Website privacy policy en cookiebeleid opstellen: Hoe doe je dit AVG-compliant?

Je website moet voldoen aan de AVG, en dat begint met een goede privacy policy en een waterdicht cookiebeleid.

Het klinkt formeel, maar het is gewoon een kwestie van je zaakjes op orde hebben. Niemand houdt van juridisch geneuzel, maar als ondernemer in Noord-Holland wil je wel gewoon veilig online kunnen ondernemen zonder boetes. Je wilt weten wat je moet regelen, hoe je dat doet en vooral: hoe je het niet te ingewikkeld maakt.

Een bureau als BRUTAEL in Schagen ziet dagelijks MKB-ers die hier tegen aanlopen. Ze weten precies hoe je dit simpel houdt, zonder in te leveren op zekerheid. Met een team van 12+ specialisten en Google Partner certificering zorgen ze dat je niet alleen compliant bent, maar ook je data slim gebruikt voor bijvoorbeeld server-side tracking.

Wat je nodig hebt voordat je begint

Voordat je een letter typt, moet je weten welke data je eigenlijk verzamelt. Je kunt namelijk geen privacy policy schrijven als je niet weet wat er in je systemen gebeurt.

Verzamel eerst alle informatie over je website, je formulieren en je marketingtools.

• Een overzicht van alle tools die je gebruikt (denk aan Google Analytics, Meta Pixel, je CRM, nieuwsbriefsoftware).
• Inzicht in welke persoonsgegevens je verzamelt (naam, e-mail, IP-adres, telefoonnummer).
• Toestemming van bezoekers voor cookies (via een cookie banner).
• Een juridisch correcte template of hulp van een expert.
• Tijd: reken op 2 tot 4 uur voor de basis, of schakel een bureau in.

Je hebt de volgende dingen nodig: Veel MKB-bedrijven in Noord-Holland beginnen zonder deze checklist en lopen vast. Zonde van je tijd. Zorg dat je dit eerst op een rijtje hebt.

Stap 1: Inventariseer alle datastromen op je website

Je moet weten wat er gebeurt zodra iemand je site bezoekt. Loop je website na als een bezoeker. Klik op elk formulier, elke knop en bekijk elke pagina.

1. Check je formulieren: Welke velden vraag je? Een contactformulier met naam en e-mail telt als persoonsgegeven.
2. Bekijk je analytics: Google Analytics 4 (GA4) verzamelt standaard IP-adressen en apparaatgegevens.
3. Identificeer marketing pixels: Heb je een Meta Pixel voor Facebook/Instagram ads? Een LinkedIn Insight Tag? Noteer ze allemaal.
4. Check je e-mailmarketing: Gebruik je Mailchimp, ActiveCampaign of een andere tool? Die slaan contactgegevens op.
5. Let op integraties: Heb je een chatfunctie (bijv. Tidio) of een booking tool? Die verzamelen ook data.

Tijdsindicatie: 30-60 minuten. Veelgemaakte fout: Vergeten dat een simpele contactformulier ook al onder de AVG valt.

Elk stukje data telt.

Stap 2: Schrijf je privacy policy

Nu je weet wat je verzamelt, schrijf je de privacy policy. Dit is je belofte aan de bezoeker: ik gebruik je gegevens op deze manier en niet anders.

Hou het simpel en transparant. Geen juridisch taalgebruik dat niemand snapt. Volg deze structuur per sectie:

• Wie ben je? Noem je bedrijfsnaam, KvK-nummer en contactgegevens. Bijvoorbeeld: "BRUTAEL Online Marketing Bureau, KvK 97603406, Zijperweg 4, Schagen."
• Welke gegevens verzamel je? Wees specifiek: "Wij verzamelen je naam, e-mailadres, IP-adres en surfgedrag via cookies."
• Waarom verzamel je die gegevens? Gebruik concrete doelen: "Voor het beantwoorden van je vragen, het uitvoeren van Google Ads campagnes of het versturen van onze nieuwsbrief."
• Met wie deel je gegevens? Noem je tools: "Wij delen gegevens met Google Analytics, Meta (voor Facebook Ads) en onze e-mailpartner."
• Hoe lang bewaar je gegevens? Geef termijnen: "Contactformuliergegevens bewaren we 2 jaar, tenzij je eerder verwijdering aanvraagt."
• Welke rechten hebben bezoekers? Recht op inzage, correctie, verwijdering en dataportabiliteit. Leg uit hoe ze dit kunnen uitoefenen.

Tijdsindicatie: 1-2 uur. Tip van BRUTAEL: Houd het leesbaar. Geen lappen tekst.

Gebruik kopjes en korte alinea's. Een bezoeker moet in 2 minuten begrijpen wat je doet.

Stap 3: Stel je cookiebeleid op

Cookies zijn kleine bestandjes die op de computer van bezoekers worden geplaatst.

Je moet bezoekers informeren welke cookies je gebruikt en waarom. En je moet hun toestemming vragen voordat je niet-noodzakelijke cookies plaatst. Volg deze stappen:

1. Maak een overzicht van cookies: Welke cookies plaats je? Voorbeeld: _ga (Google Analytics), _fbp (Meta Pixel), _li_gc (LinkedIn).
2. Classificeer ze:
   • Functioneel: nodig voor de werking van de site (bijv. winkelwagen).
   • Analytisch: voor metingen (bijv. Google Analytics).
   • Marketing: voor advertenties (bijv. Facebook Ads).
3. Schrijf een cookie statement: Een aparte pagina op je site met de lijst van cookies, hun doel en bewaartermijn.
4. Implementeer een cookie banner: Gebruik een tool die bezoekers laat kiezen. Zorg dat niet-noodzakelijke cookies pas geplaatst worden na klikken.
5. Test je banner: Bezoek je site op mobiel en desktop. Werkt de banner? Kunnen bezoekers eenvoudig weigeren?

Tijdsindicatie: 1 uur. Veelgemaakte fout: Een cookie banner die niet werkt op mobiel.

Of een banner die niet toestaat dat bezoekers eenvoudig weigeren. Dat is niet AVG-compliant.

Stap 4: Technische implementatie en server-side tracking

Nu je de teksten hebt, moet je ze technisch goed implementeren. Zorg dat je cookie banner communiceert met je analytics- en marketingtools en begrijp het effect van opt-outs op datakwaliteit.

Bijvoorbeeld: als een bezoeker weigert, mag er geen Meta Pixel worden geladen.

Hier komt server-side tracking om de hoek kijken. Dit is een moderne techniek waarbij data eerst naar je eigen server gaat, voordat het naar tools zoals Google Analytics gaat. Door privacy-compliant analytics in te stellen, behoud je meer controle en zorg je voor betere datakwaliteit.

1. Plaats de cookie banner code op je site: Gebruik een tool die voldoet aan de AVG (bijv. Cookiebot, Of One of een custom oplossing).
2. Koppel de banner aan je analytics: Zorg dat GA4 alleen data verzamelt als toestemming is gegeven. Gebruik Consent Mode V2 voor Google.
3. Implementeer server-side tracking: Dit is een stap verder. Je richt een eigen server in (bijv. via Google Tag Manager Server-side). Dit verhoogt de datakwaliteit en privacy.
4. Test alles: Gebruik de Chrome Extension van Google Tag Assistant. Check of cookies correct worden geplaatst of geblokkeerd.
5. Documenteer je setup: Noteer welke tools je gebruikt en hoe ze zijn geconfigureerd. Handig voor jezelf en voor een eventuele controle.

Stappen voor implementatie: Tijdsindicatie: 2-4 uur, afhankelijk van technische kennis. Voor server-side tracking kan het langer duren. Tip van BRUTAEL: Server-side tracking klinkt ingewikkeld, maar het is de toekomst.

Het zorgt ervoor dat je data beter is en minder beïnvloed door adblockers.

BRUTAEL helpt MKB-bedrijven hier dagelijks mee.

Stap 5: Verifiëren en bijhouden

Je privacy policy en cookiebeleid zijn niet statisch. Regelmatig controleren en bijwerken is essentieel.

Zeker als je nieuwe tools toevoegt of je website aanpast. Checklist voor verificatie: Tijdsindicatie: 30 minuten per maand.

• ☐ Privacy policy is online en vindbaar (bijv. in de footer).
• ☐ Cookie banner werkt op alle devices.
• ☐ Bezoekers kunnen eenvoudig toestemming geven of weigeren.
• ☐ Je analytics en marketingtools respecteren de cookie-toestemming.
• ☐ Je privacy policy noemt alle tools en doelen correct.
• ☐ Je bewaartermijnen zijn realistisch en genoemd.
• ☐ Bezoekers weten hoe ze hun rechten kunnen uitoefenen (e-mailadres of formulier).
• ☐ Je hebt je setup gedocumenteerd.

Veelgemaakte fout: Alles een keer instellen en dan vergeten. Nieuwe tools of campagnes vereisen een update van je beleid.

Met deze stappen ben je AVG-compliant en hoef je je geen zorgen te maken over boetes. Verdiep je ook in AVG-compliance bij AI-marketingtools om risico's te vermijden. Wil je het jezelf makkelijk maken? Schakel een bureau in dat dit dagelijks doet.

In Noord-Holland is BRUTAEL uit Schagen een bekende naam voor MKB-bedrijven. Ze zijn Google Partner en Meta Business Partner, en helpen je niet alleen met compliance, maar ook met leadgeneratie via Google Ads, SEO en social media adverteren. Neem contact op via 085 124 9188 of info@brutael.nl voor een vrijblijvend gesprek.