GDPR & AVG Compliant Website: Complete Juridische Checklist 2025

GDPR/AVG boetes kunnen oplopen tot €20 miljoen. Deze checklist helpt je je website volledig compliant te maken.

GDPR/AVG Basis

Wat is GDPR/AVG-

GDPR (General Data Protection Regulation) is EU wetgeving sinds mei 2018. AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse implementatie.

Wanneer van Toepassing-

• Je website verzamelt persoonsgegevens
• Je hebt bezoekers uit de EU
• Je gebruikt cookies (niet-functioneel)
• Je hebt contact formulieren
• Je gebruikt analytics (Google Analytics)

Boetes & Sancties

Maximale boetes:

• e20 miljoen of 4% jaaromzet (hoogste bedrag)
• Nederland 2023: €3.7 miljoen aan boetes

Veelgemaakte overtredingen:

• Geen geldige toestemming cookies
• Geen/slechte privacy policy
• Data breach niet gemeld
• Geen rechten individu gerespecteerd

Persoonsgegevens Identificeren

Wat Zijn Persoonsgegevens-

Directe identificatie:

• Naam, e-mailadres
• Telefoonnummer
• Adresgegevens
• IP-adres
• Cookie IDs

Indirecte identificatie:

• Browser fingerprinting
• Locatiegegevens
• Online gedrag profiling
• Cross-device tracking

Data Audit: Wat Verzamel Je-

Contact Formulieren:

• Naam >
• E-mail >
• Telefoon >
• Bedrijfsnaam (mogelijk)
• Bericht inhoud >

Analytics:

• IP-adres >
• Browser info >
• Apparaat type >
• Pagina bezoeken >
• Referrer URLs >

Marketing:

• E-mail opens >
• Link clicks >
• Social media pixels >
• Retargeting data >

Rechtmatige Grondslag

6 Grondslagen GDPR

1. Toestemming

• Wanneer: Marketing, niet-essentiele cookies
• Vereisten: Vrij gegeven, specifiek, geinformeerd
• Intrekbaar: Makkelijk om terug te nemen

2. Contractuele Verplichting

• Wanneer: Order processing, account aanmaken
• Voorbeeld: E-commerce checkout process

3. Wettelijke Verplichting

• Wanneer: BTW administratie, KvK registratie
• Voorbeeld: Factuurgegevens bewaren

4. Vitale Belangen

• Wanneer: Levensbedreigende situaties (zelden websites)

5. Publieke Taak

• Wanneer: Overheidsorganisaties (niet van toepassing)

6. Gerechtvaardigd Belang

• Wanneer: Beveiliging, fraud preventie
• Test: Noodzakelijk + proportioneel + balanstest
• Voorbeeld: IP logging voor security

Toestemming Correct Implementeren

Geldige Toestemming Vereist:

• Vrij gegeven - geen dwang
• Specifiek - duidelijk waarvoor
• Geinformeerd - transparant
• Ondubbelzinnig - actieve handeling

Voorbeelden Ongeldige Toestemming:

• Pre-checked boxes
• Cookie walls (access blokkeren)
• "Door gebruik te maken van..."
• Bundling (alles of niets)

Cookie Compliance

Cookie Categorieen

1. Strictly Necessary (Essentieel)

• Geen toestemming nodig
• Voorbeelden: Login sessions, shopping cart, security
• Analytics: Alleen aggregated, anonymous

2. Functional (Functioneel)

• Implied consent mogelijk
• Voorbeelden: Language preference, accessibility settings

3. Performance/Analytics

• Toestemming vereist
• Voorbeelden: Google Analytics, heatmaps, A/B testing

4. Marketing/Targeting

• Toestemming vereist
• Voorbeelden: Facebook Pixel, Google Ads, retargeting

Cookie Consent Implementation

Consent Management Platform (CMP): Popular options:

• Cookiebot - €25/maand
• OneTrust - Enterprise
• CookieYes - €10/maand
• Termly - Gratis tier

DIY Implementation:

// Basic consent check
function hasConsent(category) {
  return localStorage.getItem('consent-' + category) === 'true';
}

// Only load analytics after consent
if (hasConsent('analytics')) {
  // Load Google Analytics
  gtag('config', 'GA_MEASUREMENT_ID');
}

Privacy Policy

Verplichte Informatie

Artikel 13 GDPR vereist:

1. Identiteit Verwerkingsverantwoordelijke

• Bedrijfsnaam
• Contactgegevens
• KvK nummer
• DPO contact (indien van toepassing)

2. Verwerkingsdoeleinden

• Waarvoor gebruik je de data-
• Op welke grondslag-
• Hoe lang bewaar je het-

3. Ontvangers Data

• Worden gegevens gedeeld-
• Met wie- (Google, hosting providers)
• Binnen/buiten EU-

4. Rechten Betrokkene

• Inzage, rectificatie, verwijdering
• Beperking, overdraagbaarheid
• Bezwaar, geautomatiseerde besluitvorming

5. Klachtrecht

• Autoriteit Persoonsgegevens contact
• Recht om klacht in te dienen

Privacy Policy Template

# Privacybeleid [Bedrijfsnaam]

## 1. Wie zijn wij- 
[Bedrijfsnaam] (KvK: [nummer]) is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.

**Contactgegevens:**
- Adres: [volledig adres]
- E-mail: [privacy@bedrijf.nl]
- Telefoon: [nummer]

## 2. Welke gegevens verwerken wij- 

### Contactformulier
**Gegevens:** Naam, e-mailadres, telefoonnummer, bericht
**Doel:** Beantwoorden van uw vraag
**Grondslag:** Gerechtvaardigd belang (klantenservice)
**Bewaartermijn:** 2 jaar

### Website Analytics  
**Gegevens:** IP-adres (geanonimiseerd), browser, pagina bezoeken
**Doel:** Website verbeteren
**Grondslag:** Toestemming
**Bewaartermijn:** 26 maanden (Google Analytics)

## 3. Cookies
We gebruiken cookies voor:
- **Functioneel:** Website functionaliteit
- **Analytisch:** Bezoekersstatistieken (toestemming vereist)
- **Marketing:** Advertenties (toestemming vereist)

Zie ons cookiebeleid voor meer details.

## 4. Gegevens delen
Wij delen uw gegevens met:
- **Google Analytics** - VS (adequaatheidsbesluit)
- **Hosting provider** - Nederland
- **E-mail provider** - Nederland

## 5. Uw rechten
U heeft recht op:
- **Inzage** - weten welke gegevens we hebben
- **Rectificatie** - onjuiste gegevens corrigeren  
- **Verwijdering** - gegevens laten wissen
- **Beperking** - verwerking pauzeren
- **Overdraagbaarheid** - gegevens exporteren
- **Bezwaar** - tegen verwerking

**Contact:** [privacy@bedrijf.nl]

## 6. Klachten
Bij klachten kunt u contact opnemen met de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl

## 7. Wijzigingen
Dit beleid kan worden aangepast. Check regelmatig voor updates.

**Laatst bijgewerkt:** [datum]

Data Subject Rights

Rechten Implementeren

1. Right of Access (Inzage)

• Binnen 1 maand reageren
• Gratis (bij redelijke verzoeken)
• Alle gegevens + metadata

2. Right to Rectification (Rectificatie)

• Onjuiste gegevens corrigeren
• Ontbrekende gegevens aanvullen

3. Right to Erasure (Verwijdering)

• "Right to be forgotten"
• Geen geldige grondslag meer
• Toestemming ingetrokken

4. Right to Restrict Processing

• Verwerking pauzeren
• Tijdens geschil over juistheid
• Als alternatief voor verwijdering

5. Data Portability (Overdraagbaarheid)

• Structured, machine-readable format
• Direct naar andere verwerkingsverantwoordelijke
• Alleen bij geautomatiseerde verwerking

Rights Request Process

Request Form Template:

<form>
  <h3>Privacy Rights Verzoek</h3>
  
  <label>Type verzoek:</label>
  <select name="request_type">
    <option>Inzage gegevens</option>
    <option>Rectificatie gegevens</option>  
    <option>Verwijdering gegevens</option>
    <option>Beperking verwerking</option>
    <option>Data export</option>
  </select>
  
  <label>Naam:</label>
  <input type="text" name="name" required>
  
  <label>E-mail:</label>
  <input type="email" name="email" required>
  
  <label>Toelichting:</label>
  <textarea name="details"></textarea>
  
  <p><small>We reageren binnen 1 maand op uw verzoek.</small></p>
  
  <button type="submit">Verzenden</button>
</form>

Data Breaches

Meldplicht Data Breach

Binnen 72 uur melden bij Autoriteit Persoonsgegevens als:

• Hoog risico voor rechten en vrijheden
• Ongeautoriseerde toegang tot gegevens
• Data verlies of diefstal
• Ransomware aanval

Breach Response Plan

Stap 1: Containment (0-1 uur)

• Beveilig systemen
• Stop verdere toegang
• Documenteer incident

Stap 2: Assessment (1-24 uur)

• Welke data betrokken-
• Hoeveel personen-
• Wat is het risico-

Stap 3: Notification (24-72 uur)

• Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl
• Betrokkenen: bij hoog risico
• Interne stakeholders

Stap 4: Remediation

• Fix vulnerabiliteit
• Monitor systemen
• Update procedures

Vendor Management

Third-Party GDPR Compliance

Data Processing Agreements (DPA's) vereist met:

• Hosting providers
• Analytics services (Google)
• E-mail providers
• CRM systems
• Payment processors

DPA Checklist

• Processing instructions - wat mogen ze doen-
• Data categories - welke gegevens-
• Retention periods - hoe lang bewaren-
• Security measures - hoe beveiligen-
• Sub-processor permissions - mogen ze uitbesteden-
• Data breach notification - melden binnen 24u
• Audit rights - mogen we controleren-

International Transfers

Data buiten EU/EEA:

Adequate Countries: (geen extra maatregelen)

• UK, Canada, Japan, South Korea
• USA: Alleen gecertificeerde bedrijven

Inadequate Countries: (extra waarborgen)

• Standard Contractual Clauses (SCC)
• Binding Corporate Rules (BCR)
• Certification schemes

Technical Safeguards

Security Measures

Artikel 32 GDPR vereist:

1. Pseudonymisation/Encryption

• Hash/encrypt sensitive data
• Separate identification data
• Use HTTPS everywhere

2. Confidentiality

• Access controls
• User authentication
• Principle of least privilege

3. Integrity

• Protect against tampering
• Data validation
• Audit logs

4. Availability

• Backup systems
• Disaster recovery
• Uptime monitoring

5. Resilience

• Redundant systems
• Failover mechanisms
• Regular testing

Privacy by Design

Implementatie:

1. Data Minimisation

// Collect only what's needed
const contactForm = {
  required: ['name', 'email', 'message'],
  optional: ['phone'], // Only if business need
  excluded: ['birthdate', 'address'] // Not needed
};

2. Purpose Limitation

// Separate consent for different purposes
const consent = {
  newsletter: false,
  analytics: false,  
  marketing: false
};

3. Storage Limitation

// Auto-delete old data
const retentionPeriods = {
  contactForms: 365 * 2, // 2 years
  analytics: 365 * 2.2,  // 26 months  
  marketing: 365 * 3     // 3 years
};

WordPress GDPR Compliance

Core GDPR Features (sinds WP 4.9.6)

1. Privacy Policy Page

• Template with guidance
• Legal requirements covered
• Customizable per business

2. Export Personal Data

• User can request data export
• JSON format download
• Admin interface

3. Erase Personal Data

• Right to be forgotten
• Remove comments, posts
• Pseudonymize where needed

4. Consent Checkboxes

• Comment forms
• Registration forms
• Contact forms

Essential GDPR Plugins

1. GDPR Cookie Consent

• Cookie banner
• Consent management
• Analytics integration

2. WP GDPR Compliance

• Rights request forms
• Data export/deletion
• Consent logs

3. Contact Form 7 + GDPR

• Consent checkboxes
• Data retention settings
• Export capabilities

Compliance Checklist

Legal Requirements

• Privacy policy published
• Cookie policy created
• Terms of service updated
• Data processing register
• DPO appointed (if required)

Technical Implementation

• Cookie consent banner
• Analytics opt-in
• Contact form consent
• Data retention automated
• Export/deletion process

Processes & Procedures

• Rights request procedure
• Data breach response plan
• Vendor agreements (DPA's)
• Staff GDPR training
• Regular compliance audits

Documentation

• Data processing activities
• Consent records
• Risk assessments
• Breach incident logs
• Training records

Common Violations & Penalties

Top GDPR Violations

1. Insufficient Legal Basis - €746M (Amazon) 2. Excessive Data Collection - €225M (WhatsApp)
3. Lack of Transparency - €60M (Google) 4. No Valid Consent - €35M (H&M)

Red Flags to Avoid

• Pre-ticked consent boxes
• Cookie walls (access denied)
• Unclear privacy policies
• No data retention limits
• Ignoring rights requests
• No breach procedures

Cost of GDPR Compliance

Implementation Costs

DIY Approach:

• Time: 40-80 hours
• Tools: €50-200/month
• Legal review: €1000-3000

Professional Setup:

• Consultation: €2000-5000
• Implementation: €3000-8000
• Ongoing: €500-1500/month

ROI of Compliance

Benefits:

• Avoid massive fines
• Increased customer trust
• Better data governance
• Competitive advantage
• Reduced legal risks

Conclusion

GDPR compliance is not optional - it's business critical. Start with the basics and build systematically.

Start Today:

1. Data audit - wat verzamel je-
2. Privacy policy updaten
3. Cookie consent implementeren
4. Procedures documenteren

Hulp nodig? Wij maken je website volledig GDPR/AVG compliant en houden je compliant. Neem contact op voor een gratis compliance audit.