SOP 07-01 — Privacyverklaring eigen site opstellen (checklist)
| Doel (uitkomst) | Een actuele, correcte privacyverklaring staat gepubliceerd op blurrmarketing.nl (en op elke eigen site die persoonsgegevens verwerkt) en dekt alle daadwerkelijk gebruikte tools en cookies. |
| Wanneer | Bij lancering van een nieuwe (eigen of klant-)site, en bij elke wijziging van gebruikte tools/cookies/verwerkingen op een bestaande site. |
| Eigenaar | Eigenaar / marketing lead |
| Uitvoerder | Wie de site beheert (developer/marketeer), met eindcontrole door de eigenaar |
| Duur | ~45–60 min per site, exclusief juridische toets |
| Benodigd vooraf | Actuele lijst van tools/cookies/trackers op de site (analytics, advertentiepixels, chat, formulieren, CRM-koppelingen) |
| 🎥 Video | — nog opnemen |
Wettelijke aandachtspunten, geen juridisch advies. Een privacyverklaring is verplicht zodra een site persoonsgegevens verwerkt; het ontbreken of onjuist zijn ervan kan leiden tot een boete tot €20 mln of 4% van de wereldwijde jaaromzet (Autoriteit Persoonsgegevens). Laat de definitieve tekst vóór publicatie toetsen door een privacyjurist.
Klaar = (controleerbaar)
- Privacyverklaring staat live, bereikbaar via een duidelijke link in de footer op elke pagina.
- Elke tool/cookie/tracker die daadwerkelijk op de site draait, staat benoemd met doel, grondslag en bewaartermijn.
- Rechten van betrokkenen (inzage, rectificatie, verwijdering, bezwaar, klacht bij AP) staan vermeld met een concreet contactpunt.
- Cookiebanner/consentmechanisme (indien van toepassing) sluit aan op wat de verklaring beschrijft — geen tools actief vóór toestemming die dat vereisen.
- Reviewdatum vastgelegd in het verwerkingsregister.
Stappen
- Inventariseer alle tools en trackers. Loop de site door (of vraag de developer): analytics (bijv. GA4/Plausible), advertentiepixels (Google Ads/Meta), chat-widgets, formulierentools, CRM-koppelingen, e-mailmarketingtool, hostingpartij. Noteer per tool: naam, leverancier, land van verwerking, en of het een cookie/tracker plaatst.
- Bepaal per verwerking het doel en de grondslag. Gebruik de categorieën uit het verwerkingsregister-template Deel A: toestemming, overeenkomst, gerechtvaardigd belang, of wettelijke plicht. Vermijd standaard "gerechtvaardigd belang" zonder afweging — laat dit bij twijfel toetsen.
- Stel de conceptverklaring op. Neem in ieder geval op: wie de verwerkingsverantwoordelijke is (BLURR, met KVK-nummer en contactgegevens), welke gegevens worden verzameld, met welk doel, op welke grondslag, hoe lang bewaard, met wie gedeeld (incl. sub-verwerkers/derde landen), en welke rechten betrokkenen hebben inclusief het klachtrecht bij de Autoriteit Persoonsgegevens.
- Stem af met het cookiebeleid/consentmechanisme. Controleer dat niet-noodzakelijke cookies (analytics, advertentie) pas worden geplaatst na toestemming, en dat de banner-tekst overeenkomt met wat de privacyverklaring beschrijft.
- Laat toetsen. Stuur het concept naar een privacyjurist vóór publicatie, zeker bij nieuwe soorten verwerkingen (bijv. een nieuwe advertentie-integratie of leadmagnet met persoonsgegevens).
- Publiceer en link. Zet de getoetste tekst live, plaats een duidelijke link in de footer van elke pagina, en noteer de publicatiedatum.
- Actualiseer het verwerkingsregister. Werk Deel A of B van het verwerkingsregister bij met de nieuwe/gewijzigde verwerking.
Checklist (loop na vóór je "af" zegt)
- Alle daadwerkelijk actieve tools/cookies staan in de verklaring — geen "vergeten" trackers
- Grondslag per verwerking beargumenteerd, niet standaard ingevuld
- Concept juridisch getoetst vóór publicatie
- Footer-link werkt op elke pagina (incl. mobiel)
- Verwerkingsregister bijgewerkt met verwijzing naar de gepubliceerde verklaring
Valkuilen / veelgestelde vragen
- "We kopiëren een generieke privacyverklaring-generator." → Alleen als startpunt; een generieke tekst dekt zelden de daadwerkelijke tool-combinatie van BLURR of de klant. Altijd controleren tegen de echte tool-inventarisatie.
- "De banner regelt de toestemming, de tekst hoeft niet te matchen." → Wel: als de privacyverklaring iets anders beschrijft dan wat er technisch gebeurt, is dat zelf al een AVG-risico.
- "Dit hoeft alleen op de hoofdsite, niet op elke klantsite." → Elke site die persoonsgegevens verwerkt heeft een eigen (of specifiek toegespitste) privacyverklaring nodig — dit geldt ook voor klantsites die BLURR bouwt/beheert.
Bronnen (actueel controleren vóór gebruik)
- Autoriteit Persoonsgegevens — basis AVG / verwerkersovereenkomst
- KVK — AVG-verwerkingsregister opstellen
Gerelateerd
⚖️ Verplichte laatste stap — laten toetsen door een jurist. Dit document is een startpunt / concept, geen juridisch advies. Het handboek tekent zelf geen contracten en sluit geen verzekeringen af. Vóór gebruik naar een jurist (ICT-/privacyrecht) voor toetsing op de concrete situatie van BLURR.
Laatst bijgewerkt: 2026-07-12 · Eigenaar: Eigenaar / marketing lead