Je stuurt een reactie terug op een contactformulier-invulling van drie maanden geleden, en dan bekruipt je het gevoel: waar staat die oorspronkelijke boodschap eigenlijk nog meer? In je mailbox in ieder geval, maar ook in je CRM, misschien in een Slack-integratie, en ergens in een database van je formulierplugin. Al die plekken bevatten naam, e-mailadres en soms een telefoonnummer van iemand die gewoon even een vraag had. Of je daar een grondslag voor hebt, hoe lang die gegevens mogen blijven staan en of je privacyverklaring dit überhaupt noemt: voor de meeste website-eigenaren is dat volstrekt onduidelijk.

De schijn van onschuld: waarom het contactformulier zo vaak buiten de AVG-radar valt

Een contactformulier voelt niet als gegevensverwerking. Het voelt als een beleefd manier om bereikbaar te zijn. Maar de AVG maakt geen onderscheid tussen een groot CRM-systeem en een simpel formuliertje met drie velden. Zodra iemand zijn naam en e-mailadres invult en op verzenden drukt, verwerk jij persoonsgegevens. Punt.

Precies die alledaagsheid zorgt ervoor dat website-eigenaren het contactformulier overslaan bij het opstellen van hun privacyverklaring, geen bewaartermijn definiëren, en nooit nadenken over koppelingen met andere tools. Hieronder loop je langs de zeven fouten die eigenlijk iedereen maakt, inclusief wat je er concreet aan doet.

Fout 1: niet weten welke persoonsgegevens je formulier eigenlijk verzamelt

Stel, je hebt een formulier met vier velden: naam, e-mail, telefoonnummer en bericht. Helder. Maar wist je dat de meeste formulier-plugins ook metadata opslaan? Denk aan het IP-adres van de verzender, de datum en tijd van inzending, en soms zelfs de browser of het apparaat. Ook velden die iemand niet invult maar die technisch beschikbaar zijn in de formulierconfiguratie, kunnen gegevens bevatten.

En dan het bericht zelf. Iemand vraagt om een offerte en schrijft tussendoor: “Ik heb dit nodig voor mijn praktijk in Amsterdam, ik werk als huisarts.” Daarmee heb je opeens beroepsinformatie en mogelijk zelfs gezondheid-gerelateerde context in je inbox. Dat zijn bijzondere persoonsgegevens, met een zwaarder privacyregime.

Actie: open je formulier-plugin en kijk niet alleen naar de zichtbare velden, maar ook naar wat er in de database of het e-mailbericht daadwerkelijk wordt opgeslagen. Je kunt dit testen door zelf een testbericht te sturen.

Fout 2: de verkeerde verwerkingsgrondslag kiezen

Veel website-eigenaren denken: iemand stuurt een bericht, dus heeft hij toestemming gegeven. Maar toestemming als grondslag werkt alleen als die vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Een knop met “Verstuur” is dat niet.

De juiste grondslag voor een contactformulier is bijna altijd gerechtvaardigde belangen (artikel 6 lid 1 sub f AVG) of, als iemand een dienst aanvraagt, de uitvoering van een overeenkomst (sub b). Iemand stuurt jou een vraag: jij hebt een legitiem belang om te reageren en de gegevens daarvoor te verwerken. Dat is juridisch solide, mits je het netjes documenteert.

Toestemming is alleen relevant als je van plan bent de inzender later te gaan mailen met nieuwsbrieven of aanbiedingen. En dan moet je die toestemming apart vragen, met een checkbox die standaard uitgevinkt staat.

Fout 3: berichten eeuwig in de database laten staan

WordPress-plugins zoals Contact Form 7 met de Flamingo-extensie, of WPForms, slaan elk bericht op in de database. Prima voor als een e-mail verloren gaat. Maar wat doe je met die berichten na zes maanden? Na twee jaar? De meeste website-eigenaren: niets. De berichten blijven gewoon staan.

De AVG schrijft voor dat je gegevens niet langer bewaart dan noodzakelijk. “Noodzakelijk” is daarbij afhankelijk van het doel.

Een concrete bewaartermijn per type contact

Hier is waar je een echte keuze moet maken in plaats van vage formuleringen:

  • Algemene vraag of informatieaanvraag: bewaar maximaal drie maanden na afhandeling. Daarna is het doel bereikt.
  • Offerte-aanvraag: bewaar tot zes maanden na het uitbrengen van de offerte, of tot twee jaar als er een opdracht uit voortkomt (dan vallen de gegevens onder de uitvoering van de overeenkomst).
  • Klacht of geschil: bewaar minimaal één jaar, maar liever tot het geschil volledig is afgehandeld. Bij juridische conflicten kan dit langer zijn.
  • Sollicitatie via contactformulier: maximaal vier weken na afwijzing, tenzij de kandidaat toestemming geeft voor langere bewaring.

Stel deze termijnen in als automatische verwijdering in je plugin, of zet een terugkerende taak in je agenda om de database handmatig op te schonen. Kies de eerste optie: die vergeet je minder snel.

Fout 4: de privacyverklaring zwijgt over het contactformulier

Je privacyverklaring bespreekt cookies, analytics en misschien je nieuwsbrief. Maar het contactformulier? Staat er waarschijnlijk niet in. Dat is een probleem, want de AVG verplicht je om betrokkenen te informeren over welke gegevens je verwerkt, met welk doel, op basis van welke grondslag, en hoe lang je ze bewaart.

Minimaal moet er in je privacyverklaring staan:

  • Dat je via het contactformulier naam, e-mailadres en berichtinhoud verwerkt
  • Wat je doel is (reageren op vragen, afhandelen van verzoeken)
  • Je grondslag (gerechtvaardigde belangen of uitvoering overeenkomst)
  • Hoe lang je die gegevens bewaart
  • Of je de gegevens deelt met derden (en zo ja: welke)

Fout 5: formulierdata die ongemerkt elders terechtkomt

Je hebt een Zapier-koppeling gemaakt om inzendingen automatisch naar je CRM te sturen. Of HubSpot pikt elk contactformulier op en maakt er automatisch een lead van. Handig, maar heb je daar in je privacyverklaring rekening mee gehouden? En heb je een verwerkersovereenkomst met Zapier of HubSpot?

Dit is waar het contactformulier echt een AVG-tijdbom kan worden. Gegevens worden via koppelingen doorgestuurd naar systemen buiten de EU, zonder dat de websitebezoeker dat weet, en zonder de juiste juridische basis. Controleer elke actieve integratie en stel jezelf de vraag: weet de invuller dat zijn gegevens hier terechtkomen?

Fout 6: geen verwerkersovereenkomst met de plugin of SaaS-tool

Als je Typeform, Gravity Forms met externe opslag, of een tool als HubSpot Forms gebruikt, verwerkt die dienst namens jou persoonsgegevens. Dat maakt jou verwerkingsverantwoordelijke en hen verwerker. De AVG verplicht je dan een verwerkersovereenkomst te sluiten.

De meeste grote SaaS-aanbieders bieden zo’n overeenkomst aan, soms als onderdeel van hun algemene voorwaarden, soms als apart document. Maar je moet er wel actief naar zoeken en deze accepteren. Zoek in je account-instellingen naar termen als “Data Processing Agreement” of “DPA”. Heb je dat nooit gedaan? Doe het dan nu, voor elk platform dat je gebruikt.

Fout 7: beveiligingsgaten in de opslag

Formulierinzendingen die als plaintext in een WordPress-database staan, zijn leesbaar voor iedereen met databasetoegang. Een slecht beveiligde hostingomgeving, een verouderde plugin of een gedeeld hosting-pakket zonder goede isolatie kan betekenen dat die berichten toegankelijk zijn voor onbevoegden.

Hetzelfde geldt voor de e-mailboxen waar formulierinzendingen naartoe worden gestuurd. Een gedeelde info@-mailbox waar meerdere medewerkers toegang toe hebben, zonder tweeFactorAuthenticatie, is een risico. En als een medewerker het bedrijf verlaat maar nog weken toegang heeft tot die mailbox, heb je een datalek in wording.

Minimale maatregelen: gebruik HTTPS op je website, houd plugins en WordPress up-to-date, beperk databasetoegang, gebruik twee-stap-verificatie op mailboxen die formulierinzendingen ontvangen, en verwijder oude inzendingen structureel.

Checklist: is jouw contactformulier AVG-proof?

  • Weet je precies welke velden en metadata je plugin opslaat?
  • Heb je de juiste grondslag (geen toestemming tenzij nodig voor marketing)?
  • Zijn er bewaartermijnen per type bericht ingesteld?
  • Staat het contactformulier beschreven in je privacyverklaring?
  • Weet je welke externe tools formulierdata ontvangen?
  • Heb je verwerkersovereenkomsten met je formulier-tools?
  • Is de opslag beveiligd en zijn mailboxen afgeschermd?

Zeven vragen. Als je bij meer dan twee vragen twijfelt, is het tijd om dit aan te pakken.

De meeste fouten rond contactformulieren en de AVG zijn geen grote juridische blunders, maar gewoon dingen die nooit zijn ingesteld of nagedacht. Controleer waar de ingevulde gegevens naartoe gaan, stel een bewaartermijn in (of verwijder ze handmatig op een vast moment), en zorg dat je privacyverklaring het formulier concreet benoemt. Dat is het grootste deel van het werk al gedaan.