GAS-Clusters — PVResponse.be

GAS Rivierenland Analyse beschikbaar

Website: gasrivierenland.be — Zetel: Grote Markt 21, 2800 Mechelen.

Aangesloten gemeenten (15): Berlaar, Bonheiden, Boortmeerbeek, Bornem, Duffel, Heist-op-den-Berg, Herent, Kortenberg, Lier, Mechelen, Nijlen, Putte, Puurs-Sint-Amands, Sint-Katelijne-Waver, Willebroek.

1. Vastgestelde AVG- en ePrivacy-schendingen

Een technische controle van gasrivierenland.be en de gelinkte privacy- en cookiepagina’s toont verschillende tekortkomingen ten opzichte van de AVG, de Belgische Wet van 30 juli 2018 en de Wet Elektronische Communicatie (art. 129 WEC).

Bevinding	Juridische grondslag	Risico
Geen cookiebanner bij eerste bezoek	Art. 129 WEC — voorafgaande toestemming vereist	ePrivacy-schending
YouTube-trackingcookies (`YSC`, `PREF` 10 jaar, `VISITOR_INFO1_LIVE` 240 dagen) zonder toestemming	Art. 129 WEC + Art. 6 AVG	Persistente derde-partij tracking
“Cookies weigeren via browserinstellingen” als toestemmingsmechanisme	GBA-richtlijnen 2023 — niet aanvaard als geldige toestemming	Ongeldig toestemmingsmodel
Privacybeleid laatste update 30/12/2019	Art. 5(2) AVG — verantwoordingsplicht	Verouderde documentatie
Geen contactgegevens DPO (Functionaris voor Gegevensbescherming)	Art. 37 & 38 AVG — verplicht voor overheidsinstantie	Formele niet-naleving
Verbroken interne privacy-link (/jouw-privacy → HTTP 410)	Art. 12 AVG — transparantie	Informatieplicht geschonden
Formulier verzamelt rijksregisternummer zonder informatie bij verzameling	Art. 13 AVG + Wet 8 aug. 1983 (rijksregister)	Hoogrisico-verwerking
Geen vermelding recht op klacht bij de GBA	Art. 13(2)(d) AVG	Betrokkene niet geïnformeerd
Geen retentietermijnen vermeld	Art. 13(2)(a) AVG	Onbeperkte opslag mogelijk
Geen informatie over internationale doorgiften (YouTube → Google US)	Art. 13(1)(f) + H.V AVG	Onvolledige transparantie
Geen specifieke bepaling voor minderjarigen	Art. 8 AVG	Bijzondere bescherming ontbreekt

2. Geschonden AVG-artikelen (samengevat)

Artikel 5(1)(a) — Transparantiebeginsel

Het privacybeleid uit 2019 dekt de huidige verwerkingsactiviteiten niet. De betrokkene wordt niet correct geïnformeerd.

Artikel 13 — Informatieplicht

Op het moment van gegevensverzameling (formulieren voor “andere bestuurder”, contestatie, enz.) wordt geen afzonderlijke privacy-mededeling getoond. Dit is vereist op het ogenblik van de verzameling, niet enkel op een aparte pagina.

Artikelen 37 & 38 — DPO

Als overheidsinstantie is GAS Rivierenland wettelijk verplicht een DPO aan te stellen en de contactgegevens publiek te maken. Die ontbreken op de website.

Artikel 129 WEC / ePrivacy — Cookies

Niet-essentiële cookies (YouTube-trackers) worden geplaatst zonder voorafgaande, geïnformeerde, granulaire toestemming. Er is geen weigerknop en geen gelaagde consent-categorieën.

3. Online formulieren — beveiliging

Bevindingen uit een technische controle van het contestatieformulier /snelheidsboete/andere-bestuurder en de startpagina (april 2026).

Bevinding	Detail	Risico
Geen CSRF-token op het POST-contestatieformulier	De hidden inputs zijn `pageNumber`, `pageName`, `__formName`, `MAX_FILE_SIZE`, `g-recaptcha-response` — er is géén anti-forgery token (`csrf`, `_token`, `authenticity_token`)	Cross-Site Request Forgery mogelijk
Google reCAPTCHA op contestatieformulier	Veld `g-recaptcha-response` + laden van `www.google.com/recaptcha`; doorgifte naar Google US	Niet vermeld in privacyverklaring — art. 13 + Hfd. V AVG
Meerdere US-CDNs op formulierpagina	`fonts.googleapis.com`, `fonts.gstatic.com`, `cdnjs.cloudflare.com`, `maxcdn.bootstrapcdn.com`, `cdn.tiny.cloud`	Internationale doorgifte (US) zonder disclosure
Geen Content-Security-Policy response-header	De server stuurt geen `Content-Security-Policy`	Geen defence-in-depth tegen XSS / injected scripts
Rijksregisternummer als `<input type="text">`	Zonder `autocomplete="off"` op het gevoelige veld	Browser-caching; art. 32 AVG (beveiliging)
HSTS aanwezig (1 jaar, includeSubDomains)	Positief; geen `preload`, maar solide basis	OK

4. Aanbevolen verweer in een bezwaarschrift

Beroep op Artikel 82 AVG (recht op schadevergoeding) bij gebruik van onrechtmatig verwerkte gegevens.
Vermelding dat de verwerkingsverantwoordelijke zelf de informatieplicht niet naleeft, wat de rechtmatigheid van de gegevensinzameling aantast.
Klacht mogelijk bij de Gegevensbeschermingsautoriteit (www.gegevensbeschermingsautoriteit.be).

Opmerking: Deze analyse is gebaseerd op een openbare controle van gasrivierenland.be (april 2026), inclusief de privacy-, cookie- en contestatieformulierpagina’s. U kunt de bevindingen zelf verifiëren via de DevTools van uw browser.

Download deze analyse als PDF-bijlage bij uw bezwaarschrift:

Haviland (Halle-Vilvoorde) Analyse beschikbaar

Website: haviland.be — Verwerkingsverantwoordelijke: Haviland Regiopartners, Poverstraat 75 bus 47, 1731 Asse — Contact informatieveiligheid: informatieveiligheid@haviland.be.

Aangesloten gemeenten (23): Affligem, Asse, Beersel, Dilbeek, Grimbergen, Kampenhout, Kapelle-op-den-Bos, Lennik, Liedekerke, Londerzeel, Machelen, Meise, Merchtem, Opwijk, Pepingen, Roosdaal, Sint-Pieters-Leeuw, Steenokkerzeel, Ternat, Vilvoorde, Wemmel, Zaventem, Zemst. Niet elke gemeente neemt deel aan elke GAS-categorie (GAS 1-2-3, blauwe zone, GAS 4, GAS 5).

1. Vastgestelde AVG- en ePrivacy-schendingen

Een technische controle van haviland.be op 17 april 2026 toont de volgende tekortkomingen ten opzichte van de AVG, de Belgische Wet van 30 juli 2018 en art. 129 van de Wet Elektronische Communicatie.

Bevinding	Juridische grondslag	Risico
Driedubbele analytics-stack: Google Analytics (`_ga`, `_gat`, `_gid`), Hotjar (`_hjid`) én Matomo (`_pk_id`, `_pk_ses`, ...) gelijktijdig actief	Art. 5(1)(c) AVG — proportionaliteit & dataminimalisatie	Bovenmatige verwerking
Rechtstreekse tegenstrijdigheid: het privacybeleid stelt expliciet “geen gegevens buiten de EU”, terwijl Google Analytics en Hotjar gegevens naar de Verenigde Staten overdragen	Art. 5(1)(a) AVG — transparantie & juistheid; Hfd. V AVG	Valse verklaring / schending transparantie
AddThis-cookies (`__atuvc`, `__atuvs`) vermeld in het cookiebeleid — AddThis is sinds mei 2023 door Oracle beëindigd	Art. 5(2) AVG — verantwoordingsplicht	Onjuiste/verouderde documentatie
Universal Analytics-cookies (`__utma`, `__utmb`, `__utmc`, `__utmz`) in cookielijst — UA is door Google uitgefaseerd op 1 juli 2023	Art. 5(2) AVG	Niet bijgewerkte documentatie
Geen bewaartermijnen voor één enkele cookie	Art. 13(2)(a) AVG	Onbeperkte opslag mogelijk
Geen DPO-naam of -mailadres gepubliceerd (enkel een generiek adres `informatieveiligheid@`)	Art. 37 & 38 AVG	Formele niet-naleving (overheidsinstantie)
Geen gecertificeerde CMP; geen IAB TCF-integratie	GBA-richtlijnen inzake cookies 2023	Geen aantoonbare toestemmingsregistratie
Verwijzing naar “browserinstellingen” om toestemming in te trekken	GBA-advies 2023 — niet aanvaard als geldig mechanisme	Ongeldige intrekking
Geen afzonderlijke vermelding van internationale doorgiften, ondanks gebruik van GA/Hotjar/YouTube (doorgifte Google US)	Art. 13(1)(f) + Hfd. V AVG	Onvolledige transparantie
Geen vermelding van de concrete verwerkers (enkel categorieën “hosting/logistiek/beveiliging”)	Art. 13(1)(e) AVG	Ontbrekende recipient-informatie

2. Kernschendingen samengevat

Artikel 5(1)(a) — Transparantie en juistheid

De privacyverklaring bevat een feitelijk onjuiste bewering: “Haviland Regiopartners deelt geen persoonsgegevens met partijen buiten de EU”. Dit is onverenigbaar met de aanwezigheid van Google Analytics, Hotjar en YouTube-embeds, die allemaal gegevens doorgeven aan Amerikaanse verwerkers.

Artikel 5(1)(c) — Dataminimalisatie

Het gelijktijdig inzetten van drie analytics-systemen (Google Analytics + Hotjar + Matomo) is per definitie niet het minimum dat nodig is voor statistische doeleinden.

Artikel 129 WEC / ePrivacy — Cookies

Niet-essentiële cookies (statistiek, social-sharing) worden in de beschrijving gekoppeld aan een “pop-up”, maar zonder granulaire categorie-knoppen, zonder aanwijsbare weigerknop op gelijke voet met de aanvaardknop en zonder gedocumenteerde pre-tick status.

Artikelen 37 & 38 — DPO

Haviland is een intercommunale (publiekrechtelijk) en moet een DPO aanstellen én de contactgegevens publiek maken. Een generiek mailadres informatieveiligheid@haviland.be voldoet niet aan artikel 37(7) AVG.

3. Online formulieren — beveiliging

Bevindingen uit een technische controle van haviland.be/nl en haviland.be/nl/contact (april 2026). Opmerking: het contactformulier wordt waarschijnlijk client-side gerenderd (Paddle CMS); alleen de pagina-wrapper kan statisch geïnspecteerd worden.

Bevinding	Detail	Risico
Social- en tracking-embeds laden op elke pagina (inclusief de contactpagina)	Voor toestemming worden `www.facebook.com`, `www.linkedin.com`, `www.youtube.com`, `www.googletagmanager.com` en `cdn.jsdelivr.net` geladen	Art. 129 WEC (voorafgaande toestemming) + Hfd. V AVG (US-doorgifte)
Google Tag Manager op elke pagina	GTM laadt Google Analytics runtime — dit verklaart de GA-cookies in het cookiebeleid, maar contradicteert tegelijk de bewering “geen gegevens buiten de EU”	Art. 5(1)(a) AVG — transparantie & juistheid
Geen Content-Security-Policy response-header	De server stuurt geen CSP	Geen defence-in-depth tegen XSS / injected scripts
Eigen “cookieConsent”-implementatie (Drupal contrib / custom)	Geen IAB TCF-integratie; geen zichtbare granulaire categorieën in de markup	GBA-richtlijnen 2023 niet gerespecteerd
Drupal form-API anti-CSRF (`form_build_id` + `form_id`)	Aanwezig op de zoekformulieren; standaard Drupal bescherming	Positief
HSTS aanwezig (2 jaar, includeSubDomains)	Sterke HSTS-instelling	Positief

4. Aanbevolen verweer in een bezwaarschrift

Verwijzing naar de aantoonbare tegenstrijdigheid tussen privacybeleid en cookieverklaring — tast de rechtmatigheid van de verwerking aan (art. 6 AVG).
Beroep op artikel 82 AVG (schadevergoeding) wegens onrechtmatig gebruik van tracking zonder geldige toestemming.
Klacht mogelijk bij de Gegevensbeschermingsautoriteit en de Vlaamse Toezichtcommissie (beide in het privacybeleid zelf vermeld).

Opmerking: Controle uitgevoerd op 17 april 2026 op de openbaar beschikbare pagina’s /nl/privacy, /nl/home/cookieverklaring en /nl/home/gas-overtredingen. Privacybeleid laatste update 5 januari 2026; cookielijst bevat echter sinds 2023 afgeschafte trackers. U kunt de bevindingen zelf verifiëren via de DevTools van uw browser.

Download deze analyse als PDF-bijlage bij uw bezwaarschrift:

Stad Brussel / Ville de Bruxelles Analyse beschikbaar

Website: brussel.be — Bezwaarportaal: brucity.cityenforcement.com — Verwerkingsverantwoordelijke: Stad Brussel (KBO 0207.373.429), Hallenstraat 4, 1000 Brussel — DPO: dpo@brucity.be.

Aangesloten gemeente: Stad Brussel. Bezwaartermijn: 10 kalenderdagen na ontvangst uitnodiging tot betalen. Bezwaar ontslaat niet van de betaalverplichting; niet-betaling brengt +15 EUR administratiekosten mee. Online kanaal brucity.cityenforcement.com, postadres Cel Parkeren, Hallenstraat 4, 1000 Brussel, telefoon 02 279 22 11 (optie 3, dan 1), ma-vr 8u30-12u30.

1. Vastgestelde AVG- en ePrivacy-schendingen

Controle op 17 april 2026 van de publieke pagina's brussel.be/parkeren-bezwaar-tegen-retributie, brussel.be/wettelijke-vermeldingen en het portaal brucity.cityenforcement.com.

Bevinding	Juridische grondslag	Risico
« Anoniem »-claim op bezwaarformulier terwijl kenteken + PV-referentie worden verzameld	Art. 4(1), 12 & 13 AVG — GBA-beslissing 56/2026	Misleidende informatie aan de betrokkene
Privacyverklaring dateert van 2020, geen specifieke parkeerhandhaving	Art. 5(2), 12 & 13 AVG	Verouderde transparantie
Cookiebeleid `/cookiebeleid` geeft HTTP 404	Art. 129 WEC	Informatieplicht geschonden
Social-embeds (Facebook, Instagram, YouTube, TikTok, Twitter/X, Bluesky, Calaméo) op de publieke pagina	Art. 129 WEC	Tracking voor toestemming
Geen `Strict-Transport-Security`, geen `Content-Security-Policy`, geen `Referrer-Policy`, geen `Permissions-Policy` op brussel.be	Art. 32 AVG	Ontbrekende defence-in-depth
Portaal laadt Microsoft Azure Application Insights (`dc.services.visualstudio.com`)	Hfd. V AVG	Doorgifte naar Amerikaanse verwerker, niet gedocumenteerd
Externe verwerker cityenforcement; verwerkersovereenkomst niet publiek	Art. 28(3) AVG — GBA 29 sep. 2023	Retroactieve overeenkomsten zijn ongeldig
Geen DPIA voor ANPR / scanauto's gepubliceerd	Art. 35 AVG — GBA 129/2023, 56/2026	Hoogrisico-verwerking zonder beoordeling
Portaal heeft wél sterke beveiligingsheaders (CSP, HSTS preload, Referrer-Policy, Permissions-Policy)	Art. 32 AVG	Positief

2. Geschonden AVG-artikelen (samengevat)

Artikel 12 & 13 AVG — transparantie en informatieplicht

Door het formulier als « anoniem » te presenteren terwijl kenteken en PV-referentie worden verzameld, wordt de betrokkene misleid. Een kentekenplaat is persoonsgegeven (art. 4(1) AVG).

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke verkeersbevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet als rechtsgrondslag dienen voor de overdracht van kentekengegevens of het gebruik van ANPR zonder specifieke wettelijke basis en DPIA.

Artikel 28(3) AVG — verwerkersovereenkomsten

De GBA (29 sep. 2023) oordeelde dat retroactieve verwerkersovereenkomsten ongeldig zijn. De overeenkomst met cityenforcement moet publiek en dateren van vóór de verwerking.

Artikel 32 AVG / Art. 129 WEC — beveiliging en cookies

Het ontbreken van HSTS/CSP/Referrer-Policy/Permissions-Policy op brussel.be, gecombineerd met een 404-cookiebeleid en social-trackers die laden voor toestemming, vormt een structurele schending.

3. Online formulieren — beveiliging

Bevinding	Detail	Risico
Bezwaarportaal brucity.cityenforcement.com gebruikt HSTS + preload	`max-age=31536000; includeSubDomains; preload`	Positief
Portaal heeft een strikte CSP (`default-src 'none'`) met `form-action` beperkt tot self + Worldline-payment	Goede defence-in-depth; betaling via `payment-webinit.sips-services.com`	Positief
Portaal is een SPA: inhoud wordt client-side gerenderd	Formulierstructuur niet statisch inspecteerbaar; audit vereist runtime DevTools	Informatief
Portaal laadt Microsoft Azure telemetrie	`dc.services.visualstudio.com` — doorgifte naar Microsoft	Hfd. V AVG
brussel.be zonder HSTS/CSP/Referrer-Policy/Permissions-Policy	Sessie-cookie `cookiesession1` zonder gedocumenteerde `Secure` of `SameSite`-attributen	Art. 32 AVG

4. Aanbevolen verweer in een bezwaarschrift

Verwijzing naar de feitelijke tegenstrijdigheid tussen de anonimiteitsclaim en de verzameling van kenteken + PV-referentie.
Beroep op GBA-beslissing 56/2026 en 129/2023.
Eis tot voorlegging van de DPIA voor ANPR-/scanauto-inzet en van een geldige verwerkersovereenkomst met cityenforcement.
Klacht mogelijk bij de Gegevensbeschermingsautoriteit (Drukpersstraat 35, 1000 Brussel).

Opmerking: Controle op 17 april 2026. De bestreden handhavingsmaatregel is een parkeerretributie (geen GAS-boete of strafrechtelijke boete). Retributies vallen volledig onder de AVG en kunnen zich niet op de uitzonderingen van de Richtlijn Rechtshandhaving (2016/680) beroepen. U kunt de bevindingen zelf verifiëren via de DevTools van uw browser.

Download deze analyse als PDF-bijlage bij uw bezwaarschrift:

Province de Hainaut / Provincie Henegouwen Analyse beschikbaar

Verwerkingsverantwoordelijke: Province de Hainaut — Bureau provincial des Amendes Administratives — Avenue Général de Gaulle 102, 7000 Mons — Website: www.hainaut.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Province de Hainaut / Provincie Henegouwen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.hainaut.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS `max-age=15552000` (~180 dagen) zonder `includeSubDomains` of preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
CSP enkel `frame-ancestors 'self'` — geen volledige content-beleid	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn, TikTok, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
tarteaucitron.io (gecertificeerde CMP) — reject-all op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Het gebruik van Google- of andere Amerikaanse verwerkers (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliceert een doorgifte naar de VS die zonder passende waarborg (Hfd. V AVG) onrechtmatig is.

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Opmerking: Controle op 17 april 2026 van de publieke home-page. De bestreden sanctie is een parkeerretributie of GAS-boete die onder de volledige toepassing van de AVG valt. U kunt de bevindingen zelf verifiëren via de DevTools van uw browser.

Province de Liège / Provincie Luik Analyse beschikbaar

Verwerkingsverantwoordelijke: Province de Liège — Fonctionnaires sanctionnateurs provinciaux — Rue Ernest Solvay 11, 4000 Liège — Website: www.provincedeliege.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Province de Liège / Provincie Luik aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.provincedeliege.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Drupal 7 — einde levenscyclus sinds januari 2025, niet meer ondersteund	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook Pixel (`facebook.net/fbevents.js` + `/tr?id=...`) — directe VS-doorgifte	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Verouderde Google Analytics `ga.js`-bibliotheek — uitgefaseerd door Google sinds 2023	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, YouTube, Bluesky-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
tarteaucitron.io (gecertificeerde CMP) — reject-all op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Province de Namur / Provincie Namen Analyse beschikbaar

Verwerkingsverantwoordelijke: Province de Namur — Bureau des amendes administratives — Rue Henri Blès 190C, 5000 Namur — Website: www.province.namur.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Province de Namur / Provincie Namen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.province.namur.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS `max-age=15552000` (~180 dagen) zonder `includeSubDomains` of preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen `X-Frame-Options`-header (clickjacking-risico)	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `X-Content-Type-Options: nosniff`-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
jQuery geladen via `ajax.googleapis.com` (Google CDN) — VS-doorgifte zonder lokale proxy	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
Custom cookie-banner (niet IAB-gecertificeerd) — reject-all aanwezig maar wording niet gestandaardiseerd	Art. 129 WEC / LCE / GEK / ECA	Informatief

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Province de Luxembourg / Provincie Luxemburg Analyse beschikbaar

Verwerkingsverantwoordelijke: Province de Luxembourg — Service des amendes administratives — Place Léopold 1, 6700 Arlon — Website: www.province.luxembourg.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Province de Luxembourg / Provincie Luxemburg aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.province.luxembourg.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS `max-age=63072000` (2 jaar) + `includeSubDomains` + `preload` — uitstekend	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Hotjar session-replay tracker — gedragsanalyse, opname van toetsenbord- en muisinteracties	Art. 129 WEC / LCE / GEK / ECA + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
tarteaucitron.io (gecertificeerde CMP) — reject-all op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Province du Brabant wallon / Provincie Waals-Brabant Analyse beschikbaar

Verwerkingsverantwoordelijke: Province du Brabant wallon — Fonctionnaire sanctionnateur — Place du Brabant wallon 1, 1300 Wavre — Website: www.brabantwallon.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Province du Brabant wallon / Provincie Waals-Brabant aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.brabantwallon.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen `X-Content-Type-Options: nosniff`-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen externe trackers op de homepagina — positief	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Facebook, Instagram, Twitter/X, LinkedIn, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Mechelen Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Mechelen — Grote Markt 21, 2800 Mechelen — Website: www.mechelen.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Mechelen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.mechelen.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen `X-Frame-Options`-header (clickjacking-risico)	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Matomo Cloud analytics — consent-gated, `disableCookies` + `setDoNotTrack`	Art. 5(1)(c) + Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Cookiesjsr-CMP (Drupal-module) — reject-all op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville d'Arlon Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville d'Arlon — Rue Paul Reuter 8, 6700 Arlon — Website: www.arlon.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville d'Arlon aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.arlon.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS `max-age=31536000; includeSubDomains` (1 jaar, geen `preload`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Permissions-Policy`-header (sensors/geolocatie niet afgeperkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
iA.Smartweb `@@accept_or_refuse_all` — drie knoppen op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node — Avenue de l'Astronomie 13, 1210 Saint-Josse-ten-Noode — Website: www.sjtn.brussels.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.sjtn.brussels op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Drupal 7 (end-of-life sinds 5 januari 2025) — niet meer ondersteund	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Zwakke `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Analytics (GA4) + `analytics.js` laden vóór toestemming	Art. 129 WEC / LCE / GEK / ECA + Art. 6 AVG	Schending
Mapbox-`accessToken` hard-coded in de pagina (doorgifte naar VS)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
jQuery 2.2.4 via `code.jquery.com` CDN (verouderde bibliotheek, externe CDN)	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
`eu_cookie_compliance`-banner aanwezig maar decoratief (trackers laden toch)	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Provincie Vlaams-Brabant / Province du Brabant flamand Analyse beschikbaar

Verwerkingsverantwoordelijke: Provincie Vlaams-Brabant — Provincieplein 1, 3010 Leuven — Website: www.vlaamsbrabant.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Provincie Vlaams-Brabant / Province du Brabant flamand aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.vlaamsbrabant.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS aanwezig maar `max-age` < 1 jaar — onder de aanbevolen duur	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
CSP aanwezig maar te permissief (`'unsafe-inline' 'unsafe-eval' https:`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Matomo Cloud analytics (EU-hosted) — aanvaardbaar, geen US-doorgifte	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
Drupal EU Cookie Compliance — custom CMP, reject-all knop aanwezig	Art. 129 WEC / LCE / GEK / ECA	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Provincie Oost-Vlaanderen / Province de Flandre-Orientale Analyse beschikbaar

Verwerkingsverantwoordelijke: Provincie Oost-Vlaanderen — Gouvernementstraat 1, 9000 Gent — Website: oost-vlaanderen.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Provincie Oost-Vlaanderen / Province de Flandre-Orientale aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op oost-vlaanderen.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Matomo Cloud analytics (EU-hosted) — aanvaardbaar, geen US-doorgifte	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Twitter, Instagram, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
Custom cookie-banner zonder “Weigeren alles”-knop op gelijke voet	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Provincie Limburg / Province de Limbourg Analyse beschikbaar

Verwerkingsverantwoordelijke: Provincie Limburg — Universiteitslaan 1, 3500 Hasselt — Website: www.limburg.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Provincie Limburg / Province de Limbourg aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.limburg.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
CSP enkel als `report-uri` (report-only) — geen effectieve mitigatie	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Zwakke `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Piwik PRO analytics op eigen container-URL — EU-hosting meestal maar verifieer DPA	Art. 5(1)(c) + Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Informatief
Facebook, Instagram, LinkedIn, X-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Ieper Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Ieper (KBO 0207.518.630) — Grote Markt 34, 8900 Ieper — Website: www.ieper.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Ieper aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.ieper.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Eeklo Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Eeklo (KBO 0207.461.616) — Industrielaan 2, 9900 Eeklo — Website: www.eeklo.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Eeklo aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.eeklo.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Halle Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Halle (KBO 0207.528.640) — Oudstrijdersplein 18, 1500 Halle — Website: www.halle.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Halle aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.halle.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
HSTS 2 jaar + `includeSubDomains` + `preload` — sterke configuratie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Tienen Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Tienen (KBO 0207.537.929) — Grote Markt 27, 3300 Tienen — Website: www.tienen.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Tienen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.tienen.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS 2 jaar + `includeSubDomains` + `preload` — sterke configuratie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Dinant Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Dinant (BCE 0207.360.125) — Rue Grande 112, 5500 Dinant — Website: www.dinant.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Dinant aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.dinant.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS 2 jaar + `includeSubDomains` + `preload` — sterke configuratie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Wavre Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Wavre (BCE 0207.381.392) — Place de l'Hôtel de Ville, 1300 Wavre — Website: www.wavre.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Wavre aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.wavre.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
`calameo.com`-documentembed — externe tracker	Art. 129 WEC / LCE / GEK / ECA	Schending
Facebook, Instagram, LinkedIn, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Huy Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Huy (BCE 0207.348.088) — Grand-Place 1, 4500 Huy — Website: www.huy.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Huy aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.huy.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville d'Ath Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville d'Ath (BCE 0207.362.500) — Rue de Pintamont 54, 7800 Ath — Website: www.ath.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville d'Ath aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.ath.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, Instagram, Vimeo, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Waterloo Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Waterloo (BCE 0216.694.712) — Rue François Libert 28, 1410 Waterloo — Website: www.waterloo.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Waterloo aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.waterloo.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, Twitter, Vimeo-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Deinze Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Deinze (KBO 0207.489.352) — Brielstraat 2, 9800 Deinze — Website: www.deinze.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Deinze aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.deinze.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Ixelles / Gemeente Elsene Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Ixelles (BCE 0207.387.826) — Chaussée d'Ixelles 168, 1050 Ixelles — Website: www.ixelles.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Ixelles / Gemeente Elsene aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.ixelles.be (home-page) en elsene.be/site/23-Algemeen-politiereglement (GAS-reglement, 19 april 2026) en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
Expliciete rechtsgrond voor GAS-verwerking vermeld op `elsene.be/site/23` (Wet 24 juni 2013, art. 19/1 en 27)	Art. 6 + 5(2) AVG	✓ Conform
Bewaartermijn gepubliceerd: max 5 jaar; 6 maanden indien geen boete	Art. 13(2)(a) AVG	✓ Conform
DPO-contactgegevens publiek gemaakt: `dpo@elsene.brussels`	Art. 37(7) AVG	✓ Conform
Politiereglement-pagina (`elsene.be/site/23`) bevat geen externe trackers	Art. 129 WEC	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Uccle / Gemeente Ukkel Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Uccle (BCE 0207.393.074) — Place Jean Vander Elst 29, 1180 Uccle — Website: www.uccle.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Uccle / Gemeente Ukkel aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.uccle.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, Instagram, LinkedIn, Twitter-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Forest / Gemeente Vorst Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Forest (BCE 0207.387.529) — Rue du Curé 2, 1190 Forest — Website: www.forest.brussels.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Forest / Gemeente Vorst aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.forest.brussels op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Jette / Gemeente Jette Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Jette (BCE 0207.389.804) — Chaussée de Wemmel 100, 1090 Jette — Website: www.jette.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Jette / Gemeente Jette aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.jette.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Correcte `Referrer-Policy: same-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Minimale derde-partij-integratie (geen social-embeds op home-page)	Art. 5(1)(c) + Art. 129 WEC	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Koekelberg / Gemeente Koekelberg Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Koekelberg (BCE 0207.387.727) — Place Henri Vanhuffel 6, 1081 Koekelberg — Website: www.koekelberg.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Koekelberg / Gemeente Koekelberg aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.koekelberg.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Server-banner `Microsoft-IIS/10.0` (versie-leak)	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google reCAPTCHA aanwezig (US-verwerker, niet gedocumenteerd)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Berchem-Sainte-Agathe (BCE 0207.386.240) — Avenue du Roi Albert 33, 1082 Berchem-Sainte-Agathe — Website: www.1082.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.1082.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Uitgebreid server-banner (`Apache/2.4.62 (Win64) OpenSSL/3.1.7 PHP/8.3.14 mod_fcgid/2.3.10-dev`) — grote versie-leak	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Cookieyes als CMP — positief	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Watermael-Boitsfort (BCE 0207.393.470) — Place Antoine Gilson 1, 1170 Watermael-Boitsfort — Website: www.watermael-boitsfort.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.watermael-boitsfort.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Evere / Gemeente Evere Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Evere (BCE 0207.384.064) — Square Hoedemaekers 10, 1140 Evere — Website: www.evere.brussels.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Evere / Gemeente Evere aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.evere.brussels op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Ganshoren / Gemeente Ganshoren Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Ganshoren (BCE 0207.387.826) — Avenue Charles-Quint 140, 1083 Ganshoren — Website: www.ganshoren.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Ganshoren / Gemeente Ganshoren aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.ganshoren.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Auderghem / Gemeente Oudergem Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Auderghem (BCE 0207.386.438) — Rue Emile Idiers 12, 1160 Auderghem — Website: www.auderghem.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Auderghem / Gemeente Oudergem aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.auderghem.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Woluwe-Saint-Lambert (BCE 0207.397.034) — Avenue Paul Hymans 2, 1200 Woluwe-Saint-Lambert — Website: www.woluwe1200.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.woluwe1200.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Woluwe-Saint-Pierre (BCE 0207.395.153) — Avenue Charles Thielemans 93, 1150 Woluwe-Saint-Pierre — Website: www.woluwe1150.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.woluwe1150.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Slechts gedeeltelijke CSP (enkel `frame-ancestors`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google reCAPTCHA aanwezig (US-verwerker, niet gedocumenteerd)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
5 Facebook-embeds op de publieke home-page	Art. 129 WEC / LCE / GEK / ECA	Schending
Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Anderlecht / Gemeente Anderlecht Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Anderlecht (BCE 0207.393.470) — Place du Conseil 1, 1070 Anderlecht — Website: www.anderlecht.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Anderlecht / Gemeente Anderlecht aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.anderlecht.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Schaerbeek / Gemeente Schaarbeek Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Schaerbeek (BCE 0207.377.988) — Place Colignon, 1030 Schaerbeek — Website: www.1030.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Schaerbeek / Gemeente Schaarbeek aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.1030.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune de Molenbeek-Saint-Jean (BCE 0207.391.193) — Rue du Comte de Flandre 20, 1080 Molenbeek-Saint-Jean — Website: www.molenbeek.irisnet.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.molenbeek.irisnet.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
7 Facebook-embeds op de publieke home-page	Art. 129 WEC / LCE / GEK / ECA	Schending
Twitter, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Commune d'Etterbeek Analyse beschikbaar

Verwerkingsverantwoordelijke: Commune d'Etterbeek (BCE 0207.383.274) — Avenue d'Auderghem 113-117, 1040 Etterbeek — Website: etterbeek.brussels.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Commune d'Etterbeek aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op etterbeek.brussels op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Turnhout Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Turnhout (KBO 0207.537.434) — Campus Blairon 200, 2300 Turnhout — Website: www.turnhout.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Turnhout aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.turnhout.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
HSTS met `max-age=63072000` (2 jaar) + `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Google reCAPTCHA aanwezig (US-verwerker, niet gedocumenteerd)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, Instagram, LinkedIn, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Beringen Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Beringen (KBO 0207.525.461) — Mijnschoolstraat 88, 3580 Beringen — Website: www.beringen.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Beringen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.beringen.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt gebruik van sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Lommel Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Lommel (KBO 0207.519.026) — Hertog Janplein 1, 3920 Lommel — Website: www.lommel.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Lommel aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.lommel.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt gebruik van sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Geel Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Geel (KBO 0207.524.966) — Werft 20, 2440 Geel — Website: www.geel.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Geel aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.geel.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt gebruik van sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Facebook, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Mouscron Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Mouscron (BCE 0207.356.899) — Grand-Place 1, 7700 Mouscron — Website: www.mouscron.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Mouscron aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.mouscron.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Facebook-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Kortrijk Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Kortrijk (KBO 0207.494.678) — Grote Markt 54, 8500 Kortrijk — Website: www.kortrijk.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Kortrijk aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.kortrijk.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram, LinkedIn, WhatsApp, TikTok-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending
Google Maps (`maps.googleapis.com`) — US-verwerker	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Oostende Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Oostende (KBO 0207.473.295) — Vindictivelaan 1, 8400 Oostende — Website: www.oostende.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Oostende aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.oostende.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt gebruik van sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Sint-Niklaas Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Sint-Niklaas (KBO 0207.486.859) — Grote Markt 1, 9100 Sint-Niklaas — Website: www.sint-niklaas.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Sint-Niklaas aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.sint-niklaas.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Gebruik van Cookiebot als CMP — positief	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, LinkedIn, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Aalst Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Aalst (KBO 0207.449.148) — Grote Markt 3, 9300 Aalst — Website: aalst.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Aalst aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op aalst.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook, Instagram, YouTube, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Genk Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Genk (KBO 0207.522.491) — Stadsplein 1, 3600 Genk — Website: www.genk.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Genk aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.genk.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts gedeeltelijke Content-Security-Policy (enkel `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Correcte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
`Permissions-Policy`-header aanwezig — beperkt gebruik van sensoren/geolocatie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Gebruikt Matomo (privacy-vriendelijker dan Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
Facebook, Twitter, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Roeselare Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Roeselare (KBO 0207.490.219) — Botermarkt 2, 8800 Roeselare — Website: www.roeselare.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Stad Roeselare aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.roeselare.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
HSTS met `includeSubDomains` en `preload` — sterke configuratie	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Tag Manager laadt Google Analytics runtime (US-doorgifte)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Google Fonts (`fonts.googleapis.com`) — US-doorgifte zonder disclosure	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Tournai Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Tournai (BCE 0207.352.297) — Rue Saint-Martin 52, 7500 Tournai — Website: www.tournai.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Tournai aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.tournai.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Zwakke `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
`calameo.com`-documentembed — externe tracker	Art. 129 WEC / LCE / GEK / ECA	Schending
Facebook, Instagram, YouTube, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de La Louvière Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de La Louvière (BCE 0207.382.086) — Place Communale 1, 7100 La Louvière — Website: www.lalouviere.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de La Louvière aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.lalouviere.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
HSTS met `max-age=31536000` (1 jaar) zonder `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatief
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Seraing Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Seraing (BCE 0207.335.221) — Place Communale 8, 4100 Seraing — Website: www.seraing.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Seraing aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.seraing.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Zwakke `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
tarteaucitron als CMP — positief, Europees alternatief	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Facebook, Instagram, YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Verviers Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Verviers (BCE 0207.356.048) — Place du Marché 55, 4800 Verviers — Website: www.verviers.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Verviers aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.verviers.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Facebook, YouTube, LinkedIn-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Liège Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Liège (BCE 0207.343.238) — Place du Marché 2, 4000 Liège — Website: www.liege.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Liège aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.liege.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `X-Content-Type-Options: nosniff`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Gebruik van `youtube-nocookie.com` variant — positieve keuze	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Facebook- en Instagram-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Namur Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Namur (BCE 0207.341.854) — Hôtel de Ville, 5000 Namur — Website: www.namur.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Namur aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.namur.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Google Fonts (`fonts.googleapis.com`) — doorgifte naar Google US	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Schending
Facebook-, Twitter- en YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Mons Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Mons (BCE 0207.272.119) — Grand-Place 22, 7000 Mons — Website: www.mons.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Mons aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.mons.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
HSTS met `includeSubDomains` (1 jaar) — solide basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conform
Facebook- en YouTube-embeds aanwezig	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Ville de Charleroi Analyse beschikbaar

Verwerkingsverantwoordelijke: Ville de Charleroi (BCE 0207.362.105) — Place Charles II 14-15, 6000 Charleroi — Website: www.charleroi.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van Ville de Charleroi aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.charleroi.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Geen Content-Security-Policy response-header	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Zwakke `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending
Server-versie lek in `Server: Apache/2.4.66 (Debian)`	Art. 32 AVG / RGPD / DSGVO / GDPR	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Antwerpen Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Antwerpen (KBO 0207.500.123) — Dienst Mobiliteit & Parkeren — Grote Markt 1, 2000 Antwerpen — Website: www.antwerpen.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van de Stad Antwerpen aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.antwerpen.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Content-Security-Policy bevat een ongeldige directive (`undefined`)	Art. 32 AVG / GDPR / DSGVO	Schending
HSTS met `max-age=15552000` (180 dagen) zonder `preload`	Art. 32 AVG / GDPR / DSGVO	Informatief
Google Tag Manager laadt Google Analytics runtime	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook- en Twitter-embeds geladen op elke pagina	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Gent Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Gent (KBO 0207.451.227) — Botermarkt 1, 9000 Gent — Website: stad.gent.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van de Stad Gent aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op stad.gent op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Sterke beveiligingsheaders: HSTS 2 jaar met `preload`, CSP met `default-src 'self'`	Art. 32 AVG / GDPR / DSGVO	✓ Conform
Gebruik van Cookiebot als CMP — positief, in lijn met GBA-richtlijnen	Art. 129 WEC / LCE / GEK / ECA	✓ Conform
Social-embeds (Facebook, Instagram, YouTube, TikTok, LinkedIn, Threads) aanwezig — consent-gating moet per geval worden geverifieerd	Art. 129 WEC / LCE / GEK / ECA	Informatief
Google Tag Manager aanwezig (laadt verdere trackers pas na toestemming via Cookiebot)	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Informatief

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Brugge Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Brugge (KBO 0207.528.035) — Burg 12, 8000 Brugge — Website: www.brugge.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van de Stad Brugge aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.brugge.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen Content-Security-Policy response-header	Art. 32 AVG / GDPR / DSGVO	Schending
Gebruikt Matomo in plaats van Google Analytics — positief uit privacy-oogpunt	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conform
HSTS met `max-age=31557600` (1 jaar) zonder `includeSubDomains` of `preload`	Art. 32 AVG / GDPR / DSGVO	Informatief
Facebook-, Instagram-, LinkedIn- en YouTube-embeds geladen	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Leuven Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Leuven (KBO 0207.475.077) — Professor Van Overstraetenplein 1, 3000 Leuven — Website: www.leuven.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van de Stad Leuven aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.leuven.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / GDPR / DSGVO	Schending
Geen `Content-Security-Policy` response-header	Art. 32 AVG / GDPR / DSGVO	Schending
Google Tag Manager laadt Google Analytics runtime (doorgifte naar Google US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Schending
Facebook-, Instagram- en LinkedIn-embeds geladen	Art. 129 WEC / LCE / GEK / ECA	Schending

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

Stad Hasselt Analyse beschikbaar

Verwerkingsverantwoordelijke: Stad Hasselt (KBO 0207.476.069) — Groenplein 1, 3500 Hasselt — Website: www.hasselt.be.

Deze bijlage strekt ertoe het bezwaarschrift tegen een sanctie of retributie van de Stad Hasselt aan te vullen met een technische uiteenzetting. De vaststellingen zijn gedaan op www.hasselt.be op 17 april 2026 en wijzen op tekortkomingen op het vlak van AVG, ePrivacy en beveiliging van de verwerking.

1. Vastgestelde tekortkomingen

Bevinding	Juridische grondslag	Risico
Slechts een gedeeltelijke Content-Security-Policy (enkel `frame-ancestors`)	Art. 32 AVG / GDPR / DSGVO	Schending
Geen `Strict-Transport-Security` response-header	Art. 32 AVG / GDPR / DSGVO	Schending
Google Fonts (`fonts.gstatic.com`, `fonts.googleapis.com`) — doorgifte naar de VS zonder disclosure	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Schending
Drupal-platform — form_build_id CSRF-bescherming standaard aanwezig	Art. 32 AVG / GDPR / DSGVO	✓ Conform

2. Juridische kwalificatie

Artikel 5(1)(a) AVG — transparantie

Personen moeten transparant en eerlijk worden geïnformeerd over de verwerking; ontbrekende of onjuiste technische beveiliging schaadt deze plicht.

Artikel 6 AVG — rechtsgrondslag

Algemene gemeentelijke bevoegdheden kunnen na GBA-beslissing 56/2026 (Dilbeek) niet zonder meer als rechtsgrondslag dienen voor gegevensoverdracht of ANPR-inzet.

Hoofdstuk V AVG — doorgiften

Artikel 32 AVG — beveiliging

Het ontbreken van passende technische maatregelen (HSTS, CSP, Referrer-Policy) is niet in overeenstemming met artikel 32 AVG voor een publiek platform dat persoonsgegevens verwerkt.

Artikel 129 WEC — ePrivacy

Niet-essentiële cookies, social-embeds en andere trackers vereisen voorafgaande, geïnformeerde, specifieke en granulaire toestemming; een verwijzing naar browserinstellingen volstaat niet.

3. Aanbevolen verweer in een bezwaarschrift

de bestreden sanctie wordt herzien of ingetrokken wegens onrechtmatige verwerking van persoonsgegevens;
akte wordt verleend van de vastgestelde technische tekortkomingen;
in ondergeschikte orde, een nieuw onderzoek wordt uitgevoerd op basis van rechtmatig verkregen gegevens;
de betrokkene het recht behoudt om klacht neer te leggen bij de Gegevensbeschermingsautoriteit;
akte wordt verleend van het voorbehoud van het recht op schadevergoeding op grond van artikel 82 AVG.

GAS Rivierenland Analyse disponible

Site : gasrivierenland.be — Siège : Grote Markt 21, 2800 Mechelen.

Communes membres (15) : Berlaar, Bonheiden, Boortmeerbeek, Bornem, Duffel, Heist-op-den-Berg, Herent, Kortenberg, Lier, Mechelen, Nijlen, Putte, Puurs-Sint-Amands, Sint-Katelijne-Waver, Willebroek.

1. Violations constatées du RGPD et de la directive ePrivacy

Un audit technique de gasrivierenland.be et de ses pages liées révèle plusieurs manquements au RGPD, à la loi belge du 30 juillet 2018 et à la loi sur les communications électroniques (art. 129 LCE).

Constat	Base juridique	Risque
Aucune bannière cookies lors de la première visite	Art. 129 LCE — consentement préalable requis	Violation ePrivacy
Cookies YouTube (`YSC`, `PREF` 10 ans, `VISITOR_INFO1_LIVE` 240 jours) sans consentement	Art. 129 LCE + Art. 6 RGPD	Traçage tiers persistant
« Refus par les paramètres du navigateur » comme mécanisme de consentement	Lignes directrices APD 2023 — non valide	Modèle de consentement invalide
Politique de confidentialité datant du 30/12/2019	Art. 5(2) RGPD — responsabilité	Documentation obsolète
Aucun contact DPO publié	Art. 37 & 38 RGPD — obligatoire pour autorité publique	Non-conformité formelle
Lien interne brisé (/jouw-privacy → HTTP 410)	Art. 12 RGPD — transparence	Obligation d'information violée
Formulaire collecte le numéro de registre national sans notice au point de collecte	Art. 13 RGPD + loi du 8 août 1983	Traitement à haut risque
Aucune mention du droit de plainte auprès de l'APD	Art. 13(2)(d) RGPD	Personne concernée non informée
Aucune durée de conservation indiquée	Art. 13(2)(a) RGPD	Conservation potentiellement illimitée
Aucune information sur les transferts internationaux	Art. 13(1)(f) + ch. V RGPD	Transparence incomplète
Aucune disposition spécifique pour les mineurs	Art. 8 RGPD	Protection spécifique absente

2. Articles du RGPD violés (résumé)

Article 5(1)(a) — Transparence

La politique de confidentialité de 2019 ne couvre pas les traitements actuels.

Article 13 — Obligation d'information

Au moment de la collecte (formulaires « autre conducteur », contestation, etc.), aucune notice de confidentialité spécifique n'est affichée.

Articles 37 & 38 — DPO

En tant qu'autorité publique, GAS Rivierenland doit obligatoirement désigner un DPO et en publier les coordonnées.

Article 129 LCE / ePrivacy — Cookies

Des cookies non essentiels sont déposés sans consentement préalable, éclairé et granulaire. Aucun bouton de refus ni catégories séparées.

3. Formulaires en ligne — sécurité

Constats d'un audit technique du formulaire de contestation /snelheidsboete/andere-bestuurder et de la page d'accueil (avril 2026).

Constat	Détail	Risque
Aucun jeton CSRF sur le formulaire de contestation POST	Les champs cachés présents (`pageNumber`, `__formName`, `MAX_FILE_SIZE`, `g-recaptcha-response`, ...) ne contiennent aucun jeton anti-CSRF	Cross-Site Request Forgery possible
Google reCAPTCHA sur le formulaire	Champ `g-recaptcha-response` + chargement de `www.google.com/recaptcha`; transfert vers Google US	Non mentionné dans la politique — art. 13 + ch. V RGPD
Plusieurs CDN américains sur la page du formulaire	`fonts.googleapis.com`, `fonts.gstatic.com`, `cdnjs.cloudflare.com`, `maxcdn.bootstrapcdn.com`, `cdn.tiny.cloud`	Transfert international (US) non divulgué
Aucun en-tête Content-Security-Policy	Le serveur n'envoie pas de CSP	Pas de défense en profondeur contre XSS/injection
Numéro de registre national en `<input type="text">`	Sans `autocomplete="off"` sur ce champ sensible	Mise en cache navigateur ; art. 32 RGPD
HSTS présent (1 an, includeSubDomains)	Positif ; pas de `preload`, mais base solide	OK

4. Moyens de défense recommandés

Invoquer l'article 82 RGPD (droit à indemnisation) lorsque des données traitées illégalement sont utilisées.
Souligner que le responsable du traitement manque lui-même à son obligation d'information, ce qui affecte la licité du traitement.
Plainte possible auprès de l'Autorité de protection des données (www.autoriteprotectiondonnees.be).

Remarque : Analyse basée sur une vérification publique de gasrivierenland.be (avril 2026). Vous pouvez vérifier les constats vous-même via les DevTools de votre navigateur.

Téléchargez cette analyse en annexe PDF à votre contestation :

Haviland (Hal-Vilvorde) Analyse disponible

Site : haviland.be — Responsable du traitement : Haviland Regiopartners, Poverstraat 75 bus 47, 1731 Asse — Contact sécurité de l'information : informatieveiligheid@haviland.be.

Communes affiliées (23) : Affligem, Asse, Beersel, Dilbeek, Grimbergen, Kampenhout, Kapelle-op-den-Bos, Lennik, Liedekerke, Londerzeel, Machelen, Meise, Merchtem, Opwijk, Pepingen, Roosdaal, Sint-Pieters-Leeuw, Steenokkerzeel, Ternat, Vilvoorde, Wemmel, Zaventem, Zemst. Toutes ne participent pas à toutes les catégories SAC (SAC 1-2-3, zone bleue, SAC 4, SAC 5).

1. Violations constatées du RGPD et de la directive ePrivacy

Un audit technique de haviland.be (17 avril 2026) révèle les manquements suivants au RGPD, à la loi belge du 30 juillet 2018 et à l'article 129 de la loi sur les communications électroniques.

Constat	Base juridique	Risque
Triple pile d'analytics : Google Analytics (`_ga`, `_gat`, `_gid`), Hotjar (`_hjid`) et Matomo (`_pk_id`, `_pk_ses`, ...) actifs simultanément	Art. 5(1)(c) RGPD — proportionnalité et minimisation	Traitement excessif
Contradiction directe : la politique de confidentialité affirme « aucune donnée hors UE », alors que Google Analytics et Hotjar transfèrent vers les États-Unis	Art. 5(1)(a) RGPD — transparence et exactitude ; Ch. V RGPD	Déclaration fausse / manquement à la transparence
Cookies AddThis (`__atuvc`, `__atuvs`) listés, alors qu'AddThis a été arrêté par Oracle en mai 2023	Art. 5(2) RGPD — responsabilité	Documentation obsolète
Cookies Universal Analytics (`__utma`, `__utmb`, `__utmc`, `__utmz`) listés, alors que UA a été retiré par Google le 1er juillet 2023	Art. 5(2) RGPD	Documentation non mise à jour
Aucune durée de conservation pour aucun cookie	Art. 13(2)(a) RGPD	Conservation potentiellement illimitée
Aucun nom ou e-mail de DPO publié (seulement une adresse générique `informatieveiligheid@`)	Art. 37 & 38 RGPD	Non-conformité formelle (autorité publique)
Aucune CMP certifiée ; pas d'intégration IAB TCF	Lignes directrices APD 2023 sur les cookies	Aucune traçabilité du consentement
Renvoi aux « paramètres du navigateur » pour retirer le consentement	Avis APD 2023 — non valide	Retrait non valide
Aucune mention des transferts internationaux, malgré l'usage de GA/Hotjar/YouTube (transfert Google US)	Art. 13(1)(f) + Ch. V RGPD	Transparence incomplète
Aucun sous-traitant nommé (seulement des catégories « hébergement/logistique/sécurité »)	Art. 13(1)(e) RGPD	Information sur les destinataires manquante

2. Violations principales (résumé)

Article 5(1)(a) — Transparence et exactitude

La déclaration de confidentialité contient une affirmation factuellement inexacte : « aucune donnée à caractère personnel n'est partagée en dehors de l'UE ». Ceci est incompatible avec la présence de Google Analytics, Hotjar et d'embeds YouTube, qui transfèrent des données vers des sous-traitants américains.

Article 5(1)(c) — Minimisation des données

L'utilisation simultanée de trois systèmes d'analyse (Google Analytics + Hotjar + Matomo) dépasse par définition le minimum nécessaire.

Article 129 LCE / ePrivacy — Cookies

Des cookies non essentiels sont associés à une « pop-up » sans boutons de catégorie granulaires, sans bouton de refus sur le même pied que le bouton d'acceptation, et sans état de pré-coche documenté.

Articles 37 & 38 — DPO

Haviland est une intercommunale (organisme public) et doit désigner un DPO et publier ses coordonnées. Une adresse générique informatieveiligheid@haviland.be ne satisfait pas à l'article 37(7) RGPD.

3. Formulaires en ligne — sécurité

Constats d'un audit technique de haviland.be/nl et haviland.be/nl/contact (avril 2026). Note : le formulaire de contact est probablement rendu côté client (Paddle CMS) ; seul le gabarit de page est inspectable statiquement.

Constat	Détail	Risque
Embeds sociaux & trackers chargés sur chaque page (y compris la page de contact)	Avant tout consentement, le site charge `www.facebook.com`, `www.linkedin.com`, `www.youtube.com`, `www.googletagmanager.com` et `cdn.jsdelivr.net`	Art. 129 LCE + ch. V RGPD (transfert US)
Google Tag Manager sur chaque page	GTM charge Google Analytics à l'exécution — ce qui explique les cookies GA listés, mais contredit simultanément l'affirmation « aucune donnée hors UE »	Art. 5(1)(a) RGPD — transparence et exactitude
Aucun en-tête Content-Security-Policy	Le serveur n'envoie pas de CSP	Pas de défense en profondeur
Implémentation « cookieConsent » maison (Drupal contrib / custom)	Aucune intégration IAB TCF ; pas de catégories granulaires visibles dans le balisage	Lignes directrices APD 2023 non respectées
Anti-CSRF de l'API Form de Drupal (`form_build_id` + `form_id`)	Présent sur les formulaires de recherche ; protection Drupal standard	Positif
HSTS présent (2 ans, includeSubDomains)	Paramétrage HSTS robuste	Positif

4. Moyens de défense recommandés

Invoquer la contradiction prouvée entre la politique de confidentialité et la déclaration cookies — elle affecte la licité du traitement (art. 6 RGPD).
Article 82 RGPD (droit à indemnisation) pour usage illicite du tracking sans consentement valide.
Plainte possible auprès de l'APD et de la Vlaamse Toezichtcommissie (toutes deux citées dans la politique même).

Remarque : Contrôle effectué le 17 avril 2026 sur les pages publiques /nl/privacy, /nl/home/cookieverklaring et /nl/home/gas-overtredingen. La politique de confidentialité a été mise à jour le 5 janvier 2026, mais la liste des cookies contient des trackers retirés depuis 2023. Vous pouvez vérifier vous-même via les DevTools de votre navigateur.

Téléchargez cette analyse en annexe PDF à votre contestation :

Ville de Bruxelles / Stad Brussel Analyse disponible

Site : brussel.be — Portail de contestation : brucity.cityenforcement.com — Responsable du traitement : Ville de Bruxelles (BCE 0207.373.429), Rue des Halles 4, 1000 Bruxelles — DPO : dpo@brucity.be.

Commune concernée : Ville de Bruxelles. Délai de contestation : 10 jours calendaires à compter de la réception de l'invitation à payer. La contestation ne dispense pas de l'obligation de paiement ; le défaut de paiement entraîne +15 EUR de frais administratifs.

1. Violations constatées du RGPD et d'ePrivacy

Vérification du 17 avril 2026 des pages brussel.be/parkeren-bezwaar-tegen-retributie, brussel.be/wettelijke-vermeldingen et du portail brucity.cityenforcement.com.

Constat	Base juridique	Risque
Affirmation d'« anonymat » sur le formulaire alors que plaque + référence P.-V. sont collectées	Art. 4(1), 12 & 13 RGPD — décision APD 56/2026	Information trompeuse
Politique de confidentialité de 2020, sans mention spécifique du contrôle du stationnement	Art. 5(2), 12 & 13 RGPD	Transparence obsolète
Page `/cookiebeleid` en HTTP 404	Art. 129 LCE	Obligation d'information non respectée
Embeds sociaux (Facebook, Instagram, YouTube, TikTok, Twitter/X, Bluesky, Calaméo) sur la page publique	Art. 129 LCE	Traçage avant consentement
Aucun `Strict-Transport-Security`, `Content-Security-Policy`, `Referrer-Policy` ou `Permissions-Policy` sur brussel.be	Art. 32 RGPD	Absence de défense en profondeur
Le portail charge Microsoft Azure Application Insights	`dc.services.visualstudio.com` — transfert vers un sous-traitant US	Ch. V RGPD, non divulgué
Sous-traitant cityenforcement ; contrat non public	Art. 28(3) RGPD — APD 29 sept. 2023	Contrats rétroactifs invalides
Aucun DPIA publié pour ANPR / véhicules-scanneurs	Art. 35 RGPD — APD 129/2023, 56/2026	Traitement à haut risque sans évaluation
Le portail présente en revanche d'excellents en-têtes (CSP, HSTS preload, Referrer-Policy, Permissions-Policy)	Art. 32 RGPD	Positif

2. Articles du RGPD violés (résumé)

Articles 12 & 13 RGPD — transparence et obligation d'information

En qualifiant le formulaire d'« anonyme » alors que plaque et référence du P.-V. sont collectées, la personne concernée est induite en erreur. Une plaque est une donnée à caractère personnel (art. 4(1) RGPD).

Article 6 RGPD — base légale

Les compétences générales de police de la circulation ne peuvent, après les décisions APD 56/2026, servir de base légale au transfert des plaques ou à l'usage de l'ANPR sans base légale spécifique et DPIA.

Article 28(3) RGPD — contrats de sous-traitance

L'APD (29 sept. 2023) a jugé invalides les contrats rétroactifs. Le contrat avec cityenforcement doit exister avant le traitement.

Article 32 RGPD / art. 129 LCE — sécurité et cookies

L'absence de HSTS/CSP/Referrer-Policy/Permissions-Policy sur brussel.be, combinée à un cookie-404 et à des traqueurs sociaux chargés avant consentement, constitue une violation structurelle.

3. Formulaires en ligne — sécurité

Constat	Détail	Risque
Le portail utilise HSTS + preload	`max-age=31536000; includeSubDomains; preload`	Positif
Le portail a une CSP stricte (`default-src 'none'`) avec `form-action` limité à self + paiement Worldline	Défense en profondeur ; paiement via `payment-webinit.sips-services.com`	Positif
Le portail est une SPA	Formulaire rendu côté client ; audit nécessite DevTools runtime	Informatif
Télémétrie Microsoft Azure sur le portail	`dc.services.visualstudio.com` — transfert vers Microsoft	Ch. V RGPD
brussel.be sans HSTS/CSP/Referrer-Policy/Permissions-Policy	Cookie de session `cookiesession1` sans attributs `Secure` / `SameSite` documentés	Art. 32 RGPD

4. Moyens de défense recommandés

Invoquer la contradiction factuelle entre l'affirmation d'anonymat et la collecte plaque + référence P.-V.
Recours aux décisions APD 56/2026 et 129/2023.
Demande de production du DPIA pour l'ANPR/les véhicules-scanneurs et d'un contrat de sous-traitance valide avec cityenforcement.
Plainte possible auprès de l'Autorité de protection des données (rue de la Presse 35, 1000 Bruxelles).

Remarque : Contrôle effectué le 17 avril 2026. La mesure contestée est une rétribution de stationnement (ni SAC ni amende pénale). Les rétributions relèvent entièrement du RGPD et ne peuvent se prévaloir des exceptions de la directive Police-Justice (2016/680). Vous pouvez vérifier les constats via les DevTools de votre navigateur.

Téléchargez cette analyse en annexe PDF à votre contestation :

Province de Hainaut / Provincie Henegouwen Analyse disponible

Responsable du traitement: Province de Hainaut — Bureau provincial des Amendes Administratives — Avenue Général de Gaulle 102, 7000 Mons — Website: www.hainaut.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Province de Hainaut / Provincie Henegouwen par un exposé technique. Les constatations ont été effectuées sur www.hainaut.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS `max-age=15552000` (~180 jours) sans `includeSubDomains` ni preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
CSP uniquement `frame-ancestors 'self'` — pas de politique complète	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn, TikTok, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
tarteaucitron.io (CMP certifié) — bouton tout-refuser au même niveau	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Remarque : Vérification du 17 avril 2026 de la page publique. La sanction contestée est une rétribution de stationnement ou une amende SAC qui relève pleinement du RGPD. Vous pouvez vérifier les constats via les DevTools de votre navigateur.

Province de Liège / Provincie Luik Analyse disponible

Responsable du traitement: Province de Liège — Fonctionnaires sanctionnateurs provinciaux — Rue Ernest Solvay 11, 4000 Liège — Website: www.provincedeliege.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Province de Liège / Provincie Luik par un exposé technique. Les constatations ont été effectuées sur www.provincedeliege.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Drupal 7 — fin de vie depuis janvier 2025, plus maintenu	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Facebook Pixel (`facebook.net/fbevents.js` + `/tr?id=...`) — transfert direct vers les États-Unis	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Bibliothèque Google Analytics `ga.js` obsolète — dépréciée par Google depuis 2023	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, YouTube, Bluesky présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
tarteaucitron.io (CMP certifié) — bouton tout-refuser au même niveau	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Province de Namur / Provincie Namen Analyse disponible

Responsable du traitement: Province de Namur — Bureau des amendes administratives — Rue Henri Blès 190C, 5000 Namur — Website: www.province.namur.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Province de Namur / Provincie Namen par un exposé technique. Les constatations ont été effectuées sur www.province.namur.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS `max-age=15552000` (~180 jours) sans `includeSubDomains` ni preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Pas d'en-tête `X-Frame-Options` (risque de clickjacking)	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `X-Content-Type-Options: nosniff`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
jQuery chargé via `ajax.googleapis.com` (CDN Google) — transfert US sans proxy local	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
Bannière cookies custom (non-IAB-certifiée) — bouton refuser présent mais formulation non standardisée	Art. 129 WEC / LCE / GEK / ECA	Informatif

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Province de Luxembourg / Provincie Luxemburg Analyse disponible

Responsable du traitement: Province de Luxembourg — Service des amendes administratives — Place Léopold 1, 6700 Arlon — Website: www.province.luxembourg.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Province de Luxembourg / Provincie Luxemburg par un exposé technique. Les constatations ont été effectuées sur www.province.luxembourg.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS `max-age=63072000` (2 ans) + `includeSubDomains` + `preload` — excellent	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Hotjar session-replay tracker — analyse comportementale, enregistrement clavier et souris	Art. 129 WEC / LCE / GEK / ECA + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
tarteaucitron.io (CMP certifié) — bouton tout-refuser au même niveau	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Province du Brabant wallon / Provincie Waals-Brabant Analyse disponible

Responsable du traitement: Province du Brabant wallon — Fonctionnaire sanctionnateur — Place du Brabant wallon 1, 1300 Wavre — Website: www.brabantwallon.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Province du Brabant wallon / Provincie Waals-Brabant par un exposé technique. Les constatations ont été effectuées sur www.brabantwallon.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Pas d'en-tête `X-Content-Type-Options: nosniff`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun traceur externe sur la page d'accueil — positif	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Embeds Facebook, Instagram, Twitter/X, LinkedIn, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Mechelen Analyse disponible

Responsable du traitement: Stad Mechelen — Grote Markt 21, 2800 Mechelen — Website: www.mechelen.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Mechelen par un exposé technique. Les constatations ont été effectuées sur www.mechelen.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Pas d'en-tête `X-Frame-Options` (risque de clickjacking)	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Matomo Cloud analytics — soumis au consentement, `disableCookies` + `setDoNotTrack`	Art. 5(1)(c) + Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
CMP cookiesjsr (module Drupal) — bouton tout-refuser au même niveau	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville d'Arlon Analyse disponible

Responsable du traitement: Ville d'Arlon — Rue Paul Reuter 8, 6700 Arlon — Website: www.arlon.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville d'Arlon par un exposé technique. Les constatations ont été effectuées sur www.arlon.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS `max-age=31536000; includeSubDomains` (1 an, pas de `preload`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Pas d'en-tête `Permissions-Policy` (capteurs/géolocalisation non restreints)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
iA.Smartweb `@@accept_or_refuse_all` — trois boutons au même niveau	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node Analyse disponible

Responsable du traitement: Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node — Avenue de l'Astronomie 13, 1210 Saint-Josse-ten-Noode — Website: www.sjtn.brussels.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node par un exposé technique. Les constatations ont été effectuées sur www.sjtn.brussels le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Drupal 7 (fin de support depuis le 5 janvier 2025) — non supporté	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Politique `Referrer-Policy: no-referrer-when-downgrade` faible	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Analytics (GA4) + `analytics.js` se chargent avant le consentement	Art. 129 WEC / LCE / GEK / ECA + Art. 6 AVG	Manquement
`accessToken` Mapbox codé en dur (transfert vers les États-Unis)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
jQuery 2.2.4 via CDN `code.jquery.com` (bibliothèque obsolète, CDN externe)	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Bannière `eu_cookie_compliance` présente mais décorative (traceurs se chargent quand même)	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Provincie Vlaams-Brabant / Province du Brabant flamand Analyse disponible

Responsable du traitement: Provincie Vlaams-Brabant — Provincieplein 1, 3010 Leuven — Website: www.vlaamsbrabant.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Provincie Vlaams-Brabant / Province du Brabant flamand par un exposé technique. Les constatations ont été effectuées sur www.vlaamsbrabant.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS présent mais `max-age` < 1 an — en dessous de la durée recommandée	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
CSP présent mais trop permissif (`'unsafe-inline' 'unsafe-eval' https:`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Matomo Cloud analytics (hébergé EU) — acceptable, pas de transfert US	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
Drupal EU Cookie Compliance — CMP custom, bouton tout-refuser présent	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Provincie Oost-Vlaanderen / Province de Flandre-Orientale Analyse disponible

Responsable du traitement: Provincie Oost-Vlaanderen — Gouvernementstraat 1, 9000 Gent — Website: oost-vlaanderen.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Provincie Oost-Vlaanderen / Province de Flandre-Orientale par un exposé technique. Les constatations ont été effectuées sur oost-vlaanderen.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Matomo Cloud analytics (hébergé EU) — acceptable, pas de transfert US	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Twitter, Instagram, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
Bannière cookies custom sans bouton « Tout refuser » au même niveau	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Provincie Limburg / Province de Limbourg Analyse disponible

Responsable du traitement: Provincie Limburg — Universiteitslaan 1, 3500 Hasselt — Website: www.limburg.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Provincie Limburg / Province de Limbourg par un exposé technique. Les constatations ont été effectuées sur www.limburg.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
CSP uniquement en `report-uri` (report-only) — pas d'atténuation effective	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Politique `Referrer-Policy: no-referrer-when-downgrade` faible	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Piwik PRO analytics sur URL de container — hébergement EU habituellement mais vérifier le DPA	Art. 5(1)(c) + Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Informatif
Embeds Facebook, Instagram, LinkedIn, X présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Ieper Analyse disponible

Responsable du traitement: Stad Ieper (KBO 0207.518.630) — Grote Markt 34, 8900 Ieper — Website: www.ieper.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Ieper par un exposé technique. Les constatations ont été effectuées sur www.ieper.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Eeklo Analyse disponible

Responsable du traitement: Stad Eeklo (KBO 0207.461.616) — Industrielaan 2, 9900 Eeklo — Website: www.eeklo.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Eeklo par un exposé technique. Les constatations ont été effectuées sur www.eeklo.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Halle Analyse disponible

Responsable du traitement: Stad Halle (KBO 0207.528.640) — Oudstrijdersplein 18, 1500 Halle — Website: www.halle.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Halle par un exposé technique. Les constatations ont été effectuées sur www.halle.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy stricte (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
HSTS 2 ans + `includeSubDomains` + `preload` — configuration forte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Tienen Analyse disponible

Responsable du traitement: Stad Tienen (KBO 0207.537.929) — Grote Markt 27, 3300 Tienen — Website: www.tienen.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Tienen par un exposé technique. Les constatations ont été effectuées sur www.tienen.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS 2 ans + `includeSubDomains` + `preload` — configuration forte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Dinant Analyse disponible

Responsable du traitement: Ville de Dinant (BCE 0207.360.125) — Rue Grande 112, 5500 Dinant — Website: www.dinant.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Dinant par un exposé technique. Les constatations ont été effectuées sur www.dinant.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS 2 ans + `includeSubDomains` + `preload` — configuration forte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Wavre Analyse disponible

Responsable du traitement: Ville de Wavre (BCE 0207.381.392) — Place de l'Hôtel de Ville, 1300 Wavre — Website: www.wavre.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Wavre par un exposé technique. Les constatations ont été effectuées sur www.wavre.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embed de documents `calameo.com` — traqueur externe	Art. 129 WEC / LCE / GEK / ECA	Manquement
Embeds Facebook, Instagram, LinkedIn, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Huy Analyse disponible

Responsable du traitement: Ville de Huy (BCE 0207.348.088) — Grand-Place 1, 4500 Huy — Website: www.huy.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Huy par un exposé technique. Les constatations ont été effectuées sur www.huy.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville d'Ath Analyse disponible

Responsable du traitement: Ville d'Ath (BCE 0207.362.500) — Rue de Pintamont 54, 7800 Ath — Website: www.ath.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville d'Ath par un exposé technique. Les constatations ont été effectuées sur www.ath.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, Instagram, Vimeo, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Waterloo Analyse disponible

Responsable du traitement: Commune de Waterloo (BCE 0216.694.712) — Rue François Libert 28, 1410 Waterloo — Website: www.waterloo.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Waterloo par un exposé technique. Les constatations ont été effectuées sur www.waterloo.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Twitter, Vimeo présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Deinze Analyse disponible

Responsable du traitement: Stad Deinze (KBO 0207.489.352) — Brielstraat 2, 9800 Deinze — Website: www.deinze.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Deinze par un exposé technique. Les constatations ont été effectuées sur www.deinze.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy stricte (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Ixelles / Gemeente Elsene Analyse disponible

Responsable du traitement: Commune d'Ixelles (BCE 0207.387.826) — Chaussée d'Ixelles 168, 1050 Ixelles — Website: www.ixelles.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Ixelles / Gemeente Elsene par un exposé technique. Les constatations ont été effectuées sur www.ixelles.be (page d’accueil) et elsene.be/site/23-Algemeen-politiereglement (règlement GAS, 19 avril 2026) et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
Base légale explicite mentionnée sur `elsene.be/site/23` (Loi du 24 juin 2013, art. 19/1 et 27)	Art. 6 + 5(2) RGPD	✓ Conforme
Durée de conservation publiée : max 5 ans ; 6 mois si pas d’amende	Art. 13(2)(a) RGPD	✓ Conforme
Coordonnées du DPO publiées : `dpo@elsene.brussels`	Art. 37(7) RGPD	✓ Conforme
Page du règlement (`elsene.be/site/23`) sans traceurs externes	Art. 129 LCE	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Uccle / Gemeente Ukkel Analyse disponible

Responsable du traitement: Commune d'Uccle (BCE 0207.393.074) — Place Jean Vander Elst 29, 1180 Uccle — Website: www.uccle.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Uccle / Gemeente Ukkel par un exposé technique. Les constatations ont été effectuées sur www.uccle.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, Instagram, LinkedIn, Twitter présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Forest / Gemeente Vorst Analyse disponible

Responsable du traitement: Commune de Forest (BCE 0207.387.529) — Rue du Curé 2, 1190 Forest — Website: www.forest.brussels.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Forest / Gemeente Vorst par un exposé technique. Les constatations ont été effectuées sur www.forest.brussels le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Jette / Gemeente Jette Analyse disponible

Responsable du traitement: Commune de Jette (BCE 0207.389.804) — Chaussée de Wemmel 100, 1090 Jette — Website: www.jette.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Jette / Gemeente Jette par un exposé technique. Les constatations ont été effectuées sur www.jette.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
`Referrer-Policy: same-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Intégration de tiers minimale (pas d'embeds sociaux sur la page d'accueil)	Art. 5(1)(c) + Art. 129 WEC	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Koekelberg / Gemeente Koekelberg Analyse disponible

Responsable du traitement: Commune de Koekelberg (BCE 0207.387.727) — Place Henri Vanhuffel 6, 1081 Koekelberg — Website: www.koekelberg.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Koekelberg / Gemeente Koekelberg par un exposé technique. Les constatations ont été effectuées sur www.koekelberg.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Banner serveur `Microsoft-IIS/10.0` (fuite de version)	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google reCAPTCHA présent (sous-traitant US, non divulgué)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem Analyse disponible

Responsable du traitement: Commune de Berchem-Sainte-Agathe (BCE 0207.386.240) — Avenue du Roi Albert 33, 1082 Berchem-Sainte-Agathe — Website: www.1082.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem par un exposé technique. Les constatations ont été effectuées sur www.1082.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Banner serveur détaillé (`Apache/2.4.62 (Win64) OpenSSL/3.1.7 PHP/8.3.14 mod_fcgid/2.3.10-dev`) — fuite de version majeure	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Cookieyes comme CMP — positif	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde Analyse disponible

Responsable du traitement: Commune de Watermael-Boitsfort (BCE 0207.393.470) — Place Antoine Gilson 1, 1170 Watermael-Boitsfort — Website: www.watermael-boitsfort.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde par un exposé technique. Les constatations ont été effectuées sur www.watermael-boitsfort.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête `Referrer-Policy`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Evere / Gemeente Evere Analyse disponible

Responsable du traitement: Commune d'Evere (BCE 0207.384.064) — Square Hoedemaekers 10, 1140 Evere — Website: www.evere.brussels.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Evere / Gemeente Evere par un exposé technique. Les constatations ont été effectuées sur www.evere.brussels le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Ganshoren / Gemeente Ganshoren Analyse disponible

Responsable du traitement: Commune de Ganshoren (BCE 0207.387.826) — Avenue Charles-Quint 140, 1083 Ganshoren — Website: www.ganshoren.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Ganshoren / Gemeente Ganshoren par un exposé technique. Les constatations ont été effectuées sur www.ganshoren.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Auderghem / Gemeente Oudergem Analyse disponible

Responsable du traitement: Commune d'Auderghem (BCE 0207.386.438) — Rue Emile Idiers 12, 1160 Auderghem — Website: www.auderghem.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Auderghem / Gemeente Oudergem par un exposé technique. Les constatations ont été effectuées sur www.auderghem.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe Analyse disponible

Responsable du traitement: Commune de Woluwe-Saint-Lambert (BCE 0207.397.034) — Avenue Paul Hymans 2, 1200 Woluwe-Saint-Lambert — Website: www.woluwe1200.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe par un exposé technique. Les constatations ont été effectuées sur www.woluwe1200.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe Analyse disponible

Responsable du traitement: Commune de Woluwe-Saint-Pierre (BCE 0207.395.153) — Avenue Charles Thielemans 93, 1150 Woluwe-Saint-Pierre — Website: www.woluwe1150.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe par un exposé technique. Les constatations ont été effectuées sur www.woluwe1150.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
CSP partielle (uniquement `frame-ancestors`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google reCAPTCHA présent (sous-traitant US, non divulgué)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
5 embeds Facebook sur la page publique	Art. 129 WEC / LCE / GEK / ECA	Manquement
Embeds Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Anderlecht / Gemeente Anderlecht Analyse disponible

Responsable du traitement: Commune d'Anderlecht (BCE 0207.393.470) — Place du Conseil 1, 1070 Anderlecht — Website: www.anderlecht.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Anderlecht / Gemeente Anderlecht par un exposé technique. Les constatations ont été effectuées sur www.anderlecht.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Schaerbeek / Gemeente Schaarbeek Analyse disponible

Responsable du traitement: Commune de Schaerbeek (BCE 0207.377.988) — Place Colignon, 1030 Schaerbeek — Website: www.1030.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Schaerbeek / Gemeente Schaarbeek par un exposé technique. Les constatations ont été effectuées sur www.1030.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy stricte (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek Analyse disponible

Responsable du traitement: Commune de Molenbeek-Saint-Jean (BCE 0207.391.193) — Rue du Comte de Flandre 20, 1080 Molenbeek-Saint-Jean — Website: www.molenbeek.irisnet.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek par un exposé technique. Les constatations ont été effectuées sur www.molenbeek.irisnet.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
7 embeds Facebook sur la page publique	Art. 129 WEC / LCE / GEK / ECA	Manquement
Embeds Twitter, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Commune d'Etterbeek Analyse disponible

Responsable du traitement: Commune d'Etterbeek (BCE 0207.383.274) — Avenue d'Auderghem 113-117, 1040 Etterbeek — Website: etterbeek.brussels.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Commune d'Etterbeek par un exposé technique. Les constatations ont été effectuées sur etterbeek.brussels le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Turnhout Analyse disponible

Responsable du traitement: Stad Turnhout (KBO 0207.537.434) — Campus Blairon 200, 2300 Turnhout — Website: www.turnhout.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Turnhout par un exposé technique. Les constatations ont été effectuées sur www.turnhout.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy stricte (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
HSTS avec `max-age=63072000` (2 ans) + `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Google reCAPTCHA présent (sous-traitant US, non divulgué)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Instagram, LinkedIn, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Beringen Analyse disponible

Responsable du traitement: Stad Beringen (KBO 0207.525.461) — Mijnschoolstraat 88, 3580 Beringen — Website: www.beringen.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Beringen par un exposé technique. Les constatations ont été effectuées sur www.beringen.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite l'usage des capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Lommel Analyse disponible

Responsable du traitement: Stad Lommel (KBO 0207.519.026) — Hertog Janplein 1, 3920 Lommel — Website: www.lommel.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Lommel par un exposé technique. Les constatations ont été effectuées sur www.lommel.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite l'usage des capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Geel Analyse disponible

Responsable du traitement: Stad Geel (KBO 0207.524.966) — Werft 20, 2440 Geel — Website: www.geel.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Geel par un exposé technique. Les constatations ont été effectuées sur www.geel.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy stricte (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite l'usage des capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Embeds Facebook, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Mouscron Analyse disponible

Responsable du traitement: Ville de Mouscron (BCE 0207.356.899) — Grand-Place 1, 7700 Mouscron — Website: www.mouscron.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Mouscron par un exposé technique. Les constatations ont été effectuées sur www.mouscron.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Embeds Facebook présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Kortrijk Analyse disponible

Responsable du traitement: Stad Kortrijk (KBO 0207.494.678) — Grote Markt 54, 8500 Kortrijk — Website: www.kortrijk.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Kortrijk par un exposé technique. Les constatations ont été effectuées sur www.kortrijk.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram, LinkedIn, WhatsApp, TikTok présents	Art. 129 WEC / LCE / GEK / ECA	Manquement
Google Maps (`maps.googleapis.com`) — sous-traitant US	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Oostende Analyse disponible

Responsable du traitement: Stad Oostende (KBO 0207.473.295) — Vindictivelaan 1, 8400 Oostende — Website: www.oostende.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Oostende par un exposé technique. Les constatations ont été effectuées sur www.oostende.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite l'usage des capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Sint-Niklaas Analyse disponible

Responsable du traitement: Stad Sint-Niklaas (KBO 0207.486.859) — Grote Markt 1, 9100 Sint-Niklaas — Website: www.sint-niklaas.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Sint-Niklaas par un exposé technique. Les constatations ont été effectuées sur www.sint-niklaas.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Utilisation de Cookiebot comme CMP — positif	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, LinkedIn, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Aalst Analyse disponible

Responsable du traitement: Stad Aalst (KBO 0207.449.148) — Grote Markt 3, 9300 Aalst — Website: aalst.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Aalst par un exposé technique. Les constatations ont été effectuées sur aalst.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram, YouTube, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Genk Analyse disponible

Responsable du traitement: Stad Genk (KBO 0207.522.491) — Stadsplein 1, 3600 Genk — Website: www.genk.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Genk par un exposé technique. Les constatations ont été effectuées sur www.genk.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy partielle (uniquement `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
`Referrer-Policy: strict-origin-when-cross-origin` correcte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
En-tête `Permissions-Policy` présent — limite l'usage des capteurs/géolocalisation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Utilise Matomo (plus respectueux de la vie privée que Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
Embeds Facebook, Twitter, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Roeselare Analyse disponible

Responsable du traitement: Stad Roeselare (KBO 0207.490.219) — Botermarkt 2, 8800 Roeselare — Website: www.roeselare.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Roeselare par un exposé technique. Les constatations ont été effectuées sur www.roeselare.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
HSTS avec `includeSubDomains` et `preload` — configuration forte	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert US non divulgué	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Tournai Analyse disponible

Responsable du traitement: Ville de Tournai (BCE 0207.352.297) — Rue Saint-Martin 52, 7500 Tournai — Website: www.tournai.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Tournai par un exposé technique. Les constatations ont été effectuées sur www.tournai.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Politique `Referrer-Policy: no-referrer-when-downgrade` faible	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embed de documents `calameo.com` — traqueur externe	Art. 129 WEC / LCE / GEK / ECA	Manquement
Embeds Facebook, Instagram, YouTube, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de La Louvière Analyse disponible

Responsable du traitement: Ville de La Louvière (BCE 0207.382.086) — Place Communale 1, 7100 La Louvière — Website: www.lalouviere.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de La Louvière par un exposé technique. Les constatations ont été effectuées sur www.lalouviere.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
HSTS avec `max-age=31536000` (1 an) sans `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informatif
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Seraing Analyse disponible

Responsable du traitement: Ville de Seraing (BCE 0207.335.221) — Place Communale 8, 4100 Seraing — Website: www.seraing.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Seraing par un exposé technique. Les constatations ont été effectuées sur www.seraing.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Politique `Referrer-Policy: no-referrer-when-downgrade` faible	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
tarteaucitron comme CMP — positif, alternative européenne	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Embeds Facebook, Instagram, YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Verviers Analyse disponible

Responsable du traitement: Ville de Verviers (BCE 0207.356.048) — Place du Marché 55, 4800 Verviers — Website: www.verviers.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Verviers par un exposé technique. Les constatations ont été effectuées sur www.verviers.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Embeds Facebook, YouTube, LinkedIn présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Liège Analyse disponible

Responsable du traitement: Ville de Liège (BCE 0207.343.238) — Place du Marché 2, 4000 Liège — Website: www.liege.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Liège par un exposé technique. Les constatations ont été effectuées sur www.liege.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun `X-Content-Type-Options: nosniff`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Utilisation de la variante `youtube-nocookie.com` — choix positif	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Embeds Facebook et Instagram présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Namur Analyse disponible

Responsable du traitement: Ville de Namur (BCE 0207.341.854) — Hôtel de Ville, 5000 Namur — Website: www.namur.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Namur par un exposé technique. Les constatations ont été effectuées sur www.namur.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête `Referrer-Policy`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Google Fonts (`fonts.googleapis.com`) — transfert vers Google US	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Manquement
Embeds Facebook, Twitter et YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Mons Analyse disponible

Responsable du traitement: Ville de Mons (BCE 0207.272.119) — Grand-Place 22, 7000 Mons — Website: www.mons.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Mons par un exposé technique. Les constatations ont été effectuées sur www.mons.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête `Referrer-Policy`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
HSTS avec `includeSubDomains` (1 an) — base solide	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Conforme
Embeds Facebook et YouTube présents	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Ville de Charleroi Analyse disponible

Responsable du traitement: Ville de Charleroi (BCE 0207.362.105) — Place Charles II 14-15, 6000 Charleroi — Website: www.charleroi.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Ville de Charleroi par un exposé technique. Les constatations ont été effectuées sur www.charleroi.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Aucun en-tête Content-Security-Policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Politique `Referrer-Policy: no-referrer-when-downgrade` faible	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement
Fuite de version serveur dans `Server: Apache/2.4.66 (Debian)`	Art. 32 AVG / RGPD / DSGVO / GDPR	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Antwerpen Analyse disponible

Responsable du traitement: Stad Antwerpen (KBO 0207.500.123) — Dienst Mobiliteit & Parkeren — Grote Markt 1, 2000 Antwerpen — Website: www.antwerpen.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Antwerpen par un exposé technique. Les constatations ont été effectuées sur www.antwerpen.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
La Content-Security-Policy contient une directive invalide (`undefined`)	Art. 32 AVG / GDPR / DSGVO	Manquement
HSTS avec `max-age=15552000` (180 jours) sans `preload`	Art. 32 AVG / GDPR / DSGVO	Informatif
Google Tag Manager charge Google Analytics à l'exécution	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook et Twitter chargés sur chaque page	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Gent Analyse disponible

Responsable du traitement: Stad Gent (KBO 0207.451.227) — Botermarkt 1, 9000 Gent — Website: stad.gent.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Gent par un exposé technique. Les constatations ont été effectuées sur stad.gent le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
En-têtes de sécurité robustes : HSTS 2 ans avec `preload`, CSP `default-src 'self'`	Art. 32 AVG / GDPR / DSGVO	✓ Conforme
Utilisation de Cookiebot comme CMP — positif, conforme aux lignes directrices APD	Art. 129 WEC / LCE / GEK / ECA	✓ Conforme
Embeds sociaux (Facebook, Instagram, YouTube, TikTok, LinkedIn, Threads) présents — le verrouillage par consentement doit être vérifié au cas par cas	Art. 129 WEC / LCE / GEK / ECA	Informatif
Google Tag Manager présent (charge les autres traqueurs uniquement après consentement via Cookiebot)	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Informatif

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Brugge Analyse disponible

Responsable du traitement: Stad Brugge (KBO 0207.528.035) — Burg 12, 8000 Brugge — Website: www.brugge.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Brugge par un exposé technique. Les constatations ont été effectuées sur www.brugge.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête Content-Security-Policy	Art. 32 AVG / GDPR / DSGVO	Manquement
Utilise Matomo au lieu de Google Analytics — positif du point de vue de la confidentialité	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Conforme
HSTS avec `max-age=31557600` (1 an) sans `includeSubDomains` ni `preload`	Art. 32 AVG / GDPR / DSGVO	Informatif
Embeds Facebook, Instagram, LinkedIn et YouTube chargés	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Leuven Analyse disponible

Responsable du traitement: Stad Leuven (KBO 0207.475.077) — Professor Van Overstraetenplein 1, 3000 Leuven — Website: www.leuven.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Leuven par un exposé technique. Les constatations ont été effectuées sur www.leuven.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / GDPR / DSGVO	Manquement
Aucun en-tête `Content-Security-Policy`	Art. 32 AVG / GDPR / DSGVO	Manquement
Google Tag Manager charge Google Analytics à l'exécution (transfert vers Google US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Manquement
Embeds Facebook, Instagram et LinkedIn chargés	Art. 129 WEC / LCE / GEK / ECA	Manquement

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

Stad Hasselt Analyse disponible

Responsable du traitement: Stad Hasselt (KBO 0207.476.069) — Groenplein 1, 3500 Hasselt — Website: www.hasselt.be.

La présente annexe vise à compléter la contestation d'une sanction ou rétribution de la Stad Hasselt par un exposé technique. Les constatations ont été effectuées sur www.hasselt.be le 17 avril 2026 et révèlent des manquements en matière de RGPD, ePrivacy et sécurité du traitement.

1. Manquements constatés

Constat	Base juridique	Risque
Content-Security-Policy seulement partielle (uniquement `frame-ancestors`)	Art. 32 AVG / GDPR / DSGVO	Manquement
Aucun en-tête `Strict-Transport-Security`	Art. 32 AVG / GDPR / DSGVO	Manquement
Google Fonts (`fonts.gstatic.com`, `fonts.googleapis.com`) — transfert vers les États-Unis non divulgué	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Manquement
Plateforme Drupal — protection CSRF form_build_id présente par défaut	Art. 32 AVG / GDPR / DSGVO	✓ Conforme

2. Qualification juridique

Article 5(1)(a) RGPD — transparence

Les personnes doivent être informées de manière transparente et loyale du traitement ; une sécurité technique absente ou inexacte nuit à cette obligation.

Article 6 RGPD — base légale

Les compétences générales de la commune ne peuvent, après la décision APD 56/2026 (Dilbeek), servir de base légale au transfert de données ou à l'usage de l'ANPR sans base spécifique et DPIA.

Chapitre V RGPD — transferts

L'utilisation de sous-traitants américains (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implique un transfert vers les États-Unis qui, sans garantie appropriée (Ch. V RGPD), est illicite.

Article 32 RGPD — sécurité

L'absence de mesures techniques appropriées (HSTS, CSP, Referrer-Policy) n'est pas conforme à l'article 32 RGPD pour une plateforme publique traitant des données personnelles.

Article 129 LCE — ePrivacy

Les cookies non essentiels, embeds sociaux et autres traqueurs exigent un consentement préalable, éclairé, spécifique et granulaire ; un renvoi aux paramètres du navigateur ne suffit pas.

3. Moyens de défense recommandés

la sanction contestée soit réformée ou annulée pour traitement illicite de données à caractère personnel ;
acte soit donné des manquements techniques constatés ;
subsidiairement, une nouvelle instruction soit menée sur la base de données recueillies licitement ;
la partie requérante conserve le droit de déposer plainte auprès de l'Autorité de protection des données ;
acte soit donné de la réserve du droit à réparation sur la base de l'article 82 RGPD.

GAS Rivierenland Analyse verfügbar

Website: gasrivierenland.be — Sitz: Grote Markt 21, 2800 Mechelen.

Mitgliedsgemeinden (15): Berlaar, Bonheiden, Boortmeerbeek, Bornem, Duffel, Heist-op-den-Berg, Herent, Kortenberg, Lier, Mechelen, Nijlen, Putte, Puurs-Sint-Amands, Sint-Katelijne-Waver, Willebroek.

1. Festgestellte DSGVO- und ePrivacy-Verstöße

Eine technische Prüfung von gasrivierenland.be und den verlinkten Datenschutz- und Cookie-Seiten zeigt mehrere Verstöße gegen die DSGVO, das belgische Gesetz vom 30. Juli 2018 und das Gesetz über elektronische Kommunikation (Art. 129 GEK).

Feststellung	Rechtsgrundlage	Risiko
Kein Cookie-Banner beim Erstbesuch	Art. 129 GEK — vorherige Einwilligung erforderlich	ePrivacy-Verstoß
YouTube-Tracking-Cookies (`YSC`, `PREF` 10 Jahre, `VISITOR_INFO1_LIVE` 240 Tage) ohne Einwilligung	Art. 129 GEK + Art. 6 DSGVO	Persistentes Drittanbieter-Tracking
„Cookies über Browsereinstellungen ablehnen“ als Einwilligungsmechanismus	DSB-Leitlinien 2023 — ungültig	Ungültiges Einwilligungsmodell
Datenschutzerklärung zuletzt 30.12.2019 aktualisiert	Art. 5(2) DSGVO — Rechenschaftspflicht	Veraltete Dokumentation
Keine DSB-Kontaktdaten veröffentlicht	Art. 37 & 38 DSGVO — für Behörden zwingend	Formale Nichteinhaltung
Defekter interner Datenschutz-Link (/jouw-privacy → HTTP 410)	Art. 12 DSGVO — Transparenz	Informationspflicht verletzt
Formular erfasst Nationalregisternummer ohne Hinweis bei der Erhebung	Art. 13 DSGVO + Gesetz vom 8.8.1983	Hochrisiko-Verarbeitung
Kein Hinweis auf Beschwerderecht bei der DSB	Art. 13(2)(d) DSGVO	Betroffene nicht informiert
Keine Aufbewahrungsfristen angegeben	Art. 13(2)(a) DSGVO	Unbegrenzte Speicherung möglich
Keine Information zu internationalen Übermittlungen	Art. 13(1)(f) + Kap. V DSGVO	Unvollständige Transparenz
Keine spezifische Regelung für Minderjährige	Art. 8 DSGVO	Besonderer Schutz fehlt

2. Verletzte DSGVO-Artikel (Zusammenfassung)

Artikel 5(1)(a) — Transparenz

Die Datenschutzerklärung von 2019 deckt die aktuellen Verarbeitungen nicht ab.

Artikel 13 — Informationspflicht

Zum Zeitpunkt der Erhebung (Formulare „anderer Fahrer“, Einspruch usw.) wird keine spezifische Datenschutzmitteilung angezeigt.

Artikel 37 & 38 — DSB

Als öffentliche Stelle muss GAS Rivierenland einen DSB benennen und dessen Kontaktdaten veröffentlichen.

Artikel 129 GEK / ePrivacy — Cookies

Nicht wesentliche Cookies werden ohne vorherige, informierte, granulare Einwilligung gesetzt. Keine Ablehnungsschaltfläche, keine Kategorien.

3. Online-Formulare — Sicherheit

Ergebnisse einer technischen Prüfung des Einspruchsformulars /snelheidsboete/andere-bestuurder und der Startseite (April 2026).

Feststellung	Detail	Risiko
Kein CSRF-Token im POST-Einspruchsformular	Vorhandene versteckte Felder (`pageNumber`, `__formName`, `MAX_FILE_SIZE`, `g-recaptcha-response`, ...) enthalten kein Anti-CSRF-Token	Cross-Site Request Forgery möglich
Google reCAPTCHA im Formular	Feld `g-recaptcha-response` + Laden von `www.google.com/recaptcha`; Übermittlung an Google US	In der Datenschutzerklärung nicht erwähnt — Art. 13 + Kap. V DSGVO
Mehrere US-CDNs auf der Formularseite	`fonts.googleapis.com`, `fonts.gstatic.com`, `cdnjs.cloudflare.com`, `maxcdn.bootstrapcdn.com`, `cdn.tiny.cloud`	Internationale Übermittlung (US) ohne Offenlegung
Kein Content-Security-Policy-Header	Der Server sendet kein CSP	Keine Tiefenverteidigung gegen XSS / Injection
Nationalregisternummer als `<input type="text">`	Ohne `autocomplete="off"` für dieses sensible Feld	Browser-Caching; Art. 32 DSGVO
HSTS vorhanden (1 Jahr, includeSubDomains)	Positiv; kein `preload`, aber solide Basis	OK

4. Empfohlene Verteidigungsmittel

Berufung auf Art. 82 DSGVO (Schadenersatzanspruch) bei Verwendung unrechtmäßig verarbeiteter Daten.
Hinweis, dass der Verantwortliche seine eigene Informationspflicht nicht erfüllt — dies beeinträchtigt die Rechtmäßigkeit der Verarbeitung.
Beschwerde bei der Datenschutzbehörde (www.datenschutzbehoerde.be) möglich.

Hinweis: Analyse basiert auf einer öffentlichen Prüfung von gasrivierenland.be (April 2026). Sie können die Ergebnisse selbst über die DevTools Ihres Browsers überprüfen.

Laden Sie diese Analyse als PDF-Anlage für Ihren Einspruch herunter:

Haviland (Halle-Vilvoorde) Analyse verfügbar

Website: haviland.be — Verantwortlicher: Haviland Regiopartners, Poverstraat 75 bus 47, 1731 Asse — Kontakt Informationssicherheit: informatieveiligheid@haviland.be.

Mitgliedsgemeinden (23): Affligem, Asse, Beersel, Dilbeek, Grimbergen, Kampenhout, Kapelle-op-den-Bos, Lennik, Liedekerke, Londerzeel, Machelen, Meise, Merchtem, Opwijk, Pepingen, Roosdaal, Sint-Pieters-Leeuw, Steenokkerzeel, Ternat, Vilvoorde, Wemmel, Zaventem, Zemst. Nicht jede Gemeinde nimmt an jeder GAS-Kategorie teil.

1. Festgestellte DSGVO- und ePrivacy-Verstöße

Eine technische Prüfung von haviland.be am 17. April 2026 zeigt folgende Verstöße gegen die DSGVO, das belgische Gesetz vom 30. Juli 2018 und Artikel 129 des Gesetzes über elektronische Kommunikation.

Feststellung	Rechtsgrundlage	Risiko
Dreifache Analytics-Stack: Google Analytics (`_ga`, `_gat`, `_gid`), Hotjar (`_hjid`) und Matomo (`_pk_id`, `_pk_ses`, ...) gleichzeitig aktiv	Art. 5(1)(c) DSGVO — Verhältnismäßigkeit & Minimierung	Übermäßige Verarbeitung
Direkter Widerspruch: Die Datenschutzerklärung besagt „keine Daten außerhalb der EU“, während Google Analytics und Hotjar in die USA übertragen	Art. 5(1)(a) DSGVO; Kap. V DSGVO	Falsche Erklärung / Transparenzverstoß
AddThis-Cookies (`__atuvc`, `__atuvs`) im Cookie-Verzeichnis — AddThis wurde im Mai 2023 von Oracle eingestellt	Art. 5(2) DSGVO — Rechenschaftspflicht	Veraltete Dokumentation
Universal-Analytics-Cookies (`__utma`, `__utmb`, `__utmc`, `__utmz`) gelistet, obwohl UA am 1. Juli 2023 eingestellt wurde	Art. 5(2) DSGVO	Nicht aktualisierte Dokumentation
Keine Aufbewahrungsfristen für irgendeinen Cookie	Art. 13(2)(a) DSGVO	Unbegrenzte Speicherung möglich
Kein DSB-Name oder -Mail veröffentlicht (nur generische Adresse `informatieveiligheid@`)	Art. 37 & 38 DSGVO	Formale Nichteinhaltung (öffentliche Stelle)
Keine zertifizierte CMP; keine IAB-TCF-Integration	DSB-Leitlinien zu Cookies 2023	Keine Einwilligungs-Nachweisbarkeit
Verweis auf „Browsereinstellungen“ zum Widerruf der Einwilligung	DSB-Leitlinie 2023 — nicht gültig	Ungültiger Widerruf
Keine Information zu internationalen Übermittlungen, trotz GA/Hotjar/YouTube (Übermittlung Google US)	Art. 13(1)(f) + Kap. V DSGVO	Unvollständige Transparenz
Keine konkreten Auftragsverarbeiter genannt (nur Kategorien „Hosting/Logistik/Sicherheit“)	Art. 13(1)(e) DSGVO	Fehlende Empfängerinformation

2. Wichtigste Verstöße (Zusammenfassung)

Artikel 5(1)(a) — Transparenz und Richtigkeit

Die Datenschutzerklärung enthält eine faktisch falsche Aussage: „Haviland teilt keine personenbezogenen Daten mit Parteien außerhalb der EU“. Dies ist unvereinbar mit der Nutzung von Google Analytics, Hotjar und YouTube-Embeds.

Artikel 5(1)(c) — Datenminimierung

Die gleichzeitige Nutzung von drei Analyse-Systemen (GA + Hotjar + Matomo) übersteigt das erforderliche Minimum.

Artikel 129 GEK / ePrivacy — Cookies

Nicht wesentliche Cookies werden mit einem „Pop-up“ verknüpft, jedoch ohne granulare Kategorieschaltflächen, ohne gleichwertigen Ablehnen-Button und ohne dokumentierten Pre-Tick-Status.

Artikel 37 & 38 — DSB

Haviland ist eine Interkommunale (öffentliche Stelle) und muss einen DSB benennen und dessen Kontaktdaten veröffentlichen. Eine generische Adresse informatieveiligheid@haviland.be erfüllt Art. 37(7) DSGVO nicht.

3. Online-Formulare — Sicherheit

Ergebnisse einer technischen Prüfung von haviland.be/nl und haviland.be/nl/contact (April 2026). Hinweis: Das Kontaktformular wird wahrscheinlich clientseitig gerendert (Paddle CMS); nur der Seiten-Wrapper ist statisch inspizierbar.

Feststellung	Detail	Risiko
Social- und Tracking-Embeds laden auf jeder Seite (inkl. Kontaktseite)	Vor jeder Einwilligung werden `www.facebook.com`, `www.linkedin.com`, `www.youtube.com`, `www.googletagmanager.com` und `cdn.jsdelivr.net` geladen	Art. 129 GEK + Kap. V DSGVO (US-Übermittlung)
Google Tag Manager auf jeder Seite	GTM lädt Google Analytics zur Laufzeit — das erklärt die GA-Cookies, widerspricht aber zugleich der Aussage „keine Daten außerhalb der EU“	Art. 5(1)(a) DSGVO — Transparenz und Richtigkeit
Kein Content-Security-Policy-Header	Der Server sendet kein CSP	Keine Tiefenverteidigung
Eigene „cookieConsent“-Implementierung (Drupal contrib / custom)	Keine IAB-TCF-Integration; keine sichtbaren granularen Kategorien im Markup	DSB-Leitlinien 2023 nicht eingehalten
Drupal Form-API-Anti-CSRF (`form_build_id` + `form_id`)	Vorhanden auf Suchformularen; Standard-Drupal-Schutz	Positiv
HSTS vorhanden (2 Jahre, includeSubDomains)	Starke HSTS-Konfiguration	Positiv

4. Empfohlene Verteidigungsmittel

Hinweis auf den nachweisbaren Widerspruch zwischen Datenschutzerklärung und Cookie-Richtlinie — beeinträchtigt die Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO).
Art. 82 DSGVO (Schadenersatzanspruch) wegen unrechtmäßiger Nutzung von Tracking ohne gültige Einwilligung.
Beschwerde möglich bei der Datenschutzbehörde und der Vlaamse Toezichtcommissie (beide in der Erklärung selbst genannt).

Hinweis: Prüfung am 17. April 2026 auf den öffentlich zugänglichen Seiten /nl/privacy, /nl/home/cookieverklaring und /nl/home/gas-overtredingen. Datenschutzerklärung zuletzt am 5. Januar 2026 aktualisiert; die Cookieliste enthält jedoch seit 2023 eingestellte Tracker. Sie können die Ergebnisse selbst über die DevTools Ihres Browsers überprüfen.

Laden Sie diese Analyse als PDF-Anlage für Ihren Einspruch herunter:

Stadt Brüssel / Ville de Bruxelles Analyse verfügbar

Website: brussel.be — Einspruchsportal: brucity.cityenforcement.com — Verantwortlicher: Stadt Brüssel (KBO 0207.373.429), Hallenstraat 4, 1000 Brüssel — DSB: dpo@brucity.be.

Mitgliedsgemeinde: Stadt Brüssel. Einspruchsfrist: 10 Kalendertage ab Erhalt der Zahlungsaufforderung. Der Einspruch entbindet nicht von der Zahlungspflicht; Nichtzahlung führt zu +15 EUR Verwaltungskosten.

1. Festgestellte DSGVO- und ePrivacy-Verstöße

Prüfung am 17. April 2026 der Seiten brussel.be/parkeren-bezwaar-tegen-retributie, brussel.be/wettelijke-vermeldingen und des Portals brucity.cityenforcement.com.

Feststellung	Rechtsgrundlage	Risiko
„Anonymitäts“-Behauptung am Formular, obwohl Kennzeichen + Protokollnummer erhoben werden	Art. 4(1), 12 & 13 DSGVO — DSB-Entscheidung 56/2026	Irreführende Information
Datenschutzerklärung von 2020, keine spezifische Parkraumüberwachung	Art. 5(2), 12 & 13 DSGVO	Veraltete Transparenz
Seite `/cookiebeleid` liefert HTTP 404	Art. 129 GEK	Informationspflicht verletzt
Social-Embeds (Facebook, Instagram, YouTube, TikTok, Twitter/X, Bluesky, Calaméo) auf der öffentlichen Seite	Art. 129 GEK	Tracking vor Einwilligung
Kein `Strict-Transport-Security`, `Content-Security-Policy`, `Referrer-Policy` oder `Permissions-Policy` auf brussel.be	Art. 32 DSGVO	Keine Tiefenverteidigung
Portal lädt Microsoft Azure Application Insights	`dc.services.visualstudio.com` — Übermittlung an US-Auftragsverarbeiter	Kap. V DSGVO, nicht offengelegt
Externer Auftragsverarbeiter cityenforcement; Vertrag nicht öffentlich	Art. 28(3) DSGVO — DSB 29. Sept. 2023	Rückwirkende Verträge ungültig
Kein DPIA für ANPR / Scan-Fahrzeuge veröffentlicht	Art. 35 DSGVO — DSB 129/2023, 56/2026	Hochrisiko-Verarbeitung ohne Bewertung
Das Portal verfügt hingegen über starke Sicherheits-Header (CSP, HSTS preload, Referrer-Policy, Permissions-Policy)	Art. 32 DSGVO	Positiv

2. Verletzte DSGVO-Artikel (Zusammenfassung)

Artikel 12 & 13 DSGVO — Transparenz und Informationspflicht

Indem das Formular als „anonym“ bezeichnet wird, während Kennzeichen und Protokollnummer erhoben werden, wird die betroffene Person in die Irre geführt. Ein Kennzeichen ist ein personenbezogenes Datum (Art. 4(1) DSGVO).

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Verkehrsbefugnisse genügen nach der DSB-Entscheidung 56/2026 nicht als Rechtsgrundlage für die Übermittlung von Kennzeichen oder den Einsatz von ANPR ohne spezifische Rechtsgrundlage und DPIA.

Artikel 28(3) DSGVO — Auftragsverarbeitung

Die DSB (29. Sept. 2023) hat rückwirkende Auftragsverarbeitungsverträge für ungültig erklärt. Der Vertrag mit cityenforcement muss vor der Verarbeitung bestehen und öffentlich sein.

Artikel 32 DSGVO / Art. 129 GEK — Sicherheit und Cookies

Das Fehlen von HSTS/CSP/Referrer-Policy/Permissions-Policy auf brussel.be, kombiniert mit einer 404-Cookie-Seite und Social-Trackern, die vor der Einwilligung geladen werden, bildet eine strukturelle Verletzung.

3. Online-Formulare — Sicherheit

Feststellung	Detail	Risiko
Das Portal nutzt HSTS + preload	`max-age=31536000; includeSubDomains; preload`	Positiv
Das Portal hat eine strikte CSP (`default-src 'none'`) mit `form-action` beschränkt auf self + Worldline-Zahlung	Gute Tiefenverteidigung; Zahlung über `payment-webinit.sips-services.com`	Positiv
Das Portal ist eine SPA	Formular clientseitig gerendert; Audit erfordert Laufzeit-DevTools	Informativ
Microsoft-Azure-Telemetrie im Portal	`dc.services.visualstudio.com` — Übermittlung an Microsoft	Kap. V DSGVO
brussel.be ohne HSTS/CSP/Referrer-Policy/Permissions-Policy	Session-Cookie `cookiesession1` ohne dokumentierte `Secure`- oder `SameSite`-Attribute	Art. 32 DSGVO

4. Empfohlene Verteidigungsmittel

Hinweis auf den tatsächlichen Widerspruch zwischen Anonymitätsbehauptung und Erhebung von Kennzeichen + PV-Nr.
Berufung auf die DSB-Entscheidungen 56/2026 und 129/2023.
Vorlage der DPIA für ANPR/Scan-Fahrzeuge und eines gültigen Auftragsverarbeitungsvertrags mit cityenforcement verlangen.
Beschwerde bei der Datenschutzbehörde (Drukpersstraat 35, 1000 Brüssel) möglich.

Hinweis: Prüfung am 17. April 2026. Die angefochtene Maßnahme ist eine Parkretribution (keine GAS-Geldbuße, keine Strafgeldbuße). Retributionen fallen vollständig unter die DSGVO und können sich nicht auf die Ausnahmen der Richtlinie 2016/680 (Strafverfolgung) berufen.

Laden Sie diese Analyse als PDF-Anlage für Ihren Einspruch herunter:

Province de Hainaut / Provincie Henegouwen Analyse verfügbar

Verantwortlicher: Province de Hainaut — Bureau provincial des Amendes Administratives — Avenue Général de Gaulle 102, 7000 Mons — Website: www.hainaut.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Province de Hainaut / Provincie Henegouwen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.hainaut.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS `max-age=15552000` (~180 Tage) ohne `includeSubDomains` oder preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
CSP nur `frame-ancestors 'self'` — keine vollständige Richtlinie	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn, TikTok, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
tarteaucitron.io (zertifizierte CMP) — gleichrangiger Ablehnen-Button	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Hinweis: Prüfung am 17. April 2026 der öffentlichen Startseite. Die angefochtene Sanktion ist eine Parkretribution oder GAS-Geldbuße, die vollständig unter die DSGVO fällt. Sie können die Feststellungen selbst über die DevTools Ihres Browsers überprüfen.

Province de Liège / Provincie Luik Analyse verfügbar

Verantwortlicher: Province de Liège — Fonctionnaires sanctionnateurs provinciaux — Rue Ernest Solvay 11, 4000 Liège — Website: www.provincedeliege.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Province de Liège / Provincie Luik durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.provincedeliege.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Drupal 7 — End-of-Life seit Januar 2025, nicht mehr gewartet	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook Pixel (`facebook.net/fbevents.js` + `/tr?id=...`) — direkte US-Übermittlung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Veraltete Google Analytics `ga.js`-Bibliothek — seit 2023 von Google abgekündigt	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, YouTube, Bluesky-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
tarteaucitron.io (zertifizierte CMP) — gleichrangiger Ablehnen-Button	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Province de Namur / Provincie Namen Analyse verfügbar

Verantwortlicher: Province de Namur — Bureau des amendes administratives — Rue Henri Blès 190C, 5000 Namur — Website: www.province.namur.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Province de Namur / Provincie Namen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.province.namur.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS `max-age=15552000` (~180 Tage) ohne `includeSubDomains` oder preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein `X-Frame-Options`-Header (Clickjacking-Risiko)	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `X-Content-Type-Options: nosniff`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
jQuery über `ajax.googleapis.com` (Google CDN) — US-Übermittlung ohne lokalen Proxy	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Custom-Cookie-Banner (nicht IAB-zertifiziert) — Ablehnen-Button vorhanden, Formulierung nicht standardisiert	Art. 129 WEC / LCE / GEK / ECA	Informativ

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Province de Luxembourg / Provincie Luxemburg Analyse verfügbar

Verantwortlicher: Province de Luxembourg — Service des amendes administratives — Place Léopold 1, 6700 Arlon — Website: www.province.luxembourg.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Province de Luxembourg / Provincie Luxemburg durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.province.luxembourg.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS `max-age=63072000` (2 Jahre) + `includeSubDomains` + `preload` — ausgezeichnet	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Hotjar Session-Replay-Tracker — Verhaltensanalyse, Tastatur- und Maus-Aufzeichnung	Art. 129 WEC / LCE / GEK / ECA + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
tarteaucitron.io (zertifizierte CMP) — gleichrangiger Ablehnen-Button	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Province du Brabant wallon / Provincie Waals-Brabant Analyse verfügbar

Verantwortlicher: Province du Brabant wallon — Fonctionnaire sanctionnateur — Place du Brabant wallon 1, 1300 Wavre — Website: www.brabantwallon.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Province du Brabant wallon / Provincie Waals-Brabant durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.brabantwallon.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein `X-Content-Type-Options: nosniff`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Keine externen Tracker auf der Startseite — positiv	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Facebook, Instagram, Twitter/X, LinkedIn, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Mechelen Analyse verfügbar

Verantwortlicher: Stad Mechelen — Grote Markt 21, 2800 Mechelen — Website: www.mechelen.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Mechelen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.mechelen.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein `X-Frame-Options`-Header (Clickjacking-Risiko)	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Matomo Cloud Analytics — einwilligungsgebunden, `disableCookies` + `setDoNotTrack`	Art. 5(1)(c) + Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Cookiesjsr-CMP (Drupal-Modul) — gleichrangiger Ablehnen-Button	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville d'Arlon Analyse verfügbar

Verantwortlicher: Ville d'Arlon — Rue Paul Reuter 8, 6700 Arlon — Website: www.arlon.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville d'Arlon durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.arlon.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS `max-age=31536000; includeSubDomains` (1 Jahr, ohne `preload`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Permissions-Policy`-Header (Sensoren/Geolocation nicht beschränkt)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
iA.Smartweb `@@accept_or_refuse_all` — drei gleichrangige Buttons	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node Analyse verfügbar

Verantwortlicher: Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node — Avenue de l'Astronomie 13, 1210 Saint-Josse-ten-Noode — Website: www.sjtn.brussels.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.sjtn.brussels durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Drupal 7 (End-of-Life seit 5. Januar 2025) — nicht mehr gewartet	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Schwache `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Analytics (GA4) + `analytics.js` laden vor der Einwilligung	Art. 129 WEC / LCE / GEK / ECA + Art. 6 AVG	Verstoß
Mapbox-`accessToken` fest in der Seite (Datenübermittlung in die USA)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
jQuery 2.2.4 via CDN `code.jquery.com` (veraltete Bibliothek, externer CDN)	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
`eu_cookie_compliance`-Banner vorhanden, aber dekorativ (Tracker werden dennoch geladen)	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Provincie Vlaams-Brabant / Province du Brabant flamand Analyse verfügbar

Verantwortlicher: Provincie Vlaams-Brabant — Provincieplein 1, 3010 Leuven — Website: www.vlaamsbrabant.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Provincie Vlaams-Brabant / Province du Brabant flamand durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.vlaamsbrabant.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS vorhanden, aber `max-age` < 1 Jahr — unter der empfohlenen Dauer	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
CSP vorhanden, aber zu permissiv (`'unsafe-inline' 'unsafe-eval' https:`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Matomo Cloud Analytics (EU-gehostet) — akzeptabel, keine US-Übermittlung	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Drupal EU Cookie Compliance — Custom-CMP, Ablehnen-Button vorhanden	Art. 129 WEC / LCE / GEK / ECA	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Provincie Oost-Vlaanderen / Province de Flandre-Orientale Analyse verfügbar

Verantwortlicher: Provincie Oost-Vlaanderen — Gouvernementstraat 1, 9000 Gent — Website: oost-vlaanderen.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Provincie Oost-Vlaanderen / Province de Flandre-Orientale durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf oost-vlaanderen.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Matomo Cloud Analytics (EU-gehostet) — akzeptabel, keine US-Übermittlung	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Twitter, Instagram, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Custom-Cookie-Banner ohne gleichrangigen „Alles ablehnen“-Button	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Provincie Limburg / Province de Limbourg Analyse verfügbar

Verantwortlicher: Provincie Limburg — Universiteitslaan 1, 3500 Hasselt — Website: www.limburg.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Provincie Limburg / Province de Limbourg durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.limburg.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
CSP nur als `report-uri` (Report-only) — keine effektive Mitigation	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Schwache `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Piwik PRO Analytics auf eigener Container-URL — EU-Hosting üblich, aber DPA prüfen	Art. 5(1)(c) + Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Informativ
Facebook, Instagram, LinkedIn, X-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Ieper Analyse verfügbar

Verantwortlicher: Stad Ieper (KBO 0207.518.630) — Grote Markt 34, 8900 Ieper — Website: www.ieper.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Ieper durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.ieper.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Eeklo Analyse verfügbar

Verantwortlicher: Stad Eeklo (KBO 0207.461.616) — Industrielaan 2, 9900 Eeklo — Website: www.eeklo.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Eeklo durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.eeklo.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Halle Analyse verfügbar

Verantwortlicher: Stad Halle (KBO 0207.528.640) — Oudstrijdersplein 18, 1500 Halle — Website: www.halle.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Halle durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.halle.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
HSTS 2 Jahre + `includeSubDomains` + `preload` — starke Konfiguration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Tienen Analyse verfügbar

Verantwortlicher: Stad Tienen (KBO 0207.537.929) — Grote Markt 27, 3300 Tienen — Website: www.tienen.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Tienen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.tienen.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS 2 Jahre + `includeSubDomains` + `preload` — starke Konfiguration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Dinant Analyse verfügbar

Verantwortlicher: Ville de Dinant (BCE 0207.360.125) — Rue Grande 112, 5500 Dinant — Website: www.dinant.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Dinant durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.dinant.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS 2 Jahre + `includeSubDomains` + `preload` — starke Konfiguration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Wavre Analyse verfügbar

Verantwortlicher: Ville de Wavre (BCE 0207.381.392) — Place de l'Hôtel de Ville, 1300 Wavre — Website: www.wavre.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Wavre durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.wavre.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
`calameo.com`-Dokumenteinbettung — externer Tracker	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Facebook, Instagram, LinkedIn, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Huy Analyse verfügbar

Verantwortlicher: Ville de Huy (BCE 0207.348.088) — Grand-Place 1, 4500 Huy — Website: www.huy.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Huy durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.huy.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville d'Ath Analyse verfügbar

Verantwortlicher: Ville d'Ath (BCE 0207.362.500) — Rue de Pintamont 54, 7800 Ath — Website: www.ath.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville d'Ath durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.ath.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, Instagram, Vimeo, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Waterloo Analyse verfügbar

Verantwortlicher: Commune de Waterloo (BCE 0216.694.712) — Rue François Libert 28, 1410 Waterloo — Website: www.waterloo.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Waterloo durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.waterloo.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, Twitter, Vimeo-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Deinze Analyse verfügbar

Verantwortlicher: Stad Deinze (KBO 0207.489.352) — Brielstraat 2, 9800 Deinze — Website: www.deinze.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Deinze durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.deinze.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Ixelles / Gemeente Elsene Analyse verfügbar

Verantwortlicher: Commune d'Ixelles (BCE 0207.387.826) — Chaussée d'Ixelles 168, 1050 Ixelles — Website: www.ixelles.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Ixelles / Gemeente Elsene durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden auf www.ixelles.be (Startseite) und elsene.be/site/23-Algemeen-politiereglement (Polizeiordnung, 19. April 2026) durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Ausdrückliche Rechtsgrundlage auf `elsene.be/site/23` angegeben (Gesetz vom 24. Juni 2013, Art. 19/1 und 27)	Art. 6 + 5(2) DSGVO	✓ Konform
Aufbewahrungsfrist veröffentlicht: max. 5 Jahre; 6 Monate ohne Bußgeld	Art. 13(2)(a) DSGVO	✓ Konform
DSB-Kontakt öffentlich: `dpo@elsene.brussels`	Art. 37(7) DSGVO	✓ Konform
Polizeiordnungs-Seite (`elsene.be/site/23`) ohne externe Tracker	Art. 129 GEK	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Uccle / Gemeente Ukkel Analyse verfügbar

Verantwortlicher: Commune d'Uccle (BCE 0207.393.074) — Place Jean Vander Elst 29, 1180 Uccle — Website: www.uccle.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Uccle / Gemeente Ukkel durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.uccle.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, Instagram, LinkedIn, Twitter-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Forest / Gemeente Vorst Analyse verfügbar

Verantwortlicher: Commune de Forest (BCE 0207.387.529) — Rue du Curé 2, 1190 Forest — Website: www.forest.brussels.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Forest / Gemeente Vorst durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.forest.brussels durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Jette / Gemeente Jette Analyse verfügbar

Verantwortlicher: Commune de Jette (BCE 0207.389.804) — Chaussée de Wemmel 100, 1090 Jette — Website: www.jette.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Jette / Gemeente Jette durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.jette.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Korrekte `Referrer-Policy: same-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Minimale Drittintegration (keine Social-Embeds auf der Startseite)	Art. 5(1)(c) + Art. 129 WEC	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Koekelberg / Gemeente Koekelberg Analyse verfügbar

Verantwortlicher: Commune de Koekelberg (BCE 0207.387.727) — Place Henri Vanhuffel 6, 1081 Koekelberg — Website: www.koekelberg.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Koekelberg / Gemeente Koekelberg durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.koekelberg.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Server-Banner `Microsoft-IIS/10.0` (Versionsleck)	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google reCAPTCHA vorhanden (US-Auftragsverarbeiter, nicht offengelegt)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem Analyse verfügbar

Verantwortlicher: Commune de Berchem-Sainte-Agathe (BCE 0207.386.240) — Avenue du Roi Albert 33, 1082 Berchem-Sainte-Agathe — Website: www.1082.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.1082.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Ausführlicher Server-Banner (`Apache/2.4.62 (Win64) OpenSSL/3.1.7 PHP/8.3.14 mod_fcgid/2.3.10-dev`) — großes Versionsleck	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Cookieyes als CMP — positiv	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde Analyse verfügbar

Verantwortlicher: Commune de Watermael-Boitsfort (BCE 0207.393.470) — Place Antoine Gilson 1, 1170 Watermael-Boitsfort — Website: www.watermael-boitsfort.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.watermael-boitsfort.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Referrer-Policy`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Evere / Gemeente Evere Analyse verfügbar

Verantwortlicher: Commune d'Evere (BCE 0207.384.064) — Square Hoedemaekers 10, 1140 Evere — Website: www.evere.brussels.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Evere / Gemeente Evere durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.evere.brussels durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Ganshoren / Gemeente Ganshoren Analyse verfügbar

Verantwortlicher: Commune de Ganshoren (BCE 0207.387.826) — Avenue Charles-Quint 140, 1083 Ganshoren — Website: www.ganshoren.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Ganshoren / Gemeente Ganshoren durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.ganshoren.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Auderghem / Gemeente Oudergem Analyse verfügbar

Verantwortlicher: Commune d'Auderghem (BCE 0207.386.438) — Rue Emile Idiers 12, 1160 Auderghem — Website: www.auderghem.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Auderghem / Gemeente Oudergem durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.auderghem.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe Analyse verfügbar

Verantwortlicher: Commune de Woluwe-Saint-Lambert (BCE 0207.397.034) — Avenue Paul Hymans 2, 1200 Woluwe-Saint-Lambert — Website: www.woluwe1200.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.woluwe1200.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe Analyse verfügbar

Verantwortlicher: Commune de Woluwe-Saint-Pierre (BCE 0207.395.153) — Avenue Charles Thielemans 93, 1150 Woluwe-Saint-Pierre — Website: www.woluwe1150.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.woluwe1150.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Nur partielle CSP (nur `frame-ancestors`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google reCAPTCHA vorhanden (US-Auftragsverarbeiter, nicht offengelegt)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
5 Facebook-Embeds auf der öffentlichen Startseite	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Anderlecht / Gemeente Anderlecht Analyse verfügbar

Verantwortlicher: Commune d'Anderlecht (BCE 0207.393.470) — Place du Conseil 1, 1070 Anderlecht — Website: www.anderlecht.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Anderlecht / Gemeente Anderlecht durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.anderlecht.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Schaerbeek / Gemeente Schaarbeek Analyse verfügbar

Verantwortlicher: Commune de Schaerbeek (BCE 0207.377.988) — Place Colignon, 1030 Schaerbeek — Website: www.1030.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Schaerbeek / Gemeente Schaarbeek durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.1030.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek Analyse verfügbar

Verantwortlicher: Commune de Molenbeek-Saint-Jean (BCE 0207.391.193) — Rue du Comte de Flandre 20, 1080 Molenbeek-Saint-Jean — Website: www.molenbeek.irisnet.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.molenbeek.irisnet.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
7 Facebook-Embeds auf der öffentlichen Startseite	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Twitter, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Commune d'Etterbeek Analyse verfügbar

Verantwortlicher: Commune d'Etterbeek (BCE 0207.383.274) — Avenue d'Auderghem 113-117, 1040 Etterbeek — Website: etterbeek.brussels.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Commune d'Etterbeek durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf etterbeek.brussels durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Turnhout Analyse verfügbar

Verantwortlicher: Stad Turnhout (KBO 0207.537.434) — Campus Blairon 200, 2300 Turnhout — Website: www.turnhout.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Turnhout durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.turnhout.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
HSTS mit `max-age=63072000` (2 Jahre) + `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Google reCAPTCHA vorhanden (US-Auftragsverarbeiter, nicht offengelegt)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, Instagram, LinkedIn, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Beringen Analyse verfügbar

Verantwortlicher: Stad Beringen (KBO 0207.525.461) — Mijnschoolstraat 88, 3580 Beringen — Website: www.beringen.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Beringen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.beringen.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Lommel Analyse verfügbar

Verantwortlicher: Stad Lommel (KBO 0207.519.026) — Hertog Janplein 1, 3920 Lommel — Website: www.lommel.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Lommel durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.lommel.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Geel Analyse verfügbar

Verantwortlicher: Stad Geel (KBO 0207.524.966) — Werft 20, 2440 Geel — Website: www.geel.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Geel durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.geel.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Strenge Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Facebook, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Mouscron Analyse verfügbar

Verantwortlicher: Ville de Mouscron (BCE 0207.356.899) — Grand-Place 1, 7700 Mouscron — Website: www.mouscron.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Mouscron durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.mouscron.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Facebook-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Kortrijk Analyse verfügbar

Verantwortlicher: Stad Kortrijk (KBO 0207.494.678) — Grote Markt 54, 8500 Kortrijk — Website: www.kortrijk.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Kortrijk durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.kortrijk.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram, LinkedIn, WhatsApp, TikTok-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Google Maps (`maps.googleapis.com`) — US-Auftragsverarbeiter	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Oostende Analyse verfügbar

Verantwortlicher: Stad Oostende (KBO 0207.473.295) — Vindictivelaan 1, 8400 Oostende — Website: www.oostende.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Oostende durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.oostende.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Sint-Niklaas Analyse verfügbar

Verantwortlicher: Stad Sint-Niklaas (KBO 0207.486.859) — Grote Markt 1, 9100 Sint-Niklaas — Website: www.sint-niklaas.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Sint-Niklaas durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.sint-niklaas.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Verwendung von Cookiebot als CMP — positiv	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, LinkedIn, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Aalst Analyse verfügbar

Verantwortlicher: Stad Aalst (KBO 0207.449.148) — Grote Markt 3, 9300 Aalst — Website: aalst.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Aalst durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf aalst.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook, Instagram, YouTube, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Genk Analyse verfügbar

Verantwortlicher: Stad Genk (KBO 0207.522.491) — Stadsplein 1, 3600 Genk — Website: www.genk.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Genk durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.genk.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur partielle Content-Security-Policy (nur `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Korrekte `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
`Permissions-Policy`-Header vorhanden — beschränkt Sensoren/Geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Verwendet Matomo (datenschutzfreundlicher als Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
Facebook, Twitter, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Roeselare Analyse verfügbar

Verantwortlicher: Stad Roeselare (KBO 0207.490.219) — Botermarkt 2, 8800 Roeselare — Website: www.roeselare.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Roeselare durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.roeselare.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
HSTS mit `includeSubDomains` und `preload` — starke Konfiguration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (US-Übermittlung)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Google Fonts (`fonts.googleapis.com`) — US-Übermittlung ohne Offenlegung	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Tournai Analyse verfügbar

Verantwortlicher: Ville de Tournai (BCE 0207.352.297) — Rue Saint-Martin 52, 7500 Tournai — Website: www.tournai.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Tournai durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.tournai.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Schwache `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
`calameo.com`-Dokumenteinbettung — externer Tracker	Art. 129 WEC / LCE / GEK / ECA	Verstoß
Facebook, Instagram, YouTube, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de La Louvière Analyse verfügbar

Verantwortlicher: Ville de La Louvière (BCE 0207.382.086) — Place Communale 1, 7100 La Louvière — Website: www.lalouviere.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de La Louvière durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.lalouviere.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
HSTS mit `max-age=31536000` (1 Jahr) ohne `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informativ
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Seraing Analyse verfügbar

Verantwortlicher: Ville de Seraing (BCE 0207.335.221) — Place Communale 8, 4100 Seraing — Website: www.seraing.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Seraing durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.seraing.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Schwache `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
tarteaucitron als CMP — positiv, europäische Alternative	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Facebook, Instagram, YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Verviers Analyse verfügbar

Verantwortlicher: Ville de Verviers (BCE 0207.356.048) — Place du Marché 55, 4800 Verviers — Website: www.verviers.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Verviers durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.verviers.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Facebook, YouTube, LinkedIn-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Liège Analyse verfügbar

Verantwortlicher: Ville de Liège (BCE 0207.343.238) — Place du Marché 2, 4000 Liège — Website: www.liege.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Liège durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.liege.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `X-Content-Type-Options: nosniff`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Verwendung der `youtube-nocookie.com`-Variante — positive Wahl	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Facebook- und Instagram-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Namur Analyse verfügbar

Verantwortlicher: Ville de Namur (BCE 0207.341.854) — Hôtel de Ville, 5000 Namur — Website: www.namur.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Namur durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.namur.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Referrer-Policy`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Google Fonts (`fonts.googleapis.com`) — Übermittlung an Google US	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Verstoß
Facebook-, Twitter- und YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Mons Analyse verfügbar

Verantwortlicher: Ville de Mons (BCE 0207.272.119) — Grand-Place 22, 7000 Mons — Website: www.mons.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Mons durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.mons.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein `Referrer-Policy`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
HSTS mit `includeSubDomains` (1 Jahr) — solide Basis	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Konform
Facebook- und YouTube-Embeds vorhanden	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Ville de Charleroi Analyse verfügbar

Verantwortlicher: Ville de Charleroi (BCE 0207.362.105) — Place Charles II 14-15, 6000 Charleroi — Website: www.charleroi.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Ville de Charleroi durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.charleroi.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Kein Content-Security-Policy-Header	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Schwache `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß
Server-Versionsleck in `Server: Apache/2.4.66 (Debian)`	Art. 32 AVG / RGPD / DSGVO / GDPR	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Antwerpen Analyse verfügbar

Verantwortlicher: Stad Antwerpen (KBO 0207.500.123) — Dienst Mobiliteit & Parkeren — Grote Markt 1, 2000 Antwerpen — Website: www.antwerpen.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Antwerpen durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.antwerpen.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Die Content-Security-Policy enthält eine ungültige Direktive (`undefined`)	Art. 32 AVG / GDPR / DSGVO	Verstoß
HSTS mit `max-age=15552000` (180 Tage) ohne `preload`	Art. 32 AVG / GDPR / DSGVO	Informativ
Google Tag Manager lädt Google Analytics zur Laufzeit	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook- und Twitter-Embeds auf jeder Seite geladen	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Gent Analyse verfügbar

Verantwortlicher: Stad Gent (KBO 0207.451.227) — Botermarkt 1, 9000 Gent — Website: stad.gent.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Gent durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf stad.gent durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Starke Sicherheits-Header: HSTS 2 Jahre mit `preload`, CSP `default-src 'self'`	Art. 32 AVG / GDPR / DSGVO	✓ Konform
Verwendung von Cookiebot als CMP — positiv, im Einklang mit DSB-Leitlinien	Art. 129 WEC / LCE / GEK / ECA	✓ Konform
Social-Embeds (Facebook, Instagram, YouTube, TikTok, LinkedIn, Threads) vorhanden — die Einwilligungssperre muss im Einzelfall geprüft werden	Art. 129 WEC / LCE / GEK / ECA	Informativ
Google Tag Manager vorhanden (lädt weitere Tracker erst nach Einwilligung über Cookiebot)	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Informativ

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Brugge Analyse verfügbar

Verantwortlicher: Stad Brugge (KBO 0207.528.035) — Burg 12, 8000 Brugge — Website: www.brugge.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Brugge durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.brugge.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein Content-Security-Policy-Header	Art. 32 AVG / GDPR / DSGVO	Verstoß
Verwendet Matomo statt Google Analytics — datenschutzfreundlicher	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Konform
HSTS mit `max-age=31557600` (1 Jahr) ohne `includeSubDomains` oder `preload`	Art. 32 AVG / GDPR / DSGVO	Informativ
Facebook-, Instagram-, LinkedIn- und YouTube-Embeds werden geladen	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Leuven Analyse verfügbar

Verantwortlicher: Stad Leuven (KBO 0207.475.077) — Professor Van Overstraetenplein 1, 3000 Leuven — Website: www.leuven.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Leuven durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.leuven.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / GDPR / DSGVO	Verstoß
Kein `Content-Security-Policy`-Header	Art. 32 AVG / GDPR / DSGVO	Verstoß
Google Tag Manager lädt Google Analytics zur Laufzeit (Übermittlung an Google US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Verstoß
Facebook-, Instagram- und LinkedIn-Embeds werden geladen	Art. 129 WEC / LCE / GEK / ECA	Verstoß

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

Stad Hasselt Analyse verfügbar

Verantwortlicher: Stad Hasselt (KBO 0207.476.069) — Groenplein 1, 3500 Hasselt — Website: www.hasselt.be.

Diese Anlage dient dazu, den Einspruch gegen eine Sanktion oder Retribution der Stad Hasselt durch eine technische Darstellung zu ergänzen. Die Feststellungen wurden am 17. April 2026 auf www.hasselt.be durchgeführt und zeigen Mängel in Bezug auf DSGVO, ePrivacy und Sicherheit der Verarbeitung.

1. Festgestellte Mängel

Feststellung	Rechtsgrundlage	Risiko
Nur eine partielle Content-Security-Policy (nur `frame-ancestors`)	Art. 32 AVG / GDPR / DSGVO	Verstoß
Kein `Strict-Transport-Security`-Header	Art. 32 AVG / GDPR / DSGVO	Verstoß
Google Fonts (`fonts.gstatic.com`, `fonts.googleapis.com`) — Übermittlung in die USA ohne Offenlegung	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Verstoß
Drupal-Plattform — form_build_id-CSRF-Schutz standardmäßig vorhanden	Art. 32 AVG / GDPR / DSGVO	✓ Konform

2. Rechtliche Würdigung

Artikel 5(1)(a) DSGVO — Transparenz

Personen müssen transparent und fair über die Verarbeitung informiert werden; fehlende oder unrichtige technische Sicherheit beeinträchtigt diese Pflicht.

Artikel 6 DSGVO — Rechtsgrundlage

Allgemeine kommunale Befugnisse genügen nach der DSB-Entscheidung 56/2026 (Dilbeek) nicht ohne Weiteres als Rechtsgrundlage für Datenübermittlung oder ANPR-Einsatz.

Kapitel V DSGVO — Übermittlungen

Der Einsatz US-amerikanischer Auftragsverarbeiter (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) impliziert eine US-Übermittlung, die ohne geeignete Garantie (Kap. V DSGVO) rechtswidrig ist.

Artikel 32 DSGVO — Sicherheit

Das Fehlen geeigneter technischer Maßnahmen (HSTS, CSP, Referrer-Policy) ist für eine öffentliche Plattform, die personenbezogene Daten verarbeitet, nicht mit Art. 32 DSGVO vereinbar.

Artikel 129 GEK — ePrivacy

Nicht wesentliche Cookies, Social-Embeds und andere Tracker erfordern eine vorherige, informierte, spezifische und granulare Einwilligung; ein Verweis auf Browsereinstellungen genügt nicht.

3. Empfohlene Verteidigungsmittel

die angefochtene Sanktion wegen rechtswidriger Datenverarbeitung aufgehoben oder abgeändert wird;
die festgestellten technischen Mängel zu Protokoll genommen werden;
hilfsweise, dass eine neue Prüfung auf Grundlage rechtmäßig erhobener Daten erfolgt;
der betroffenen Person das Recht erhalten bleibt, Beschwerde bei der Datenschutzbehörde einzureichen;
ein Vorbehalt des Schadenersatzanspruchs nach Art. 82 DSGVO protokolliert wird.

GAS Rivierenland Analysis available

Website: gasrivierenland.be — Seat: Grote Markt 21, 2800 Mechelen.

Member municipalities (15): Berlaar, Bonheiden, Boortmeerbeek, Bornem, Duffel, Heist-op-den-Berg, Herent, Kortenberg, Lier, Mechelen, Nijlen, Putte, Puurs-Sint-Amands, Sint-Katelijne-Waver, Willebroek.

1. Identified GDPR and ePrivacy violations

A technical audit of gasrivierenland.be and its linked privacy and cookie pages reveals multiple shortcomings against the GDPR, the Belgian Law of 30 July 2018, and the Electronic Communications Act (art. 129 ECA).

Finding	Legal basis	Risk
No cookie banner on first visit	Art. 129 ECA — prior consent required	ePrivacy breach
YouTube tracking cookies (`YSC`, `PREF` 10 years, `VISITOR_INFO1_LIVE` 240 days) without consent	Art. 129 ECA + Art. 6 GDPR	Persistent third-party tracking
“Refuse via browser settings” as consent mechanism	Belgian DPA guidelines 2023 — not valid	Invalid consent model
Privacy policy last updated 30/12/2019	Art. 5(2) GDPR — accountability	Outdated documentation
No published DPO contact	Art. 37 & 38 GDPR — mandatory for public authorities	Formal non-compliance
Broken internal privacy link (/jouw-privacy → HTTP 410)	Art. 12 GDPR — transparency	Duty to inform violated
Form collects national registry number without notice at point of collection	Art. 13 GDPR + Law 8 Aug 1983	High-risk processing
No mention of right to complain to the DPA	Art. 13(2)(d) GDPR	Data subject not informed
No retention periods stated	Art. 13(2)(a) GDPR	Indefinite storage possible
No information on international transfers (YouTube → Google US)	Art. 13(1)(f) + Ch. V GDPR	Incomplete transparency
No specific provision for minors	Art. 8 GDPR	Specific protection missing

2. GDPR articles violated (summary)

Article 5(1)(a) — Transparency

The 2019 privacy policy does not cover current processing activities.

Article 13 — Duty to inform

At the point of collection (forms for “other driver”, contestation, etc.) no dedicated privacy notice is shown.

Articles 37 & 38 — DPO

As a public authority, GAS Rivierenland is required to appoint a DPO and publish their contact details.

Article 129 ECA / ePrivacy — Cookies

Non-essential cookies are placed without prior, informed, granular consent. No reject button, no category split.

3. Online forms — security

Findings from a technical audit of the contestation form /snelheidsboete/andere-bestuurder and the landing page (April 2026).

Finding	Detail	Risk
No CSRF token on the POST contestation form	Present hidden inputs (`pageNumber`, `__formName`, `MAX_FILE_SIZE`, `g-recaptcha-response`, ...) do not include any anti-CSRF token	Cross-Site Request Forgery possible
Google reCAPTCHA on the form	Field `g-recaptcha-response` + loading of `www.google.com/recaptcha`; transfer to Google US	Not disclosed in the privacy statement — art. 13 + Ch. V GDPR
Multiple US CDNs on the form page	`fonts.googleapis.com`, `fonts.gstatic.com`, `cdnjs.cloudflare.com`, `maxcdn.bootstrapcdn.com`, `cdn.tiny.cloud`	International transfer (US) undisclosed
No Content-Security-Policy response header	The server sends no CSP	No defence in depth against XSS / injection
National registry number as `<input type="text">`	Without `autocomplete="off"` on this sensitive field	Browser caching; art. 32 GDPR
HSTS present (1 year, includeSubDomains)	Positive; no `preload`, but a solid base	OK

4. Recommended defence arguments

Invoke Article 82 GDPR (right to compensation) when unlawfully processed data is used.
Argue that the controller itself fails to meet its duty to inform, which affects the lawfulness of the processing.
Complaint possible with the Data Protection Authority (www.dataprotectionauthority.be).

Note: Analysis based on a public audit of gasrivierenland.be (April 2026). You can verify the findings yourself via your browser's DevTools.

Download this analysis as a PDF attachment for your contestation:

Haviland (Halle-Vilvoorde) Analysis available

Website: haviland.be — Data controller: Haviland Regiopartners, Poverstraat 75 bus 47, 1731 Asse — Information security contact: informatieveiligheid@haviland.be.

Member municipalities (23): Affligem, Asse, Beersel, Dilbeek, Grimbergen, Kampenhout, Kapelle-op-den-Bos, Lennik, Liedekerke, Londerzeel, Machelen, Meise, Merchtem, Opwijk, Pepingen, Roosdaal, Sint-Pieters-Leeuw, Steenokkerzeel, Ternat, Vilvoorde, Wemmel, Zaventem, Zemst. Not every municipality participates in every GAS category (GAS 1-2-3, blue zone, GAS 4, GAS 5).

1. Identified GDPR and ePrivacy violations

A technical audit of haviland.be on 17 April 2026 reveals the following shortcomings against the GDPR, the Belgian Law of 30 July 2018, and art. 129 of the Electronic Communications Act.

Finding	Legal basis	Risk
Triple analytics stack: Google Analytics (`_ga`, `_gat`, `_gid`), Hotjar (`_hjid`) and Matomo (`_pk_id`, `_pk_ses`, ...) all active at once	Art. 5(1)(c) GDPR — proportionality & data minimisation	Excessive processing
Direct contradiction: the privacy statement declares “no data outside the EU”, while Google Analytics and Hotjar transfer to the United States	Art. 5(1)(a) GDPR — transparency & accuracy; Ch. V GDPR	False declaration / transparency breach
AddThis cookies (`__atuvc`, `__atuvs`) still listed — AddThis was shut down by Oracle in May 2023	Art. 5(2) GDPR — accountability	Outdated documentation
Universal Analytics cookies (`__utma`, `__utmb`, `__utmc`, `__utmz`) listed, while UA was phased out by Google on 1 July 2023	Art. 5(2) GDPR	Unmaintained documentation
No retention periods for any cookie	Art. 13(2)(a) GDPR	Potentially unlimited storage
No DPO name or e-mail published (only a generic `informatieveiligheid@` address)	Art. 37 & 38 GDPR	Formal non-compliance (public authority)
No certified CMP; no IAB TCF integration	Belgian DPA guidelines on cookies 2023	No auditable consent records
Reference to “browser settings” to withdraw consent	Belgian DPA opinion 2023 — not valid	Invalid withdrawal
No international transfer disclosure despite GA/Hotjar/YouTube usage (Google US transfer)	Art. 13(1)(f) + Ch. V GDPR	Incomplete transparency
No named processors (only categories “hosting/logistics/security”)	Art. 13(1)(e) GDPR	Missing recipient information

2. Key violations (summary)

Article 5(1)(a) — Transparency and accuracy

The privacy statement contains a factually incorrect claim: “Haviland Regiopartners does not share personal data with parties outside the EU”. This is incompatible with the use of Google Analytics, Hotjar and YouTube embeds, all of which transfer data to US processors.

Article 5(1)(c) — Data minimisation

Running three analytics systems in parallel (GA + Hotjar + Matomo) exceeds what is necessary by definition.

Article 129 ECA / ePrivacy — Cookies

Non-essential cookies are linked to a “pop-up”, but without granular category buttons, without a reject button on equal footing with accept, and without documented pre-tick status.

Articles 37 & 38 — DPO

Haviland is an inter-municipal body (public authority) and must appoint a DPO and publish their contact details. A generic informatieveiligheid@haviland.be address does not satisfy Article 37(7) GDPR.

3. Online forms — security

Findings from a technical audit of haviland.be/nl and haviland.be/nl/contact (April 2026). Note: the contact form is likely client-rendered (Paddle CMS); only the page wrapper is statically inspectable.

Finding	Detail	Risk
Social & tracking embeds load on every page (including the contact page)	Before any consent, the site loads `www.facebook.com`, `www.linkedin.com`, `www.youtube.com`, `www.googletagmanager.com` and `cdn.jsdelivr.net`	Art. 129 ECA + Ch. V GDPR (US transfer)
Google Tag Manager on every page	GTM loads Google Analytics at runtime — this explains the GA cookies listed, but simultaneously contradicts the “no data outside the EU” claim	Art. 5(1)(a) GDPR — transparency & accuracy
No Content-Security-Policy response header	The server sends no CSP	No defence in depth
Custom “cookieConsent” implementation (Drupal contrib / custom)	No IAB TCF integration; no granular categories visible in the markup	Belgian DPA 2023 guidelines not met
Drupal Form-API anti-CSRF (`form_build_id` + `form_id`)	Present on the search forms; standard Drupal protection	Positive
HSTS present (2 years, includeSubDomains)	Strong HSTS configuration	Positive

4. Recommended defence arguments

Point to the demonstrable contradiction between the privacy policy and the cookie statement — this affects the lawfulness of the processing (Art. 6 GDPR).
Invoke Article 82 GDPR (right to compensation) for unlawful use of tracking without valid consent.
Complaint possible with the Data Protection Authority and the Flemish Supervisory Commission (both cited in the policy itself).

Note: Audit performed on 17 April 2026 against the publicly available pages /nl/privacy, /nl/home/cookieverklaring and /nl/home/gas-overtredingen. The privacy policy was last updated 5 January 2026, yet the cookie list still contains trackers retired since 2023. You can verify the findings yourself via your browser's DevTools.

Download this analysis as a PDF attachment for your contestation:

City of Brussels / Stad Brussel / Ville de Bruxelles Analysis available

Website: brussel.be — Contestation portal: brucity.cityenforcement.com — Data controller: City of Brussels (KBO 0207.373.429), Hallenstraat 4, 1000 Brussels — DPO: dpo@brucity.be.

Member municipality: City of Brussels. Contestation deadline: 10 calendar days from receipt of the payment invitation. A contestation does not suspend the payment obligation; non-payment adds €15 in administrative costs.

1. Identified GDPR and ePrivacy violations

Audit on 17 April 2026 of the pages brussel.be/parkeren-bezwaar-tegen-retributie, brussel.be/wettelijke-vermeldingen and the portal brucity.cityenforcement.com.

Finding	Legal basis	Risk
“Anonymous” claim on the form while plate + report reference are collected	Art. 4(1), 12 & 13 GDPR — DPA decision 56/2026	Misleading the data subject
Privacy statement from 2020, no parking-enforcement specifics	Art. 5(2), 12 & 13 GDPR	Outdated transparency
Page `/cookiebeleid` returns HTTP 404	Art. 129 ECA	Duty to inform breached
Social embeds (Facebook, Instagram, YouTube, TikTok, Twitter/X, Bluesky, Calaméo) on the public page	Art. 129 ECA	Tracking before consent
No `Strict-Transport-Security`, `Content-Security-Policy`, `Referrer-Policy` or `Permissions-Policy` on brussel.be	Art. 32 GDPR	No defence in depth
Portal loads Microsoft Azure Application Insights	`dc.services.visualstudio.com` — transfer to a US processor	Ch. V GDPR, undisclosed
External processor cityenforcement; agreement not public	Art. 28(3) GDPR — DPA 29 Sept. 2023	Retroactive contracts are invalid
No DPIA published for ANPR / scan vehicles	Art. 35 GDPR — DPA 129/2023, 56/2026	High-risk processing without assessment
The portal does have strong security headers (CSP, HSTS preload, Referrer-Policy, Permissions-Policy)	Art. 32 GDPR	Positive

2. GDPR articles violated (summary)

Articles 12 & 13 GDPR — transparency and duty to inform

Labelling the form “anonymous” while collecting plate and report reference misleads the data subject. A licence plate is personal data (art. 4(1) GDPR).

Article 6 GDPR — legal basis

General municipal traffic competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for transferring plate data or deploying ANPR without a specific legal basis and a DPIA.

Article 28(3) GDPR — processor agreements

The DPA (29 Sept. 2023) held retroactive processor agreements invalid. The cityenforcement contract must exist prior to processing and be public.

Article 32 GDPR / art. 129 ECA — security and cookies

The absence of HSTS/CSP/Referrer-Policy/Permissions-Policy on brussel.be, combined with a 404 cookie page and social trackers loading before consent, constitutes a structural breach.

3. Online forms — security

Finding	Detail	Risk
The portal uses HSTS + preload	`max-age=31536000; includeSubDomains; preload`	Positive
The portal has a strict CSP (`default-src 'none'`) with `form-action` limited to self + Worldline payment	Good defence in depth; payment via `payment-webinit.sips-services.com`	Positive
The portal is a SPA	Form rendered client-side; audit requires runtime DevTools	Informational
Microsoft Azure telemetry on the portal	`dc.services.visualstudio.com` — transfer to Microsoft	Ch. V GDPR
brussel.be without HSTS/CSP/Referrer-Policy/Permissions-Policy	Session cookie `cookiesession1` with no documented `Secure` or `SameSite` attributes	Art. 32 GDPR

4. Recommended defence arguments

Point to the factual contradiction between the anonymity claim and the collection of plate + report reference.
Invoke DPA decisions 56/2026 and 129/2023.
Demand production of the DPIA for ANPR/scan vehicles and a valid processor agreement with cityenforcement.
Complaint possible with the Belgian Data Protection Authority (Drukpersstraat 35, 1000 Brussels).

Note: Audit on 17 April 2026. The contested measure is a parking retribution (not a GAS fine or a criminal fine). Retributions fall entirely under the GDPR and cannot invoke the exceptions of Directive 2016/680 (law-enforcement).

Download this analysis as a PDF attachment for your contestation:

Province de Hainaut / Provincie Henegouwen Analysis available

Data controller: Province de Hainaut — Bureau provincial des Amendes Administratives — Avenue Général de Gaulle 102, 7000 Mons — Website: www.hainaut.be.

This annex is intended to supplement the contestation of a sanction or retribution by Province de Hainaut / Provincie Henegouwen with a technical exposition. The findings were recorded on 17 April 2026 on www.hainaut.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS `max-age=15552000` (~180 days) without `includeSubDomains` or preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
CSP only `frame-ancestors 'self'` — no full content policy	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No `Permissions-Policy` header (sensors/geolocation unrestricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn, TikTok, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
tarteaucitron.io (certified CMP) — reject-all on equal footing	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Note: Audit on 17 April 2026 of the public landing page. The contested measure is a parking retribution or GAS fine that falls fully under the GDPR. You can verify the findings yourself via your browser's DevTools.

Province de Liège / Provincie Luik Analysis available

Data controller: Province de Liège — Fonctionnaires sanctionnateurs provinciaux — Rue Ernest Solvay 11, 4000 Liège — Website: www.provincedeliege.be.

This annex is intended to supplement the contestation of a sanction or retribution by Province de Liège / Provincie Luik with a technical exposition. The findings were recorded on 17 April 2026 on www.provincedeliege.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Permissions-Policy` header (sensors/geolocation unrestricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Drupal 7 — end-of-life since January 2025, unsupported	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook Pixel (`facebook.net/fbevents.js` + `/tr?id=...`) — direct US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Outdated Google Analytics `ga.js` library — deprecated by Google since 2023	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, YouTube, Bluesky embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
tarteaucitron.io (certified CMP) — reject-all on equal footing	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Province de Namur / Provincie Namen Analysis available

Data controller: Province de Namur — Bureau des amendes administratives — Rue Henri Blès 190C, 5000 Namur — Website: www.province.namur.be.

This annex is intended to supplement the contestation of a sanction or retribution by Province de Namur / Provincie Namen with a technical exposition. The findings were recorded on 17 April 2026 on www.province.namur.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS `max-age=15552000` (~180 days) without `includeSubDomains` or preload	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Permissions-Policy` header (sensors/geolocation unrestricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No `X-Frame-Options` header (clickjacking risk)	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `X-Content-Type-Options: nosniff` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
jQuery loaded via `ajax.googleapis.com` (Google CDN) — US transfer without local proxy	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
Custom cookie banner (not IAB-certified) — reject-all present but non-standard wording	Art. 129 WEC / LCE / GEK / ECA	Informational

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Province de Luxembourg / Provincie Luxemburg Analysis available

Data controller: Province de Luxembourg — Service des amendes administratives — Place Léopold 1, 6700 Arlon — Website: www.province.luxembourg.be.

This annex is intended to supplement the contestation of a sanction or retribution by Province de Luxembourg / Provincie Luxemburg with a technical exposition. The findings were recorded on 17 April 2026 on www.province.luxembourg.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS `max-age=63072000` (2 years) + `includeSubDomains` + `preload` — excellent	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Permissions-Policy` header (sensors/geolocation unrestricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Hotjar session-replay tracker — behavioural analytics, keyboard + mouse recording	Art. 129 WEC / LCE / GEK / ECA + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
tarteaucitron.io (certified CMP) — reject-all on equal footing	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Province du Brabant wallon / Provincie Waals-Brabant Analysis available

Data controller: Province du Brabant wallon — Fonctionnaire sanctionnateur — Place du Brabant wallon 1, 1300 Wavre — Website: www.brabantwallon.be.

This annex is intended to supplement the contestation of a sanction or retribution by Province du Brabant wallon / Provincie Waals-Brabant with a technical exposition. The findings were recorded on 17 April 2026 on www.brabantwallon.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Permissions-Policy` header (sensors/geolocation unrestricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No `X-Content-Type-Options: nosniff` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No external trackers on the home page — positive	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Facebook, Instagram, Twitter/X, LinkedIn, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Mechelen Analysis available

Data controller: Stad Mechelen — Grote Markt 21, 2800 Mechelen — Website: www.mechelen.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Mechelen with a technical exposition. The findings were recorded on 17 April 2026 on www.mechelen.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No `Permissions-Policy` header (sensors/geolocation not restricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No `X-Frame-Options` header (clickjacking risk)	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Matomo Cloud analytics — consent-gated, `disableCookies` + `setDoNotTrack`	Art. 5(1)(c) + Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Cookiesjsr CMP (Drupal module) — reject-all on equal footing	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville d'Arlon Analysis available

Data controller: Ville d'Arlon — Rue Paul Reuter 8, 6700 Arlon — Website: www.arlon.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville d'Arlon with a technical exposition. The findings were recorded on 17 April 2026 on www.arlon.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS `max-age=31536000; includeSubDomains` (1 year, no `preload`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Permissions-Policy` header (sensors/geolocation not restricted)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
iA.Smartweb `@@accept_or_refuse_all` — three buttons on equal footing	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node Analysis available

Data controller: Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node — Avenue de l'Astronomie 13, 1210 Saint-Josse-ten-Noode — Website: www.sjtn.brussels.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Saint-Josse-ten-Noode / Gemeente Sint-Joost-ten-Node with a technical exposition. The findings were recorded on 17 April 2026 on www.sjtn.brussels and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Drupal 7 (end-of-life since 5 January 2025) — unsupported	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Weak `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Analytics (GA4) + `analytics.js` load before consent	Art. 129 WEC / LCE / GEK / ECA + Art. 6 AVG	Breach
Mapbox `accessToken` hard-coded in the page (US transfer)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
jQuery 2.2.4 via `code.jquery.com` CDN (outdated library, external CDN)	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
`eu_cookie_compliance` banner present but decorative (trackers load anyway)	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Provincie Vlaams-Brabant / Province du Brabant flamand Analysis available

Data controller: Provincie Vlaams-Brabant — Provincieplein 1, 3010 Leuven — Website: www.vlaamsbrabant.be.

This annex is intended to supplement the contestation of a sanction or retribution by Provincie Vlaams-Brabant / Province du Brabant flamand with a technical exposition. The findings were recorded on 17 April 2026 on www.vlaamsbrabant.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS present but `max-age` < 1 year — below the recommended duration	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
CSP present but too permissive (`'unsafe-inline' 'unsafe-eval' https:`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Matomo Cloud analytics (EU-hosted) — acceptable, no US transfer	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
Drupal EU Cookie Compliance — custom CMP, reject-all button present	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Provincie Oost-Vlaanderen / Province de Flandre-Orientale Analysis available

Data controller: Provincie Oost-Vlaanderen — Gouvernementstraat 1, 9000 Gent — Website: oost-vlaanderen.be.

This annex is intended to supplement the contestation of a sanction or retribution by Provincie Oost-Vlaanderen / Province de Flandre-Orientale with a technical exposition. The findings were recorded on 17 April 2026 on oost-vlaanderen.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Matomo Cloud analytics (EU-hosted) — acceptable, no US transfer	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Twitter, Instagram, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
Custom cookie banner without “Reject all” button on equal footing	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Provincie Limburg / Province de Limbourg Analysis available

Data controller: Provincie Limburg — Universiteitslaan 1, 3500 Hasselt — Website: www.limburg.be.

This annex is intended to supplement the contestation of a sanction or retribution by Provincie Limburg / Province de Limbourg with a technical exposition. The findings were recorded on 17 April 2026 on www.limburg.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
CSP only as `report-uri` (report-only) — no effective mitigation	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Weak `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Piwik PRO analytics on custom container URL — EU hosting usually, but verify DPA	Art. 5(1)(c) + Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Informational
Facebook, Instagram, LinkedIn, X embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Ieper Analysis available

Data controller: Stad Ieper (KBO 0207.518.630) — Grote Markt 34, 8900 Ieper — Website: www.ieper.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Ieper with a technical exposition. The findings were recorded on 17 April 2026 on www.ieper.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Eeklo Analysis available

Data controller: Stad Eeklo (KBO 0207.461.616) — Industrielaan 2, 9900 Eeklo — Website: www.eeklo.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Eeklo with a technical exposition. The findings were recorded on 17 April 2026 on www.eeklo.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Halle Analysis available

Data controller: Stad Halle (KBO 0207.528.640) — Oudstrijdersplein 18, 1500 Halle — Website: www.halle.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Halle with a technical exposition. The findings were recorded on 17 April 2026 on www.halle.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strict Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
HSTS 2 years + `includeSubDomains` + `preload` — strong configuration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Tienen Analysis available

Data controller: Stad Tienen (KBO 0207.537.929) — Grote Markt 27, 3300 Tienen — Website: www.tienen.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Tienen with a technical exposition. The findings were recorded on 17 April 2026 on www.tienen.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS 2 years + `includeSubDomains` + `preload` — strong configuration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Dinant Analysis available

Data controller: Ville de Dinant (BCE 0207.360.125) — Rue Grande 112, 5500 Dinant — Website: www.dinant.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Dinant with a technical exposition. The findings were recorded on 17 April 2026 on www.dinant.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS 2 years + `includeSubDomains` + `preload` — strong configuration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Wavre Analysis available

Data controller: Ville de Wavre (BCE 0207.381.392) — Place de l'Hôtel de Ville, 1300 Wavre — Website: www.wavre.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Wavre with a technical exposition. The findings were recorded on 17 April 2026 on www.wavre.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
`calameo.com` document embed — external tracker	Art. 129 WEC / LCE / GEK / ECA	Breach
Facebook, Instagram, LinkedIn, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Huy Analysis available

Data controller: Ville de Huy (BCE 0207.348.088) — Grand-Place 1, 4500 Huy — Website: www.huy.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Huy with a technical exposition. The findings were recorded on 17 April 2026 on www.huy.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville d'Ath Analysis available

Data controller: Ville d'Ath (BCE 0207.362.500) — Rue de Pintamont 54, 7800 Ath — Website: www.ath.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville d'Ath with a technical exposition. The findings were recorded on 17 April 2026 on www.ath.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, Instagram, Vimeo, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Waterloo Analysis available

Data controller: Commune de Waterloo (BCE 0216.694.712) — Rue François Libert 28, 1410 Waterloo — Website: www.waterloo.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Waterloo with a technical exposition. The findings were recorded on 17 April 2026 on www.waterloo.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Twitter, Vimeo embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Deinze Analysis available

Data controller: Stad Deinze (KBO 0207.489.352) — Brielstraat 2, 9800 Deinze — Website: www.deinze.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Deinze with a technical exposition. The findings were recorded on 17 April 2026 on www.deinze.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strict Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Ixelles / Gemeente Elsene Analysis available

Data controller: Commune d'Ixelles (BCE 0207.387.826) — Chaussée d'Ixelles 168, 1050 Ixelles — Website: www.ixelles.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Ixelles / Gemeente Elsene with a technical exposition. The findings were recorded on www.ixelles.be (home page) and elsene.be/site/23-Algemeen-politiereglement (police regulation, 19 April 2026) and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
Explicit legal basis cited on `elsene.be/site/23` (Law of 24 June 2013, art. 19/1 and 27)	Art. 6 + 5(2) GDPR	✓ Compliant
Retention period published: max 5 years; 6 months if no fine is imposed	Art. 13(2)(a) GDPR	✓ Compliant
DPO contact published: `dpo@elsene.brussels`	Art. 37(7) GDPR	✓ Compliant
Police-regulation page (`elsene.be/site/23`) free of external trackers	Art. 129 ECA	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Uccle / Gemeente Ukkel Analysis available

Data controller: Commune d'Uccle (BCE 0207.393.074) — Place Jean Vander Elst 29, 1180 Uccle — Website: www.uccle.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Uccle / Gemeente Ukkel with a technical exposition. The findings were recorded on 17 April 2026 on www.uccle.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, Instagram, LinkedIn, Twitter embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Forest / Gemeente Vorst Analysis available

Data controller: Commune de Forest (BCE 0207.387.529) — Rue du Curé 2, 1190 Forest — Website: www.forest.brussels.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Forest / Gemeente Vorst with a technical exposition. The findings were recorded on 17 April 2026 on www.forest.brussels and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Jette / Gemeente Jette Analysis available

Data controller: Commune de Jette (BCE 0207.389.804) — Chaussée de Wemmel 100, 1090 Jette — Website: www.jette.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Jette / Gemeente Jette with a technical exposition. The findings were recorded on 17 April 2026 on www.jette.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Correct `Referrer-Policy: same-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Minimal third-party integration (no social embeds on the home page)	Art. 5(1)(c) + Art. 129 WEC	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Koekelberg / Gemeente Koekelberg Analysis available

Data controller: Commune de Koekelberg (BCE 0207.387.727) — Place Henri Vanhuffel 6, 1081 Koekelberg — Website: www.koekelberg.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Koekelberg / Gemeente Koekelberg with a technical exposition. The findings were recorded on 17 April 2026 on www.koekelberg.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Server banner `Microsoft-IIS/10.0` (version leak)	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google reCAPTCHA present (US processor, undisclosed)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem Analysis available

Data controller: Commune de Berchem-Sainte-Agathe (BCE 0207.386.240) — Avenue du Roi Albert 33, 1082 Berchem-Sainte-Agathe — Website: www.1082.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Berchem-Sainte-Agathe / Gemeente Sint-Agatha-Berchem with a technical exposition. The findings were recorded on 17 April 2026 on www.1082.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Verbose server banner (`Apache/2.4.62 (Win64) OpenSSL/3.1.7 PHP/8.3.14 mod_fcgid/2.3.10-dev`) — major version leak	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Cookieyes as CMP — positive	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde Analysis available

Data controller: Commune de Watermael-Boitsfort (BCE 0207.393.470) — Place Antoine Gilson 1, 1170 Watermael-Boitsfort — Website: www.watermael-boitsfort.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Watermael-Boitsfort / Gemeente Watermaal-Bosvoorde with a technical exposition. The findings were recorded on 17 April 2026 on www.watermael-boitsfort.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Evere / Gemeente Evere Analysis available

Data controller: Commune d'Evere (BCE 0207.384.064) — Square Hoedemaekers 10, 1140 Evere — Website: www.evere.brussels.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Evere / Gemeente Evere with a technical exposition. The findings were recorded on 17 April 2026 on www.evere.brussels and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Ganshoren / Gemeente Ganshoren Analysis available

Data controller: Commune de Ganshoren (BCE 0207.387.826) — Avenue Charles-Quint 140, 1083 Ganshoren — Website: www.ganshoren.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Ganshoren / Gemeente Ganshoren with a technical exposition. The findings were recorded on 17 April 2026 on www.ganshoren.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Auderghem / Gemeente Oudergem Analysis available

Data controller: Commune d'Auderghem (BCE 0207.386.438) — Rue Emile Idiers 12, 1160 Auderghem — Website: www.auderghem.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Auderghem / Gemeente Oudergem with a technical exposition. The findings were recorded on 17 April 2026 on www.auderghem.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe Analysis available

Data controller: Commune de Woluwe-Saint-Lambert (BCE 0207.397.034) — Avenue Paul Hymans 2, 1200 Woluwe-Saint-Lambert — Website: www.woluwe1200.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Woluwe-Saint-Lambert / Gemeente Sint-Lambrechts-Woluwe with a technical exposition. The findings were recorded on 17 April 2026 on www.woluwe1200.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe Analysis available

Data controller: Commune de Woluwe-Saint-Pierre (BCE 0207.395.153) — Avenue Charles Thielemans 93, 1150 Woluwe-Saint-Pierre — Website: www.woluwe1150.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Woluwe-Saint-Pierre / Gemeente Sint-Pieters-Woluwe with a technical exposition. The findings were recorded on 17 April 2026 on www.woluwe1150.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Only partial CSP (only `frame-ancestors`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google reCAPTCHA present (US processor, undisclosed)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
5 Facebook embeds on the public home page	Art. 129 WEC / LCE / GEK / ECA	Breach
Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Anderlecht / Gemeente Anderlecht Analysis available

Data controller: Commune d'Anderlecht (BCE 0207.393.470) — Place du Conseil 1, 1070 Anderlecht — Website: www.anderlecht.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Anderlecht / Gemeente Anderlecht with a technical exposition. The findings were recorded on 17 April 2026 on www.anderlecht.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Schaerbeek / Gemeente Schaarbeek Analysis available

Data controller: Commune de Schaerbeek (BCE 0207.377.988) — Place Colignon, 1030 Schaerbeek — Website: www.1030.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Schaerbeek / Gemeente Schaarbeek with a technical exposition. The findings were recorded on 17 April 2026 on www.1030.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strict Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek Analysis available

Data controller: Commune de Molenbeek-Saint-Jean (BCE 0207.391.193) — Rue du Comte de Flandre 20, 1080 Molenbeek-Saint-Jean — Website: www.molenbeek.irisnet.be.

This annex is intended to supplement the contestation of a sanction or retribution by Commune de Molenbeek-Saint-Jean / Gemeente Sint-Jans-Molenbeek with a technical exposition. The findings were recorded on 17 April 2026 on www.molenbeek.irisnet.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
7 Facebook embeds on the public home page	Art. 129 WEC / LCE / GEK / ECA	Breach
Twitter, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Commune d'Etterbeek Analysis available

Data controller: Commune d'Etterbeek (BCE 0207.383.274) — Avenue d'Auderghem 113-117, 1040 Etterbeek — Website: etterbeek.brussels.

This annex is intended to supplement the contestation of a sanction or retribution by Commune d'Etterbeek with a technical exposition. The findings were recorded on 17 April 2026 on etterbeek.brussels and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Turnhout Analysis available

Data controller: Stad Turnhout (KBO 0207.537.434) — Campus Blairon 200, 2300 Turnhout — Website: www.turnhout.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Turnhout with a technical exposition. The findings were recorded on 17 April 2026 on www.turnhout.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strict Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
HSTS with `max-age=63072000` (2 years) + `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Google reCAPTCHA present (US processor, undisclosed)	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Instagram, LinkedIn, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Beringen Analysis available

Data controller: Stad Beringen (KBO 0207.525.461) — Mijnschoolstraat 88, 3580 Beringen — Website: www.beringen.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Beringen with a technical exposition. The findings were recorded on 17 April 2026 on www.beringen.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Lommel Analysis available

Data controller: Stad Lommel (KBO 0207.519.026) — Hertog Janplein 1, 3920 Lommel — Website: www.lommel.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Lommel with a technical exposition. The findings were recorded on 17 April 2026 on www.lommel.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Geel Analysis available

Data controller: Stad Geel (KBO 0207.524.966) — Werft 20, 2440 Geel — Website: www.geel.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Geel with a technical exposition. The findings were recorded on 17 April 2026 on www.geel.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strict Content-Security-Policy (`default-src 'self'`)	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Facebook, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Mouscron Analysis available

Data controller: Ville de Mouscron (BCE 0207.356.899) — Grand-Place 1, 7700 Mouscron — Website: www.mouscron.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Mouscron with a technical exposition. The findings were recorded on 17 April 2026 on www.mouscron.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Facebook embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Kortrijk Analysis available

Data controller: Stad Kortrijk (KBO 0207.494.678) — Grote Markt 54, 8500 Kortrijk — Website: www.kortrijk.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Kortrijk with a technical exposition. The findings were recorded on 17 April 2026 on www.kortrijk.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram, LinkedIn, WhatsApp, TikTok embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach
Google Maps (`maps.googleapis.com`) — US processor	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Oostende Analysis available

Data controller: Stad Oostende (KBO 0207.473.295) — Vindictivelaan 1, 8400 Oostende — Website: www.oostende.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Oostende with a technical exposition. The findings were recorded on 17 April 2026 on www.oostende.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Sint-Niklaas Analysis available

Data controller: Stad Sint-Niklaas (KBO 0207.486.859) — Grote Markt 1, 9100 Sint-Niklaas — Website: www.sint-niklaas.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Sint-Niklaas with a technical exposition. The findings were recorded on 17 April 2026 on www.sint-niklaas.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Use of Cookiebot as CMP — positive	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, LinkedIn, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Aalst Analysis available

Data controller: Stad Aalst (KBO 0207.449.148) — Grote Markt 3, 9300 Aalst — Website: aalst.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Aalst with a technical exposition. The findings were recorded on 17 April 2026 on aalst.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram, YouTube, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Genk Analysis available

Data controller: Stad Genk (KBO 0207.522.491) — Stadsplein 1, 3600 Genk — Website: www.genk.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Genk with a technical exposition. The findings were recorded on 17 April 2026 on www.genk.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only partial Content-Security-Policy (only `connect-src`)	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Correct `Referrer-Policy: strict-origin-when-cross-origin`	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
`Permissions-Policy` header present — restricts sensors/geolocation	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Uses Matomo (more privacy-friendly than Google Analytics)	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
Facebook, Twitter, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Roeselare Analysis available

Data controller: Stad Roeselare (KBO 0207.490.219) — Botermarkt 2, 8800 Roeselare — Website: www.roeselare.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Roeselare with a technical exposition. The findings were recorded on 17 April 2026 on www.roeselare.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
HSTS with `includeSubDomains` and `preload` — strong configuration	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Tag Manager loads Google Analytics at runtime (US transfer)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Google Fonts (`fonts.googleapis.com`) — undisclosed US transfer	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Tournai Analysis available

Data controller: Ville de Tournai (BCE 0207.352.297) — Rue Saint-Martin 52, 7500 Tournai — Website: www.tournai.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Tournai with a technical exposition. The findings were recorded on 17 April 2026 on www.tournai.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Weak `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
`calameo.com` document embed — external tracker	Art. 129 WEC / LCE / GEK / ECA	Breach
Facebook, Instagram, YouTube, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de La Louvière Analysis available

Data controller: Ville de La Louvière (BCE 0207.382.086) — Place Communale 1, 7100 La Louvière — Website: www.lalouviere.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de La Louvière with a technical exposition. The findings were recorded on 17 April 2026 on www.lalouviere.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
HSTS with `max-age=31536000` (1 year) without `includeSubDomains`	Art. 32 AVG / RGPD / DSGVO / GDPR	Informational
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Seraing Analysis available

Data controller: Ville de Seraing (BCE 0207.335.221) — Place Communale 8, 4100 Seraing — Website: www.seraing.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Seraing with a technical exposition. The findings were recorded on 17 April 2026 on www.seraing.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Weak `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
tarteaucitron as CMP — positive, European alternative	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Facebook, Instagram, YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Verviers Analysis available

Data controller: Ville de Verviers (BCE 0207.356.048) — Place du Marché 55, 4800 Verviers — Website: www.verviers.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Verviers with a technical exposition. The findings were recorded on 17 April 2026 on www.verviers.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Facebook, YouTube, LinkedIn embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Liège Analysis available

Data controller: Ville de Liège (BCE 0207.343.238) — Place du Marché 2, 4000 Liège — Website: www.liege.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Liège with a technical exposition. The findings were recorded on 17 April 2026 on www.liege.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `X-Content-Type-Options: nosniff` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Uses the `youtube-nocookie.com` variant — a positive choice	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Facebook and Instagram embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Namur Analysis available

Data controller: Ville de Namur (BCE 0207.341.854) — Hôtel de Ville, 5000 Namur — Website: www.namur.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Namur with a technical exposition. The findings were recorded on 17 April 2026 on www.namur.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Google Fonts (`fonts.googleapis.com`) — transfer to Google US	Hfd. V AVG / Ch. V RGPD / Kap. V DSGVO / Ch. V GDPR	Breach
Facebook, Twitter and YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Mons Analysis available

Data controller: Ville de Mons (BCE 0207.272.119) — Grand-Place 22, 7000 Mons — Website: www.mons.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Mons with a technical exposition. The findings were recorded on 17 April 2026 on www.mons.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No `Referrer-Policy` header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
HSTS with `includeSubDomains` (1 year) — solid baseline	Art. 32 AVG / RGPD / DSGVO / GDPR	✓ Compliant
Facebook and YouTube embeds present	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Ville de Charleroi Analysis available

Data controller: Ville de Charleroi (BCE 0207.362.105) — Place Charles II 14-15, 6000 Charleroi — Website: www.charleroi.be.

This annex is intended to supplement the contestation of a sanction or retribution by Ville de Charleroi with a technical exposition. The findings were recorded on 17 April 2026 on www.charleroi.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
No Content-Security-Policy response header	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Weak `Referrer-Policy: no-referrer-when-downgrade`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach
Server version leak in `Server: Apache/2.4.66 (Debian)`	Art. 32 AVG / RGPD / DSGVO / GDPR	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Antwerpen Analysis available

Data controller: Stad Antwerpen (KBO 0207.500.123) — Dienst Mobiliteit & Parkeren — Grote Markt 1, 2000 Antwerpen — Website: www.antwerpen.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Antwerpen with a technical exposition. The findings were recorded on 17 April 2026 on www.antwerpen.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
The Content-Security-Policy contains an invalid directive (`undefined`)	Art. 32 AVG / GDPR / DSGVO	Breach
HSTS with `max-age=15552000` (180 days) without `preload`	Art. 32 AVG / GDPR / DSGVO	Informational
Google Tag Manager loads Google Analytics at runtime	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook and Twitter embeds loaded on every page	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Gent Analysis available

Data controller: Stad Gent (KBO 0207.451.227) — Botermarkt 1, 9000 Gent — Website: stad.gent.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Gent with a technical exposition. The findings were recorded on 17 April 2026 on stad.gent and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Strong security headers: HSTS 2 years with `preload`, CSP `default-src 'self'`	Art. 32 AVG / GDPR / DSGVO	✓ Compliant
Use of Cookiebot as CMP — positive, aligned with Belgian DPA guidelines	Art. 129 WEC / LCE / GEK / ECA	✓ Compliant
Social embeds (Facebook, Instagram, YouTube, TikTok, LinkedIn, Threads) present — consent-gating must be verified case-by-case	Art. 129 WEC / LCE / GEK / ECA	Informational
Google Tag Manager present (loads further trackers only after consent via Cookiebot)	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Informational

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Brugge Analysis available

Data controller: Stad Brugge (KBO 0207.528.035) — Burg 12, 8000 Brugge — Website: www.brugge.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Brugge with a technical exposition. The findings were recorded on 17 April 2026 on www.brugge.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No Content-Security-Policy response header	Art. 32 AVG / GDPR / DSGVO	Breach
Uses Matomo instead of Google Analytics — positive for privacy	Art. 5(1)(c) AVG / GDPR / DSGVO	✓ Compliant
HSTS with `max-age=31557600` (1 year) without `includeSubDomains` or `preload`	Art. 32 AVG / GDPR / DSGVO	Informational
Facebook, Instagram, LinkedIn and YouTube embeds are loaded	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Leuven Analysis available

Data controller: Stad Leuven (KBO 0207.475.077) — Professor Van Overstraetenplein 1, 3000 Leuven — Website: www.leuven.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Leuven with a technical exposition. The findings were recorded on 17 April 2026 on www.leuven.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
No `Strict-Transport-Security` response header	Art. 32 AVG / GDPR / DSGVO	Breach
No `Content-Security-Policy` response header	Art. 32 AVG / GDPR / DSGVO	Breach
Google Tag Manager loads Google Analytics at runtime (transfer to Google US)	Art. 5(1)(a) + Hfd. V AVG / Ch. V / Kap. V / Ch. V	Breach
Facebook, Instagram and LinkedIn embeds are loaded	Art. 129 WEC / LCE / GEK / ECA	Breach

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.

Stad Hasselt Analysis available

Data controller: Stad Hasselt (KBO 0207.476.069) — Groenplein 1, 3500 Hasselt — Website: www.hasselt.be.

This annex is intended to supplement the contestation of a sanction or retribution by Stad Hasselt with a technical exposition. The findings were recorded on 17 April 2026 on www.hasselt.be and indicate shortcomings in GDPR, ePrivacy and security of processing.

1. Identified shortcomings

Finding	Legal basis	Risk
Only a partial Content-Security-Policy (only `frame-ancestors`)	Art. 32 AVG / GDPR / DSGVO	Breach
No `Strict-Transport-Security` response header	Art. 32 AVG / GDPR / DSGVO	Breach
Google Fonts (`fonts.gstatic.com`, `fonts.googleapis.com`) — transfer to the US, undisclosed	Hfd. V AVG / Ch. V GDPR / Kap. V DSGVO / Ch. V GDPR	Breach
Drupal platform — form_build_id CSRF protection present by default	Art. 32 AVG / GDPR / DSGVO	✓ Compliant

2. Legal qualification

Article 5(1)(a) GDPR — transparency

Data subjects must be informed transparently and fairly about the processing; missing or inaccurate technical security undermines this duty.

Article 6 GDPR — legal basis

General municipal competences cannot, after DPA decision 56/2026 (Dilbeek), serve as a legal basis for data transfers or ANPR use without a specific legal basis and a DPIA.

Chapter V GDPR — transfers

Using US processors (GA, GTM, Google Fonts, Facebook, LinkedIn, ...) implies a US transfer which, without an appropriate safeguard (Ch. V GDPR), is unlawful.

Article 32 GDPR — security

The absence of appropriate technical measures (HSTS, CSP, Referrer-Policy) is not compatible with article 32 GDPR for a public platform processing personal data.

Article 129 ECA — ePrivacy

Non-essential cookies, social embeds and other trackers require prior, informed, specific and granular consent; a reference to browser settings is insufficient.

3. Recommended defence arguments

the contested sanction be set aside or reformed for unlawful processing of personal data;
the identified technical shortcomings be placed on record;
in the alternative, that a fresh review be conducted on the basis of lawfully obtained data;
the data subject's right to lodge a complaint with the Belgian Data Protection Authority be preserved;
the reservation of the right to compensation under article 82 GDPR be acknowledged.