InspectWP Logo
Best practice

WordPress GDPR-compliance-checklist

8 februari 2026 Bijgewerkt op 19 apr 2026

De Algemene Verordening Gegevensbescherming (GDPR) is van toepassing op elke website die toegankelijk is voor bezoekers uit de Europese Unie, ongeacht waar de site wordt gehost. Voor WordPress-eigenaren betekent dit goed letten op hoe uw site persoonsgegevens verzamelt, verwerkt en overdraagt. Deze checklist richt zich op de technische implementatieaspecten die u zelf kunt verifiëren en oplossen. Raadpleeg voor juridische vragen over gegevensverwerkingsovereenkomsten, rechtsgrondslagen en specifieke wettelijke vereisten een gekwalificeerde adviseur gegevensbescherming.

Externe diensten en grensoverschrijdende gegevensoverdracht beheren

Elke bron die wordt geladen vanaf een externe server verzendt minimaal het IP-adres van de bezoeker naar de exploitant van die server. Onder de GDPR wordt een IP-adres beschouwd als persoonsgegeven. Zonder een geldige rechtsgrondslag of uitdrukkelijke toestemming vormt het laden van externe bronnen een gegevensbeschermingsschending. Dit is met name problematisch bij in de VS gevestigde diensten, aangezien het EU-VS-gegevensoverdrachtskader een omstreden juridisch terrein blijft.

  • Host Google Fonts lokaal: Wanneer Google Fonts worden geladen vanaf fonts.googleapis.com, verzendt elke paginaweergave het IP-adres, browsergegevens en referrer-URL van de bezoeker naar de servers van Google. Duitse rechtbanken hebben deze praktijk illegaal verklaard zonder toestemming, met boetes vanaf 100 EUR per overtreding. Download de lettertypebestanden en serveer ze vanaf uw eigen server. Plug-ins zoals "OMGF" of "Local Google Fonts" automatiseren dit proces. Verifieer na het overschakelen dat er geen verzoeken aan fonts.googleapis.com of fonts.gstatic.com overblijven in het netwerktabblad van uw browser.
  • Schakel Gravatar uit of cache avatars lokaal: WordPress stuurt standaard MD5-hashes van e-mailadressen van reageerders naar de in de VS gevestigde servers van Gravatar. Zelfs de hash zelf kan als persoonsgegeven worden beschouwd (deze kan worden teruggedraaid voor bekende e-mailadressen). Schakel Gravatar uit in Instellingen > Reageren, of gebruik een plug-in die avatars lokaal cachet en ze pas één keer ophaalt met toestemming.
  • Self-host analytics of gebruik een op toestemming gebaseerde aanpak: Google Analytics draagt uitgebreide bezoekersgegevens over naar Amerikaanse servers, waaronder IP-adressen, browsegedrag en apparaatvingerafdrukken. Self-host een analytics-oplossing zoals Matomo (waarbij alle gegevens op uw server blijven) of implementeer Google Analytics achter een goed toestemmingsmechanisme dat alle tracking blokkeert totdat de bezoeker actief opt-in geeft. Server-side analyticstools zoals Plausible of Fathom zijn privacyvriendelijke alternatieven die zonder cookies werken.
  • Blokkeer Google Maps tot toestemming wordt gegeven: Google Maps-embeds laden meerdere trackingscripts en dragen bezoekersgegevens over naar Google. In plaats van de kaart direct in te sluiten, toon een statische afbeelding of een placeholder met een knop "Kaart laden". Laad de daadwerkelijke Google Maps-embed pas nadat de gebruiker klikt om toestemming te geven. Dezelfde aanpak geldt voor Google reCAPTCHA, dat ook gegevens overdraagt aan Google.
  • Audit het laden van alle externe bronnen: Naast de voor de hand liggende diensten, controleer op CDN-gehoste bibliotheken (jQuery van ajax.googleapis.com, Font Awesome van cdnjs.cloudflare.com), ingesloten YouTube- of Vimeo-video's, social media-widgets, chatbots en andere third-party scripts. Elk extern verzoek is een potentieel GDPR-probleem. Vervang CDN-gehoste bibliotheken waar mogelijk door lokaal gehoste kopieën.
  • Behandel ingesloten content met facade-patronen: Gebruik voor YouTube-video's, social media-embeds en vergelijkbare third-party content een twee-klik-oplossing. Toon eerst een thumbnail of placeholder met een privacymelding en laad de daadwerkelijke embed pas nadat de bezoeker klikt. Plug-ins zoals "Embed Privacy" handelen dit automatisch af voor veelvoorkomende diensten.

Cookietoestemming correct implementeren

De ePrivacy-richtlijn (vaak de "Cookierichtlijn" genoemd) vormt een aanvulling op de GDPR en vereist toestemming voordat niet-essentiële cookies worden geplaatst. Cookietoestemming goed regelen is een van de meest onderzochte aspecten van GDPR-compliance.

  • Installeer een goede consent management plug-in: Gebruik een speciaal consent management platform (CMP) zoals Complianz, Real Cookie Banner of Cookiebot. Deze plug-ins handelen de juridische complexiteit af van cookiecategorisatie, registratie van toestemming en scriptblokkering. Gratis oplossingen missen vaak belangrijke functies zoals consent-logging of automatische scriptdetectie.
  • Blokkeer niet-essentiële cookies en scripts vóór toestemming: Dit is de meest cruciale technische vereiste. Uw consent-plug-in moet daadwerkelijk voorkomen dat trackingcookies, analyticsscripts en marketingpixels worden geladen totdat de bezoeker toestemming geeft. Eenvoudigweg een banner tonen zonder scripts te blokkeren is niet conform. Test dit door uw site te openen in een incognitovenster, alle cookies te weigeren en te controleren of er nog third-party verzoeken in het netwerktabblad verschijnen.
  • Bied gedetailleerde cookiecategorieën aan: Bezoekers moeten kunnen kiezen tussen verschillende categorieën: Functioneel (noodzakelijk voor de werking van de site), Statistieken (analytics en prestatiemeting) en Marketing (advertenties en tracking). Een eenvoudige "Alles accepteren" zonder alternatieven is niet GDPR-conform.
  • Maak het weigeren van cookies even eenvoudig: De knop "Alles weigeren" of "Alleen essentieel accepteren" moet net zo prominent en gemakkelijk bereikbaar zijn als de knop "Alles accepteren". Het verbergen van de weigeroptie achter een link "Instellingen beheren", het gebruiken van een kleiner lettertype, of het vereisen van extra klikken is door meerdere Europese gegevensbeschermingsautoriteiten als niet-conform aangemerkt.
  • Maak het op elk moment intrekken van toestemming mogelijk: Bezoekers moeten hun cookievoorkeuren kunnen wijzigen na de eerste beslissing. Voeg een permanente link in uw footer toe (bijv. "Cookie-instellingen" of "Privacy-instellingen") die het toestemmingsdialoogvenster opnieuw opent. Dit is een wettelijke vereiste, niet optioneel.
  • Log en bewaar toestemmingsgegevens: In geval van een geschil of audit moet u kunnen aantonen dat toestemming is gegeven. Uw consent-plug-in moet een tijdgestempelde registratie van elke toestemmingsbeslissing opslaan, inclusief welke categorieën zijn geaccepteerd en de versie van het privacybeleid die op dat moment van kracht was.

WordPress-vereisten voor gegevensopslag en -verwerking

Naast cookies verwerkt WordPress persoonsgegevens op verschillende andere manieren die aandacht vereisen onder de GDPR.

  • Behandel reactieformuliergegevens correct: WordPress slaat de naam, het e-mailadres en de website-URL op van reageerders. Het plaatst ook cookies om deze informatie te onthouden voor terugkerende bezoekers. Schakel deze cookies uit in Instellingen > Reageren (vink "Toon cookies opt-in checkbox" uit), of vervang het standaardgedrag door een expliciet toestemmingsvinkje dat verwijst naar uw privacybeleid.
  • Voeg een privacy-toestemmingsvinkje toe aan alle formulieren: Elk formulier dat persoonsgegevens verzamelt (contactformulieren, nieuwsbriefaanmeldingen, registratieformulieren) heeft een vinkje nodig waarop de gebruiker uitdrukkelijk toestemming geeft voor de verwerking van zijn gegevens. Het vinkje mag niet vooraf zijn aangevinkt en het label moet verwijzen naar uw privacybeleid. De meeste formulier-plug-ins (Contact Form 7, WPForms, Gravity Forms) ondersteunen dit native.
  • Bekijk het gebruik van localStorage en sessionStorage: Deze browsermechanismen voor opslag kunnen voor tracking worden gebruikt, net zoals cookies. Audit welke gegevens uw plug-ins opslaan in localStorage en sessionStorage. Alle gegevens die een bezoeker kunnen identificeren of volgen, vallen onder de GDPR. U kunt dit controleren in de browser-developertools onder het tabblad "Application".
  • Beperk het bewaren van contactformuliergegevens: Bewaar formulierinzendingen niet voor onbepaalde tijd. Configureer uw formulier-plug-in om inzendingen automatisch te verwijderen na een gedefinieerde periode (bijv. 90 dagen). Als u de gegevens langer nodig hebt voor een specifiek doel, documenteer dat doel in uw privacybeleid.
  • Implementeer beleid voor gegevensbewaring: Volgens het opslagbeperkingsbeginsel van de GDPR mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Dit geldt voor gebruikersaccounts, reacties, ordergegevens (voor WooCommerce), logbestanden en analytics-gegevens. Definieer bewaarperioden voor elke gegevenscategorie en handhaaf deze, hetzij handmatig, hetzij met automatisering.
  • Ondersteun verzoeken van betrokkenen om inzage: De GDPR geeft individuen het recht om een kopie op te vragen van alle persoonsgegevens die u over hen bewaart, en het recht om deze te laten verwijderen. WordPress bevat een ingebouwde privacy-toolspagina (onder Tools > Persoonlijke gegevens exporteren en Tools > Persoonlijke gegevens wissen) die hierbij helpt, maar u zou het proces moeten testen en ervoor zorgen dat het gegevens van al uw plug-ins dekt.

Verplichte juridische pagina's voor GDPR-compliance

Bepaalde pagina's zijn wettelijk verplicht voor elke website die toegankelijk is in de EU. Ontbrekende of onvolledige juridische pagina's kunnen leiden tot waarschuwingen, boetes of sommatiebrieven.

  • Privacybeleid (overal in de EU verplicht): Moet alle gegevensverwerkingsactiviteiten in duidelijke, begrijpelijke taal beschrijven. Voeg toe welke gegevens u verzamelt, waarom u ze verzamelt, hoe lang u ze bewaart, met wie u ze deelt en welke rechten bezoekers hebben. WordPress biedt een privacybeleid-sjabloon onder Instellingen > Privacy dat de basis dekt, maar u moet dit aanpassen voor uw specifieke plug-ins en diensten.
  • Cookiebeleid (aanbevolen): Kan een aparte pagina zijn of een onderdeel binnen uw privacybeleid. Vermeld alle cookies die uw site plaatst, hun doel, duur en of ze first-party of third-party zijn. Uw consent management plug-in genereert deze lijst meestal automatisch.
  • Imprint / Juridische kennisgeving (verplicht in Duitsland en Oostenrijk): Moet de volledige juridische naam, postadres, e-mailadres en telefoonnummer van de site-exploitant bevatten. Voor bedrijven omvat dit het handelsregisternummer, btw-nummer en verantwoordelijke persoon. Dit is vereist op grond van de Duitse Telemediengesetz (TMG) en de Oostenrijkse E-Commerce-Gesetz (ECG), niet onder de GDPR, maar wordt evenzeer gehandhaafd.

Verifieer uw WordPress GDPR-compliance met InspectWP

De GDPR-sectie van InspectWP detecteert automatisch het gebruik van Gravatar, extern geladen Google Fonts, Google Analytics-tracking, Google Maps-embeds, Facebook pixel- en trackingscripts, en andere externe bronnen die bezoekersgegevens overdragen aan derden. Gebruik het als startpunt voor uw GDPR-audit. Plan regelmatige scans om nieuwe externe bronnen op te vangen die kunnen worden geïntroduceerd wanneer plug-ins worden bijgewerkt of nieuwe content wordt gepubliceerd.

Vorig artikel

WordPress-beveiligingschecklist

Volgend artikel

WordPress SEO-checklist

Gerelateerde artikelen

Een nieuwe WordPress-site lanceren — wat te controleren

Handleiding voor WordPress-prestatieoptimalisatie

WordPress SEO-checklist

Alle artikelen bekijken

Controleer nu uw WordPress-site

InspectWP analyseert uw WordPress-site op beveiligingsproblemen, SEO-problemen, GDPR-naleving en prestaties — gratis.

Analyseer uw site gratis