De 8 minimum-eisen
1. Cookie-banner met echte keuze
Een banner die alleen "OK"-knop biedt is niet compliant. Je moet bezoekers de keuze geven tussen alleen functionele cookies (verplicht voor de site om te werken) en marketing/tracking cookies (Google Analytics, Hotjar, etc.).
Gratis tools: Cookiebot (gratis tot 100 pagina's), CookieConsent (open-source).
2. Werkende AVG/privacy-pagina
Moet beschrijven: welke data verzamel je, waarom, hoe lang bewaar je het, met wie deel je het, hoe iemand het kan inzien/verwijderen. Geen generieke template-pagina — moet jouw specifieke gegevensstroom beschrijven.
Template-generator: Autoriteit Persoonsgegevens generator.
3. Cookies-pagina
Moet vermelden: welke cookies je gebruikt, van welke partij ze komen, wat ze doen, hoe lang ze actief blijven. Cookiebot genereert dit automatisch op basis van scan.
4. Algemene voorwaarden
Niet strikt AVG maar onlosmakelijk verbonden. Voor e-commerce verplicht (BW boek 6). Voor diensten-MKB ook aan te bevelen.
5. Expliciete toestemming op formulieren
Bij elk formulier waar je persoonlijke data verzamelt (naam, email, telefoon) moet een aanvink-vakje staan: "Ik ga akkoord met de privacy-verklaring". Niet vooraf aangevinkt — bezoeker moet actief klikken. Doel: aantoonbare toestemming.
6. Recht-op-vergetelheid-procedure
Iedereen heeft het recht om zijn data uit jouw systemen te laten verwijderen. Procedure: e-mailadres + intake-formulier op AVG-pagina + maximaal 30 dagen verwerkingstijd. Voor MKB voldoende een e-mail-procedure (geen apart dashboard).
7. Verwerkersovereenkomsten
Voor elke externe partij die persoonsdata verwerkt (Google Analytics, Mailchimp, je hosting-provider, je CRM) moet een verwerkersovereenkomst (Data Processing Agreement) zijn gesloten. Meeste grote partijen bieden standaard DPA aan — accept gewoon.
8. Data Protection Officer (DPO)
Alleen verplicht bij grote organisaties (250+ medewerkers OF gespecialiseerd in grootschalige persoonsdata-verwerking). Voor MKB onder 50 medewerkers meestal niet nodig.
Hoog-risico domeinen die EXTRA opletten
- Zorg en paramedisch — patiëntdata is bijzondere categorie. Extra eisen.
- Advocaten en juridisch advies — clientgegevens zijn beroepsgeheim. Wbtr-vereisten naast AVG.
- Financieel adviseurs en accountants — Wwft + AVG samen.
- Webshops — betaaldata, adresgegevens, koopgeschiedenis. PCI-DSS-eisen erbovenop.
Boete-risico in NL — realistisch
De Autoriteit Persoonsgegevens doet jaarlijks honderden onderzoeken maar slechts enkele tientallen sancties. Gemiddelde NL-boete bedraagt €1.000-€10.000 voor MKB. Grote organisaties (Booking.com, Uber, KLM) hebben boetes van miljoenen ontvangen.
Reëel risico voor MKB: meestal start het onderzoek na een klacht van een bezoeker. Schending leidt eerst tot waarschuwing, dan tot boete als niet binnen 4 weken hersteld.
Wat kost het om compliant te worden?
- DIY (zelf doen): €0 + 4-8 uur eigen tijd. Cookiebot gratis, AP-generator gratis, template-AV's gratis.
- Bij DesignCheck inbegrepen: AVG-compliance zit standaard in elke Rebuild + Premium (€3.995+).
- Juridisch volledig dichtgespijkerd: €500-€2.000 voor jurist die teksten op maat schrijft. Voor zorg/juridisch/financieel sectoren aan te bevelen.
Volgende stap
Check je huidige AVG-compliance via de gratis DesignCheck Audit. Binnen 48 uur krijg je een lijst met punten die ontbreken of niet werken.
FAQ — AVG-compliance
Moet ik een Functionaris Gegevensbescherming aanstellen?
Wat als ik 'gewoon' Google Analytics gebruik?
Is een AVG-pagina kopiëren van een andere site OK?
Door Lorenzo Ruisi — DesignCheck. Laatst bijgewerkt 16 mei 2026.