De open standaard voor digitaal verantwoord handelen | bewezen, samen, aantoonbaar

Wij meten wat anderen aannemen.

Data vertelt de waarheid. Wij zorgen dat je die ziet.

Een verklaring is een belofte. Wij meten of het klopt en maken het aantoonbaar, langs people, security, ethics en privacy. Onafhankelijk getoetst door vakgenoten. Zo komt boven wat verborgen blijft.

Diverse mensen die samenwerken, nadenken en meten
as 01

People

Kun je aan mensen verantwoorden hoe je met hun data omgaat?

as 02

Security

Kun je je beveiliging aantonen, niet beloven?

as 03

Ethics

Kun je het ethisch verantwoorden?

as 04

Privacy

Kun je het juridisch verantwoorden?

Het web is van iedereen. Laten we het veilig houden.

Het verschil

De samenleving verdient bewijs, geen stempels.

Bedrijven en overheden verkopen ‘AVG-proof’ op basis van een vragenlijst. Wij meten wat hun diensten écht doen, langs elke norm die telt, laten het nalezen door onafhankelijke vakgenoten en leggen het onweerlegbaar vast. Zo krijgt iedereen digitale diensten die te vertrouwen zijn, met bewijs dat een toezichthouder accepteert.

164
wetten, normen, richtsnoeren en arresten die je IT kunnen raken. Elke regel meegewogen, geen enkele vergeten. Dat biedt geen checklist en geen consultant.

Vanuit vier assen: people, security, ethics en privacy. Samen dekken ze elke hoek van verantwoord digitaal handelen.

Bewezen

Gebouwd op landelijk onderzoek dat echt is uitgevoerd: 211 organisaties gemeten, ruim 3000 in het ijkcorpus.

Samen

Elke bevinding onafhankelijk nagetoetst door vakgenoten met naam. Eén mening haalt het niet, pas convergentie telt.

Aantoonbaar

Elke meting herleidbaar vastgelegd, het protocol openbaar. Iedereen kan het nalopen, een toezichthouder ook.

Peer review

IJzer scherpt ijzer.

Zoals ijzer ijzer scherpt, zo scherpt de één de ander. Elke bevinding gaat langs onafhankelijke vakgenoten uit meerdere disciplines: ze toetsen na en lezen elkaar tegen, tot het klopt.

nog niet getoetstaan het toetsenbevestigd

De maatstaf

Waar wij alles aan meten.

Onze overtuiging: verantwoord digitaal handelen is meetbaar. Hier is die overtuiging uitgewerkt tot een complete maatstaf. Elke norm die je IT kan raken, geordend langs de vier assen, met uitleg, meetwijze en bewijsniveau. Klap open wat je nodig hebt.

71onderdelen · 4 assen · volledige norm-dekking

Hoe wij het vaststellen

Niet elke norm is van buitenaf te meten. Daarom draagt elk van de 71 onderdelen een bewijsniveau: het zegt hoe je die norm hard maakt. Dat de meeste onderdelen afgeleid of opvraagbaar zijn, is geen zwakte maar eerlijkheid. Governance toon je met documenten, alleen het technische oppervlak meet je direct.

21
23
27

Meetbaar

21 onderdelen

Wij stellen het zelf vast uit publiek waarneembaar gedrag. Het bewijs staat er, of het staat er niet.

Afgeleid

23 onderdelen

Wij leiden het af uit wat waarneembaar is. Sterk signaal, maar geen volledige zekerheid zonder navraag.

Opvraagbaar

27 onderdelen

Alleen aan te tonen met documenten die de organisatie overlegt: certificaat, rapport, contract. Niet van buiten te meten, wel op te vragen.

De vier assen · klik om te springen

People11Security19Ethics13Privacy28
Start assessment →

As 01 · People

Techniek moet zich verantwoorden aan de mens.

Een dienst die je niet begrijpt of niet kunt weigeren, ontneemt je een keuze. De mens tegenover de organisatie is geen sluitpost maar het uitgangspunt.

Waarom voor de samenleving

Als mensen niet kunnen begrijpen, kiezen of bezwaar maken, verschuift de macht stilletjes naar wie de dienst bouwt. Grip bij de burger is een publiek belang.

Wat wij doen

Wij meten of de informatie klopt, of de dienst toegankelijk is en of weigeren echt kan, langs alle 27 People-normen.

Hoe

De verklaring naast de praktijk, WCAG en heldere taal getoetst, en de consent-flow op vrije, gelijke keuze gemeten.

11onderdelen
Samen dekken ze alle 27 normen van deze as. Loop je dit door, dan is er geen blinde vlek meer.
Begrijpelijke informatie & transparantie3
P1Volledige informatieplichtAVG art. 12 t/m 14 · 5(1)(a)meetbaar

De mens moet vóór of bij het verzamelen weten wie zijn data krijgt, waarvoor, op welke grond en hoe lang.

Zo stellen wij het vastLeg de privacyverklaring naast de waargenomen ontvangerslijst; controleer doel, grondslag, bewaartermijn en contactgegevens. Elk gat is een tekortkoming.

ToetsvraagStaat elke feitelijke ontvanger, met doel, grondslag en bewaartermijn, vóór de verwerking in de verklaring?

P2Rechten zichtbaar en uitoefenbaarAVG art. 15-18, 20, 21 · EDPB 01/2022afgeleid

Inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar moeten vindbaar en werkbaar zijn.

Zo stellen wij het vastTest of een verzoekroute bestaat en werkt, of termijnen worden gehaald en of de portabiliteitsvorm bruikbaar is.

ToetsvraagKan de betrokkene zijn rechten daadwerkelijk en zonder drempel uitoefenen?

P3Transparantie over advertenties & aanbevelingenDSA art. 26, 27, 38, 39, 40afgeleid

De gebruiker moet zien waarom hij een advertentie of aanbeveling krijgt en wie erachter zit; onderzoekers moeten toegang krijgen.

Zo stellen wij het vastControleer advertentielabels, het advertentieregister, uitleg en instelbaarheid van het aanbevelingssysteem, en de onderzoekers-toegang.

ToetsvraagLegt het platform per advertentie/aanbeveling herkomst en reden uit, en is er onderzoekstoegang?

Toegankelijkheid & mensgericht ontwerp1
P4Toegankelijke dienst voor iedereenEAA 2019/882 · Rl 2016/2102 · WCAG 2.2 · EN 301 549 · ISO 9241-210meetbaar

De dienst moet bruikbaar zijn voor mensen met een beperking, ontworpen vanuit de gebruiker.

Zo stellen wij het vastToets tegen WCAG 2.2 (geautomatiseerd plus handmatig), verifieer EN 301 549-conformiteit en de toegankelijkheidsverklaring.

ToetsvraagVoldoet de dienst aantoonbaar aan WCAG 2.2 / EN 301 549 en is de toegankelijkheidsverklaring actueel?

Heldere taal1
P5Begrijpelijke taalNEN-ISO 24495-1 · Direct Duidelijk / B1afgeleid

Informatie, keuzes en voorwaarden moeten in gewone taal staan die de doelgroep echt begrijpt.

Zo stellen wij het vastBeoordeel dragende teksten op taalniveau (richtpunt B1) en op de heldere-taalbeginselen; is de handeling meteen duidelijk?

ToetsvraagZijn de dragende teksten geschreven op begrijpelijk niveau (circa B1) volgens de heldere-taalnormen?

Autonomie & geen manipulatie4
P6Geen misleidende ontwerppatronenDSA art. 25 · Rl 2005/29 · EDPB 03/2022 · ACM Leidraad · Digital Fairness Actmeetbaar

Het ontwerp mag de mens niet naar een keuze duwen die hij anders niet zou maken.

Zo stellen wij het vastBeoordeel de flow op sturende framing, ongelijke knoppen, cookiewalls; vergelijk moeite van accepteren versus weigeren.

ToetsvraagIs de interface vrij van sturende, misleidende of dwingende ontwerppatronen?

P7Vrije, granulaire toestemmingAP cookiebanners · EDPB 05/2020 · DMA 5(2)/6(9)/6(10)meetbaar

Toestemming moet een echte, vrije keuze zijn: weigeren in één klik, per doel, en intrekken zo makkelijk als geven.

Zo stellen wij het vastMeet of weigeren evenveel klikken kost als accepteren, of keuze per doel kan, of niets voorgevinkt staat.

ToetsvraagKan de mens even makkelijk en granulair weigeren en intrekken als accepteren?

P8Geen ongemerkte gedragsopnameAVG art. 5(1)(a) · art. 9 bij gevoelige veldenafgeleid

De mens hoort te weten of zijn hele sessie wordt opgenomen; gevoelige velden mogen niet meelekken.

Zo stellen wij het vastStel vast of een replay-tool actief is; controleer maskering van wachtwoord-, betaal- en gezondheidsvelden en of opname pas ná toestemming start.

ToetsvraagIs er geen ongemaskeerde, niet-gemelde opname van het gebruikersgedrag?

P9Autonomie bij geautomatiseerde besluitenAVG art. 22afgeleid

Bij besluiten met aanzienlijk effect houdt de mens recht op betekenisvolle uitleg en menselijke tussenkomst.

Zo stellen wij het vastGa na of er volledig geautomatiseerde besluiten of profilering met rechtsgevolg zijn, en of uitleg, bezwaar en herbeoordeling geboden worden.

ToetsvraagKan de mens een geautomatiseerd besluit begrijpen, betwisten en menselijk laten herzien?

Kwetsbare gebruikers & consumentenrecht2
P10Kinderen en minderjarigenAVG art. 8 jo. UAVG 5 · DSA 28 · KIA/AADC · IVRK 16opvraagbaar

Kinderen krijgen extra bescherming: geen public-by-default, geen op hen gerichte manipulatie, ontwerp in hun belang.

Zo stellen wij het vastControleer leeftijdsgrens en toestemmingsroute, standaardinstellingen (niet openbaar) en afwezigheid van kind-gerichte dark patterns.

ToetsvraagBeschermt het ontwerp minderjarigen actief en staat niets kind-gevoeligs standaard open?

P11Consumentenrechten onlineOmnibus-richtlijn 2019/2161afgeleid

De mens als consument heeft recht op eerlijke, volledige informatie over prijs, aanbod en herroeping.

Zo stellen wij het vastControleer prijstransparantie, herkomst van reviews/ranking, herroepingsinformatie en afwezigheid van misleidende koopprikkels.

ToetsvraagKrijgt de consument eerlijke, volledige en niet-misleidende informatie bij het aanbod?

As 02 · Security

Veiligheid die je niet kunt zien, bestaat niet.

Beveiliging is geen belofte in een brochure maar iets wat je aantoont. Wat publiek meetbaar is, meten wij; wat op papier staat, vragen wij op en controleren wij.

Waarom voor de samenleving

Een lek raakt niet één bedrijf maar duizenden mensen tegelijk. Aantoonbare weerbaarheid houdt de digitale samenleving overeind.

Wat wij doen

Wij meten het observeerbare fundament (transport, e-mail, headers, permissies) en toetsen het documentaire deel (ISMS, pentest, NIS2, DORA) langs 43 normen.

Hoe

Het meetbare bewijst het gedrag, het documentaire moet worden opgevraagd en gecontroleerd, niet geloofd.

19onderdelen
Samen dekken ze alle 43 normen van deze as. Loop je dit door, dan is er geen blinde vlek meer.
Beveiliging als kernplicht3
S1BeveiligingsplichtAVG art. 32opvraagbaar

Passende technische en organisatorische maatregelen tegen verlies, lek en misbruik van persoonsgegevens.

Zo stellen wij het vastRecente pentest (<12 mnd) met opvraagbaar rapport, TLS >=1.2 + HSTS, versleuteling in rust, geen hardcoded secrets, geen kritieke CVE's.

ToetsvraagKun je met een recent, onafhankelijk rapport aantonen dat de beveiliging passend is?

S2Informatiebeveiligings-managementsysteemISO 27001/27002:2022/27005/27035 · NIST CSF 2.0 · BIO2opvraagbaar

Een beheerst stelsel van maatregelen met risicoanalyse en verbetercyclus, in plaats van losse ad-hocmaatregelen.

Zo stellen wij het vastCertificaat op scope checken, risicoregister en maatregelenoverzicht opvragen; bij overheid BIO2 en pas-toe-of-leg-uit.

ToetsvraagIs er een ingericht en onderhouden managementsysteem voor informatiebeveiliging?

S3Sectorale beveiligingsnormen zorgNEN 7510-1/2 · ISO 27799 · NEN 7512/7513opvraagbaar

Verzwaarde beveiligingseisen voor gezondheidsgegevens: toegang, uitwisseling en logging.

Zo stellen wij het vastNEN 7510-certificering opvragen; toegangsbeperking en logging op patiëntdata toetsen.

ToetsvraagVoldoet de zorgverwerking aantoonbaar aan de NEN-7510-lijn?

Aantoonbaar testen: app, web en e-mail4
S4Applicatie-verificatie, pentest & auditOWASP ASVS 5.0 / MASVS · Top 10-familie · SOC 2 / PCI-DSSopvraagbaar

De applicatie is getoetst tegen een erkende verificatienorm op een risicopassend niveau, met onafhankelijk bewijs.

Zo stellen wij het vastASVS (web) of MASVS (mobiel); toegangscontrole (A01) en injectie/misconfiguratie (A03/A05) getest; SAST/DAST of code-review door een vetted reviewer.

ToetsvraagIs de applicatie tegen een erkende verificatienorm getest en zijn de resultaten opvraagbaar?

S5Web- en transportbeveiliging (meetbaar)HTTPS/HSTS · DNSSEC · DANE · RPKI · CSP3 · SameSite · security.txt · Internet.nlmeetbaar

De publiek meetbare internet- en webstandaarden die direct laten zien of het fundament deugt.

Zo stellen wij het vastDirect observeerbaar: TLS-config en HSTS, DNSSEC/DANE/RPKI, security-headers (CSP, SameSite, CORS), security.txt; vergelijk met Internet.nl.

ToetsvraagStaan de meetbare web- en transportstandaarden aantoonbaar goed?

S6E-mailbeveiligingSPF · DKIM · DMARC · MTA-STSmeetbaar

Voorkomt spoofing en afluisteren van e-mail namens het domein.

Zo stellen wij het vastDNS-records controleren: SPF, DKIM, DMARC-policy (reject/quarantine), MTA-STS.

ToetsvraagZijn SPF, DKIM, DMARC en MTA-STS correct ingesteld?

S7App-permissies & aanvalsoppervlakAVG art. 5(1)(c) · art. 25meetbaar

Elke gevaarlijke permissie of overbodige functie vergroot het aanvalsoppervlak; wat niet nodig is, hoort weg.

Zo stellen wij het vastGevaarlijke permissies uit het manifest inventariseren en runtime-gebruik verifiëren (gedeclareerd is niet gebruikt).

ToetsvraagHeeft elke gevaarlijke permissie een aanwijsbare, gebruikte functie?

Sectorale cyberwetgeving & productbeveiliging4
S8Zorgplicht essentiële & kritieke entiteitenNIS2 · Cyberbeveiligingswet · Wet weerbaarheid kritieke entiteitenafgeleid

Wettelijke zorg-, meld- en registratieplicht voor essentiële/belangrijke en kritieke organisaties.

Zo stellen wij het vastVaststellen of de entiteit onder scope valt; zorgplicht-maatregelen, incident-meldproces en registratie toetsen.

ToetsvraagZijn de NIS2/Cbw-zorg-, meld- en registratieplichten belegd?

S9Digitale weerbaarheid financiële sectorDORA · PSD2 + RTS SCA · iDEAL Rulebookopvraagbaar

ICT-weerbaarheid en sterke klantauthenticatie voor financiële entiteiten en hun ICT-leveranciers.

Zo stellen wij het vastDORA-ICT-risicokader, incidentrapportage en third-party-register toetsen; SCA op betaalflows controleren.

ToetsvraagVoldoen ICT-weerbaarheid en sterke klantauthenticatie aan DORA/PSD2?

S10Productbeveiliging & SBOMCyber Resilience Act · RED 2022/30 · GPSR · SBOMopvraagbaar

Producten met digitale elementen moeten veilig-by-design zijn, met een softwarestuklijst en kwetsbaarhedenafhandeling.

Zo stellen wij het vastSBOM (SPDX/CycloneDX) opvragen; CRA/RED/GPSR-conformiteit en update-/meldproces toetsen.

ToetsvraagIs het product aantoonbaar veilig-by-design met SBOM en updatebeleid?

S11IoT- en OT-beveiligingETSI EN 303 645 · EN 18031 · IEC 62443/62351 · ENISA IoT Baselineafgeleid

Basisbeveiliging voor consumenten-IoT en zwaardere OT/energie-omgevingen.

Zo stellen wij het vastToetsen tegen ETSI/EN 18031 (IoT) en IEC 62443/62351 (OT); default-credentials, updatepad en netwerksegmentatie.

ToetsvraagVoldoen de IoT-/OT-componenten aan de geldende basisbeveiligingsnormen?

Keten, cloud & doorgifte3
S12Verwerkersovereenkomst & subverwerkersAVG art. 28opvraagbaar

Met elke partij die persoonsgegevens ziet is een sluitend contract nodig, met een actuele subverwerkerslijst.

Zo stellen wij het vastOvereenkomst op verplichte clausules toetsen; subverwerkerslijst naast de gemeten ontvangers leggen.

ToetsvraagIs er met elke ontvanger een art.-28-contract dat de gemeten stromen dekt?

S13CloudbeveiligingISO 27017/27018 · Rijksbreed cloudbeleid · EUCSopvraagbaar

Specifieke beveiligings- en PII-eisen wanneer verwerking bij cloudverwerkers ligt.

Zo stellen wij het vast27017/27018-dekking en cloudbeleid-conformiteit toetsen; residency en verwerkerslaag vaststellen.

ToetsvraagIs de cloudlaag conform 27017/27018 en het geldende cloudbeleid?

S14Doorgifte & jurisdictie (wie kan inzien)AVG art. 44-49, 48 · CLOUD Act · EU-US DPF · SCC'smeetbaar

Waar data buiten de EER gaat of onder buitenlandse bevoegdheid valt, moet inzagerisico en doorgifte-instrument geregeld zijn.

Zo stellen wij het vastLand per ontvanger; per VS-ontvanger corporate control (CLOUD Act) versus datacenter; geldig instrument en DTIA waar nodig.

ToetsvraagIs elke doorgifte in kaart, met inzagerisico en geldig instrument?

Identiteit, authenticatie & biometrie2
S15eID & sterke authenticatieeIDAS 2.0 · EUDI-wallet ARF · FIDO2/WebAuthnafgeleid

Betrouwbare identificatie en phishing-bestendige authenticatie van gebruikers.

Zo stellen wij het vastToetsen tegen eIDAS-betrouwbaarheidsniveaus en FIDO2/WebAuthn; EUDI-wallet-conformiteit waar van toepassing.

ToetsvraagIs de authenticatie phishing-bestendig en eIDAS-conform ingericht?

S16Reisdocument- & identiteitschipbeveiligingPaspoortwet · Verordening 2019/1157 · ICAO 9303 · ISO 14443/7816/19794-5afgeleid

Beveiliging van de chip in identiteitsdocumenten: wie mag uitlezen, met welke sleutels en welke datagroepen.

Zo stellen wij het vastToetsen tegen ICAO 9303 (BAC/PACE/EAC, DG1/DG2/SOD) en de chip-/APDU-normen; grondslag voor uitlezen vaststellen.

ToetsvraagIs de chipbeveiliging en uitleesbevoegdheid normconform belegd?

Governance, continuïteit & kwetsbaarheden3
S17Beleidspassing & verantwoordingAVG art. 24, 30 · intern beleidopvraagbaar

De verwerking past binnen de eigen dataclassificatie en het beleid, en bewust aanvaarde restrisico's zijn vastgelegd.

Zo stellen wij het vastToetsen tegen dataclassificatie, leverancierslijst en bewaartermijnen; staat het in het register; restrisico's vastgelegd. Papier zonder uitvoering telt niet.

ToetsvraagPast de verwerking aantoonbaar binnen het eigen beleid, met vastgelegde restrisico's?

S18BedrijfscontinuïteitISO 22301opvraagbaar

Herstelvermogen bij uitval, incident of ramp, zodat beschikbaarheid van gegevens geborgd blijft.

Zo stellen wij het vastContinuïteitsplan, back-up-/hersteltests en RTO/RPO opvragen.

ToetsvraagIs er een geteste bedrijfscontinuïteits- en herstelvoorziening?

S19Kwetsbaarhedenbeheer & responsible disclosureISO 29147/30111 · NCSC Leidraad CVD · ISO 27035afgeleid

Een vast proces om gemelde kwetsbaarheden te ontvangen, af te handelen en incidenten te managen.

Zo stellen wij het vastAanwezigheid van een disclosure-beleid (security.txt / CVD-pagina) en incidentproces (27035) checken.

ToetsvraagIs er een werkend proces voor melden en afhandelen van kwetsbaarheden en incidenten?

As 03 · Ethics

Een algoritme dat niemand kan uitleggen, hoort niet te beslissen.

Sommige inzet mag simpelweg niet, andere mag alleen met waarborgen. Ethiek gaat over de vraag of het besluit zelf te verantwoorden is aan wie het raakt.

Waarom voor de samenleving

Geautomatiseerde beslissingen bepalen wie een baan, uitkering of lening krijgt. Uitlegbaarheid en non-discriminatie zijn een democratische ondergrens.

Wat wij doen

Wij toetsen of de inzet verboden of hoog-risico is, of er een mensenrechtentoets ligt, en of het besluit transparant en navolgbaar is, langs 19 normen.

Hoe

De AI-poort eerst (mag dit), dan de waarborgen: FRIA/IAMA, non-discriminatie, transparantie, registratie en menselijke tussenkomst.

13onderdelen
Samen dekken ze alle 19 normen van deze as. Loop je dit door, dan is er geen blinde vlek meer.
AI-poort: mag dit systeem überhaupt?3
E1Poortvraag AI-inzetAI-verordening 2024/1689 (scope) · AI-Omnibusafgeleid

Vaststellen of er een AI-systeem of algoritme wordt ingezet voor besluiten, profilering of generatie. Zo niet, dan vervalt de AI-toets.

Zo stellen wij het vastPoortvraag beantwoorden; bij ja opent de verboden- en hoog-risicotoets.

ToetsvraagWordt AI of een algoritme ingezet voor besluiten, profilering of generatie?

E2Verboden AI-praktijkenAI-verordening art. 5afgeleid

Zes categorieën die simpelweg niet mogen: social scoring, real-time biometrische identificatie in de openbare ruimte, emotieherkenning op werk/onderwijs, ongerichte gezichtsscraping, uitbuiten van kwetsbaarheden.

Zo stellen wij het vastLoop de verboden-items af; één ja betekent niet toepassen.

ToetsvraagValt de inzet onder één van de verboden AI-praktijken (art. 5)?

E3Hoog-risico AIAI-verordening art. 6 + bijlage IIIafgeleid

Inzet in werving, krediet/verzekering, onderwijs, rechtshandhaving/migratie/rechtspraak, biometrie of kritieke infrastructuur is hoog-risico en vraagt extra waarborgen.

Zo stellen wij het vastLoop de bijlage-III-items af; één ja betekent hoog-risico, mensenrechtentoets vereist.

ToetsvraagValt de toepassing in een hoog-risicocategorie van bijlage III?

Mensenrechten & non-discriminatie2
E4Grondrechten-/mensenrechteneffectbeoordelingIAMA / FRAIA · AI-verordening art. 27 (FRIA)opvraagbaar

Bij hoog-risico of overheidsinzet moet vooraf de impact op grondrechten en mensenrechten worden beoordeeld.

Zo stellen wij het vastVaststellen of een IAMA/FRAIA (publiek: art. 27-FRIA) is uitgevoerd en gedocumenteerd; opvragen.

ToetsvraagIs een mensenrechten-/grondrechteneffectbeoordeling uitgevoerd waar vereist?

E5Non-discriminatie by designNon-discriminatie by design (BZK) · DEDA · CODIOopvraagbaar

Het systeem mag niet (indirect) discrimineren; bias moet in ontwerp en data zijn getoetst en gemitigeerd.

Zo stellen wij het vastToetsen of non-discriminatie-handreikingen zijn toegepast en of bias-analyse op data en uitkomsten is uitgevoerd.

ToetsvraagIs discriminatie en bias aantoonbaar getoetst en gemitigeerd?

Transparantie & registratie van algoritmen3
E6Transparantie van AI-outputAI-verordening art. 50afgeleid

Mensen moeten weten dat ze met AI te maken hebben; gegenereerde of gemanipuleerde inhoud (deepfakes) moet herkenbaar zijn.

Zo stellen wij het vastVaststellen of AI-interactie wordt gemeld en of gegenereerde content is gemarkeerd/gewatermerkt.

ToetsvraagIs AI-inzet en AI-gegenereerde inhoud transparant en gemarkeerd?

E7Registratie & navolgbaarheid van algoritmenAlgoritmeregister · Algoritmekader Rijksoverheid · Rekenkamer-toetsingskaderopvraagbaar

Overheidsalgoritmen horen openbaar geregistreerd en navolgbaar getoetst te zijn.

Zo stellen wij het vastControleren of het algoritme in het Algoritmeregister staat en of het Algoritmekader/Rekenkamer-toetsingskader is doorlopen.

ToetsvraagIs het algoritme geregistreerd en navolgbaar getoetst?

E8Menselijke tussenkomst bij besluitenAVG art. 22afgeleid

Betrokkenen hebben recht op menselijke tussenkomst bij besluiten met rechtsgevolg of aanzienlijk effect.

Zo stellen wij het vastVaststellen of er uitsluitend geautomatiseerde besluitvorming is en of betekenisvolle menselijke tussenkomst is geborgd.

ToetsvraagIs er betekenisvolle menselijke tussenkomst bij geautomatiseerde besluiten?

AI-governance, kwaliteit & aansprakelijkheid3
E9AI-managementsysteem & risicomanagementISO 42001/23894/42005 · NIST AI RMF · CEN-CENELEC JTC21opvraagbaar

Aantoonbaar beheer van AI-risico's via een managementsysteem, risico- en impactbeoordeling en kwaliteitsmodel.

Zo stellen wij het vastOpvragen of een AI-managementsysteem (ISO 42001) en risicoproces (23894/42005, NIST AI RMF) zijn ingericht.

ToetsvraagIs AI-risicomanagement volgens een erkend raamwerk ingericht en aantoonbaar?

E10Ethische beginselen & gedragscodesOECD · UNESCO · EU HLEG/ALTAI · GPAI Code · Kaderverdrag AI RvEopvraagbaar

De inzet moet stroken met internationaal erkende AI-beginselen en, voor algemene modellen, de gedragscode.

Zo stellen wij het vastToetsen tegen ALTAI/HLEG-beginselen en, bij algemene modellen, de GPAI Code of Practice.

ToetsvraagIs de inzet verenigbaar met de erkende ethische AI-beginselen en gedragscodes?

E11Productaansprakelijkheid AI/softwareProduct Liability Directive 2024/2853opvraagbaar

Software en AI gelden als product; schade door een gebrekkig AI-systeem valt onder productaansprakelijkheid.

Zo stellen wij het vastVaststellen of aansprakelijkheid, foutafhandeling en schadeafdekking voor het AI-product zijn belegd.

ToetsvraagIs de productaansprakelijkheid voor het AI-systeem belegd?

Eerlijk gedrag richting mensen2
E12Geen dark patterns & vrije toestemmingAVG art. 4(11), 5(1)(a) · DSA art. 25meetbaar

De interface mag mensen niet naar ja duwen; weigeren moet even makkelijk zijn als accepteren.

Zo stellen wij het vastConsent-flow beoordelen; kost weigeren evenveel klikken als accepteren, geen voorgevinkte opt-ins, geen cookiewall, geen sturende framing.

ToetsvraagIs de toestemming vrij, zonder sturende of misleidende ontwerppatronen?

E13Doelbinding & geen function creepAVG art. 5(1)(b), 6(4)meetbaar

Data mag niet stilzwijgend voor andere doelen (ads, analytics, AI-training) worden hergebruikt dan waarvoor ze zijn verzameld.

Zo stellen wij het vastFeitelijke bestemmingen naast het opgegeven verzameldoel leggen; elke afwijking is function creep.

ToetsvraagBlijft het gebruik binnen het oorspronkelijke, gedocumenteerde doel?

As 04 · Privacy

Wie je data heeft, heeft macht over je.

Privacy is geen individueel probleem. Een samenleving waarin data ongezien wordt doorverkocht, is een samenleving die te sturen en te profileren is.

Waarom voor de samenleving

Als data ongecontroleerd stroomt, verliezen burgers grip: geprofileerd, gestuurd, verhandeld. Vertrouwen in digitale diensten is een publiek belang.

Wat wij doen

Wij meten de feitelijke datastromen langs alle 80 privacy-normen, laten het nalezen door vakgenoten en leggen het onweerlegbaar vast.

Hoe

Drie bezoeken (zonder consent, na weigeren, na akkoord), elke ontvanger en elk land in kaart, en de belofte naast de praktijk gelegd.

28onderdelen
Samen dekken ze alle 80 normen van deze as. Loop je dit door, dan is er geen blinde vlek meer.
Fundament2
O1Rechtskader & grondrechtelijke basisAVG (2016/679), UAVG, art. 5 · Handvest 7/8 · EVRM 8 · Grondwet 10opvraagbaar

De grondrechtelijke en wettelijke bodem. Elke verwerking van persoonsgegevens raakt een grondrecht en moet rechtmatig, doelgebonden en dataminimaal zijn.

Zo stellen wij het vastVaststellen of het kader van toepassing is en of de zes beginselen van art. 5 de toetslat zijn.

ToetsvraagIs vastgesteld dat de AVG/UAVG van toepassing is en zijn de beginselen van art. 5 het uitgangspunt?

O2Reikwijdte: wat telt als persoonsgegeven & schadeBreyer (C-582/14) · EDPS/SRB (C-413/23 P) · Nowak · Österreichische Postafgeleid

Ook indirect herleidbare data (een online-identifier, een bid-ID) telt als persoonsgegeven, en louter verlies van controle kan al schade zijn.

Zo stellen wij het vastBeoordeel of identifiers in het verkeer relatief herleidbaar zijn tot een persoon; toets de schade-inschatting.

ToetsvraagIs beoordeeld welke stromen (indirect) herleidbaar zijn tot personen en welke schade dat kan geven?

Grondslag & toestemming5
O3Rechtsgrond (art. 6) & gerechtvaardigd belangAVG art. 6 · EDPB 1/2024 · DMA 5(2)/6(9)/6(10)afgeleid

Elke verwerking heeft een geldige rechtsgrond nodig. Gerechtvaardigd belang is geen vrijbrief, en gecombineerde datastromen vragen apart toestemming.

Zo stellen wij het vastPer datastroom de opgegeven grondslag naast het feitelijke gebruik leggen; is gerechtvaardigd belang geen dekmantel voor tracking?

ToetsvraagHeeft elke verwerking een aanwijsbare, juiste rechtsgrond, zonder oneigenlijk beroep op gerechtvaardigd belang?

O4Verkeer naar derden vóór toestemmingAVG art. 6 · 5(1)(a) · ePrivacy 2002/58 · Tw art. 11.7ameetbaar

Vóór jouw keuze mag er niets naar advertentie- of derde-partijen. Gebeurt dat toch, dan ben je geprofileerd zonder grondslag.

Zo stellen wij het vastWeiger alles en vergelijk het reject-verkeer met accept-verkeer. Casus nu.nl: 12 naar 580 verzoeken.

ToetsvraagGaan er, vóór de consent-klik, nul verzoeken met identifiers naar derde-partij-domeinen?

O5Geldige toestemming: werkt 'weigeren' echtAVG 7(3) · EDPB 05/2020 · Planet49 · Orange România · Consent Mode v2 · APmeetbaar

Toestemming moet vrij, actief en even makkelijk in te trekken als te geven zijn. Een banner die niets stopt is theater.

Zo stellen wij het vastKies 'weiger alles' en meet het netwerkgedrag opnieuw; weerspiegelt het IABTCF-token de keuze, en is intrekken even makkelijk?

ToetsvraagStopt 'weigeren' aantoonbaar alle niet-functionele derde-partij-calls, en is intrekken even makkelijk als geven?

O6Cookies & toegang tot randapparatuurTw art. 11.2/11.3 · EDPB 2/2023 · Digital Omnibusafgeleid

Elk lezen/plaatsen op je apparaat (cookie, pixel, fingerprint, server-side tag) valt onder de toestemmingsplicht. Naar de server verplaatsen maakt het niet legaal.

Zo stellen wij het vastDetecteer CNAME-cloaking, tracking-pixels en server-side tagging; toets tegen de art. 5(3)-uitleg.

ToetsvraagZijn ook pixels, fingerprinting en server-side tags achter geldige toestemming gezet?

O7Dark patterns & vrije toestemmingDSA 25 · Rl 2005/29 · EDPB 03/2022 · ACM Leidraad · Digital Fairness Actmeetbaar

De interface mag je niet naar 'ja' duwen. Ongelijke knoppen, voorgevinkte vakjes of een cookiewall maken de toestemming ongeldig.

Zo stellen wij het vastBeoordeel de consent-flow: kost weigeren evenveel klikken als accepteren, zonder cookiewall of voorafgevinkte opties?

ToetsvraagIs 'weigeren' even prominent en makkelijk als 'accepteren', zonder misleiding of cookiewall?

Minimalisatie & doelbinding3
O8Dataminimalisatie & privacy by design/defaultAVG art. 25 · 5(1)(c) · ISO 31700 · EDPB 4/2019meetbaar

Verzamel alleen wat de functie rechtvaardigt, met de privacyvriendelijke stand als default. Elke overbodige permissie of SDK is een lek.

Zo stellen wij het vastInventariseer gevaarlijke permissies/velden uit het manifest en verifieer of ze runtime echt gebruikt worden (gedeclareerd is niet gebruikt).

ToetsvraagHeeft elke datacategorie/permissie een aanwijsbare functie, met de privacyvriendelijke default?

O8bTrackers: actief of alleen aanwezigAVG art. 5(1)(c)afgeleid

Een aanwezige SDK is nog geen verwerking; het gaat om trackers die echt een endpoint bereiken. Dode SDK's horen weg, actieve moeten verantwoord.

Zo stellen wij het vastOnderscheid aanwezige van actieve trackers: per actieve tracker een bereikt endpoint aantonen in het verkeer.

ToetsvraagIs per actieve tracker een bereikt endpoint aangetoond en heeft die een grondslag?

O9Doelbinding & function creepAVG art. 5(1)(b) · 6(4)meetbaar

Data mag niet stiekem voor een ander doel (advertenties, AI-training) worden hergebruikt dan waarvoor ze is gegeven.

Zo stellen wij het vastVergelijk gemeten bestemmingen met het opgegeven verzameldoel; elke afwijking zonder compatibiliteitstoets is function creep.

ToetsvraagBlijven alle gemeten datastromen binnen het oorspronkelijke doel, zonder ongrondslagd hergebruik?

Bijzondere & kwetsbare data2
O10Bijzondere categorie dataAVG art. 9 · UAVG 29 · Meta/Bundeskartellamt · OT · NEN 7510/12/13meetbaar

Gezondheid, biometrie, etniciteit en geaardheid zijn de zwaarste categorie. Ook data waaruit die is af te leiden telt mee, en vraagt een uitdrukkelijke grondslag.

Zo stellen wij het vastClassificeer de datacategorieën in het verkeer; bijzondere data zonder art. 9(2)-grondslag (bij biometrie plus DPIA) is geen grijs gebied.

ToetsvraagWordt geen (afgeleide) bijzondere categorie data verwerkt of gedeeld zonder uitdrukkelijke grondslag?

O11Kinderen & dataAVG art. 8 jo. UAVG 5 · DSA 28 · KIA/AADC · IVRK 16afgeleid

Kinderdata verdient extra bescherming: geen public-by-default, geen op kinderen gerichte tracking, ontwerp op hun belang.

Zo stellen wij het vastToets of instellingen kind-veilig als default staan, leeftijdsverificatie klopt en er geen profilering van minderjarigen is.

ToetsvraagZijn instellingen voor minderjarigen privacy-by-default en ontbreekt op kinderen gerichte tracking?

Transparantie & rechten4
O12Informeren van betrokkenenAVG art. 12 t/m 14 · 5(1)(a)meetbaar

Mensen moeten vooraf en volledig weten wie hun data krijgt, waarvoor, op welke grond en hoe lang.

Zo stellen wij het vastLeg de privacyverklaring naast de gemeten ontvangerslijst; elk ontbrekend doel, ontvanger, grondslag of bewaartermijn is een gat.

ToetsvraagStaat elke gemeten ontvanger, doel, grondslag en bewaartermijn tijdig en vindbaar in de verklaring?

O13Privacyverklaring vs feitelijke praktijkAVG art. 5(1)(a) · 13/14meetbaar

De belofte in de verklaring moet kloppen met wat er feitelijk gebeurt. Een verborgen ontvanger maakt de verklaring onjuist.

Zo stellen wij het vastDraai de meting tegen de eigen verklaring; elke mismatch is hard bewijs van onjuistheid.

ToetsvraagMatcht de feitelijke praktijk (ontvangers, doelen, termijnen) volledig met de verklaring?

O14Rechten van betrokkenenAVG art. 15 t/m 18, 20 · 21 · EDPB 01/2022opvraagbaar

Mensen kunnen inzage, correctie, wissing, beperking, overdracht en bezwaar vragen, en dat moet werkbaar zijn.

Zo stellen wij het vastToets of er een werkend proces is voor elk recht, binnen de termijn, zonder overmatige drempels.

ToetsvraagKan een betrokkene elk AVG-recht daadwerkelijk en tijdig uitoefenen?

O15Geautomatiseerde besluitvorming & profileringAVG art. 22 · DSA 26/27/38/39 · EDPB Opinion 28/2024afgeleid

Besluiten met aanzienlijk effect mogen niet volledig geautomatiseerd zonder waarborgen, en profilering en aanbevelingssystemen moeten transparant zijn.

Zo stellen wij het vastVaststellen of er profilering of geautomatiseerde besluiten zijn, met menselijke tussenkomst en uitleg.

ToetsvraagZijn geautomatiseerde besluiten/profilering voorzien van grondslag, menselijke tussenkomst en transparantie?

Keten & verantwoordelijkheid3
O16Verwerkersovereenkomst & subverwerkersAVG art. 28 · EDPB 07/2020opvraagbaar

Elke partij die data ziet, heeft een contract met de verplichte clausules nodig, en de subverwerkerslijst moet compleet zijn.

Zo stellen wij het vastLeg het contract plus subverwerkerslijst naast de gemeten ontvangers; elke ongedocumenteerde partij is een gat.

ToetsvraagIs er met elke partij die data ziet een art. 28-overeenkomst, en matcht de subverwerkerslijst?

O17ID-correlatie, cookie-sync & joint controllershipAVG art. 26 · Fashion ID · IAB Europe · EDPB 8/2020meetbaar

Als identifiers over bedrijven heen worden gedeeld (cookie-sync, ingebedde pixels), ontstaat gezamenlijke verantwoordelijkheid die je moet regelen.

Zo stellen wij het vastDetecteer cookie-sync (redirect-chains, sync-pixels) en identifiers die bij meerdere partijen terechtkomen.

ToetsvraagIs voor elke gedeelde identifier of ingebedde derde een art. 26-regeling aanwezig?

O18Adtech & real-time biddingIAB OpenRTB · TCF v2.2 · ads.txt/sellers.json · Privacy Sandbox · GBA TCFafgeleid

In de advertentieveiling wordt jouw profiel real-time rondgestuurd. De TC String is zelf een persoonsgegeven en het TCF-model is medeverantwoordelijk bevonden.

Zo stellen wij het vastLees bid requests tegen de OpenRTB-spec, toets de TC String en de adtech-transparantieketen.

ToetsvraagIs de adtech-keten (TCF, bid requests, supply chain) in kaart en met geldige toestemming onderbouwd?

Verantwoordingsplicht & doorgifte6
O19VerwerkingsregisterAVG art. 30opvraagbaar

Je moet kunnen aantonen welke verwerkingen je hebt. Het register is het administratieve bewijs daarvan.

Zo stellen wij het vastControleer of elke gemeten verwerking en verwerker in het register staat.

ToetsvraagStaat elke feitelijke verwerking in een actueel verwerkingsregister?

O20DPIA & voorafgaande raadplegingAVG art. 35/36 · AP-lijst · WP248 · CNIL PIA · ISO 29134opvraagbaar

Bij hoog risico (de negen EDPB-criteria of de AP-lijst) is vooraf een gegevensbeschermingseffectbeoordeling verplicht.

Zo stellen wij het vastLoop de EDPB-criteria en de AP-lijst na; twee of meer treffers betekent DPIA verplicht.

ToetsvraagIs bij hoog-risico-verwerking een DPIA (en zo nodig voorafgaande raadpleging) uitgevoerd?

O21Functionaris gegevensbescherming (FG)AVG art. 37 t/m 39opvraagbaar

Bij structurele grootschalige of gevoelige verwerking is een FG verplicht, met een onafhankelijke positie.

Zo stellen wij het vastVaststellen of een FG is aangesteld waar vereist, en of positie en contactgegevens kloppen.

ToetsvraagIs een FG aangesteld en vindbaar waar de wet dat vereist?

O22Privacy-managementsysteem (aanvullend)ISO/IEC 27701opvraagbaar

Een privacy-managementsysteem is geen wettelijke eis maar een plus die aantoonbaarheid ondersteunt. Het feitelijke gedrag blijft doorslaggevend.

Zo stellen wij het vastCheck een eventueel ISO 27701-certificaat op scope; behandel als aanvulling, niet als bewijs van gedrag.

ToetsvraagIs er, aanvullend, een gecertificeerd privacy-managementsysteem met passende scope?

O23Datalekken: melden & informerenAVG art. 33/34 · AP Beleidsregelsopvraagbaar

Bij een lek moet je binnen 72 uur melden aan de AP en, bij hoog risico, de betrokkenen informeren.

Zo stellen wij het vastToets of er een meldproces met termijnen en een lekregister is, contractueel doorgezet naar verwerkers.

ToetsvraagIs er een werkend datalek-meldproces binnen de wettelijke termijnen?

O24Doorgifte & jurisdictie (derde landen)AVG art. 44 t/m 49, 48 · Schrems I/II/Latombe · CLOUD Act · DPF · SCC's · DTIAmeetbaar

Data naar buiten de EER mag alleen met een geldig instrument en, zonder adequaatheid, een risico-toets en aanvullende maatregelen. De CLOUD Act botst met art. 48.

Zo stellen wij het vastBreng per ontvanger het land in kaart (GeoIP) en het doorgifte-instrument; ongemeten doorgifte is onrechtmatig.

ToetsvraagHeeft elke niet-EER-ontvanger een geldig doorgifte-instrument met, waar nodig, DTIA en aanvullende maatregelen?

Nationale & sectorale grondslagen3
O25BSN & nationale identifiersAVG art. 87 jo. UAVG 46 · Wabb · AP-boete DPG Mediameetbaar

Het BSN mag alleen met een wettelijke grondslag worden verwerkt. Uitlezen bij identificatie zonder grond is beboet.

Zo stellen wij het vastDetecteer BSN of andere overheidsidentifiers in het verkeer en toets de wettelijke grondslag.

ToetsvraagWordt het BSN alleen verwerkt waar een wettelijke grondslag dat expliciet toestaat?

O26Sectorale & bijzondere regimesLED 2016/680 · Wpg · Wjsg · Wet voetbalvandalisme · journalistieke exceptieopvraagbaar

Sommige verwerkingen vallen onder een eigen regime: politie/justitie, specifieke registratie-wetten, of de journalistieke uitzondering, elk met een eigen grondslagvraag.

Zo stellen wij het vastBepaal of de verwerking onder een sectoraal regime valt en toets de specifieke grondslag daarvan.

ToetsvraagIs voor een verwerking onder een sectoraal regime de juiste, specifieke grondslag vastgesteld?

O27Data-economie: toegang & delenData Act (2023/2854) · Data Governance Act (2022/868)opvraagbaar

Nieuwe wetgeving regelt toegang tot (IoT-)data en datadeling. Waar die data tot personen herleidbaar is, geldt de AVG onverkort.

Zo stellen wij het vastVaststellen of onder deze regimes gedeelde data persoonsgegevens bevat en of de AVG-grondslag meeloopt.

ToetsvraagLoopt bij data-toegang of -deling onder de Data Act/DGA de AVG-grondslag mee?

Ik vul dit in als

Alle kaders in één blik

Elke as is een kader waaraan je moet voldoen. De vorm groeit naar buiten naarmate je een kader hebt getoetst én in orde bevonden. Een deuk naar binnen is een open of gezakt punt. Zo toon je in één beeld dat je álles hebt gewogen.

vol = getoetst en in orde
half = deels of aandachtspunt
deuk = gezakt of nog niet getoetst

"AVG-proof" bestaat niet, maar wordt volop verkocht. Loze stempels en certificaten geven schijnzekerheid. Wij doen het omgekeerd: wij verlenen Totale Digitale Waarborging. Wij ondersteunen organisaties en bouwers volledig in hun projecten en tonen meetbaar en herleidbaar dat het klopt.

Zo weet een bestuur in één oordeel of een verwerking te verantwoorden is, met bewijs dat een toezichthouder accepteert in plaats van een gevoel of een logo. Geen dienst die u eenmalig afneemt, maar een vaste partner. Deze zelftoets is gratis en de eerste stap.

Een begeleider werkt zij aan zij met een organisatie

Samen

Wij bouwen mee, niet alleen na.

Wij ondersteunen organisaties en bouwers in hun project: meten, toetsen en aantoonbaar maken, stap voor stap.

Het principe, en wat het uniek maakt

Voor het bestuur

In één oordeel weten of een verwerking te verantwoorden is, met bewijs dat een toezichthouder accepteert, niet met een onderbuikgevoel.

Voor de medewerker

Zien waar u staat en wat er nog moet, in begrijpelijke taal, zonder eerst een jurist nodig te hebben.

Voor de inkoper

Van een leverancier hard bewijs eisen in plaats van een geruststelling, vóór u tekent.

Het toetsingskader PSEP People · Security · Ethics · Privacy wat is PSEP? › de vier assen waarlangs deze toets meet

De keten in zes stappen, op volgorde. Eerst de Totale Digitale Waarborging zelf: zo weet u precies wat er nodig is. Stap 2 tot en met 6 ontgrendelen zodra de toets is afgerond: de meting levert de feiten, de collegiale toetsing de onafhankelijke bevestiging, dan het resultaat, dan nazorg, en tot slot de zelfverklaring TDW-gecheckt als alles is geïmplementeerd en geborgd.

stap 1 · u zelf · gratis
Zelftoets
Uw eigen inschatting van hoe het ervoor staat.
zekerheid: indicatie
stap 2 · wij meten · betaald
Meting
Wij meten het feitelijke gedrag onder een vastgelegd meetprotocol.
→ aanvragen · zekerheid: feiten
stap 3 · experts · betaald
Collegiale toetsing
Onafhankelijke vakgenoten met naam toetsen de bevindingen na.
→ aanvragen · geverifieerd
stap 4 · oplevering
Oordeel
Een onderbouwd, toetsbaar eindoordeel dat u kunt aantonen en delen.
→ toon · aantoonbaar
stap 5 · begeleiding
Nazorg
Begeleiding bij het oplossen en aantoonbaar houden.
→ vraag begeleiding aan
stap 6 · zelfverklaring
TDW-gecheckt
De organisatie verklaart zich TDW-gecheckt, op eigen risico, op onze meetlat.
→ wat het inhoudt

Peer review

Elke bevinding wordt onafhankelijk nagetoetst door vakgenoten uit meerdere disciplines, met naam en affiliatie. Pas als hun oordelen samenvallen, staat het vast. Dat is de fundering onder TDW.

Vakgenoten met naam
Onafhankelijke experts met naam en affiliatie toetsen de bevindingen na. Geen anonieme goedkeuring, maar een controleerbare handtekening onder het oordeel.
Tegenlezen
Een tweede en derde paar ogen leest kritisch tegen. Dat vangt de zwakke reviewer af: één losse mening haalt het niet, pas convergentie tussen vakgenoten telt.
Onafhankelijke bevestiging
Collegiale toetsing is stap 3 in de keten: na uw zelftoets en onze meting bevestigen vakgenoten onafhankelijk dat de feiten en de conclusie kloppen.

Een bug bounty, maar dan voor privacy en security. Vind je een gat in de methodiek of een bevinding die niet klopt? Meld het. Sterkere tegenspraak maakt het kader sterker, precies zoals een bug bounty software hardt.

Meld een bevinding of doe mee als vakgenoot ›

Normenkaart

Toon de bronnenlijst wetten, normen, richtsnoeren en arresten

Elk wetsartikel, elke norm, elk richtsnoer en elk arrest waarop dit kader rust. Gemarkeerd naar hardheid, filterbaar per as, hardheid en dossier, zodat niemand een wig kan drijven tussen wet en certificaat.

As
Hardheid
Raakt dossier

Anderen lezen de belofte. Wij meten wat er écht gebeurt, en vinden wat verborgen blijft.

Dit werkt omdat het al bewezen is. Het model is gebouwd op landelijk onderzoek dat publiek is getoetst: de Nationale Privacy Index en mijnoverheid.us. Daar zijn Nederlandse sites en apps écht gemeten, met reproduceerbaar bewijs, en de methodiek ligt open. Elke check in deze toets komt uit wat daar is aangetoond: tracking vóór toestemming, ontvangers in derde landen, verklaringen die niet kloppen met de praktijk. Geen bedachte checklist maar in het veld bewezen, en herhaaldelijk in het nieuws.

Bewijs & impact Nationale Privacy Index, juni 2026

Dit model rust op een landelijk onderzoek dat echt is uitgevoerd. De cijfers hieronder zijn gemeten, niet geschat, en de aanpak is dezelfde die onder deze toets ligt. De 211 hiervan zijn gepubliceerd in de Index. Ruim 3000 zitten in het corpus waartegen wij elke nieuwe meting ijken, zodat wij nooit blind een meting ingaan.

211
organisaties getest195 volledig meetbaar
151
met kritieke bevindingen
110
data-uitstuur zonder grondslag
6
vijf sterren, Privacy Beste Keuze
110
41
44
110 data-uitstuur zonder grondslag 41 Privacy Risico 44 zonder kritieke bevinding (waarvan 6× vijf sterren)

Niet alleen aanwijzen, ook opgelost krijgen. Voorbeelden van geverifieerde verbeteringen:

113 Zelfmoordpreventie
Alle externe trackers verwijderd na de bevinding.
vóór consent 5 → 0 · na consent 13 → 0
Pels Rijcken
Google Tag Manager, Hotjar-opnames en pre-consent YouTube verwijderd.
opgeruimd binnen 72 uur
Belastingdienst
Adobe-tracker in de betaalomgeving uitgezet na Kamervragen.
datalekmelding bij de AP

In het nieuws

NRC over de Belastingdienst
NRC
Tweakers over de Belastingdienst
Tweakers
Security.NL over de Belastingdienst
Security.NL
Tweede Kamer over de Belastingdienst
Tweede Kamer
BNR over Pels Rijcken
BNR
Hart van Nederland over 113 Zelfmoordpreventie
Hart van Nederland
Tweakers over 113 Zelfmoordpreventie
Tweakers
BNR over 113 Zelfmoordpreventie
BNR

Meetprotocol: elke organisatie drie keer bezocht: zonder consent, na weigeren, en na akkoord. Meer op de Nationale Privacy Index en succesverhalen.

Hoe wij werken

Wij lezen de belofte niet, wij meten het feitelijke gedrag van een dienst langs vier assen: people, security, ethics en privacy. Niet wat een verklaring zegt, maar wat er werkelijk gebeurt, vastgelegd en herleidbaar.

Iemand leest rustig een heldere uitleg

Voor iedereen

Uitleg zonder jargon.

Van Tweede Kamer tot MKB-directie: wij leggen elke stap uit in gewone taal, met het bewijs erachter voor wie dieper wil.

zelftoetsmetingcollegiale toetsingoordeelnazorg

De keten in het kort: u begint met een gratis zelftoets, wij meten daarna het feitelijke gedrag, onafhankelijke vakgenoten toetsen na, dan volgt een onderbouwd oordeel en tot slot de begeleiding om het opgelost te houden.

De kernbegrippen

Meting
De meting bezoekt een dienst drie keer: zonder consent, na weigeren en na akkoord. Het verschil legt het feitelijke gedrag bloot. Elke meting wordt vastgelegd met SHA-256 en een OpenTimestamps-anker, dus achteraf niet stil te wijzigen.
Bewijsniveau
Elke bevinding draagt een label: vastgesteld (hard gemeten), afgeleid (met redenering onderbouwd) of open (nog niet vast te stellen). Zo is nooit een claim zwaarder dan het bewijs eronder.
Peer review
Onafhankelijke vakgenoten met naam en affiliatie toetsen de bevindingen na. Geen anonieme goedkeuring, maar een controleerbare handtekening. Pas convergentie tussen vakgenoten telt.
Oordeel
Het eindoordeel verschijnt pas als het hele traject is ingevuld, en is nooit positiever dan de invoer. Een oordeel op halve invoer is schijnzekerheid, precies wat deze toets wil voorkomen.
TDW-gecheckt
Geen keurmerk, maar een zelfverklaring: de organisatie verklaart zich Totale Digitale Waarborging-gecheckt, op eigen risico, op onze openbare meetlat. Herleidbaar, tijdelijk en controleerbaar door derden.
Waarom dit telt niet omdat wij het zeggen

De grondslag is de wet, geen mening. Wat een norm raakt, raakt een wetsartikel. De AVG kent handhaving (boetes, schadeclaims, het stilleggen van een verwerking), maar dat is niet ons verkoopargument: het staat los van wie de toets maakte. De concrete boetezaken staan bij het onderdeel zelf, bij wie erom vraagt.

×
"De overheid doet het ook / iedereen doet het." Geen grondslag. Onrechtmatig wordt niet rechtmatig door herhaling. Toezichthouders beboetten juist de grote, veelgebruikte partijen (Google, Meta, TikTok, Microsoft); meelopen vergroot je blootstelling.
×
"We doen dit al jaren zo." Beschermt niet. Een doorlopende verwerking blijft toetsbaar zolang hij loopt; geen verjaring wast een onrechtmatige stroom wit. Hoe langer het loopt, hoe groter de blootstelling.
Op welk niveau adviseren wij, en wie mag overrulen advies ≠ dictaat
niveau 1
Uitvoerend
niveau 2
Advies & toetsing
niveau 3
Management
niveau 4
Directie / bestuur

Dit is een feitelijk advies. De directie draagt de eindverantwoordelijkheid en mag op andere gronden (continuïteit, kosten, bedrijfsvoering) een andere koers kiezen. Dat maakt het advies niet "ongelijk": de gemeten feiten blijven staan.

De legitieme overrule. Afwijken mag, mits expliciet en gedocumenteerd als bewust aanvaard restrisico (art. 24 verantwoordingsplicht). Dan is de overrule zelf een geldige governance-uitkomst, geen falen van het proces. Zonder vastlegging is het geen keuze maar een blinde vlek.

Realisme in plaats van alles-of-niets. Veiliger willen betekent niet vandaag alle Google Analytics uitzetten. Een gefaseerd afbouwpad is legitiem, mits de streefrichting vaststaat en het restrisico bewust is aanvaard. Leg het afbouwen dan vast als concrete afspraak of maatregel met een einddatum en tijdlijn, niet als vrijblijvend voornemen, zodat het toetsbaar en aantoonbaar blijft.

Openbaar protocol en vastgelegde meting een feit, geen mening

Naast de collegiale toetsing (peer review, zie de eigen tab) staat de meting zelf: deterministisch en herleidbaar. Het protocol is openbaar, het instrument niet: iedereen kan lezen hoe wij meten en de meting met eigen middelen herhalen. De software waarmee wij het doen blijft van ons. Wat wij meten is publiek waarneembaar gedrag; daar is geen bijzondere tool voor nodig, alleen een browser en de wil om te kijken. Peer review controleert de redenering, replicatie controleert het feit. Beide dragen het oordeel.

Openbaar protocol
iedereen kan lezen hoe wij meten
Verzegelde meting
SHA-256 + OpenTimestamps-anker
Reproduceerbaar
een derde krijgt hetzelfde resultaat
Wat de toets niet doet de grenzen, expliciet
  • Geen pentest en geen exploit. Er wordt niets omzeild en niets binnengedrongen.
  • Uitsluitend publiek waarneembaar gedrag op eigen verkeer wordt gemeten.
  • Geen CVD-traject. ISO/IEC 29147 en 30111 gaan over kwetsbaarheden in systemen; waarneembaar dataverkeer valt daarbuiten.
  • Geen certificering en geen juridisch advies.
  • Een meting geldt voor het meetmoment; herstel wordt bij hermeting verwerkt.

TDW-gecheckt als stap 6

Geen keurmerk, maar een zelfverklaring

Een keurmerk zou ons tot certificerende instantie maken: aansprakelijkheid, toezicht en een belangenconflict, want wij onderzoeken partijen ook journalistiek. Daarom geen keurmerk. In plaats daarvan verklaart de organisatie zichzelf Totale Digitale Waarborging-gecheckt (TDW-gecheckt), op eigen risico, op onze openbare meetlat.

getoetstgemetengerepliceerdopgelost & geborgd

De verklaring is herleidbaar naar de metingen, tijdelijk (vervalt zodra de verwerking verandert) en controleerbaar door derden. Wij leveren het kader, de organisatie draagt de claim. Zo blijft de aansprakelijkheid waar hij hoort en blijven wij journalist. "AVG-proof" bestaat niet; dit wel, want het is toetsbaar.

Klik een onderdeel om de checks te openen

Pre-scan DPIA. Bepaalt of een DPIA, DTIA of aanvullende toets verplicht of aan te raden is. Gebaseerd op de EDPB-criteria (twee of meer = DPIA verplicht) en de doorgifte-toets. Kern van de Handreiking Pre-scan DPIA Rijksdienst v2.0, geen vervanging ervan.

AI-controlelijst. "Wij willen AI gebruiken." Wat mág niet (verboden onder de AI Act), wat is hoog-risico en vraagt een mensenrechtentoets (IAMA/FRAIA), en raakt het kinderen (KIA). Zo weet je vóóraf of en hoe het kan.

Verantwoording

Hoe een oordeel ontstaat van waarneming tot oordeel

Een oordeel komt uit een meting onder een vastgelegd meetprotocol met versienummer, niet uit een mening. De keten: waarneming → meting → bevinding → bewijsniveau → toetsing → oordeel. Elke bevinding draagt een bewijsniveau (vastgesteld, afgeleid, open) en, waar een norm is geraakt, het artikel erbij. Metingen worden vastgelegd met SHA-256 en een OpenTimestamps-anker, zodat ze achteraf niet stil kunnen wijzigen.

opgeslagen