We scanden 479 Belgische restaurantwebsites: dit vonden we

Je runt een restaurant in België. Je website toont het menu, een reserveringsformulier en een Google Maps-kaartje. Maar voldoet die website aan de AVG?

Wij scanden 479 Belgische restaurantwebsites in 16 steden op AVG-compliance, cookietoestemming, toegankelijkheid en beveiliging. De resultaten laten zien dat de meerderheid niet voldoet aan de regels.

Dit artikel presenteert de bevindingen. We noemen geen individuele restaurants. Dit gaat over patronen, niet over het aanwijzen van specifieke bedrijven.

Hoe we hebben gescand

We selecteerden 514 restaurantwebsites uit 20 Belgische steden via de Google Places API. Alleen zelfstandige restaurants met een eigen .be-domein, geen ketens, geen Takeaway-pagina's. Van de 514 pogingen slaagden 479 scans. De overige 35 waren onbereikbaar of blokkeerden geautomatiseerde toegang.

Elke website werd gescand met dezelfde geautomatiseerde checks die we gebruiken in onze gratis websitescanner. We controleerden op 13 punten, waaronder cookietoestemming, privacyverklaring, Google Fonts, Google Maps, KBO-nummer, BTW-nummer, beveiligingsheaders en basale toegankelijkheid. Voor het KBO-nummer, Google Maps en BTW-nummer controleerden we niet alleen de homepage, maar ook gelinkte contact-, impressum- en privacypagina's.

De belangrijkste bevindingen

64,3% heeft helemaal geen cookiebanner

Van de 479 gescande restaurantwebsites heeft 308 (64,3%) geen cookiebanner. Bezoekers krijgen geen melding, geen keuze.

Van de 171 websites die wel een banner tonen, heeft meer dan de helft (58,5%) geen werkende weigerknop. De bezoeker kan alleen "accepteren" of wordt doorgestuurd naar een instellingenpagina waar weigeren meerdere klikken kost.

Dat betekent dat slechts 71 van de 479 restaurants (14,8%) een cookiebanner hebben die daadwerkelijk een gelijkwaardige weigeroptie biedt.

De Gegevensbeschermingsautoriteit (GBA) handhaaft hier actief op. In februari 2022 legde de GBA een baanbrekende boete van €250.000 op aan IAB Europe voor het Transparency en Consent Framework (TCF), dat door duizenden websites werd gebruikt. De GBA oordeelde dat het framework zelf onvoldoende garanties bood voor geldige toestemming.

In 2024 verhoogde de GBA de druk op dark patterns nog eens: Mediahuis kreeg een dwangsom van €25.000 per dag per website (en later verhoogd tot €50.000) zolang misleidende knopkleuren en verstopte weigeropties in de cookiebanners bleven, een sterkere prikkel dan de meeste landen kennen.

Lees meer: Cookiebanner in België: GBA-regels

46,8% laadt Google Analytics voor toestemming

224 van de 479 restaurants laden Google Analytics voordat de bezoeker enige keuze heeft gemaakt. In totaal heeft 39,9% van alle gescande sites Google Analytics actief; bij 38,8% draait Google Tag Manager.

Daarnaast laadt 11,3% (54 sites) de Facebook Pixel voor toestemming.

Zodra Google Analytics of Facebook Pixel laadt, worden er tracking cookies geplaatst en wordt het IP-adres van de bezoeker naar Google of Meta gestuurd. Zonder voorafgaande toestemming is dat een overtreding van de AVG. De GBA kijkt mee.

68,5% laadt Google Fonts extern

328 van de 479 Belgische restaurantwebsites laden Google Fonts rechtstreeks van Google-servers. Dat betekent dat bij elk paginabezoek het IP-adres van de bezoeker naar de VS wordt gestuurd.

Het Landgericht München oordeelde op 20 januari 2022 (Az. 3 O 17493/20) dat het extern laden van Google Fonts zonder toestemming een AVG-inbreuk is en kende €100 schadevergoeding per bezoeker toe. Het Duitse vonnis is geen rechtstreekse Belgische jurisprudentie, maar de juridische logica is universeel binnen de AVG: het IP-adres is een persoonsgegeven, en er is geen rechtsgrondslag voor de doorgifte.

De oplossing is simpel: download de lettertypen en host ze op je eigen server. Tien minuten werk voor een webdesigner.

57,8% heeft geen vindbare privacyverklaring

202 van de 479 restaurants hebben een vindbare privacyverklaring. 277 (57,8%) dus niet.

Als je restaurant een reserveringsformulier heeft, verzamel je persoonsgegevens, en dat is al genoeg voor verplichte transparantie onder AVG Artikel 13. De privacyverklaring moet beschrijven welke gegevens je verzamelt, waarom, op welke rechtsgrondslag, en hoe lang je ze bewaart.

Lees meer: Privacyverklaring België

82,3% toont geen KBO-nummer

Slechts 85 van de 479 restaurants (17,7%) vermelden hun KBO-nummer (ondernemingsnummer) op de homepage of op gangbare contact-/impressumpagina's. De Kruispuntbank van Ondernemingen registreert elk bedrijf, en artikel III.25 van het Wetboek van economisch recht verplicht de vermelding op alle zakelijke communicatie, inclusief websites.

Het BTW-nummer wordt vaker getoond: 200 restaurants (41,8%) vermelden een Belgisch BTW-nummer. Dat is cultureel gebruikelijker in België dan in Nederland. Het BTW-nummer staat standaard onderaan facturen en wordt vaker herhaald op de website.

Lees meer: Ondernemingsnummer op je website

40,9% laadt Google Maps zonder toestemming

196 van de 479 restaurants hebben een ingebedde Google Maps-kaart die direct bij het openen van de pagina laadt, zonder cookietoestemming. Elk paginabezoek stuurt het IP-adres van de bezoeker naar Google, in de VS.

Lees meer: AVG voor Belgische horecawebsites

Toegankelijkheid: de blinde vlek

Van de 5.993 afbeeldingen die we analyseerden, misten er 2.584 (43,1%) een alt-tekst. Dat is de beschrijving die screenreaders voorlezen aan blinde en slechtziende bezoekers. 330 van de 479 sites (68,9%) hebben minstens één afbeelding zonder alt-tekst.

Sinds 28 juni 2025 is de Europese Toegankelijkheidswet (EAA) van kracht. In België is de Economische Inspectie van FOD Economie specifiek toezichthouder voor e-commerce sites en bankdiensten. Boetes kunnen oplopen tot 200.000 euro of 6% van de omzet. Micro-ondernemingen (minder dan 10 werknemers en minder dan €2 miljoen omzet) krijgen een overgangstermijn tot juni 2030.

Beveiliging: de basis ontbreekt vaak

• HSTS (forceert HTTPS): aanwezig bij 37% van de sites (177/479)
• Content-Security-Policy: aanwezig bij 14,2% (68/479)
• X-Frame-Options (voorkomt clickjacking): aanwezig bij 19,4% (93/479)

33,8% van de sites draait WordPress (162 sites). WordPress is een populair doelwit voor geautomatiseerde aanvallen omdat verouderde versies en kwetsbare plugins gemakkelijk te vinden zijn.

België vs Nederland: de vergelijking

België scoort beter dan Nederland op tracking (minder GA en FB Pixel voor toestemming) en KBO-vermelding. Nederland heeft vaker een werkende weigerknop wanneer er al een banner is. Beide landen scoren slecht op Google Fonts, Google Maps en privacyverklaringen.

Wat dit betekent voor jouw restaurant

De GBA is een van de actiefste privacytoezichthouders in Europa. De IAB Europe-zaak en de Mediahuis-boete tonen dat de GBA bereid is om zware sancties op te leggen aan systeempartijen. Kleine bedrijven worden zelden direct beboet, maar krijgen wel klachten van consumenten en verzoeken tot inzage onder de AVG.

Het goede nieuws: de meeste problemen zijn binnen een middag op te lossen.

• Cookiebanner zonder werkende weigerknop? Vervang door een banner die weigeren even makkelijk maakt als accepteren.
• Google Fonts extern? Download de lettertypen, host ze op je eigen server.
• Google Maps op elke pagina? Vervang de embed door een statische afbeelding met een link naar Google Maps voor wie het nodig heeft.
• Geen KBO-nummer? Zet het in de footer op elke pagina.
• Geen privacyverklaring? Gebruik een modelverklaring en pas die aan voor jouw reserveringsformulier, Google Analytics en Maps.

Scan je eigen website en ontdek in 60 seconden waar je staat.

Methodologie

• Periode: 14-15 april 2026
• Aantal gescande websites: 479 (van 514 pogingen; 35 onbereikbaar of blokkeerden automatische toegang)
• Selectiemethode: Google Maps/Places API voor "restaurant" in 20 Belgische steden, gefilterd op .be-domein
• Steden: Brussel, Antwerpen, Gent, Brugge, Leuven, Luik, Namur, Mechelen, Hasselt, Kortrijk, Oostende, Turnhout, Sint-Niklaas, Aalst, Charleroi, Bergen (van deze steden kwamen succesvolle scans; 4 andere steden leverden geen resultaten)
• Selectiecriteria: Zelfstandig restaurant met een eigen .be-domein, geen internationale ketens, geen platformpagina's (Takeaway, Deliveroo, TripAdvisor)
• Scanner: TrustYourWebsite geautomatiseerde compliance-scanner
• Checks per website: 13 universeel + 2 België-specifiek (KBO-nummer, BTW-nummer)
• Multi-page check: Voor KBO-nummer, BTW-nummer en Google Maps werden ook gelinkte contact-, impressum- en privacypagina's gecontroleerd (maximaal 5 extra pagina's per site)

Dit onderzoek is een momentopname. Websites veranderen continu. Individuele restaurants worden niet bij naam genoemd.

---

Wil je weten hoe jouw restaurantwebsite scoort? Scan gratis in 60 seconden.