Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Eksempel på funn
Mangler beskrivelse av rettigheter for registrerte etter GDPR
Personvernpolicyen din beskriver ikke rettighetene som registrerte gis under GDPR artiklene 15–22 (tilgang, retting, sletting, dataportabilitet, begrensning, innsigelse). Dette er en vesentlig utelatelse for alle nettsteder som behandler data om EU-bosatte, og er en av de mest siterte manglene i håndhevingssaker under DPA.
Rubric item: gdpr.data-subject-rights Framework : GDPR Result : FAIL Evidence : (ingen — policyen inneholder ingen beskrivelse av rettigheter) Citation : GDPR Articles 15, 16, 17, 18, 20, 21
Ingen CCPA-opplysning om «Do Not Sell or Share»
Policyen nevner ikke Californias forbrukeres rett til å reservere seg mot salg eller deling av personopplysninger, og den beskriver heller ikke hvordan man utøver den retten. CCPA/CPRA krever denne opplysningen for enhver virksomhet som møter inntekts- eller dataterskelene — selv om du ikke tror du selger data. Den juridiske definisjonen er bredere enn den dagligtale.
Rubric item: ccpa.do-not-sell Framework : CCPA / CPRA Result : FAIL Evidence : (ingen — ingen opt-out-mekanisme beskrevet) Citation : Cal. Civ. Code §1798.135
Ingen lagringsperioder for data spesifisert
Policyen sier at dere lagrer data «så lenge det er nødvendig», uten å spesifisere faktiske varigheter eller kriteriene brukt for å fastsette dem. GDPR artikkel 13(2)(a) krever lagringsperioden — eller, der det ikke er mulig, kriteriene brukt for å fastsette den. «Så lenge det er nødvendig» alene er avvist av flere DPA-er som utilstrekkelig.
Rubric item: gdpr.retention-periods Framework : GDPR Result : FAIL Evidence : «Vi beholder dataene dine så lenge det er nødvendig for å levere tjenesten. » Citation : GDPR Article 13(2)(a), 14(2)(a) Fix: list opp spesifikke varigheter per datakategori, f.eks. «Kontodata: til sletting + 30 dager. Logger: 30 dager. Fakturering: 7 år (lovpålagt)».
Scan nettstedet ditt på 60 sekunder
25 gratis credits. Ingen kredittkort. Reelle funn på siden du bryr deg om.