Privacyverklaring en cookiebeleid

Wat controleert de Autoriteit Persoonsgegevens als eerste op je website?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt een prachtige website gebouwd. Alles werkt, het ziet er goed uit en je bezoekers weten je te vinden.

Inhoudsopgave
  1. Waarom de AP eigenlijk langskomt
  2. Wat controleert de Autoriteit Persoonsgegevens als eerste op een website?
  3. Voorbeelden uit de praktijk
  4. Conclusie: Wees voorbereid

Maar heb je er ook aan gedacht dat de Autoriteit Persoonsgegevens (AP) langskomt op visite? Nou, dat kan zomaar gebeuren. De AP is de onofficiële politie van de privacy in Nederland.

Hun taak is simpel: zorgen dat bedrijven en websites netjes omgaan met jouw en mijn persoonsgegevens volgens de Algemene Verordening Gegevensbescherming (AVG).

Je vraagt je misschien af: als ze bij mij op de site komen, waar kijken ze dan écht als eerste naar? Ze hebben natuurlijk een hele checklist, maar er zijn een paar dingen die ze direct in de gaten houden. In dit artikel duiken we in de hoofdrol van de AP. We gaan niet saai juridisch doen, maar we kijken praktisch: wat is het eerste wat ze checken als ze jouw website bezoeken?

Waarom de AP eigenlijk langskomt

De AP is niet zomaar een clubje dat graag boetes uitschrijft. Hun doel is het beschermen van jouw privacy.

Ze houden toezicht op organisaties die persoonsgegevens verwerken. Dat kan via een zogenaamde 'controle op basis van een planning' zijn, maar vaker nog reageren ze op signalen van burgers.

Denk aan klachten over spam, een datalek of een website die te veel vraagt. De AP kan onderzoeken instellen, audits houden en inderdaad, forse boetes opleggen. Ze adviseren ook, maar hun tanden zijn scherp.

Voor website-eigenaren is het dus cruciaal om te weten wat er speelt. Ze kijken niet alleen naar de techniek, maar vooral naar de transparantie en de keuzevrijheid van de bezoeker.

Wat controleert de Autoriteit Persoonsgegevens als eerste op een website?

Als de AP je website bezoekt, scannen ze niet meteen de hele code. Ze kijken naar de gebruikerservaring en de zichtbare naleving van de regels.

1. Toestemmingsmechanismen: De cookie banner

De eerste indruk is allesbepalend. Hier zijn de vijf belangrijkste elementen die ze direct onder de loep nemen. Dit is vaak het allereerste waar de AP naar kijkt.

Zodra een bezoeker op je site komt, moet duidelijk zijn hoe er met data wordt omgegaan.

  • Duidelijkheid: Is de tekst in de banner makkelijk te begrijpen? Geen ingewikkeld juridisch jargon, maar heldere taal.
  • Vrijwilligheid: Dit is cruciaal. De bezoeker moet echt kunnen kiezen. Er mag geen 'accepteren' knop in het oog springen terwijl de 'afwijzen' knop verstopt is. De AP eist gelijkewaardigheid.
  • Actieve keuze: Mag er al data verzameld worden voordat de bezoeker op 'accepteren' heeft gedrukt? Dat mag niet. De banner moet actieve toestemming vragen.
  • Intrekken: De gebruiker moet de toestemming net zo makkelijk kunnen intrekken als dat hij of zij hem gaf. Dat betekent een duidelijke link in de footer of een aparte cookie-instellingenpagina.

De cookie banner is hier het belangrijkste onderdeel van. De AP controleert streng of de toestemming voldoet aan de regels. Ze kijken naar de volgende punten: De AP heeft specifieke richtlijnen voor cookie banners.

2. De privacyverklaring: Is het te vinden en te lezen?

Websites die 'dark patterns' gebruiken (trucjes om bezoekers te verleiden tot acceptatie) zijn direct een rode lap voor de AP. Het tweede controlepunt is de privacyverklaring en het cookiebeleid toetsen.

Dit is het document dat uitlegt wat er met de data gebeurt. De AP checkt hier op toegankelijkheid en leesbaarheid. Ze vragen zich af:

  • Is de verklaring makkelijk te vinden? Meestal staat er een linkje in de footer. Als de AP moet zoeken naar het privacybeleid, is dat direct een minpunt.
  • Is de taal begrijpelijk? Een privacyverklaring vol met juridische termen waar niemand wat van snapt, voldoet niet. De AP eist B1-niveau Nederlands. Simpel gezegd: een gemiddelde bezoeker moet het snappen.
  • Is de informatie compleet? De verklaring moet verplichte elementen bevatten. Denk aan wie de verantwoordelijke is (jij dus), hoe lang gegevens bewaard worden, en welke rechten de bezoeker heeft (zoals het recht op vergetelheid).

Een privacyverklaring is niet iets dat je even snel kopieert van een andere site.

3. De wettelijke grondslag: Waarom verzamel je data?

De AP controleert of de informatie specifiek is voor jouw website. De AP kijkt niet alleen naar hóe je data verzamelt, maar óók waarom. Elke verwerking van persoonsgegevens moet een wettelijke grondslag hebben.

De meest bekende is 'toestemming', maar er zijn er meer. Bij het controleren van een website let de AP op:

  • Toestemming: Is deze vrijwillig en specifiek?
  • Uitvoering van een contract: Als iemand iets koopt in een webshop, mag je de adresgegevens verwerken om het pakketje te bezorgen. Dat is logisch.
  • Gerechtvaardigd belang: Dit is een ingewikkeldere grondslag. Een website-eigenaar moet kunnen aantonen dat het belang van de website zwaarder weegt dan de privacy van de bezoeker. De AP toetst dit streng.

De controleur vraagt zich af: "Waarom verzamel je dit specifieke gegeven? Is het echt nodig voor de dienst die je levert?" Als het antwoord onduidelijk is, is dat een reden voor verder onderzoek.

4. Beveiligingsmaatregelen (technische en organisatorische)

De AP controleert ook de technische kant, al kijken ze niet direct in je serverruimte. Ze beoordelen of je maatregelen hebt genomen om datalekken te voorkomen. Dit is 'security by design'.

Belangrijke punten zijn: De AP kijkt hier niet alleen naar de techniek, maar ook naar de organisatie.

  • HTTPS: Is je website beveiligd met een SSL-certificaat? Als je nog HTTP gebruikt, is dat een directe overtreding. De AP ziet dit direct.
  • Beperkte toegang: Wie heeft toegang tot de data? Een websitebeheerder heeft meer rechten nodig dan een redacteur. De AP controleert of rechten goed zijn ingesteld.
  • Updates: Gebruik je verouderde software (bijvoorbeeld een oude versie van WordPress of plugins)? Dat is een veiligheidsrisico. De AP verwacht dat je software up-to-date houdt.

Heb je een procedure als er toch iets misgaat? Hoewel dit een specifiekere situatie is, houdt de AP extra rekening met websites waar gevoelige data worden verwerkt. Denk aan medische gegevens of financiële informatie, maar ook aan 'doxing' (het openbaar maken van persoonsgegevens om iemand te hinderen). Als een website ruimte biedt voor reacties of forums, controleert de AP of er voldoende toezicht is op wat er wordt geplaatst.

5. Doxing en gevoelige data

Mag iedereen zomaar iemands telefoonnummer plaatsen? Nee, dat mag niet. De AP controleert of er filters of moderatieprocessen zijn om dit te voorkomen.

Voorbeelden uit de praktijk

De AP maakt hun controles vaak openbaar om andere bedrijven te waarschuwen.

Een bekend voorbeeld is de boete voor een grote online retailer. De AP ontdekte dat de cookiebanner niet voldoende was: de 'afwijzen'-knop was moeilijk te vinden en er werd al data verzameld voordat de bezoeker een keuze maakte. Dat leverde een boete op van enkele miljoenen.

Een ander voorbeeld zijn websites die hun privacyverklaring niet op orde hadden. Ze vermeldden niet precies hoe lang gegevens bewaard werden.

De AP gaf hier eerder boetes voor op. Het toont aan dat de controle niet alleen gaat over technische snufjes, maar vooral over transparantie.

Ook kleine bedrijven zijn de klos. Een zzp'er met een portfolio-site die Google Analytics gebruikt zonder de instellingen goed te zetten, kan een waarschuwing of boete krijgen. De grootte van de organisatie maakt voor de AP niet uit, alleen de naleving van de wet.

Conclusie: Wees voorbereid

De Autoriteit Persoonsgegevens controleert je website niet zomaar. Ze beginnen bij de basis: wanneer je een cookiebanner moet plaatsen, de privacyverklaring en de vraag waarom je data nodig hebt.

Het zijn vaak de zichtbare delen van je site die direct de aandacht trekken. Wil je problemen voorkomen? Zorg dan dat je website niet alleen technisch goed werkt, maar ook privacyvriendelijk is.

Zorg voor een duidelijke cookiebanner die voldoet aan de AVG, een leesbare privacyverklaring en een logische reden om gegevens te verzamelen.

De AP is streng, maar ze geven je wel de tools om te voldoen. Gebruik die, en je slaapt een stuk rustiger.

Lees ook
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026? Hoe schrijf je een privacyverklaring in begrijpelijke taal die ook AVG-proof is? Privacyverklaring voorbeeld voor een kleine Nederlandse webshop Privacyverklaring voorbeeld voor een ZZP'er die klantgegevens verwerkt Privacyverklaring voorbeeld voor een coach of therapeut in de zorgsector Privacyverklaring voorbeeld voor een lokaal horecabedrijf met reserveringssysteem
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Privacyverklaring en cookiebeleid

Bekijk alle 32 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026?
Lees verder →