Skip to content
Misvattingen calendar_today Bijgewerkt: 7 april 2026 schedule 4 min leestijd

Misvatting: Mijn Website is GDPR-compliant, dus Mijn Bedrijf ook

Een cookie pop-up en een privacyverklaring op je website maken je bedrijf niet GDPR-compliant. Echte compliance gaat veel verder dan je website. Dit artikel legt uit wat je mist.

summarize Kernpunten
  • check_circle Een cookie pop-up en privacyverklaring op je website zijn slechts het topje van de ijsberg
  • check_circle GDPR vereist dat je alle persoonsgegevens in kaart brengt, niet alleen die op je website
  • check_circle Je deelt waarschijnlijk persoonsgegevens met meer partijen dan je denkt (boekhouder, sociaal secretariaat, verzekeraar)
  • check_circle Een gekopieerde privacyverklaring van internet kan de zaken erger maken als die niet bij je bedrijf past

De misvatting

“Ik heb een cookie pop-up op mijn website en mijn webdesigner heeft een privacyverklaring geplaatst. Dus mijn bedrijf is GDPR-compliant.”

Dit horen we heel vaak. En het is begrijpelijk: de meeste aandacht rond GDPR gaat over websites, cookies en online privacy. Maar de realiteit is dat je website slechts een klein deel van het verhaal is.

Waarom dit niet klopt

De GDPR vereist dat je zicht hebt op alle persoonsgegevens die je vastlegt, verwerkt en deelt. Niet alleen op je website, maar in je hele bedrijfsvoering.

Denk eens na: je slaat vast de namen en adressen van je klanten op. Maar ook die van je personeel, je leveranciers en hun contactpersonen. Je deelt persoonsgegevens met je boekhouder, je advocaat, je sociaal secretariaat, je verzekeringsmaatschappij.

Dit zijn volkomen normale activiteiten, maar de GDPR vereist dat je:

  • Een verwerkingsregister hebt van al deze activiteiten
  • Duidelijk kunt communiceren aan betrokkenen waarom en hoe je hun gegevens verwerkt
  • Verwerkersovereenkomsten hebt afgesloten met partijen die gegevens voor jou verwerken
  • Een procedure hebt voor datalekken en verzoeken van betrokkenen

Wat je website WEL moet regelen

Begrijp ons niet verkeerd: je website moet ook in orde zijn. Maar doe het goed:

  • Cookie banner met echte keuze: niet alleen “Accepteren”, maar ook “Weigeren” en categoriekeuze
  • Privacyverklaring die bij je bedrijf past: niet gekopieerd van internet, maar specifiek voor jouw verwerkingen
  • Contactformulieren: vermeld waarvoor je de gegevens gebruikt en hoe lang je ze bewaart
  • Analytics: gebruik je Google Analytics? Dan heb je een verwerkersovereenkomst nodig met Google

Wat je daarbuiten moet regelen

Dit is waar de meeste bedrijven het laten liggen:

Verwerkingsregister

Een overzicht van alle activiteiten waarbij je persoonsgegevens verwerkt. Per activiteit: het doel, de grondslag, de categorieën gegevens, de ontvangers, en de bewaartermijn.

Verwerkersovereenkomsten

Met elke partij die namens jou persoonsgegevens verwerkt (boekhouder, e-mailtool, cloudopslag, sociaal secretariaat) heb je een verwerkersovereenkomst nodig.

Procedures

  • Hoe handel je een verzoek van een betrokkene af?
  • Hoe meld je een datalek bij de toezichthouder?
  • Wie is verantwoordelijk voor GDPR binnen je organisatie?

Privacyverklaring (de echte)

Een privacyverklaring die aansluit bij je verwerkingsregister. Niet een generiek document van internet, maar een verklaring die specifiek beschrijft wat jouw bedrijf doet.

Het goede nieuws

Het is niet zo moeilijk als het klinkt. De meeste MKB-bedrijven kunnen hun GDPR-compliance in een paar weken op orde krijgen als ze er gestructureerd mee aan de slag gaan. Het vraagt even je aandacht, maar het is geen raketwetenschap.

auto_awesome Wil je weten waar je echt staat?

GDPRWise scant je website en brengt in kaart welke persoonsgegevens je verwerkt, welke derde partijen toegang hebben, en wat je nog moet regelen. In 15 minuten heb je een compleet beeld.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.