Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 6 min leestijd

Privacyverklaring Opstellen: Wat Moet Erin Staan?

Je privacyverklaring is verplicht en moet duidelijk uitleggen welke persoonsgegevens je verwerkt en waarom. Dit artikel legt uit wat erin moet staan, met een concrete structuur die je kunt volgen.

summarize Kernpunten
  • check_circle Een privacyverklaring is verplicht voor elke organisatie die persoonsgegevens verwerkt
  • check_circle Kopieer nooit zomaar een privacyverklaring van internet; die moet passen bij jouw werkelijke verwerkingen
  • check_circle De verklaring moet in duidelijke, begrijpelijke taal geschreven zijn, niet in juridisch jargon
  • check_circle GDPRWise genereert je privacyverklaring automatisch op basis van je werkelijke verwerkingen

Waarom is een privacyverklaring verplicht?

De GDPR (in Nederland ook AVG genoemd) vereist dat je betrokkenen informeert over hoe je hun persoonsgegevens verwerkt. De privacyverklaring (ook wel privacybeleid of privacy policy) is de manier waarop je dat doet.

Het gaat niet om een juridisch document dat niemand leest. Het gaat erom dat je duidelijk, begrijpelijk en eerlijk communiceert over:

  • Welke gegevens je verzamelt
  • Waarom je ze verzamelt
  • Wat je ermee doet
  • Hoe lang je ze bewaart
  • Welke rechten mensen hebben

Wat moet erin staan?

De GDPR (Artikel 13 en 14) schrijft specifiek voor welke informatie je moet verstrekken. Hieronder de verplichte onderdelen:

1. Wie ben je?

De naam en contactgegevens van je organisatie (de verwerkingsverantwoordelijke). Als je een Functionaris Gegevensbescherming (DPO) hebt, ook diens contactgegevens.

2. Welke gegevens verzamel je?

Wees specifiek. Niet “persoonlijke informatie”, maar:

  • Naam, e-mailadres, telefoonnummer (via contactformulier)
  • IP-adres, browsertype, bezochte pagina’s (via analytics)
  • Betalingsgegevens (via het bestelproces)
  • Personeelsgegevens (via HR-processen)

3. Waarvoor gebruik je de gegevens?

Per categorie gegevens het doel. Voorbeelden:

  • “Om je vraag via het contactformulier te beantwoorden”
  • “Om je bestelling te verwerken en te verzenden”
  • “Om onze website te verbeteren op basis van gebruiksstatistieken”
  • “Om je nieuwsbrief te sturen (alleen met je toestemming)“

4. Op welke grondslag verwerk je?

De GDPR kent zes grondslagen. De meest gebruikte voor MKB:

  • Toestemming (bijv. nieuwsbrief, marketingcookies)
  • Uitvoering van een overeenkomst (bijv. bestelling verwerken)
  • Wettelijke verplichting (bijv. boekhoudkundige bewaarplicht)
  • Gerechtvaardigd belang (bijv. beveiliging, analytics)

5. Met wie deel je de gegevens?

Alle partijen die toegang hebben tot de gegevens:

  • Je boekhouder
  • Je e-mailmarketingtool (Mailchimp, ActiveCampaign)
  • Je hostingpartij
  • Google Analytics (als je dat gebruikt)
  • Betaalprovider (Mollie, Stripe)

Vermeld of gegevens buiten de EU worden verwerkt.

6. Hoe lang bewaar je de gegevens?

Per type gegeven de bewaartermijn:

  • Klantgegevens: duur van de relatie + 2 jaar
  • Facturatiegegevens: 7 jaar (wettelijke bewaarplicht)
  • Contactformulier: 2 jaar na laatste contact
  • Analyticsgegevens: maximaal 26 maanden

7. Welke rechten hebben betrokkenen?

Verwijs naar de rechten onder de GDPR:

  • Recht op inzage
  • Recht op rectificatie
  • Recht op verwijdering
  • Recht op beperking
  • Recht op overdraagbaarheid
  • Recht van bezwaar

Vermeld hoe ze deze rechten kunnen uitoefenen (e-mailadres, contactformulier) en dat ze een klacht kunnen indienen bij de toezichthouder.

8. Cookies

Als je website cookies plaatst, beschrijf welke cookies, waarvoor, en hoe bezoekers hun toestemming kunnen intrekken. Dit kan in de privacyverklaring zelf of in een apart cookiebeleid.

Veelgemaakte fouten

  • Gekopieerd van internet zonder het aan te passen aan je eigen situatie; een generieke verklaring die niet bij je bedrijf past is erger dan geen verklaring
  • Juridisch jargon dat niemand begrijpt; schrijf in de taal van je doelgroep
  • Verouderd omdat je een nieuwe tool bent gaan gebruiken maar de verklaring niet hebt bijgewerkt
  • Onvindbaar op je website; plaats een link in de footer van elke pagina
  • Geen aparte verklaring voor werknemers; je medewerkers hebben recht op dezelfde informatie als je klanten

Checklist

  • Je verklaring vermeldt je bedrijfsnaam en contactgegevens
  • Je beschrijft specifiek welke gegevens je verzamelt en waarvoor
  • Je noemt de grondslag per verwerking
  • Je vermeldt alle partijen met wie je gegevens deelt
  • Je beschrijft de bewaartermijnen
  • Je informeert over de rechten van betrokkenen
  • Je vermeldt hoe betrokkenen contact kunnen opnemen
  • Je vermeldt het recht om een klacht in te dienen bij de toezichthouder
  • De verklaring is in duidelijke, begrijpelijke taal geschreven
  • De verklaring is makkelijk vindbaar op je website (link in footer)
auto_awesome Privacyverklaring automatisch laten genereren?

GDPRWise scant je website, detecteert welke gegevens je verwerkt en met wie je ze deelt, en genereert automatisch een privacyverklaring die past bij jouw situatie.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.