Kort antwoord
Ja — voor iedere organisatie of ondernemer die persoonsgegevens verwerkt. De verplichting volgt uit de AVG (Artikel 13 en 14) en geldt ongeacht bedrijfsgrootte of rechtsvorm. Ook een ZZP'er met alleen een contactformulier op zijn website moet een privacyverklaring publiceren.
Voor wie is een privacyverklaring verplicht?
De AVG geldt voor iedere organisatie — bedrijf, stichting, vereniging of eenmanszaak — die persoonsgegevens verwerkt van personen in de EU. “Persoonsgegevens” is breed: namen, e-mailadressen, IP-adressen, telefoonnummers en gedragsdata via cookies vallen er allemaal onder.
De verplichting geldt concreet voor:
- Iedere websitebeheerder die analytics, een contactformulier of cookies gebruikt
- Webshophouders die bestellingen, klantaccounts of nieuwsbrieven verwerken
- ZZP'ers en freelancers die klantgegevens opslaan
- Dienstverleners met een klantenbestand of CRM-systeem
- Werkgevers voor gegevens van werknemers of sollicitanten
De Autoriteit Persoonsgegevens maakt geen uitzondering voor kleine bedrijven. Grootte en rechtsvorm zijn irrelevant: de verplichting geldt zodra je persoonsgegevens verwerkt.
Wanneer geldt de verplichting niet?
De AVG bevat één uitzondering: verwerking voor uitsluitend persoonlijk of huishoudelijk gebruik. Een privé adresboek of persoonlijke fotoopslag in de cloud valt buiten de reikwijdte. Zodra er ook maar een klein professioneel element is — een zakelijk contactformulier, een klantenlijst voor je bijbaan — geldt de verplichting alsnog.
Wat zijn de gevolgen van geen privacyverklaring?
De Autoriteit Persoonsgegevens (AP) kan handhaven via waarschuwingen, lasten onder dwangsom of bestuurlijke boetes. Bij kleine overtredingen is de AP doorgaans waarschuwend, maar structurele nalatigheid kan tot forse boetes leiden — in theorie tot 4% van de jaaromzet of €20 miljoen.
Praktischer is het reputatierisico: zakelijke klanten en partners vragen steeds vaker naar AVG-compliance. Een ontbrekende privacyverklaring kan een dealbreaker zijn bij aanbestedingen of samenwerkingen.
Wat moet er in een privacyverklaring staan?
Volgens AVG Artikel 13 en 14 moet je privacyverklaring minimaal bevatten:
- Je naam en contactgegevens als verwerkingsverantwoordelijke
- Welke persoonsgegevens je verzamelt en waarvoor
- De rechtsgrond voor elke verwerking (toestemming, contract, wettelijke plicht, etc.)
- Hoe lang je de gegevens bewaart
- Met welke derde partijen je de gegevens deelt
- Of gegevens buiten de EU worden verwerkt
- De rechten van betrokkenen: inzage, rectificatie, verwijdering en bezwaar
- Hoe mensen contact kunnen opnemen met privacyvragen
Gebruik je cookies of trackers zoals Google Analytics? Dan moet je ook uitleggen welke cookies je plaatst en waarvoor. De privacyverklaring-generator van Documentmaker begeleidt je stap voor stap door alle verplichte onderdelen.