Uit de praktijk · Design & conversie · Voor MKB-ondernemers

AVG en cookies op je MKB-website in 2026, wat moet, wat mag, wat is overkill

Jim Grootes · 7 min leestijd · 14 mei 2026
AVG en cookies op je MKB-website in 2026, wat moet, wat mag, wat is overkill

De AVG (in Europa: GDPR) bestaat al sinds 2018, maar 70% van de MKB-websites die wij zien gebruikt nog steeds de verkeerde cookie-banner, mist een privacyverklaring, of vraagt veel te veel toestemming. Dit artikel geeft je in 2026 een helder antwoord op wat MOET, wat MAG en wat overkill is, in mensentaal, zonder juridisch jargon.

De boetes van de Autoriteit Persoonsgegevens zijn de afgelopen 2 jaar significant gestegen voor MKB. Niet omdat ze MKB extra aanpakken, maar omdat veel ondernemers gewoon vergeten dat de regels ook voor hun “kleine site” gelden. Goed nieuws: het naleven is eenvoudiger dan je denkt, en kost geen honderden euro's aan adviseurs.

Wat moet er ECHT op je MKB-website? (3 dingen)

1. Een privacyverklaring

Niet optioneel. Niet “later regelen”. Vanaf het moment dat je één contactformulier hebt, één nieuwsbrief-opt-in, of één cookie verzamelt, je moet een privacyverklaring hebben. Wat erin staat:

  • Naam + adres van jouw bedrijf (de “verwerkingsverantwoordelijke”)
  • Welke persoonsgegevens je verzamelt (naam, e-mail, IP, etc.)
  • Waarvoor je ze gebruikt (contact, factuur, nieuwsbrief, statistiek)
  • Hoe lang je ze bewaart
  • Met wie je ze deelt (hostingprovider, e-mailtool, etc.)
  • Welke rechten bezoekers hebben (inzage, correctie, verwijdering)
  • Contact voor privacy-vragen

Geen pro forma “we respecteren je privacy”-bla. Concreet, in jouw eigen taal. Een goed gestructureerde privacyverklaring kost je 90 minuten om zelf te schrijven, of één keer een gratis template gebruiken van de Autoriteit Persoonsgegevens.

2. Toestemming voor tracking-cookies (als je die gebruikt)

Cookies die alleen technisch nodig zijn (login, winkelwagen, taal-voorkeur) hoef je GEEN toestemming voor te vragen. Cookies voor tracking (Google Analytics, Facebook Pixel, Hotjar) WEL.

Wat een correcte cookie-banner doet:

  • Tonen vóórdat tracking-cookies geplaatst worden
  • Optie “alle cookies accepteren” + “alleen noodzakelijke” + “instellingen” GELIJKWAARDIG aanbieden (niet “accept all” groot en “weiger” piepklein)
  • Eenvoudig kunnen wijzigen achteraf
  • Geen cookies plaatsen voor de bezoeker een keuze heeft gemaakt

Goedwerkende plugins: Complianz (gratis tier dekt voor 99% van MKB), CookieYes (gratis tot 25k bezoekers/mnd), Borlabs Cookie (premium). Wij gebruiken Complianz omdat de gratis versie genoeg dekt en de Nederlandse rechtenkamp.

3. Logical processing-grondslag voor elk gebruik

Dat klinkt juridisch, maar het is simpel: voor elk doel dat je persoonsgegevens gebruikt, moet er een wettelijke basis zijn. De vier meest relevante voor MKB:

  • Uitvoering overeenkomst, klant kocht iets, je hebt naam/adres nodig om te leveren
  • Toestemming, voor marketing-e-mails, expliciet opt-in
  • Wettelijke verplichting, bv. boekhouding bewaren 7 jaar
  • Gerechtvaardigd belang, bv. reaguurder-IP loggen voor spam-bestrijding

Documenteer in je privacyverklaring welke basis je voor welk gebruik hanteert. Dat is genoeg, je hoeft GEEN apart Verwerkings Register als je < 250 medewerkers hebt EN niet structureel bijzondere gegevens verwerkt (gezondheid, religie, etc.).

Wat MAG (maar niet hoeft)

Data Protection Officer (DPO)

Een DPO is verplicht als je hoofdactiviteit bestaat uit grootschalig verwerken van bijzondere gegevens (ziekenhuis, recruitment agency). Voor 99% van MKB: niet verplicht, en het inhuren van een DPO is overkill. Beter: één persoon binnen je bedrijf maak je verantwoordelijk voor privacy-vragen.

SSL-certificaat, technisch verplicht, juridisch “sterke aanbeveling”

Geen pure AVG-eis, maar de Autoriteit ziet het ontbreken van HTTPS als nalatigheid. Plus Google Chrome toont “Niet beveiligd” bij sites zonder SSL, dat ondermijnt vertrouwen direct. Gewoon doen. Let's Encrypt is gratis bij elke moderne host.

Two-factor authenticatie op je admin

Niet AVG-verplicht maar wel best practice. Bescherming tegen hacks die persoonsgegevens kunnen lekken, en een datalek MOET je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Voorkom liever.

Wat OVERKILL is (en geld kost zonder voordeel)

Dure AVG-audit van een gespecialiseerd bureau (€2.000-€5.000)

Voor een MKB-website met contactformulier + nieuwsbrief is dit overdreven. Je betaalt voor risicovrijdom die je voor 90% zelf had kunnen creëren met een goede privacyverklaring en cookie-plugin. Audits zijn relevant bij >50 medewerkers, e-commerce, of als je bijzondere gegevens verwerkt.

Aparte AVG-pagina naast privacyverklaring

Veel sites hebben “privacyverklaring” EN “cookie-statement” EN “AVG” als 3 verschillende pagina's. Eén goede privacyverklaring + een cookie-popup is genoeg. Meer is verwarrend.

Tot Toestemming verschuilen achter "door doorlezen accepteer je…"

Dit telt NIET als geldige toestemming. Het is een actieve, onderbouwde keuze die nodig is. Sites die dit gebruiken zijn potentieel boete-vatbaar. Vervang door echte opt-in.

De praktische checklist (45 minuten werk)

  1. Privacyverklaring, download template van Autoriteit Persoonsgegevens, vul in met JOUW gegevens (60 min)
  2. Cookie-plugin installeren. Complianz gratis, run de wizard die alle plugins en tracking scant (15 min)
  3. Privacyverklaring linken, footer van site, contactformulier en nieuwsbrief-opt-in (10 min)
  4. Test in incognito, zie je geen cookies geplaatst vóórdat je klikt? Werkt “alleen noodzakelijk”? Klik door en zie of links naar privacyverklaring werken (10 min)
  5. Documenteer intern, wie is verantwoordelijk voor privacy-vragen? Wat is je proces als iemand vraagt om verwijdering? (15 min)

Klaar. Geen €2.000 nodig. Geen advocaat. Wel 45 minuten van je eigen tijd.

Wat doe je bij een datalek?

Iemand hackt je site. Klantgegevens kunnen weg zijn. Wat nu?

  1. Onmiddellijk, isoleer de aanval (hosting offline, wachtwoorden reset)
  2. Binnen 72 uur, melden bij Autoriteit Persoonsgegevens via hun online-formulier IF de inbreuk een risico voor mensen oplevert (vaak het geval bij hack)
  3. Documenteer alles, wanneer ontdekt, wat er buit is gemaakt, welke maatregelen
  4. Communiceer met betrokkenen, als er hoog risico is, informeer affected users direct

Wij hebben dit één keer voor een klant moeten doen. Het is overzichtelijk als je een goede backup-strategie hebt. Lees ook Waarom shared hosting je website remt, eigen managed hosting maakt herstellen na incident veel sneller.

Wat wij voor onze klanten doen

Bij elke Circular Media-website zit standaard:

  • Privacyverklaring-template afgestemd op het type bedrijf
  • Complianz cookie-plugin pre-geïnstalleerd en gerouteerd
  • Footer-link naar privacyverklaring + cookie-instellingen automatisch
  • SSL via Let's Encrypt op Cloudways
  • Backup-strategie via Cloudways (incident response zonder paniek)

Heb je een bestaande site en wil je weten of je AVG-compliant bent? Vraag de gratis website-analyse aan, we kijken specifiek naar privacy-niveau en geven 3 concrete fixes.

Veelgestelde vragen

Heb ik een Verwerkingsregister nodig?

Niet als je < 250 medewerkers hebt EN geen structurele verwerking van bijzondere gegevens doet. Voor 99% van MKB is een goede privacyverklaring genoeg.

Mag ik Google Analytics gebruiken?

Ja, met toestemming via cookie-banner en mits je GA4 correct configureert: data retention op 2 maanden, IP-anonymization aan, geen sharing met andere Google-producten zonder noodzaak. Of stap over op Plausible / Simple Analytics (server-side, cookie-loos, GDPR-vriendelijk).

Wat als ik een nieuwsbrief stuur?

Toestemming nodig (expliciet opt-in checkbox bij inschrijving, geen “automatisch aangevinkt”). Plus: elke nieuwsbrief moet een werkende uitschrijflink hebben.

Geldt dit ook voor 1-pagina-portfolio-site?

Ja. Heb je een contactformulier? Dan verwerk je persoonsgegevens. Heb je Google Analytics? Dan cookies. Dezelfde regels van toepassing.

Moet ik mijn klanten een datalek-protocol geven?

Niet specifiek voor MKB. Maar in je opdracht-bevestiging vermelden hoe je met hun gegevens omgaat is professioneel en bouwt vertrouwen.

Werkt dit ook voor B2B?

Ja. AVG geldt voor persoonsgegevens, ook van zakelijke contacten (naam, e-mail van iemand bij een bedrijf). De regels zijn iets soepeler omdat je vaak een gerechtvaardigd belang hebt, maar de privacyverklaring + toestemming-flow blijft.

De korte versie: AVG is op MKB-schaal manageable. Privacyverklaring + correcte cookie-banner + SSL + bewustzijn = 95% gedaan. Audits, DPO's en losse compliance-tools zijn overkill voor wie geen e-commerce of bijzondere gegevens verwerkt.

Wil je hulp met de AVG-implementatie op een nieuwe site? Vraag een gratis analyse aan, we kijken concreet wat jouw site mist en bouwen het mee in bij elke nieuwe MKB-launch.

Vragen of even sparren?

Stuur ons een bericht.

WhatsApp voor het snelste antwoord, of mail als het uitgebreider is. Binnen één werkdag reactie, geen verkooppraatje.

WhatsApp Circular Media Stuur een mail
Verder lezen · uit de praktijk

Andere artikelen die je verder helpen.