AVG-checklist voor je website: 12 punten die je moet afvinken
AVG (Algemene Verordening Gegevensbescherming) is sinds 2018 van kracht en geldt voor elke website die persoonsgegevens verwerkt van EU-burgers. Boetes kunnen oplopen tot 4% van je jaaromzet, maar in de praktijk krijgen MKB'ers vooral klachten van de Autoriteit Persoonsgegevens. Wil je weten of je website AVG-proof is? Loop deze 12 punten door.
1. Privacybeleid aanwezig en bereikbaar
Een duidelijke link naar je privacybeleid moet vanaf elke pagina te bereiken zijn (meestal in de footer). Het beleid zelf moet uitleggen welke gegevens je verzamelt, waarom, hoe lang je ze bewaart, en welke rechten bezoekers hebben.
2. Cookiebanner met denied default
Een cookiebanner die scripts laadt voordat de bezoeker akkoord is, is een AVG-overtreding. De juiste volgorde: banner tonen, scripts blokkeren tot toestemming, pas daarna analytics en marketing-cookies activeren.
3. Geen tracking voor consent
Google Analytics, Facebook Pixel, Hotjar, Microsoft Clarity: allemaal vereisen consent voordat ze mogen draaien. Implementeer Google Consent Mode v2 met denied defaults zodat je site standaard compliant is.
4. Verwerkingsovereenkomsten met je leveranciers
Iedereen die namens jou persoonsgegevens verwerkt (je hostingprovider, je e-mailprovider, je CRM, je formulier-tool) is een 'verwerker' onder de AVG. Met elk van hen moet je een verwerkersovereenkomst hebben. De meeste bieden er een aan op hun klantportaal.
5. SSL/HTTPS overal
Persoonsgegevens versturen over een onversleutelde verbinding is een AVG-overtreding. HTTPS is dus geen luxe, het is verplicht. Geen excuses meer in 2026: Let's Encrypt is gratis en bij vrijwel elke hoster ingebouwd.
6. Minimalisering bij contactformulieren
Vraag alleen wat je echt nodig hebt. Heb je iemand zijn telefoonnummer niet nodig om hem terug te mailen? Vraag het dan niet. Elk extra veld is data die je moet beschermen en bewaren binnen de regels.
7. Nieuwsbrieven met double opt-in
Iemand toevoegen aan je nieuwsbrief vereist actieve toestemming. Een vakje dat al aangevinkt is, is geen toestemming. Een formulier waarop iemand zijn e-mail invult zonder expliciete checkbox voor de nieuwsbrief? Ook geen toestemming. Gebruik altijd double opt-in: na inschrijving krijgt de gebruiker een mail om te bevestigen.
8. Recht op verwijdering
Als iemand vraagt om verwijdering van zijn gegevens, moet je dat binnen 30 dagen kunnen uitvoeren. Heb je daar een proces voor? Weet je waar je z'n gegevens overal staan? Dat is wat de AVG verwacht.
9. Datalek-procedure
Als er een datalek is, moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Heb je een plan voor wat er moet gebeuren als dat zich voordoet? Wie meld je het bij? Wie communiceert met getroffen klanten?
10. Functionaris Gegevensbescherming?
Een DPO (Data Protection Officer) is verplicht voor overheidsorganisaties en bedrijven die op grote schaal persoonsgegevens verwerken. Voor de meeste MKB'ers niet verplicht, maar wel handig om iemand intern verantwoordelijk te maken voor AVG-vragen.
11. Jaarlijkse review
Plan elk jaar een uur in om je AVG-compliance te checken. Welke nieuwe tools gebruik je sinds vorig jaar? Heb je nog steeds verwerkersovereenkomsten met al je leveranciers? Is je privacybeleid nog actueel?
12. Documentatie
Bewaar bewijsstukken: je verwerkersovereenkomsten, je consent-logs, je data-flow-diagrammen, je beleid. Als de Autoriteit Persoonsgegevens ooit langskomt, wil je laten zien dat je het serieus neemt.
Onze gratis audit checkt automatisch een aantal van deze punten: cookiebanner, privacybeleid-link, externe trackers en HTTPS. Het is een goede start om te zien of je de basis op orde hebt.