Skip to content
Misvattingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Misvatting: GDPR Gaat Over Cookies

Veel ondernemers denken dat de GDPR alleen over cookies gaat. Maar cookies zijn slechts een klein onderdeel. De GDPR gaat over alle persoonsgegevens die je verwerkt, in welke vorm dan ook.

summarize Kernpunten
  • check_circle De GDPR gaat over alle persoonsgegevens die je verwerkt, niet alleen cookies op je website
  • check_circle Cookies vallen deels onder de ePrivacy-richtlijn, niet rechtstreeks onder de GDPR
  • check_circle Je klantendatabase, personeelsdossiers en leverancierslijsten vallen allemaal onder de GDPR
  • check_circle Een cookie banner alleen maakt je niet GDPR-compliant

De misvatting

“De GDPR? Ja, dat gaat over cookies toch? We hebben een cookie banner, dus dat zit wel goed.”

Als je dit denkt, ben je niet alleen. Het is een van de hardnekkigste misvattingen over de GDPR (in Nederland ook bekend als de AVG). De media-aandacht rond de invoering in 2018 ging grotendeels over cookie pop-ups en privacyverklaringen op websites. Logisch dat veel ondernemers denken dat het daarbij blijft.

Maar de werkelijkheid is heel anders.

Waarom dit niet klopt

De GDPR is een Europese verordening die de bescherming van alle persoonsgegevens regelt. Cookies zijn daar slechts een heel klein onderdeel van, en strikt genomen vallen cookies zelfs primair onder de ePrivacy-richtlijn, niet onder de GDPR zelf.

De GDPR gaat over elke handeling die je uitvoert met persoonsgegevens. Dat heet “verwerken” in juridisch jargon, en het omvat:

  • Verzamelen van klantgegevens via een contactformulier of bestelling
  • Opslaan van personeelsdossiers in je HR-systeem
  • Delen van salarisgegevens met je sociaal secretariaat
  • Versturen van nieuwsbrieven naar je mailinglijst
  • Bewaren van leverancierscontacten in je e-mailprogramma
  • Filmen van bezoekers met beveiligingscamera’s

Merk op: de meeste van deze verwerkingen hebben niets met je website te maken.

Een voorbeeld uit de praktijk

Neem een kleine winkel met een webshop. De eigenaar heeft een nette cookie banner laten plaatsen door zijn webdesigner. Hij denkt dat hij “klaar” is met de GDPR.

Maar in zijn dagelijkse bedrijfsvoering:

  • Houdt hij een klantenbestand bij in Excel met namen, adressen en telefoonnummers
  • Stuurt hij facturen met klantgegevens naar zijn boekhouder via e-mail
  • Heeft hij twee medewerkers waarvan hij personeelsdossiers bewaart
  • Gebruikt hij Google Workspace voor zijn e-mail, waar klantcommunicatie in staat
  • Heeft hij een beveiligingscamera aan de ingang van zijn winkel

Elk van deze punten is een verwerking van persoonsgegevens die onder de GDPR valt. De cookie banner dekt hiervan precies niets.

Wat de GDPR werkelijk van je vraagt

De GDPR vereist dat je voor al je verwerkingen het volgende geregeld hebt:

  1. Een verwerkingsregister: een overzicht van alle activiteiten waarbij je persoonsgegevens verwerkt, met per activiteit het doel, de rechtsgrondslag en de bewaartermijn
  2. Verwerkersovereenkomsten: met elke partij die namens jou persoonsgegevens verwerkt (boekhouder, e-maildienst, cloudopslag, salarisverwerker)
  3. Een privacyverklaring: die alle verwerkingen beschrijft, niet alleen die op je website
  4. Procedures voor datalekken: weet je wat je moet doen als er gegevens op straat komen te liggen?
  5. Procedures voor betrokkenenverzoeken: wat doe je als een klant vraagt om inzage of verwijdering van zijn gegevens?

Wat je nu kunt doen

Stop met denken dat je GDPR-verhaal begint en eindigt bij je website. Pak een leeg vel papier en beantwoord deze vragen:

  • Welke persoonsgegevens verzamel ik, van klanten, medewerkers en leveranciers?
  • Waar sla ik die gegevens op?
  • Met wie deel ik ze?
  • Hoe lang bewaar ik ze?
  • Heb ik met al die partijen een verwerkersovereenkomst?

Als je die vragen kunt beantwoorden, heb je een veel beter beeld van wat de GDPR werkelijk van je vraagt. En spoiler: het gaat veel verder dan een cookie banner.

auto_awesome Wil je weten welke gegevens je verwerkt?

GDPRWise scant je website en brengt in kaart welke persoonsgegevens je verzamelt, met wie je ze deelt, en wat je nog moet regelen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.