GDPR voor uw website: wat is écht verplicht? (gids voor KMO's)

De GDPR (in het Nederlands: AVG) bestaat al sinds 2018, maar de meeste KMO-websites zijn er nog steeds niet helemaal mee in orde. Niet uit kwade wil — wel omdat de uitleg meestal óf onleesbaar juridisch is, óf bangmakerij van iemand die u iets wil verkopen. Hier is de nuchtere versie: wat moet er echt zijn, en wat niet.

Disclaimer: dit is praktische uitleg, geen juridisch advies. Voor complexe situaties (medische data, grote dataverwerking) raadpleegt u best een specialist.

Wat moet er verplicht op uw website staan?

1. Een privacyverklaring

Dit is niet optioneel. Zodra u persoonsgegevens verwerkt — en een contactformulier is dat al — moet u uitleggen:

• Wie u bent (bedrijfsnaam, ondernemingsnummer, contactgegevens).
• Welke gegevens u verzamelt (naam, e-mail, IP, …).
• Waarom en op welke rechtsgrond (uitvoering van een dienst, toestemming, …).
• Hoe lang u ze bewaart.
• Met wie u ze deelt (verwerkers zoals uw hostingpartij, e-mailtool, analytics).
• Welke rechten de bezoeker heeft (inzage, correctie, verwijdering) en hoe die uit te oefenen.

2. Een cookiebeleid + correcte cookiebanner

Hier gaan de meeste sites de mist in. De regel is simpel maar streng: niet-essentiële cookies mag u pas plaatsen ná toestemming. Concreet betekent dat:

• Analytics (zoals Google Analytics), marketing- en social-mediacookies mogen niet automatisch laden bij het openen van de pagina.
• Uw banner moet een echte keuze geven: weigeren moet even makkelijk zijn als aanvaarden. Een banner met enkel een “OK”-knop is niet conform.
• Essentiële cookies (die de site laten werken) mogen wel, zonder toestemming.

3. Algemene voorwaarden (indien u verkoopt)

Verkoopt u online producten of diensten? Dan zijn algemene voorwaarden en duidelijke info over prijs, levering en herroepingsrecht verplicht.

Wat is een veelgemaakte fout?

• Analytics dat meteen laadt. Veruit de meest voorkomende overtreding. Los het op door uw analytics achter de toestemming van de cookiebanner te plaatsen, of kies een privacyvriendelijk alternatief dat zonder cookies werkt.
• Een gekopieerde privacyverklaring van een ander bedrijf. Die klopt zelden met wat ú écht doet — en dat is net het punt.
• Geen weiger-knop in de cookiebanner.
• Een contactformulier zonder vermelding waarvoor de gegevens gebruikt worden.

Hoe komt u in orde — zonder gedoe?

1. Inventariseer welke tools op uw site data verzamelen (analytics, formulieren, embedded video’s, chat, social feeds).
2. Schrijf een eerlijke privacyverklaring die exact uw situatie beschrijft.
3. Zet een conforme cookiebanner die niet-essentiële scripts pas na toestemming laadt.
4. Kies waar mogelijk privacyvriendelijke tools — dat verkleint zowel uw risico als uw banner-rompslomp.

Het mooie: dit is grotendeels eenmalig werk. Eens goed gezet, blijft het in orde tot u nieuwe tools toevoegt.

Tot slot

GDPR-conformiteit is geen reden tot paniek, maar wel iets dat u niet mag negeren — boetes daargelaten, het is ook gewoon een kwestie van respect voor uw bezoekers. Bij elke website die we bouwen zetten we de privacyverklaring en een conforme cookiebanner standaard goed. Wilt u weten of uw huidige site in orde is? Laat het ons even bekijken.