Is je contactformulier AVG-conform? Toestemming en bewaartermijnen

Een contactformulier is AVG-conform als je alleen de gegevens vraagt die je echt nodig hebt, een geldige rechtsgrond hebt om ze te verwerken, transparant bent over wat je ermee doet en de gegevens niet langer bewaart dan nodig. Dat klinkt eenvoudig, maar in de praktijk verzamelen veel B2B-formulieren te veel velden, missen ze een duidelijke privacyverwijzing en bewaart niemand de leads bij. Dit artikel legt uit hoe je toestemming, dataminimalisatie en bewaartermijnen praktisch regelt, zonder je conversie te slopen. Het is algemene uitleg, geen juridisch advies: laat je bij twijfel adviseren door een privacyjurist.

Wat betekent AVG-conform voor je contactformulier?

AVG-conform betekent dat elke persoonsgegeven die je via je formulier binnenkrijgt een duidelijk doel, een rechtsgrond en een bewaartermijn heeft, en dat de bezoeker weet wat er met zijn gegevens gebeurt. De AVG (in het Engels GDPR) is de Europese privacywet die geldt voor iedereen die persoonsgegevens van EU-burgers verwerkt. Een naam, e-mailadres of telefoonnummer in je formulier valt daar gewoon onder.

In de kern komt het neer op een paar principes uit de wet: je verwerkt niet meer dan nodig (dataminimalisatie), je bent eerlijk en transparant, je hebt een geldige grondslag, en je beveiligt de gegevens behoorlijk. Een formulier is dus niet “conform” door één vinkje, maar door de combinatie van wat je vraagt, hoe je het uitlegt, waar de data heen gaat en hoe lang je ze houdt.

Welke rechtsgrond geldt voor een contactformulier?

Voor het simpelweg beantwoorden van een aanvraag baseer je je doorgaans op gerechtvaardigd belang of op de stap richting een mogelijke overeenkomst, niet per se op aparte toestemming. Iemand die zelf een formulier invult om jou te bereiken, verwacht logischerwijs dat je terugmailt of belt. De AVG kent zes mogelijke grondslagen, en toestemming is er daar maar één van. Welke past, hangt af van wat je met de gegevens doet.

Het onderscheid dat in B2B vaak misgaat: het beantwoorden van een vraag is iets anders dan iemand toevoegen aan je nieuwsbrief of nabellen voor sales. Wil je de gegevens ook voor marketing gebruiken, dan heb je daar meestal een aparte, expliciete toestemming voor nodig, gevraagd via een niet voor-aangevinkt vakje. Klem die twee niet samen in één algemene “ik ga akkoord”. Een veelgebruikte, nette aanpak: verwerk de aanvraag op grond van je gerechtvaardigd belang, en voeg een los, optioneel vinkje toe voor wie ook commerciële opvolging wil. Zo blijft je rechtsgrond uitlegbaar en respecteer je de keuze van de bezoeker.

Let op: of je je nu op toestemming of op gerechtvaardigd belang baseert, je moet die keuze kunnen onderbouwen en vastleggen. Bij gerechtvaardigd belang weeg je expliciet af of jouw belang opweegt tegen de privacy van de bezoeker.

Welke gegevens mag je vragen?

Alleen de velden die je echt nodig hebt om de aanvraag te kunnen behandelen, en geen enkel veld meer. Dat is het principe van dataminimalisatie, en het is meteen het punt waar het bij de meeste B2B-formulieren misloopt. Functietitel, bedrijfsgrootte, budget, telefoonnummer, postadres: elk extra verplicht veld dat je niet direct nodig hebt om te reageren, is moeilijker te verantwoorden onder de AVG en kost je tegelijk conversie.

Een goede toets per veld: kun je de aanvraag ook beantwoorden zonder dit gegeven? Zo ja, maak het optioneel of laat het weg. Voor een eerste contact volstaat vaak een naam, een e-mailadres en het bericht. Een telefoonnummer kun je optioneel aanbieden voor wie liever gebeld wordt. Verzamel je toch verrijkende gegevens (bijvoorbeeld voor leadkwalificatie), maak dan duidelijk waarom en houd ze niet verplicht. Korte formulieren zijn niet alleen privacyvriendelijker, ze converteren meestal ook beter. Meer hierover lees je in onze gids over conversie-optimalisatie van formulieren.

Hoe lang mag je de gegevens bewaren?

Niet langer dan nodig voor het doel waarvoor je ze hebt verzameld: de AVG schrijft bewust geen vaste bewaartermijn voor. Je bepaalt zelf per categorie gegevens een redelijke termijn, legt die vast en houdt je eraan. Het alternatief, alles oneindig in je mailbox of CRM laten staan, is precies wat de wet wil voorkomen.

Praktisch betekent dat: voor een aanvraag die nergens toe leidt, hoef je de gegevens niet jaren te bewaren. Wordt het wel een klant of lopende opportuniteit, dan heb je een legitieme reden om langer te bewaren, en spelen er soms ook wettelijke bewaarplichten mee (bijvoorbeeld voor facturatie). Werk daarom met een eenvoudige logica: bepaal een standaardtermijn voor onbeantwoorde of afgewezen leads, en een aparte termijn voor gegevens die in een klantrelatie overgaan. Zet ergens, bijvoorbeeld in je verwerkingsregister, kort op papier welke termijn voor welk doel geldt en wie verantwoordelijk is voor het opschonen. Een termijn die je niet handhaaft, telt in de praktijk niet.

Wat moet er nog meer bij je formulier staan?

Een zichtbare, eerlijke uitleg van wat er met de gegevens gebeurt, met een link naar je privacyverklaring vlak bij de verzendknop. Transparantie is een kernverplichting van de AVG: de bezoeker moet vóór het verzenden kunnen zien wie de gegevens verwerkt, waarvoor, en op basis van welke grondslag. Eén regel met een doorklik naar je volledige privacyverklaring volstaat meestal, mits die verklaring klopt en actueel is.

Daarnaast spelen een paar technische en organisatorische punten mee:

• Beveiliging. Je site hoort over HTTPS te lopen en de ingevulde gegevens moeten veilig terechtkomen waar ze heen moeten, niet in een onbeveiligde inbox of een willekeurige plugin.
• Verwerkers. Gebruik je een formuliertool, CRM of e-mailmarketingdienst, dan zijn dat verwerkers. Daar hoort een verwerkersovereenkomst bij, en je let op waar zij de data opslaan.
• Geen onnodige trackers. Laad geen marketingcookies of -scripts vóór toestemming op je contactpagina; dat is een aparte verplichting naast het formulier zelf.
• Rechten van de betrokkene. Mensen mogen hun gegevens opvragen of laten wissen. Zorg dat je een aanvraag tot verwijdering ook echt kunt uitvoeren.

Hoe je dit alles netjes in de pagina verwerkt zonder de drempel te verhogen, hangt samen met je bredere contactpagina-optimalisatie.

Hoe combineer je AVG-conformiteit met conversie?

Door privacy te behandelen als een vertrouwenssignaal in plaats van een sta-in-de-weg. In B2B is de aanvraag via je formulier vaak het begin van een verkooptraject, en juist daar telt vertrouwen. Een formulier dat alleen vraagt wat nodig is, helder uitlegt wat er gebeurt en een nette privacyverwijzing toont, voelt professioneler en haalt meestal méér ingevulde aanvragen binnen, niet minder.

De denkfout is dat je moet kiezen tussen compliance en leads. In de praktijk wijzen ze dezelfde kant op: minder velden, duidelijke taal en zichtbare zorgvuldigheid verlagen de drempel en verhogen het vertrouwen. Dat sluit aan bij onze bredere aanpak om van een B2B-website een betrouwbare leadmotor te maken. Wil je vanaf de basis goed zitten, dan neem je de formulieren mee in het ontwerp van de site, niet als losse plugin achteraf. Zo werken we bij het website laten bouwen en in de bredere B2B-website gids.

De korte samenvatting

Een AVG-conform contactformulier vraagt alleen wat nodig is, heeft een uitlegbare rechtsgrond, scheidt het beantwoorden van een aanvraag van marketingtoestemming, verwijst zichtbaar naar je privacyverklaring en bewaart gegevens niet langer dan nodig volgens een termijn die je echt handhaaft. Geen vinkje lost dat in één keer op: het is de combinatie van wat je vraagt, hoe je het uitlegt en wat er daarna met de data gebeurt. Het goede nieuws is dat diezelfde keuzes je formulier ook beter laten converteren.

Wil je je contactformulieren en je hele leadflow privacyvriendelijk én conversiegericht inrichten? Plan je gratis intake.