Website Privacy Project cloud cartoon
Algemeen
Laatste update 12 maart 2026

Maak de websites van je instelling AVG-compliant

Organisaties zijn verplicht om hun websites privacyvriendelijk in te richten. In dat kader voerde het Privacy Expertise Centrum een project uit dat instellingen concrete handvatten geeft om zelf aan de slag te gaan om hun websites AVG-compliant te krijgen.

Verandering is moeilijk

Nu is de ene organisatie de andere niet, maar ervaring leert dat verandering op dit vlak een gevoelig onderwerp is in organisaties. Dat maakt het voor privacyteams lastig om concrete verbeteringen doorgevoerd te krijgen. Het is niet iets waar je als organisatie op zit te wachten, maar wel iets wat aandacht vraagt. Bovendien doet de Autoriteit Persoonsgegevens (AP) hier proactief onderzoek naar. Zo moest een onderwijsinstelling in een zeer kort tijdsbestek àlle domeinen die in gebruik waren, AVG-compliant maken. Dat had op een onverwacht moment veel voeten in aarde. Dit kun je als organisatie beter voor. De uitkomsten van dit project helpen om ermee aan de slag te gaan.

Waarom dit project

Er waren verschillende redenen om dit project uit voeren:

  • de noodzaak om compliant zijn met de Europese wet- en regelgeving
  • de noodzaak om dit projectmatig aan te pakken:
    • de Autoriteit Persoonsgegevens heeft een actieve werkwijze
    • het is veel werk en het vraagt om een projectmatige aanpak
  • de behoefte om minder afhankelijk te worden van bigtech, maar dan wel met oplossingen die voldoende functionaliteit bieden
  • organisaties niet altijd precies weten wat de organisatie qua cookies en analytics nodig heeft (wat doe je en waarom)
  • om een veilige werk- en leeromgeving te bieden voor medewerkers en studenten.

Instellingen op weg geholpen met websitescan

Om in instellingen op weg te helpen ontvingen privacy officers van onderwijs-, onderzoeks- en zorginstellingen een rapport met informatie van SURF over welke verbeteringen nodig kunnen zijn. In een eenvoudige (beperkte) scan van de site is gekeken naar de praktijkimplementatie van cookies, captcha en analytics qua privacyvriendelijkheid. Ook zijn eisen gedeeld waaraan websites moeten voldoen. Daarnaast ontvingen zij ter inspiratie ervaringen van onderwijsinstellingen die dit traject al hebben doorlopen.

Is jouw organisatie lid van SURF maar heb je geen bericht ontvangen? Stuur dan een mail naar pec@surf.nl om de informatie te ontvangen.

Hoe verder: gebruik de VM

Met de informatie die instellingen hebben ontvangen kunnen zij zelf aan de slag. Instellingen hebben meer domeinen/websites dan die voor dit project zijn gescand. Daarom stelt SURF een Virtual Machine (geconfigureerde VM-software)* beschikbaar waarmee men zelf geautomatiseerd inzicht krijgt of er actie nodig is om de websites compliant te krijgen.

Resultaten: cookies, het kan beter

Uit de scans die gedraaid zijn blijkt dat 147 van de ruim 150 organisaties cookies gebruiken. De conclusie is dat het nog beter kan, specifiek op het gebied van toestemming bij cookies. Het is van belang dat je als organisatie weet dat je bepaalde cookies nodig hebt en waarvoor je ze gebruikt. Deze duiding kan een organisatie alleen zelf doen, maar de scan helpt je op weg. Overigens zijn er ook instellingen die helemaal geen cookies plaatsen. De belangrijkste uitkomsten zijn:

  • Er worden soms al (consent)cookies geplaatst vóórdat er toestemming is gegeven.
  • Soms wordt er niet om toestemming gevraagd voor het plaatsen van cookies waar dat wel nodig is. Dat geldt voor 1 op de 3 geplaatste cookies.
  • 37% van die cookies leiden naar de BigTech-partijen zoals Google, YouTube, TikTok, Meta, Snapchat, HotJar, LinkedIn, BlueConic, Snapchat, die bekend staan om hun tracking en profiling.
  • Als je persoonsgegevens verwerkt voor analytics, is daarvoor toestemming nodig. Ook die toestemming wordt niet altijd gevraagd.

Goed websitebeleid essentieel

Het is essentieel om goed websitebeleid binnen de organisatie vast te stellen: hoe registreer je domeinen, hoe ga je om met cookies, etc. . En: na een compliancetraject is het werk niet af; dit heeft doorlopend aandacht nodig. Een eenduidige aanpak is nodig om grip te houden op wat je als organisatie doet met de websites. Dat kan alleen met heldere afspraken.

Ga nu aan de slag

Het PEC adviseert organisaties met nadruk de eigen situatie in kaart te brengen, te zorgen voor heldere afspraken en een verbetertraject te starten. Dat voorkomt dat je straks voor nare verrassingen komt te staan waarvan de oplossing veel tijd en geld kost op een moment waar je zelf geen regie over hebt.

* Ontwikkeld in samenwerking met met Burobjorn (beschikbaar voor eventuele vragen).

Gerelateerde artikelen

Handreiking persoonsgegevens in onderzoek

De handreiking ‘Persoonsgegevens in onderzoek’ is speciaal bedoeld om onderzoekers in het hoger onderwijs te helpen op een veilige manier om te gaan met persoonsgegevens in hun onderzoek.

Geüpdatet op
Laatste update 12 maart 2026

Algemeen

persoonsgegevens in onderzoek flowchart analyseren

DPIA-workshop risico's

Maak je DPIA-aanpak sterker tijdens deze interactieve workshop waar de nadruk ligt op privacyrisico's en risicomodellen.

Geüpdatet op
Laatste update 10 maart 2026

Algemeen

training meeting DPIA-workshop risico's Masterclass Privacy