AVG en cookies voor mkb-websites: een checklist in gewoon Nederlands
Wat de AVG echt eist van een mkb-website — privacyverklaring, cookiebanner, grondslagen, dataminimalisatie — uitgelegd zonder doembeelden.

Bedien je vanuit je bedrijf ergens in de Europese Unie klanten, dan geldt de AVG — en ja, ook voor het eenmansadvies met één contactformulier. Het goede nieuws: het is veel minder ingewikkeld dan de compliance-industrie je wil doen geloven.
Deze checklist is wat een mkb-website in 2026 echt nodig heeft om AVG-conform te zijn. Geen doemverhalen, geen koppen over '€20 miljoen boete', geen 47 pagina's privacybeleid van een beursfonds. Alleen de delen die ertoe doen.
Wat de AVG eigenlijk zegt (in twee alinea's)
De AVG zegt: verzamel je persoonsgegevens van iemand in de EU, dan moet je (a) een wettige reden hebben, (b) de persoon vertellen wat je ermee doet, (c) ze veilig bewaren en niet langer dan nodig, en (d) inzage of verwijdering toestaan. Dat is de hele geest.
Persoonsgegevens zijn alles waarmee iemand identificeerbaar is — naam, e-mail, telefoon, IP-adres, zelfs een cookie-id. Zodra een bezoeker je site opent, verzamel je al een deel. Daarom heeft elke moderne site minimaal een privacyverklaring en (meestal) een cookiebanner nodig.
De vijf dingen die elke mkb-website moet hebben
- Een privacyverklaring die vertelt welke gegevens je verzamelt, waarom, hoe lang je ze bewaart en met wie je ze deelt. In de footer van elke pagina gelinkt.
- Een cookiebanner zodra je ÉÉN niet-noodzakelijke cookie plaatst (analytics, marketingpixels, ingebedde YouTube). 'Noodzakelijk' = strikt nodig om de site te laten werken — sessie, taal, CSRF-token.
- Een grondslag per type verwerking. Voor de meeste mkb-sites: 'toestemming' voor marketing, 'overeenkomst' voor bestellingen, 'gerechtvaardigd belang' voor fraudepreventie. Schrijf op wat waar geldt.
- Redelijke beveiliging: overal HTTPS, sterke beheerderswachtwoorden, back-ups, een host die geen data lekt.
- Een manier voor mensen om je over hun gegevens te bereiken. Meestal een e-mailadres als [email protected] dat een mens leest.
Cookiebanners: waar het meestal misgaat
Een conforme banner heeft vier eigenschappen. Ontbreekt er één, repareer het.
- Hij laadt voor er een niet-noodzakelijke cookie wordt gezet. Vuurt het analytics-script al voor de klik op 'accepteren', dan is de banner decoratie — niet conform.
- Weigeren is net zo makkelijk als accepteren. Een grote groene 'Alles accepteren' naast een minuscule grijze 'Beheren' is precies waar toezichthouders boetes voor zijn gaan opleggen.
- Granulaire toestemming per categorie — analytics, marketing, personalisatie. Bezoekers kunnen sommige accepteren en andere afwijzen.
- Toestemming wordt gelogd. Wie maandag analytics accepteert, daarvan moet je vrijdag de registratie kunnen tonen.
Gebruikt je site Google Analytics, Facebook Pixel, Hotjar, ingebedde YouTube of een externe chatwidget, dan heb je een banner nodig. Gebruikt hij niets daarvan en alleen een sessiecookie voor login, dan niet.
Privacyverklaring: wat schrijf je nu echt
Een privacyverklaring voor het mkb past op één pagina. Dek deze zes punten in gewoon Nederlands.
- Wie je bent (bedrijfsnaam, adres, contact-e-mail).
- Welke gegevens je verzamelt (bv. 'naam en e-mail van het contactformulier; IP en navigatiegegevens, na 30 dagen geanonimiseerd').
- Waarom (dienstverlening, vragen beantwoorden, analytics).
- Hoe lang je bewaart (bv. 'inzendingen formulier: 12 maanden; account: zolang het bestaat').
- Met wie je deelt (hosting-, e-mail-, analyticsleverancier — noem ze).
- De rechten en hoe ze uit te oefenen (inzage, rectificatie, verwijdering, privacy@…).
Een lange template van een gratis generator kopiëren en alleen de naam wijzigen levert een formeel correcte maar onleesbare verklaring op. Je verklaring is ook een vertrouwenssignaal. Wie hem leest, moet denken 'deze mensen respecteren mij' — niet 'geen idee wat ze met mijn gegevens doen'.
De kortste AVG-conforme privacyverklaring die we ooit live zetten was 600 woorden. Hij dekte alles. De eerste versie telde 3.800 woorden en zei niets nuttigs.
Dataminimalisatie: de goedkope compliance-truc
De helft van AVG-naleving is gewoon minder verzamelen. Elk formulierveld is risico. Vraag je per veld af: gebruik ik dit echt of stond het toevallig in de template?
- Contactformulier: naam, e-mail, bericht. Eventueel telefoon als terugbellen je primaire follow-up is. Verder niets.
- Boekingsformulier: alleen wat de afspraak nodig heeft. Geboortedatum voor een knipbeurt is geen minimaliseren.
- Nieuwsbriefinschrijving: alleen e-mail. 'Voornaam' mag; 'functie' is te ver.
- Cookietracking: alleen de categorieën die je gebruikt. Geen remarketingcampagne, geen remarketingcookies.
Veelgemaakte fouten die mkb'ers boetes opleveren
- Analytics-cookies vóór toestemming plaatsen. Oplossing: analytics op toestemming laten wachten, of een cookieloos alternatief.
- Voorgevinkte toestemmingsvakjes. Altijd opt-in, nooit opt-out.
- 'Alles accepteren' zonder gelijkwaardige weigerknop. Toezichthouders zijn in 2025 gestopt met aardig zijn.
- Vage grondslag. 'Wij verwerken op basis van ons gerechtvaardigd belang' is niet genoeg. Zeg WELK belang, in WELKE situatie.
- Geen echte verwijdering bij verzoek. Het verzoek moet binnen 30 dagen leiden tot wissen, niet tot een vriendelijk antwoord.
Waar Brimky inpast
Elke Brimky-site komt met een cookiebanner die 'weigeren' respecteert, een start-privacyverklaring die je voor je bedrijf invult, overal HTTPS en een host die als EU-verwerker is geregistreerd. De technische helft van compliance is bij lancering klaar. De beleid- en toestemmingshelft houd je zelf — en die lopen we tijdens de onboarding samen door, niet als blanco template.