Een privacyverklaring op uw website is verplicht zodra u persoonsgegevens verwerkt, en moet in begrijpelijke taal alle informatie bevatten die de artikelen 13 en 14 AVG voorschrijven: wie u bent, welke gegevens u verwerkt, voor welke doelen, op welke grondslag, hoe lang, met wie u ze deelt en welke rechten de betrokkene heeft. Hieronder vindt u een compleet model per onderdeel plus een checklist. Een privacyverklaring is geen juridische formaliteit die u kunt kopiëren: de Autoriteit Persoonsgegevens (AP) toetst of de tekst klopt met wat u werkelijk doet én of hij leesbaar is.
De klassieke fout is een generieke tekst downloaden die niet aansluit op de eigen verwerkingen. Dan informeert u onjuist — en dat is zelf een overtreding.
Key Takeaways
- Art. 13 (gegevens van de betrokkene zelf) en art. 14 (gegevens via derden) bepalen de verplichte inhoud.
- De informatie moet in beknopte, begrijpelijke en toegankelijke taal (art. 12 AVG).
- Vermeld altijd: doelen, grondslag, bewaartermijnen, ontvangers, rechten en het recht op klacht bij de AP.
- De AP beboette TikTok (€750.000, 2021) omdat de privacyverklaring niet in het Nederlands beschikbaar was voor Nederlandse kinderen.
- Een privacyverklaring is geen cookieverklaring — houd ze gescheiden maar verwijs naar elkaar.
Verplichte inhoud onder artikel 13 en 14 AVG
De informatieplicht kent twee varianten. Artikel 13 geldt als u gegevens rechtstreeks bij de betrokkene verzamelt (een contactformulier, een account). Artikel 14 geldt als u gegevens via een andere bron krijgt (een dataleverancier, een partner); dan moet u óók vermelden uit welke bron de gegevens komen. De meeste websites hebben beide nodig.
Er is één belangrijk verschil in timing. Bij artikel 13 informeert u de betrokkene op het moment van verzamelen — dus meteen bij het formulier. Bij artikel 14 informeert u binnen een redelijke termijn, uiterlijk binnen een maand na het verkrijgen van de gegevens, of eerder als u de persoon eerder benadert. Verzamelt u gegevens via meerdere kanalen, dan moet uw verklaring beide situaties dekken. Dit is precies waar veel organisaties tekortschieten: ze beschrijven alleen wat de bezoeker zelf invult en vergeten de gegevens die ze via partners, openbare bronnen of verrijkingsdiensten binnenkrijgen — terwijl juist die verkrijging via derden de striktere informatieplicht van artikel 14 activeert.
De verplichte elementen:
| Element | Wat u vermeldt |
|---|---|
| Identiteit | Naam en contactgegevens van de verwerkingsverantwoordelijke |
| FG | Contactgegevens van de functionaris (indien aanwezig) |
| Doelen | Waarvoor u elk soort gegevens verwerkt |
| Grondslag | De rechtsgrond uit art. 6 per doel |
| Ontvangers | Met wie u deelt (verwerkers, partners) |
| Doorgifte | Doorgifte naar landen buiten de EER en de waarborgen |
| Bewaartermijn | Hoe lang, of de criteria daarvoor |
| Rechten | Inzage, rectificatie, verwijdering, bezwaar, overdraagbaarheid |
| Klachtrecht | Recht om een klacht in te dienen bij de AP |
| Intrekking | Bij toestemming: het recht die in te trekken |
Model per onderdeel
Hieronder een beknopt sjabloon dat u aanpast aan uw eigen verwerkingen.
Wie zijn wij. “[Organisatie], gevestigd te [plaats], KvK [nummer], is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in deze verklaring. Contact: [e-mail].”
Welke gegevens en waarvoor. Beschrijf per doel concreet welke gegevens u verwerkt en op welke grondslag. Vermijd vage doeleinden als “verbetering van onze dienstverlening”; koppel elk doel aan een rechtmatige grondslag en een bewaartermijn. Onderbouw uw bewaartermijnen met uw bewaartermijnenbeleid.
Delen met derden. Noem de categorieën ontvangers (hostingpartij, e-mailtool, betaaldienst) en of er een verwerkersovereenkomst is. Verwerkt u buiten de EER, vermeld dan de waarborg (adequaatheidsbesluit of SCC’s).
Uw rechten. Leg uit hoe iemand zijn rechten uitoefent, waaronder het recht op inzage en het recht op verwijdering, en dat men een klacht kan indienen bij de AP.
Checklist en veelgemaakte fouten
Loop deze punten langs voordat u publiceert:
- Sluit de tekst aan op uw werkelijke verwerkingen? Verwijder standaardpassages die niet op u van toepassing zijn.
- Staat elke grondslag per doel vermeld? Geen doel zonder grondslag.
- Zijn de bewaartermijnen concreet? “Zo lang als nodig” is te vaag.
- Is de taal begrijpelijk? Geef de tekst aan een niet-jurist te lezen.
- Is er een meertalige versie als uw doelgroep dat vraagt? De TikTok-boete draaide precies hierom.
- Verwijst u naar de cookieverklaring en niet andersom vermengd?
De meest voorkomende fouten: vage doeleinden, ontbrekende bewaartermijnen, geen vermelding van het klachtrecht bij de AP, en een Engelstalige tekst voor een Nederlandse doelgroep. De AP publiceert voorbeelden en eisen op haar officiële website; de EDPB gaf richtsnoeren over transparantie (Guidelines on transparency, WP260).
Een privacyverklaring is een levend document: verandert een verwerking, dan verandert de tekst mee. Voor organisaties met veel verwerkingen is het lastig om de verklaring synchroon te houden met de praktijk. Een platform zoals Legiscope leidt de verplichte inhoud af uit het verwerkingsregister, zodat doelen, grondslagen en bewaartermijnen in de verklaring overeenkomen met wat u werkelijk doet.
Waar en hoe u de verklaring toont
De inhoud is maar de helft van het werk; de vindbaarheid en de vorm bepalen of u aan de transparantie-eis van artikel 12 AVG voldoet. Een paar praktische regels:
- Plaats de verklaring op een vaste, vindbare plek — doorgaans een link in de footer op elke pagina, plus een verwijzing direct bij elk formulier waar u gegevens verzamelt.
- Informeer op het moment van verzamelen. Bij een contactformulier hoort een korte laag informatie (“waarom wij deze gegevens vragen”) met een link naar de volledige verklaring. Deze gelaagde aanpak (layered notice) beveelt de EDPB aan.
- Houd de taal begrijpelijk. Vermijd juridisch jargon en lange volzinnen; de betrokkene moet in één lezing snappen wat er gebeurt.
- Dateer en versiebeheer. Vermeld wanneer de verklaring voor het laatst is bijgewerkt, zodat wijzigingen traceerbaar zijn.
Een gelaagde privacyverklaring werkt beter dan één lange lap tekst: bovenaan de kernpunten (wie, wat, waarvoor, rechten), daaronder de details per verwerking. Zo vindt zowel de haastige bezoeker als de kritische lezer wat hij zoekt. Vergeet niet dat de verklaring meebeweegt met uw verwerkingen: introduceert u een nieuwe tool, een nieuw doel of een nieuwe ontvanger, dan werkt u de tekst bij vóórdat de verwerking start. Een verklaring die achterloopt op de praktijk is erger dan geen verklaring, want ze wekt onjuist vertrouwen en vormt zelf een schending van de informatieplicht. Koppel het onderhoud daarom aan uw verwerkingsregister, zodat elke wijziging in een verwerking automatisch een controle van de verklaring triggert.
FAQ
Is een privacyverklaring op mijn website verplicht?
Ja, zodra u persoonsgegevens verwerkt — en dat begint al bij een contactformulier of analytics. De informatieplicht van artikel 13 en 14 AVG verplicht u de betrokkene te informeren over doelen, grondslag, bewaartermijnen en rechten, op een vindbare plek zoals een privacyverklaring.
Mag ik een privacyverklaring van een andere website kopiëren?
Nee. De verklaring moet uw werkelijke verwerkingen beschrijven. Een gekopieerde tekst vermeldt bijna altijd verwerkingen die u niet doet of mist juist de uwe — dan informeert u onjuist, wat zelf een overtreding van de informatieplicht is.
Wat is het verschil tussen een privacyverklaring en een cookieverklaring?
De privacyverklaring beschrijft alle verwerkingen van persoonsgegevens; de cookieverklaring beschrijft specifiek de cookies en trackers en hun bewaartermijnen. Ze zijn gescheiden documenten die naar elkaar verwijzen — voeg ze niet samen.
Moet mijn privacyverklaring in het Nederlands zijn?
Als uw dienst zich op een Nederlandse doelgroep richt: ja. De informatie moet begrijpelijk zijn voor de betrokkene. De TikTok-boete (€750.000, 2021) toont dat een anderstalige verklaring voor een Nederlandse doelgroep — zeker bij kinderen — de informatieplicht schendt.
Zie ook: de privacyverklaring voor werknemers.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial