Zes AVG-verplichtingen waaraan je website moet voldoen

Technische eisen website en AVG

De AVG stelt geen specifieke technische eisen aan een website. Zo staat er nergens specifiek opgenomen dat een website voorzien moet zijn van een zogenaamd SSL-certificaat. Echter, de wet schrijft wel de verplichting voor dat je moet aantonen dat je website beschikt over voldoende beveiliging. Daarbij moet je aantonen dat je passende technische en organisatorische maatregelen hebt genomen, afgestemd op het risico om persoonsgegevens van websitebezoekers, klanten, leden en/of donateurs veilig te verwerken.

Privacyverklaring

Je bent verplicht een privacyverklaring op je website te plaatsen wanneer je met de website persoonsgegevens verzamelt. Deze informatieplicht geldt ongeacht de omvang of rechtsvorm van je organisatie. De privacyverklaring moet transparant en beknopt van aard zijn. Schrijf de privacyverklaring dan ook eenvoudig en duidelijk. De achterliggende gedachte van deze verplichtingen is dat een websitebezoeker moet weten wat er met zijn gegevens gebeurt, zodat hij een afweging kan maken of hij de betreffende dienst of het betreffende product wil aanschaffen.

Een goede privacyverklaring bevat minimaal de volgende informatie:

• De identiteit en contactgegevens van de verwerkingsverantwoordelijke (zoals ingeschreven bij de KvK).
• Indien van toepassing: de contactgegevens van de functionaris voor gegevensbescherming (FG).
• De doeleinden en rechtsgronden voor de verwerking van persoonsgegevens.
• De bewaartermijnen of de criteria om die termijnen te bepalen.
• De ontvangers of categorieën van ontvangers van de persoonsgegevens.
• Informatie over eventuele doorgifte van persoonsgegevens buiten de Europese Unie en de daarvoor getroffen waarborgen.
• Het recht op inzage, rectificatie, wissen, beperking van verwerking en bezwaar.
• Het recht op dataportabiliteit (indien van toepassing).
• Het recht om een gegeven toestemming te allen tijde in te trekken (indien verwerking op toestemming is gebaseerd).
• De mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP).
• Of het verstrekken van persoonsgegevens wettelijk of contractueel verplicht is en wat de mogelijke gevolgen zijn indien de gegevens niet worden verstrekt.

Toestemming toesturen informatie

Bevat je website contact- en/of downloadformulieren? Zorg er dan voor dat je deze gegevens alleen gebruikt voor het doel waarvoor ze zijn verstrekt. Wil je websitegebruikers daarnaast nieuwsbrieven of andere commerciële mailings toesturen? Dan heb je in beginsel voorafgaande toestemming nodig op grond van de Telecommunicatiewet. Let op: voor bestaande klanten kan onder voorwaarden gebruik worden gemaakt van de zogenoemde ‘soft opt-in’, waarbij geen afzonderlijke toestemming nodig is mits het gaat om eigen, gelijksoortige producten of diensten en bij elke mailing een afmeldmogelijkheid wordt geboden. Je moet kunnen aantonen dat websitebezoekers vrijwillig, specifiek, geïnformeerd en ondubbelzinnig toestemming hebben gegeven. Dit regel je via een apart aanvinkvakje. Vooraf aangevinkte vakjes zijn niet toegestaan. Een dubbele opt-in (waarbij de inschrijving via een bevestigingsmail wordt geverifieerd) is geen wettelijke verplichting, maar wordt sterk aanbevolen om toestemming aantoonbaar te maken.

Cookiegebruik

Maak je gebruik van cookies op je website? Dan moet je mogelijk toestemming vragen aan websitebezoekers. De regels voor cookies volgen primair uit de Telecommunicatiewet (implementatie van de ePrivacy-richtlijn). Zodra via cookies persoonsgegevens worden verwerkt, is daarnaast ook de AVG van toepassing. Voor functionele cookies en bepaalde analytische cookies die geen of geringe gevolgen hebben voor de privacy is geen toestemming vereist. Voor trackingcookies en andere privacygevoelige cookies moet voorafgaande toestemming worden verkregen. Deze toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Toestemming moet worden verkregen voordat trackingcookies worden geplaatst. Daarnaast moet het eenvoudig zijn om toestemming weer in te trekken. Er is geen algemene wettelijke wijziging in 2025 die third-party cookies verbiedt. Wel bouwen sommige browsers third-party cookies technisch af en handhaven toezichthouders strenger op correcte toestemming. IP-adressen kunnen onder omstandigheden als persoonsgegevens kwalificeren en vallen dan onder de AVG.

WordPress en plug-ins

WordPress is een veelgebruikt CMS. Een van de kenmerken zijn de vele plug-ins waarmee je functionaliteiten toevoegt. Het is verstandig een overzicht te maken van alle plug-ins waarvan je website gebruikmaakt en te controleren welke persoonsgegevens deze verwerken. Als websitehouder blijf je in beginsel verwerkingsverantwoordelijke. Indien een plug-in leverancier in jouw opdracht persoonsgegevens verwerkt, kan een verwerkersovereenkomst vereist zijn. Let ook op mogelijke doorgifte van persoonsgegevens naar landen buiten de EU, bijvoorbeeld wanneer een plug-in data opslaat in de Verenigde Staten.

Google Analytics

Maak je gebruik van Google Analytics? Zorg er dan voor dat je deze conform AVG en Telecommunicatiewet instelt. Google Analytics verzamelt onder andere IP-adressen en andere online identificatoren, die als persoonsgegevens kunnen kwalificeren. Het gebruik van Google Consent Mode is geen wettelijke verplichting, maar kan helpen om tracking pas te activeren nadat geldige toestemming is verkregen. Zorg daarnaast voor een juiste configuratie, waaronder het beperken van gegevensverzameling waar mogelijk, het sluiten van een verwerkersovereenkomst en het beoordelen van eventuele internationale doorgiften.

Webshops moeten een herroepingsknop hebben

Deze verplichting vloeit niet voort uit de AVG, maar uit het consumentenrecht (Boek 6 BW). Vanaf 19 juni 2026 moeten webshops naar verwachting een duidelijke herroepingsknop hebben. Met deze knop kunnen consumenten eenvoudig hun aankoop of dienst annuleren binnen de wettelijke bedenktijd van 14 dagen. De knop moet een duidelijke tekst bevatten, zoals ‘hier de overeenkomst ontbinden’. De knop vervangt het modelformulier voor herroeping niet, maar is een aanvullende mogelijkheid. Let op: de inwerkingtreding is afhankelijk van parlementaire goedkeuring van de wetswijziging.

Controleer of je website voldoet aan AVG

Controleer of je website voldoet aan de AVG, de Telecommunicatiewet en – indien van toepassing – het consumentenrecht. Ga na of voor de door jou gebruikte cookies toestemming is vereist en of je privacyverklaring volledig is. Sluit waar nodig verwerkersovereenkomsten af en zorg dat je beveiligingsmaatregelen aantoonbaar passend zijn.

Meer weten?

aaff is graag overal van betekenis. Wil je juridische ondersteuning en/of advies op het gebied van de AVG? Neem contact op met onze jurist ICT- en privacyrecht.