Image optimization: een snellere website die scoort
Categorie
Webontwikkeling
Datum
juni 26, 2026
Adres
Prins Hendrikstraat 1
5611 HH Eindhoven, The Netherlands
Contact
Vraag het AI
Je website verzamelt meer data dan de meeste ondernemers denken. Reserveringen, contactformulieren, nieuwsbriefinschrijvingen, WooCommerce-bestellingen, facturen, analytics, supportmails. En meestal blijft het gewoon staan, omdat niemand precies weet wat weg mag, wat moet blijven en wie dat eigenlijk beheert.
Dat is precies waar een data retention policy voor bedoeld is. Niet als juridisch document voor in een map, maar als werkbaar systeem waarmee je voorkomt dat je te veel bewaart, te weinig verwijdert of bij een controle met lege handen staat. Voor een groeiend MKB-bedrijf is dat geen bijzaak. Het is basisbeheer.
Maandagochtend. Een oud-medewerker vraagt of zijn persoonsgegevens verwijderd zijn, een klant wil weten hoe lang je formulierdata bewaart en intussen staan er in WordPress, mailboxen en je CRM nog jaren aan oude gegevens. Dan merk je snel dat privacy geen papieren onderwerp is, maar gewoon bedrijfsvoering.
Een data retention policy legt vast welke data je bewaart, waarom dat nodig is, hoe lang dat mag en wie opruimt zodra de termijn voorbij is. Voor een MKB-bedrijf is dat geen juridisch extraatje. Het is een werkafspraak die voorkomt dat gegevens zich ongemerkt opstapelen in systemen die ooit handig leken, maar later risico geven.
Dat gebeurt zelden expres. Een ondernemer begint met een boekhoudpakket en één mailbox. Daarna komen er contactformulieren bij, WooCommerce-bestellingen, nieuwsbriefsoftware, analytics, een planningstool en misschien nog een CRM. Elk pakket slaat iets op. Bijna geen enkel pakket ruimt vanzelf goed op als niemand daar een regel voor instelt.
Dat maakt je kwetsbaar op twee fronten. Juridisch, omdat je persoonsgegevens niet onbeperkt mag bewaren. Praktisch, omdat verouderde data ook leidt tot rommel, onduidelijkheid en fouten in je dagelijkse werk. Teams weten dan niet meer welke klantlijst actueel is, oude exports blijven rondzwerven en bij een inzage- of verwijderverzoek kost een simpele vraag ineens uren zoekwerk.
De Autoriteit Persoonsgegevens benadrukt in haar uitleg over het bewaren van persoonsgegevens dat je gegevens niet langer mag bewaren dan nodig is voor het doel waarvoor je ze hebt verzameld. Zie de toelichting van de Autoriteit Persoonsgegevens over bewaartermijnen voor persoonsgegevens. Dat is precies waar het bij veel kleinere bedrijven schuurt. Er is vaak wel software, maar geen duidelijke keuze over wanneer data weg moet.
Praktische regel: bewaar niet “voor de zekerheid” wat je niet meer nodig hebt.
Voor hospitalitybedrijven, webshops en dienstverleners is dat nog concreter. Reserveringsgegevens, dieetwensen, no-show notities, ingevulde formulieren en gedrag op je website komen vaak in meerdere tools terecht. Wie werkt met server-side tracking voor betere controle over website-data kan datastromen strakker inrichten, maar ook dan blijft de kern hetzelfde: betere meting is geen excuus om data langer te bewaren dan nodig.
Een goede data retention policy helpt niet alleen bij compliance. Het scheelt ook tijd en twijfel in de uitvoering.
In de praktijk werkt beleid alleen als het uitvoerbaar is voor een niet-technisch team. Dus niet een PDF in een mapje, maar een simpel systeem met vaste termijnen, duidelijke verantwoordelijken en instellingen in de tools die je al gebruikt. Dat is de aanpak die voor MKB-ondernemers werkt. Rust in de operatie, minder kans op gedoe en een veel sterkere positie als toezichthouder of klant vragen gaat stellen.
Een ondernemer krijgt vaak pas vragen over bewaartermijnen als er iets misgaat. Een klant wil weten waarom zijn gegevens nog in je systeem staan. Een oud sollicitatiebestand blijkt nog in Dropbox te staan. Of de Belastingdienst vraagt om stukken uit een afgesloten boekjaar. Dan helpt het als je vooraf hebt bepaald wat je bewaart, waarom je dat doet en wanneer iets weg moet.
De eerste scheidslijn is simpel. Financiële administratie valt onder een fiscale bewaarplicht. Persoonsgegevens beoordeel je op doel en noodzaak. Gooi je die twee door elkaar, dan wordt je beleid onwerkbaar.
Voor je basisadministratie geldt een harde ondergrens. De Belastingdienst legt uit dat je administratie, waaronder facturen en bankafschriften, in veel gevallen 7 jaar bewaard moet blijven op basis van de fiscale bewaarplicht in de Algemene wet inzake rijksbelastingen. Voor veel MKB-bedrijven is dit de ruggengraat van het beleid. Alles wat nodig is om je omzet, kosten, btw en debiteuren te onderbouwen, zet je dus apart van marketing- en contactdata.
Voor persoonsgegevens werkt het anders. De AVG geeft geen vaste algemene termijn, maar eist dat je gegevens niet langer bewaart dan nodig is voor het doel waarvoor je ze hebt verzameld. Dat vraagt om keuzes per proces. Een offerte-aanvraag heeft een andere levensduur dan een factuur. Een oud contactformulier in WordPress vraagt dus om een andere beslissing dan een boekhoudrecord in Exact of Moneybird.
Bij statistische data is dat onderscheid ook relevant. Het CBS beschrijft in zijn beleid voor statistische bestanden uit 2022 een bewaarkader waarbij bestanden zonder persoonsgegevens langer kunnen blijven bestaan dan bestanden met herleidbare persoonsgegevens, met termijnen van 5 jaar respectievelijk 2 jaar in die context, zie het CBS-beleid voor bewaren en vernietigen van statistische bescheiden uit 2022. Dat beleid is niet automatisch op elk MKB-bedrijf van toepassing, maar het is wel een bruikbaar referentiepunt als je analytics, exports of rapportages beoordeelt.
Daar gaat het in de praktijk vaak mis. Gegevens uit formulieren, CRM-notities en analytics blijven staan omdat niemand een einddatum heeft ingesteld. Wie Google Analytics 4 correct instellen serieus aanpakt, kijkt daarom niet alleen naar metingen en events, maar ook naar de retentie-instellingen en de vraag of ruwe exports nog nodig zijn.
| Datacategorie | Voorbeelden | Bewaartermijn | Wettelijke basis |
|---|---|---|---|
| Financiële administratie | Facturen, bankafschriften, grootboek, inkoop- en verkooprecords | Minimaal 7 jaar | Fiscale bewaarplicht, AWR |
| Statistische data zonder persoonsgegevens | Geaggregeerde datasets, managementrapportages zonder herleidbare personen | 5 jaar binnen CBS-beleid | CBS-beleid 2022 |
| Statistische data met persoonsgegevens | Analysebestanden met herleidbare persoonsgegevens | 2 jaar binnen CBS-beleid | CBS-beleid 2022 |
| Klantgegevens uit contactformulieren | Naam, e-mail, telefoon, aanvraaginhoud | Zolang nodig voor opvolging en onderliggende verplichtingen | AVG-principe van opslagbeperking |
| CRM-gegevens | Contacthistorie, offertes, klantnotities | Afhankelijk van doel, contract en wettelijke noodzaak | AVG plus operationele noodzaak |
| Reserverings- en gastgegevens | Reserveringen, bestelgegevens, gastnotities | Afhankelijk van doel en wettelijke context | AVG, sectorspecifieke verplichtingen |
| Voedselgerelateerde documenten in horeca | Registraties rond voedselveiligheid | Voor bepaalde documenten tot 3 jaar | NVWA, HACCP- en traceerbaarheidseisen, zie de bewaartermijnen in het Hygiënecode-document voor de horeca |
Voor een niet-technische MKB-ondernemer is de praktische les meestal deze. Zet eerst alles met een harde wettelijke bewaarplicht in een aparte categorie. Kijk daarna pas naar formulieren, mailinglijsten, analytics, back-ups en CRM-data. Dat voorkomt dat je uit gemak overal dezelfde termijn op plakt.
Gebruik daarbij vier simpele controles:
Als je op die derde vraag geen duidelijk antwoord hebt, bewaar je het bestand meestal al te lang. Dat klinkt streng, maar het maakt je beleid juist werkbaar. Je hoeft dan niet elk dossier juridisch uit te pluizen. Je maakt per datastroom een verdedigbare keuze die je team ook kan uitvoeren.
Maandag komt er een verzoek binnen van een oud-klant: verwijder mijn gegevens. Dan blijkt vaak pas hoe versnipperd data in een MKB-bedrijf staat. Een formulier op de website, een mailbox van een medewerker, een CRM, een export in Excel en misschien nog een back-up waar niemand meer aan denkt. Een werkbaar beleid voorkomt dat soort paniek. Het geeft houvast aan jou én aan je team.
1. Breng alle databronnen in kaart.
Begin op de werkvloer. Kijk waar gegevens echt binnenkomen en blijven staan. Denk aan websiteformulieren, WooCommerce, boekhouding, mailboxen, Google Drive, WhatsApp-exporten, HR-mappen, CRM, analytics, supporttools en back-ups. Voor veel MKB-bedrijven zit de grootste winst niet in extra juridische tekst, maar in een complete inventarisatie.
Maak het daarbij concreet. Noteer per systeem drie dingen: welke gegevens erin staan, wie erbij kan en waarom het systeem überhaupt gebruikt wordt. Dat lijkt simpel, maar juist hier voorkom je later discussie over bestanden die “misschien nog handig” zijn.
2. Leg per databron het doel en de grondslag vast.
Pas na die inventarisatie bepaal je waarom je de data bewaart. Facturatie vraagt iets anders dan klantenservice. Een reservering vraagt iets anders dan een nieuwsbriefinschrijving. Zonder helder doel blijft een bewaartermijn een gok, en dat is precies wat je wilt voorkomen als de Autoriteit Persoonsgegevens vragen stelt of een klant inzage of verwijdering vraagt.
Een korte video kan helpen om het denkproces praktisch te maken:
3. Koppel per datacategorie een concrete bewaartermijn.
Werk niet met één standaardtermijn voor een heel systeem. In één omgeving kunnen administratieve gegevens staan die je wettelijk moet bewaren, naast marketingdata die veel eerder weg kan. In de praktijk gaat het hier vaak fout bij WordPress, e-mailtools en CRM-pakketten, omdat alles in dezelfde bak belandt.
Automatisering helpt hier aantoonbaar. In de praktijk zie ik dat handmatig opschonen bijna altijd verslapt zodra meerdere systemen en medewerkers meespelen. In onderzoek van IBM naar data governance en geautomatiseerde controles blijkt dat organisaties met meer geautomatiseerde governanceprocessen structureel beter presteren op naleving en beheersing van data dan organisaties die vooral op handmatig beheer steunen. Gebruik dus waar mogelijk automatische verwijderregels, lifecycle-instellingen en periodieke taken in je software.
4. Beschrijf hoe verwijdering echt gebeurt.
Schrijf niet alleen op dát gegevens worden verwijderd, maar ook hóé. Verdwijnen ze alleen uit het zicht van de gebruiker, of ook uit exports, gekoppelde tools en archieven? Dat verschil is groot. Zeker bij kleinere bedrijven wordt “verwijderd” nog te vaak verward met “niet meer zichtbaar”.
Goede procedures bevatten minimaal deze onderdelen:
5. Zet het in een document dat je team echt gebruikt.
Voor een MKB-ondernemer hoeft dit geen dik handboek te worden. Een beleid van twee tot vijf pagina's is vaak genoeg, zolang het maar direct toepasbaar is in de tools die je al gebruikt. Denk aan een tabel met datacategorie, doel, bewaartermijn, eigenaar, systeem en actie bij afloop van de termijn.
Een praktische opzet is meestal voldoende:
Wie zijn meetstructuur wil opschonen, merkt hetzelfde patroon. Bij server-side tagging voor meer controle over datastromen gaat het niet alleen om marketingdata meten, maar ook om bewust kiezen welke gegevens je wel en niet doorstuurt of opslaat.
Een bruikbaar beleid is kort, concreet en direct uitvoerbaar in WordPress, je mailbox, je CRM en je boekhoudpakket.
Maandag start met een eenvoudige vraag van een medewerker. Een klant wil dat oude gegevens worden verwijderd. Op papier staat precies wat de bewaartermijn is, maar in de praktijk blijken die gegevens nog te staan in WordPress, in WooCommerce, in een nieuwsbrieftool en in een back-up van drie maanden geleden. Daar ontstaan problemen. Niet omdat het beleid ontbreekt, maar omdat niemand het heeft doorvertaald naar de systemen die dagelijks worden gebruikt.
Voor veel MKB-bedrijven begint de uitvoering gewoon in WordPress. Formulieren via Contact Form 7, Gravity Forms of Elementor Forms sturen niet alleen e-mails door, maar slaan aanvragen vaak ook lokaal op. Dat gebeurt regelmatig zonder dat de ondernemer zich daarvan bewust is. Controleer dus per formulier wat er echt wordt bewaard, waar dat gebeurt en hoe lang dat nodig is.
Bij WooCommerce vraagt dit om iets meer nuance. Bestelgegevens moet je vaak bewaren voor je administratie. Klantaccounts, achtergelaten winkelwagens, interne notities en marketingtags hebben meestal een kortere levensduur. De fout die ik vaak zie, is dat alles even lang blijft staan omdat niemand het onderscheid heeft gemaakt. Dat voelt veilig, maar vergroot juist je risico en maakt opschonen later duurder en lastiger.
Handmatig verwijderen werkt alleen zolang je weinig data en weinig systemen hebt.
Zodra meerdere medewerkers in verschillende tools werken, moet je vaste acties instellen. Zet opslag uit als die niet nodig is. Plan terugkerende opschoonmomenten voor formulieren, conceptbestellingen en oude klantaccounts. Leg ook vast wie controleert of die actie echt is uitgevoerd. Anders blijft het beleid afhankelijk van goede bedoelingen.
De meeste overtollige data zit niet in de administratie, maar in ondersteunende tools. Analytics, CRM en e-mailsoftware worden zelden gezien als archief, terwijl daar vaak wel gedrag, contacthistorie en profielinformatie in blijft hangen.
Werk daarom per systeem een korte beheerregel uit:
Back-ups vragen aparte aandacht. Verwijderde data is namelijk niet automatisch uit elke reservekopie verdwenen. Daarom moet je retentiebeleid aansluiten op je back-upinstellingen, hersteltermijnen en werkwijze bij verwijderverzoeken. Een praktische basis is WordPress back-ups op een beheersbare manier organiseren, zodat je gegevens kunt herstellen zonder oude data onnodig lang te blijven meeslepen.
Een werkbaar systeem herken je snel. Medewerkers hoeven niet te raden wat weg mag, wat moet blijven en waar ze dat instellen. Dat is precies het punt waarop een beleid pas echt waarde krijgt.
Maandag start rustig. Dinsdag blijkt dat een oud formulier op je site nog steeds gegevens opslaat in een plugin die niemand meer gebruikt. Donderdag vraagt een klant om verwijdering, maar niemand weet of die data ook in het CRM, de nieuwsbriefsoftware en een oude exportmap staat. Precies daarom blijft een data retention policy alleen werkbaar als je hem periodiek controleert.
Voor een MKB-bedrijf hoeft een audit geen zwaar traject te zijn. In de praktijk is een jaarlijkse controle vaak genoeg, zolang je ook een extra check plant na een nieuw systeem, een aangepaste website, een andere plugin of een wijziging in je werkproces.
Dat is geen papieren oefening. Het gaat om de vraag of je beleid nog klopt met wat je team echt gebruikt. Juist daar gaat het vaak mis. Niet in de privacyverklaring, maar in de dagelijkse praktijk van WordPress-formulieren, mailboxen, CRM-notities, exports en koppelingen tussen tools.
Oude data kost bovendien geld, tijd en overzicht. Hoe langer gegevens blijven staan zonder duidelijk doel, hoe lastiger het wordt om verwijderverzoeken goed af te handelen en om bij een controle uit te leggen waarom je iets nog bewaart.
Loop minimaal deze punten na:
Ik raad ondernemers aan om deze controle klein en vast te maken. Plan één moment per jaar in de agenda, loop je systemen langs en werk met een simpel overzicht per tool. Naam van het systeem, soort gegevens, bewaartermijn, verantwoordelijke en actiepunt. Meer heb je vaak niet nodig om grip te houden.
Gebruik je dashboards om je bedrijf te sturen, neem databeheer daar dan in mee. In online marketing dashboards voor beter overzicht draait goed inzicht om relevante en betrouwbare informatie. Dat lukt alleen als verouderde of overbodige data niet ongemerkt blijft rondzwerven.
Een audit is periodiek onderhoud. Daarmee voorkom je dat kleine uitzonderingen uitgroeien tot rommel, risico en discussies op het moment dat je juist snel moet kunnen handelen.
Allebei kan, mits je bewust kiest. Verwijderen past als gegevens hun doel hebben verloren en er geen wettelijke bewaarplicht meer geldt. Anonimiseren is bruikbaar als je informatie nog nodig hebt voor analyses, managementrapportages of historische trends, zonder dat die nog naar een persoon te herleiden is.
In de praktijk gaat dit bij MKB-bedrijven vaak mis in exports en rapportages. Data lijkt anoniem, maar bevat nog e-mailadressen, klantnummers of combinaties van velden die iemand alsnog herkenbaar maken. Controleer dus niet alleen je hoofdsoftware, maar ook csv-bestanden, spreadsheets en rapporten die medewerkers lokaal bewaren.
Je interne beleid hoeft meestal niet op je website te staan. Wat wel zichtbaar en begrijpelijk moet zijn, is hoe je met persoonsgegevens omgaat, welke gegevens je bewaart en op basis waarvan.
Dat zet je in je privacyverklaring, in duidelijke taal. Wie een praktisch voorbeeld wil zien van hoe een bedrijf dit richting bezoekers publiceert, kan kijken naar de DS Outdoorliving voorwaarden.
Dan blijf jij verantwoordelijk voor de bewaartermijnen en verwijdering. De leverancier beheert het platform, maar jij bepaalt waarom je data opslaat, hoe lang dat mag en wanneer die weg moet.
Voor niet-technische ondernemers is dit meestal het lastigste deel. Zeker bij WordPress, nieuwsbriefsoftware, CRM-systemen en boekingstools lopen gegevens vaak op meerdere plekken tegelijk rond. Kijk daarom per tool naar drie punten: kun je data automatisch verwijderen, blijft die nog in back-ups staan, en wat zegt de leverancier in de verwerkersovereenkomst of documentatie over retentie en herstel?
Dan vergroot je het risico op klachten, onnodige discussie bij een AVG-verzoek en problemen als er ooit een datalek ontstaat. Oude data kost ook gewoon tijd. Medewerkers zoeken langer, maken sneller fouten en werken eerder met verouderde klantinformatie.
Te lang bewaren is dus niet alleen een juridisch punt. Het raakt ook je dagelijkse operatie.
Ja. Voor veel MKB-bedrijven is dat een prima begin, zolang je het ook echt gebruikt. Noteer per gegevenssoort wat het is, in welk systeem het staat, waarom je het bewaart, wat de termijn is, wie verantwoordelijk is en hoe verwijdering gebeurt.
Ik zie vaak dat ondernemers te groot beginnen met uitgebreide beleidsdocumenten, terwijl een eenvoudige lijst meer oplevert. Eerst overzicht, dan inrichting. Pas daarna heeft het zin om uitzonderingen, automatische workflows of tool-specifieke instellingen verder uit te werken.
Een goed dataretentiebeleid is geen theoretische luxe voor grote organisaties. Het is gewoon degelijk ondernemerschap. Je voorkomt er boetes mee, houdt systemen schoon en maakt je bedrijf beter bestuurbaar. Vooral als je website, reserveringstools, CRM en marketingsoftware steeds belangrijker worden, wil je dat data niet ongecontroleerd blijft groeien.
Begin klein, maar begin wel. Zet je databronnen op een rij. Koppel daar bewaartermijnen aan. Richt verwijdering in per systeem. Controleer daarna elk jaar of het nog klopt. Zo maak je van losse regels een werkbaar proces.
Wil je zien hoe een bedrijf zijn voorwaarden en privacy-informatie helder publiceert voor bezoekers, dan is het nuttig om te kijken naar de DS Outdoorliving voorwaarden. Niet om blind over te nemen, maar om te zien hoe transparantie richting gebruikers eruit kan zien in de praktijk.
Als je grip hebt op je data, werk je rustiger. Je team weet wat het moet doen, je tools blijven overzichtelijk en je staat sterker als iemand vragen stelt over privacy, bewaartermijnen of verwijdering.
Als je merkt dat vooral de technische vertaling lastig is, dan loont het om daar samen met specialisten naar te kijken. Bright Brands helpt MKB-bedrijven met websites en systemen die niet alleen professioneel ogen, maar ook werkbaar zijn in de praktijk. Wil je sparren over de inrichting van WordPress, formulieren, tracking of databeheer? Plan een gratis strategiegesprek.
Iets onduidelijk?
Neem contact met ons op voor vragen.