The General Data Protection Regulation (GDPR, Regulation 2016/679) is the EU's comprehensive data protection law. It governs how organisations collect, store, process, and transfer personal data of EU residents. It has been in force since May 25, 2018.

Who must comply with the GDPR?

Any organisation worldwide that processes personal data of EU residents must comply — regardless of where the organisation is based. This includes data controllers (who determine the purpose of processing) and data processors (who process data on behalf of controllers).

What are the fines for GDPR violations?

Serious violations (e.g. unlawful processing, breach of data subject rights) carry fines up to €20 million or 4% of global annual turnover, whichever is higher. Procedural violations (e.g. failure to maintain records, inadequate security measures) carry fines up to €10 million or 2% of global annual turnover. National DPAs have issued over €7.1 billion in cumulative fines since 2018, with €1.2 billion in 2025 alone.

What does SiteGuardian check for GDPR compliance?

SiteGuardian continuously monitors the technical measures required by GDPR: HTTPS/TLS encryption, security headers, Content Security Policy, cookie flags, HSTS enforcement, cipher suite strength, forward secrecy, data residency of third-party services, pre-consent data transfer detection, and breach notification deadline tracking.

How does SiteGuardian help with GDPR breach notification?

When SiteGuardian detects a security incident, it classifies the regulatory impact, starts the 72-hour notification countdown required by GDPR Art. 33, and generates pre-filled reports for your Data Protection Authority (DPA). This helps you meet the strict notification deadline.

EU-verordening 2016/679

AVG-websitecompliance.
Monitor technische maatregelen doorlopend.

De Algemene Verordening Gegevensbescherming verplicht elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt om passende technische maatregelen te implementeren — of boetes tot €20 mln. of 4% van de wereldwijde omzet te riskeren.

Van kracht sinds 25 mei 2018

Scan nu uw website Compliance-abonnementen bekijken

Is de GDPR op u van toepassing?

De GDPR is van toepassing op elke organisatie — waar ook ter wereld — die persoonsgegevens van EU-ingezetenen verwerkt. Als u in een van deze scenario's persoonsgegevens verzamelt, opslaat of verwerkt, valt u onder de regeling.

E-commerce

Verwerkingsverantwoordelijke

SaaS / Cloud

Verwerker

Gezondheidszorg

Verwerkingsverantwoordelijke

Marketing / Advertenties

Verwerkingsverantwoordelijke

Financiële dienstverlening

Verwerkingsverantwoordelijke

HR / Werving

Verwerkingsverantwoordelijke

Onderwijs

Verwerkingsverantwoordelijke

Publieke sector

Verwerkingsverantwoordelijke

De kosten van non-compliance

Ernstige schendingen

Art. 83(5) — onrechtmatige verwerking, schending van rechten van betrokkenen

€20M

of 4% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Procedurele overtredingen

Art. 83(4) — ontoereikende beveiliging, ontbrekende registraties, geen DPIA

€10M

of 2% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Nationale gegevensbeschermingsautoriteiten hebben sinds 2018 meer dan € 7,1 miljard aan AVG-boetes opgelegd, waarvan € 1,2 miljard alleen al in 2025.

Handhaving breidt zich uit voorbij Big Tech naar financiën, gezondheidszorg, telecom en de publieke sector — sectoren waar technische nalevingslacunes het meest voorkomen.

Ons benchmark van 6,700+ Europese websites toont dat 21% bronnen van derden laadt uit niet-adequate landen vóór cookietoestemming — een directe schending van Art. 44. Bekijk het volledige rapport →

Wat de GDPR vereist — en wat SiteGuardian monitort

De GDPR schrijft passende technische en organisatorische maatregelen voor ter bescherming van persoonsgegevens. SiteGuardian monitort continu de technische vereisten.

Art. 5(1)(f)

Integriteit en vertrouwelijkheid

Gemonitord

SiteGuardian valideert HTTPS-handhaving, TLS-configuratie, beveiligingsheaders en versleuteling in transit — zodat persoonsgegevens beschermd zijn tegen ongeautoriseerde toegang en onbedoeld verlies.

Art. 25

Gegevensbescherming door ontwerp en standaard

Gemonitord

SiteGuardian bewaakt de kwaliteit van het Content Security Policy, cookie-vlaggen (Secure, HttpOnly, SameSite), hardening van beveiligingsheaders en standaard privacyveilige configuraties over uw webproperties.

Art. 32

Beveiliging van verwerking

Gemonitord

SiteGuardian handhaaft TLS 1.2+ met forward secrecy, valideert de sterkte van ciphersuites, controleert HSTS-implementatie en preload-gereedheid, bewaakt certificaatgeldigheid en detecteert verouderde protocollen.

Art. 33

Melding van een inbreuk op persoonsgegevens

Gemonitord

SiteGuardian detecteert beveiligingsincidenten in realtime, start het 72-uurs meldingsaftellen dat de GDPR vereist, classificeert de regelgevingsimpact en genereert vooraf ingevulde rapporten voor uw gegevensbeschermingsautoriteit.

Art. 35

Gegevensbeschermingseffectbeoordeling (DPIA)

DPIA's zijn vragenlijstgebaseerde beoordelingen die organisatorische input vereisen over gegevensstromen, risicobeoordeling en mitigatiemaatregelen. Dit is een procesgestuurde vereiste die verder gaat dan geautomatiseerde monitoring.

Art. 37

Aanstelling van een functionaris voor gegevensbescherming

Het aanstellen van een DPO is een organisatorische vereiste voor overheidsinstanties en organisaties waarvan de kernactiviteiten grootschalige systematische monitoring of verwerking van bijzondere categorieën gegevens omvatten.

Art. 44–49

Internationale gegevensoverdrachten

Gemonitord

SiteGuardian analyseert de data residency van externe diensten, detecteert hosting in niet-adequate derde landen en volgt gegevensdoorgiftes voorafgaand aan toestemming via CDN's, analytics en font-diensten — potentiële schendingen van Art. 44 worden gemarkeerd. Sinds Schrems II (HvJ-EU C-311/18, juli 2020) het EU-VS Privacy Shield ongeldig verklaarde, vereisen doorgiftes naar de VS Standaardcontractbepalingen met aanvullende maatregelen en moet de blootstelling aan de CLOUD Act worden beoordeeld.

Art. 30

Register van verwerkingsactiviteiten

SiteGuardian biedt documentgeneratoren en audittrail-exports die uw verwerkingsregister ondersteunen. Het bijhouden van volledige registers vereist echter handmatige invoer van doeleinden, rechtsgronden en bewaartermijnen.

Veelgestelde vragen

Wat is de GDPR?

De Algemene Verordening Gegevensbescherming (GDPR, Verordening 2016/679) is de alomvattende EU-wetgeving voor gegevensbescherming die regelt hoe organisaties persoonsgegevens van individuen in de Europese Unie verzamelen, opslaan, verwerken en overdragen. De verordening is sinds 25 mei 2018 van kracht en is van toepassing op elke organisatie wereldwijd die persoonsgegevens van EU-ingezetenen verwerkt.

Wie moet voldoen aan de GDPR?

Elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt, moet voldoen — ongeacht waar de organisatie is gevestigd. Dit geldt voor verwerkingsverantwoordelijken (die het doel en de middelen van verwerking bepalen) en verwerkers (die gegevens namens verantwoordelijken verwerken). De verordening geldt voor bedrijven van elke omvang, van eenmanszaken tot multinationals.

Wat zijn de boetes voor GDPR-overtredingen?

De GDPR kent een tweeledig boetestelsel. Ernstige overtredingen zoals onrechtmatige verwerking of schending van rechten van betrokkenen leiden tot boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Procedurele overtredingen zoals ontoereikende beveiligingsmaatregelen of het niet bijhouden van registers leiden tot boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet.

Wat controleert SiteGuardian voor GDPR-compliance?

SiteGuardian monitort continu de technische maatregelen die de GDPR vereist: HTTPS/TLS-versleuteling en -configuratie, beveiligingsheaders (CSP, HSTS, X-Frame-Options), cookie-beveiligingsvlaggen, sterkte van ciphersuites en forward secrecy, analyse van gegevenslocatie van derden, detectie van gegevensoverdrachten vóór toestemming voor CDN's, analytics en lettertypen, en bewaking van certificaatgeldigheid.

Hoe helpt SiteGuardian bij GDPR-inbreukmelding?

Wanneer SiteGuardian een beveiligingsincident detecteert, classificeert het automatisch de regelgevingsimpact onder de GDPR, start het het 72-uurs meldingsaftellen dat Art. 33 vereist en genereert het vooraf ingevulde rapporten voor uw gegevensbeschermingsautoriteit (AP). Dit helpt u de strikte meldingstermijn te halen en uw respons te documenteren als compliance-bewijs.

AVG-websitecompliance. Monitor technische maatregelen doorlopend.

Is de GDPR op u van toepassing?

De kosten van non-compliance

Wat de GDPR vereist — en wat SiteGuardian monitort

Integriteit en vertrouwelijkheid

Gegevensbescherming door ontwerp en standaard

Beveiliging van verwerking

Melding van een inbreuk op persoonsgegevens

Gegevensbeschermingseffectbeoordeling (DPIA)

Aanstelling van een functionaris voor gegevensbescherming

Internationale gegevensoverdrachten

Register van verwerkingsactiviteiten

Controleer uw GDPR-compliancepositie

Veelgestelde vragen

Weet u het zeker?

AVG-websitecompliance.
Monitor technische maatregelen doorlopend.