Privacyverklaring website — template + uitleg

TL;DR Een privacyverklaring moet 8 dingen bevatten: wie je bent, welke data je verzamelt, voor welk doel, op welke rechtsgrond, hoe lang je het bewaart, met wie je het deelt, welke rechten de bezoeker heeft, en hoe ze contact opnemen. Voor MKB schrijf je 'm in 30 minuten met de AP-generator als basis. Niet kopiëren van een andere site — een privacyverklaring moet kloppen met jouw werkelijke datastromen. Een goede MKB-verklaring is 600-1500 woorden.

De 8 verplichte onderdelen

1. Wie je bent (verwerkingsverantwoordelijke)

Bedrijfsnaam, KvK-nummer, vestigingsadres, contactgegevens. Bij MKB ben jij zelf meestal de verwerkingsverantwoordelijke. Voor onze klanten: "DesignCheck, KvK 91772893, Mijdrecht" volstaat als template — vervang met jouw eigen gegevens.

2. Welke persoonsgegevens je verzamelt

Concreet per type: contactformulier (naam, e-mail, telefoon, bericht), nieuwsbrief (naam, e-mail), bestellingen (naam, factuuradres, telefoon, betaaldata), Analytics (IP-adres, klikgedrag, apparaat-info). Geen vage zin als "alle gegevens die je vrijwillig deelt" — dat klopt voor niemand.

3. Voor welk doel

Per data-categorie het doel. "Naam en e-mail uit contactformulier — om je vraag te beantwoorden". "Naam en factuuradres uit bestelling — om je bestelling uit te voeren en de wettelijke fiscale bewaarplicht na te leven". Doel moet specifiek zijn, niet "marketing-doeleinden in brede zin".

4. Op welke rechtsgrond

AVG kent 6 rechtsgronden. Voor MKB zijn er meestal maar drie relevant:

Toestemming — nieuwsbrief, marketing-cookies, talent pool na sollicitatie
Uitvoering overeenkomst — alles rond een bestelling, factuur, levering
Gerechtvaardigd belang — beantwoorden van een contactvraag, beveiliging van je site

"Wettelijke plicht" (fiscale bewaarplicht 7 jaar) en "vitaal belang" (medische noodgevallen) zijn de andere — zelden relevant voor de meeste MKB.

5. Bewaartermijn

Concrete termijnen per data-categorie. Veelvoorkomende termijnen voor MKB:

Contactformulier-data — 1 jaar (of korter als je het echt niet langer nodig hebt)
Klantgegevens (facturen, bestellingen) — 7 jaar (fiscale bewaarplicht)
Nieuwsbrief — tot uitschrijving
Sollicitanten — 4 weken na afwijzing (tenzij toestemming voor talent pool: 1 jaar)
Analytics — 14 maanden bij GA4 standaard

6. Met wie je deelt

Lijst je verwerkers op. Concreet: "hosting-provider X", "e-mailmarketing tool Y", "betaalprovider Mollie/Stripe", "boekhoudprogramma Moneybird". Per partij: welk type data ze verwerken en in welk land ze zitten (EU vs buiten EU). Voor de meeste MKB: TransIP/Vimexx (NL), Google (VS), Mailchimp (VS), Mollie (NL).

7. Welke rechten de bezoeker heeft

Standaardlijst die in elke privacyverklaring hoort:

Recht op inzage
Recht op correctie
Recht op verwijdering ("vergetelheid")
Recht op beperking van verwerking
Recht op dataportabiliteit
Recht op bezwaar tegen verwerking
Recht om toestemming in te trekken
Recht om klacht in te dienen bij de Autoriteit Persoonsgegevens

8. Contactgegevens voor verzoeken

Een privacy@-e-mailadres of contactformulier, met de belofte dat verzoeken binnen 30 dagen worden behandeld (wettelijke termijn). Vermeld ook dat de bezoeker zich kan wenden tot de AP als hij niet tevreden is met je antwoord.

Welke zinnen je beter weglaat

"Wij respecteren je privacy" — leeg, voegt niets toe.
"Wij verwerken alleen data die strikt noodzakelijk is" — als je Analytics gebruikt is dat niet strikt noodzakelijk.
"Door deze site te bezoeken accepteer je deze verklaring" — toestemming werkt zo niet onder AVG.
"Wij delen geen data met derden" — onwaar als je Analytics, Mailchimp of betaalproviders gebruikt.
"Wij gebruiken cookies om je ervaring te verbeteren" — vaag, niet informatief, niet AP-conform.

Schrijfproces in 30 minuten

Open de AP-generator van Veilig Internetten — gratis, gemaakt door de overheid.
Beantwoord de vragen over jouw situatie (welke data, welke tools, welke doelen).
Download het resultaat als basis-tekst.
Vul aan met de tools die de generator niet kent (HubSpot, Calendly, Stripe, etc.). Vermeld per tool: doel + land waar de data wordt opgeslagen.
Check elke datastroom in je bedrijf: is hij vermeld? Klopt de bewaartermijn?
Plaats de tekst op /privacy of /privacyverklaring met datum "laatst bijgewerkt".
Update de datum bij elke materiële wijziging (nieuwe tool, nieuwe data-categorie).

Bij audits zien we vaak dezelfde fout: een tekst uit 2018 die nog Universal Analytics noemt terwijl de site al lang GA4 draait, of die Hotjar niet vermeldt terwijl de pixel actief is. Een onjuiste verklaring is juridisch zwakker dan een korte juiste.

Voorbeeld-structuur voor MKB

Werkbare structuur (kopieer als raamwerk, vul in met jouw werkelijkheid):

Inleiding (2 zinnen — wie je bent, wat dit document is)
Wie is verantwoordelijk (KvK, adres, contact)
Welke gegevens verzamelen wij (per data-bron: contactformulier, nieuwsbrief, bestelling, analytics)
Met welk doel en op welke grondslag
Hoe lang bewaren wij
Met wie delen wij (verwerkers met land + DPA)
Cookies (verwijzing naar cookies-pagina)
Beveiliging (HTTPS, 2FA, backup-beleid in 2 zinnen)
Jouw rechten (inzage, correctie, verwijdering, etc.)
Hoe je een verzoek indient (privacy@-adres, contactformulier)
Klachtenregeling bij AP
Datum laatste wijziging

Wat krijg je bij DesignCheck?

Bij elke Rebuild en Premium schrijven we een op-maat privacyverklaring op basis van een intake-formulier waarin je je tools en datastromen invult. Vlot, geen jurist-tarief, geen template-copy. Bij Refresh tegen meerprijs van €150.

Privacyverklaring standaard inbegrepen

Op-maat geschreven privacyverklaring (gebaseerd op intake) zit in elke Rebuild (€3.995) en Premium (€6.995). Geen template-copy.

Volledig prijsoverzicht →

Volgende stappen

Lees onze AVG-pillar voor MKB voor het bredere plaatje. Twijfel je over de cookie-banner, dan staat de uitleg in cookie-banner correct implementeren. Wil je een audit van je huidige privacyverklaring? Vraag de gratis DesignCheck Audit aan. Of bekijk de verliescalculator om te zien wat slechte compliance je kost aan vertrouwen. Voor lokale hulp bij implementatie: webdesigner Mijdrecht.

FAQ — privacyverklaring

Kan ik gewoon een template van een andere site kopiëren?

Nee. Een privacyverklaring moet jouw specifieke datastromen beschrijven — welke tools je gebruikt, welke data je opslaat en waarom. Een gekopieerde tekst is juridisch zwak omdat ze niet klopt met je werkelijke processen.

Hoe lang moet een privacyverklaring zijn?

Voor een MKB-site typisch 600-1500 woorden. Korter dan 400 is meestal te beknopt; langer dan 3000 wordt onleesbaar. Het gaat om volledig, niet om wollig.

Moet ik er bewaartermijnen in zetten?

Ja. De AVG verplicht dit. Voor MKB: contactformulier-data 1 jaar, klantgegevens 7 jaar (fiscale bewaarplicht), sollicitanten 4 weken na afwijzing (tenzij toestemming voor talent pool).

Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.

Privacyverklaring — template + uitleg.