Wanneer u een GAS-boete of parkeerretributie betwist, citeert PVResponse vaak technische beveiligings­tekortkomingen van de overheidssite die de boete uitgeeft — dingen zoals “geen HSTS-header” of “Google Tag Manager laadt voor toestemming”. Voor veel gebruikers klinken die termen abstract. Deze pagina legt concreet uit wat er mis is, hoe een aanvaller dat misbruikt, en waarom dit uw bezwaar versterkt.

Lorsque vous contestez une amende SAC ou une rétribution de stationnement, PVResponse cite souvent des manquements techniques du site public qui a émis l’amende — des termes comme « pas d’en-tête HSTS » ou « Google Tag Manager se charge avant consentement ». Pour beaucoup d’utilisateurs, ces termes semblent abstraits. Cette page explique concrètement ce qui ne va pas, comment un attaquant en tire parti, et pourquoi cela renforce votre contestation.

Wenn Sie ein GAS-Bußgeld oder eine Parkgebühr anfechten, zitiert PVResponse häufig technische Sicherheitsmängel der Behörden-Website, die das Bußgeld ausstellt — Dinge wie „kein HSTS-Header“ oder „Google Tag Manager lädt vor der Einwilligung“. Für viele Nutzer klingen diese Begriffe abstrakt. Diese Seite erklärt konkret, was nicht stimmt, wie ein Angreifer das ausnutzt und warum es Ihre Anfechtung stärkt.

When you contest a GAS fine or parking retribution, PVResponse often cites technical security shortcomings of the public site that issued the fine — things like “no HSTS header” or “Google Tag Manager loads before consent”. For many users, these terms sound abstract. This page concretely explains what’s wrong, how an attacker exploits it, and why this strengthens your contestation.

Inhoud
  1. HTTPS en HSTS — waarom alle verkeer versleuteld moet zijn
  2. Content-Security-Policy — barrière tegen script-injectie
  3. Referrer-Policy — lekkage van dossiergegevens via URL’s
  4. Permissions-Policy — controle over camera, microfoon, locatie
  5. X-Frame-Options — clickjacking
  6. X-Content-Type-Options — MIME-sniffing misbruik
  7. Derde-partij trackers — Google Analytics, GTM, Facebook Pixel
  8. Schrems II en doorgiften naar de VS
  9. Cookie-toestemming — art. 129 WEC / ePrivacy
  10. Verwerkersovereenkomsten — art. 28 AVG
  11. Verouderde software — Drupal 7 is EOL
  12. Geheimen in de browser — API-tokens in de HTML
  13. Hoe dit zich vertaalt naar uw bezwaarschrift
Sommaire
  1. HTTPS et HSTS — pourquoi tout le trafic doit être chiffré
  2. Content-Security-Policy — barrière contre l’injection de scripts
  3. Referrer-Policy — fuite de données de dossier via les URL
  4. Permissions-Policy — contrôle de la caméra, micro, localisation
  5. X-Frame-Options — clickjacking
  6. X-Content-Type-Options — abus du MIME-sniffing
  7. Traceurs tiers — Google Analytics, GTM, Facebook Pixel
  8. Schrems II et transferts vers les États-Unis
  9. Consentement cookie — art. 129 LCE / ePrivacy
  10. Contrats de sous-traitance — art. 28 RGPD
  11. Logiciels obsolètes — fin de vie de Drupal 7
  12. Secrets dans le navigateur — jetons d’API dans le HTML
  13. Comment cela se traduit dans votre contestation
Inhalt
  1. HTTPS und HSTS — warum jeder Verkehr verschlüsselt sein muss
  2. Content-Security-Policy — Barriere gegen Skript-Injektion
  3. Referrer-Policy — Leck von Akten-Daten über URLs
  4. Permissions-Policy — Kontrolle über Kamera, Mikrofon, Standort
  5. X-Frame-Options — Clickjacking
  6. X-Content-Type-Options — Missbrauch des MIME-Sniffings
  7. Drittanbieter-Tracker — Google Analytics, GTM, Facebook Pixel
  8. Schrems II und US-Übermittlungen
  9. Cookie-Einwilligung — Art. 129 GEK / ePrivacy
  10. Auftragsverarbeitungsverträge — Art. 28 DSGVO
  11. Veraltete Software — Drupal 7 ist EOL
  12. Geheimnisse im Browser — API-Tokens im HTML
  13. Wie sich das in Ihrer Anfechtung niederschlägt
Contents
  1. HTTPS and HSTS — why all traffic must be encrypted
  2. Content-Security-Policy — barrier against script injection
  3. Referrer-Policy — leak of case data via URLs
  4. Permissions-Policy — control over camera, microphone, location
  5. X-Frame-Options — clickjacking
  6. X-Content-Type-Options — MIME-sniffing abuse
  7. Third-party trackers — Google Analytics, GTM, Facebook Pixel
  8. Schrems II and US transfers
  9. Cookie consent — art. 129 ECA / ePrivacy
  10. Processor agreements — art. 28 GDPR
  11. Outdated software — Drupal 7 is EOL
  12. Secrets in the browser — API tokens in the HTML
  13. How all this translates into your contestation

1. HTTPS en HSTS — waarom alle verkeer versleuteld moet zijn

Wanneer u een bezwaar­formulier op een gemeente­website invult, reizen uw gegevens (nummerplaat, naam, dossiernummer) door tientallen tussen­liggende netwerken voordat zij de server van de gemeente bereiken. Zonder HTTPS (TLS-encryptie) kan elke tussenschakel — de hotspot in een café, de router van een ISP, of een aanvaller op hetzelfde Wi-Fi-netwerk — de gegevens letterlijk meelezen of manipuleren.

HTTPS alleen is echter niet genoeg: een aanvaller kan de eerste verbinding onderscheppen en de gebruiker terug­dwingen naar http:// (de zogenaamde SSL-stripping-aanval). HSTS (Strict-Transport-Security) lost dit op: de server vertelt de browser “kom de volgende 1 à 2 jaar alleen nog via HTTPS terug”.

1. HTTPS et HSTS — pourquoi tout le trafic doit être chiffré

Lorsque vous remplissez un formulaire de contestation sur un site communal, vos données (plaque, nom, numéro de dossier) traversent des dizaines de réseaux intermédiaires avant d’atteindre le serveur de la commune. Sans HTTPS (chiffrement TLS), chaque intermédiaire — le hotspot d’un café, le routeur d’un FAI, ou un attaquant sur le même Wi-Fi — peut littéralement lire ou modifier les données.

HTTPS seul ne suffit pas : un attaquant peut intercepter la première connexion et forcer l’utilisateur vers http:// (attaque SSL-stripping). HSTS (Strict-Transport-Security) résout cela : le serveur indique au navigateur « reviens uniquement via HTTPS pendant 1 à 2 ans ».

1. HTTPS und HSTS — warum jeder Verkehr verschlüsselt sein muss

Wenn Sie ein Einspruchsformular auf einer Gemeinde-Website ausfüllen, wandern Ihre Daten (Kennzeichen, Name, Aktenzeichen) durch dutzende Zwischennetze, bevor sie den Server der Gemeinde erreichen. Ohne HTTPS (TLS-Verschlüsselung) kann jede Zwischenstation — der Café-Hotspot, der Router eines ISP oder ein Angreifer im selben WLAN — die Daten mitlesen oder manipulieren.

HTTPS allein genügt nicht: Ein Angreifer kann die erste Verbindung abfangen und den Nutzer auf http:// zurückzwingen (sog. SSL-Stripping). HSTS (Strict-Transport-Security) löst das: Der Server sagt dem Browser „komm die nächsten 1–2 Jahre nur noch über HTTPS“.

1. HTTPS and HSTS — why all traffic must be encrypted

When you fill in a contestation form on a municipal website, your data (licence plate, name, case number) travels across dozens of intermediary networks before reaching the municipality’s server. Without HTTPS (TLS encryption), every hop — the café Wi-Fi, an ISP’s router, or an attacker on the same network — can literally read or alter the data.

HTTPS alone isn’t enough: an attacker can intercept the first connection and force the user back to http:// (the SSL-stripping attack). HSTS (Strict-Transport-Security) fixes this: the server tells the browser “only come back via HTTPS for the next 1–2 years”.

User browser Attacker open Wi-Fi Server gemeente http:// https:// Without HSTS the attacker can strip the HTTPS layer
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Wat kan er mis gaan? Zonder HSTS kan een aanvaller op een gedeeld Wi-Fi-netwerk uw nummerplaat, PV-referentie en bezwaar­tekst afvangen voordat zij de gemeente bereiken.
Qu’est-ce qui peut mal tourner ? Sans HSTS, un attaquant sur un Wi-Fi partagé peut intercepter votre plaque, votre référence de PV et le texte de votre contestation avant qu’ils n’atteignent la commune.
Was kann schiefgehen? Ohne HSTS kann ein Angreifer in einem gemeinsam genutzten WLAN Ihr Kennzeichen, Ihre PV-Referenz und den Einspruchstext abfangen, bevor diese die Gemeinde erreichen.
What can go wrong? Without HSTS, an attacker on shared Wi-Fi can intercept your plate, PV reference and contestation text before they ever reach the municipality.
Voor uw bezwaar Artikel 32 AVG verplicht een overheids­platform om “passende technische maatregelen” te nemen. De HSTS-header bestaat sinds 2012 (RFC 6797), is gratis te configureren. Het ontbreken ervan is een aantoonbare schending van de stand der techniek.
Pour votre contestation L’article 32 RGPD oblige une plateforme publique à prendre « des mesures techniques appropriées ». L’en-tête HSTS existe depuis 2012 (RFC 6797) et sa configuration est gratuite. Son absence constitue une violation démontrable de l’état de l’art.
Für Ihre Anfechtung Artikel 32 DSGVO verpflichtet eine öffentliche Plattform zu „geeigneten technischen Maßnahmen“. Der HSTS-Header existiert seit 2012 (RFC 6797) und ist kostenfrei konfigurierbar. Sein Fehlen ist ein nachweisbarer Verstoß gegen den Stand der Technik.
For your contestation Article 32 GDPR obliges a public platform to take “appropriate technical measures”. The HSTS header has existed since 2012 (RFC 6797) and is free to configure. Its absence is a demonstrable breach of the state of the art.
Rechtsbasis:Base légale :Rechtsgrundlage:Legal basis: Art. 32

2. Content-Security-Policy — barrière tegen script-injectie

Een Content-Security-Policy (CSP) vertelt de browser welke scripts, stylesheets en afbeeldingen van welke bronnen geladen mogen worden. Zonder CSP mag elk script van elke server uitgevoerd worden — een aanvaller die eréénmaal in slaagt om bijvoorbeeld een cross-site-scripting-fout te misbruiken, kan vervolgens vrijuit scripts laden van zijn eigen server.

Een goede CSP hanteert het principe van default-deny: alles wat niet uitdrukkelijk toegelaten is, wordt geblokkeerd.

2. Content-Security-Policy — barrière contre l’injection de scripts

Une Content-Security-Policy (CSP) indique au navigateur quels scripts, feuilles de style et images peuvent être chargés et depuis quelles sources. Sans CSP, n’importe quel script depuis n’importe quel serveur peut s’exécuter — un attaquant qui exploite une faille cross-site-scripting peut ensuite charger librement ses propres scripts.

Une bonne CSP applique le principe default-deny : tout ce qui n’est pas explicitement autorisé est bloqué.

2. Content-Security-Policy — Barriere gegen Skript-Injektion

Eine Content-Security-Policy (CSP) teilt dem Browser mit, welche Skripte, Stylesheets und Bilder aus welchen Quellen geladen werden dürfen. Ohne CSP darf jedes Skript jedes Servers ausgeführt werden — ein Angreifer, der einmal eine Cross-Site-Scripting-Lücke ausnutzt, kann frei Skripte von seinem eigenen Server laden.

Eine gute CSP wendet default-deny an: Alles, was nicht ausdrücklich erlaubt ist, wird blockiert.

2. Content-Security-Policy — barrier against script injection

A Content-Security-Policy (CSP) tells the browser which scripts, stylesheets and images may be loaded from which sources. Without CSP, any script from any server can execute — an attacker who exploits a cross-site scripting flaw can freely load scripts from their own server.

A good CSP uses default-deny: anything not explicitly allowed is blocked.

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-RaNd0m'; style-src 'self'; img-src 'self' data:; frame-ancestors 'self'; object-src 'none'; base-uri 'self'
Wat kan er mis gaan? Zonder CSP is één cross-site-scripting-fout genoeg om het volledige bezwaar­formulier te compromitteren. Een aanvaller kan uw bezwaar­tekst stilletjes herschrijven voor verzending, of u omleiden naar een nep-betaal­pagina.
Qu’est-ce qui peut mal tourner ? Sans CSP, une seule faille cross-site-scripting suffit à compromettre l’ensemble du formulaire de contestation. Un attaquant peut réécrire votre texte avant envoi, ou vous rediriger vers une fausse page de paiement.
Was kann schiefgehen? Ohne CSP genügt eine einzige Cross-Site-Scripting-Lücke, um das komplette Einspruchsformular zu kompromittieren. Ein Angreifer kann Ihren Einspruchstext vor dem Absenden ändern oder Sie auf eine gefälschte Zahlungsseite umleiten.
What can go wrong? Without CSP, a single XSS flaw is enough to compromise the entire contestation form. An attacker can silently rewrite your contestation text before sending, or redirect you to a fake payment page.
Voor uw bezwaar Het GBA verwacht dat overheidsplatformen die bezwaarschriften ontvangen “passende technische maatregelen” treffen (art. 32 AVG). CSP bestaat als webstandaard sinds 2012, is ingebouwd in elke moderne webserver en vergt enkel configuratiewerk.
Pour votre contestation L’APD attend des plateformes publiques recevant des contestations qu’elles prennent « des mesures techniques appropriées » (art. 32 RGPD). CSP est un standard web depuis 2012, intégré à tout serveur web moderne et ne demande qu’une configuration.
Für Ihre Anfechtung Die DSB erwartet von öffentlichen Plattformen, die Einsprüche entgegennehmen, „geeignete technische Maßnahmen“ (Art. 32 DSGVO). CSP ist seit 2012 Webstandard, in jedem modernen Webserver verfügbar und erfordert nur Konfigurationsaufwand.
For your contestation The DPA expects public platforms that receive contestations to take “appropriate technical measures” (art. 32 GDPR). CSP has been a web standard since 2012, is built into every modern web server, and is purely a configuration effort.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32

3. Referrer-Policy — lekkage van dossiergegevens via URL’s

Uw browser stuurt standaard de volledige URL van de vorige pagina als Referer-header. Dat is problematisch wanneer de URL gevoelige gegevens bevat — PV-referentie, token, nummerplaat. gemeente.be/bezwaar?pv=20241234&plaat=1-ABC-123 wordt dan in klare tekst doorgegeven aan elk extern script.

3. Referrer-Policy — fuite des données de dossier via les URL

Par défaut, votre navigateur envoie l’URL complète de la page précédente via l’en-tête Referer. Problématique quand l’URL contient des données sensibles — référence PV, jeton, plaque. commune.be/contestation?pv=20241234&plaque=1-ABC-123 est alors transmise en clair à chaque script externe.

3. Referrer-Policy — Leck von Akten-Daten über URLs

Ihr Browser sendet standardmäßig die vollständige URL der vorherigen Seite als Referer-Header. Problematisch, wenn die URL sensible Daten enthält — PV-Referenz, Token, Kennzeichen. gemeinde.be/einspruch?pv=20241234&kfz=1-ABC-123 wird dann im Klartext an jedes externe Skript übermittelt.

3. Referrer-Policy — leak of case data via URLs

By default, your browser sends the full URL of the previous page as the Referer header. Problematic when the URL carries sensitive data — PV reference, token, licence plate. municipality.be/contest?pv=20241234&plate=1-ABC-123 is then forwarded in plain text to every external script.

// Only send the domain, never the path or parameters Referrer-Policy: strict-origin-when-cross-origin
Wat kan er mis gaan? Met de standaard-waarde no-referrer-when-downgrade worden uw PV-nummer en nummerplaat zichtbaar voor elke derde partij op de pagina. Directe doorgifte van persoonsgegevens naar (meestal) Amerikaanse verwerkers.
Qu’est-ce qui peut mal tourner ? Avec la valeur par défaut no-referrer-when-downgrade, votre numéro de PV et plaque deviennent visibles pour chaque tiers chargé sur la page. Transfert direct de données personnelles vers des sous-traitants (généralement) américains.
Was kann schiefgehen? Mit dem Standardwert no-referrer-when-downgrade werden Ihre PV-Nummer und Ihr Kennzeichen für jeden Drittanbieter auf der Seite sichtbar. Direkte Übermittlung personenbezogener Daten an (meist) US-Verarbeiter.
What can go wrong? With the default no-referrer-when-downgrade, your PV number and plate become visible to every third party loaded on the page. Direct transfer of personal data to (usually) US processors.
Voor uw bezwaar Dit is zowel een schending van artikel 5(1)(c) AVG (minimale gegevens­verwerking) als van artikel 32 AVG (onvoldoende technische maatregelen).
Pour votre contestation C’est à la fois une violation de l’article 5(1)(c) RGPD (minimisation des données) et de l’article 32 RGPD (mesures techniques insuffisantes).
Für Ihre Anfechtung Dies verletzt sowohl Artikel 5(1)(c) DSGVO (Datenminimierung) als auch Artikel 32 DSGVO (unzureichende technische Maßnahmen).
For your contestation This breaches both article 5(1)(c) GDPR (data minimisation) and article 32 GDPR (inadequate technical measures).
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 5(1)(c) + Art. 32

4. Permissions-Policy — controle over camera, microfoon, locatie

De Permissions-Policy-header (vroeger Feature-Policy) laat de server bepalen welke sensor-rechten (camera, microfoon, GPS) de pagina überhaupt mag aanvragen. Voor een bezwaar­formulier is er geen legitieme reden om toegang te vragen.

4. Permissions-Policy — contrôle de la caméra, du micro, de la localisation

L’en-tête Permissions-Policy (auparavant Feature-Policy) permet au serveur de décider quels droits de capteurs (caméra, micro, GPS) la page peut demander. Pour un formulaire de contestation, aucune raison légitime ne justifie une demande d’accès.

4. Permissions-Policy — Kontrolle über Kamera, Mikrofon, Standort

Der Permissions-Policy-Header (früher Feature-Policy) lässt den Server bestimmen, welche Sensor-Rechte (Kamera, Mikrofon, GPS) die Seite überhaupt anfragen darf. Für ein Einspruchsformular gibt es keinen legitimen Grund.

4. Permissions-Policy — control over camera, microphone, location

The Permissions-Policy header (formerly Feature-Policy) lets the server decide which sensor permissions (camera, microphone, GPS) the page may even request. For a contestation form there’s no legitimate reason to ask.

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()
Wat kan er mis gaan? Als een third-party script gecompromitteerd raakt, kan het toestemming vragen voor camera of microfoon die de gebruiker per ongeluk verleent.
Qu’est-ce qui peut mal tourner ? Si un script tiers est compromis, il peut demander l’accès à la caméra ou au micro que l’utilisateur accorde par inadvertance.
Was kann schiefgehen? Wird ein Drittanbieter-Skript kompromittiert, kann es Zugriff auf Kamera oder Mikrofon anfragen, den Nutzer versehentlich gewähren.
What can go wrong? If a third-party script is compromised, it can request camera or microphone access that the user may accidentally grant.
Voor uw bezwaar Art. 32 AVG eist een proactieve veiligheids­houding; het expliciet beperken van sensor­toegang is een standaard verdedigings­maatregel sinds 2018.
Pour votre contestation L’art. 32 RGPD exige une posture de sécurité proactive ; restreindre explicitement l’accès aux capteurs est une mesure défensive standard depuis 2018.
Für Ihre Anfechtung Art. 32 DSGVO erfordert eine proaktive Sicherheitshaltung; die explizite Einschränkung des Sensorzugriffs ist seit 2018 Standard.
For your contestation Art. 32 GDPR requires a proactive security stance; explicitly restricting sensor access has been a standard defence since 2018.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32

5. X-Frame-Options — bescherming tegen clickjacking

Clickjacking is een aanvalstechniek waarbij de legitieme gemeente­pagina in een onzichtbaar iframe op een aanvaller-site geladen wordt. De gebruiker klikt op wat eruitziet als een spel, maar in werkelijkheid wordt de klik doorgegeven aan de verborgen iframe — bijvoorbeeld op een knop “Mijn bezwaar intrekken”.

5. X-Frame-Options — protection contre le clickjacking

Le clickjacking est une attaque où la page légitime de la commune est chargée dans un iframe invisible sur un site attaquant. L’utilisateur clique sur ce qui ressemble à un jeu, mais le clic est en fait transmis à l’iframe caché — par exemple sur un bouton « Retirer ma contestation ».

5. X-Frame-Options — Schutz vor Clickjacking

Clickjacking ist eine Angriffstechnik, bei der die legitime Gemeindeseite in einem unsichtbaren Iframe auf einer Angreiferseite geladen wird. Der Nutzer klickt, was nach einem Spiel aussieht, aber der Klick wird an den versteckten Iframe weitergereicht — etwa auf eine Schaltfläche „Meinen Einspruch zurückziehen“.

5. X-Frame-Options — clickjacking protection

Clickjacking is an attack where the legitimate municipal page is loaded into an invisible iframe on an attacker site. The user clicks on what looks like a game, but the click is actually passed to the hidden iframe — e.g. onto a “Withdraw my contestation” button.

X-Frame-Options: SAMEORIGIN // modern alternative, inside CSP Content-Security-Policy: frame-ancestors 'self'
Voor uw bezwaar Als de gemeente een bezwaar-intrek-knop biedt zonder frame-bescherming, kan een aanvaller met een phishing-pagina bezwaren laten intrekken of onbedoelde betalingen triggeren.
Pour votre contestation Si la commune propose un bouton de retrait sans protection iframe, un attaquant peut via une page de phishing faire retirer des contestations ou déclencher des paiements involontaires.
Für Ihre Anfechtung Bietet die Gemeinde eine Rückzugs-Schaltfläche ohne Frame-Schutz, kann ein Angreifer via Phishing-Seite Einsprüche zurücknehmen lassen oder unbeabsichtigte Zahlungen auslösen.
For your contestation If the municipality offers a withdrawal button with no frame protection, an attacker can via a phishing page trigger contestation withdrawals or unintended payments.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32

6. X-Content-Type-Options — MIME-sniffing misbruik

Browsers proberen soms “te raden” welk type een bestand is. Aanvallers misbruiken dat: zij uploaden een schijnbaar onschuldige afbeelding die vervolgens als JavaScript wordt geïnterpreteerd. De eenregelige header X-Content-Type-Options: nosniff zet dat raden uit.

6. X-Content-Type-Options — abus du MIME-sniffing

Les navigateurs tentent parfois de « deviner » le type d’un fichier. Les attaquants en abusent : ils téléversent une image apparemment anodine ensuite interprétée comme JavaScript. L’en-tête d’une ligne X-Content-Type-Options: nosniff désactive cette devinette.

6. X-Content-Type-Options — Missbrauch des MIME-Sniffings

Browser versuchen manchmal zu „raten“, welchen Typ eine Datei hat. Angreifer nutzen das aus: Sie laden ein scheinbar harmloses Bild hoch, das dann als JavaScript interpretiert wird. Der Einzeiler X-Content-Type-Options: nosniff schaltet das Raten ab.

6. X-Content-Type-Options — MIME-sniffing abuse

Browsers sometimes try to “guess” a file’s type. Attackers exploit that: they upload an apparently innocent image which is then interpreted as JavaScript. The one-line header X-Content-Type-Options: nosniff turns that guessing off.

X-Content-Type-Options: nosniff
Voor uw bezwaar Als deze header ontbreekt op een site met upload­functionaliteit (bezwaar-bijlagen, foto's), is dat een aantoonbaar gat. Geen kostenbarrière kan het ontbreken verklaren.
Pour votre contestation Si cet en-tête manque sur un site avec fonctionnalité de téléversement (annexes, photos), c’est une faille démontrable. Aucun coût ne peut expliquer son absence.
Für Ihre Anfechtung Fehlt dieser Header auf einer Seite mit Upload-Funktion (Anhänge, Fotos), ist das eine nachweisbare Lücke. Keine Kostenbarriere kann das Fehlen erklären.
For your contestation If this header is missing on a site with upload functionality (attachments, photos), that is a demonstrable gap. No cost barrier can explain its absence.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32

7. Derde-partij trackers — Google Analytics, GTM, Facebook Pixel

Veel gemeentesites laden — vaak zonder dat de beheerder het nog weet — scripts van grote Amerikaanse technologie­bedrijven. Google Tag Manager is geen tracker op zich, maar een lader van andere trackers; eenmaal actief, kan het asynchroon Google Analytics, Facebook Pixel, LinkedIn Insight Tag en soms tientallen andere dingen laden.

Elk script krijgt toegang tot uw IP, browserversie, OS, de URL, en event-parameters. Bij Facebook Pixel worden bezoeken gekoppeld aan uw Facebook-account als u ooit bent aangemeld.

7. Traceurs tiers — Google Analytics, GTM, Facebook Pixel

Beaucoup de sites communaux chargent — souvent sans que l’administrateur ne le sache — des scripts de grandes entreprises technologiques américaines. Google Tag Manager n’est pas un traceur en soi mais un chargeur d’autres traceurs ; une fois actif, il peut charger de façon asynchrone Google Analytics, Facebook Pixel, LinkedIn Insight Tag et parfois des dizaines d’autres choses.

Chaque script accède à votre IP, version de navigateur, OS, URL et paramètres d’événement. Avec Facebook Pixel, les visites sont liées à votre compte Facebook si vous y avez été connecté.

7. Drittanbieter-Tracker — Google Analytics, GTM, Facebook Pixel

Viele Gemeindewebsites laden — oft ohne das Wissen des Administrators — Skripte großer US-Technologie­unternehmen. Google Tag Manager ist an sich kein Tracker, sondern ein Lader anderer Tracker; einmal aktiv, kann er asynchron Google Analytics, Facebook Pixel, LinkedIn Insight Tag und manchmal Dutzende andere Dinge laden.

Jedes Skript erhält Zugriff auf Ihre IP, Browserversion, OS, URL und Event-Parameter. Mit Facebook Pixel werden Besuche mit Ihrem Facebook-Konto verknüpft, wenn Sie jemals angemeldet waren.

7. Third-party trackers — Google Analytics, GTM, Facebook Pixel

Many municipal sites load — often without the administrator knowing — scripts from large US technology companies. Google Tag Manager isn’t a tracker itself, but a loader of other trackers; once active, it can asynchronously load Google Analytics, Facebook Pixel, LinkedIn Insight Tag and sometimes dozens of other things.

Each script gets access to your IP, browser version, OS, URL and event parameters. With Facebook Pixel, visits are linked to your Facebook account if you were ever signed in.

Browser opens page Municipal server serves HTML + scripts HTTP Google Analytics IP, URL, cookie-ID Facebook Pixel + Facebook-ID Google Tag Manager loads more trackers Google Fonts IP + font choice Four different US companies receive your visit before you type anything
Wat kan er mis gaan? Uw IP en browser-fingerprint worden gekoppeld aan het feit dat u een bezwaar-pagina bezocht. Via GA en Pixel kan dat profielgegevens verrijken voor advertentie-targeting — voor mensen in kwetsbare situaties een reëel risico.
Qu’est-ce qui peut mal tourner ? Votre IP et empreinte navigateur sont liés au fait que vous avez visité une page de contestation. Via GA et Pixel, cela peut enrichir des profils publicitaires — un risque réel pour les personnes vulnérables.
Was kann schiefgehen? Ihre IP und Ihr Browser-Fingerabdruck werden damit verknüpft, dass Sie eine Einspruchsseite besucht haben. Über GA und Pixel kann das Werbeprofile anreichern — für Menschen in prekären Situationen ein reales Risiko.
What can go wrong? Your IP and browser fingerprint get linked to the fact that you visited a contestation page. Via GA and Pixel that can enrich ad-targeting profiles — a real risk for people in vulnerable situations.
Voor uw bezwaar Het GBA oordeelt dat GA/GTM/Pixel vóór toestemming schenden van artikel 129 WEC. Voor overheidssites is er geen geldige rechtsgrond voor marketing-analytics.
Pour votre contestation L’APD juge que charger GA/GTM/Pixel avant consentement viole l’article 129 LCE. Pour les sites publics, il n’existe pas de base légale valable pour l’analytique publicitaire.
Für Ihre Anfechtung Die DSB urteilt, dass das Laden von GA/GTM/Pixel vor der Einwilligung gegen Art. 129 GEK verstößt. Für Behördenseiten gibt es keine gültige Rechtsgrundlage für Marketing-Analytik.
For your contestation The DPA has ruled that loading GA/GTM/Pixel before consent breaches article 129 ECA. For public sites there is no valid legal basis for marketing analytics.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 129 + Art. 6 + Ch. V

8. Schrems II en doorgiften naar de VS

Het Europees Hof van Justitie heeft in juli 2020 (arrest Schrems II, C-311/18) het EU-US Privacy Shield ongeldig verklaard. Amerikaanse inlichtingendiensten hebben te brede bevoegdheden om EU-persoonsgegevens te onderscheppen; Europese burgers hebben geen effectieve rechtsmiddelen in de VS.

Elke doorgifte — via GA, Pixel, Google Fonts, AWS — is in principe onrechtmatig, tenzij er aanvullende waarborgen zijn (SCC’s, Transfer Impact Assessment, encryptie).

8. Schrems II et transferts vers les États-Unis

La CJUE a invalidé en juillet 2020 (arrêt Schrems II, C-311/18) le Privacy Shield UE-US. Les services de renseignement américains disposent de pouvoirs trop étendus pour intercepter les données des citoyens européens, qui n’ont pas de voies de recours effectives aux États-Unis.

Tout transfert — via GA, Pixel, Google Fonts, AWS — est en principe illicite, sauf garanties supplémentaires (CCT, évaluation d’impact, chiffrement).

8. Schrems II und US-Übermittlungen

Der EuGH hat im Juli 2020 (Urteil Schrems II, C-311/18) das EU-US-Privacy-Shield für ungültig erklärt. US-Nachrichtendienste haben zu weitreichende Befugnisse zur Erfassung von EU-Daten; europäische Bürger haben in den USA keine wirksamen Rechtsmittel.

Jede Übermittlung — via GA, Pixel, Google Fonts, AWS — ist grundsätzlich unrechtmäßig, außer es gibt Zusatzgarantien (SCC, Transfer-Folgenabschätzung, Verschlüsselung).

8. Schrems II and US transfers

The CJEU invalidated the EU-US Privacy Shield in July 2020 (Schrems II, C-311/18). US intelligence agencies have overly broad powers to intercept EU citizens’ data; EU citizens have no effective judicial remedy in the US.

Any transfer — via GA, Pixel, Google Fonts, AWS — is in principle unlawful unless supplementary safeguards exist (SCCs, Transfer Impact Assessment, encryption).

Voor uw bezwaar Dit is een van de krachtigste argumenten. Wanneer de audit GA/GTM/Pixel/Fonts aantreft en de privacy­verklaring geen SCC vermeldt, is de hele verwerkingsketen onrechtmatig en kan de sanctie nietig verklaard worden.
Pour votre contestation C’est l’un des arguments les plus puissants. Si l’audit trouve GA/GTM/Pixel/Fonts sans que la déclaration de confidentialité mentionne une CCT, toute la chaîne de traitement est illicite et la sanction peut être annulée.
Für Ihre Anfechtung Eines der stärksten Argumente. Findet das Audit GA/GTM/Pixel/Fonts und nennt die Datenschutzerklärung keine SCC, ist die gesamte Verarbeitungskette unrechtmäßig und die Sanktion kann für nichtig erklärt werden.
For your contestation One of the strongest arguments. When the audit finds GA/GTM/Pixel/Fonts and the privacy statement cites no SCCs, the entire processing chain is unlawful and the sanction can be voided.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Ch. V

9. Cookie-toestemming — art. 129 WEC / ePrivacy

De ePrivacy-richtlijn (in België via art. 129 WEC) vereist voorafgaande en uitdrukkelijke toestemming voor elke niet-noodzakelijke tracker. “Voorafgaand” betekent: vóór de browser de tracker laadt. In de praktijk laden veel sites GA en Pixel onmiddellijk en tonen dan pas de cookiebanner — schade reeds aangericht.

9. Consentement cookie — art. 129 LCE / ePrivacy

La directive ePrivacy (en Belgique via l’art. 129 LCE) exige un consentement préalable et explicite pour tout traceur non essentiel. « Préalable » signifie : avant le chargement du traceur. En pratique, beaucoup de sites chargent GA et Pixel immédiatement puis affichent la bannière — le mal est déjà fait.

9. Cookie-Einwilligung — Art. 129 GEK / ePrivacy

Die ePrivacy-Richtlinie (in Belgien über Art. 129 GEK) verlangt eine vorherige und ausdrückliche Einwilligung für jeden nicht notwendigen Tracker. „Vorherig“ bedeutet: bevor der Browser den Tracker lädt. In der Praxis laden viele Seiten GA und Pixel sofort und zeigen erst dann das Cookie-Banner — der Schaden ist schon angerichtet.

9. Cookie consent — art. 129 ECA / ePrivacy

The ePrivacy directive (in Belgium via art. 129 ECA) requires prior and explicit consent for any non-essential tracker. “Prior” means: before the browser loads the tracker. In practice many sites load GA and Pixel immediately and only then show the cookie banner — the damage is already done.

Voor uw bezwaar Het GBA vereist een “Weigeren alles”-knop op gelijke voet met “Aanvaarden alles”. Een grote groene “Aanvaarden” met een verstopte instellingen-link waar “Weigeren” na drie klikken bereikbaar is, is een dark pattern (GBA 56/2026 Dilbeek).
Pour votre contestation L’APD exige un bouton « Tout refuser » au même niveau que « Tout accepter ». Un gros bouton vert « Accepter » avec un lien paramètres caché où « Refuser » n’est accessible qu’après trois clics est un dark pattern (APD 56/2026 Dilbeek).
Für Ihre Anfechtung Die DSB verlangt eine „Alles ablehnen“-Schaltfläche gleichrangig zu „Alles akzeptieren“. Ein großer grüner „Akzeptieren“-Button mit einem versteckten Einstellungen-Link, wo „Ablehnen“ erst nach drei Klicks erreichbar ist, ist ein Dark Pattern (DSB 56/2026 Dilbeek).
For your contestation The DPA requires a “Reject all” button on equal footing with “Accept all”. A big green “Accept” button with a hidden settings link where “Reject” takes three clicks is a dark pattern (DPA 56/2026 Dilbeek).
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 129 + GBA 56/2026

10. Verwerkers­overeenkomsten — art. 28 AVG

Elke externe dienst die een gemeente gebruikt (ANPR-cameraleverancier, inningskantoor, hostingpartij) vereist een schriftelijke verwerkers­overeenkomst vóór de eerste verwerking. Het GBA is streng: een retroactief ondertekende DPA kan eerdere verwerkingen niet genezen (GBA 56/2026 Dilbeek).

10. Contrats de sous-traitance — art. 28 RGPD

Tout prestataire externe utilisé par une commune (caméra ANPR, bureau de recouvrement, hébergeur) requiert un contrat de sous-traitance écrit avant le premier traitement. L’APD est stricte : un DPA signé rétroactivement ne peut pas guérir les traitements antérieurs (APD 56/2026 Dilbeek).

10. Auftragsverarbeitungsverträge — Art. 28 DSGVO

Jeder externe Dienst, den eine Gemeinde nutzt (ANPR-Kameralieferant, Inkassobüro, Hoster), erfordert einen schriftlichen AV-Vertrag vor der ersten Verarbeitung. Die DSB ist streng: Ein rückwirkend unterzeichneter AV kann frühere Verarbeitungen nicht heilen (DSB 56/2026 Dilbeek).

10. Processor agreements — art. 28 GDPR

Every external service a municipality uses (ANPR camera vendor, collection agency, hosting provider) requires a written processor agreement before the first processing. The DPA is strict: a retroactively signed DPA cannot cure earlier processing (DPA 56/2026 Dilbeek).

Voor uw bezwaar Vraag expliciet om de DPA met elk van de verwerkers. Bij veel gemeenten ontbreekt er een of meer. Zonder DPA is de verwerking onrechtmatig, ongeacht de inhoudelijke juistheid van de boete.
Pour votre contestation Demandez expressément le DPA avec chaque sous-traitant. Beaucoup de communes en ont oublié un ou plusieurs. Sans DPA, le traitement est illicite quelle que soit la pertinence de l’amende.
Für Ihre Anfechtung Fordern Sie ausdrücklich den AV-Vertrag mit jedem Auftragsverarbeiter. Bei vielen Gemeinden fehlt mindestens einer. Ohne AV ist die Verarbeitung unrechtmäßig, unabhängig von der sachlichen Richtigkeit des Bußgelds.
For your contestation Expressly request the DPA with each processor. Many municipalities are missing one or more. Without a DPA, processing is unlawful regardless of the substantive correctness of the fine.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 28(3) + GBA 56/2026

11. Verouderde software — Drupal 7 is EOL

Drupal 7 bereikte End-of-Life op 5 januari 2025. Geen beveiligingsupdates meer. Elke beveiligingsfout die na die datum wordt gepubliceerd blijft eeuwig openstaan. Verschillende Belgische overheidssites draaien (in april 2026) nog steeds op Drupal 7.

11. Logiciels obsolètes — fin de vie de Drupal 7

Drupal 7 est en fin de vie depuis le 5 janvier 2025. Plus aucune mise à jour de sécurité. Toute faille publiée après cette date reste ouverte à jamais. Plusieurs sites publics belges tournent encore (avril 2026) sur Drupal 7.

11. Veraltete Software — Drupal 7 ist EOL

Drupal 7 hat am 5. Januar 2025 sein End-of-Life erreicht. Keine Sicherheitsupdates mehr. Jede nach diesem Datum veröffentlichte Sicherheitslücke bleibt dauerhaft offen. Mehrere belgische Behördenseiten laufen (April 2026) noch auf Drupal 7.

11. Outdated software — Drupal 7 is EOL

Drupal 7 reached end-of-life on 5 January 2025. No more security updates. Any vulnerability disclosed after that date stays open forever. Several Belgian public sites (April 2026) are still running Drupal 7.

Voor uw bezwaar Eis bewijs dat de site draait op een onder support staand CMS (art. 32 AVG). Een schriftelijke DPIA zou dit moeten vermelden; als die er niet is, komt er een schending van art. 35 AVG bovenop.
Pour votre contestation Exigez la preuve que le site tourne sur un CMS sous support (art. 32 RGPD). Une AIPD écrite devrait le mentionner ; sans AIPD, s’ajoute une violation de l’art. 35 RGPD.
Für Ihre Anfechtung Fordern Sie den Nachweis, dass die Seite auf einem unterstützten CMS läuft (Art. 32 DSGVO). Eine schriftliche DSFA sollte dies dokumentieren; fehlt sie, kommt ein Verstoß gegen Art. 35 DSGVO hinzu.
For your contestation Demand proof that the site runs on a supported CMS (art. 32 GDPR). A written DPIA should record this; if missing, an art. 35 GDPR violation is added.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32 + Art. 35

12. Geheimen in de browser — API-tokens in de HTML

Soms ontdekt onze audit een API-token rechtstreeks in de HTML (Mapbox, Google Maps, CRM-key). Alles wat in de HTML staat is zichtbaar voor iedereen die de pagina laadt. Een aanvaller kan het token overnemen en de rekening van de gemeente belasten.

12. Secrets dans le navigateur — jetons d’API dans le HTML

Parfois notre audit détecte un jeton d’API directement dans le HTML (Mapbox, Google Maps, clé CRM). Tout ce qui est dans le HTML est visible pour quiconque charge la page. Un attaquant peut reprendre le jeton et charger le compte de la commune.

12. Geheimnisse im Browser — API-Tokens im HTML

Manchmal entdeckt unser Audit ein API-Token direkt im HTML (Mapbox, Google Maps, CRM-Schlüssel). Alles im HTML ist für jeden Seitenbesucher sichtbar. Ein Angreifer kann das Token übernehmen und das Konto der Gemeinde belasten.

12. Secrets in the browser — API tokens in the HTML

Sometimes our audit discovers an API token directly in the HTML (Mapbox, Google Maps, CRM key). Everything in the HTML is visible to whoever loads the page. An attacker can take over the token and charge it against the municipality.

Voor uw bezwaar Dit wijst op bredere onzorg­vuldigheid: als de gemeente haar eigen tokens niet beveiligt, is er weinig reden om aan te nemen dat zij uw gegevens beter beveiligt.
Pour votre contestation Cela révèle une négligence plus large : si la commune ne protège pas ses propres jetons, peu de chances qu’elle protège mieux vos données.
Für Ihre Anfechtung Zeigt größere Sorglosigkeit: Kann die Gemeinde ihre eigenen Tokens nicht schützen, gibt es wenig Grund zu glauben, dass sie Ihre Daten besser schützt.
For your contestation This points to broader carelessness: if the municipality cannot protect its own tokens, there is little reason to believe it protects your data better.
Rechtsbasis: Base légale : Rechtsgrundlage: Legal basis: Art. 32

13. Hoe dit zich vertaalt naar uw bezwaar­schrift

Elk van de bovenstaande vaststellingen is één datapunt. Wij combineren ze in vier samenhangende argumentatielijnen:

a. Onrechtmatige bewijsgaring

Als de gemeente uw gegevens via ongepaste middelen heeft verwerkt, is de onderliggende bewijs­keten wettelijk gebrekkig. Het feit dat u de boete kreeg verandert niets aan het feit dat de verkrijging onrechtmatig was.

b. Ontbreken van rechtsgrond

Voor marketing-analytics op een overheidssite bestaat geen rechtsgrond. Zonder geldige rechtsgrond is de verwerking onrechtmatig en kan de sanctie nietig.

c. Schendingen van Hoofdstuk V (doorgiften naar VS)

Elke GA-/Pixel-/Fonts-integratie zonder Transfer Impact Assessment is een schending van art. 44–49 AVG. Voldoende voor een klacht bij het GBA.

d. Ontbrekende beveiligings­maatregelen

Stapeling van kleine gebreken toont aan dat de gemeente geen systematische beveiligingsaanpak heeft. Versterkt argumenten (a) en (c).

13. Comment cela se traduit dans votre contestation

Chacun des constats ci-dessus est un point de données. Nous les combinons en quatre axes d’argumentation :

a. Collecte probatoire illicite

Si la commune a traité vos données par des moyens inadéquats, la chaîne probatoire sous-jacente est juridiquement défectueuse. Le fait que vous ayez reçu l’amende ne change rien au caractère illicite de la collecte.

b. Absence de base légale

Pour l’analytique publicitaire sur un site public, il n’existe pas de base légale. Sans base valable, le traitement est illicite et la sanction peut être annulée.

c. Violations du Chapitre V (transferts vers les États-Unis)

Toute intégration GA/Pixel/Fonts sans évaluation d’impact est une violation des art. 44–49 RGPD. Suffisant pour une plainte auprès de l’APD.

d. Mesures de sécurité manquantes

L’accumulation de petites lacunes démontre l’absence d’une approche systématique de la sécurité. Renforce les arguments (a) et (c).

13. Wie sich das in Ihrer Anfechtung niederschlägt

Jede der obigen Feststellungen ist ein Datenpunkt. Wir kombinieren sie zu vier zusammenhängenden Argumentationslinien:

a. Unrechtmäßige Beweiserhebung

Hat die Gemeinde Ihre Daten über ungeeignete Mittel verarbeitet, ist die zugrundeliegende Beweiskette rechtlich fehlerhaft. Dass Sie das Bußgeld erhalten haben, ändert nichts an der Unrechtmäßigkeit der Erhebung.

b. Fehlen einer Rechtsgrundlage

Für Marketing-Analytik auf einer Behördenseite gibt es keine Rechtsgrundlage. Ohne gültige Grundlage ist die Verarbeitung unrechtmäßig und die Sanktion nichtig.

c. Verstöße gegen Kapitel V (US-Übermittlungen)

Jede GA-/Pixel-/Fonts-Integration ohne Transfer-Folgenabschätzung ist ein Verstoß gegen Art. 44–49 DSGVO. Ausreichend für eine Beschwerde bei der DSB.

d. Fehlende Sicherheitsmaßnahmen

Eine Häufung kleiner Mängel zeigt, dass die Gemeinde keinen systematischen Sicherheitsansatz hat. Stärkt die Argumente (a) und (c).

13. How all this translates into your contestation

Each of the findings above is a single data point. We combine them into four coherent argument lines:

a. Unlawful evidence collection

If the municipality processed your data by inadequate means, the underlying evidence chain is legally flawed. The fact that you received the fine does not change the unlawful nature of the collection.

b. Absence of a legal basis

For marketing analytics on a public site there is no legal basis. Without a valid basis, processing is unlawful and the sanction can be voided.

c. Chapter V violations (US transfers)

Every GA/Pixel/Fonts integration without a Transfer Impact Assessment breaches arts. 44–49 GDPR. Sufficient for a complaint with the DPA.

d. Missing security measures

An accumulation of small gaps shows the municipality has no systematic security approach. Strengthens arguments (a) and (c).

Wat doen wij voor u? Wanneer u via PVResponse uw bezwaar opstelt, voegen wij automatisch een selectie van deze argumenten toe, toegespitst op uw specifieke gemeente. De audit-data zijn openbaar en controleer­baar via uw browser's DevTools.
Que faisons-nous pour vous ? Lorsque vous rédigez votre contestation via PVResponse, nous ajoutons automatiquement une sélection de ces arguments, adaptés à votre commune spécifique. Les données d’audit sont publiques et vérifiables via les DevTools de votre navigateur.
Was tun wir für Sie? Wenn Sie via PVResponse Ihre Anfechtung erstellen, fügen wir automatisch eine Auswahl dieser Argumente hinzu, zugeschnitten auf Ihre spezifische Gemeinde. Die Audit-Daten sind öffentlich und via DevTools Ihres Browsers prüfbar.
What do we do for you? When you draft your contestation via PVResponse, we automatically add a selection of these arguments, tailored to your specific municipality. The audit data is public and verifiable via your browser’s DevTools.

Vragen of feedback?

Neem contact op via onze contactpagina. Voor de juridische bronverwijzingen, zie onze GBA & AVG-pagina.

Questions ou retours ?

Contactez-nous via notre page de contact. Pour les références juridiques, voyez notre page APD & RGPD.

Fragen oder Feedback?

Kontaktieren Sie uns über unsere Kontaktseite. Für die juristischen Verweise siehe unsere DSB & DSGVO-Seite.

Questions or feedback?

Reach us via our contact page. For legal references, see our DPA & GDPR page.