Customer Impact

Website & Development

Privacybeleid en cookieverklaring voor je website: wat erin moet

TDK Tanguy De Keyzer Tanguy De Keyzer Oprichter & digitale strateeg · 27 juni 2026 · ◷ 6 min leestijd

Een privacybeleid voor je website opstellen komt neer op twee aparte documenten: een privacyverklaring die uitlegt welke persoonsgegevens je verzamelt, waarom en hoe lang, en een cookieverklaring die beschrijft welke cookies en trackers je plaatst. Veel B2B-bedrijven gooien die twee op één hoop of plakken een gratis generator-tekst onderaan de site, en lopen zo zowel een juridisch als een vertrouwensrisico. In dit artikel lees je wat het verschil is, wat er verplicht in elk document hoort, en hoe je een nauwkeurige versie opbouwt die bij jouw site past.

Wat is het verschil tussen een privacyverklaring en een cookieverklaring?

Een privacyverklaring gaat over alle persoonsgegevens die je verwerkt, een cookieverklaring gaat specifiek over wat er op het apparaat van je bezoeker wordt opgeslagen of uitgelezen. Het zijn twee documenten met een eigen juridische basis, en ze door elkaar halen is een veelgemaakte fout.

De privacyverklaring valt onder de GDPR (in het Nederlands de AVG). Die regelt elke verwerking van persoonsgegevens: een ingevuld contactformulier, een nieuwsbriefinschrijving, een offerteaanvraag, sollicitaties, je CRM. Je legt erin uit wie je bent, wat je met die gegevens doet en welke rechten iemand heeft.

De cookieverklaring valt daarnaast onder de ePrivacy-regels, in België verankerd in de wetgeving rond elektronische communicatie. Die gaan niet alleen over persoonsgegevens, maar over het plaatsen en uitlezen van informatie op het toestel van de bezoeker. Daarom heb je vooraf toestemming nodig voor niet-noodzakelijke cookies, ook als die op zichzelf weinig persoonsgegevens bevatten. Kortom: één document beschrijft wat je met gegevens doet, het andere beschrijft wat je plaatst en op welke basis.

Wat moet er verplicht in je privacyverklaring staan?

Je privacyverklaring moet een bezoeker in heldere taal kunnen vertellen wie je bent, welke gegevens je verwerkt, waarom, op welke juridische grondslag en wat hij daaraan kan doen. De GDPR somt die informatieplichten concreet op.

Een volledige privacyverklaring bevat doorgaans minstens deze elementen:

  • Wie de verwerkingsverantwoordelijke is: je bedrijfsnaam, ondernemingsnummer en contactgegevens, plus die van een eventuele functionaris voor gegevensbescherming.
  • Welke persoonsgegevens je verzamelt en via welke kanalen (formulieren, e-mail, analytics, klantenbeheer).
  • De doeleinden waarvoor je ze gebruikt, bijvoorbeeld een offerte opmaken, een vraag beantwoorden of facturatie.
  • De rechtsgrond per verwerking: toestemming, uitvoering van een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang.
  • Met wie je gegevens deelt: verwerkers zoals je hosting, e-mailtool, CRM of analyticsprovider, en of er gegevens buiten de EU gaan.
  • Hoe lang je bewaart, of welk criterium je daarvoor hanteert.
  • De rechten van de betrokkene: inzage, correctie, verwijdering, bezwaar en het recht om klacht in te dienen bij de toezichthouder.

Dat lijkt veel, maar het punt is dat elk element moet kloppen met wat jouw site écht doet. Als je een offerteformulier en een nieuwsbrief hebt, moeten beide erin staan. Heb je geen webshop, dan hoort betaalinformatie er niet in. Een privacyverklaring is geen sjabloon dat je invult, het is een eerlijke beschrijving van jouw eigen gegevensstromen.

Wat hoort er in je cookieverklaring en cookiebanner?

Je cookieverklaring moet per cookie of categorie duidelijk maken welke je plaatst, waarvoor ze dienen, wie ze plaatst en hoe lang ze blijven staan, en je banner moet geldige toestemming vragen voordat er iets niet-noodzakelijks geladen wordt. De Belgische Gegevensbeschermingsautoriteit heeft daar duidelijke verwachtingen over geformuleerd.

Concreet betekent dat onder meer: geen vooraf aangevinkte vakjes, en een knop om alles te weigeren op hetzelfde niveau en even zichtbaar als de knop om alles te aanvaarden. Bezoekers moeten in de eerste laag van de banner meteen begrijpen waarvoor je toestemming vraagt, en ze moeten hun keuze later kunnen wijzigen. Een banner die alleen “Akkoord” toont, of die je pas doorlaat als je aanvaardt, voldoet niet.

Belangrijk voor de praktijk: noodzakelijke cookies (bijvoorbeeld voor een winkelmandje of het onthouden van een ingelogde sessie) mag je zonder toestemming plaatsen. Voor analytics, marketingpixels en ingesloten content van derden heb je wél voorafgaande toestemming nodig. Dat heeft een direct technisch gevolg: je trackingscripts mogen pas afvuren nadat de bezoeker heeft toegestemd. Wordt je consentbanner verkeerd ingebouwd, dan laden die scripts toch al, en is je toestemming waardeloos. Dit is precies een plek waar de bouw van je site en je juridische tekst samenkomen, en waar het vaak misloopt.

Waarom is een gekopieerde generator-tekst een risico?

Een gratis generator levert je een algemene tekst die past bij een gemiddelde website, niet bij die van jou, en dat is precies het probleem. Het document leest professioneel, maar beschrijft verwerkingen die je misschien niet doet en mist verwerkingen die je wél doet.

De typische fouten: er staat een webshop-paragraaf in terwijl je geen betalingen verwerkt, er worden tools en verwerkers genoemd die je niet gebruikt, of net niet de tools die je écht inzet zoals je specifieke CRM, je e-mailmarketingplatform of je formuliersoftware. Soms verwijst de tekst naar buitenlandse wetgeving in plaats van het Belgische kader. Een privacyverklaring die niet overeenstemt met de werkelijkheid is niet alleen juridisch zwak, ze is ook simpelweg onwaar tegenover je bezoeker.

En daar zit de B2B-kost. Een zakelijke koper die op het punt staat een offerte aan te vragen, leest soms wél de kleine lettertjes. Een slordige of duidelijk gekopieerde privacytekst zaait twijfel net op het moment dat je vertrouwen wil winnen. Het ondermijnt hetzelfde signaal dat je elders op je site zo zorgvuldig opbouwt, zoals op je over-ons-pagina of via de vertrouwenssignalen die een B2B-site geloofwaardig maken. Een generator is een prima vertrekpunt om de structuur te zien, maar nooit een eindproduct dat je ongelezen publiceert.

Hoe pak je een correct privacybeleid praktisch aan?

De betrouwbaarste aanpak is omgekeerd werken: begin niet bij de tekst, maar bij een inventaris van wat je site écht doet met gegevens. Pas als je dat in kaart hebt, schrijf je de twee documenten.

Een werkbare volgorde:

  1. Breng je gegevensstromen in kaart. Loop elk formulier, elke tool en elke integratie langs. Welke velden vraag je op je contactpagina en in je conversieformulieren? Waar gaan die gegevens naartoe?
  2. Lijst je verwerkers op. Hosting, analytics, CRM, e-mailtool, chatwidget, formuliersoftware. Dat zijn de partijen die je in je privacyverklaring moet noemen.
  3. Inventariseer je cookies en scripts. Welke laden er, wie plaatst ze, en zijn ze noodzakelijk of niet? Dit bepaalt je cookieverklaring én de configuratie van je consentbanner.
  4. Schrijf of pas de teksten aan op basis daarvan, in heldere taal, afgestemd op het Belgische en Europese kader.
  5. Laat het juridisch nakijken. Voor de definitieve formulering is een jurist of DPO de aangewezen persoon, zeker bij gevoelige verwerkingen.

Customer Impact is een bureau, geen advocatenkantoor: wij geven geen juridisch advies. Wat we wél doen, is je website zo bouwen dat de techniek klopt met de tekst, dat je consentbanner trackers pas na toestemming laat afvuren, en dat je privacy- en cookieverklaring vindbaar en leesbaar op je site staan. Die technische correctheid hoort bij hetzelfde fundament als toegankelijkheid en wordt te vaak als bijzaak behandeld. Wil je dieper in het bredere bouwproces duiken, dan vind je dat in onze gids over een B2B-website laten maken en bij ons webdesign bureau.

De korte samenvatting

Je hebt twee documenten nodig: een privacyverklaring onder de GDPR die je gegevensstromen eerlijk beschrijft, en een cookieverklaring met een correct werkende consentbanner onder de ePrivacy-regels. De grootste valkuil is een generator-tekst die niet overeenstemt met wat je site werkelijk doet: dat is juridisch zwak en kost je vertrouwen bij precies de zakelijke koper die je wil overtuigen. Begin daarom bij een inventaris van je echte gegevensstromen, stem je teksten daarop af, en zorg dat de techniek van je site de juridische beloften ook nakomt.

Plan je gratis intake

Gratis website-scan

Geef je website in en krijg binnen enkele minuten een automatische scan met concrete technische en SEO-verbeterpunten. Geen verkooppraatje.

Waar mogen we je rapport naartoe sturen?

Je gegevens gebruiken we alleen voor je scan. Geen spam, uitschrijven kan altijd.

Gerelateerde dienst Webdesign & development →

Deel je website voor een gratis zichtbaarheidsaudit