Inloggen
Registreren

WordPress AVG-proof maken in 2026: complete privacy- en compliance-checklist voor MKB-ondernemers

INHOUD

    In 2025 werden er bij de Autoriteit Persoonsgegevens 44.374 datalekken gemeld, een stijging van ruim 17 procent ten opzichte van de 37.839 meldingen in 2024. De AP deelt in 2025 minder boetes uit dan voorgaande jaren (slechts vier formele boetes) en kiest steeds vaker voor waarschuwingen, onderzoek en voorlichting. Dat klinkt geruststellend, maar wees niet te snel blij: voor een datalek dat niet binnen 72 uur gemeld wordt, ligt de basisboete nog steeds op 525.000 euro. En de zwaardere categorie loopt op tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

    Voor MKB-ondernemers met een WordPress-website is AVG-naleving in 2026 geen optionele compliance-oefening meer, maar een vast onderdeel van het maandelijks onderhoud. WordPress is wereldwijd het meest gebruikte CMS, en juist die populariteit maakt het een aantrekkelijk doelwit voor zowel hackers als toezichthouders. In deze gids gaan we de complete WordPress AVG-checklist voor 2026 langs: van cookie-consent tot plugin-audit, van privacyverklaring tot EU-hosting, met concrete acties die je deze week kunt uitvoeren.

    Wat eist de AVG precies van een WordPress-website in 2026?

    De AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse implementatie van de Europese GDPR en geldt voor elke organisatie die persoonsgegevens verwerkt. En dat doe je vrijwel zeker: een contactformulier op je site, een nieuwsbriefinschrijving, een WooCommerce-account, zelfs een simpele Google Analytics-pixel verzamelt al persoonsgegevens in de AVG-definitie. De wet kent zes basisbeginselen waar je website aantoonbaar aan moet voldoen.

    • Rechtmatigheid. Je hebt een geldige juridische grondslag om de gegevens te verwerken (toestemming, contract, gerechtvaardigd belang).
    • Doelbinding. Je gebruikt de gegevens alleen voor het doel waarvoor ze verzameld zijn.
    • Dataminimalisatie. Je verzamelt niet meer dan strikt nodig.
    • Juistheid. De gegevens worden actueel gehouden en gecorrigeerd waar nodig.
    • Opslagbeperking. Je bewaart gegevens niet langer dan noodzakelijk.
    • Integriteit en vertrouwelijkheid. Je beveiligt de gegevens technisch en organisatorisch.

    Vertaald naar een WordPress-praktijk levert dat zeven concrete domeinen op die je elke maand moet checken. Hieronder lopen we ze één voor één langs.

    1. Cookie-consent volgens de regels van 2026

    Sinds een paar jaar zit het cookie-toezicht strakker dan ooit. De Autoriteit Persoonsgegevens publiceert sinds 2023 actief richtlijnen over wat wel en niet mag op een cookiebanner, en handhaaft daar steeds vaker op. De drie regels die in 2026 keihard gelden:

    • Geen voorgevinkte vinkjes. Een cookie-banner met “Accepteer alles” als standaardinstelling is geen geldige toestemming. Vinkjes voor analytics of marketing moeten op uit staan tot de bezoeker actief aanvinkt.
    • Weigeren even makkelijk als accepteren. Een grote groene “Accepteer”-knop met een verstopte tekstlink “alleen noodzakelijke” is in strijd met de richtlijn. Beide opties moeten visueel gelijkwaardig zijn.
    • Geen cookiewall. Je mag bezoekers niet de toegang ontzeggen als ze marketing-cookies weigeren. Een all-or-nothing aanpak (“akkoord of vertrek”) is onrechtmatig.

    Voor WordPress zijn er gratis en betaalde Consent Management Platforms (CMP’s) die dit netjes voor je regelen. Populaire opties: Complianz (Nederlandstalig, sterk aanbevolen voor MKB), CookieYes, Cookiebot en Iubenda. Belangrijk om te weten: zelfs als je een CMP gebruikt, blijf jij eindverantwoordelijk. De standaardinstellingen van veel CMP-tools voldoen niet automatisch aan de AVG, dus controleer altijd handmatig of pre-ticked checkboxes uit staan en of de weigeren-knop niet verstopt is.

    Test je banner zelf via de gratis Cookie Scanner van de Autoriteit Persoonsgegevens of via de Ghostery-browserextensie. Beide tonen welke cookies feitelijk worden geplaatst vóórdat je toestemming hebt gegeven. Vind je daar Google Analytics of Facebook Pixel in de lijst voor accept-klik? Dan ben je niet compliant.

    2. Een privacyverklaring die echt iets zegt

    Een privacyverklaring is verplicht en moet vanaf elke pagina (meestal in de footer) bereikbaar zijn. Belangrijker dan dát hij er staat, is wat erin staat. In 2026 is een generieke templatetekst van het internet niet meer voldoende. De AP let actief op of een privacyverklaring leesbaar is voor een gemiddelde bezoeker, en of de inhoud overeenkomt met wat er feitelijk gebeurt op de site.

    Concreet moet je privacyverklaring deze elementen bevatten:

    • Naam, adres en contactgegevens van de verantwoordelijke (jouw bedrijf, met KvK-nummer)
    • Welke persoonsgegevens je verzamelt en via welke kanalen (contactformulier, nieuwsbrief, account, betaling)
    • Het doel van elke verwerking en de juridische grondslag (toestemming, overeenkomst, gerechtvaardigd belang)
    • Bewaartermijnen per type gegeven, in concrete jaren of maanden, niet “zolang als nodig”
    • Met welke derde partijen je gegevens deelt (denk aan Mailchimp, Google Analytics, je hoster, je betalingsprovider)
    • De rechten van betrokkenen: inzage, correctie, verwijdering, dataportabiliteit, bezwaar
    • Een werkende manier om die rechten uit te oefenen (e-mailadres of formulier)
    • De mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens

    Praktische tip: maak een tabel in je privacyverklaring waarin per verwerking staat: welke gegevens, welk doel, welke bewaartermijn, welke ontvangers. Dat is leesbaarder dan een lap tekst en je ziet zelf direct waar de gaten zitten.

    3. WordPress plugin-audit: welke plugin verzamelt wat?

    Hier loopt het bij de meeste MKB-sites mis. Een gemiddelde WordPress-site draait met dertig of meer plugins, en elke plugin kan persoonsgegevens verzamelen, opslaan of doorsturen zonder dat de eigenaar het door heeft. Drie veelgemaakte fouten:

    • Contact Form 7 zonder consent-checkbox. Het meest gebruikte contactformulier in WordPress slaat standaard niets op, maar veel webbouwers koppelen het aan een database-plugin die berichten archiveert. Zonder duidelijke checkbox waarin de bezoeker akkoord gaat met die opslag, is dat in strijd met de AVG.
    • Google Fonts via een externe CDN. Veel thema’s laden Google Fonts direct van het Google-CDN, waarmee het IP-adres van elke bezoeker zonder toestemming naar Google verstuurd wordt. In Duitsland zijn hier al rechtszaken over geweest. Oplossing: gebruik een plugin als OMGF of Local Google Fonts die de lettertypes lokaal hosten op je eigen server.
    • Plugins die “stiekem” call home doen. Sommige populaire plugins sturen analytics of usage-data naar de plugin-developer zonder dat dit duidelijk in de privacyverklaring staat. Patchstack en WPScan publiceren regelmatig overzichten van plugins met dit gedrag.

    Doe minstens jaarlijks een complete plugin-audit. Per plugin de vraag: welke gegevens verzamelt deze, waar gaan ze heen, staat dit in mijn privacyverklaring, en is deze plugin überhaupt nog actief gebruikt? Plugins die ongebruikt op je site staan zijn dubbel slecht: ze vergroten je AVG-aanvalsoppervlak en je veiligheidsrisico. We schreven hier eerder over in WordPress plugin-veiligheid controleren voordat je installeert.

    4. WooCommerce en webshop-specifieke AVG-eisen

    Heb je een webshop? Dan komen er extra eisen bij. Een WooCommerce-bestelling verzamelt naam, adres, e-mail, telefoonnummer en betaalgegevens. Voor elk van die categorieën gelden de basisbeginselen, plus een paar extra punten:

    • Bewaartermijn voor financiële administratie. De Belastingdienst eist dat je orderfacturen 7 jaar bewaart. Maar dat is je administratieve plicht, geen vrijbrief om alle klantgegevens 7 jaar te bewaren. Persoonsgegevens die niet op de factuur staan (marketing-voorkeuren, klantaccountdata) moeten korter bewaard worden.
    • Verwerkersovereenkomsten. Met elke partij die in jouw opdracht klantgegevens verwerkt (denk aan je hoster, je betalingsprovider, je e-mailmarketing-tool) moet je een verwerkersovereenkomst hebben. We schreven hier eerder een diepere uitwerking over in Hosting inrichten voor de verwerkersovereenkomst.
    • Recht op vergetelheid bij klantaccounts. Een klant kan vragen om verwijdering van zijn account. Dat moet technisch ook echt kunnen, niet alleen “anonimiseren door de naam te overschrijven met test123”. Onze gids over het recht op vergetelheid technisch implementeren behandelt dit voor zowel database als backups.
    • Cookie-consent vóór de bezoeker iets in zijn winkelmandje legt. WooCommerce gebruikt sessie-cookies om winkelmandinhoud op te slaan. Die zijn meestal “noodzakelijk” en mogen zonder toestemming, maar marketing-cookies (Facebook Pixel, Google Ads) niet.

    5. Backup en datalek-procedure

    De AVG vraagt om “passende technische en organisatorische maatregelen” om persoonsgegevens te beschermen. In WordPress-praktijk vertaalt zich dat naar drie dingen:

    • Dagelijkse backups op een aparte locatie, met versleuteling tijdens transport en in rust. Een lokale kopie naast je productieserver telt niet als bescherming tegen ransomware of een server-incident.
    • Een procedure voor het verwijderen van persoonsgegevens uit oude backups. Als een klant zijn recht op vergetelheid uitoefent, moet je redelijkerwijs ook in backups kunnen schoonmaken (of een goede argumentatie hebben waarom dat technisch onmogelijk is). Onze blog over onveranderbare backups en het recht op vergetelheid gaat hier dieper op in.
    • Een datalekprocedure die binnen 72 uur kan worden uitgevoerd. Dat betekent: een runbook waarin staat wie wat doet, wie verantwoordelijk is voor melding bij de AP, hoe je betrokkenen informeert, en welke gegevens je daarvoor nodig hebt. Geen runbook? Dan haal je die 72 uur nooit.

    6. Hosting binnen de EU en de Cloud Act

    Je WordPress-website draait op een server, en die server staat ergens. De AVG vereist dat persoonsgegevens van EU-burgers in beginsel binnen de EU blijven, of via specifieke wettelijke instrumenten (zoals Standard Contractual Clauses) doorgegeven mogen worden aan landen daarbuiten. Vooral hosting bij Amerikaanse partijen zoals AWS, Google Cloud of Microsoft Azure is in 2026 een aandachtspunt, omdat de Amerikaanse Cloud Act deze providers in principe verplicht om data te overhandigen aan Amerikaanse autoriteiten op verzoek. Dat staat haaks op de AVG.

    Het pragmatische advies voor MKB-sites: kies bij voorkeur een Europese hostingpartij met datacenters binnen de EU. De data blijft binnen de jurisdictie van de AVG, je hebt geen ingewikkelde dataoverdracht-clausules nodig, en je weet bij wie je moet zijn als er iets misgaat. Bij PC Patrol draaien al onze Managed Webhosting, Managed WordPress hosting en Cloud VPS in een modern Duits datacenter binnen de EU. We schreven hier eerder uitgebreid over in onze gids over de Cloud Act en Europese websites.

    7. Gebruikersrechten technisch faciliteren

    De AVG geeft betrokkenen acht concrete rechten. Voor een WordPress-site moet je in elk geval het volgende kunnen uitvoeren binnen één maand na een verzoek:

    • Recht op inzage. Een klant kan vragen welke gegevens je van hem hebt. Voor WooCommerce-klanten is dit relatief eenvoudig (export uit het admin). Voor websites met meerdere data-bronnen (contactformulier-archief, nieuwsbrief, comment-systeem) wordt dat al lastiger.
    • Recht op correctie en verwijdering. Je moet dit handmatig kunnen uitvoeren binnen je systemen, inclusief in backups (zie hierboven).
    • Recht op dataportabiliteit. Klanten kunnen vragen om hun gegevens in een machine-leesbaar formaat (JSON, CSV) zodat ze het kunnen overdragen aan een andere dienst.
    • Recht van bezwaar. Vooral relevant bij marketing op basis van gerechtvaardigd belang: een klant kan zich zonder opgaaf van redenen afmelden voor verdere verwerking.

    Een veelgemaakte fout: een verzoek tot verwijdering “afhandelen” door alleen de WordPress-gebruiker te deactiveren of de naam te overschrijven met “anoniem”. Dat is geen echte verwijdering. De daadwerkelijke records moeten weg uit de database, of er moet een aantoonbare onmogelijkheid zijn (zoals een wettelijke bewaarplicht) die je netjes documenteert.

    Concrete checklist voor deze week

    Genoeg theorie. Hier de vijf acties die je deze week op je WordPress-site kunt uitvoeren om je AVG-positie aantoonbaar te verbeteren:

    1. Run de gratis Cookie Scanner van de AP op je homepage. Verschijnen er marketing- of analytics-cookies vóórdat je accept hebt geklikt? Repareer je CMP-instellingen.
    2. Open je privacyverklaring in incognito-modus en lees hem volledig door. Klopt elk genoemd doel met wat je site echt doet? Staan alle derde partijen erin (Mailchimp, Stripe, je hoster, je analytics)? Vul de gaten aan.
    3. Maak een plugin-audit. Open je WordPress-admin en kijk per plugin: actief gebruikt, recent geüpdatet, in de privacyverklaring genoemd. Verwijder alles wat ongebruikt op je site staat.
    4. Check waar je hosting fysiek staat. Vraag het bij je hoster op, zwart op wit. Bij niet-EU hosting: maak een plan voor migratie of zorg voor robuuste Standard Contractual Clauses.
    5. Schrijf een datalek-runbook van één A4. Wie ontdekt, wie meldt aan de AP, wie informeert betrokkenen, welke gegevens heb je daarvoor nodig. Zorg dat dit document bekend is bij de mensen die op vrijdagavond om 23:00 die telefoon zouden moeten beantwoorden.

    Liever AVG-naleving uit handen geven?

    Bij ons WordPress onderhoudspakket vanaf 79 euro per maand is AVG-compliance een doorlopend onderdeel: maandelijkse plugin-audit, controle van je privacyverklaring, EU-hosting in een Duits datacenter, automatische backup-verificatie en een datalek-runbook waar je niet zelf over hoeft na te denken.

    Bekijk WordPress onderhoud Plan een gratis adviesgesprek

    Veelgestelde vragen over WordPress en AVG

    Hoeveel kost een AVG-boete voor het MKB?

    De AP houdt rekening met de financiële draagkracht van de organisatie, dus een MKB-bedrijf zal geen boete van 20 miljoen krijgen. Maar voor een datalek dat te laat gemeld is, ligt de basisboete op 525.000 euro. Voor lichtere overtredingen (geen verwerkingsregister, geen functionaris gegevensbescherming waar dat verplicht is) zien we in de praktijk boetes tussen de 10.000 en 100.000 euro voor MKB-bedrijven. Naast directe boetes is er ook reputatieschade en kosten voor herstel, juridische bijstand en eventueel schadevergoeding aan betrokkenen.

    Is een gratis cookie-banner plugin voldoende?

    Een gratis plugin als de free versie van Complianz of CookieYes kan technisch werken, mits je de instellingen aanpast aan de AP-richtlijnen. De standaardinstellingen van veel cookie-plugins voldoen niet automatisch. Check vooral: staan analytics-vinkjes standaard uit? Is “weigeren” net zo zichtbaar als “accepteren”? Wordt de banner getoond op elke pagina vóór er cookies geplaatst worden? Als je dat niet zelf kunt of wilt nakijken, is een betaalde service of een hoster die dit voor je inricht meestal de moeite waard.

    Mag ik Google Analytics nog gebruiken op een Nederlandse WordPress-site?

    Het mag, maar met flink wat voorbehoud. Google Analytics 4 stuurt nog steeds data naar de Verenigde Staten, en dat is onder de Cloud Act problematisch. Toegestane werkwijze: laad Google Analytics alleen na expliciete toestemming via je cookie-banner, gebruik IP-anonimisering, schakel data-sharing met Google uit, en documenteer dit in je privacyverklaring. Alternatieven die volledig binnen de EU draaien zijn Plausible (NL), Matomo (zelf-hosted) en Simple Analytics (NL). Voor veel MKB-sites is de overstap naar zo’n alternatief simpeler dan de juiste Google Analytics-configuratie volhouden.

    Heb ik een functionaris gegevensbescherming (FG) nodig?

    Voor de meeste MKB-bedrijven niet. Een FG is alleen verplicht als je hoofdactiviteit bestaat uit grootschalige verwerking van persoonsgegevens, het op grote schaal verwerken van bijzondere persoonsgegevens (zoals medische data), of bij overheidsinstanties. Een MKB-bedrijf met een normale website en een nieuwsbrief van een paar duizend abonnees valt hier niet onder. Wel raden we aan om binnen het bedrijf één persoon expliciet verantwoordelijk te maken voor AVG-vragen, zodat klantverzoeken niet tussen de wal en het schip belanden.

    Wat is het verschil tussen privacyverklaring en cookieverklaring?

    Een privacyverklaring beschrijft alle verwerkingen van persoonsgegevens op je site (contactformulier, account, nieuwsbrief, bestellingen). Een cookieverklaring is specifieker en beschrijft welke cookies geplaatst worden, door wie en met welk doel. In de praktijk komen ze vaak samen voor: een uitgebreide privacyverklaring waarbinnen een aparte sectie of subpagina specifiek de cookies behandelt. Beide moeten vanaf elke pagina van je site bereikbaar zijn, meestal via links in de footer.

    Samengevat: AVG-naleving is geen project, het is onderhoud

    De grootste denkfout die we bij MKB-ondernemers tegenkomen is dat AVG-naleving een eenmalig project is: hopelijk een ochtend werk, kruisje zetten, klaar. In de praktijk is het tegenovergestelde waar. Plugins worden geüpdatet en veranderen wat ze verzamelen. De AP scherpt richtlijnen aan. Je voegt nieuwe formulieren toe. Je nieuwsbrieftool wijzigt zijn verwerking. Je betaalprovider verandert zijn locatie. En elke wijziging vraagt om een check.

    Voor MKB-ondernemers die hun WordPress-site serieus nemen, is AVG-naleving daarom logisch onderdeel van het maandelijks onderhoud. Hetzelfde ritme waarop je plugins updatet en backups controleert, gebruik je voor cookie-scan, plugin-audit en privacyverklaring-review. Bij onze WordPress onderhoudspakketten zit dit standaard ingebouwd, samen met EU-hosting, dagelijkse offsite-backups en een vaste Nederlandstalige specialist die je belt zodra er iets verandert in de richtlijnen. Geen werk dat jij of je marketing-medewerker erbij hoeft te doen, en geen gat in je compliance dat pas zichtbaar wordt als er een datalek is.

    Verder lezen op de PC Patrol blog

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Blog

    Weg van Microsoft 365 en Google Workspace: complete gids digitale soevereiniteit voor het Nederlandse MKB (mei 2026)

    Digitale soevereiniteit voor het Nederlandse MKB is in 2026 geen abstracte beleidsterm meer, maar een concrete keuze die...

    Chris 1 mei 2026 14 min
    Bedrijf

    Bescherm je merk online: waarom je je bedrijfsnaam in .nl, .com én .eu tegelijk registreert

    Je hebt je bedrijfsnaam bedacht, je .nl-domein vastgelegd en je website staat live. Klaar, denk je. Tot een...

    Chris 29 apr 2026 6 min
    WordPress

    Waarom een staging omgeving onmisbaar is voor veilige WordPress updates

    Wat is een staging omgeving en waarom heb je die nodig? Een staging omgeving is een kopie van...

    Chris 10 dec 2025 3 min