Een GDPR-compliant website ontstaat niet door aan het einde van de build een cookiebanner toe te voegen. De belangrijke beslissingen vallen eerder: welke scripts vóór toestemming laden, welke data elk formulier verzamelt, waar inzendingen worden opgeslagen, hoe third-party tools data ontvangen en of gebruikers hun rechten kunnen uitoefenen.
Deze GDPR website compliance checklist Europe-gids is geschreven voor Nederlandse en Europese bedrijven die een nieuwe website beoordelen, een redesign voorbereiden of een praktische GDPR-audit uitvoeren op een bestaande site voordat privacyproblemen duur worden om te herstellen.
Het uitgangspunt is eenvoudig: GDPR-compliance hoort vanaf het begin in de website architectuur, het contentmodel, de formulier logica, de consent setup en de security controls te zitten. Voor teams die websiteontwikkeling plannen, helpt deze checklist om GDPR te vertalen van een late juridische review naar praktische built requirements.
TL;DR
Een GDPR-compliant website heeft meer nodig dan een zichtbare cookiebanner. Minimaal moet de website toestemming verwerken, datagebruik uitleggen op het moment van verzamelen, ingediende data beschermen, third-party tools documenteren en gebruikers een duidelijke manier geven om hun rechten uit te oefenen.
- Cookies en tracking scripts mogen niet laden vóór geldige toestemming wanneer toestemming vereist is.
- Formulieren mogen alleen noodzakelijke data verzamelen en moeten het doel vóór verzending uitleggen.
- Privacyverklaringen moeten de verwerking, verantwoordelijkheid, rechtsgrond, bewaartermijn, ontvangers en gebruikersrechten noemen.
- Third-party tools hebben correcte contracten en transfer waarborgen nodig wanneer persoonsgegevens de EU/EER verlaten.
- Security controls moeten HTTPS, toegangsbeheer, veilige opslag, patching en datalek respons afdekken.
Wat GDPR in de praktijk van websites vraagt
GDPR-compliance voor websites betekent dat de website zo wordt ingericht dat persoonsgegevens volgens de GDPR-regels worden verzameld, uitgelegd, beschermd en overgedragen voordat gebruikers met formulieren, cookies, tracking tools of accounts werken.
GDPR wordt vaak behandeld als een juridisch document. Voor website teams moet het ook een build specification zijn.
Een website verwerkt persoonsgegevens wanneer deze contactformulier inzendingen, nieuwsbriefinschrijvingen, accountgegevens, analytics identifiers, chat data, tracking cookies, betaaldata, support verzoeken of sollicitaties verzamelt. Zelfs een eenvoudige B2B-website kan onder GDPR vallen als de website identificeerbare gebruikers verzamelt of volgt.
De belangrijkste websiteverplichtingen liggen rond vier GDPR-gebieden.
| GDPR-gebied | Gevolg voor de website |
|---|---|
| Artikel 6 en 7 | De website heeft een rechtsgrond nodig voor verwerking. Waar toestemming wordt gebruikt, moet die toestemming geldig zijn, vooral bij niet-essentiële cookies, marketing tracking en nieuwsbrief-opt-ins. |
| Artikel 13 | De website moet gebruikers vertellen wie hun data verwerkt, waarom, op welke rechtsgrond, hoe lang, wie de data ontvangt en welke rechten zij hebben. |
| Artikel 32 | De website moet persoonsgegevens beschermen met passende technische en organisatorische maatregelen. |
| Artikel 25 | Privacy moet bij design en by default op de website worden ingebouwd. |
GDPR-compliance checklist voor websites in Europa
Een GDPR-compliance checklist voor websites moet consent, privacyverklaringen, formulieren, third-party tools, security controls, privacy by design, de workflow voor gebruikersrechten en Nederlandse AVG-vereisten controleren
Gebruik deze checklist als praktisch reviewmiddel. Markeer elke sectie als:
| Status | Betekenis | Actie |
|---|---|---|
| Rood | Niet aanwezig | Los dit op vóór levering of zo snel mogelijk |
| Oranje | Gedeeltelijk aanwezig, niet gedocumenteerd of onduidelijk | Maak eigenaarschap en bewijs duidelijk |
| Groen | Geïmplementeerd en gedocumenteerd | Controleer opnieuw bij grote website-updates |
Elk rood punt in cookie consent, privacyverklaringen, formulieren of third-party tools moet prioriteit krijgen, omdat deze onderdelen zichtbaar zijn voor gebruikers en toezichthouders.
Sectie A — Cookie consent en tracking
| # | Check | GDPR-relevantie |
|---|---|---|
| A1 | Niet-essentiële cookies en tracking scripts laden niet vóór geldige toestemming. | Artikel 6 / 7 |
| A2 | De consent banner biedt duidelijke categoriekeuzes, zoals noodzakelijk, analytics en marketing. | Artikel 7 |
| A3 | Keuzes voor “accepteren” en “weigeren” zijn even makkelijk te gebruiken. | Artikel 7 |
| A4 | Er worden geen vooraf aangevinkte vakjes gebruikt voor niet-essentiële cookies. | Artikel 7 |
| A5 | Consent Records bevat timestamp, toestemming versie en geselecteerde categorieën. | Artikel 7 |
| A6 | Gebruikers kunnen de toestemming vanaf elke pagina wijzigen of intrekken. | Artikel 7 |
Sectie B — Privacyverklaring en privacybeleid
| # | Check | GDPR-relevantie |
|---|---|---|
| B1 | Een privacybeleid is vanaf elke pagina bereikbaar. | Artikel 13 |
| B2 | De verwerkingsverantwoordelijke is duidelijk benoemd. | Artikel 13 |
| B3 | Elk verwerkingsdoel heeft een rechtsgrond. | Artikel 13 |
| B4 | Ontvangers of categorieën ontvangers zijn vermeld. | Artikel 13 |
| B5 | Bewaartermijnen of bewaartermijn criteria zijn uitgelegd. | Artikel 13 |
| B6 | Gebruiksrechten worden in duidelijke taal uitgelegd. | Artikel 13 |
| B7 | De relevante toezichthouder wordt genoemd voor klachten. | Artikel 13 |
Een privacybeleid mag geen generieke juridische pagina zijn die van andere websites is gekopieerd. Het moet aansluiten op de daadwerkelijke website-inrichting. Als de website HubSpot, Google Analytics, embedded maps, nieuwsbrief software, chat software of recruitment formulieren gebruikt, moet het privacybeleid die tools en de onderliggende datastroom weerspiegelen.
Sectie C — Formulieren en dataverzameling
| # | Check | GDPR-relevantie |
|---|---|---|
| C1 | Formulieren verzamelen alleen data die nodig is voor het genoemde doel. | Artikel 5 |
| C2 | Een melding op formulier niveau of privacy link legt uit hoe de data wordt gebruikt. | Artikel 13 |
| C3 | Nieuwsbrief Consent staat los van het indienen van een serviceaanvraag. | Artikel 6 / 7 |
| C4 | Marketing Consent wordt apart opgeslagen van transactionele communicatie. | Artikel 6 / 7 |
De buildbeslissing telt hier. Als een website elke formulierinzending naar meerdere personen mailt, worden toegangsbeheer en bewaartermijnen moeilijker aantoonbaar. Een gecontroleerde CRM- of ticketingflow is meestal makkelijker te beheren, omdat rechten, logs, verwijdering en eigenaarschap duidelijker zijn.
Sectie D — Third-party tools en integraties
| # | Check | GDPR-relevantie |
|---|---|---|
| D1 | Elke third-party tool die persoonsgegevens via de website verwerkt, is gedocumenteerd. | Artikel 28 |
| D2 | Er is een verwerkersovereenkomst wanneer een verwerker persoonsgegevens verwerkt. | Artikel 28 |
| D3 | Ingesloten third-party content laadt niet vóór toestemming wanneer toestemming vereist is. | Artikel 7 |
| D4 | Internationale overdrachten zijn geïdentificeerd en ondersteund door passende waarborgen. | Artikelen 44–46 |
Behandel de tag manager niet als een black box. Voor een GDPR-review moet het developmentteam weten welke tags vóór consent afgaan, welke tags na consent afgaan, welke tools persoonsgegevens ontvangen en welke verwerkersovereenkomsten daarvoor gelden.
Sectie E — Technische beveiliging van persoonsgegevens
| # | Check | GDPR-relevantie |
|---|---|---|
| E1 | De volledige website draait op HTTPS zonder mixed-content issues. | Artikel 32 |
| E2 | Formulierinzendingen worden opgeslagen in een gecontroleerd systeem met beperkte toegang. | Artikel 32 |
| E3 | CMS, plugins, frameworks en serversoftware zijn gepatcht. | Artikel 32 |
| E4 | Er is een proces voor datalekrespons, inclusief interne escalatie en beoordeling van de 72-uursmeldplicht. | Artikelen 33 / 34 |
| E5 | Als de website gebruikersaccounts heeft, worden wachtwoorden gehasht en wordt loginmisbruik rate-limited. | Artikel 32 |
Artikel 32 verplicht niet elke website om dezelfde security stack te gebruiken, maar vraagt wel om passende bescherming voor de persoonsgegevens die de website verzamelt. Voor de meeste bedrijfswebsites betekent dit dat u HTTPS, CMS-toegang, formulieropslag, patching, back-ups en datalekrespons controleert. Als deze sectie diepere technische gaten laat zien, kan een aparte websitebeveiligingschecklist uw team helpen om CMS-hardening, toegangsbeheer, monitoring, vulnerability handling en herstelplanning verder te beoordelen.
Bouwt of vernieuwt u een website? Sunbytes vertaalt GDPR-vereisten naar build-ready backlogitems: consent loading, form routing, CMS-toegang, third-party tools en releasechecks voordat ze launch blockers worden.
Sectie F — Privacy by design en dataminimalisatie
| # | Check | GDPR-relevantie |
| F1 | De standaardstatus van de website beschermt privacy. | Artikel 25 |
| F2 | Niet-essentiële scripts staan uit tot er geldige toestemming is. | Artikel 25 |
| F3 | Een DPIA wordt overwogen als de website verwerking met een hoog risico bevat. | Artikel 35 |
| F4 | Logs, sessiedata en formulierrecords hebben duidelijke bewaartermijnen. | Artikel 5 |
Privacy by design is waar websiteteams duur herstelwerk kunnen voorkomen. Als consent loading, formulierminimalisatie, datarouting, toegangsbeheer en third-party scripts tijdens discovery worden vastgelegd, blijft de build schoner. Als die beslissingen wachten tot de juridische review, moeten developers vaak trackinglogica terugdraaien, formulieren opnieuw bouwen, privacyverklaringen herschrijven en integraties kort voor livegang opnieuw configureren.
Sectie G — Implementatie van gebruikersrechten
| # | Check | GDPR-relevantie |
|---|---|---|
| G1 | Er is een proces om op inzageverzoeken te reageren. | Artikel 15 |
| G2 | Gebruikers kunnen verwijdering, correctie, beperking, bezwaar of overdraagbaarheid aanvragen. | Artikelen 16–21 |
| G3 | Data kan worden teruggevonden in formulieren, CRM, e-mailtools, analytics en verwerkers. | Artikelen 12–22 |
| G4 | Geautomatiseerde besluitvorming of profilering wordt vermeld waar relevant. | Artikel 22 |
Tabelbijschrift: Checks voor gebruikersrechten bij dataverzoeken via websites.
Een website heeft niet in elk geval een volledig gebruikersportaal nodig voor elk recht. De organisatie heeft wel een proces nodig. Iemand moet weten waar formulierinzendingen, CRM-records, e-mailmarketingprofielen, analytics identifiers, back-ups en third-party records staan.
Sectie H — Nederlandse AVG-specifieke punten
| # | Check | GDPR-relevantie |
|---|---|---|
| H1 | De juiste toezichthouder wordt in het privacybeleid genoemd. | Artikel 13 |
| H2 | Cookie consent volgt de actuele AP-richtlijnen. | Artikel 7 |
| H3 | Verwerkingsregisters worden bijgehouden waar vereist. | Artikel 30 |
| H4 | Grensoverschrijdende verwerking door websitetools is gedocumenteerd. | Artikel 44 – 46 |
AVG is de Nederlandse naam voor GDPR. De wet is Europees, maar Nederlandse websites moeten nog steeds aansluiten op Nederlandse verwachtingen in het privacybeleid, de consent experience en de klachtroute. Voor Nederlandse bedrijven helpt het om de AP duidelijk te noemen, zodat gebruikers weten waar zij een klacht kunnen indienen.
Privacy by design: GDPR-compliance vanaf het begin in de website bouwen
Het sterkste GDPR-werk voor websites gebeurt voordat development is afgerond. Zodra trackingtools, formulieren, CRM-velden en CMS-rechten al live staan, raakt elke privacywijziging meerdere teams: development, marketing, analytics, legal en operations.
Privacy by design vertaalt GDPR naar built requirements. In de praktijk betekent dit dat vijf checks onderdeel moeten zijn van de website backlog voordat Sprint 1 start:
● Gebruik een consent-first loading architecture. Analytics, marketing pixels, chat widgets, embedded video en andere niet-essentiële scripts mogen niet afgaan bij het laden van de pagina als toestemming vereist is. De consent management setup moet het laden van scripts sturen, niet alleen een banner tonen.
● Ontwerp formulieren rond dataminimalisatie. Als een veld niet direct bijdraagt aan het doel van het formulier, verwijder het dan of maak het optioneel. Een contactformulier, nieuwsbriefformulier, demo aanvraag en sollicitatieformulier moeten niet standaard allemaal dezelfde data verzamelen.
● Houd formulierafhandeling gecontroleerd. Persoonsgegevens mogen niet verspreid raken over persoonlijke inboxen, spreadsheets of onbeheerde notificaties. Sla inzendingen op in een systeem met beperkte toegang, duidelijke bewaartermijnen en een veranderproces.
● Categoriseer cookies en tools vanaf dag één. Elke tag, elk script, elke plugin, embed en marketing integratie moet een eigenaar, categorie, doel en consent regel hebben.
● Behandel het privacybeleid als een levend website document. Wanneer de website stack verandert, moet het beleid onderdeel zijn van de release readiness-check. Een nieuwe analytics tool, CRM-integratie, chatwidget of advertentiepixel kan de privacyverklaring, consentregels en verwerkerslijst veranderen.
GDPR-beslissingen beïnvloeden ook de tijdlijn voor websiteontwikkeling. Als cookie consent, analytics loading, formulier meldingen, processorchecks en toegangsbeheer te laat worden beoordeeld, moeten developers mogelijk tag manager-regels, CMS-rechten, privacycopy en formulieropslag opnieuw bekijken nadat de hoofdbuild al klaar is. De betere route is om privacychecks in de websitebacklog op te nemen voordat Sprint 1 start.
Als consentlogica pas na livegang wordt beoordeeld, moeten teams vaak tag manager-regels, form routing, privacycopy en analytics events opnieuw bouwen. Door deze checks als Sprint 1-backlogitems te behandelen, vermindert u rework en blijft release readiness meetbaar.
Nederlandse AVG: wat dit betekent voor websites van Nederlandse bedrijven
Voor Nederlandse bedrijven wordt GDPR meestal besproken als AVG. De juridische basis is dezelfde EU-verordening, maar de toezicht context telt omdat Nederlandse organisaties de rol van de Autoriteit Persoonsgegevens moeten begrijpen.
Voor websites is de Nederlandse context het meest zichtbaar in drie gebieden.
Het eerste gebied is cookie consent. AP-richtlijnen stellen dat tracking cookies internetgedrag over websites heen kunnen volgen en dat cookies meestal niet zijn toegestaan wanneer gebruikers geen redelijk alternatief hebben. Voor een Nederlandse bedrijfswebsite betekent dit dat de cookiebanner, afwijs optie, toestemming categorieën en het script laadgedrag samen moeten worden beoordeeld.
Het tweede gebied is privacy-informatie. De AP legde Netflix in 2024 een boete van € 4,75 miljoen op omdat klanten onvoldoende waren geïnformeerd over wat het bedrijf met hun persoonsgegevens deed. De les voor websites is direct: een privacybeleid moet de werkelijke verwerking duidelijk genoeg uitleggen zodat gebruikers deze kunnen begrijpen. Het mag geen vage juridische pagina zijn die niet aansluit op de echte tools en datastromen van de website.
Het derde gebied is duidelijkheid voor de beoogde doelgroep. De AP legde TikTok in 2021 een boete van € 750.000 op wegens schending van de privacy van jonge kinderen; het jaarverslag van de EDPB vermeldt dat de Nederlandse toezichthouder de boete in april 2021 oplegde. Voor websites die gericht zijn op jongeren, consumenten, patiënten, sollicitanten of andere specifieke groepen, moet privacy-informatie worden geschreven voor de doelgroep die de website daadwerkelijk gebruikt.
Deze voorbeelden maken van het artikel geen handhaving checklist. Ze laten zien waarom website teams privacy formulering, consent gedrag en uitleg voor gebruikers als onderdeel van de build scope moeten behandelen.
Hoe Sunbytes GDPR-compliant website ontwikkeling ondersteunt
Wanneer een website consent, formulieren, analytics en third-party tools verwerkt, hangt GDPR-readiness af van bewijs: wat vóór toestemming laadt, waar inzendingen worden opgeslagen, wie erbij kan en welke verwerkers data ontvangen.
Sunbytes benadert dit als onderdeel van Digital Transformation-oplossingen: website requirements, backlogplanning, CMS-inrichting, integraties en releaseworkflows worden beoordeeld zodat GDPR-beslissingen onderdeel worden van delivery. Cybersecurity-oplossingen leveren de control layer voor cookiegedrag, toegangsbeheer, DPA-vereisten, veilige formulierafhandeling en audit-ready bewijs. Accelerate Workforce-oplossingen ondersteunen de people-risk layer waar toegangseigenaarschap, least-privilege rechten en compliant handover tijdens delivery belangrijk zijn.
Met ISO 27001-gecertificeerde delivery, DPA-support waar relevant, 15+ jaar ervaring en 300+ opgeleverde projecten in verschillende sectoren en regio’s helpt Sunbytes teams om van GDPR-auditbevindingen naar gecontroleerde herstelacties te gaan.
Plant u een websitebuild of redesign? Bekijk Digital Transformation-oplossingen om te zien hoe Sunbytes website requirements, GDPR-controls en deliveryplanning omzet in een buildproces dat uw team beheersbaar houdt.
FAQs
Ja. WordPress-websites zijn niet automatisch GDPR-compliant. U heeft nog steeds een GDPR-compliant cookie consent setup, veilige afhandeling van contactformulieren, een compleet privacybeleid, correcte pluginconfiguratie en gecontroleerde toegang tot persoonsgegevens nodig, ongeacht het CMS.
Nee. Een cookiebanner raakt consent voor cookies en tracking onder Artikel 7, maar is niet de volledige GDPR-vereiste. GDPR-compliance voor websites vraagt ook om een compleet privacybeleid onder Artikel 13, veilige gegevensverwerking onder Artikel 32 en een proces voor gebruikersrechten onder Artikelen 15–22.
De GDPR staat toezichthouders toe boetes op te leggen tot € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk kijkt de Nederlandse Autoriteit Persoonsgegevens vaak eerst naar het specifieke probleem, zoals cookie consent, privacy-informatie of het niet reageren op verzoeken van gebruikersrechten. Afhankelijk van de feiten kan een zaak eerst leiden tot een bevel om te voldoen voordat een boete volgt.
Een DPO is verplicht als uw organisatie een overheidsinstantie is, op grote schaal personen systematisch monitort of bijzondere categorieën persoonsgegevens op grote schaal verwerkt. De meeste Nederlandse mkb-websites hebben niet alleen vanwege een contactformulier of analytics een DPO nodig. U heeft wel een duidelijke privacy owner nodig die verzoeken kan afhandelen, het privacybeleid kan bijwerken en datalekrespons kan coördineren.
Google Analytics kan alleen veilig worden gebruikt wanneer het correct is ingericht voor consent, privacy-instellingen en vereisten voor dataoverdracht. Een praktische setup betekent dat analytics niet laadt vóór geldige toestemming, consent mode correct is geconfigureerd en de relevante verwerkingsvoorwaarden zijn geregeld. Omdat richtlijnen voor analytics en grensoverschrijdende overdracht kunnen veranderen, moet u de actuele AP- en EDPB-richtlijnen controleren voordat de tool live gaat.
GDPR-checks moeten starten tijdens discovery, voordat design en development vastliggen. Consentlogica, formuliervelden, CRM-routing, cookiecategorieën, CMS-toegang en bewaartermijnen moeten vóór Sprint 1 worden vastgelegd, zodat developers tracking, formulieren of privacyverklaringen niet kort voor livegang opnieuw hoeven te bouwen.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.
