WordPress AVG 2026: compliance + checklist

← Blog AVG-basisprincipes Compliance
9 min leestijd
Bijgewerkt: 16 juni 2026
WebLegal Team

Gratis · Geen registratie · Resultaat in 30 seconden

WordPress draait bijna 40% van alle websites wereldwijd, van blogs tot WooCommerce-winkels. Maar WordPress installeren maakt uw site niet automatisch AVG-conform. Bij een zelf gehoste site (WordPress.org) bent u als uitgever de verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming. WordPress.org levert alleen de software; uw hostingprovider en elk van uw plugins treden op als verwerker. Het is aan u dat de Autoriteit Persoonsgegevens verantwoording zal vragen, en boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Scan uw site eerst gratis met onze AVG-compliancescanner om de te corrigeren punten te vinden. Dit artikel legt uit wat WordPress wel en niet doet voor uw compliance, welke verplichtingen u zelf moet nakomen, de meest voorkomende fouten en hoe u uw site snel conform maakt.

Wat WordPress wel (en niet) doet voor compliance

Wat WordPress biedt

De WordPress-kern bevat enkele privacygerelateerde functies:

  • Een sjabloon voor het privacybeleid: een generiek concept onder Instellingen → Privacy. Het is een basisgeraamte, niet afgestemd op uw activiteit.
  • Hulpmiddelen voor betrokkenenrechten: onder Gereedschap → Persoonsgegevens kunt u de gegevens van een gebruiker exporteren of wissen om inzage- en wisverzoeken af te handelen (artikelen 15 en 17 AVG).
  • Een toestemmingsvinkje voor reacties: standaard ingeschakeld, maar het betreft alleen de opslag van de gegevens van de reageerder — het is geen cookiebanner.

Wat WordPress NIET biedt

WordPress is vrije software: het sluit geen contract met u en stelt uw juridische teksten niet op. Het volgende is volledig uw verantwoordelijkheid:

  • Een verwerkersovereenkomst op grond van artikel 28 — die komt van uw hostingprovider en van elke plugin, niet van WordPress.org.
  • Een conforme cookiebanner (het reactievinkje is er geen).
  • Uw op maat gemaakte privacybeleid, uw cookiebeleid, uw gebruiksvoorwaarden, uw verkoopvoorwaarden en uw bedrijfsgegevens.
  • Het beheer van Google Consent Mode v2, inmiddels onmisbaar als u Google Analytics 4 of Google Ads gebruikt.

De 5 AVG-verplichtingen voor uw WordPress-site

1. Een volledig privacybeleid publiceren

De artikelen 13 en 14 AVG vereisen transparante informatie. Uw beleid moet de identiteit van de verantwoordelijke, de doeleinden van elke verwerking, de rechtsgronden, de ontvangers (uw hostingprovider en alle externe plugins), de bewaartermijnen en de rechten van betrokkenen vermelden.

2. Een conforme cookiebanner instellen

Weigeren moet net zo eenvoudig zijn als accepteren (even zichtbare knoppen «Accepteren» en «Weigeren»), niet-essentiële trackers mogen niet vóór toestemming worden geplaatst, en de gebruiker moet zijn keuze altijd kunnen wijzigen. Gebruikt u Google Analytics 4 of Google Ads, dan moet uw banner ook de Consent Mode v2 doorgeven. In plaats van plugins te stapelen, kunt u onze gratis AVG-cookiebanner installeren — zonder paginaweergavelimiet of abonnement.

3. Uw plugins (uw verwerkers) in kaart brengen

Elke plugin die toegang heeft tot de gegevens van uw bezoekers is een extra verwerker. Uw privacybeleid moet ze weerspiegelen, en u moet ervoor zorgen dat elke plugin garanties biedt (overeenkomst, locatie van de gegevens). Dat is het WordPress-eigene: de flexibiliteit van plugins is ook uw grootste risico-oppervlak.

4. Uw bedrijfsgegevens publiceren

Elke site met activiteit moet de uitgever identificeerbaar maken (identiteit, adres, contact, KvK-nummer). Het ontbreken van deze informatie stelt u bloot aan sancties.

5. Een register van verwerkingsactiviteiten bijhouden

Artikel 30 AVG verplicht u uw verwerkingen te documenteren: doeleinden, gegevenscategorieën, ontvangers en bewaartermijnen.

De meest voorkomende fouten op WordPress

  • Het reactievinkje aanzien voor een cookiebanner: twee verschillende dingen. Zonder echte banner worden uw analyse- en advertentiecookies zonder geldige toestemming geplaatst.
  • Google Analytics installeren zonder Consent Mode v2: GA4 plaatst dan trackers vóór elke toestemming — een directe overtreding.
  • Het standaard privacybeleid laten staan: het generieke geraamte weerspiegelt noch uw werkelijke verwerkingen, noch uw plugins.
  • Plugins installeren en vergeten: elke actieve plugin die gegevens bewaart, vergroot uw risico. Deïnstalleer de plugins die u niet meer gebruikt.
  • De verwerkersovereenkomst van uw host niet tekenen: de verwerkersrelatie moet onder artikel 28 zijn geregeld.
  • Formulieren zonder rechtsgrond: een contact- of nieuwsbriefformulier (Contact Form 7, WPForms…) heeft een rechtsgrond en een privacymelding nodig.

WordPress-plugins en de AVG

Het plugin-ecosysteem is de grote kracht van WordPress, maar elke plugin die bezoekersgegevens raakt, wordt een verwerker. Controleer met voorrang:

  • Formulieren: Contact Form 7, WPForms — controleer de rechtsgrond en bewaring.
  • Analytics: Google Analytics 4, Matomo — koppel aan toestemming en Consent Mode v2.
  • Cookiebeheer: speciale plugins zoals Complianz of CookieYes — controleer of ze scripts vóór toestemming blokkeren.
  • E-commerce: WooCommerce voegt consumentenrechtelijke plichten toe (herroepingsrecht, verkoopvoorwaarden).
  • Nieuwsbrief en page builders: Mailchimp, Brevo, Elementor — let op externe scripts die vóór toestemming laden.

Veel van deze plugins worden uitgegeven door Amerikaanse bedrijven: controleer of doorgiften buiten de EU worden gedekt door het Data Privacy Framework of standaardcontractbepalingen (Schrems II).

Hoe u uw WordPress-site conform maakt

Vier wegen leiden naar uw juridische teksten:

Een advocaat inschakelen (500-2.000 €): op maat en deskundig, maar duur en traag.

Gratis sjablonen gebruiken (0 €, hoog risico): generiek, vaak verouderd en nooit afgestemd op uw plugins of activiteit.

Een generieke AI gebruiken (ChatGPT): plausibele concepten die verplichte clausules weglaten en inconsistenties tussen uw documenten creëren.

Een gespecialiseerde juridische generator gebruiken (19,90 €-49,90 €): de generator voor juridische documenten van WebLegal maakt uw 4 documenten (privacybeleid, cookies, gebruiksvoorwaarden, verkoopvoorwaarden) in minder dan 10 minuten, met gegarandeerde consistentie. Het begeleide formulier vraagt naar uw plugins, analysetools en activiteit om documenten te maken die echt bij uw WordPress-site passen.

Heeft u een webshop? Zie ook onze gidsen WooCommerce AVG en PrestaShop AVG.

Conclusie

WordPress gebruiken ontslaat u niet van uw AVG-verplichtingen. Als verwerkingsverantwoordelijke moet u ervoor zorgen dat uw privacybeleid, uw cookiebanner, uw voorwaarden en uw bedrijfsgegevens conform zijn — en dat uw plugins geen trackers vóór toestemming plaatsen. WordPress levert bouwstenen, maar die zijn niet genoeg. In 2026 is compliance geen optie meer. Wacht niet op een klacht: genereer uw conforme documenten voor WordPress in minder dan 10 minuten.

AVG E-commerce 2026: 7 AP-Controle Fouten - AVG-basisprincipes

AVG E-commerce 2026: 7 AP-Controle Fouten

⏱ 9 min leestijd
AVG-basisprincipes E-commerce

De 7 meest voorkomende AVG-fouten in webshops die in 2026 een AP-controle uitlokken (cookies, US-overdrachten, verwerkers). Checklist + fixes.

Ler artigo →
Bedrijfswebsite en AVG: Bent U Conform? - AVG-basisprincipes

Bedrijfswebsite en AVG: Bent U Conform?

⏱ 9 min leestijd
AVG-basisprincipes Multi

83% van de bedrijfswebsites schendt de AVG. Controleer privacybeleid, cookies en contactformulieren in 10 minuten en vermijd boetes tot €20 miljoen.

Ler artigo →
AVG-Conformiteit E-commerce: Actieplan in 10 Stappen - AVG-basisprincipes

AVG-Conformiteit E-commerce: Actieplan in 10 Stappen

⏱ 10 min leestijd
AVG-basisprincipes E-commerce Multi

AVG-actieplan in 10 stappen voor uw e-commerce: van initiële audit tot volledige conformiteit. Praktische gids om uw webwinkel te beschermen.

Ler artigo →