Je site is met AI gebouwd. En de privacy dan?

Steeds meer ondernemers laten hun site door een AI-tool bouwen, of doen het zelf met een paar prompts. Een middagje schaven en er staat iets dat er prima uitziet. Daar is niks mis mee.

Alleen vertellen die tools je één ding niet, omdat ze het zelf niet doorhebben: hoe de privacy- en cookieregels in Nederland werken. De AI doet precies wat je vraagt. Vraag je om een mooie site met een contactformulier en een YouTube-video, dan krijg je dat ook, inclusief alle juridische haken die eraan vastzitten. En daar gaat het bijna altijd mis.

Ik ben developer, geen jurist. Maar ik zie dit wekelijks langskomen en het is elke keer hetzelfde rijtje.

Het zijn twee wetten, niet één

Privacy voelt als één onderwerp, maar er zitten twee aparte wetten achter die elkaar deels overlappen.

De AVG (de Europese privacywet) gaat over persoonsgegevens. Op het moment dat iemand zijn naam en mailadres in je contactformulier zet, verwerk je die gegevens, en dan moet je in een privacyverklaring uitleggen wat je ermee doet.

De cookiewet (bij ons de Telecommunicatiewet, gebaseerd op de Europese ePrivacy-richtlijn) gaat over iets heel anders: het opslaan of uitlezen van informatie op het apparaat van je bezoeker. Denk aan cookies, maar net zo goed aan trackingpixels en scripts van andere partijen. Alles wat niet strikt noodzakelijk is, mag pas nadat je bezoeker toestemming heeft gegeven.

Een AI-tool kent dat verschil niet. Die plakt een banner met een knop op je site en gaat ervan uit dat het daarmee geregeld is. Maar zet die knop ook echt iets uit? Negen van de tien keer niet.

De fouten die ik het vaakst tegenkom

Er ontbreekt een privacyverklaring. Of er staat een gegenereerde lap tekst die over een verzonnen bedrijf gaat, soms met [Bedrijfsnaam] er nog letterlijk in. Heb je een contactformulier, een nieuwsbrief of alleen al Google Analytics, dan ben je verplicht een privacyverklaring te hebben die klopt.

De cookietekst klopt niet met de site. De banner meldt "wij gebruiken alleen functionele cookies", terwijl op de achtergrond de Meta Pixel, Google Analytics en een YouTube-embed meedraaien die wél volgen. Wat er staat en wat er gebeurt hebben niks met elkaar te maken. Juist daar kijkt de toezichthouder naar.

Cookies worden geplaatst voordat iemand toestemming geeft. Dit is de grootste. De meeste AI-sites laden hun scripts meteen bij het openen van de pagina. De banner komt netjes in beeld, maar de tracking loopt op dat moment al. Klik je op weigeren, dan verandert er technisch niks. En dat is precies wat niet mag: niet-noodzakelijke cookies horen er pas in te komen ná een actieve "ja".

Weigeren is moeilijker gemaakt dan accepteren. Een grote gele "Accepteer alles", en wie wil weigeren moet drie schermen diep de instellingen in graven. Sinds de regels zijn aangescherpt moet weigeren even makkelijk zijn als accepteren: hetzelfde scherm, dezelfde knop, één klik. Veel kant-en-klare banners zijn daar bewust omheen gebouwd.

Embeds lekken stilletjes gegevens. Een YouTube-video, een Google Maps-kaart of lettertypes die je site rechtstreeks bij Google ophaalt, sturen het IP-adres van je bezoeker naar een externe partij zodra de pagina laadt. Er hoeft niemand iets voor aan te klikken. AI-tools zetten dit soort embeds standaard neer, want ze staan nu eenmaal mooi.

Waarom dit zonder technische kennis echt link is

Dat AI deze fouten maakt is tot daaraan toe. Het probleem is dat je ze zelf niet ziet.

Iemand die het vak kent opent de ontwikkelaarstools van de browser, kijkt onder Application → Cookies en Network, en ziet binnen tien seconden welke cookies er al staan voordat er iets is aangeklikt. Heb je die kennis niet, dan zie je alleen de buitenkant: een keurige site met een nette banner. Op het oog klopt alles.

En dat is verraderlijk. De AI levert iets op dat er correct uitziet, jij kunt niet nagaan of het dat ook is, en die banner geeft je een vals gevoel van veiligheid. Je denkt dat het geregeld is, terwijl je site bij iedere bezoeker overtredingen opstapelt. Eigenlijk ben je slechter af dan met helemaal geen banner, want dan weet je tenminste dat er nog iets moet gebeuren.

De saaiste verplichting, die bijna iedereen overslaat

Naast privacy en cookies is er nog een derde hoek waar AI-tools langslopen: je wettelijk verplichte bedrijfsgegevens. Elke commerciële website in Nederland moet die "gemakkelijk, rechtstreeks en permanent toegankelijk" maken. Dat staat in artikel 3:15d BW en de Handelsregisterwet. In de praktijk betekent het: gewoon in je footer, op elke pagina zichtbaar.

Concreet gaat het om je bedrijfs- of handelsnaam, je vestigingsadres (een echt adres, niet alleen "Amsterdam"), je contactgegevens met minstens een e-mailadres en het liefst een telefoonnummer, je KvK-nummer en je btw-identificatienummer.

Het is bureaucratie, maar wel verplichte bureaucratie, en de ACM handhaaft erop, los van de privacytoezichthouder. Een AI-gegenereerde site zet hier zelden iets van neer, simpelweg omdat jij die nummers nooit in een prompt hebt getypt. Vijf minuten werk, en je komt er meteen betrouwbaarder mee over bij klanten.

"Ja maar, wie controleert dat?"

Tot een tijdje terug kon je daar nog op gokken, maar die tijd is geweest.

De Autoriteit Persoonsgegevens begon in april 2025 een grote actie, nadat er honderden klachten waren binnengekomen over misleidende cookiebanners. Inmiddels hebben ruim 200 organisaties een waarschuwingsbrief gehad, zijn er formele onderzoeken gestart tegen wie niet reageerde, en zijn er boetes uitgedeeld die opliepen tot 750.000 euro, onder meer bij Kruidvat en Coolblue. In theorie kan zo'n boete oplopen tot 20 miljoen euro of 4% van je jaaromzet.

Het blijft ook niet bij die ene actie. De AP heeft er vanaf 2026 een vast jaarbudget voor en scant met een geautomatiseerde crawler zo'n 10.000 Nederlandse sites per jaar. De grote namen zijn als eerste aan de beurt, maar er wordt inmiddels gewoon structureel gescand en de regels gelden net zo goed voor jouw site.

Zes punten om zelf na te lopen

Pak je eigen site erbij:

1. Staat er een privacyverklaring die echt over jóuw bedrijf gaat, met de tools die je gebruikt erin?
2. Doet je weiger-knop technisch iets? Klik op weigeren, herlaad de pagina en kijk of er nog tracking-cookies staan.
3. Kun je in één klik weigeren, op hetzelfde scherm en even duidelijk als accepteren?
4. Klopt je cookietekst met wat er echt laadt aan analytics, pixels en embeds?
5. Staan je bedrijfsgegevens (naam, adres, KvK, btw-id, e-mail) zichtbaar in je footer?
6. Weet je eigenlijk welke externe scripts je site allemaal laadt? Zo nee, dan is dat meteen het eerste om uit te zoeken.

Kun je die zes niet met een gerust hart afvinken, dan zit je privacy waarschijnlijk niet goed en kun je dat beter rechtzetten voordat een ander het voor je opmerkt.

Tot slot

AI is prima om snel iets neer te zetten, ik gebruik het zelf elke dag. Het kent de Nederlandse regels alleen niet, en het kan zijn eigen werk niet controleren. Dat laatste blijft voorlopig mensenwerk.

Wil je weten hoe het bij jou zit? Stuur me je website-adres via WhatsApp en ik kijk er even naar. Daarna hoor je van mij wat er beter kan.