Privacyverklaring en cookiebeleid

Is je privacyverklaring en cookiebeleid klaar voor een AP-controle?

Eva de Vries Eva de Vries
· · 9 min leestijd

Stel je voor: je zit lekker achter je laptop, je koffie is nog warm, en dan gaat de telefoon.

Inhoudsopgave
  1. Waarom die AP-controle jouw bedrijf aangaat
  2. De kern van een goede privacyverklaring
  3. Cookies: meer dan alleen een melding
  4. Het verschil tussen een verklaring en een beleid
  5. Hoe bereid je je voor op een AP-controle?
  6. Veelgestelde vragen

Of erger: er ploft een mailtje in je inbox van de Autoriteit Persoonsgegevens (AP). Ze kondigen een controle aan. Je voelt even een steek in je maag. Is alles op orde?

Zijn die juridische documenten op je website eigenlijk wel goed genoeg? Het klinkt misschien saai, maar je privacyverklaring en cookiebeleid zijn je belangrijkste schild tegen boetes en gedoe. Laten we eens kijken of jij er klaar voor bent, zonder dat we in slaap vallen van de juridische taal.

Waarom die AP-controle jouw bedrijf aangaat

De Algemene Verordening Gegevensbescherming (AVG) is niet meer weg te denken. Het is de regel die bepaalt hoe je omgaat met persoonsgegevens van klanten, bezoekers of personeel. De Autoriteit Persoonsgegevens (AP) is de toezichthouder die controleert of je je aan die regels houdt.

Het doel van de AP is niet om jou het leven zuur te maken, maar om de privacy van burgers te beschermen.

Toch kan een controle flink wat stress opleveren als je niet bent voorbereid. Een veelgemaakte fout is dat bedrijven denken dat een standaard sjabloon van het internet volstaat.

Dat is vaak niet zo. De AP kijkt naar jouw specifieke situatie. Hoe verwerk jij gegevens?

Welke cookies gebruik je? Een privacyverklaring moet passen als een maatpak, niet als een onesize-trui.

Een onvoldoende verklaring kan leiden tot flinke boetes. We hebben het dan over bedragen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. En dat wil je echt niet op je bordje krijgen.

De kern van een goede privacyverklaring

Een privacyverklaring is veel meer dan een verplicht nummertje. Het is het contract tussen jou en je bezoekers. Het vertelt hen wat je met hun gegevens doet.

De AP eist dat deze verklaring duidelijk, begrijpelijk en toegankelijk is. Geen ingewikkeld juridisch jargon, maar gewoon helder Nederlands.

Wat moet er volgens de AP in staan?

Stel je voor dat je oma de tekst leest: snapt zij het? Zo niet, dan is het niet goed genoeg.

Er zijn een aantal vaste elementen die je verplicht moet noemen. Zorg dat je deze lijst kunt afvinken: De AP controleert streng op deze punten.

  • Wie ben jij? Geef de volledige naam en het adres van je bedrijf. Geen postbus, maar een fysiek adres waar je te bereiken bent.
  • Contactgegevens. Noem een specifiek contactpersoon voor privacyvragen, inclusief een e-mailadres en telefoonnummer.
  • Welke gegevens? Wees specifiek. Verzamel je naam, e-mail, IP-adres, locatiegegevens of betaalgegevens? Noem het allemaal.
  • Waarom? Geef aan waarom je die gegevens nodig hebt. Bijvoorbeeld: "Om je bestelling te bezorgen" of "Om je nieuwsbrief te sturen". Wees concreet.
  • Rechten van de bezoeker. Je bezoekers hebben rechten. Ze mogen hun gegevens inzien, corrigeren of verwijderen. Jij moet uitleggen hoe ze dat kunnen doen.
  • Delen met anderen. Als je gegevens deelt met partijen zoals Google Analytics of een mailingdienst, moet je dat melden.
  • Bewaartermijn. Hoe lang bewaar je de gegevens? Je mag niet eeuwig data bewaren. Geef aan hoe je die termijn bepaalt.

Een veelvoorkomend probleem is te algemene taal. Zeg niet "we gebruiken je gegevens voor onze diensten", maar leg uit welke diensten en waarom.

Transparantie is het sleutelwoord.

Cookies: meer dan alleen een melding

Websites zijn niet compleet zonder cookies. Maar hoe zit het met de regels?

De ePrivacy Richtlijn (ook wel de 'Cookie-wet' genoemd) bepaalt hoe je met cookies omgaat. De AP houdt hier streng toezicht op. Het gaat niet alleen om een melding op je scherm, maar vooral om toestemming.

De juiste toestemming vragen

Voor niet-essentiële cookies (denk aan tracking cookies voor advertenties) moet je expliciet toestemming vragen.

Dat betekent dat de bezoeker actief moet klikken op "akkoord". Een melding die alleen zegt "wij gebruiken cookies" en waarbij de bezoeker automatisch doorgaat, is niet voldoende. De AP heeft hier de afgelopen jaren veel boetes voor uitgedeeld.

Je cookiebeleid moet duidelijk zijn. Welke cookies gebruik je? Waarvoor dienen ze?

Hoe lang blijven ze staan? Gebruikers moeten makkelijk kunnen zien welke cookies ze accepteren en hoe ze die kunnen weigeren.

Een simpele "accepteer-knop" en een "weiger-knop" zijn essentieel. De AP controleert of deze knoppen even makkelijk te vinden zijn. Als de "akkoord"-knop groot en groen is en de "weiger"-knop klein en verborgen, dan ben je in de fout.

Het verschil tussen een verklaring en een beleid

Veel mensen verwarren een privacyverklaring met een privacybeleid, maar weet je ook wat het verschil is tussen een privacyverklaring en een cookieverklaring? Het zijn twee verschillende dingen.

De privacyverklaring is het document dat je toont aan je bezoekers. Het is de publieke versie. Het privacybeleid is de interne versie voor je medewerkers.

Het beschrijft hoe je bedrijf intern met gegevens omgaat: procedures, beveiligingsmaatregelen en verantwoordelijkheden.

Hoewel het privacybeleid niet direct hoeft te worden getoond aan bezoekers, is het wel belangrijk voor de AP. Als er een controle komt, wil de AP zien dat je intern je zaakjes op orde hebt. Een privacybeleid laat zien dat je bewust bezig bent met privacy.

Waarom een privacybeleid essentieel is

Het is het bewijs dat je niet alleen zegt dat je veilig bent, maar het ook daadwerkelijk bent. Een privacybeleid helpt je medewerkers om consistent met gegevens om te gaan.

Het beschrijft hoe je data beveiligt, hoe je datalekken meldt en wie verantwoordelijk is.

De AP verwacht steeds vaker dat bedrijven zo’n beleid hebben. Het is geen wettelijke verplichting, maar wel een sterke aanbeveling. Bedrijven zonder intern beleid lopen een groter risico op fouten en dus op boetes.

Hoe bereid je je voor op een AP-controle?

Een controle door de Autoriteit Persoonsgegevens hoeft niet eng te zijn als je goed bent voorbereid. Hier zijn een paar stappen om je privacyverklaring en cookiebeleid control-ready te maken:

  1. Lees je eigen verklaring. Doe alsof je een nieuwe bezoeker bent. Begrijp je wat er staat? Zo niet, herschrijf het.
  2. Check je cookies. Gebruik een tool om te kijken welke cookies er op je site actief zijn. Zorg dat je ze allemaal kunt uitleggen.
  3. Update regelmatig. Verandert er iets in je bedrijf? Pas je verklaring dan direct aan.
  4. Zorg voor bewijs. De AP vraagt soms om aan te tonen dat je toestemming hebt gekregen voor cookies. Zorg dat je dat kunt laten zien.

Door deze stappen te volgen, verlaag je het risico op een boete en bouw je vertrouwen op bij je bezoekers.

Een goede privacyverklaring voor een ZZP'er is niet alleen een verplichting, maar ook een kans om je professioneel te presenteren. De wereld van privacy verandert snel. De AP volgt ontwikkelingen op de voet.

Zorg dat je meebeweegt. Met een goed leesbare privacyverklaring op mobiel en een goed cookiebeleid sta je sterker en voorkom je onnodige problemen.

Veelgestelde vragen

Wat moet er precies in een privacyverklaring staan volgens de AP?

Een goede privacyverklaring moet duidelijk aangeven wie je bent als bedrijf, inclusief je volledige bedrijfsnaam en adres, en hoe mensen je kunnen bereiken. Daarnaast is het essentieel om een specifieke contactpersoon aan te wijzen voor privacyvragen, met een duidelijk e-mailadres en telefoonnummer, zodat bezoekers je gemakkelijk kunnen benaderen.

Hoe controleert de AP precies op het gebruik van cookies?

De Autoriteit Persoonsgegevens (AP) houdt sinds 2024 strenger toezicht op het gebruik van cookies. Ze controleren vaker of websites op een correcte manier toestemming vragen voor het plaatsen van cookies en andere trackingtechnologieën, om ervoor te zorgen dat de privacy van bezoekers wordt gerespecteerd.

Is een cookiemelding altijd verplicht, of kan ik een standaard template gebruiken?

Nee, een cookiemelding is niet zomaar een optie. De AP vereist dat je bezoekers duidelijk en begrijpelijk wordt geïnformeerd over welke cookies je gebruikt en waarom. Een generieke template voldoet niet; je moet specifiek aangeven welke cookies je gebruikt en welke doelen ze dienen.

Wat is precies het verschil tussen een privacyverklaring en een privacybeleid?

Hoewel de termen soms door elkaar worden gebruikt, is een privacyverklaring een overzicht van de gegevensverwerking die je uitvoert, gericht op de bezoekers van je website. Een privacybeleid is een breder document dat alle aspecten van je privacybescherming beschrijft, inclusief interne processen en procedures.

Wat zijn de mogelijke boetes als mijn privacyverklaring niet voldoet aan de eisen van de AP?

De AP kan flinke boetes opleggen als je privacyverklaring niet voldoet aan de eisen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding. Het is dus cruciaal om ervoor te zorgen dat je verklaring helder, begrijpelijk en volledig is.

Lees ook
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026? Hoe schrijf je een privacyverklaring in begrijpelijke taal die ook AVG-proof is? Privacyverklaring voorbeeld voor een kleine Nederlandse webshop Privacyverklaring voorbeeld voor een ZZP'er die klantgegevens verwerkt Privacyverklaring voorbeeld voor een coach of therapeut in de zorgsector Privacyverklaring voorbeeld voor een lokaal horecabedrijf met reserveringssysteem
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Privacyverklaring en cookiebeleid

Bekijk alle 32 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026?
Lees verder →