Cookies en AVG: wat moet wel, wat is overdreven in 2026

De AVG bestaat sinds 2018, maar nog steeds is er veel onduidelijkheid bij MKB-ondernemers. Wat moet echt, wat is angstmarketing van consultancybureaus, en hoe regel je dit in 2026 zonder dat je een full-time privacy-officer wordt? De officiele richtlijnen staan op autoriteitpersoonsgegevens.nl en op het Europese gdpr.eu. In dit artikel: nuchter wat verplicht is voor jouw website en bedrijf, wat veel consultants overdreven verkopen, en hoe je het pragmatisch regelt.

Cookies en AVG in een minuut samengevat

Cookies en AVG voor een MKB-website komen op drie regels neer: vraag toestemming voor alles wat geen functioneel doel heeft, plaats geen tracking-cookies vóór die toestemming, en bewaar in je administratie wie waarvoor toestemming heeft gegeven. De rest in deze post is uitwerking en context.

Wat de AVG eigenlijk vraagt

De Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) regelt hoe bedrijven omgaan met persoonsgegevens van EU-burgers. Voor MKB-websites komt het neer op vier hoofdvragen:

1. Welke data verzamel je? Naam, e-mail, IP-adres, gedrag op je site.
2. Waarvoor? Contact, marketing, analytics, betalingen.
3. Heb je daar een grondslag voor? Contract, toestemming, gerechtvaardigd belang.
4. Hoe bescherm je het? Encryptie, beperkte toegang, beveiligde opslag.

Voor de meeste MKB-sites is dit met enkele duidelijke documenten en juiste instellingen geregeld. Geen consultancytraject van duizenden euro’s nodig. Voor de bredere security-aanpak: wat doe je bij een gehackte WordPress site.

De zes grondslagen onder de AVG

De AVG kent zes wettelijke grondslagen om persoonsgegevens te verwerken. Voor MKB komen drie ervan vrijwel altijd aan bod:

• Toestemming: de bezoeker heeft expliciet ja gezegd, bijvoorbeeld voor een nieuwsbrief
• Contract: de data is nodig om de overeenkomst uit te voeren, bijvoorbeeld een bestelling
• Gerechtvaardigd belang: jij hebt een legitiem belang en de bezoeker mag dat verwachten, zoals fraude-preventie

De andere drie (wettelijke verplichting, vitaal belang, publieke taak) gelden meestal niet voor MKB. Belangrijk: leg per verwerking vast welke grondslag je gebruikt. Dat is de basis van een werkbaar verwerkingsregister.

Wat verplicht is voor MKB-websites in 2026

1. Privacyverklaring

Verplicht voor elke site die persoonsgegevens verzamelt (en dat doe je bijna zeker via je contactformulier). Moet bevatten:

• Wie je bent (naam, KvK, contactgegevens)
• Welke gegevens je verzamelt en met welk doel
• De juridische grondslag (toestemming, contract, gerechtvaardigd belang)
• Hoe lang je de data bewaart
• Met wie je deelt (betalingsverwerker, hosting, analytics-tools)
• Of je data buiten EU verwerkt (bijvoorbeeld via Google)
• Welke rechten gebruikers hebben (inzage, correctie, verwijdering)
• Hoe ze die rechten kunnen uitoefenen
• Hoe ze klacht kunnen indienen bij de Autoriteit Persoonsgegevens

Een sjabloon kan, maar pas hem aan op je werkelijke situatie. Generiek overgenomen verklaringen die niet kloppen met wat je echt doet, zijn waardeloos. Linkt prominent in de footer, bij elk formulier en in cookie-banner. Een test: kan een leek na 5 minuten begrijpen welke data jouw site over hem opslaat? Zo ja, sterk. Zo nee, herschrijf.

2. Cookie-banner (alleen bij niet-noodzakelijke cookies)

Alleen verplicht als je niet-noodzakelijke cookies plaatst. Een eenvoudige bedrijfssite met alleen WordPress-sessie-cookies en formulier-cookies heeft geen banner nodig. Een site met Google Analytics, Facebook Pixel of advertising-tracking wel.

Wat een goede cookie-banner doet:

• Eerst informeren wat voor cookies je plaatst
• Toestemming vragen voor niet-noodzakelijke cookies
• Toestemming pas registreren na actieve klik (geen pre-checked vinkjes)
• Gebruiker laten kiezen tussen accepteren, weigeren of fijn-instellen
• Toestemming intrekbaar maken (later weer kunnen aanpassen)
• Niet visueel pushen richting accepteren (gelijke knoppen voor accepteren en weigeren)

Wat niet mag:

• Cookies plaatsen voor toestemming gegeven is
• Doorklik-banner waar je alleen accepteren kan
• Voorgevinkte vakjes voor analytics of marketing
• Toestemming verlangen voor noodzakelijke cookies
• Een dark pattern waarbij weigeren in een onderkast verstopt zit

De Autoriteit Persoonsgegevens heeft vanaf 2024 actiever gehandhaafd op cookie-banners die geen gelijkwaardige weiger-knop tonen. Bekijk je eigen banner kritisch: kan een bezoeker met één klik weigeren?

3. SSL-certificaat (https)

Niet expliciet AVG-verplicht maar feitelijk wel: zonder SSL versleutelde verbinding worden formulier-data en wachtwoorden in plaintext verstuurd. Onverdedigbaar in 2026, en moderne hosters bieden SSL gratis (Let’s Encrypt). Een site zonder SSL krijgt sinds 2018 een Niet veilig waarschuwing van browsers, wat conversie en vertrouwen ondermijnt.

4. Verwerkingsregister

Voor bedrijven met meer dan 250 werknemers verplicht. Voor MKB technisch niet verplicht, maar wel sterk aanbevolen omdat je het anders niet onder controle hebt. Een eenvoudig Excel-bestand met je verwerkingen volstaat:

• Welke verwerking
• Doel
• Juridische grondslag
• Soort persoonsgegevens
• Bewaartermijn
• Met wie gedeeld
• Beveiligingsmaatregelen

5. Verwerkersovereenkomsten

Met elk bedrijf dat in jouw opdracht persoonsgegevens verwerkt: hosting, betalingsverwerker, e-mail provider, CRM, marketing tools. De grote partijen (Google, Mollie, Mailchimp) hebben standaard verwerkersovereenkomsten die je via hun dashboard kunt accepteren. Bewaar deze documenten op een centrale plek, want bij een AVG-controle worden ze opgevraagd.

Wat overdreven is

Niet alles wat consultancybureaus verkopen is verplicht. Wat MKB vaak overdreven krijgt aangeboden:

• Verplichte DPO. Voor MKB zelden nodig. Pas verplicht bij grote schaal of bijzondere data.
• Compleet AVG-traject van 5000 euro. Voor de meeste MKB volstaat een goede privacyverklaring, een correcte cookie-banner en bewuste data-omgang.
• Privacy by design audit. Belangrijk voor grote organisaties, voor MKB vaak overdreven.
• Maandelijkse compliance-rapporten. Niet wettelijk vereist voor MKB.
• Aparte privacy-tools voor 100 euro per maand. Vaak los je 90 procent op met goede instellingen in WP en je marketing-tools.
• Verplichte cookie-banner op site die geen tracking doet. Onnodig en verlaagt conversie.

Cookie-vrije alternatieven voor analytics

Veel MKB stapt in 2026 over op cookie-vrije analytics, omdat het een banner overbodig maakt en de hele AVG-discussie vereenvoudigt. Geen cookie-banner betekent vaak 5 tot 15 procent hogere conversie omdat de drempel weg is.

• Plausible: open source, EU-gehost, geen cookies, vanaf 9 dollar per maand
• Fathom: vergelijkbaar, vanaf 14 dollar per maand
• Simple Analytics: Nederlandse oorsprong, vanaf 9 euro per maand, 100 procent EU-data
• Matomo (zelf hosten): open source, gratis als je hem zelf draait
• Pirsch: Duitse aanbieder, EU-gehost, vergelijkbare prijs

Verschil met Google Analytics: minder demografische data en advertising-koppelingen, maar voor de meeste MKB volstaat het ruim. Je krijgt nog steeds bezoekersaantallen, populaire pagina’s, verkeersbronnen, conversiepaden en device-type. Voor wie geen Google Ads draait, is dit ruim voldoende.

Praktisch, hoe regel je dit in WordPress

Privacyverklaring

Maak een aparte pagina /privacy-verklaring/. Schrijf zelf of laat schrijven. Link prominent in de footer en bij elk formulier. Voor wie zelf wil schrijven: gebruik de generator van autoriteitpersoonsgegevens.nl of gdpr.eu als basis en pas hem aan op jouw situatie.

Cookie-banner

Plugin-opties:

• Complianz (vrij compleet, gratis basis, Nederlandse oorsprong)
• CookieYes (gebruiksvriendelijk, gratis)
• Cookiebot (premium, voor complexere sites met veel third-party scripts)
• Iubenda (compleet, met privacy-policy generator)

Of een eigen lichte banner via custom JavaScript. Voor wie geen banner wil: alleen noodzakelijke cookies plaatsen en cookie-vrije analytics gebruiken. Ik verwijs vaak klanten naar Complianz omdat het Nederlandstalig is, gratis voor basis-gebruik en goed onderhouden wordt door een EU-team dat AVG-updates direct doorvoert.

Contactformulier

In je formulier:

• Verplicht alleen velden die je echt nodig hebt
• Vermeld onder formulier wat je met de data doet, met link naar privacyverklaring
• Optioneel: een vinkje voor toestemming (niet verplicht als je gerechtvaardigd belang hebt voor de contactafhandeling)
• Geen reCAPTCHA zonder uitleg, want die plaatst Google-cookies

E-mail nieuwsbrieven

Voor nieuwsbrieven heb je expliciete toestemming nodig. Geen vooraf-aangevinkte vakjes. Double opt-in (bevestigen via mail) is best practice. Mailchimp, MailerLite en Brevo regelen dit standaard. Reken erop dat MailerLite en Brevo standaard EU-gehost zijn, wat de internationale data-overdracht naar de VS vermijdt.

Internationale data-overdracht na Schrems II

Een nieuwe sectie die in 2024 en 2025 actueel werd. Het Schrems II-arrest van het Europese Hof van Justitie maakt het ingewikkelder om data naar de VS over te dragen. De huidige situatie:

• Het EU-US Data Privacy Framework van 2023 maakt overdracht naar gecertificeerde Amerikaanse bedrijven weer mogelijk
• Niet alle Amerikaanse aanbieders zijn gecertificeerd, check de lijst voor je een tool kiest
• EU-gehoste alternatieven blijven veiliger: Brevo, Hetzner-hosting, Mollie, Simple Analytics
• Voor zorgverleners en advocatuur is EU-hosting praktisch verplicht
• Documenteer per tool waar de data fysiek wordt opgeslagen

Voor MKB met Nederlandse klanten alleen, is een EU-first benadering het simpelst en juridisch het robuustst. Hosting via Cloud86 of TransIP, mail via MailerLite, betalingen via Mollie. Dat dekt de meeste use-cases zonder ingewikkelde transfer-clausules.

Bij twijfel, een korte audit

Een paar concrete checks die je vandaag kunt doen:

1. Heb je een privacyverklaring? Linkt die in de footer?
2. Plaats je niet-noodzakelijke cookies? Heb je dan een correcte banner?
3. Heeft je site SSL (zie http versus https in browser)?
4. Heb je verwerkersovereenkomsten met je hosting, mail-tool en analytics?
5. Heb je sterke wachtwoorden en 2FA voor admin-accounts?
6. Maak je back-ups en zijn die veilig opgeslagen?
7. Worden formulieren via SSL verzonden en opgeslagen?
8. Heb je een protocol voor datalekken (wie meld je, binnen welke termijn)?

Op alle vragen ja: je voldoet aan de basis. Een nee: actie nodig. Voor wie graag een externe blik wil: een AVG-audit door een specialist kost meestal 250 tot 750 euro voor MKB en levert vaak quick wins op die je in een uur regelt.

Wat wel echt belangrijk is

De AVG gaat uiteindelijk niet over papierwerk, maar over respect voor data. Drie principes die altijd gelden:

1. Verzamel alleen wat je nodig hebt. Geen verjaardag op contactformulier vragen als je het niet gebruikt.
2. Bewaar het niet langer dan nodig. Oude leads na een jaar verwijderen, oude e-mails opruimen.
3. Bescherm wat je hebt. Sterke wachtwoorden, beveiligde hosting, bewuste toegangscontrole.

Wie deze principes volgt, heeft 80 procent van AVG geregeld. De rest is documentatie. Voor wie hier maandelijks aandacht aan wil geven via onderhoud en monitoring: WordPress onderhoud uitbesteden bevat security en compliance-checks als standaard.

Tot slot

AVG hoeft geen monster te zijn. Voor MKB komt het neer op een goede privacyverklaring, juiste cookie-aanpak (of een cookie-vrije alternatief), SSL, sterke wachtwoorden en bewuste data-omgang. Geen consultant van 5000 euro nodig, wel een paar uur eigen tijd of een uurtje met iemand die het kent. De grote bonus: een goed geregelde privacy-aanpak versterkt vertrouwen bij bezoekers en helpt indirect ook in conversie.

Niet zeker of jouw site voldoet? Plan een gratis kennismaking in en we doen samen de checklist. Voor de officiele AVG-richtlijnen kijk op autoriteitpersoonsgegevens.nl.

AVG gaat over respect voor data, niet over angst voor boetes. Wie respectvol omgaat met klantdata, doet automatisch wat de wet vraagt.