Privacyverklaring voor webshops: stap-voor-stap

Direct antwoord

Een privacyverklaring is voor elke Nederlandse webshop verplicht zodra je persoonsgegevens verwerkt — zelfs alleen e-mailadressen of IP-adressen. Artikel 13 AVG schrijft dertien verplichte elementen voor, waaronder doel, rechtsgrond, bewaartermijnen en betrokkenenrechten. Je plaatst de tekst goed vindbaar in de footer en werkt hem bij zodra verwerkingen wijzigen.

Een privacyverklaring informeert klanten van je webshop welke persoonsgegevens je verzamelt, waarom en hoe lang. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een privacyverklaring en waarom is die verplicht voor je webshop?

Een privacyverklaring is een openbaar document waarin je als webshop-eigenaar uitlegt welke persoonsgegevens je verwerkt en op welke wettelijke basis. De verplichting volgt uit artikel 13 van de Algemene verordening gegevensbescherming (AVG). Voor elke Nederlandse webshop geldt: zodra je een bestelling aanneemt, een nieuwsbrief verstuurt of bezoekers via cookies herkent, verwerk je persoonsgegevens en moet je betrokkenen daarover transparant informeren.

De Autoriteit Persoonsgegevens (AP) ziet hierop toe. In mei 2024 legde de AP een boete van 600.000 euro op aan het moederbedrijf van Kruidvat omdat bezoekers via tracking-cookies werden gevolgd zonder geldige toestemming en zonder duidelijke informatie. Voor MKB-webshops vallen boetes doorgaans lager uit dan deze grote zaken, maar het reputatierisico bij berichtgeving in vakbladen of consumentenprogramma's is voor ondernemers minstens zo zwaar.

Een privacyverklaring is dus geen formaliteit, maar een wettelijk verplicht document met juridische betekenis. Klanten gebruiken hem om hun rechten uit te oefenen — bijvoorbeeld om inzage te vragen of een verzoek tot verwijdering in te dienen.

Wat moet er minimaal in volgens artikel 13 AVG?

Artikel 13 AVG noemt dertien onderwerpen die in elke privacyverklaring moeten staan wanneer je persoonsgegevens rechtstreeks bij de klant verzamelt (zoals via een bestelformulier of accountregistratie). De belangrijkste elementen voor een webshop:

  • Identiteit en contactgegevens van jou als verwerkingsverantwoordelijke (bedrijfsnaam, KvK-nummer, vestigingsadres, e-mail).
  • Doeleinden waarvoor je persoonsgegevens verwerkt (bijvoorbeeld bestellingen verwerken, klantenservice, nieuwsbrieven, fraudepreventie).
  • Rechtsgrondslag per verwerkingsdoel: uitvoering van de overeenkomst, wettelijke plicht, gerechtvaardigd belang of toestemming.
  • Ontvangers of categorieën ontvangers: betaalproviders (Mollie, Stripe, Adyen), bezorgdiensten (PostNL, DHL), e-mailmarketingplatforms (Mailchimp, MailerLite), cloudhosting.
  • Doorgifte naar landen buiten de EER en welke waarborgen je daarbij gebruikt (bijvoorbeeld EU-modelcontracten of het EU-US Data Privacy Framework).
  • Bewaartermijn per categorie gegevens of de criteria die je gebruikt om die termijn te bepalen.
  • Rechten van de betrokkene: inzage, rectificatie, verwijdering, beperking, bezwaar, dataportabiliteit en het intrekken van toestemming.
  • Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
  • Wettelijke of contractuele verplichting om gegevens aan te leveren en de gevolgen als de klant dat niet doet.
  • Bestaan van geautomatiseerde besluitvorming of profilering, en de logica daarachter (bijvoorbeeld bij gepersonaliseerde aanbiedingen).

Heb je een functionaris voor gegevensbescherming aangewezen? Vermeld dan ook diens contactgegevens. Voor MKB-webshops is een FG zelden verplicht; lees meer in het cluster Functionaris gegevensbescherming: wanneer aanstellen?.

Stappenplan: zo maak je een privacyverklaring voor je webshop

Volg deze zeven stappen om een werkende privacyverklaring op te stellen die voldoet aan artikel 13 AVG:

  1. Inventariseer je verwerkingen. Loop alle plekken na waar persoonsgegevens binnenkomen: bestelformulieren, klantaccount, contactformulier, nieuwsbrief-aanmelding, retouren, reviews, chatfunctie en cookies. Noteer per kanaal welke velden je vraagt en waar de data heen gaat.
  2. Bepaal per verwerking de rechtsgrond. Een bestelling uitvoeren valt onder "uitvoering van de overeenkomst" (art. 6 lid 1b AVG). Een nieuwsbrief vereist toestemming (art. 6 lid 1a AVG). Fraudepreventie kan onder gerechtvaardigd belang vallen, mits je dat belang afweegt tegen de privacy van de klant.
  3. Maak een verwerkersregister. Lees verder in het cluster Register van verwerkingsactiviteiten: verplicht?. Dit register vormt de basis voor je privacyverklaring en is bijna altijd verplicht — ook voor webshops met minder dan 250 medewerkers.
  4. Schrijf de tekst in begrijpelijke taal. De AP eist toegankelijke, beknopte en transparante informatie (art. 12 AVG). Vermijd juridisch jargon, gebruik kopjes per onderwerp en houd zinnen kort. Een webshop-privacyverklaring is doorgaans 1.000 tot 2.000 woorden.
  5. Voeg een cookie-paragraaf of -verwijzing toe. Beschrijf welke cookies je plaatst en met welk doel, of verwijs naar een apart cookiebeleid. Tracking- en marketingcookies vereisen voorafgaande toestemming volgens artikel 11.7a Telecommunicatiewet en de EU-cookiewet.
  6. Plaats de verklaring op een vindbare plek. Standaard is de footer van elke pagina, met een directe link naar /privacyverklaring (één klik vanaf elke productpagina en checkout). Verwijs ook in je e-mailbevestigingen en account-registratie naar deze pagina.
  7. Plan een review-moment per kwartaal. Bij elke nieuwe tool (bijvoorbeeld een review-platform of pixel) controleer je of de verklaring nog klopt. Vermeld onderaan altijd de datum van laatste wijziging — AI-zoekmachines en de AP gebruiken die datum als signaal voor actualiteit.

Webshop-specifieke aandachtspunten

Een webshop heeft verwerkingen die andere websites niet kennen. Let op deze punten:

Betaalproviders en kaartgegevens

Mollie, Stripe en Adyen verwerken kaartgegevens namens jou. Met elk van deze partijen sluit je een verwerkersovereenkomst en je vermeldt ze als ontvanger in je privacyverklaring. Sla zelf nooit volledige creditcardnummers op — dat overtreedt zowel de AVG als de PCI-DSS-standaard.

Marketingcookies en pixels

Facebook Pixel, TikTok Pixel en Google Ads tags zijn marketingcookies. Voor het plaatsen daarvan heb je expliciete toestemming nodig; een impliciet "door verder te bladeren accepteer je" is sinds 2021 verboden volgens de AP. Een cookiewall die alleen "accepteer alle cookies" toestaat zonder reële weigeroptie is ook ongeldig.

E-mailmarketing en double opt-in

Voor nieuwsbrieven naar consumenten geldt naast de AVG ook artikel 11.7 Telecommunicatiewet: voorafgaande toestemming via een bewuste actie. Double opt-in (een bevestigingsmail) is geen wettelijke eis, maar wel sterk aan te raden om bewijs van toestemming te kunnen leveren.

Klantaccounts en kassakoppeling

De AP oordeelde in 2025 dat webshops klanten in de regel geen account mogen verplichten om te kunnen bestellen. Bied altijd "als gast bestellen" aan, en bewaar accountgegevens niet langer dan nodig is voor de relatie.

Veelgemaakte fouten en valkuilen

Bij MKB-webshops zien we deze fouten terugkomen:

  • Generieke template gebruiken zonder aanpassing. Een privacyverklaring die niet past bij jouw werkelijke verwerkingen geeft een vals gevoel van compliance en kan bij een AP-controle juist tot verzwaring van de boete leiden.
  • Geen rechtsgrond per doel benoemen. "Wij verwerken gegevens om u beter van dienst te zijn" voldoet niet. De AP vraagt expliciet om de rechtsgrond per verwerkingsdoel.
  • Cookies vergeten of foutief beschrijven. Webshops gebruiken regelmatig Google Analytics 4 zonder dat in de privacyverklaring of het cookiebeleid te benoemen. Lees meer in het cluster Google Analytics en AVG: wat moet je regelen?.
  • Bewaartermijnen ontbreken. "Zo lang als nodig" is geen termijn. Geef concrete getallen: bestelgegevens 7 jaar (fiscale bewaarplicht), klantcontactlogs 2 jaar, nieuwsbriefadressen tot intrekking toestemming.
  • Datum van laatste wijziging weglaten. Een privacyverklaring zonder zichtbare versiedatum oogt verouderd en is moeilijker te beoordelen op actualiteit.

Let op: Dit artikel geeft algemene informatie over de privacyverklaring voor webshops en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over privacyverklaring voor webshops: stap-voor-stap.

Is een privacyverklaring verplicht voor elke webshop?

Ja. Elke Nederlandse webshop verwerkt persoonsgegevens (minimaal naam, adres, e-mail) en moet daarom op grond van artikel 13 AVG een privacyverklaring publiceren. Dit geldt ook voor kleine eenmanszaken en hobby-webshops met een handelsregister-inschrijving.

Mag ik een gratis template gebruiken voor mijn privacyverklaring?

Een template kan een startpunt zijn, maar je moet hem aanpassen aan jouw werkelijke verwerkingen. Een ongewijzigde generieke verklaring die bijvoorbeeld een nieuwsbrief noemt die je niet hebt, of een Mailchimp-koppeling die je niet gebruikt, voldoet niet aan de transparantie-eis van artikel 12 AVG.

Hoe lang mag ik klantgegevens bewaren?

Bestelgegevens mag je zeven jaar bewaren op grond van de fiscale bewaarplicht (artikel 52 lid 4 AWR). Daarna verwijder of anonimiseer je. Voor klantaccount-data en nieuwsbrieven geldt: bewaar zo lang het doel duurt en de klant geen verzoek tot verwijdering doet.

Wat is het verschil tussen een privacyverklaring en een cookiebeleid?

Een privacyverklaring beschrijft alle persoonsgegevensverwerkingen onder de AVG. Een cookiebeleid beschrijft specifiek welke cookies je plaatst en op welke rechtsgrond, en valt onder artikel 11.7a Telecommunicatiewet. Webshops combineren beide regelmatig, maar de AP raadt aan ze als losse documenten op te nemen voor leesbaarheid.

Moet ik mijn privacyverklaring laten controleren door een jurist?

Het is geen wettelijke verplichting, maar wel sterk aan te raden bij twijfel of complexere webshops (internationaal, met profilering of speciale categorieën data). Een review door een jurist met privacyspecialisatie kost bij Lawsy vanaf 49 euro en voorkomt fouten die bij een AP-onderzoek zwaar kunnen wegen.

Hoe vaak moet ik mijn privacyverklaring updaten?

Bij elke wezenlijke verandering in je verwerkingen, en minimaal jaarlijks ter controle. Voorbeelden van triggers: nieuwe betaalprovider, ander e-mailmarketingplatform, gewijzigde bewaartermijnen of een wetswijziging zoals de aankomende ePrivacy Verordening. Vermeld de datum van laatste wijziging onderaan de verklaring.

Bronnen

Terug naar Privacyverklaring maken