Wat is een website-compliance-audit? Een praktische gids voor het mkb
Een website-compliance-audit toetst toegankelijkheid, privacy en tracking aan de wetten die gelden waar je bezoekers wonen. De praktische versie voor het mkb.
Als je een mkb-bedrijf met website runt, zijn de regels in vijf jaar enorm gegroeid. Toegankelijkheidswetten gelden nu voor private bedrijven in de EU, het VK, de VS, Canada en Australië. Privacytoezichthouders zijn van waarschuwingsbrieven naar omzetafhankelijke boetes overgestapt. Cookie-toestemming is allang niet meer alleen een EU-onderwerp.
Een website-compliance-audit is de gestructureerde controle die aangeeft of je site echt voldoet aan de wetten die op haar van toepassing zijn. Dit artikel beschrijft wat de audit dekt, hoe je hem zonder weken consultancy uitvoert en wat een mkb-bedrijf eerst moet aanpakken.
Wat een audit echt controleert
Er bestaat geen wereldwijde "website-compliance"-wet. De audit is een checklist uit de regels die gelden waar je bezoekers wonen. Voor mkb in de EU, het VK of de VS dekken de vier lijsten hieronder 90% van het echte risico.
1. Toegankelijkheid
De standaard is WCAG 2.1 niveau AA. Wordt gerefereerd door de EAA (van kracht sinds 28 juni 2025), de UK Equality Act, ADA Title III, AODA en de meeste andere toegankelijkheidswetten. Een geautomatiseerde scan vangt 30–40% van de issues — contrast, ontbrekende alt-tekst, formulier-labels, toetsenbordvallen, ARIA-misbruik. De rest vereist handmatig testen.
Lees: de WCAG 2.1 AA-toegankelijkheidsaudit uitgelegd.
2. Privacy en toestemming
Voor EU/UK-bezoekers is toestemming voor niet-essentiële cookies en trackers verplicht voordat het script afgaat. Een echte audit registreert het netwerkverkeer bij de eerste paginalading, vóór elke klik. Banners met "door verder te gaan stem je in" of die trackers op pageload afvuren zijn de meest voorkomende fout — en het makkelijkst voor de AP om te detecteren.
Lees: wat is een AVG-cookie-audit?
3. Tracking en analytics
Onderzocht worden tracking-pixels (Meta, TikTok, LinkedIn, Google Ads), session recorders (Hotjar, FullStory, Microsoft Clarity), advertentietags en alles wat bezoekersgedrag naar derden stuurt. Elk heeft AVG-, ePrivacy- en steeds vaker Amerikaanse staatswet-implicaties. De oplossing is bijna nooit weghalen — wel laden na toestemming en eerlijk vermelden.
Lees: tracking-pixel-audit: AVG en ePrivacy.
4. Verplichte juridische pagina's
- Privacyverklaring die overeenkomt met wat de site daadwerkelijk doet
- Cookieverklaring met actuele cookie-inventarisatie
- Toegankelijkheidsverklaring (verplicht onder EAA sinds juni 2025)
- Bedrijfsgegevens (verplicht op grond van Boek 3 BW voor handelsregister-ondernemingen)
- Algemene voorwaarden als je iets verkoopt
Handmatige audit vs. doorlopend scannen
Een bureau-audit kost € 5.000–20.000 en duurt 2–6 weken voor één mkb-site. Prima als momentopname — maar de meeste compliance-regressies ontstaan na de audit, in normale productreleases. Doorlopend scannen vangt deze regressies op de dag dat ze live gaan, in plaats van maanden later met de brief van de toezichthouder.
Wat een mkb-bedrijf eerst moet oplossen
- Stop met trackers afvuren vóór toestemming. Hoogste risico, makkelijkste fix. Verplaats elke Meta-/TikTok-/LinkedIn-pixel en alle niet-essentiële analytics achter een toestemmingscontrole.
- Vervang de "door verder te gaan stem je in"-banner door één met gelijkwaardige Accepteren- en Weigeren-knoppen. De AP en CNIL hebben hier al voor beboet.
- Los de top WCAG-issues op. Contrast, alt-tekst, labels, focus, toetsenbordvallen.
- Publiceer een toegankelijkheidsverklaring. Verplicht onder EAA sinds juni 2025 voor producten in scope.
- Werk de privacyverklaring bij aan wat de site echt doet. Bijna alle mkb-verklaringen zijn templates die niet meer kloppen.
Veelgemaakte fouten
Vertrouwen op een toegankelijkheidsoverlay. De FTC beboette accessiBe in januari 2025 voor 1 M USD vanwege misleidende marketing. Overlays maken geen wettelijke compliance; ze maskeren problemen op runtime, de onderliggende code blijft kwetsbaar voor klachten.
Compliance als US-only of EU-only behandelen. De meeste mkb-sites ontvangen tegenwoordig bezoekers uit meerdere jurisdicties.
Eénmalig auditen. Klassiek patroon: grondige audit, schoon rapport, zes maanden routine-releases, en dan de brief. Maak de audit onderdeel van je release-proces.
Hoe Veracly dit aanpakt
Veracly is specifiek voor de mkb-versie van dit probleem gebouwd. Eén scan rapporteert tegelijk tegen EAA, AVG, ADA, UK Equality Act, AODA en Amerikaanse staatswetten, met copy-paste-fixes voor ontwikkelaars en doorlopende monitoring na de baseline. Voer een gratis scan uit en zie hoe je site eruitziet voor een toezichthouder — voordat zij kijkt.
Veelgestelde vragen
Wat dekt een website-compliance-audit?
Vier blokken: toegankelijkheid (minimaal WCAG 2.1 AA), privacy en toestemming (AVG, ePrivacy, Amerikaanse staatswetten zoals CCPA), tracking- en analytics-opzet, en verplichte juridische pagina's (privacyverklaring, toegankelijkheidsverklaring, bedrijfsgegevens).
Is een compliance-audit wettelijk verplicht?
De audit zelf is door geen toezichthouder verplicht, maar de onderliggende wetten — AVG, EAA, ADA, UK Equality Act — zijn vandaag al handhaafbaar. De audit is de praktische manier om je risico te kennen voordat een klacht binnenkomt.
Hoe vaak moet je auditen?
Een baseline-audit, daarna doorlopende scans bij elke wijziging. De meeste compliance-issues ontstaan tijdens routine-releases — een nieuw trackingscript, een aangepast formulier, een third-party widget — niet bij de oorspronkelijke bouw.
Hoe lang duurt een audit?
Een geautomatiseerde scan op toegankelijkheid, cookies en trackers is in minuten klaar. Een handmatige audit door een bureau duurt 2–6 weken voor een mkb-site en kost € 5.000–20.000.
Zie waar je site staat.
Voer een gratis Veracly-scan uit en ontvang een multi-jurisdictie-rapport — EAA, AVG, ADA, UK Equality Act, AODA — met copy-paste-fixes voor ontwikkelaars.
Gratis scan starten