AVG website-audit: de complete checklist

Uw website als privacy-risico

Uw website is vaak het eerste contactpunt met klanten — en tegelijk een van de grootste bronnen van privacy-risico's. Contactformulieren, analytics, cookies, third-party scripts: elk element kan een AVG-overtreding opleveren als het niet correct is geconfigureerd.

Deze checklist helpt u systematisch uw website door te lichten op AVG-compliance. Gebruik hem als uitgangspunt voor een interne audit of als voorbereiding op een externe controle door de Autoriteit Persoonsgegevens (AP).

1. Privacyverklaring

• [ ] Aanwezig en vindbaar — link in footer op elke pagina
• [ ] In het Nederlands — begrijpelijk voor uw doelgroep
• [ ] Actueel — laatst bijgewerkt binnen 12 maanden
• [ ] Verwerkingsdoelen — alle doelen waarvoor u gegevens verzamelt
• [ ] Rechtsgronden — per verwerkingsdoel de juiste rechtsgrondslag
• [ ] Bewaartermijnen — per categorie gegevens
• [ ] Rechten betrokkenen — inzage, correctie, verwijdering, overdraagbaarheid, bezwaar
• [ ] Contactgegevens — van uw organisatie en eventuele Functionaris Gegevensbescherming
• [ ] Klachtrecht — verwijzing naar de Autoriteit Persoonsgegevens
• [ ] Derden en verwerkers — welke partijen ontvangen gegevens

2. Cookies en tracking

• [ ] Cookie-audit uitgevoerd — alle cookies geïnventariseerd en gecategoriseerd
• [ ] Functionele cookies — correct geclassificeerd als strikt noodzakelijk
• [ ] Analytische cookies — IP-anonimisering en verwerkersovereenkomst aanwezig
• [ ] Marketing cookies — pas actief na expliciete toestemming
• [ ] Cookiebanner — conform AP-richtlijnen (weigeren even makkelijk als accepteren)
• [ ] Geen pre-ticked boxes — cookies standaard uit
• [ ] Consent opgeslagen — met timestamp en bewijs
• [ ] Toestemming intrekbaar — optie op elke pagina beschikbaar
• [ ] Third-party scripts — pas geladen na consent (Google Ads, Meta Pixel, etc.)

3. Formulieren

• [ ] Minimale dataverzameling — alleen gegevens vragen die noodzakelijk zijn
• [ ] Doel vermeld — waarvoor worden de gegevens gebruikt?
• [ ] Opt-in voor marketing — apart, niet vooraf aangevinkt
• [ ] Link naar privacyverklaring — bij elk formulier
• [ ] Bevestigingsmail — double opt-in voor nieuwsbrieven
• [ ] Veilige verzending — formulierdata via HTTPS
• [ ] Spam-bescherming — reCAPTCHA of alternatief (let op: reCAPTCHA v3 plaatst tracking cookies)

4. Beveiliging

• [ ] SSL/TLS-certificaat — geldig en correct geconfigureerd
• [ ] HTTPS enforced — HTTP-naar-HTTPS redirect actief
• [ ] Security headers — HSTS, CSP, X-Frame-Options, X-Content-Type-Options
• [ ] Software up-to-date — CMS, plugins, frameworks gepatched
• [ ] Sterke wachtwoorden — beleid voor beheeraccounts
• [ ] MFA — multi-factor authenticatie voor admin-panelen
• [ ] Back-ups — regelmatig en getest
• [ ] Firewall — WAF actief tegen veelvoorkomende aanvallen

5. Derde partijen

• [ ] Inventarisatie — lijst van alle third-party services die data ontvangen
• [ ] Verwerkersovereenkomsten — met elke partij die persoonsgegevens verwerkt
• [ ] Doorgifte buiten EU — adequaatheidsbesluit of SCC's aanwezig
• [ ] Subverwerkers — in kaart gebracht en goedgekeurd

Veelvoorkomende derde partijen op websites:

| Service | Type gegevens | Aandachtspunt | |---|---|---| | Google Analytics | Bezoekgedrag, IP-adres | IP-anonimisering + verwerkersovereenkomst | | Google Fonts | IP-adres bezoeker | Lokaal hosten (DSGVO-uitspraken DE) | | YouTube embeds | IP-adres, cookies | Privacy-enhanced mode gebruiken | | Social media widgets | Uitgebreide tracking | Laden na consent | | Chatbots | Gespreksinhoud | Verwerkersovereenkomst + bewaartermijn | | CDN (Cloudflare) | IP-adres, metadata | Verwerkersovereenkomst aanwezig |

6. Rechten van betrokkenen

• [ ] Inzageverzoeken — procedure om binnen 1 maand te reageren
• [ ] Recht op verwijdering — mogelijkheid om gegevens te wissen
• [ ] Recht op correctie — mogelijkheid om gegevens te corrigeren
• [ ] Dataportabiliteit — export in machine-leesbaar format
• [ ] Recht van bezwaar — procedure voor bezwaar tegen verwerking
• [ ] Contactmogelijkheid — duidelijk e-mailadres of formulier voor privacy-verzoeken

7. E-mailmarketing

• [ ] Opt-in bewijs — voor elke ontvanger gedocumenteerd
• [ ] Uitschrijflink — in elke e-mail, werkend
• [ ] Afzender identificeerbaar — bedrijfsnaam en contactgegevens
• [ ] Geen pre-checked opt-in — bij aanmelding of aankoop
• [ ] Verwerkersovereenkomst — met e-mailmarketingplatform

8. E-commerce specifiek

Als u producten of diensten online verkoopt:

• [ ] Bestelgegevens — alleen bewaren zolang nodig (fiscaal: 7 jaar)
• [ ] Betaalgegevens — niet zelf opslaan (gebruik PSP als Mollie, Stripe)
• [ ] Account verwijderen — klanten moeten account kunnen opheffen
• [ ] Gastbestelling — mogelijkheid om te bestellen zonder account

Scoringssysteem

Tel het aantal afgevinkte items en bereken uw score:

| Score | Beoordeling | Actie | |---|---|---| | 90-100% | Uitstekend | Jaarlijkse hercontrole | | 70-89% | Goed | Openstaande punten prioriteren | | 50-69% | Matig | Actieplan opstellen binnen 30 dagen | | Minder dan 50% | Onvoldoende | Direct handelen — risico op boetes |

Automatiseer uw audit

Handmatige audits zijn waardevol maar tijdrovend. Geautomatiseerde scans kunnen het meeste technische werk overnemen:

• Cookies detecteren — welke cookies worden geplaatst, door wie, voor hoe lang?
• Security headers controleren — ontbrekende of misconfigureerde headers
• SSL/TLS verifiëren — certificaatstatus en configuratie
• Third-party scripts inventariseren — welke externe scripts laden op uw website?

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.