Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' โ we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese โ covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant โ that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Voorbeeldbevindingen
Ontbrekende beschrijving van GDPR-gegevensrechten
Uw privacybeleid beschrijft niet de rechten die aan betrokkenen worden verleend onder GDPR Artikelen 15โ22 (toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar). Dit is een wezenlijke omissie voor elke site die data verwerkt van EU-inwoners en is รฉรฉn van de meest genoemde tekortkomingen in handhavingsacties door DPA's.
Rubriek-item: gdpr.data-subject-rights Framework : GDPR Result : FAIL Bewijs : (geen โ beleid bevat geen beschrijving van rechten) Verwijzing : GDPR Artikelen 15, 16, 17, 18, 20, 21
Geen CCPA "Do Not Sell or Share"-disclosure
Het beleid vermeldt het recht van Californische consumenten om zich af te melden voor de verkoop of het delen van persoonsgegevens niet, en beschrijft ook niet hoe u dat recht kunt uitoefenen. CCPA/CPRA vereist deze disclosure voor elk bedrijf dat aan de omzet- of datadrempels voldoet, zelfs als u niet gelooft dat u data verkoopt โ de wettelijke definitie is breder dan de spreekwoordelijke.
Rubriek-item: ccpa.do-not-sell Framework : CCPA / CPRA Result : FAIL Bewijs : (geen โ geen afmeld-mechanisme beschreven) Verwijzing : Cal. Civ. Code ยง1798.135
Geen bewaartermijnen opgegeven
Het beleid zegt dat u data bewaart "zo lang als nodig" zonder echte termijnen of de criteria die u gebruikt om die te bepalen te specificeren. GDPR Artikel 13(2)(a) vereist de bewaartermijn โ of, als dat niet kan, de criteria die worden gebruikt om die te bepalen. Alleen "zo lang als nodig" is door meerdere DPA's afgewezen als onvoldoende.
Rubriek-item: gdpr.retention-periods Framework : GDPR Result : FAIL Bewijs : "Wij bewaren uw gegevens zolang als nodig om de Service te leveren." Verwijzing : GDPR Artikel 13(2)(a), 14(2)(a) Fix: vermeld specifieke duur per datacategorie, bijv. "Accountdata: tot verwijdering + 30 dagen. Logs: 30 dagen. Facturatie: 7 jaar (wettelijk)".
Scan uw site in 60 seconden
25 gratis credits. Geen creditcard. Echte bevindingen op de pagina waar u om geeft.