GDPR & AVG Compliant Website: Complete Juridische Checklist 2024

GDPR/AVG boetes kunnen oplopen tot €20 miljoen. Deze checklist helpt je je website volledig compliant te maken.

GDPR/AVG Basis

Wat is GDPR/AVG?

GDPR (General Data Protection Regulation) is EU wetgeving sinds mei 2018. AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse implementatie.

Wanneer van Toepassing?

✅ Je website verzamelt persoonsgegevens ✅ Je hebt bezoekers uit de EU ✅ Je gebruikt cookies (niet-functioneel) ✅ Je hebt contact formulieren ✅ Je gebruikt analytics (Google Analytics)

Boetes & Sancties

Maximale boetes:

• €20 miljoen of 4% jaaromzet (hoogste bedrag)
• Nederland 2023: €3.7 miljoen aan boetes

Veelgemaakte overtredingen:

• Geen geldige toestemming cookies
• Geen/slechte privacy policy
• Data breach niet gemeld
• Geen rechten individu gerespecteerd

Persoonsgegevens Identificeren

Wat Zijn Persoonsgegevens?

Directe identificatie:

• Naam, e-mailadres
• Telefoonnummer
• Adresgegevens
• IP-adres
• Cookie IDs

Indirecte identificatie:

• Browser fingerprinting
• Locatiegegevens
• Online gedrag profiling
• Cross-device tracking

Data Audit: Wat Verzamel Je?

Contact Formulieren:

• Naam ✓
• E-mail ✓
• Telefoon ✓
• Bedrijfsnaam (mogelijk)
• Bericht inhoud ✓

Analytics:

• IP-adres ✓
• Browser info ✓
• Apparaat type ✓
• Pagina bezoeken ✓
• Referrer URLs ✓

Marketing:

• E-mail opens ✓
• Link clicks ✓
• Social media pixels ✓
• Retargeting data ✓

Rechtmatige Grondslag

6 Grondslagen GDPR

1. Toestemming

• Wanneer: Marketing, niet-essentiële cookies
• Vereisten: Vrij gegeven, specifiek, geïnformeerd
• Intrekbaar: Makkelijk om terug te nemen

2. Contractuele Verplichting

• Wanneer: Order processing, account aanmaken
• Voorbeeld: E-commerce checkout process

3. Wettelijke Verplichting

• Wanneer: BTW administratie, KvK registratie
• Voorbeeld: Factuurgegevens bewaren

4. Vitale Belangen

• Wanneer: Levensbedreigende situaties (zelden websites)

5. Publieke Taak

• Wanneer: Overheidsorganisaties (niet van toepassing)

6. Gerechtvaardigd Belang

• Wanneer: Beveiliging, fraud preventie
• Test: Noodzakelijk + proportioneel + balanstest
• Voorbeeld: IP logging voor security

Toestemming Correct Implementeren

Geldige Toestemming Vereist: ✅ Vrij gegeven - geen dwang ✅ Specifiek - duidelijk waarvoor
✅ Geïnformeerd - transparant ✅ Ondubbelzinnig - actieve handeling

Voorbeelden Ongeldige Toestemming: ❌ Pre-checked boxes ❌ Cookie walls (access blokkeren) ❌ "Door gebruik te maken van..." ❌ Bundling (alles of niets)

Cookie Compliance

Cookie Categorieën

1. Strictly Necessary (Essentieel)

• Geen toestemming nodig
• Voorbeelden: Login sessions, shopping cart, security
• Analytics: Alleen aggregated, anonymous

2. Functional (Functioneel)

• Implied consent mogelijk
• Voorbeelden: Language preference, accessibility settings

3. Performance/Analytics

• Toestemming vereist
• Voorbeelden: Google Analytics, heatmaps, A/B testing

4. Marketing/Targeting

• Toestemming vereist
• Voorbeelden: Facebook Pixel, Google Ads, retargeting

Cookie Consent Implementation

Consent Management Platform (CMP): Popular options:

• Cookiebot - €25/maand
• OneTrust - Enterprise
• CookieYes - €10/maand
• Termly - Gratis tier

DIY Implementation:

// Basic consent check
function hasConsent(category) {
  return localStorage.getItem('consent-' + category) === 'true';
}

// Only load analytics after consent
if (hasConsent('analytics')) {
  // Load Google Analytics
  gtag('config', 'GA_MEASUREMENT_ID');
}

Privacy Policy

Verplichte Informatie

Artikel 13 GDPR vereist:

1. Identiteit Verwerkingsverantwoordelijke

• Bedrijfsnaam
• Contactgegevens
• KvK nummer
• DPO contact (indien van toepassing)

2. Verwerkingsdoeleinden

• Waarvoor gebruik je de data?
• Op welke grondslag?
• Hoe lang bewaar je het?

3. Ontvangers Data

• Worden gegevens gedeeld?
• Met wie? (Google, hosting providers)
• Binnen/buiten EU?

4. Rechten Betrokkene

• Inzage, rectificatie, verwijdering
• Beperking, overdraagbaarheid
• Bezwaar, geautomatiseerde besluitvorming

5. Klachtrecht

• Autoriteit Persoonsgegevens contact
• Recht om klacht in te dienen

Privacy Policy Template

# Privacybeleid [Bedrijfsnaam]

## 1. Wie zijn wij?
[Bedrijfsnaam] (KvK: [nummer]) is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.

**Contactgegevens:**
- Adres: [volledig adres]
- E-mail: [privacy@bedrijf.nl]
- Telefoon: [nummer]

## 2. Welke gegevens verwerken wij?

### Contactformulier
**Gegevens:** Naam, e-mailadres, telefoonnummer, bericht
**Doel:** Beantwoorden van uw vraag
**Grondslag:** Gerechtvaardigd belang (klantenservice)
**Bewaartermijn:** 2 jaar

### Website Analytics  
**Gegevens:** IP-adres (geanonimiseerd), browser, pagina bezoeken
**Doel:** Website verbeteren
**Grondslag:** Toestemming
**Bewaartermijn:** 26 maanden (Google Analytics)

## 3. Cookies
We gebruiken cookies voor:
- **Functioneel:** Website functionaliteit
- **Analytisch:** Bezoekersstatistieken (toestemming vereist)
- **Marketing:** Advertenties (toestemming vereist)

Zie ons cookiebeleid voor meer details.

## 4. Gegevens delen
Wij delen uw gegevens met:
- **Google Analytics** - VS (adequaatheidsbesluit)
- **Hosting provider** - Nederland
- **E-mail provider** - Nederland

## 5. Uw rechten
U heeft recht op:
- **Inzage** - weten welke gegevens we hebben
- **Rectificatie** - onjuiste gegevens corrigeren  
- **Verwijdering** - gegevens laten wissen
- **Beperking** - verwerking pauzeren
- **Overdraagbaarheid** - gegevens exporteren
- **Bezwaar** - tegen verwerking

**Contact:** [privacy@bedrijf.nl]

## 6. Klachten
Bij klachten kunt u contact opnemen met de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl

## 7. Wijzigingen
Dit beleid kan worden aangepast. Check regelmatig voor updates.

**Laatst bijgewerkt:** [datum]

Data Subject Rights

Rechten Implementeren

1. Right of Access (Inzage)

• Binnen 1 maand reageren
• Gratis (bij redelijke verzoeken)
• Alle gegevens + metadata

2. Right to Rectification (Rectificatie)

• Onjuiste gegevens corrigeren
• Ontbrekende gegevens aanvullen

3. Right to Erasure (Verwijdering)

• "Right to be forgotten"
• Geen geldige grondslag meer
• Toestemming ingetrokken

4. Right to Restrict Processing

• Verwerking pauzeren
• Tijdens geschil over juistheid
• Als alternatief voor verwijdering

5. Data Portability (Overdraagbaarheid)

• Structured, machine-readable format
• Direct naar andere verwerkingsverantwoordelijke
• Alleen bij geautomatiseerde verwerking

Rights Request Process

Request Form Template:

<form>
  <h3>Privacy Rights Verzoek</h3>
  
  <label>Type verzoek:</label>
  <select name="request_type">
    <option>Inzage gegevens</option>
    <option>Rectificatie gegevens</option>  
    <option>Verwijdering gegevens</option>
    <option>Beperking verwerking</option>
    <option>Data export</option>
  </select>
  
  <label>Naam:</label>
  <input type="text" name="name" required>
  
  <label>E-mail:</label>
  <input type="email" name="email" required>
  
  <label>Toelichting:</label>
  <textarea name="details"></textarea>
  
  <p><small>We reageren binnen 1 maand op uw verzoek.</small></p>
  
  <button type="submit">Verzenden</button>
</form>

Data Breaches

Meldplicht Data Breach

Binnen 72 uur melden bij Autoriteit Persoonsgegevens als:

• Hoog risico voor rechten en vrijheden
• Ongeautoriseerde toegang tot gegevens
• Data verlies of diefstal
• Ransomware aanval

Breach Response Plan

Stap 1: Containment (0-1 uur)

• Beveilig systemen
• Stop verdere toegang
• Documenteer incident

Stap 2: Assessment (1-24 uur)

• Welke data betrokken?
• Hoeveel personen?
• Wat is het risico?

Stap 3: Notification (24-72 uur)

• Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl
• Betrokkenen: bij hoog risico
• Interne stakeholders

Stap 4: Remediation

• Fix vulnerabiliteit
• Monitor systemen
• Update procedures

Vendor Management

Third-Party GDPR Compliance

Data Processing Agreements (DPA's) vereist met:

• Hosting providers
• Analytics services (Google)
• E-mail providers
• CRM systems
• Payment processors

DPA Checklist

✅ Processing instructions - wat mogen ze doen? ✅ Data categories - welke gegevens?
✅ Retention periods - hoe lang bewaren? ✅ Security measures - hoe beveiligen? ✅ Sub-processor permissions - mogen ze uitbesteden? ✅ Data breach notification - melden binnen 24u ✅ Audit rights - mogen we controleren?

International Transfers

Data buiten EU/EEA:

Adequate Countries: (geen extra maatregelen)

• UK, Canada, Japan, South Korea
• USA: Alleen gecertificeerde bedrijven

Inadequate Countries: (extra waarborgen)

• Standard Contractual Clauses (SCC)
• Binding Corporate Rules (BCR)
• Certification schemes

Technical Safeguards

Security Measures

Artikel 32 GDPR vereist:

1. Pseudonymisation/Encryption

• Hash/encrypt sensitive data
• Separate identification data
• Use HTTPS everywhere

2. Confidentiality

• Access controls
• User authentication
• Principle of least privilege

3. Integrity

• Protect against tampering
• Data validation
• Audit logs

4. Availability

• Backup systems
• Disaster recovery
• Uptime monitoring

5. Resilience

• Redundant systems
• Failover mechanisms
• Regular testing

Privacy by Design

Implementatie:

1. Data Minimisation

// Collect only what's needed
const contactForm = {
  required: ['name', 'email', 'message'],
  optional: ['phone'], // Only if business need
  excluded: ['birthdate', 'address'] // Not needed
};

2. Purpose Limitation

// Separate consent for different purposes
const consent = {
  newsletter: false,
  analytics: false,  
  marketing: false
};

3. Storage Limitation

// Auto-delete old data
const retentionPeriods = {
  contactForms: 365 * 2, // 2 years
  analytics: 365 * 2.2,  // 26 months  
  marketing: 365 * 3     // 3 years
};

WordPress GDPR Compliance

Core GDPR Features (sinds WP 4.9.6)

1. Privacy Policy Page

• Template with guidance
• Legal requirements covered
• Customizable per business

2. Export Personal Data

• User can request data export
• JSON format download
• Admin interface

3. Erase Personal Data

• Right to be forgotten
• Remove comments, posts
• Pseudonymize where needed

4. Consent Checkboxes

• Comment forms
• Registration forms
• Contact forms

Essential GDPR Plugins

1. GDPR Cookie Consent

• Cookie banner
• Consent management
• Analytics integration

2. WP GDPR Compliance

• Rights request forms
• Data export/deletion
• Consent logs

3. Contact Form 7 + GDPR

• Consent checkboxes
• Data retention settings
• Export capabilities

Compliance Checklist

Legal Requirements ✅

• [ ] Privacy policy published
• [ ] Cookie policy created
• [ ] Terms of service updated
• [ ] Data processing register
• [ ] DPO appointed (if required)

Technical Implementation ✅

• [ ] Cookie consent banner
• [ ] Analytics opt-in
• [ ] Contact form consent
• [ ] Data retention automated
• [ ] Export/deletion process

Processes & Procedures ✅

• [ ] Rights request procedure
• [ ] Data breach response plan
• [ ] Vendor agreements (DPA's)
• [ ] Staff GDPR training
• [ ] Regular compliance audits

Documentation ✅

• [ ] Data processing activities
• [ ] Consent records
• [ ] Risk assessments
• [ ] Breach incident logs
• [ ] Training records

Common Violations & Penalties

Top GDPR Violations

1. Insufficient Legal Basis - €746M (Amazon) 2. Excessive Data Collection - €225M (WhatsApp)
3. Lack of Transparency - €60M (Google) 4. No Valid Consent - €35M (H&M)

Red Flags to Avoid

❌ Pre-ticked consent boxes ❌ Cookie walls (access denied) ❌ Unclear privacy policies
❌ No data retention limits ❌ Ignoring rights requests ❌ No breach procedures

Cost of GDPR Compliance

Implementation Costs

DIY Approach:

• Time: 40-80 hours
• Tools: €50-200/month
• Legal review: €1000-3000

Professional Setup:

• Consultation: €2000-5000
• Implementation: €3000-8000
• Ongoing: €500-1500/month

ROI of Compliance

Benefits:

• Avoid massive fines
• Increased customer trust
• Better data governance
• Competitive advantage
• Reduced legal risks

Conclusion

GDPR compliance is not optional - it's business critical. Start with the basics and build systematically.

Start Today:

1. Data audit - wat verzamel je?
2. Privacy policy updaten
3. Cookie consent implementeren
4. Procedures documenteren

Hulp nodig? Wij maken je website volledig GDPR/AVG compliant en houden je compliant. Neem contact op voor een gratis compliance audit.