Conformiteit & AVG

Hoe controleer je de AVG-conformiteit van je website in 2026

Een cookiebanner bewijst niets. De AVG-conformiteit van een site wordt in de browser vastgesteld: wat vóór de minste klik wordt geactiveerd, en wat er echt gebeurt als je weigert. Zo controleer je je site — met de hand, dan in 90 seconden.

Fred Gaveau28 juni 2026~9 min leestijd

De meeste sites die we controleren tonen een banner en wanen zich in orde. Toch worden in de meeste gevallen trackers — Google Analytics, Meta Pixel, retargeting — geactiveerd vóór de bezoeker ergens op klikt, of blijven ze draaien na een weigering. De banner stelt gerust, maar blokkeert niets. Een AVG-audit dient precies om dat gat te meten tussen wat je gelooft en wat je site werkelijk doet.

Wat een AVG-audit echt controleert

Een nuttige audit leest je privacybeleid niet: hij observeert het technische gedrag van de pagina. De te controleren punten:

Trackers vóór toestemming — welke cookies en scripts bij het laden worden geactiveerd, vóór elke bezoekersactie.
Effectiviteit van de weigering — stoppen marketingtrackers na een klik op « Weigeren » echt, of verdwijnt alleen de banner?
Niet-EU-overdrachten — naar welke servers en CDN's de data gaat (vaak de VS, zonder garanties).
Toestemmingsbanner — aanwezigheid, en vooral symmetrie « Accepteren » / « Weigeren ».
Google Consent Mode v2 — correct geconfigureerd, of in de modus « standaard verleend »?
Vermomde trackers (CNAME-cloaking) — spionnen vermomd als first-party-subdomein.

Dat is precies wat onze gratis AVG-audit opsomt: hij laadt je pagina als een echte bezoeker en doorloopt drie fasen — vóór toestemming, na acceptatie, na weigering.

De handmatige methode: 10 minuten met de DevTools

Je kunt zelf een eerste vaststelling doen, zonder tool. Open je site in een privévenster, dan de ontwikkelaarstools van de browser (F12):

Tabblad « Application » → Cookies: herlaad de pagina zonder de banner aan te raken. Elke cookie behalve de strikt noodzakelijke (winkelwagen, sessie, beveiliging, de toestemmingscookie zelf) hoort er niet te zijn.
Tabblad « Network »: spoor de domeinen van derden op. Zie je aanroepen naar google-analytics.com, facebook.net of doubleclick.net vóór je klik? Dat is een hiaat.
Klik op « Weigeren » en herlaad: komen dezelfde aanroepen terug? Zo ja, dan is je weigering niet effectief.

Deze methode is betrouwbaar maar omslachtig, en ze mist trackers die met CNAME-cloaking vermomd zijn of vertraagd worden geactiveerd. Vandaar het nut van een automatische scan.

Onthoud

Conformiteit lees je niet in een privacybeleid: ze wordt in de browser vastgesteld, vóór de klik en na een weigering. Draait er in een van die twee fasen een marketingtracker, dan heb je een hiaat te dichten.

De automatische methode: 90 seconden

Onze tool speelt die drie fasen voor je af en levert een leesbaar rapport: vastgestelde hiaten, gedetecteerde trackers, niet-EU-overdrachten, bannerstatus, Consent Mode. Hij is gratis, zonder registratie, en bewaart geen rapport (alles leeft hooguit twee minuten in het geheugen, vanuit Frankrijk).

Start de AVG-audit van je site →

Het resultaat lezen: de meest voorkomende hiaten

Vier vaststellingen komen bijna altijd terug:

Analytics vóór toestemming — Google Analytics geladen bij de eerste render. Het hiaat nr. 1; zie ook ons artikel over de SEO-kost van de cookiebanner.
Ineffectieve weigering — de banner sluit maar de pixels blijven draaien. Op Shopify is dat bijna systematisch: hoe je het in vijf minuten bewijst.
Advertentiepixels — Meta, TikTok, Google Ads, vaak geplaatst door een tagmanager.
Niet-EU-afhankelijkheden — CDN's en lettertypen gehost in de VS, die het IP van je bezoekers blootstellen.

Oplossen: waar beginnen

De logica is niet « beter om toestemming vragen », maar verminderen wat haar nodig maakt. Drie principes:

Scheid de doeleinden: publieksmeting aan de ene kant, marketing aan de andere. Een meetinstrument dat niets op het apparaat leest of schrijft, activeert de toestemmingsplicht niet (artikel 5(3) van de ePrivacy-richtlijn).
Blokkeer vóór de klik: geen enkele niet-essentiële tracker mag draaien zolang de bezoeker niet heeft geaccepteerd, en een weigering moet ze echt afsnijden.
Kies tools die het debat niet openen: analytics zonder cookie en zonder blijvende identificator haalt de publieksmeting uit de toestemmingsvergelijking. Dat is de aanpak van Snorklee — zonder banner, zonder cookie.

Een audit is een indicatieve technische vaststelling, geen juridisch advies: hij kan valse positieven bevatten. Laat hem voor een beslissing valideren door een FG of jurist.

Voorbij de AVG: soevereiniteit

« Conform » zijn zegt niets over waar je data heen gaat. Een site kan de AVG naleven en toch volledig afhankelijk zijn van Amerikaanse diensten. Om die afhankelijkheden in kaart te brengen, vul je de AVG-audit aan met onze soevereiniteitschecker: hij onthult welke derden je bezoekers buiten de EU blootstellen en stelt Europese alternatieven voor.

Kortom

Je site auditen is niet je voorwaarden herlezen: het is de browser openen en kijken wat vóór de klik en na een weigering wordt geactiveerd. Doe het met de hand om te begrijpen, automatiseer het dan om het in de tijd te volgen.

Controleer gratis de AVG-conformiteit van je site →

FAQ

Hoe controleer je de AVG-conformiteit van je site?
Open je site in een privévenster en inspecteer in de DevTools de cookies en netwerkverzoeken die vóór elke klik en na een weigering worden geactiveerd: alleen strikt noodzakelijke elementen horen te verschijnen. Een audittool automatiseert deze vaststelling over de drie fasen (vóór toestemming, na acceptatie, na weigering).

Is de AVG-audit gratis?
Ja. De audit van Snorklee is 100 % gratis, zonder registratie, en toont een rapport in ongeveer 90 seconden. Er wordt geen rapport bewaard: het leeft hooguit twee minuten in het geheugen en wordt dan gewist.

Is een cookiebanner genoeg om conform te zijn?
Nee. Een banner die trackers niet belet vóór de klik te activeren — of ze na een weigering niet afsnijdt — maakt je niet conform. Conformiteit wordt vastgesteld in het technische gedrag van de pagina, niet in de aanwezigheid van een banner.

Wat controleert een AVG-audit van een website?
Trackers die vóór toestemming worden geplaatst, de effectiviteit van de weigering, gegevensoverdrachten buiten de EU, de aanwezigheid en symmetrie van de banner, de Google Consent Mode v2-configuratie en door CNAME-cloaking vermomde trackers.

Gepubliceerd in juni 2026. Juridisch kader: artikel 5(3) van richtlijn 2002/58/EG (ePrivacy) — algemene informatie, geen geïndividualiseerd juridisch advies. Een geautomatiseerde audit is indicatief en kan valse positieven of valse negatieven bevatten.