Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Exempel på findings
Saknar beskrivning av GDPR data subject-rättigheter
Din privacy policy beskriver inte rättigheterna som tilldelas data subjects under GDPR artiklar 15–22 (access, rectification, erasure, portability, restriction, objection). Detta är en väsentlig brist för alla sajter som behandlar data om EU-bosatta personer, och är en av de vanligast citerade bristerna i DPA-verkställighetsåtgärder.
Mallpunkt: gdpr.data-subject-rights Ramverk : GDPR Resultat : FAIL Evidens : (ingen — policyn innehåller ingen beskrivning av rättigheter) Citat : GDPR artiklar 15, 16, 17, 18, 20, 21
Ingen CCPA "Do Not Sell or Share"-upplysning
Policyn nämner inte Kaliforniens konsumenters rätt att välja bort försäljning eller delning av personuppgifter, och den beskriver inte heller hur man utövar den rätten. CCPA/CPRA kräver denna upplysning för varje verksamhet som möter intäkts- eller datatrösklarna, även om du inte tror att du säljer data — den juridiska definitionen är bredare än den vardagliga.
Mallpunkt: ccpa.do-not-sell Ramverk : CCPA / CPRA Resultat : FAIL Evidens : (ingen — ingen opt-out-mekanism beskrivs) Citat : Cal. Civ. Code §1798.135
Inga uppgifter om retentionstider
Policyn säger att du behåller data "så länge som nödvändigt" utan att ange faktiska tidsperioder eller vilka kriterier som används för att fastställa dem. GDPR artikel 13(2)(a) kräver retentionstiden — eller, om det inte är möjligt, kriterierna för att fastställa den. "Så länge som nödvändigt" har i sig avvisats av flera DPA:er som otillräckligt.
Mallpunkt: gdpr.retention-periods Ramverk : GDPR Resultat : FAIL Evidens : "Vi behåller dina uppgifter så länge som nödvändigt för att tillhandahålla tjänsten." Citat : GDPR artikel 13(2)(a), 14(2)(a) Fix: lista specifika varaktigheter per datakategori, t.ex. "Kontodata: tills radering + 30 dagar. Loggar: 30 dagar. Fakturering: 7 år (lagstadgat)".
Scanna din site på 60 sekunder
25 fria credits. Inget kreditkort. Riktiga findings på sidan du bryr dig om.