AVG Excellentie
Uitlijning met Artikel 32 beveiligingseisen
GA4 Conformiteit Checklijst
GA4 Zero-State Audit Protocol
Technische methodologie om te verifiëren dat de cookie toestemmingspoort niet-geautoriseerde dataverzameling voorkomt. Omvat netwerk monitoring patronen, console validatie, en bibliotheek analyse.
Netwerk Monitoring Gids
Monitor Netwerk tab in DevTools op niet-geautoriseerde verzoeken. Zoek naar: collect?v=2, config/update, gtm.js voor toestemming, POST naar google-analytics.com/g/collect, gtag transmissie. Voor Accept klik is een AVG schending.
De Zero-State Test
Stap 1: Open Incognito/Privé venster. Stap 2: Wis alle site gegevens. Stap 3: Schakel alle browser extensies uit. Stap 4: Open DevTools Netwerk tab. Stap 5: Navigeer naar uw website. Stap 6: Verifieer NUL verzoeken naar google-analytics.com of googletagmanager.com. Stap 7: Controleer alle subresources op tracking scripts. Stap 8: Documenteer initiële staat screenshot.
Console Commando's
Commando 1: typeof gtag === undefined (moet true zijn voor toestemming). Commando 2: typeof ga === undefined (moet true zijn). Commando 3: window.dataLayer === undefined || window.dataLayer.length === 0 (moet leeg zijn voor toestemming). Commando 4: Object.keys(window).filter(k => k.includes("tag")).length === 0 (geen tag objecten voor toestemming). Elk false resultaat geeft schendingen aan.
Bibliotheek vs Beacon Analyse
KRITIEK: Het laden van gtag.js van Google CDN zendt het client IP adres naar Google zonder toestemming. De script fetch verzoeken worden gemaakt voordat enige toestemming logica wordt uitgevoerd. Dit kan een AVG schending vormen omdat IP adressen persoonsgegevens zijn volgens overweging 26. Conformiteit aanpak: Gebruik Google Analytics via Measurement Protocol (POST beacons) alleen na expliciete toestemming, of gebruik privacy-behoudende alternatieven zoals Plausible, Matomo, of self-hosted analytics met IP anonimisatie ingeschakeld.
IP Adres Lekkage Beoordeling
Het laden van scripts van googletagmanager.com/gtag/js en google-analytics.com/analytics.js creëert DNS queries en TLS handshakes die het client IP onthullen aan Google servers. Zelfs zonder events te vuren vormt het loutere bronnen laden een data transmissie. Audit: Controleer Netwerk tab initiële verzoeken voor gtag.js of analytics.js bestand laadt. Verifieer timing: indien geladen voor cookie banner verschijnt = schending. Verifieer DNS: voor-afgeloste domeinen geven voor-laden aan.
Eind Audit Checklijst
Controleer: gtag.js NIET aanwezig in initiële DOM; dataLayer is lege array []; Geen verzoeken naar *.google-analytics.com in eerste 5 seconden; Geen verzoeken naar *.googletagmanager.com in eerste 5 seconden; Cookie banner is EERSTE interactieve element; Geen gtag() aanroepen in bron voor toestemming afhandeling; Toestemming callback injecteert daadwerkelijk gtag.js (verifieer timing); Afwijzen optie beëindigt onmiddellijk alle GA connecties; Cookie afwijzing wist alle ingestelde cookies; AVV omvat Google als data verwerker; IP adres niet verzonden in pre-toestemming verzoeken; POST beacons vuren alleen na expliciete opt-in; Meetbare data bevat geen PII voor toestemming.