AVG- & cookie-compliance voor Joomla-websites in Europa

De Algemene verordening gegevensbescherming is niet vrijblijvend voor wie ook maar één Europese bezoeker bedient. Toch schieten de meeste Joomla-websites tekort als het op echte naleving aankomt: ze leunen op een simpele cookiebanner en negeren het vastleggen van toestemming, de cookieclassificatie, de rechten van betrokkenen en de technische maatregelen die de verordening daadwerkelijk eist.

Een gratis cookieplugin installeren is geen AVG-compliance. Het is het begin van compliance, en vaak nog een gebrekkig begin ook. Echte naleving vraagt om het blokkeren van cookies vóór toestemming, granulaire toestemmingscategorieën, een toestemmingsregister, integratie van Google Consent Mode v2, een volwaardig privacybeleid, het afhandelen van inzageverzoeken van betrokkenen, en doorlopende monitoring naarmate uw website en het regelgevingslandschap veranderen.

Wij implementeren en monitoren AVG-compliance specifiek voor Joomla-websites, zodat uw site aan zijn wettelijke verplichtingen voldoet in alle EU-lidstaten.

Vraag een gratis AVG-check aan →

AVG en ePrivacy: twee wetten, één website

Website-eigenaren hebben het vaak over "AVG-cookies", maar cookietoestemming bevindt zich eigenlijk op het snijvlak van twee afzonderlijke Europese wetten. Het onderscheid begrijpen is belangrijk, want elk legt uw Joomla-site andere verplichtingen op.

De ePrivacyrichtlijn (in elke lidstaat omgezet in nationale wetgeving) regelt het opslaan of uitlezen van informatie op het apparaat van een bezoeker. Dit is de wet die toestemming vereist vóór het plaatsen van niet-essentiële cookies, ongeacht of die cookies persoonsgegevens bevatten. Ze geldt evengoed voor cookies, localStorage, fingerprintingtechnieken en trackingpixels.

De AVG regelt wat er met persoonsgegevens gebeurt zodra ze zijn verzameld: de rechtsgrond voor de verwerking, hoe lang u ze bewaart, met wie u ze deelt, hoe u ze beveiligt, en de rechten van de mensen aan wie ze toebehoren. Zodra een cookie, formulier of analyticsscript iets verwerkt dat een persoon kan identificeren (zoals een IP-adres of een unieke identificator), geldt de AVG bovenop de ePrivacyregels.

Een conforme Joomla-website moet daarom beide lagen afdekken: toestemming vóór opslag (ePrivacy) en rechtmatige, transparante, gedocumenteerde verwerking daarna (AVG). Een cookiebanner alleen dekt in het gunstigste geval de helft van die eerste laag.

Wat AVG-compliance werkelijk vereist

Cookietoestemming die echt werkt

Onder de AVG en de ePrivacyrichtlijn moet uw website niet-essentiële cookies blokkeren, waaronder analytics-, marketing- en cookies van derden, totdat de bezoeker uitdrukkelijk toestemming geeft. Veel cookiebanners op Joomla-sites zakken al voor deze basistest: ze tonen een melding maar voorkomen niet daadwerkelijk dat er cookies worden geplaatst. Dat is geen toestemming, maar kennisgeving, en daarmee wordt niet aan de wettelijke eis voldaan.

Wij implementeren oplossingen voor cookietoestemming die cookies en trackingscripts echt blokkeren voordat toestemming is gegeven, cookies indelen in duidelijk omschreven categorieën (noodzakelijk, functioneel, analytics, marketing), bezoekers met evenveel gemak afzonderlijke categorieën laten accepteren of weigeren, en bronnen vrijgeven zonder een volledige paginavernieuwing zodra toestemming is gegeven.

Even belangrijk: weigeren moet net zo eenvoudig zijn als accepteren. Toezichthouders in de hele EU hebben duidelijk gemaakt dat banners met een prominente knop "Alles accepteren" en een "Weigeren"-optie weggestopt achter een instellingenlink geen geldige toestemming opleveren. Toestemming die via designtrucs wordt verkregen, is helemaal geen toestemming.

Google Consent Mode v2

Google verplicht websites die Google Ads of Google Analytics gebruiken om Consent Mode v2 te implementeren. Dit raamwerk geeft de toestemmingsstatus van uw bezoekers door aan Google-diensten en past de gegevensverzameling daarop aan. Zonder een correcte implementatie van Consent Mode v2 kunnen uw conversiemeting in Google Ads en uw Analytics-data ernstig worden geraakt, en stoppen doelgroepfuncties voor EER-verkeer volledig met werken.

Wij configureren Consent Mode v2 als onderdeel van elke AVG-implementatie, zodat uw Google-diensten correct functioneren binnen het toestemmingsraamwerk: de toestemmingssignalen vuren voordat de Google-tags laden, de standaardstatus is "geweigerd" voor EER-bezoekers, en wijzigingen worden correct doorgegeven wanneer een bezoeker zijn voorkeuren aanpast.

Een rechtsgrond voor elke verwerking

Elk persoonsgegeven dat uw website verwerkt, heeft een gedocumenteerde rechtsgrond nodig onder artikel 6: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, taak van algemeen belang of gerechtvaardigd belang. In de praktijk betekent dat voor de meeste zakelijke Joomla-websites: toestemming voor analytics- en marketingcookies, overeenkomst of gerechtvaardigd belang voor contactformulieren en accountregistratie, en wettelijke verplichting voor facturatiegegevens.

"Daar hebben we nooit bij stilgestaan" is de rechtsgrond die we tijdens audits het vaakst tegenkomen, en die staat niet tussen de zes. Onderdeel van onze implementatie is een eenvoudig verwerkingsoverzicht: welke gegevens de site verzamelt, waar, waarom, op welke grond en hoe lang. Voor de meeste mkb-bedrijven vormt dit meteen de kern van het verwerkingsregister uit artikel 30.

Toestemmingsregister

De AVG vereist dat u kunt aantonen dat toestemming is gegeven. Dat betekent een logboek bijhouden van wanneer elke bezoeker toestemming gaf, waarvoor, en welke versie van uw toestemmingstekst en privacybeleid op dat moment van kracht was. Vraagt een toezichthouder om bewijs van toestemming, dan moet u dat kunnen overleggen. Een banner zonder toestemmingslog laat u net het enige niet bewijzen wat de verordening van u vraagt.

Privacybeleid

Uw privacybeleid moet nauwkeurig beschrijven welke soorten persoonsgegevens uw website verzamelt, op welke rechtsgrond ze worden verwerkt, hoe lang gegevens worden bewaard, met wie ze worden gedeeld (inclusief verwerkers zoals uw hostingprovider, e-maildienst en analyticsleverancier), of gegevens de EU verlaten, en hoe betrokkenen hun rechten kunnen uitoefenen. Een generiek sjabloon volstaat niet: uw privacybeleid moet uw specifieke verwerkingen weerspiegelen en moet worden bijgewerkt zodra die veranderen.

Inzageverzoeken van betrokkenen

Onder de AVG hebben betrokkenen het recht om inzage in hun persoonsgegevens te vragen, om verwijdering te verzoeken (het "recht op vergetelheid"), en om rectificatie of overdraagbaarheid te vragen. U heeft doorgaans één maand om te reageren. Uw Joomla-website heeft mechanismen nodig om deze verzoeken af te handelen. Joomla 5 en 6 bevatten kernfuncties voor privacy die dit ondersteunen, maar die moeten goed worden geconfigureerd en hebben mogelijk uitbreiding nodig voor uw specifieke opzet, vooral wanneer componenten van derden gebruikersgegevens in hun eigen tabellen opslaan.

Voorbereiding op datalekmeldingen

Wordt er persoonsgegevens op uw website gelekt, door een hack, een uitgelekte database of een verkeerd geconfigureerd formulier, dan geeft artikel 33 u 72 uur om uw toezichthouder te informeren nadat u ervan op de hoogte raakt, tenzij het lek waarschijnlijk geen risico inhoudt voor de betrokkenen. Tweeënzeventig uur is bijzonder weinig tijd als u geen plan heeft, geen logs en geen idee welke gegevens de site bevatte. Compliance houdt in dat u klaar bent voor de slechte dag: weten wat u opslaat, logs bijhouden waarmee u kunt reconstrueren wat er is gebeurd, en een contactlijn naar deskundige hulp. (Leest u dit omdat de slechte dag al is aangebroken, dan omvat onze noodherstelservice voor gehackte sites ook een lekbeoordeling en documentatieondersteuning.)

Waar Joomla-websites in de praktijk persoonsgegevens verzamelen

Tijdens audits zijn site-eigenaren steevast verrast door het aantal plekken waar hun "eenvoudige brochuresite" persoonsgegevens verwerkt. De gebruikelijke verdachten op een Joomla-website:

  • Contact- en offerteformulieren — namen, e-mailadressen, telefoonnummers, vaak vrije tekstvelden waarin bezoekers veel meer prijsgeven. Waar gaan de inzendingen naartoe, wie ontvangt ze, en hoe lang blijven ze in de database en in mailboxen staan?
  • Gebruikersregistratie en inloggen — accounts, profielen en wachtwoordgegevens, plus alles wat community- of lidmaatschapsextensies van derden daar bovenop toevoegen.
  • Nieuwsbriefaanmeldingen — meestal gesynchroniseerd met een extern e-mailplatform, waardoor dat platform een verwerker wordt die in uw privacybeleid en onder een verwerkersovereenkomst thuishoort.
  • Analytics en tagmanagers — Google Analytics, Matomo, heatmaptools, conversiepixels. IP-adressen en online identificatoren zijn persoonsgegevens.
  • Ingesloten content van derden — YouTube-video's, Google Maps, social-mediawidgets en extern gehoste fonts kunnen IP-adressen van bezoekers naar derden sturen op het moment dat de pagina laadt, nog voordat er toestemming is gegeven. Elke embed heeft of consent-gating nodig of een privacyvriendelijk alternatief (lokale fonts, click-to-load-videofacades).
  • Serverlogs en beveiligingsextensies — toegangslogs, mislukte-loginpogingen en firewalllogs bevatten allemaal IP-adressen. Ze mogen legitiem worden bewaard, maar ze hebben een bewaartermijn nodig en een vermelding in uw beleid.
  • E-commerce en betalingen — orderdata, adressen en integraties met betaaldienstverleners brengen extra verplichtingen en contracten met zich mee.

Joomla zelf wordt geleverd met handige bouwstenen: het privacycomponent (com_privacy) voor het afhandelen van inzage- en wisverzoeken, de gebruikersactielog, en toestemmingsvelden bij registratie. Deze kernfuncties zijn een echt voordeel ten opzichte van veel andere platforms, maar ze dekken de Joomla-kern, niet de extensies van derden waar de meeste praktijkverwerking plaatsvindt. Onze implementatie brengt elke extensie op uw site in kaart die persoonsgegevens raakt en zorgt dat elk daarvan ofwel is afgedekt, consent-gated, ofwel verwijderd.

Waarom gratis plugins niet volstaan

Gratis Joomla-plugins voor cookietoestemming dekken de zichtbare laag: de banner die bezoekers zien. Doorgaans bieden ze geen toereikende cookieclassificatie en -blokkering, geen toestemmingslogging als bewijs voor toezichthouders, geen Consent Mode v2-integratie, geen op geolocatie gebaseerde toestemmingsregels (in verschillende EU-landen gelden verschillende eisen), geen doorlopende monitoring naarmate uw site verandert, en geen updates wanneer de regelgeving evolueert.

Compliance is geen eenmalige installatie. Het is een doorlopend proces. Uw website verandert: er komen nieuwe extensies bij, scripts van derden worden ingesloten, formulieren worden aangemaakt. Elke wijziging kan nieuwe verwerkingen introduceren die in uw toestemmingsmechanisme en privacybeleid moeten worden weerspiegeld. Een banner die in 2023 één keer is ingesteld en nooit meer is herzien, loopt vrijwel zeker niet meer synchroon met wat de site vandaag werkelijk doet.

Hosting, gegevensdoorgifte en waarom de serverlocatie ertoe doet

De AVG beperkt de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte. Sinds het Schrems II-arrest het oude Privacy Shield-kader ongeldig verklaarde, vereist doorgifte naar Amerikaanse aanbieders aanvullende waarborgen, en de juridische grondslag is met elk opvolgend kader en elke nieuwe uitspraak blijven schuiven. Voor een zakelijke website is de eenvoudigste manier om dit hele probleem van tafel te halen: de gegevens van meet af aan in Europa houden.

Dat is een van de redenen waarom onze beheerde Joomla-hosting uitsluitend op Europese servers draait, onder EU-jurisdictie, met back-ups binnen de EU. Uw bezoekersgegevens, formulierinzendingen en toestemmingslogs blijven binnen de EER. Bevat uw stack toch verwerkers buiten de EU, bijvoorbeeld een Amerikaans e-mailplatform, dan zorgen wij dat het doorgiftemechanisme en de vermelding in het privacybeleid op orde zijn.

Onze AVG-diensten

Initiële implementatie

Wij auditen de huidige verwerkingen van uw Joomla-website, implementeren een volwaardig consent management platform, configureren cookieclassificatie en -blokkering, zetten Google Consent Mode v2 op, stellen uw privacybeleid en cookiebeleid op of herzien ze, configureren de afhandeling van betrokkenenverzoeken via de privacyfuncties van Joomla, bouwen uw verwerkingsoverzicht, en testen de complete implementatie op alle browsers en apparaten, inclusief de controle dat er niets vuurt voordat er toestemming is gegeven.

Doorlopende monitoring

Wij monitoren uw website op nieuwe cookies of trackingscripts die door extensie-updates of contentwijzigingen worden geïntroduceerd, controleren of de toestemmingsmechanismen correct blijven werken, werken de toestemmingsconfiguratie bij wanneer er nieuwe extensies worden geïnstalleerd, herzien en actualiseren de tekst van het privacybeleid wanneer uw verwerkingen veranderen, geven advies wanneer de regelgeving evolueert, en onderhouden het toestemmingsregister.

Doorlopende monitoring is beschikbaar als losse dienst of als onderdeel van onze Professional- en Enterprise-onderhoudsplannen.

Wat u ontvangt

Elke implementatie eindigt met documentatie die u daadwerkelijk kunt overhandigen aan een toezichthouder, een klant of uw eigen jurist: het verwerkingsoverzicht, de toestemmingsconfiguratie met de onderbouwing ervan, de cookieclassificatietabel en de beleidsdocumenten. Compliance die u niet kunt aantonen, is compliance die u niet heeft.

Landspecifieke eisen

Hoewel de AVG het EU-brede kader biedt, hebben afzonderlijke lidstaten en hun toezichthouders aanvullende eisen en handhavingsprioriteiten ontwikkeld die bepalen hoe toestemming moet worden verkregen en aangetoond. Een paar voorbeelden:

  • Duitsland: De TTDSG (inmiddels TDDDG) zet de ePrivacyregels om in nationale wetgeving, en de Duitse rechtspraak, waaronder het Planet49-arrest van het Bundesgerichtshof, eist een uitdrukkelijke opt-in zonder voraangevinkte vakjes. De Duitse uitleg van cookietoestemming behoort tot de strengste in de EU, en Duitse concurrenten en consumentenorganisaties kunnen formele waarschuwingen (Abmahnungen) uitsturen over niet-conforme sites.
  • Frankrijk: De CNIL hanteert gedetailleerde richtlijnen voor cookiebanners, waaronder de eis dat het weigeren van cookies net zo eenvoudig moet zijn als het accepteren ervan, en heeft dat kracht bijgezet met enkele van de hoogste cookieboetes in Europa.
  • Italië: De Garante per la protezione dei dati personali vereist specifieke formats voor cookie-informatie en heeft eigen richtsnoeren uitgebracht over analyticstools en toestemming.
  • Spanje: De AEPD is qua aantal besluiten een van de meest actieve toezichthouders in de EU, met regelmatig geactualiseerde cookierichtlijnen.
  • Nederland: De Autoriteit Persoonsgegevens richt zich actief op de naleving van cookietoestemming en heeft publiekelijk steekproefonderzoeken naar cookiebanners aangekondigd.
  • Ierland: De DPC is leidende toezichthouder voor veel mondiale techplatforms, en haar besluiten bepalen mede hoe de regels rond toestemming en transparantie voor alle anderen worden uitgelegd.

Wij configureren toestemmingsimplementaties die voldoen aan de eisen van de specifieke EU-landen waarop uw website zich richt. Onze EU-compliancegids gaat dieper in op de landspecifieke eisen.

Wat het kost als het misgaat

De AVG kent twee categorieën administratieve boetes: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor inbreuken zoals gebrekkige documentatie of beveiligingsmaatregelen, en tot 20 miljoen euro of 4% van de omzet voor schendingen van de kernbeginselen van verwerking, de toestemmingsregels en de rechten van betrokkenen, telkens het hoogste van de twee bedragen.

Geruchtmakende handhaving heeft de honderden miljoenen euro's bereikt tegen grote platforms, en specifiek cookietoestemming heeft boetes van acht en negen cijfers opgeleverd van de Franse CNIL tegen de grootste techbedrijven. Het mkb wordt niet op die schaal beboet, maar wordt elke maand wel beboet, gewaarschuwd en tot aanpassing gedwongen door toezichthouders in de hele EU, en in diverse lidstaten is een niet-conforme cookiebanner genoeg om een concurrentenklacht uit te lokken of, in Duitsland, een formele sommatiebrief met bijkomende juridische kosten.

De commerciële kosten arriveren eerder dan de regelgevende: zakelijke klanten controleren de websites van leveranciers steeds vaker vóór ondertekening, aanbestedingen in de publieke sector vereisen aantoonbare naleving, en privacybewuste bezoekers haken simpelweg af. Een zichtbaar haperende toestemmingservaring straalt slordigheid uit naar precies de klanten die u het minst wilt verliezen.

Een praktisch stappenplan voor compliance

Wilt u weten hoe het werk er in de praktijk uitziet, dan is dit de volgorde die wij bij elk Joomla-AVG-project aanhouden:

  1. Inventariseren — de site crawlen en auditen: elke cookie, elk script, elk formulier, elke extensie en elke verbinding met derden die persoonsgegevens raakt.
  2. Beslissen — voor elke verwerking: behouden (en op welke rechtsgrond), achter toestemming plaatsen, vervangen door een privacyvriendelijk alternatief, of verwijderen.
  3. Toestemming implementeren — het consentplatform uitrollen, cookies classificeren, alles wat niet-essentieel is blokkeren vóór toestemming, Consent Mode v2 integreren, en de toestemmingslog koppelen.
  4. Documenteren — privacybeleid, cookiebeleid, verwerkingsregisters en verwerkersovereenkomsten in lijn met de werkelijkheid brengen.
  5. Rechtenafhandeling inrichten — de privacyverzoekenworkflow van Joomla configureren zodat inzage- en wisverzoeken binnen de termijn kunnen worden beantwoord.
  6. Testen — met schone browserprofielen verifiëren dat er niets vuurt vóór toestemming, dat weigeren ook echt weigert, en dat voorkeuren correct bewaard blijven.
  7. Monitoren — periodiek opnieuw scannen, en na elke extensie- of contentwijziging die nieuwe verwerking kan introduceren.

Stap één tot en met zes vormen het implementatieproject. Stap zeven is de reden waarom compliance thuishoort binnen een onderhoudsrelatie in plaats van op een eenmalige factuur.

Veelgehoorde mythes tijdens audits

"We hebben een cookiebanner, dus we zijn conform." De banner is de zichtbare 10%. Of scripts daadwerkelijk worden geblokkeerd vóór toestemming, of toestemming wordt vastgelegd, of het beleid klopt met de werkelijkheid, en of rechtenverzoeken kunnen worden beantwoord: dat is de andere 90%, en daar lopen audits stuk.

"We zijn te klein om interessant te zijn." Handhaving tegen kleine bedrijven is reëel en begint meestal met een klacht, van een bezoeker, een oud-medewerker of een concurrent. Vooral in Duitsland gebruiken concurrenten niet-conforme websites actief als grond voor formele waarschuwingen. Kleine bedrijven zijn bovendien het minst toegerust om de juridische kosten op te vangen wanneer het zover komt.

"Ons webbureau heeft dat geregeld toen ze de site bouwden." Misschien, voor de site zoals die er op de lanceringsdag uitzag. Elke extensie die sindsdien is geïnstalleerd, elk script dat is ingesloten en elk formulier dat is toegevoegd, heeft het verwerkingsbeeld veranderd. Compliance verloopt; daarom bestaat monitoring.

"De AVG is een zaak van de browser van de bezoeker, die kan cookies toch gewoon blokkeren." De wettelijke verplichting ligt bij de exploitant van de website, punt. Wat bezoekers in theorie zouden kunnen doen om zichzelf te beschermen, doet niets af aan wat u verplicht bent te doen.

"We richten ons alleen op klanten in eigen land, dus de regels van andere landen gelden niet." De AVG geldt uniform in de hele EER, en uw toestemmingsimplementatie moet voldoen aan de toezichthouder van het land waar u bent gevestigd, plus, in de praktijk, aan de verwachtingen van elke lidstaat waar u zichtbaar op de markt actief bent. Een site in drie talen doet een uitspraak over op wie hij zich richt.

Veelgestelde vragen

Heb ik AVG-compliance nodig als mijn bedrijf buiten de EU zit?

Is uw website toegankelijk voor EU-inwoners en biedt u hun goederen of diensten aan, of monitort u hun gedrag (bijvoorbeeld via analytics), dan geldt de AVG voor u, ongeacht waar uw bedrijf is gevestigd.

Wat zijn de sancties bij niet-naleving?

De AVG voorziet in boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, het hoogste van de twee, voor de zwaarste inbreuken, met een lagere categorie van 10 miljoen euro of 2% voor de overige. In de praktijk variëren boetes voor schendingen van cookietoestemming van duizenden tot honderden miljoenen euro's, afhankelijk van de omvang van de organisatie, de ernst en de handhavingsaanpak van de lidstaat.

Hoe lang duurt een AVG-implementatie?

De initiële implementatie voor een standaard Joomla-website neemt doorgaans één tot twee weken in beslag, inclusief audit, configuratie, beleidsopstelling en testen. Complexe sites met meerdere formulieren, integraties met derden en gebruikersregistratie kunnen extra tijd vergen.

Kan ik analytics gebruiken zonder cookiebanner?

Soms. Privacygerichte analytics, geconfigureerd om zonder cookies en zonder het verwerken van identificeerbare gegevens te werken, kan in diverse lidstaten zonder toestemmingsbanner draaien, al verschillen de nationale richtsnoeren. Voor veel mkb-sites is overstappen op cookieloze analytics de eenvoudigste weg naar een eerlijke, bannerarme website. Wij adviseren of die route past bij uw landenmix en rapportagebehoeften.

Heeft een kleine website dit echt allemaal nodig?

De verplichtingen schalen mee met uw verwerking, niet met uw omzet. Een site van vijf pagina's met één contactformulier en geen analytics heeft heel weinig nodig: een kloppend beleid, een veilig formulier, en geen scripts van derden die laden vóór toestemming. De audit vertelt u in welke categorie u valt; veel kleine sites ontdekken dat ze minder nodig hebben dan ze vreesden, maar op andere plekken dan ze aannamen.

Kunt u mijn Joomla 3-site AVG-conform maken?

We kunnen de AVG-compliance op Joomla 3 verbeteren, maar echte naleving op een niet-ondersteund, niet-gepatcht platform is fundamenteel ondermijnd. Software draaien zonder beveiligingsupdates is moeilijk te verdedigen als "passende technische maatregel" onder artikel 32. We raden aan eerst te upgraden naar Joomla 5 of Joomla 6 en daarna AVG-compliance op het veilige, ondersteunde platform te implementeren.

Hoe vaak moet compliance worden herzien?

Telkens wanneer de website verandert op een manier die de gegevensverwerking raakt, zoals een nieuw formulier, een nieuwe extensie of een ingesloten dienst, en verder minstens jaarlijks, omdat de richtsnoeren van toezichthouders en de eisen van platforms als Google voortdurend evolueren. Dit is precies waar onze doorlopende monitoring voor zorgt.

Begin met een AVG-check

Onze gratis site-audit omvat een AVG-compliancebeoordeling: we controleren uw huidige cookieafhandeling, toestemmingsmechanisme, privacybeleid en indicatoren voor gegevensverwerking. U ontvangt een helder rapport dat laat zien waar uw Joomla-site staat en wat er moet veranderen.

Vraag uw gratis AVG-check aan →

Misschien ook interessant voor u