Pillar 2 of 4
Find the cookie set before the consent banner showed up
We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.
The pre-consent problem regulators care about
GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load โ that isn't strictly necessary โ is a finding.
Security flags that quietly fail in production
Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently โ your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.
Classification you can trust
Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them โ better to surface the unknown than to silently call it 'necessary'.
Voorbeeldbevindingen
Pre-consent tracking gedetecteerd
Cookie "_fbp" (Meta Pixel, marketing) is ingesteld voordat de gebruiker toestemming gaf. De cookie is uitgegeven 1,2 seconden na het laden van de pagina, terwijl de toestemmingsbanner nog werd opgebouwd. Om dit op te lossen: plaats het Meta Pixel-script achter de "marketing"-toggle van uw consent management platform.
Cookie : _fbp Domain : .example.com Categorie : marketing Set at : t=1.2s (banner nog niet benaderd) Expiry : 90 dagen
SameSite=None zonder Secure-flag
Sessiecookie "sid" is ingesteld met SameSite=None maar zonder Secure-flag. Moderne Chromium- en Firefox-browsers wijzen deze combinatie stilzwijgend af, waardoor een deel van uw gebruikers โ iedereen met browserupdates uit de afgelopen drie jaar โ af en toe de status kwijt is. Lokaal ontwikkelen verbergt het issue, omdat localhost als Secure wordt behandeld.
Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly Fix: voeg de Secure-flag toe en zorg dat de cookie alleen via HTTPS wordt gezet: Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly
Cookieverval overschrijdt 13 maanden
Cookie "_ga" (Google Analytics, analytics) is ingesteld met een vervaldatum van 24 maanden. De meeste autoriteiten voor gegevensbescherming in de EU hebben richtlijnen gepubliceerd die 13 maanden behandelen als het de-facto maximum voor analytics-cookies, met verwijzing naar de proportionaliteit van ePrivacy. Een audit door een toezichthouder zou dit markeren als buitensporige bewaartermijn.
Cookie : _ga Expiry : 24 maanden (730 dagen) DPA cap : 13 maanden (CNIL, ICO, AEPD) Fix: stel in uw GA4-admin "Data retention" in op 14 maanden of minder, of self-host met een aangepaste expiry.
Scan uw site in 60 seconden
25 gratis credits. Geen creditcard. Echte bevindingen op de pagina waar u om geeft.