Website Laten Controleren: Gratis AVG & Beveiliging Check

Je hebt een website. Misschien zelf gebouwd, misschien door een webdesigner. Je weet dat er regels zijn rondom privacy, cookies en beveiliging. Maar voldoet jouw website daar ook aan?

De meeste ondernemers komen er pas achter dat er iets mis is als het te laat is. Een waarschuwing van de Autoriteit Persoonsgegevens. Een bezoeker die klaagt over een onveilige verbinding. Een claim vanwege een afbeelding zonder licentie. Of simpelweg klanten die afhaken omdat je site er niet betrouwbaar uitziet.

Een website-scan laat in 60 seconden zien waar je staat. Dit artikel legt uit wat zo'n scan precies controleert, hoe het werkt en wat je met de resultaten doet.

Waarom je website controleren belangrijk is

Er zijn drie redenen waarom je website regelmatig controleren geen luxe is maar noodzaak.

Boetes en handhaving

De AVG geldt voor elke website die persoonsgegevens verwerkt. Een contactformulier, Google Analytics, een nieuwsbriefveld: het telt allemaal mee. De Autoriteit Persoonsgegevens maakt geen onderscheid op bedrijfsgrootte. In 2025 waarschuwde de AP meer dan 200 Nederlandse websites, waaronder eenmanszaken en kleine webshops.

Boetes onder de AVG kunnen oplopen tot 20 miljoen euro of 4% van je jaaromzet. In de praktijk begint de AP met een waarschuwing, maar die waarschuwing komt met een deadline. Wie niet op tijd actie onderneemt, krijgt een formeel onderzoek.

Sinds 28 juni 2025 geldt daarnaast de Europese Toegankelijkheidswet. Webshops en digitale dienstverleners moeten hun website toegankelijk maken voor mensen met een beperking. De ACM handhaaft dit in Nederland.

Reputatieschade

Een browser die "Niet veilig" toont bij je website. Een cookiebanner die niet werkt. Een privacyverklaring die ontbreekt. Het zijn signalen die bezoekers opvangen, bewust of onbewust. Onderzoek toont dat 84% van online shoppers een aankoop afbreekt als de verbinding onveilig is.

Je concurrent die wel een slotje in de adresbalk heeft, een professionele cookiebanner toont en zijn juridische pagina's op orde heeft? Die wekt meer vertrouwen. Vertrouwen dat jij misschien verliest zonder het te weten.

Lagere Google-ranking

Google gebruikt HTTPS, laadsnelheid en gebruikerservaring als rankingfactoren. Websites met beveiligingsproblemen of toegankelijkheidsproblemen scoren lager in zoekresultaten. Een scan brengt precies die problemen in kaart die je positie ondermijnen.

Wat een website-scan controleert

Een grondige websitescan gaat verder dan alleen "is er een slotje". De TrustYourWebsite scanner controleert meer dan 150 punten, verdeeld over zeven gebieden.

1. AVG-compliance

De scan controleert of je website voldoet aan de privacywetgeving:

• Is er een privacyverklaring aanwezig en bereikbaar?
• Staan de verplichte elementen erin (contactgegevens, verwerkingsdoelen, bewaartermijnen, rechten van betrokkenen)?
• Worden persoonsgegevens versleuteld verstuurd (HTTPS)?
• Zijn formulieren voorzien van een link naar de privacyverklaring?
• Worden er gegevens naar buiten de EU verstuurd zonder rechtsgrondslag?

Meer over AVG-verplichtingen lees je in de AVG checklist voor ondernemers.

2. Cookies en tracking

Hier gaat het het vaakst mis. De scan detecteert:

• Welke cookies je website plaatst (first-party en third-party)
• Of er tracking-cookies worden geladen voordat een bezoeker toestemming geeft
• Of je cookiebanner voldoet aan de eisen (gelijke keuze, geen vooraf aangevinkte opties)
• Of Google Analytics, Facebook Pixel of andere trackingscripts actief zijn
• Of externe bronnen zoals Google Fonts IP-adressen van bezoekers doorsturen

Meer over cookiebanners lees je in ons artikel over wanneer een cookiebanner verplicht is. Je kunt ook direct je cookies checken met de cookie-checker.

3. Beveiliging

De scan controleert technische beveiliging op meerdere niveaus:

• SSL-certificaat: actief, geldig, correct geconfigureerd?
• Beveiligingsheaders: Content-Security-Policy, X-Frame-Options, Strict-Transport-Security en meer
• Mixed content: worden er onversleutelde bronnen geladen op een HTTPS-pagina?
• Verouderde software: zichtbare versienummers van CMS, frameworks en libraries
• Open poorten en bekende kwetsbaarheden

Lees de volledige beveiliging checklist voor MKB voor concrete stappen die je zelf kunt nemen.

4. Toegankelijkheid

Vanaf juni 2025 geldt de Europese Toegankelijkheidswet. De scan controleert de meest voorkomende problemen:

• Ontbrekende alt-tekst op afbeeldingen
• Onvoldoende kleurcontrast tussen tekst en achtergrond
• Formulieren zonder labels
• Niet-navigeerbare pagina's met een toetsenbord
• Ontbrekende taalattributen en ARIA-labels

Lees meer over de Europese Toegankelijkheidswet en wat die voor jou betekent.

5. Beeldrecht

Afbeeldingen op je website kunnen een duur probleem worden als je geen geldige licentie hebt. De scan controleert:

• EXIF-data en metadata van afbeeldingen
• Bekende stockfoto-watermerken
• Afbeeldingen van diensten waar veel claims uit voortkomen

Lees meer over wat je moet doen als je een brief van CopyTrack of PicRight ontvangt.

6. Juridische pagina's

Nederlandse websites hebben een aantal verplichte elementen. De scan controleert:

• Is er een privacyverklaring?
• Is er een cookieverklaring?
• Staan je KVK-nummer en bedrijfsgegevens op de website?
• Zijn er algemene voorwaarden (voor webshops)?
• Zijn verouderde juridische links aanwezig (zoals het opgeheven ODR-platform)?

7. E-commerce compliance

Verkoop je online? Dan gelden extra regels. De scan controleert:

• Is het bestelproces duidelijk (prijzen inclusief BTW, verzendkosten, levertijden)?
• Is er een herroepingsrecht vermeld (14 dagen bedenktijd)?
• Staat het retourbeleid beschreven?
• Is het betaalproces veilig?
• Voldoet de bestelknop aan de EU-wetgeving ("bestelling met betalingsverplichting")?

Hoe de scan werkt: stap voor stap

De scanner van TrustYourWebsite is volledig geautomatiseerd. Je hoeft geen software te installeren, geen account aan te maken en geen technische kennis te hebben.

Stap 1: URL invoeren

Ga naar trustyourwebsite.nl/scan en vul het webadres van je website in. Bijvoorbeeld: jouwbedrijf.nl.

Stap 2: Scan starten

Klik op "Scannen". De scanner opent je website in een beveiligde browser en controleert automatisch meer dan 150 punten. Dit duurt ongeveer 60 seconden.

De scanner respecteert je website: maximaal 1 verzoek per seconde, geen wijzigingen aan je site, robots.txt wordt gerespecteerd.

Stap 3: Resultaat bekijken

Na de scan krijg je direct een risicoscore van 0 tot 100. Hoe hoger, hoe beter. Daarnaast zie je een overzicht van gevonden problemen, ingedeeld op ernst:

• Kritiek (-15 punten): directe risico's die onmiddellijke actie vereisen
• Hoog (-10 punten): serieuze problemen die je snel moet oppakken
• Medium (-5 punten): verbeterpunten die aandacht verdienen
• Laag (-2 punten): kleine aandachtspunten

Geen account nodig. Geen verplichtingen. Je resultaat is er binnen een minuut.

Gratis scan vs. betaalde scan: wat is het verschil

De gratis scan controleert dezelfde 150+ technische punten als de betaalde variant. Het verschil zit in de diepte van de rapportage.

Gratis scan

• Risicoscore (0-100)
• Overzicht van gevonden problemen per categorie
• Ernst-indeling (kritiek, hoog, medium, laag)
• Aantal problemen per gebied

Dit geeft je genoeg informatie om te weten waar je staat en of er urgente problemen zijn.

Betaalde scan

• Alles van de gratis scan, plus:
• Screenshots van elk gevonden probleem
• Specifieke fix-instructies per probleem
• Technische details (welke header ontbreekt, welke cookie het probleem veroorzaakt)
• Exporteerbaar rapport (PDF) om te delen met je webdeveloper

Als je technisch onderlegd bent en alleen wilt weten of er problemen zijn, is de gratis scan voldoende. Als je een concreet actieplan nodig hebt, of als je het rapport wilt doorsturen naar je webdesigner, is de betaalde scan de betere keuze.

De 5 meest voorkomende problemen

Na duizenden scans zien we steeds dezelfde problemen terugkomen. Dit zijn de vijf die we het vaakst vinden.

1. Cookies zonder toestemming

Het vaakst voorkomende probleem: tracking-cookies die al worden geplaatst voordat een bezoeker toestemming geeft. Google Analytics, Facebook Pixel, HubSpot, Hotjar: ze laden vaak al bij het eerste bezoek. Dat is een directe AVG-overtreding.

De oplossing: zorg dat je cookiebanner alle niet-functionele scripts blokkeert totdat de bezoeker actief toestemming geeft. Niet achteraf verwijderen, maar vooraf blokkeren.

2. Ontbrekende beveiligingsheaders

De meeste websites missen essentiële beveiligingsheaders zoals Content-Security-Policy, X-Content-Type-Options en Strict-Transport-Security. Je hoster stelt ze niet standaard in. Je webdesigner denkt er niet aan. Maar zonder deze headers is je website kwetsbaarder voor aanvallen.

De oplossing: voeg de headers toe via je serverconfiguratie, .htaccess-bestand of een plugin. Check welke headers je mist met onze security headers checker.

3. Geen of onvolledige privacyverklaring

Een privacyverklaring die ontbreekt is een voor de hand liggende overtreding. Maar net zo vaak treffen we privacyverklaringen aan die onvolledig zijn: geen bewaartermijnen, geen vermelding van rechten van betrokkenen, verouderde contactgegevens, of een generieke tekst die niet klopt met wat de website daadwerkelijk doet.

De oplossing: schrijf een privacyverklaring die klopt met jouw situatie. Vermeld welke gegevens je verzamelt, waarom, hoe lang je ze bewaart en welke rechten bezoekers hebben. Lees precies wat er in een privacyverklaring moet staan.

4. Mixed content

Je hebt een SSL-certificaat, maar je website laadt afbeeldingen, scripts of stylesheets via HTTP. Browsers blokkeren deze onversleutelde bronnen of tonen een waarschuwing. Het resultaat: kapotte afbeeldingen, niet-werkende functionaliteit en een website die ondanks het slotje toch niet volledig veilig is.

De oplossing: zoek in je broncode en database naar http://-verwijzingen en vervang ze door https://. In WordPress kun je dit doen met de plugin "Better Search Replace".

5. Ontbrekende alt-tekst op afbeeldingen

Alt-tekst beschrijft wat er op een afbeelding staat. Schermlezers lezen deze tekst voor aan blinde en slechtziende bezoekers. Zonder alt-tekst zijn je afbeeldingen onzichtbaar voor hen. Dat is niet alleen een toegankelijkheidsprobleem, het is ook slecht voor SEO: Google gebruikt alt-tekst om te begrijpen wat er op een afbeelding staat.

De oplossing: voeg aan elke afbeelding een beschrijvende alt-tekst toe. Niet "IMG_2847.jpg", maar een korte beschrijving van wat je ziet.

Wat te doen na de scan

Je hebt je scan gedraaid en je ziet een lijst met problemen. Waar begin je?

Prioriteer op ernst

Pak kritieke en hoge problemen eerst aan. Dit zijn de punten die je direct blootstellen aan boetes, beveiligingsrisico's of klantenverlies. Medium en lage problemen zijn belangrijk, maar minder urgent.

Een praktische volgorde:

1. SSL en HTTPS: als je geen geldig SSL-certificaat hebt, fix dat eerst. Alles draait hierom.
2. Cookies en tracking: blokkeer tracking-cookies totdat er toestemming is. De AP controleert hier actief op.
3. Privacyverklaring: zorg dat die er is en klopt. Een middag werk.
4. Beveiligingsheaders: voeg de ontbrekende headers toe. Kost een halfuur als je weet wat je doet.
5. Toegankelijkheid: begin met de grootste problemen (contrast, alt-tekst, formulierlabels).

Zelf fixen vs. expert inhuren

De meeste problemen uit een websitescan kun je zelf oplossen. SSL activeren, een cookiebanner instellen, een privacyverklaring schrijven, beveiligingsheaders toevoegen: het zijn concrete taken met duidelijke instructies.

Wanneer je wél een expert nodig hebt:

• Complexe beveiligingsproblemen: als de scan kwetsbaarheden vindt in je server- of applicatieconfiguratie
• Grote toegankelijkheidsverbouwing: als je website fundamenteel niet toegankelijk is (geen semantische HTML, geen toetsenbordnavigatie)
• Custom code: als je een maatwerkwebsite hebt zonder CMS en je weet niet hoe je serverinstellingen aanpast
• E-commerce compliance: als je bestelproces niet voldoet en je webshop op een complex platform draait

In alle andere gevallen: begin zelf. Onze guides per onderwerp bevatten stap-voor-stap instructies die geen technische achtergrond vereisen.

Deel het rapport met je webdesigner

Heb je een webdesigner of -developer die je website beheert? Stuur dan het scanrapport door. Een betaalde scan bevat technische details en fix-instructies die een developer direct kan oppakken. Dat scheelt heen-en-weer communicatie en voorkomt misverstanden.

Wanneer je een scan moet herhalen

Een eenmalige scan is een goed begin, maar geen eindpunt. Je website verandert continu: nieuwe pagina's, bijgewerkte plugins, aangepaste formulieren, toegevoegde trackingscripts. Elke wijziging kan nieuwe problemen introduceren.

Scan je website opnieuw na:

• Elke plugin- of theme-update: updates kunnen instellingen resetten of nieuwe cookies introduceren
• Een nieuw formulier of contactpagina: elk formulier dat persoonsgegevens verwerkt moet aan de AVG voldoen
• Een nieuwe tool of dienst: Mailchimp, HubSpot, Calendly, Google Maps: ze laden allemaal externe scripts die cookies kunnen plaatsen
• Een CMS-update: grote WordPress-, Shopify- of Joomla-updates kunnen beveiligingsinstellingen wijzigen
• Elk kwartaal: ook als je niets hebt veranderd. Beveiligingslekken worden dagelijks ontdekt en SSL-certificaten kunnen verlopen

Maak er een gewoonte van. Plan een vast moment, net zoals je je boekhouding bijhoudt.

Scan je website nu

Je website controleren kost 60 seconden. Je hoeft geen account aan te maken, geen software te installeren en geen technische kennis te hebben. Vul je URL in, klik op scannen en je weet waar je staat.

Scan je website gratis en ontdek direct welke problemen er zijn. Je krijgt een risicoscore en een overzicht van alle gevonden punten. Concreet, zonder jargon, met duidelijke prioriteiten.