Hoe veilig is jouw contactformulier?

Een potentiële klant bezoekt je website. Hij is overtuigd. Hij vult je contactformulier in: naam, e-mailadres, telefoonnummer, een korte vraag. Hij klikt op “Verstuur.”

En dan?

Bij de meeste websites is het antwoord verontrustend: die gegevens belanden in een database. Een database die 24 uur per dag online staat. Een database die aangevallen kan worden. Een database waar jij misschien niet eens weet dat hij bestaat.

Waar gaan je formuliergegevens naartoe?

Bij een typische WordPress-site met een contactformulier-plug-in (Contact Form 7, WPForms, Gravity Forms) gebeurt het volgende:

1. De bezoeker vult het formulier in
2. De gegevens worden opgeslagen in de WordPress-database
3. Er wordt (hopelijk) een e-mail naar jou gestuurd
4. De gegevens blijven in de database staan — voor onbepaalde tijd

Dat laatste punt is het probleem. Die database bevat nu persoonlijke gegevens van je klanten: namen, e-mailadressen, telefoonnummers, soms zelfs adressen of medische informatie. En die database is bereikbaar via het internet.

Het is alsof je een kluis hebt waarin je alle visitekaartjes van je klanten bewaart — maar de kluis staat op straat, met het slot naar buiten.

De risico’s zijn niet theoretisch

In 2026 werd een kwetsbaarheid ontdekt in een populaire WordPress-formulierplug-in waarmee onbevoegden zonder inloggegevens alle ingediende formulierdata konden downloaden. (SentinelOne/CVE-2026-0825) Namen, e-mailadressen, telefoonnummers — alles lag open.

Dit is geen incident. Het is een patroon:

• Formulierplug-ins slaan data standaard op in plaintext (onversleuteld)
• De database is bereikbaar via het WordPress-admin panel — en dat panel is een bekend doelwit voor hackers
• Veel ondernemers weten niet eens dat hun formuliergegevens worden opgeslagen — ze denken dat het alleen een e-mail stuurt

Wat de AVG hierover zegt

Onder de AVG ben je verplicht om persoonsgegevens:

• Alleen te bewaren zolang nodig. Een contactformulier-inzending die je drie jaar geleden hebt beantwoord, hoort niet meer in je database te staan.
• Adequaat te beveiligen. Plaintext-opslag in een WordPress-database die via het internet bereikbaar is, voldoet daar niet aan.
• Te kunnen verwijderen op verzoek. Als een klant vraagt om zijn gegevens te wissen, moet je weten waar ze staan en ze daadwerkelijk kunnen verwijderen.

Bij een standaard WordPress-formulierplug-in is geen van deze drie punten automatisch geregeld. Je moet het zelf doen — als je al weet dat het moet.

Het alternatief: formulieren zonder database

Een contactformulier hoeft geen database te hebben. Het kan ook anders:

1. De bezoeker vult het formulier in
2. De gegevens worden via een beveiligde verbinding (HTTPS/TLS) rechtstreeks naar jouw e-mailadres gestuurd
3. Er wordt niets opgeslagen op de server

Klaar. Geen database. Geen opslag. Geen doelwit voor hackers. De gegevens gaan van je bezoeker naar jouw inbox — en nergens anders naartoe.

Het is het verschil tussen een brief die rechtstreeks door je brievenbus glijdt, of een brief die de postbode eerst kopieert en in een onbewaakte ordner in de voortuin legt. Beide brieven komen aan, maar slechts één methode is veilig.

Wat dit betekent voor jou als ondernemer

Met een formulier zonder database:

• Geen risico op datalekken via je website. Wat er niet is, kan niet worden gestolen.
• Geen AVG-verplichtingen rondom opslag. Je bewaart geen persoonsgegevens op je server — dus er is niets om te beveiligen, te verwijderen of te melden.
• Geen onderhoud. Geen plug-in die geüpdatet moet worden, geen database die opgeschoond moet worden.
• Volledige controle. De gegevens staan uitsluitend nog in je professionele e-mailomgeving (zoals Outlook of Gmail). Daar zijn ze beschermd door de zware beveiliging van je mailprovider, in plaats van dat ze rondslingeren op een publiek toegankelijke webserver.

De vraag die je moet stellen

Vraag jezelf af: als iemand morgen je website hackt, welke klantgegevens liggen er dan op straat?

Als het antwoord meer is dan “niets” — dan heb je een probleem dat je vandaag kunt oplossen.

Benieuwd hoe veilig jouw website omgaat met klantgegevens? Doe de gratis website-check en ontdek waar de risico’s zitten.