WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

De Algemene Verordening Gegevensbescherming (AVG) is de EU-verordening voor gegevensbescherming en privacy, van kracht sinds 25 mei 2018. Het is van toepassing op alle organisaties die persoonsgegevens van individuen in de EU verwerken.

Wat is een verwerkingsregister volgens Artikel 30?

Artikel 30 van de AVG vereist dat verwerkingsverantwoordelijken en verwerkers een schriftelijk register bijhouden van alle verwerkingsactiviteiten, inclusief doeleinden, categorieen betrokkenen, ontvangers, doorgifte naar derde landen en beveiligingsmaatregelen.

Wat zijn de maximale AVG-boetes?

AVG-boetes zijn gelaagd. Voor minder ernstige overtredingen: tot 10 miljoen euro of 2% van de totale jaarlijkse wereldwijde omzet. Voor ernstigere overtredingen: tot 20 miljoen euro of 4% van de omzet.

Hoe werkt een CNIL-audit?

De CNIL voert vier soorten controles uit: ter plaatse, online, op basis van documenten en formele hoorzitting. Auditors vragen doorgaans het verwerkingsregister, toestemmingsmechanismen, privacyverklaringen en bewijs van beveiligingsmaatregelen op.

Heb ik een functionaris voor gegevensbescherming (DPO) nodig?

Een DPO is verplicht in drie gevallen onder Artikel 37: (1) verwerking door een overheidsinstantie, (2) kernactiviteiten bestaan uit verwerkingen die regelmatige en systematische grootschalige monitoring van betrokkenen vereisen, (3) grootschalige verwerking van gevoelige gegevens.

GDPR Audit Guide — Complete CNIL-Ready Documentation

AVG: De basis van gegevensbescherming in Europa

De Algemene Verordening Gegevensbescherming(AVG), Verordening (EU) 2016/679, vormt sinds 25 mei 2018 de hoeksteen van de Europese wetgeving inzake gegevensbescherming. De AVG verving de Richtlijn gegevensbescherming van 1995 en stelde een uniform kader vast voor alle EU-lidstaten. In Frankrijk is de CNIL (Commission Nationale de l'Informatique et des Libertés) de toezichthoudende autoriteit die verantwoordelijk is voor de handhaving van de verordening.

De AVG is van toepassing op elke organisatie die persoonsgegevens verwerkt van personen in de EU, ongeacht waar de organisatie is gevestigd. „Persoonsgegevens“ betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon: namen, e-mailadressen, IP-adressen, cookie-identificatoren, locatiegegevens en zelfs gepseudonimiseerde gegevens als heridentificatie mogelijk is.

Sinds 2018 hebben Europese gegevensbeschermingsautoriteiten meer dan 4,5 miljard euro aan boetes opgelegd. Alleen al de CNIL heeft boetes opgelegd voor in totaal meer dan 700 miljoen euro, waaronder baanbrekende beslissingen tegen Google (150 miljoen euro voor overtredingen van de cookietoestemming in 2022), Meta (405 miljoen euro voor de verwerking van gegevens van kinderen in 2023) en Criteo (40 miljoen euro in 2023).

De zeven kernbeginselen (Artikel 5)

Artikel 5 stelt de fundamentele beginselen vast die alle verwerking van persoonsgegevens beheersen. Elke beslissing over het verzamelen, opslaan en gebruiken van gegevens moet in overeenstemming zijn met deze beginselen, en u moet naleving kunnen aantonen (verantwoordingsplicht).

1. Rechtmatigheid, behoorlijkheid en transparantie

Persoonsgegevens moeten rechtmatig (op basis van een van de zes rechtsgronden van Artikel 6), behoorlijk (geen misleiding of onverwacht gebruik) en transparant (duidelijke, begrijpelijke informatie aan betrokkenen) worden verwerkt. De zes rechtsgronden zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, algemeen belang en gerechtvaardigde belangen.

In de praktijk: Onderhoud een privacyverklaring die in heldere taal uitlegt welke gegevens u verzamelt, waarom, op welke rechtsgrond, hoe lang u ze bewaart en met wie u ze deelt. Vermijd juridisch jargon. De CNIL vereist dat privacy-informatie binnen maximaal twee klikken vanaf elke pagina toegankelijk is.

2. Doelbinding

Gegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden. U kunt geen gegevens verzamelen voor „analyses“ en deze vervolgens gebruiken voor „gerichte reclame“ zonder een afzonderlijke rechtsgrond.

In de praktijk: Documenteer elk verwerkingsdoel in uw register van Artikel 30. Wanneer u bestaande gegevens voor een nieuw doel wilt gebruiken, voer een verenigbaarheidsbeoordeling uit (Artikel 6(4)) of verkrijg nieuwe toestemming.

3. Dataminimalisatie

Verzamel alleen persoonsgegevens die toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het aangegeven doel. Als u geen geboortedatum nodig heeft om uw dienst te verlenen, verzamel deze dan niet.

In de praktijk:Controleer uw formulieren en databases. Verwijder velden die niet strikt noodzakelijk zijn. Stel bij elk gegeven de vraag: „Hebben we dit nodig? Wat gebeurt er als we het niet verzamelen?“ De CNIL signaleert specifiek buitensporige gegevensverzameling in haar auditbevindingen.

4. Juistheid

Persoonsgegevens moeten juist zijn en zo nodig worden bijgewerkt. Onjuiste gegevens moeten onverwijld worden gewist of gecorrigeerd. Dit beginsel wordt cruciaal wanneer gegevens worden gebruikt voor geautomatiseerde besluitvorming of worden gedeeld met derden.

In de praktijk: Bied eenvoudige mechanismen waarmee gebruikers hun gegevens kunnen bijwerken. Implementeer kwaliteitscontroles voor gegevens. Wanneer onjuistheden worden gemeld, corrigeer de gegevens binnen de termijnen van de Artikelen 16 en 19.

5. Opslagbeperking

Persoonsgegevens mogen niet langer in een vorm die het mogelijk maakt de betrokkenen te identificeren, worden bewaard dan noodzakelijk is voor het aangegeven doel. Stel bewaartermijnen vast voor elke categorie gegevens en handhaaf deze.

In de praktijk:Stel een bewaarbeleid op met specifieke termijnen voor elke gegevenscategorie. Implementeer geautomatiseerde verwijderings- of anonimiseringsprocessen. De CNIL publiceert sectorspecifieke bewaarrichtlijnen (bijv. 3 jaar na het laatste contact voor commerciële prospectie, duur van het contract plus wettelijke bewaartermijnen voor klantgegevens).

6. Integriteit en vertrouwelijkheid (Beveiliging)

Persoonsgegevens moeten zo worden verwerkt dat een passende beveiliging is gewaarborgd, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging. Dit vereist „passende technische en organisatorische maatregelen“.

In de praktijk: Implementeer encryptie (TLS voor transport, AES-256 voor opslag), toegangscontroles (RBAC, MFA), regelmatige beveiligingsaudits en procedures voor incidentrespons. De CNIL beoordeelt beveiligingsmaatregelen tijdens audits en heeft organisaties beboet voor ontoereikende wachtwoord-hashing, onversleutelde databases en ontbrekende toegangscontroles.

7. Verantwoordingsplicht

De verwerkingsverantwoordelijke moet in staat zijn de naleving van alle bovenstaande beginselen te aantonen. Het gaat er niet alleen om conform te zijn, maar ook om dit te kunnen bewijzen. Documentatie is essentieel.

In de praktijk:Houd het verwerkingsregister van Artikel 30 bij, documenteer DPIA's, bewaar bewijzen van toestemming, leg verzoeken van betrokkenen en de gegeven antwoorden vast, documenteer beveiligingsmaatregelen en bewaar audittrails. Als u het niet kunt aantonen, beschouwt de CNIL u als niet-conform.

Register van verwerkingsactiviteiten — Artikel 30

Het verwerkingsregister is het belangrijkste AVG-document. Het is het eerste wat de CNIL opvraagt bij elke controle. Artikel 30 verplicht zowel verwerkingsverantwoordelijken als verwerkers om een schriftelijk register van hun verwerkingsactiviteiten bij te houden.

Voor elke verwerkingsactiviteit moet het register bevatten:

Naam en contactgegevens van de verwerkingsverantwoordelijke (en de FG indien van toepassing)
Doeleinden van de verwerking
Categorieën van betrokkenen (klanten, werknemers, bezoekers, enz.)
Categorieën van persoonsgegevens (identiteit, contact, financieel, gedrag, enz.)
Categorieën van ontvangers (interne afdelingen, verwerkers, overheidsinstanties)
Doorgiften naar derde landen en toegepaste waarborgen (SCCs, adequaatheidsbesluiten)
Bewaartermijnen voor elke gegevenscategorie
Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

Organisaties met minder dan 250 werknemers zijn alleen vrijgesteld als hun verwerking incidenteel is, geen gevoelige gegevens betreft en waarschijnlijk geen risico oplevert voor de rechten en vrijheden van betrokkenen. In de praktijk moet vrijwel elke organisatie die klantgegevens via een website verwerkt een register bijhouden.

Gegevensbeschermingseffectbeoordeling (DPIA) — Artikel 35

Een DPIA is vereist wanneer een verwerking „waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen“. De CNIL heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA vereist is, waaronder:

Grootschalige verwerking van gevoelige gegevens (gezondheids-, biometrische, genetische gegevens)
Stelselmatige monitoring van openbaar toegankelijke ruimten (camerabewaking, tracking)
Geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbaar ingrijpende gevolgen (credit scoring, wervingsfiltering)
Koppeling of combinatie van datasets uit verschillende bronnen
Verwerking van gegevens van kwetsbare personen (kinderen, patiënten, werknemers)
Innovatief gebruik van nieuwe technologieën (AI, IoT, biometrie)
Grootschalige profilering
Verwerkingen die betrokkenen beletten een recht uit te oefenen of een dienst te gebruiken

Een DPIA moet bevatten: een systematische beschrijving van de verwerkingen en hun doeleinden, een beoordeling van de noodzakelijkheid en evenredigheid, een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen, en de maatregelen om die risico's aan te pakken. De CNIL biedt een gratis tool (PIA-software) om DPIA's uit te voeren.

Rechten van betrokkenen (Artikelen 15-22)

De AVG kent acht rechten toe aan betrokkenen. U moet in staat zijn om verzoeken binnen één maand te beantwoorden (verlengbaar tot drie maanden voor complexe verzoeken), kosteloos.

Recht van inzage (Artikel 15)

Betrokkenen kunnen bevestiging vragen of hun persoonsgegevens worden verwerkt en, zo ja, toegang krijgen tot de gegevens en aanvullende informatie (doeleinden, categorieën, ontvangers, bewaartermijnen, bron van de gegevens). U moet een kopie van de gegevens verstrekken in een gangbaar elektronisch formaat.

Recht op rectificatie (Artikel 16)

Betrokkenen kunnen verzoeken om correctie van onjuiste persoonsgegevens of aanvulling van onvolledige gegevens. U moet de gegevens onverwijld rectificeren en elke ontvanger aan wie de gegevens zijn verstrekt informeren.

Recht op gegevenswissing (Artikel 17)

Ook bekend als het „recht op vergetelheid“. Betrokkenen kunnen verzoeken om wissing van hun gegevens wanneer: de gegevens niet meer nodig zijn, de toestemming is ingetrokken, zij bezwaar maken tegen de verwerking, de gegevens onrechtmatig zijn verwerkt of wissing wettelijk verplicht is. Uitzonderingen gelden voor wettelijke verplichtingen, algemeen belang en rechtsvorderingen.

Recht op beperking van de verwerking (Artikel 18)

Betrokkenen kunnen verzoeken dat de verwerking wordt beperkt (gegevens bewaard maar niet gebruikt) zolang de juistheid wordt betwist, de verwerking onrechtmatig is of zij bezwaar hebben gemaakt in afwachting van verificatie.

Recht op overdraagbaarheid van gegevens (Artikel 20)

Betrokkenen kunnen hun persoonsgegevens opvragen in een gestructureerd, gangbaar en machineleesbaar formaat (JSON, CSV) en deze rechtstreeks laten doorzenden naar een andere verwerkingsverantwoordelijke, voor zover dit technisch haalbaar is. Dit recht geldt alleen voor gegevens die door de betrokkene zijn verstrekt en die geautomatiseerd worden verwerkt op basis van toestemming of een overeenkomst.

Recht van bezwaar (Artikel 21)

Betrokkenen kunnen bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of een taak van algemeen belang, inclusief profilering. Voor directmarketingdoeleinden is het recht van bezwaar absoluut — er is geen belangenafweging vereist.

Recht om niet aan geautomatiseerde besluitvorming te worden onderworpen (Artikel 22)

Betrokkenen hebben het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking — inclusief profilering — gebaseerd besluit dat rechtsgevolgen heeft of hen op vergelijkbare wijze aanmerkelijk treft. Uitzonderingen bestaan voor de uitvoering van een overeenkomst, wettelijke toestemming en uitdrukkelijke toestemming, maar waarborgen (menselijke tussenkomst, recht om te betwisten) moeten aanwezig zijn.

Recht op informatie (Artikelen 13-14)

De basis van transparantie: betrokkenen moeten op het moment van gegevensverzameling worden geïnformeerd over de identiteit van de verwerkingsverantwoordelijke, de doeleinden, de rechtsgrond, de ontvangers, de bewaartermijnen, hun rechten en of de verstrekking van gegevens een wettelijke of contractuele verplichting is.

Veelvoorkomende AVG-overtredingen en boetes

De meest frequent beboete overtredingen door de CNIL omvatten:

Niet-conforme cookietoestemming (150 M EUR Google, 60 M EUR Facebook, 2022): Toestemming moet net zo gemakkelijk te weigeren als te geven zijn. Vooraf aangevinkte vakjes en dark patterns zijn verboden.
Ontoereikende rechtsgrond voor verwerking (405 M EUR Meta, 2023): Het gebruik van „uitvoering van een overeenkomst“ als rechtsgrond voor gedragsgerichte reclame werd afgewezen.
Onvoldoende beveiligingsmaatregelen (1,5 M EUR Dedalus Biologie, 2022): Opslag van wachtwoorden in platte tekst, ontoereikende toegangscontroles en ontbrekende encryptie zijn veelvoorkomende bevindingen.
Buitensporige gegevensopslag (800.000 EUR Carrefour, 2020): Het bewaren van klantgegevens langer dan 4 jaar na de laatste interactie was een schending van de opslagbeperking.
Niet-beantwoording van verzoeken van betrokkenen (talrijke kleinere boetes): Niet reageren binnen de termijn van één maand leidt tot handhavingsmaatregelen.
Ontoereikende melding van datalekken (Artikel 33): Het niet melden aan de CNIL binnen 72 uur na kennisname van een inbreuk op persoonsgegevens.

Technische compliance-maatregelen

De CNIL beoordeelt technische beveiligingsmaatregelen als onderdeel van het beginsel van „integriteit en vertrouwelijkheid“. De belangrijkste technische vereisten omvatten:

Encryptie tijdens transport: TLS 1.2 minimaal (TLS 1.3 aanbevolen) voor alle verbindingen. HSTS-header met minimaal 12 maanden max-age.
Encryptie in rust: AES-256 voor databases met persoonsgegevens. Gedocumenteerde procedures voor sleutelbeheer.
Wachtwoordbeveiliging: bcrypt-, scrypt- of Argon2-hashing. Minimaal 12 tekens. Accountvergrendeling na mislukte pogingen. De CNIL heeft in 2022 bijgewerkte wachtwoordrichtlijnen gepubliceerd (Délibération 2022-100).
Toegangscontrole: Rolgebaseerde toegangscontrole (RBAC). Principe van minimale rechten. MFA voor beheerderstoegang. Regelmatige toegangsbeoordelingen.
Logregistratie: Authenticatiegebeurtenissen, toegang tot persoonsgegevens, gegevenswijzigingen. Bewaring van logs afgestemd op beveiligingsbehoeften (minimaal 6 maanden). Geen persoonsgegevens in logs.
Detectie van datalekken: Inbraakdetectiesystemen. Anomaliedetectie. 72-uurs meldcapaciteit. Procedure voor reactie op datalekken.

Aan de slag met AVG-compliance

AVG-compliance is geen eenmalig project maar een doorlopend proces. Voor organisaties die hun compliance-traject beginnen, wordt de volgende aanpak aanbevolen:

Breng uw gegevens in kaart: Identificeer welke persoonsgegevens u verzamelt, waar ze worden opgeslagen, wie er toegang toe heeft en hoe lang u ze bewaart. Dit wordt uw verwerkingsregister van Artikel 30.
Beoordeel uw rechtsgronden:Bepaal voor elke verwerkingsactiviteit de rechtsgrond. Toestemming vereist bijzondere aandacht: deze moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.
Beveilig uw gegevens: Voer een beveiligingsaudit uit om technische lacunes te identificeren: ontbrekende encryptie, zwakke authenticatie, ontoereikende logregistratie. Veel van deze problemen kunnen automatisch worden gedetecteerd.
Documenteer alles: Het verantwoordingsbeginsel vereist documentatie. Maak sjablonen voor privacyverklaringen, verwerkersovereenkomsten, dataleknotificaties en antwoorden op verzoeken van betrokkenen.

CNIL Audit Preparation Checklist

The CNIL can conduct four types of audits: on-site inspections, online (remote technical) checks, document-based requests, and formal hearings. Here is what you need to have ready:

Verwerkingsregister Artikel 30 (volledig, actueel)

Privacyverklaringen voor alle verzamelpunten (website, formulieren, apps)

Cookietoestemmingsmechanisme (conform CNIL-richtlijnen)

Procedure voor verzoeken van betrokkenen en opvolgingsregister

Verwerkersovereenkomsten (DPA) met alle verwerkers

Procedure voor melding van datalekken en datalekregister

DPIA voor verwerkingsactiviteiten met hoog risico

Bewaarbeleid met gedefinieerde perioden per gegevenscategorie

Documentatie van beveiligingsmaatregelen (technisch en organisatorisch)

Aanstellingsbrief DPO en contactgegevens (indien van toepassing)

Waarborgen voor internationale doorgifte (SCC, adequaatheidsbesluiten)

Trainings- en bewustmakingsregistratie van medewerkers