Wat is een AVG-cookie-audit? (En hoe je hem in 2026 doorstaat)

De AVG bestaat acht jaar, en de meest voorkomende compliance-fout op mkb-sites is nog steeds de cookiebanner. Elke EU-toezichthouder heeft hierover richtlijnen; bijna allen hebben minstens één boete uitgedeeld. De lat ligt niet hoog — hij is specifiek.

Een AVG-cookie-audit is de gestructureerde controle die aangeeft of je site een onderzoek door de AP, ICO, CNIL of Garante zou doorstaan. Dit artikel beschrijft wat de audit doet, welke regels het toepast en welke fouten we het vaakst zien op mkb-sites.

De juridische basis, in begrijpelijke taal

Twee regels. De ePrivacy-richtlijn (art. 5(3)) en, in Nederland, artikel 11.7a Telecommunicatiewet: vereisen toestemming voordat enige niet-strikt- noodzakelijke informatie wordt opgeslagen op of gelezen van het apparaat. De AVG (art. 4(11), art. 7) definieert geldige toestemming: vrij, specifiek, geïnformeerd, ondubbelzinnig en even makkelijk in te trekken als te geven.

Wat de audit stap voor stap controleert

1. Netwerkregistratie bij de eerste paginalading

De audit bezoekt je site als een verse gebruiker en registreert elke cookie, elke localStorage-actie en elk netwerkverzoek vóór interactie met de banner. Alles niet-essentieel hier is een overtreding.

2. Cookie-inventarisatie vs. gepubliceerde verklaring

De audit lijst elke cookie op en vergelijkt deze met je cookieverklaring. De verklaring moet alle vermelden — doel, duur, eerste/derde partij.

3. Banner-ontwerp

• Even zwaar wegende Accepteren-/Weigeren-knoppen op de eerste laag. Weigeren verstoppen achter een instellingen-link is geen vrije toestemming.
• Geen voorgevinkte vakjes.
• Granulaire categorieën. Eén enkele "alles accepteren"-knop is niet meer voldoende.
• Intrekken even makkelijk als toestemmen — een permanente "Cookie-instellingen"-link in de footer.
• Geen dark patterns. Geen countdown, geen "doorgaan = toestemming", geen "gerechtvaardigd belang" voor advertenties.

4. Bewijs van toestemming

De AVG vereist dat je per bezoeker kunt aantonen wat is toegestaan. Een moderne CMP doet dat; eigen banners bijna nooit.

5. Gedrag van third-party scripts

De audit herhaalt na Accepteren, na Weigeren en na granulaire deelkeuzes om te verifiëren dat scripts de keuze respecteren. Veel voorkomende fout: een script dat toch laadt na Weigeren — meestal door een tag manager met een verkeerde trigger.

Meest voorkomende fouten op mkb-sites

Meta Pixel die op pageload afgaat. Het standaard-snippet komt in <head> en vuurt direct. In de EU bij elke bezoek een overtreding.

Google Analytics zonder consent gate. Consent Mode v2 is bij de meeste mkb-bedrijven niet ingericht.

Hotjar/Microsoft Clarity/Hubspot opnamen vóór toestemming. Session-recorders leggen invoer vast — zonder toestemming een duidelijke ePrivacy-overtreding.

"Door verder te gaan stem je in". Geweigerd door elke EU-toezichthouder. Vandaag vervangen.

Hoe je slaagt voor de audit

1. Installeer een echte CMP die toestemming vastlegt (Cookiebot, Usercentrics, Iubenda, OneTrust, Termly).
2. Verplaats alle analytics-, advertentie- en recording-scripts achter de consent gate.
3. Banner met gelijkwaardige knoppen, zonder voorgevinkt, met granulaire toggles.
4. Persistente "Cookie-instellingen"-link in de footer.
5. Cookieverklaring opnieuw genereren zodat hij overeenkomt met wat de site echt doet.
6. Audit opnieuw uitvoeren op de Accepteren- en Weigeren-paden.

Cookie-compliance breekt stilletjes. Marketing voegt een tag toe, een dev plaatst een chat, een derde partij update zijn script. Het patroon dat werkt voor het mkb: baseline-scan, fixes, dan wekelijkse scans die de inventarisatie diffen.

Dat is precies wat Veracly doet — gratis baseline-scan, doorlopend monitoren met diff-alerts. Voer een scan uit.