens je verzamelt, hoe groter de schade als het misgaat. Een paar concrete regels:
Minder data verzamelen is niet alleen compliant, het verkleint ook de schade bij een datalek en de last van inzageverzoeken. Wat je niet hebt, kan niet lekken en hoef je niet te beheren. Dataminimalisatie is daarmee zowel een juridische eis als gewoon goed beheer.
Dit is waar het in de praktijk het meest misgaat. De regel is helder: tracking- en marketing-cookies mogen pas laden nadat de gebruiker actief toestemming heeft gegeven. Niet ervoor, ook niet "vast alvast voor de snelheid". Alleen functionele cookies die strikt noodzakelijk zijn voor de werking van de site, zoals een winkelmandje of een ingelogde sessie, mogen zonder toestemming.
Een correcte cookiebanner voldoet aan een paar harde eisen:
Wij bouwen de toestemmingslogica zo dat tracking technisch geblokkeerd blijft tot de gebruiker akkoord gaat. Niet alleen een banner die er netjes uitziet, maar code die de cookies daadwerkelijk tegenhoudt. Het verschil tussen die twee is precies waar de meeste beboete sites de fout in gingen: een mooie banner boven een site die ondertussen gewoon trackte.
Persoonsgegevens beveiligen is een AVG-verplichting, geen optie. Dat betekent versleuteling onderweg met HTTPS overal, versleuteling van gevoelige data in rust, toegangscontrole zodat alleen bevoegden bij data kunnen, en logging van die toegang. Bij elk platform dat wij bouwen, loggen we wie wanneer persoonsgegevens inzag, zodat een eventueel datalek traceerbaar is en je aan je meldplicht kunt voldoen.
Werk je met externe partijen die data voor jou verwerken, denk aan een mailprovider, een hostingpartij of een analytics-tool, dan heb je met elk van hen een verwerkersovereenkomst nodig. Zonder die overeenkomst ben jij volledig aansprakelijk voor wat zij met de data doen. Inventariseer al je leveranciers, kijk welke persoonsgegevens zij verwerken, en regel de papieren. Dit is administratief werk dat saai is tot het misgaat.
Datadoorgifte naar landen buiten de EU is juridisch ingewikkeld terrein, met wisselende rechtspraak over wat wel en niet mag. Door binnen de EU te hosten omzeil je het grootste deel van die complexiteit in één keer. Wij hosten standaard op Hetzner in Duitsland met Cloudflare ervoor, zodat persoonsgegevens binnen de EU blijven. Voor klanten met gevoelige data, zoals in de zorg of de juridische dienstverlening, is dat geen detail maar een harde vereiste die hun eigen toezichthouders stellen. Bij een platform als ClaimHandler, dat met schadedossiers en persoonsgegevens werkt, is privacy-by-design vanaf de eerste regel code het uitgangspunt geweest.
Vergeet ook de rechten van de betrokkenen niet, want daar wordt steeds vaker een beroep op gedaan. Mensen hebben het recht hun gegevens in te zien, te laten corrigeren en te laten verwijderen, en je moet daar binnen een maand op kunnen reageren. Als je data verspreid zit over vijf systemen zonder overzicht, wordt zo'n verzoek een nachtmerrie en loop je het risico de termijn te missen. Bouw daarom vanaf het begin in dat je per persoon kunt opzoeken welke data je hebt en die in één handeling kunt exporteren of verwijderen. Dat is niet alleen compliant, het scheelt je later veel handwerk.
Een korte praktische checklist om mee te beginnen: stel een dataregister op van wat je verzamelt, leg bewaartermijnen vast, maak je cookiebanner technisch correct, verzamel verwerkersovereenkomsten met al je leveranciers, en richt een proces in voor inzage- en verwijderverzoeken zodat je binnen de wettelijke termijn kunt reageren. Wil je je site of app laten toetsen? Bekijk onze compliance-dienst. We bouwen privacy in vanaf de basis in plaats van het achteraf erop te plakken, want dat laatste is altijd duurder en zwakker.
Nee, niet voor tracking- en marketing-cookies. Die mogen pas laden nadat de gebruiker actief akkoord is gegaan. Alleen strikt functionele cookies die nodig zijn voor de werking van de site mogen zonder toestemming. Een banner die alvast trackt voordat iemand klikt, is niet compliant en wordt steeds vaker beboet.
Ja, met elke externe partij die persoonsgegevens voor jou verwerkt, zoals je mailprovider, hostingpartij of analytics-tool. Zonder die overeenkomst ben jij aansprakelijk voor wat zij met de data doen. Inventariseer al je leveranciers en zorg dat de overeenkomsten geregeld zijn voordat je data met hen deelt.
Ja. Datadoorgifte buiten de EU is juridisch complex en risicovol. Door binnen de EU te hosten, bijvoorbeeld op Hetzner in Duitsland, blijven persoonsgegevens binnen de EU en omzeil je het grootste deel van die complexiteit. Voor gevoelige sectoren zoals zorg en juridische dienstverlening is EU-hosting vaak een harde vereiste.