AVG-check

AVG-check voor een website of webshop

De AVG is hier al sinds 2018, maar staat nog steeds in driekwart van de offertes als afterthought. Vijf dingen die wettelijk geregeld horen te zijn vóór je productie-data verwerkt.

Doe de AVG-check in je offerte Of laat een expert kijken

Vijf punten waar je leverancier op moet leveren

1. Verwerkersovereenkomst (DPA)

Wettelijk verplicht als je leverancier persoonsgegevens van jouw klanten verwerkt. De DPA hoort een lijst sub-verwerkers te bevatten (hosting, mailprovider, analytics, AI-API, betaaldienst), de scope van verwerking (welke gegevens, voor welk doel, hoe lang), en de procedure bij wijzigingen in sub-verwerkers. Ondertekend zijn vóór go-live, niet "ergens daarna".

2. Sub-verwerkers benoemd

Een DPA zonder lijst sub-verwerkers is een DPA zonder waarde. Jij moet weten aan wie je gegevens worden doorgespeeld om je eigen AVG-administratie (register van verwerkingen) compleet te kunnen krijgen. Vraag een actuele lijst, en hoe je geïnformeerd wordt bij wijzigingen.

3. Cookie-beleid en consent

Een cookie-banner is wettelijk verplicht voor tracking-, marketing- en social-media-cookies. Niet voor strikt noodzakelijke cookies (sessie, taalvoorkeur, winkelmandje). Een AVG-conforme banner geeft écht keuze ("alleen noodzakelijk" naast "alles accepteren"), niet alleen een verstopte afwijs-link. Hoort bij de oplevering, niet als "addon".

4. Bewaartermijnen

Per type gegeven moet duidelijk zijn hoe lang het bewaard wordt en op welke grond. Niet "zo lang als nodig" zonder verdere uitleg. Een goede applicatie heeft bewaartermijnen instelbaar in de admin, automatisch anonimiseren of verwijderen na X. Een statische "we maken back-ups voor altijd" is geen geldig bewaarbeleid.

5. Datalek-procedure

Bij een datalek geldt een meldplicht binnen 72 uur (artikel 33 AVG). Wie waarschuwt wie? Wie meldt het bij de Autoriteit Persoonsgegevens? Wie informeert de betrokkenen bij hoog risico? Deze keten hoort vooraf beschreven te zijn, niet pas afgesproken te worden als het ergens fout gaat.

EU-opslag en derde landen

Persoonsgegevens horen onder de AVG bij voorkeur op een EU-server. Amerikaanse providers (AWS, Google Cloud, Microsoft Azure) kunnen (mits contractueel afgedekt met Standard Contractual Clauses), maar dat moet expliciet in de DPA staan. "Bij Hetzner in Falkenstein" is helder en goed; "Onze hosting partner is X" zonder locatie is niet voldoende.

Wat je leverancier kan onderschatten

Drie dingen die agencies bij een offerte vaak vergeten omdat het "vanzelfsprekend" voelt, maar het AVG-juridisch wél is:

  • De cookie-consent moet ook geldig zijn voor analytics als die niet-geanonimiseerd zijn
  • Form-data die naar Mailchimp/Hubspot gaat is een doorgifte aan een sub-verwerker buiten de EU
  • AI-features (chatbot, samenvatter, etc.) zijn vrijwel altijd een derde sub-verwerker (OpenAI, Anthropic, etc.); vraag of die in de DPA staat
Veelgestelde vragen

AVG en website-offertes

Heb ik een verwerkersovereenkomst nodig voor mijn website?

Ja, zodra je website of webshop persoonsgegevens van bezoekers of klanten verwerkt en die door je leverancier (of een externe dienst) worden opgeslagen of bewerkt. Naam, e-mail, IP-adres, bestelhistorie, formulierdata, allemaal persoonsgegevens. Een verwerkersovereenkomst (DPA) is wettelijk verplicht onder de AVG en hoort ondertekend te zijn vóór productie-data verwerkt wordt, niet "later".

Welke cookies mag ik plaatsen zonder toestemming?

Alleen strikt noodzakelijke cookies (sessie, winkelmandje, taalvoorkeur, CSRF-tokens) en geanonimiseerde analytics waarbij je een verwerkersovereenkomst hebt met de analytics-leverancier en IP-adressen worden gemaskeerd. Voor alle tracking-, marketing- en social-media-cookies heb je expliciete opt-in nodig (een banner met écht keuze, niet alleen een "OK"-knop).

Hoe lang mag ik klantgegevens bewaren?

Niet langer dan nodig. De AVG geeft geen vaste termijn maar wel een principe: bewaartermijn moet aansluiten op het doel. Vuistregel: actieve klanten zolang ze klant zijn, daarna 7 jaar voor fiscale bewaarplicht (administratie), niet-klanten en leads max 24 maanden zonder contact, marketing-toestemmingen vervallen na 24-36 maanden zonder interactie. Documenteer per type gegeven welke termijn en waarom.

Moet mijn webbureau ISO 27001 hebben?

Wettelijk niet, maar voor diensten waar persoonsgegevens verwerkt worden is het een sterk signaal van informatiebeveiliging. Niet elke bouwer hoeft het zelf te hebben, soms heeft de hostingpartij het en is dat voldoende afgedekt in de verwerkersovereenkomst. Vraag wel concreet welke certificering van toepassing is op welke schakel, en wat er gebeurt als er een lek is.

Wat moet ik doen bij een datalek op mijn website?

Binnen 72 uur na constatering moet je de Autoriteit Persoonsgegevens informeren als het risico op schade voor betrokkenen niet onwaarschijnlijk is. Bij hoog risico moet je ook de betrokkenen zelf informeren. In de praktijk: je leverancier hoort jou direct in te lichten zodra hij iets ontdekt, jij bent als verwerkingsverantwoordelijke partij verplicht tot melden. Een goede offerte beschrijft deze keten op voorhand.

Doe de check op je eigen offerte

De sectie Data, AVG en cookies in de zelf-test

Zeven vragen in twee minuten brengen de AVG-status van je offerte in beeld, plus de DPA-vragen die je nog moet stellen voor je tekent. Onderdeel van de bredere zelf-test van acht secties.

Begin de zelf-test