SOP 07-01 — Privacyverklaring eigen site opstellen (checklist)

Doel (uitkomst) Een actuele, correcte privacyverklaring staat gepubliceerd op blurrmarketing.nl (en op elke eigen site die persoonsgegevens verwerkt) en dekt alle daadwerkelijk gebruikte tools en cookies.
Wanneer Bij lancering van een nieuwe (eigen of klant-)site, en bij elke wijziging van gebruikte tools/cookies/verwerkingen op een bestaande site.
Eigenaar Eigenaar / marketing lead
Uitvoerder Wie de site beheert (developer/marketeer), met eindcontrole door de eigenaar
Duur ~45–60 min per site, exclusief juridische toets
Benodigd vooraf Actuele lijst van tools/cookies/trackers op de site (analytics, advertentiepixels, chat, formulieren, CRM-koppelingen)
🎥 Video — nog opnemen

Wettelijke aandachtspunten, geen juridisch advies. Een privacyverklaring is verplicht zodra een site persoonsgegevens verwerkt; het ontbreken of onjuist zijn ervan kan leiden tot een boete tot €20 mln of 4% van de wereldwijde jaaromzet (Autoriteit Persoonsgegevens). Laat de definitieve tekst vóór publicatie toetsen door een privacyjurist.

Klaar = (controleerbaar)

  • Privacyverklaring staat live, bereikbaar via een duidelijke link in de footer op elke pagina.
  • Elke tool/cookie/tracker die daadwerkelijk op de site draait, staat benoemd met doel, grondslag en bewaartermijn.
  • Rechten van betrokkenen (inzage, rectificatie, verwijdering, bezwaar, klacht bij AP) staan vermeld met een concreet contactpunt.
  • Cookiebanner/consentmechanisme (indien van toepassing) sluit aan op wat de verklaring beschrijft — geen tools actief vóór toestemming die dat vereisen.
  • Reviewdatum vastgelegd in het verwerkingsregister.

Stappen

  1. Inventariseer alle tools en trackers. Loop de site door (of vraag de developer): analytics (bijv. GA4/Plausible), advertentiepixels (Google Ads/Meta), chat-widgets, formulierentools, CRM-koppelingen, e-mailmarketingtool, hostingpartij. Noteer per tool: naam, leverancier, land van verwerking, en of het een cookie/tracker plaatst.
  2. Bepaal per verwerking het doel en de grondslag. Gebruik de categorieën uit het verwerkingsregister-template Deel A: toestemming, overeenkomst, gerechtvaardigd belang, of wettelijke plicht. Vermijd standaard "gerechtvaardigd belang" zonder afweging — laat dit bij twijfel toetsen.
  3. Stel de conceptverklaring op. Neem in ieder geval op: wie de verwerkingsverantwoordelijke is (BLURR, met KVK-nummer en contactgegevens), welke gegevens worden verzameld, met welk doel, op welke grondslag, hoe lang bewaard, met wie gedeeld (incl. sub-verwerkers/derde landen), en welke rechten betrokkenen hebben inclusief het klachtrecht bij de Autoriteit Persoonsgegevens.
  4. Stem af met het cookiebeleid/consentmechanisme. Controleer dat niet-noodzakelijke cookies (analytics, advertentie) pas worden geplaatst na toestemming, en dat de banner-tekst overeenkomt met wat de privacyverklaring beschrijft.
  5. Laat toetsen. Stuur het concept naar een privacyjurist vóór publicatie, zeker bij nieuwe soorten verwerkingen (bijv. een nieuwe advertentie-integratie of leadmagnet met persoonsgegevens).
  6. Publiceer en link. Zet de getoetste tekst live, plaats een duidelijke link in de footer van elke pagina, en noteer de publicatiedatum.
  7. Actualiseer het verwerkingsregister. Werk Deel A of B van het verwerkingsregister bij met de nieuwe/gewijzigde verwerking.

Checklist (loop na vóór je "af" zegt)

  • Alle daadwerkelijk actieve tools/cookies staan in de verklaring — geen "vergeten" trackers
  • Grondslag per verwerking beargumenteerd, niet standaard ingevuld
  • Concept juridisch getoetst vóór publicatie
  • Footer-link werkt op elke pagina (incl. mobiel)
  • Verwerkingsregister bijgewerkt met verwijzing naar de gepubliceerde verklaring

Valkuilen / veelgestelde vragen

  • "We kopiëren een generieke privacyverklaring-generator." → Alleen als startpunt; een generieke tekst dekt zelden de daadwerkelijke tool-combinatie van BLURR of de klant. Altijd controleren tegen de echte tool-inventarisatie.
  • "De banner regelt de toestemming, de tekst hoeft niet te matchen." → Wel: als de privacyverklaring iets anders beschrijft dan wat er technisch gebeurt, is dat zelf al een AVG-risico.
  • "Dit hoeft alleen op de hoofdsite, niet op elke klantsite." → Elke site die persoonsgegevens verwerkt heeft een eigen (of specifiek toegespitste) privacyverklaring nodig — dit geldt ook voor klantsites die BLURR bouwt/beheert.

Bronnen (actueel controleren vóór gebruik)

Gerelateerd

⚖️ Verplichte laatste stap — laten toetsen door een jurist. Dit document is een startpunt / concept, geen juridisch advies. Het handboek tekent zelf geen contracten en sluit geen verzekeringen af. Vóór gebruik naar een jurist (ICT-/privacyrecht) voor toetsing op de concrete situatie van BLURR.


Laatst bijgewerkt: 2026-07-12 · Eigenaar: Eigenaar / marketing lead