Is een privacyverklaring verplicht voor mijn bedrijf?

Ja. Als uw organisatie persoonsgegevens verwerkt, bent u op grond van artikelen 13 en 14 AVG verplicht betrokkenen te informeren over de verwerking. Dit geldt voor vrijwel alle ondernemingen die klantgegevens, personeelsgegevens of websitebezoekersinformatie verzamelen. Alleen huishoudelijke verwerkingen zijn vrijgesteld.

Hoe verschilt een privacyverklaring van een cookieverklaring?

Een privacyverklaring informeert over alle verwerkingen van persoonsgegevens door de organisatie, inclusief de wettelijke grondslagen, bewaartermijnen en rechten van betrokkenen (art. 13 AVG). Een cookieverklaring is specifieker en richt zich op het gebruik van cookies en vergelijkbare technieken op de website, conform de Telecommunicatiewet artikel 11.7a. In de praktijk worden beide documenten dikwijls gecombineerd of gelinkt aan elkaar.

Wat is een Functionaris Gegevensbescherming (FG) en ben ik verplicht er één aan te stellen?

Een FG is een persoon die toeziet op de naleving van de AVG binnen uw organisatie. Op grond van artikel 37 AVG is aanstelling verplicht voor overheidsinstanties, organisaties die op grote schaal bijzondere persoonsgegevens verwerken en organisaties die op grote schaal individuen systematisch monitoren. Voor de meeste kleine en middelgrote bedrijven is een FG niet verplicht maar wordt aanstelling wel aanbevolen bij intensieve gegevensverwerking.

Hoe vaak moet ik mijn privacyverklaring bijwerken?

De privacyverklaring moet worden bijgewerkt telkens wanneer er sprake is van een nieuwe verwerkingsactiviteit, een wijziging in de verwerkingsdoeleinden, een nieuwe verwerker of een wijziging in bewaartermijnen. De AP adviseert jaarlijkse controle. Vermeld altijd de datum van de laatste revisie in de verklaring.

Hoe lang mogen persoonsgegevens worden bewaard?

Het opslagbeperkingsbeginsel (art. 5 lid 1 sub e AVG) verplicht gegevens niet langer te bewaren dan noodzakelijk voor het verwerkingsdoel. De maximale bewaartermijn verschilt per categorie: klantgegevens doorgaans 7 jaar (fiscale bewaarplicht), personeelsgegevens 2 jaar na uitdiensttreding (of langer bij pensioenverplichtingen), sollicitatiegegevens maximaal 4 weken (of 1 jaar met toestemming).

Wat zijn de rechten van betrokkenen die ik moet vermelden?

U dient de volgende rechten te vermelden: recht op inzage (art. 15 AVG), recht op rectificatie (art. 16 AVG), recht op verwijdering (art. 17 AVG), recht op beperking (art. 18 AVG), recht op dataportabiliteit (art. 20 AVG), recht op bezwaar (art. 21 AVG) en het recht om toestemming in te trekken (art. 7 lid 3 AVG). Vermeldt u ook het recht een klacht in te dienen bij de AP.

Kan ik een privacyverklaring in het Engels publiceren voor een Nederlandse organisatie?

De AVG vereist dat informatie aan betrokkenen wordt verstrekt in een "beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, met gebruik van duidelijke en eenvoudige taal" (art. 12 lid 1 AVG). Voor een Nederlandse doelgroep is een Nederlandstalige verklaring aanbevolen. Als uw diensten uitsluitend in het Engels worden aangeboden, kan een Engelse verklaring volstaan mits uw gebruikers dit begrijpen.

Wat is een DPIA en wanneer is het verplicht?

Een DPIA (Data Protection Impact Assessment of gegevensbeschermingseffectbeoordeling) is een risicoanalyse die verplicht is wanneer een verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen inhoudt (art. 35 AVG). Voorbeelden zijn: systematische monitoring, grootschalige verwerking van bijzondere gegevens en profilering. De uitkomst van een DPIA kan leiden tot aanpassing van de verwerking of tot een voorafgaande raadpleging bij de AP.

Zakelijk & OndernemersNederland

Gratis sjabloon Privacyverklaring (AVG)

Een volledige privacyverklaring conform de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) voor Nederlandse ondernemers en organisaties. Vul uw verwerkingsactiviteiten in en download direct een conforme PDF.

Create Your Privacyverklaring AVG

Free to useInstant PDFNo account required

PRIVACYVERKLARING

Voorbeeld Shop B.V. — Conform AVG / GDPR

GEGEVENS VERWERKINGSVERANTWOORDELIJKE

ORGANISATIE	Voorbeeld Shop B.V.
WEBSITE	https://www.voorbeeldshop.nl
PRIVACYCONTACT	privacy@voorbeeldshop.nl
LAATSTE UPDATE	1 april 2026

INLEIDING

Voorbeeld Shop B.V. (hierna: "wij", "ons" of "de organisatie") hecht veel waarde aan de bescherming van uw persoonsgegevens. In deze privacyverklaring leggen wij uit hoe wij persoonsgegevens verzamelen, gebruiken en beschermen, conform de Algemene verordening gegevensbescherming (AVG / GDPR) en de Uitvoeringswet AVG (UAVG).

Voor vragen over deze privacyverklaring kunt u contact opnemen via: privacy@voorbeeldshop.nl.

WELKE PERSOONSGEGEVENS VERWERKEN WIJ?

Wij kunnen de volgende categorieën persoonsgegevens verwerken:

Identificatiegegevens (naam, adres, e-mailadres, telefoonnummer);
Accountgegevens (gebruikersnaam, wachtwoord in versleutelde vorm);
Transactiegegevens (bestellingen, betalingen);
Technische gegevens (IP-adres, browsertype, apparaatinformatie);
Communicatiegegevens (berichten, klachten, vragen).

VERWERKINGSDOELEINDEN (art. 13 AVG)

Doel	Grondslag	Bewaartermijn	Ontvangers
Orderverwerking	Uitvoering overeenkomst (art. 6 lid 1 b AVG)	7 jaar	Betaaldienst, bezorgdienst
Nieuwsbrief	Toestemming (art. 6 lid 1 a AVG)	Tot intrekking	E-mailprovider
Websitebeveiliging	Gerechtvaardigd belang (art. 6 lid 1 f AVG)	90 dagen	Hostingprovider

UW RECHTEN ALS BETROKKENE

Op grond van de AVG heeft u de volgende rechten:

Recht op inzage (art. 15 AVG): u kunt opvragen welke persoonsgegevens wij van u verwerken;
Recht op rectificatie (art. 16 AVG): u kunt onjuiste gegevens laten corrigeren;
Recht op vergetelheid (art. 17 AVG): u kunt verzoeken uw gegevens te verwijderen;
Recht op beperking (art. 18 AVG): u kunt de verwerking laten beperken;
Recht op gegevensoverdraagbaarheid (art. 20 AVG): u kunt uw gegevens in een gestructureerd formaat opvragen;
Recht van bezwaar (art. 21 AVG): u kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.

Verzoeken kunt u indienen via privacy@voorbeeldshop.nl. Wij reageren binnen 30 dagen.

Onze website https://www.voorbeeldshop.nl maakt gebruik van cookies. Wij plaatsen functionele cookies (noodzakelijk voor de werking van de website) en, na uw toestemming, analytische en marketingcookies. U kunt uw cookievoorkeur op elk moment wijzigen via de cookiebanner op onze website.

DOORGIFTE BUITEN EER

Wij maken gebruik van Google Analytics (Google LLC, VS). Doorgifte vindt plaats op basis van Standard Contractual Clauses (SCC's) goedgekeurd door de Europese Commissie.

TOEZICHTHOUDER

U heeft het recht een klacht in te dienen bij de toezichthoudende autoriteit. In Nederland is dat de Autoriteit Persoonsgegevens (AP), Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.

WIJZIGINGEN

Wij behouden ons het recht voor deze privacyverklaring aan te passen. De meest actuele versie is altijd beschikbaar op https://www.voorbeeldshop.nl. Datum van de laatste wijziging: 1 april 2026.

Wat is een privacyverklaring?

Een privacyverklaring (ook wel privacy statement of privacybeleid) is een document waarmee een organisatie als verwerkingsverantwoordelijke transparant informeert aan betrokkenen hoe hun persoonsgegevens worden verwerkt. De informatieverplichting is vastgelegd in de artikelen 13 en 14 van de Algemene Verordening Gegevensbescherming (AVG, Verordening EU 2016/679). Artikel 13 AVG verplicht informatie te verstrekken op het moment dat persoonsgegevens direct bij de betrokkene worden verzameld; artikel 14 AVG geldt wanneer gegevens indirect worden verkregen. De privacyverklaring is de praktische uitwerking van deze informatieplicht.

De AVG is in Nederland van kracht sinds 25 mei 2018 en wordt gehandhaafd door de Autoriteit Persoonsgegevens (AP). De AP kan boetes opleggen tot maximaal EUR 20 miljoen of 4% van de wereldwijde jaaromzet van de onderneming (art. 83 AVG) bij schending van de informatieverplichting. Naast de AVG implementeert de Uitvoeringswet AVG (UAVG) de nationale keuzes, zoals de leeftijdsgrens voor toestemming van kinderen (16 jaar, art. 27 UAVG). Een deugdelijke privacyverklaring is niet slechts een juridische verplichting, maar ook een instrument om vertrouwen van klanten en gebruikers te wekken.

De privacyverklaring moet worden gepubliceerd op een gemakkelijk toegankelijke locatie, doorgaans de website van de organisatie. Artikel 5 lid 1 sub a AVG vereist dat de verwerking transparant en in begrijpelijke taal geschiedt. De verklaring dient te worden bijgehouden: bij iedere nieuwe verwerkingsactiviteit of wijziging in de doeleinden moet de privacyverklaring worden bijgewerkt. Outdated privacyverklaringen zijn een veelvoorkomende tekortkoming die de AP bij onderzoek signaleert.

Wat staat er in dit sjabloon

De privacyverklaring van Doxuno dekt alle verplichte elementen van artikel 13 en 14 AVG en de aanbevolen best practices van de Autoriteit Persoonsgegevens.

Identiteit verwerkingsverantwoordelijke

Naam, adres en contactgegevens van de organisatie die persoonsgegevens verwerkt (art. 13 lid 1 sub a AVG).

Contactgegevens Functionaris Gegevensbescherming

Contactinformatie van de FG indien aanwezig of verplicht (art. 13 lid 1 sub b AVG).

Verwerkingsdoeleinden en rechtsgrond

Per categorie gegevens: het doel en de wettelijke grondslag van de verwerking (art. 13 lid 1 sub c AVG).

Categorieën persoonsgegevens

Welke categorieën gegevens worden verwerkt: contact-, transactie-, gedragsgegevens, etc.

Ontvangers van persoonsgegevens

Derden aan wie gegevens worden verstrekt, inclusief verwerkers en samenwerkingspartners (art. 13 lid 1 sub e AVG).

Bewaartermijnen

Hoe lang persoonsgegevens worden bewaard per categorie (art. 13 lid 2 sub a AVG).

Rechten van betrokkenen

Inzage, rectificatie, verwijdering, beperking, portabiliteit en bezwaar (art. 15–21 AVG).

Recht op intrekking toestemming

Procedure voor intrekking van toestemming als dat de verwerkingsgrondslag is (art. 7 lid 3 AVG).

Internationale doorgifte

Doorgifte buiten de EER en de toegepaste waarborgen (art. 46 AVG).

Klachtenrecht bij AP

Recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (art. 13 lid 2 sub d AVG).

Cookieverklaring

Optionele sectie over cookies conform de Telecommunicatiewet art. 11.7a.

Versiegeschiedenis en bijwerkdatum

Versienummer en datum van de laatste bijwerking van de privacyverklaring.

Hoe stelt u een AVG-conforme privacyverklaring op

Met het Doxuno-sjabloon stelt u stap voor stap een volledige privacyverklaring op die voldoet aan alle vereisten van de AVG en de UAVG.

1
Inventariseer uw verwerkingsactiviteiten
Maak een overzicht van alle categorieën persoonsgegevens die uw organisatie verwerkt, de doeleinden waarvoor ze worden verwerkt en de rechtsgrondslagen (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang). Dit register is ook vereist op grond van artikel 30 AVG.
2
Vul de verplichte informatie in
Noteer de naam en contactgegevens van uw organisatie, uw AVG-contactpersoon of FG (indien aanwezig), en de identiteit van de verwerkers die u inschakelt (hostingpartijen, e-mailproviders, analysediensten). Wees concreet en vermijd vage, allesomvattende formuleringen.
3
Stel bewaartermijnen vast per categorie
Bepaal per categorie persoonsgegevens hoe lang u ze bewaart. Bewaartermijnen moeten zijn gebaseerd op wettelijke verplichtingen (bijv. 7 jaar voor belastingadministratie) of op de noodzaak voor het verwerkingsdoel. Gegevens die niet meer nodig zijn, moeten worden vernietigd (opslagbeperkingsbeginsel, art. 5 lid 1 sub e AVG).
4
Beschrijf de rechten van betrokkenen en de klachtenprocedure
Leg uit hoe betrokkenen hun rechten kunnen uitoefenen: via welk e-mailadres, binnen welke termijn u reageert en welke verificatie u vereist. Vermeld het klachtenrecht bij de Autoriteit Persoonsgegevens (AP, www.autoriteitpersoonsgegevens.nl).
5
Publiceer en stel een update-procedure in
Publiceer de privacyverklaring op een goed vindbare locatie op uw website (voettekst, contactpagina). Stel een interne procedure in om de verklaring te herzien bij elke nieuwe verwerkingsactiviteit of wijziging. Download de PDF voor offline distributieof interne documentatie.

Juridische aandachtspunten bij de privacyverklaring

Een privacyverklaring is een juridisch document met directe handhavingsrisico's. De AP kan actief optreden bij gebreken in de informatieverstrekking.

Dit sjabloon is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Bij complexe verwerkingen of persoonsgegevens van bijzondere aard (gezondheid, biometrie) is raadpleging van een privacy-jurist sterk aanbevolen.

Getoetst door juridische professionals. De inhoud van deze pagina en de clausules in het sjabloon zijn beoordeeld door in Nederland werkzame juristen en AVG-specialisten.

Wettelijke grondslagen voor verwerking (art. 6 AVG)

Iedere verwerking van persoonsgegevens vereist een wettelijke grondslag op grond van artikel 6 AVG. De zes grondslagen zijn: toestemming (sub a), uitvoering van een overeenkomst (sub b), wettelijke verplichting (sub c), vitaal belang (sub d), publieke taak (sub e) en gerechtvaardigd belang (sub f). Voor elke verwerking dient de privacyverklaring de toepasselijke grondslag te vermelden. Gerechtvaardigd belang vereist een balanstest; toestemming mag niet als enige grondslag worden gebruikt als een andere rechtsgrond van toepassing is.

Bijzondere categorieën persoonsgegevens (art. 9 AVG)

Artikel 9 AVG verbiedt de verwerking van bijzondere categorieën persoonsgegevens (gezondheids-, genetische, biometrische, ras- en etnische gegevens, religieuze overtuigingen, politieke opvattingen, seksuele geaardheid) tenzij een uitzondering van toepassing is. Als uw organisatie dergelijke gegevens verwerkt, dient de privacyverklaring dit expliciet te vermelden met de toepasselijke uitzondering en de noodzakelijke aanvullende beschermingsmaatregelen (art. 32 AVG).

Verwerkersovereenkomsten en sub-verwerkers

Als u derden inschakelt die namens u persoonsgegevens verwerken (cloudproviders, payrolldiensten, e-mailmarketingplatforms), bent u verplicht met hen een verwerkersovereenkomst te sluiten (art. 28 AVG). In de privacyverklaring vermeldt u welke categorieën verwerkers u inschakelt en voor welke doeleinden. De privacyverklaring hoeft geen individuele verwerkersovereenkomsten openbaar te maken, maar moet de ontvangerscategorieën beschrijven.

Handhaving door de Autoriteit Persoonsgegevens

De AP handhaaft de AVG in Nederland op grond van de UAVG. De AP kan waarschuwingen, berispingen, een tijdelijk of permanent verwerkingsverbod en bestuurlijke boetes opleggen. Boetes kunnen oplopen tot EUR 20 miljoen of 4% van de wereldwijde jaaromzet (art. 83 AVG). De AP heeft bij onderzoeken aandacht voor de volledigheid van de privacyverklaring, de rechtmatigheid van de verwerking en de naleving van rechten van betrokkenen. Een verouderde of onvolledige privacyverklaring is een van de meest voorkomende bevindingen bij AP-onderzoeken.

Veelgestelde vragen

Klaar om uw privacyverklaring op te stellen?

Vul uw verwerkingsactiviteiten in en download in enkele minuten een complete, AVG-conforme privacyverklaring als PDF.

Create Your Privacyverklaring AVG Browse All Templates

Free · Instant PDF · No account required