Blog

10 veelvoorkomende GDPR-nalevingsfouten op websites (en hoe je ze voorkomt)

Veelvoorkomende GDPR-nalevingsfouten op websites, waarom je team ze niet opmerkt, en hoe je onrechtmatige gegevensverzameling voorkomt.

Dec 30, 2025 • 11 min read

Juan Combariza Growth Marketer

Common-gdpr-failures-and-how-to-prevent-them

De vier belangrijkste oorzaken van GDPR-fouten, met een overzicht van de meest voorkomende nalevingstekortkomingen die leiden tot regelgevingsproblemen — Infographic: De vier belangrijkste oorzaken van GDPR-fouten, gebaseerd op een database van bijgehouden boetes.

De Algemene Verordening Gegevensbescherming (AVG/GDPR) is een Europese privacywet. In werking getreden in 2018, regelt deze hoe je persoonsgegevens verzamelt, opslaat en gebruikt op je website.

Als je de meest voorkomende GDPR-boetes bestudeert die toezichthouders maandelijks opleggen, valt op dat de meeste boetes terug te voeren zijn op basale fouten. Gebrekkige toestemmingsflows, verborgen vermeldingen en trackers die te vroeg laden zijn een terugkerend patroon.

In dit artikel bespreken we deze veelvoorkomende tekortkomingen in GDPR-naleving voor websites en hoe je ze kunt oplossen.

Samenvatting

De GDPR is van toepassing op je website als je EU- of VK-inwoners als doelgroep hebt of hun gedrag monitort, ook als je bedrijf niet in de EU is gevestigd.
De meerderheid van de boetes verwijst naar een van deze tekortkomingen: onrechtmatige gegevensverwerking, gebrekkige transparantie, buitensporige gegevensverzameling en onvoldoende beveiligingsmaatregelen.
Een GDPR-overtreding kan je tot €20 miljoen of 4% van je wereldwijde omzet kosten.
Veel overtredingen beginnen onopgemerkt aan de client-side, waar scripts en trackers van derden gegevens verzamelen zonder dat iemand in je team het doorheeft.
Toezichthouders verwachten bewijs: activiteitenlogboeken, aantoonbare beveiligingsmaatregelen en een duidelijke poging om privacy in je architectuur te verankeren.
cside Privacy Watch helpt teams client-side privacyrisico's te detecteren en de gegevensverzameling op websites te beheersen voordat het een regelgevingsprobleem wordt.

Tabel: Verdeling van GDPR-boetes per type overtreding (gebaseerd op 2.817 boetes in totaal)

Categorie overtreding	Aantal boetes	Percentage van alle boetes
Onvoldoende rechtsgrondslag voor gegevensverwerking	797	28,29%
Niet-naleving van algemene gegevensverwerkingsbeginselen	737	26,16%
Onvoldoende technische en organisatorische maatregelen voor informatiebeveiliging	523	18,57%
Onvoldoende nakoming van de rechten van betrokkenen	284	10,08%
Onvoldoende nakoming van informatieverplichtingen	202	7,17%
Onvoldoende medewerking aan de toezichthoudende autoriteit	157	5,57%
Onvoldoende nakoming van meldingsverplichtingen bij datalekken	51	1,81%
Onvoldoende betrokkenheid van de functionaris voor gegevensbescherming	25	0,89%
Onbekend	19	0,67%
Onvoldoende gegevensverwerkingsovereenkomst	15	0,53%
Geen functionaris voor gegevensbescherming aangesteld	7	0,25%

De GDPR-nalevingsvereisten zijn van toepassing op je website onder een aantal voorwaarden:

Als je goederen of diensten aanbiedt aan mensen in de EU of het VK, ook als die diensten gratis zijn.
Als je het gedrag van EU-gebruikers op je site monitort. Dat omvat cookies, analytics, heatmaps, advertenties of gebruikersprofilering.

Je hebt geen EU-kantoor of -team nodig voor de toepasselijkheid. Als je site EU-gebruikers bereikt via taal, prijsstelling, verzendopties of trackingtools, is de GDPR van toepassing.

GDPR-boetes kunnen oplopen tot €20 miljoen, of 4% van de totale wereldwijde omzet van je bedrijf in het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.

Dat is een aanzienlijk bedrag, en ook je reputatie staat op het spel.

Om dat te voorkomen, volgen hier 10 veelvoorkomende GDPR-nalevingsfouten op websites die je moet aanpakken voordat ze uitgroeien tot kostbare rechtszaken.

1. Onrechtmatige gegevensverzameling vóór toestemming

Als je gebruikmaakt van tools van derden op je website, kunnen deze schadelijke scripts bevatten. Die kunnen gegevens ophalen zonder je backend aan te raken. Zelfs bij niet-schadelijke scripts kunnen externe leveranciers code wijzigen of scripts uitbreiden om gegevens te verzamelen zonder dat jij het weet.

Verkeerd geconfigureerde scripts maken dit erger. Ze kunnen vóór toestemming worden uitgevoerd en op elke pagina actief zijn. Wanneer dat gebeurt, verzamelt je site persoonsgegevens zonder goedkeuring, en blijf jij verantwoordelijk voor die gegevensstroom — niet de leverancier.

Om dit probleem op te lossen:

Gebruik GDPR-nalevingssoftware om elk script van derden te controleren
Documenteer welke gegevens het verzamelt
Beperk waar scripts kunnen worden uitgevoerd en verwijder tools die je niet meer gebruikt
Controleer leveranciersupdates en -wijzigingen regelmatig

2. Onbeheerde scripts en trackers van derden

Naarmate je website groeit, groeit ook je scriptlijst.

Oude tools blijven actief lang nadat je ze niet meer gebruikt. Nieuwe trackers worden toegevoegd voor tests, campagnes en plugins. Niemand controleert wat ze verzamelen en waar de gegevens naartoe gaan. Gegevens verlaten je site zonder enige controle. Dat brengt de privacy van gebruikers in gevaar en maakt GDPR-nalevingscertificering erg lastig.

De oplossing is:

Wijs eigenaarschap toe voor tools van derden en gegevensstromen
Stel goedkeuringsregels in voordat een nieuw script live gaat
Controleer gegevensverzameling na sitewijzigingen of nieuwe functielanceringen
Volg scriptgedrag in realtime in plaats van handmatige controles

3. Onnauwkeurige en verouderde privacyverklaringen

Je privacybeleid ziet er op het eerste gezicht vaak goed uit. Het probleem schuilt in de details.

Bij elke update verschuiven gegevensstromen; nieuwe formulieren, pixels en integraties gaan live. Teams lanceren functies vaak zonder gegevenswijzigingen te melden. En wanneer verklaringen niet meer overeenkomen met wat je site daadwerkelijk doet, misleid je gebruikers.

GDPR-toezichthouders beschouwen dat als een echte overtreding. Goede bedoelingen helpen niet als de informatie onjuist is.

Voor een GDPR-conforme website moet je:

Verklaringen bijwerken wanneer de gegevensverzameling verandert
De bewoordingen in het beleid afstemmen op het werkelijke gedrag van de site
Schrijven in begrijpelijke taal die mensen in één oogopslag kunnen begrijpen
Verklaringen dicht bij formulieren en toestemmingspunten plaatsen

4. Buitensporige gegevensverzameling op scriptniveau

Veel websites verzamelen meer gegevens dan nodig. Scripts halen volledige IP-adressen, gedetailleerde apparaatgegevens en uitgebreide gebeurtenislogboeken op voor basale toepassingen. Niemand stelt de standaardinstellingen ter discussie. Dit is in strijd met de GDPR.

De wet verwacht dat je alleen verzamelt wat een duidelijk doel ondersteunt. Extra gegevens verhogen het risico en de blootstelling zonder enig reëel voordeel.

Om dit op te lossen:

Schakel optionele gegevensvelden in trackingtools uit
Anonimiseer of maskeer persoonsgegevens waar mogelijk
Beperk gebeurtenissen tot wat echte beslissingen ondersteunt
Controleer scriptinstellingen na updates

5. Onvermogen om scriptwijzigingen of -injecties te detecteren

Scripts op je website blijven niet statisch. Leveranciers pushen updates. Plugins veranderen van gedrag. Nieuwe code kan verschijnen zonder een ticket of releasenotitie. Deze wijzigingen zijn gemakkelijk te missen, wat verborgen risico's creëert.

Je website kan beginnen met het verzamelen en delen van persoonsgegevens die je nooit hebt goedgekeurd. Daardoor wordt het lastig om naleving aan te tonen bij een GDPR-overtreding.

Volg deze tips om dergelijke problemen te voorkomen:

Monitor websitescripts op onverwachte wijzigingen
Stel meldingen in voor nieuwe of gewijzigde code die invloed heeft op gegevensverwerking
Volg scriptgedrag, niet alleen scriptnamen
Beoordeel wijzigingen als onderdeel van reguliere sitecontroles

6. Ongeldige of niet-conforme toestemmingsmechanismen

Veel toestemmingsbanner zien er correct uit, maar falen in de praktijk. Ze verbergen de weigeroptie en sturen gebruikers aan om te accepteren. Sommige laden tracking zelfs nadat een gebruiker cookies heeft geweigerd. Andere bundelen toestemming in vage bewoordingen. Dit is in strijd met de GDPR-regels.

De gebruiker moet toestemming geven nadat hij begrijpt hoe en waarom je zijn gegevens verzamelt. Als hij zich onder druk gezet en verward voelt, telt de toestemming niet.

Los dit op door:

De accepteer- en weigerknop naast elkaar te plaatsen
Gebruikers per doel toestemming te laten geven
Keuzes te respecteren over pagina's en sessies heen
Niet te tracken wanneer toestemming is geweigerd

7. Gebrekkige verantwoording van externe leveranciers

Je leveranciers verzamelen gegevens namens jou, en veel teams vertrouwen hen blindelings. Wanneer leveranciers gegevens verkeerd behandelen, houd je toezichthouders jou nog steeds verantwoordelijk. Dit hiaat wordt vaak pas opgemerkt wanneer er een klacht of audit verschijnt.

De oplossing is zorgvuldig te zijn bij het kiezen en implementeren van tools van derden voor je website.

Sluit verwerkersovereenkomsten (DPA's) af met alle derde partijen. Deze kunnen de vorm aannemen van een gestandaardiseerde DPA of een op maat gemaakte DPA.
Vraag om bewijs, niet alleen een GDPR-nalevingslogo
Stel duidelijke gegevenslimieten en verantwoordelijkheden vast
Gebruik een tool om te monitoren hoe leverancierscode op je site wordt uitgevoerd, zodat gegevensverzameling binnen de reikwijdte van je overeenkomst blijft.

8. Onvoldoende beveiliging van client-side gegevensstromen

Kwaadwillenden richten zich op je website, omdat die vaak het minst gemonitorde onderdeel van de beveiligingshouding is. Website-dataskimming blijft toenemen volgens onderzoek van Insikt Group, en zwakke client-side beveiliging tegen dergelijke aanvallen leidt tot GDPR-boetes, zoals blijkt uit de £20 miljoen boete voor British Airways. Onder artikel 32 GDPR verwachten toezichthouders dat er waarborgen zijn getroffen tegen bedreigingen voor gegevensblootstelling.

Voor client-side beveiligingsmaatregelen moet je:

Monitoren op formjacking, schadelijke JavaScript-injecties en DOM-manipulatie
Controleren waarheen browsergegevens worden verzonden. Als gegevens plotseling naar China of Rusland worden gestuurd, kan er sprake zijn van een data-exfiltratieaanval.
Auditors bewijs tonen van geïmplementeerde beveiligingsmaatregelen, zoals client-side monitoring.
Een tool inzetten die een live dreigingsfeed bijhoudt om je te waarschuwen voor supply chain-inbreuken van websitescripts op je site (chatbots, analysetools).

Wees voorzichtig met oplossingen die client-side beveiliging beloven via no-code scanners. Deze tools zijn nuttig voor het controleren van de lijst met scripts op je site, maar laten een wijdopen deur achter voor echte aanvallen.

9. Onvoldoende documentatie voor audits en onderzoeken

Wanneer er een audit of klacht opduikt, staan veel teams met lege handen. Ze kunnen de gegevensstromen niet duidelijk uitleggen. Registraties zijn onvolledig of verouderd. Toezichthouders verwachten duidelijke antwoorden en bewijs. Als je niet kunt uitleggen welke gegevens je verzamelt, waar ze naartoe gaan en wanneer toestemming is gegeven, volgen er problemen. Zorg daarom voor:

Eenvoudige registraties van gegevensstromen en doeleinden
Logboeken van toestemmingskeuzes en -updates
Overzicht van leveranciersrollen en gegevenstoegang
Bijgewerkte documenten na site- of toolwijzigingen

10. Overmatig vertrouwen op eenmalige nalevingscontroles

Bedrijven behandelen GDPR-controles vaak als een eenmalige taak. Ze voeren een scan uit, lossen een paar problemen op en gaan verder. Maar je website blijft veranderen — telkens wanneer je een nieuwe tool toevoegt of een leverancier updates doorvoert.

Je moet GDPR-naleving als onderdeel van de reguliere workflow beoordelen:

Controleer toestemming en tracking opnieuw na releases
Stel duidelijke controlemomenten in voor nalevingsbeoordelingen na marketing-, product- en functiewijzigingen
Gebruik geautomatiseerde monitoring om nieuwe gegevensverzameling direct te signaleren, niet weken later

Vertragingen bij het afhandelen van inzageverzoeken (DSAR's)

Wanneer een consument een Data Subject Access Request indient, ben je dan in staat om precies aan te tonen hoe zijn gegevens worden verwerkt en bewaard? Voor de meeste bedrijven is dit een gemakkelijke ethische keuze, maar ze beschikken niet over de technische middelen om dit verzoek tijdig te honoreren (doorgaans binnen 30 dagen).

Daarom is het standaardpraktijk om een DSAR-tool te gebruiken:

Centraliseer de intake (webformulier + e-mail), identiteitsverificatie en verzoekopvolging
Onderhoud een gegevenskaart zodat je persoonsgegevens kunt vinden in apps en bij leveranciers
Leg een auditspoor aan voor toezichthouders over wat je hebt verstrekt en waarom je iets hebt achtergehouden.

Fouten door medewerkers

GDPR-fouten zijn niet altijd opzettelijk. Het kunnen operationele vergissingen zijn. Een medewerker exporteert het verkeerde rapport, plakt klantgegevens in het verkeerde ticket of configureert een deellink verkeerd. Handhavingsinstanties staan bekend om het verlichten van de boete als er duidelijk bewijs is dat privacybescherming aanwezig was, maar door een eerlijke vergissing werd geschonden.

Zorg ervoor dat je team regelmatig wordt getraind in:

Het omgaan met gevoelige gegevens (gezondheid, biometrie en financiële identificatoren)
Veilig omgaan met exports
Beveiliging en toegangscontroles

De GDPR kent twee boetecategorieën op basis van het type overtreding.

Lagere boetes gelden voor procesfouten. Denk aan gebrekkige registratie, zwakke beveiligingsmaatregelen of ontbrekende documentatie. Deze kunnen oplopen tot €10 miljoen of 2% van je wereldwijde jaaromzet.

Hogere boetes gelden voor ernstige schendingen van rechten. Denk aan onrechtmatige gegevensverzameling, ongeldige toestemming en misbruik van persoonsgegevens. Deze kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet.

Toezichthouders beoordelen ook de omvang, duur, opzet en herhaling van gedrag. Boetes schalen dus mee met de impact, niet alleen met de omvang van je bedrijf.

Met Privacy Watch krijg je inzicht in de client-side, waar privacyproblemen beginnen en onopgemerkt blijven.

In tegenstelling tot periodieke audits of statische scanners monitort cside je website 24/7 en houdt duidelijke auditsporen bij die laten zien hoe scripts van derden zich op je site gedragen. De geautomatiseerde rapporten zijn speciaal gemaakt voor de vereiste formaten van GDPR, CCPA en HIPAA.

cside:

Detecteert potentiële privacyovertredingen in scripts van derde en vierde partijen (subverwerkers).
Gebruikt configureerbare beveiligingslagen om je website te beschermen, met de diepste client-side dekking via Gatekeeper
Analyseert het dreigingspotentieel van scripts van derden op je website met AI-verbeterde risicoscoring
Versnelt nalevingswerkzaamheden met door AI automatisch gegenereerde documentatie voor meerdere privacykaders
Stuurt directe meldingen wanneer gegevensverzamelingspatronen veranderen
Vergrendelt goedgekeurde scriptversies zodat je kunt terugkeren naar een veilige release
Monitort welke gegevens scripts benaderen en waarheen die gegevens worden verzonden

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het voorkomen van GDPR-overtredingen vereist een holistische nalevingshouding. Een goed startpunt is het verzamelen van zo min mogelijk gegevens op je website. Volledige naleving vereist dat je voldoet aan de GDPR-vereisten rondom rechtmatige grondslag voor verzameling, transparantie naar gebruikers, gegevensbeveiliging en respect voor privacyrechten.

Bij een datalek onder de GDPR moet je het incident snel identificeren, de impact op getroffen gebruikers beoordelen en alle details documenteren. Toezichthouders moeten binnen 72 uur na het ontdekken van het lek worden geïnformeerd, en getroffen gebruikers moeten worden ingelicht als er een hoog risico bestaat, zoals blootstelling van betalings- of identiteitsgegevens.

Veelvoorkomende GDPR-overtredingen vallen in vier hoofdcategorieën, die samen goed zijn voor ongeveer 83 procent van alle handhavingsacties: onvoldoende rechtsgrondslag voor gegevensverwerking, niet-naleving van algemene gegevensverwerkingsbeginselen zoals het ontbreken van doelbinding, onvoldoende technische beveiliging en het niet nakomen van de rechten van betrokkenen.

Een website voldoet aan de GDPR wanneer deze alleen noodzakelijke gegevens verzamelt, geldige toestemming verkrijgt waar vereist, en de gegevensverwerking duidelijk uitlegt aan gebruikers. De website moet ook persoonsgegevens beschermen tegen datalekken, aantoonbare controle hebben over externe verwerkers zoals scripts, en gebruikersrechten respecteren, waaronder inzage, verwijdering en bezwaar.

Het exploiteren van een niet-conforme website stelt je bedrijf bloot aan boetes, audits en openbare handhavingsbesluiten, en schaadt het vertrouwen van klanten. Boetes kunnen variëren van kleine administratieve sancties tot honderden miljoenen euro's. Veel organisaties stellen GDPR-naleving ook contractueel verplicht, waardoor het ontbreken ervan kan leiden tot verlies van zakelijke kansen.

Een GDPR-nalevingsprobleem ontstaat wanneer de gegevensverzamelingspraktijken, toestemmingsmechanismen, beveiligingsmaatregelen of nalevingsdocumentatie van je website niet voldoen aan de GDPR-vereisten.

Dit is een van de meest voorkomende categorieën van GDPR-overtredingen en verwijst doorgaans naar schendingen van artikel 5. Toezichthouders gebruiken deze classificatie wanneer de algehele gegevensverwerkingspraktijken van een bedrijf fundamenteel in strijd zijn met de GDPR-beginselen, ook als er geen specifieke technische tekortkoming wordt aangehaald.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.

10 veelvoorkomende GDPR-nalevingsfouten op websites (en hoe je ze voorkomt)

Samenvatting

Is de GDPR van toepassing op jouw website?