Privacy Checked

GDPR & Tracking Audit Platform

Audit Report — Demo
URL: https://voorbeeld-webshop.nl
Audit date: 2 april 2026
Tool: Privacy Checked v3.7 · privacy-checked.com
Mode: 3-phase browser audit (Observe → Accept → Decline)

voorbeeld-webshop.nl

E-commerce · OneTrust CMP · GTM-DEMO42 · G-DEMO12345

📋 OneTrust ✗ No Consent Mode v2

Overall

Consent v2

Tracking

Security

🔴 Critical violations

3 findings

🟡 Warnings

4 findings

✓ GDPR risk level

High — Act now

EXECUTIVE SUMMARY

voorbeeld-webshop.nl scoorde 34/100. Het systeem detecteerde pre-consent tracking — Google Analytics, Meta Pixel, en Microsoft Clarity laden voordat de gebruiker enige toestemming heeft gegeven. Na decline worden nog steeds 4 trackers geactiveerd, wat een directe GDPR-overtreding vormt (Art. 6(1) AVG). Google Consent Mode v2 is niet correct geconfigureerd: slechts 1 van de 9 checks slaagt. Onmiddellijk actie vereist om boetes tot €20 miljoen te vermijden.

3-fase browser audit

FASE 1 — OBSERVE

Geen interactie

Pre-consent baseline

⚠ 6 trackers actief

Vóór bannerinteractie

FASE 2 — ACCEPT

Accept geklikt

Post-accept + 2 pagina's

✓ 14 trackers actief

Correct na consent

FASE 3 — DECLINE

Decline geklikt

Fresh context + decline

🚨 4 trackers na decline

KRITIEKE OVERTREDING

🔴 Kritieke bevindingen

kritiek Tracking Fase 3

4 trackers actief na decline — directe AVG-overtreding

AVG Art. 6(1) (geen rechtmatige grondslag) + Art. 7(3) (intrekking genegeerd)

Google Analytics, Meta Pixel, Hotjar, en Microsoft Clarity sturen data nadat de gebruiker toestemming expliciet heeft geweigerd. Implementeer consent-check in GTM: alle tags moeten de analytics_storage / ad_storage consent-staat controleren. Tags mogen pas activeren na een update-event met 'granted'. Risico: AP-handhaving, boete tot €20M of 4% mondiale omzet.

kritiek Consent Mode Fase 1

Google Consent Mode v2 niet geconfigureerd — pre-consent tracking ontbreekt beveiliging

AVG Art. 25 (Privacy by Design) + Art. 6(1)

Voeg toe vóór uw GTM-container:

gtag('consent','default',{ad_storage:'denied', analytics_storage:'denied', ad_user_data:'denied', ad_personalization:'denied', wait_for_update:500});

Dit zorgt dat GA4 en Ads in cookieless modus draaien totdat de gebruiker consent geeft. Zonder dit sturen deze tools volledige identifiers.

kritiek Cookie Banner

Banner heeft geen gelijkwaardige decline-optie op het eerste scherm

AVG Art. 7(3) (intrekking moet even eenvoudig zijn als geven)

De "Alles weigeren"-knop vereist momenteel 2 extra klikken via "Instellingen". Voeg een directe "Weiger alles"-knop toe naast "Accepteer alles" op het bannerhoofdscherm. Zie EDPB-richtlijn 05/2020 over consent.

🟡 Waarschuwingen

waarschuwingConsent Mode

wait_for_update ontbreekt of <500ms — tags kunnen vuren vóór CMP-respons

Technisch risico (geen directe AVG-artikel) — vergroot kans op Art. 6(1)-overtreding

Voeg wait_for_update: 500 toe aan het consent-default commando. Dit geeft de CMP 500ms tijd om de consent-staat door te sturen voordat tags activeren.

waarschuwingConsent Mode

ads_data_redaction en url_passthrough niet geconfigureerd

Stel ads_data_redaction: true in om advertentiedata te anonimiseren bij geweigerd ad_storage. Stel url_passthrough: true in voor cookie-loze attributie via URL-parameters.

waarschuwingGTM

3 GTM-tags zonder consent-check trigger — kunnen vuren voor toestemming

Controleer in GTM alle actieve tags: ga naar Tag → Advanced Settings → Consent Settings en voeg de juiste consent-types toe. Tags die analytics of ads data sturen vereisen analytics_storage respectievelijk ad_storage.

waarschuwingCookies

2 tracking cookies gezet vóór enige bannerinteractie (pre-consent)

AVG Art. 5(1)(c) (dataminimalisatie) + Overweging 30 (cookies als identificatoren)

_ga en _fbp cookies worden gezet bij paginabezoek, vóór consent. Blokkeer alle analytische en advertentie-cookies totdat de gebruiker toestemming geeft via uw CMP-configuratie.

Google Consent Mode v2 — 9-checks matrix

1/9

Checks slagen

Score: 11/100 · CMP: OneTrust · GTM: GTM-DEMO42

❌ hasDefault — consent default aanwezig

❌ allV2 — alle 4 v2 types geconfigureerd

❌ denied — alles standaard denied

❌ update — consent update na bannerinteractie

❌ redaction — ads_data_redaction: true

❌ passthrough — url_passthrough: true

❌ wait — wait_for_update ≥500ms

❌ gcd — correcte gcd parameter op /collect

✅ ics — google_tag_data.ics consistent gedeeltelijk

// Vereiste implementatie (vóór GTM-container)
gtag('consent', 'default', {
ad_storage: 'denied',
analytics_storage: 'denied',
ad_user_data: 'denied',     // v2 vereist
ad_personalization: 'denied', // v2 vereist
ads_data_redaction: true,
url_passthrough: true,
wait_for_update: 500
});

Tracking analyse

GTM containerGTM-DEMO42

GA4 propertyG-DEMO12345

Google AdsAW-DEMO678

Meta Pixel1234567890

Microsoft Clarityclarity-DEMO

Hotjarhj-DEMO

Pre-consent trackers (Fase 1)6 requests

Trackers na decline (Fase 3)🚨 4 requests — OVERTREDING

Cookies vóór consent_ga, _fbp (2 tracking cookies)

Server-side GTMNiet gedetecteerd

Cookie banner analyse

CMP platformOneTrust

Banner gedetecteerd✓ Ja

Accept-knop✓ Aanwezig

Decline-knop (eerste scherm)✗ Niet aanwezig

Instellingen/beheer-knop✓ Aanwezig

Gelijkwaardig weigeren✗ 2 klikken vereist

Banner-tekst leesbaar✓ Ja

Privacybeleid gelinkt✓ Ja

Verborgen Unicode in tekst✓ Schoon

📸

Screenshottbewijs beschikbaar in volledig auditrapport

Cookie banner · instellingenpaneel · accept/decline-schermen · 3 fases

Tech stack

CMS: Magento 2 CMP: OneTrust 202502 Analytics: GA4 Ads: Google Ads Social: Meta Pixel Heatmaps: Hotjar + Clarity A/B: VWO CDN: Cloudflare

Infrastructuur & beveiliging

SSL/TLS✓ TLS 1.3 · Let's Encrypt

SPF record✓ Aanwezig

DMARC record⚠ Ontbreekt

HSTS header✓ Aanwezig

CSP header✗ Ontbreekt

PageSpeed Mobile58/100

🗺️ Implementatie roadmap

🚨 PRIORITEIT 1 — DIRECT ACTIE VEREIST

🚨

Implementeer Consent Mode v2 vóór GTM-container

Voeg het gtag consent default commando toe aan uw <head>, vóór het GTM-snippet. Configureer alle 4 v2 types (ad_storage, analytics_storage, ad_user_data, ad_personalization) op 'denied'. Voeg wait_for_update: 500 toe. Zie code-fragment op pagina 2.

Geschatte tijd: ~2 uur · Impact: Hoog · AVG Art. 25

🛑

Voeg directe "Weiger alles"-knop toe aan cookie banner

In OneTrust: ga naar Styling → Banner Buttons → voeg een "Reject All"-knop toe op hetzelfde niveau als "Accept All". Controleer dat de knop prominent zichtbaar is zonder extra klikken. Zie EDPB Richtlijn 05/2020.

Geschatte tijd: ~1 uur · Impact: Hoog · AVG Art. 7(3)

📊

Blokkeer trackers na decline in GTM

Open GTM → ga elk tag door → voeg consent trigger toe: alle analytics/ads tags moeten op "analytics_storage: granted" wachten. Test in GTM Preview mode + Tag Assistant. Ga pas live na verificatie.

Geschatte tijd: ~3 uur · Impact: Kritiek · AVG Art. 6(1) + Art. 7(3)

📅 PRIORITEIT 2 — DEZE MAAND

⏱️

Voeg wait_for_update ≥500ms toe + ads_data_redaction + url_passthrough

Kleine aanpassing in het consent default commando. Voegt cookieless attributie toe en beschermt advertentiedata bij geweigerd consent.

Geschatte tijd: ~15 minuten · Impact: Middel

🔍

GTM tag-inventarisatie + consent gap review

Loop alle actieve tags door in GTM. Controleer of elke tag met data-verzending de juiste consent-uitzondering heeft. Gebruik GTM Preview + Network tab in Chrome DevTools om te verifiëren welke tags vuren in Fase 1.

Geschatte tijd: ~2 uur · Impact: Hoog

📬

Voeg DMARC-record toe aan DNS

Voeg een DMARC TXT record toe: v=DMARC1; p=quarantine; rua=mailto:dmarc@uwdomein.nl. Beschermt uw domein tegen email spoofing.

Geschatte tijd: ~30 minuten · Impact: Middel

📈 PRIORITEIT 3 — ROADMAP

🗂️

Overweeg server-side GTM

Server-side GTM biedt betere cookie-lifetime, first-party data, en verbeterd consent-beheer. Hogere initiële setup, maar geeft meer controle over data-flows.

Geschatte tijd: 2–4 dagen · Impact: Strategisch

📈

BigQuery export + GA4 Data Readiness

Verbind GA4 met BigQuery voor consent-proof dataopslag en geavanceerde funnelanalyse. Biedt onafhankelijke backup van GA4-data die niet afhankelijk is van cookies.

Geschatte tijd: 1–2 dagen · Impact: Analytisch

🔒

Voeg Content Security Policy (CSP) toe

Implementeer een strikte CSP-header die alleen goedgekeurde domeinen toestaat scripts te laden. Voorkomt ongeautoriseerde data-verzameling door derden.

Geschatte tijd: ~1 dag · Impact: Beveiliging

📋 Volgende stappen

Dit rapport dient als juridisch bewijs voor toezichthouders en als basis voor uw privacycompliance. Wij adviseren de bevindingen te delen met uw DPO (Data Protection Officer) en uw CMP-leverancier (OneTrust). Voer na implementatie een heraudit uit om te bevestigen dat alle problemen zijn opgelost.

Complete Audit (€599): Neem contact op via privacy-checked.com voor een volledig auditpakket inclusief branded PDF-rapport, persoonlijke toelichting, en prioriteitsgesprek met onze GDPR-specialist.