De AVG-valkuil van de doe-het-zelf website

Door: Matthijs ten Seldam, tS-X

Je hebt een privacyverklaring op je website gezet. Misschien zelfs een cookiebanner. Vinkje, klaar, voldoet aan de wet. Toch?

Nee. Niet toch.

De AVG (Algemene Verordening Gegevensbescherming) gaat niet over een pagina met juridische tekst. Het gaat over wat je website technisch doet met de gegevens van je bezoekers. En bij de meeste doe-het-zelf websites is dat antwoord: veel meer dan je denkt.

Wat je website stiekem doet

Elke keer dat iemand je site bezoekt, gebeurt er achter de schermen van alles. Bij een typische WordPress- of Wix-site:

Google Fonts worden geladen vanaf een externe server. Daarbij wordt het IP-adres van je bezoeker naar Google gestuurd — een verbinding die je kunt voorkomen door lettertypen lokaal te hosten, maar die doe-het-zelf platformen standaard niet voor je regelen.
Contactformulier-gegevens worden opgeslagen in een database. Naam, e-mail, telefoonnummer — alles blijft staan in een systeem dat gehackt kan worden.
Analytics-scripts volgen je bezoeker. Google Analytics plaatst tracking-cookies en stuurt data naar externe servers. Doe-het-zelf sites richten dit vaak niet-anoniem in zonder dat de ondernemer het weet. Zonder expliciete toestemming via een geldige cookiebanner: illegaal.
Social media-knoppen laden externe scripts. Facebook, Instagram, LinkedIn — elk knopje stuurt data naar die platformen, ook als de bezoeker er niet op klikt.
Plug-ins communiceren met externe servers. Beveiligingsplug-ins, SEO-tools, chatwidgets — elk met hun eigen datastromen die je niet ziet en niet controleert.

Het is alsof je een winkel runt en er zonder je medeweten camera’s hangen die elke klant filmen en de beelden naar een onbekend adres sturen. Je weet het niet, maar je bent wel verantwoordelijk.

Waarom een privacyverklaring niet genoeg is

Een privacyverklaring beschrijft wat je doet met gegevens. Maar als je website technisch meer doet dan wat er in die verklaring staat, heb je een probleem. En bij doe-het-zelf sites is dat bijna altijd het geval.

De meeste ondernemers kopiëren een standaard privacyverklaring van internet. Die verklaring zegt misschien: “Wij gebruiken geen tracking cookies.” Maar ondertussen laadt je site Google Analytics, Google Fonts en vijf social media-scripts die precies dat wél doen.

Dat is geen onschuldig foutje. Onder de AVG ben jij als ondernemer de verwerkingsverantwoordelijke. Jij bent aansprakelijk — niet je websitebouwer, niet je hostingpartij, niet de plug-in-ontwikkelaar.

De risico’s zijn reëel

In 2024 werd er in Europa voor meer dan €1,2 miljard aan AVG-boetes opgelegd. (DLA Piper, 2025) Dat zijn niet alleen de grote techbedrijven. Ook kleine ondernemers krijgen bezoek van de Autoriteit Persoonsgegevens.

De boetes kunnen oplopen tot €20 miljoen of 4% van je jaaromzet. Voor een ZZP’er is zelfs een boete van een paar duizend euro vernietigend.

Maar het gaat niet alleen om boetes. Een datalek — klantgegevens die op straat komen te liggen door een gehackte plug-in — betekent:

Meldplicht bij de Autoriteit Persoonsgegevens (binnen 72 uur)
Meldplicht bij de getroffen personen
Reputatieschade die je niet kunt repareren
Mogelijk een schadeclaim van de betrokkenen

Waarom doe-het-zelf sites hier structureel falen

Het probleem is niet dat ondernemers de wet willen overtreden. Het probleem is dat doe-het-zelf platformen het onmogelijk maken om de wet na te leven zonder diepgaande technische kennis:

Je weet niet welke scripts er draaien. Wix en WordPress laden tientallen externe bronnen die je niet ziet in je dashboard.
Je kunt ze niet uitzetten. Veel scripts zijn ingebakken in het platform of het thema. Je hebt geen controle.
Plug-ins voegen onzichtbaar datastromen toe. Elke plug-in die je installeert, kan data versturen naar externe partijen zonder dat je het weet.

Het is alsof je een huurhuis bewoont waar de verhuurder zonder je medeweten extra deuren heeft ingebouwd. Je bent verantwoordelijk voor de veiligheid, maar je weet niet eens hoeveel ingangen er zijn.

Het alternatief: privacy by design

Een goed gebouwde statische website is fundamenteel anders:

Geen database. Waar geen database is, kan geen database lekken. Contactformulier-gegevens worden direct en versleuteld naar je e-mail gestuurd — er wordt niets opgeslagen.
Geen externe scripts. Lettertypen worden lokaal gehost. Geen Google Fonts, geen externe aanroepen, geen IP-adressen die naar derden gaan.
Geen tracking. Geen zware Google-cookies, en in veel gevallen heb je niet eens meer een irritante cookiebanner nodig. Je meet wat je nodig hebt via privacyvriendelijke alternatieven, zonder je bezoekers te schaduwen.
Geen plug-ins. Geen onzichtbare datastromen naar onbekende partijen.

Dit heet privacy by design: de techniek is zó gebouwd dat er simpelweg geen persoonsgegevens worden verwerkt die niet strikt noodzakelijk zijn. Niet omdat je een juridische tekst hebt geschreven, maar omdat de architectuur het onmogelijk maakt om de wet te overtreden.

De vraag die je jezelf moet stellen

Weet jij precies welke gegevens je website verzamelt? Weet je waar die naartoe gaan? Weet je of dat klopt met wat er in je privacyverklaring staat?

Als het antwoord op een van die vragen “nee” is, heb je een probleem. Niet morgen — nu.

Benieuwd of jouw website AVG-proof is? Doe de gratis website-check en ontdek welke risico’s er onder de motorkap zitten.