compliance
Wat GDPR ons leerde over de EAA
De European Accessibility Act volgt hetzelfde handhavingstraject als GDPR. Als je organisatie GDPR op de harde manier heeft geleerd, lees dan hier hoe je dat niet herhaalt.
We hebben dit eerder meegemaakt
In 2018 trad GDPR in werking en de reactie van de meeste organisaties volgde een voorspelbaar verloop. Een periode van bijna-stilte. Toen, naarmate de deadline naderde, een haastwerk. En toen de handhaving daadwerkelijk kwam, echte urgentie en een race om conform te worden op een tijdlijn die veel korter was dan hij had moeten zijn.
De European Accessibility Act bevindt zich op hetzelfde traject. De deadline — 28 juni 2025 — is verstreken. De handhaving is gaande. En de organisaties die toegankelijkheid behandelden als een “dat regelen we uiteindelijk wel”-kwestie, ontdekken nu dat “uiteindelijk” is aangebroken.
Als je GDPR hebt doorgemaakt, zal veel van wat volgt bekend voorkomen.
Wat ze gemeen hebben
Een nalevingsdeadline die de meeste organisaties misten
Toen GDPR in mei 2018 in werking trad, toonden onderzoeken aan dat een meerderheid van de EU-bedrijven niet conform was — in sommige rapporten lag dat cijfer boven de 60%. Het verhaal bij de EAA ziet er vergelijkbaar uit. Onderzoek dat kort vóór de deadline van juni 2025 werd gepubliceerd, liet consequent zien dat slechts een klein deel van de onder de wet vallende bedrijven een betekenisvolle naleving had bereikt.
Beide wetten delen hetzelfde basispatroon: een lange aanloopperiode waarin de meeste organisaties beperkte actie ondernemen, gevolgd door een golf van activiteit naarmate de deadline nadert, gevolgd door doorlopende handhaving voor degenen die niet snel genoeg handelden.
Een territoriaal toepassingsgebied dat veel bedrijven onderschatten
GDPR is van toepassing op elke organisatie die gegevens van EU-inwoners verwerkt, ongeacht waar de organisatie is gevestigd. De EAA werkt op vergelijkbare wijze: als je digitale product of dienst wordt verkocht aan klanten in de EU, en je organisatie voldoet aan de omvangsdrempels (meer dan 10 werknemers en meer dan €2 miljoen omzet), moet je voldoen — ongeacht of je hoofdkantoor in München of San Francisco staat.
Veel niet-EU-bedrijven waren verrast door de reikwijdte van GDPR. Hetzelfde gebeurt met de EAA.
Een sanctiekader met echte tanden
De boetes van GDPR — tot 4% van de wereldwijde jaaromzet of €20 miljoen, afhankelijk van welke hoger is — haalden de krantenkoppen. Organisaties kregen boetes van miljoenen euro’s opgelegd voor tekortkomingen die in veel gevallen te voorkomen waren.
EAA-boetes worden op nationaal niveau vastgesteld, dus ze verschillen per lidstaat. Maar ze zijn niet triviaal. Italië en Frankrijk voorzien beide in boetes in de orde van tienduizenden euro’s per overtreding. De implementatie van het Duitse Barrierefreiheitsstärkungsgesetz (BFSG) omvat aanzienlijke boetes. En anders dan bij GDPR, waar veel overtredingen aan het licht kwamen via datalekken of klachten, zijn toegankelijkheidsfouten zichtbaar voor iedereen die je website met een schermlezer bezoekt — inclusief de belangenorganisaties voor mensen met een beperking die toegankelijkheidsklachten indienen.
Waar de EAA verschilt van GDPR
Toegankelijkheidsovertredingen zijn van buitenaf zichtbaar
GDPR-overtredingen vereisten vaak een klacht van een insider of een melding van een datalek om aan het licht te komen. Toegankelijkheidsfouten zijn openbaar vindbaar. Iedereen kan je website openen, een automatische scan uitvoeren of hem testen met een schermlezer en documenteren wat hij vindt. Belangengroepen voor mensen met een beperking doen precies dit, systematisch.
Dit betekent dat de groep potentiële klagers veel groter is, en de drempel om een klacht in te dienen veel lager. Je hebt geen toegang nodig tot interne systemen of gelekte documenten. Je hebt alleen een browser nodig.
De technische standaard is al gespecificeerd
GDPR vereiste dat organisaties “passende technische en organisatorische maatregelen” namen om gegevens te beschermen — een standaard die bewust vaag was gehouden om ruimte te laten voor technologische verandering. De EAA specificeert een concrete technische standaard: EN 301 549, die verwijst naar de Web Content Accessibility Guidelines (WCAG 2.1/2.2) op niveau AA.
Deze duidelijkheid is een tweesnijdend zwaard. Aan de ene kant weten organisaties precies wat ze moeten bereiken. Aan de andere kant maakt het het gemakkelijk om niet-naleving aan te tonen — automatische tools kunnen in seconden een gedetailleerd overtredingsrapport genereren.
Vroege handhaving is al aan de gang
GDPR kende een relatief rustig eerste handhavingsjaar voordat de grote boetes kwamen. De EAA-handhaving beweegt sneller. Franse autoriteiten begonnen kort na de deadline met het uitgeven van ingebrekestellingen aan grote retailers. Een rechtbank in Parijs deed uitspraak in een zaak over de toegankelijkheid van een schoolplatform, met mogelijke boetes van €25.000 per jaar. Belangenorganisaties in EU-lidstaten dienen actief klachten in.
De GDPR-lessen die van toepassing zijn op de EAA
”We worden wel conform voordat de handhaving ons bereikt” is geen strategie
Veel organisaties maakten deze afweging bij GDPR en ontdekten dat de handhaving sneller en gerichter was dan ze hadden verwacht. Toegankelijkheidsklachten worden nu ingediend. De organisaties die hierop voorlopen, zijn degene die beginnen met auditen en remediëren voordat ze een formele ingebrekestelling ontvangen.
Documentatie doet er net zoveel toe als de technische oplossing
GDPR vereiste dat organisaties registers van verwerkingsactiviteiten, gegevensbeschermingseffectbeoordelingen en bewijs van toestemming bijhielden. De EAA vereist toegankelijke platforms en, in veel nationale implementaties, toegankelijkheidsverklaringen die de huidige conformiteitsniveaus, bekende uitzonderingen en contactmechanismen voor gebruikers om barrières te melden documenteren.
Een toegankelijkheidsverklaring die je huidige staat nauwkeurig weerspiegelt — en kunnen aantonen dat je doorlopend verbetert — is betekenisvol bewijs van naleving te goeder trouw.
Naleving is een proces, geen project
De denkfout bij GDPR was om naleving te behandelen als een vakje dat je aankruist: schakel een juridisch team in, werk het privacybeleid bij, voeg cookiebanners toe, klaar. Veel organisaties stopten daarna — om er vervolgens achter te komen dat ze hun naleving opnieuw moesten bekijken toen ze nieuwe producten lanceerden of bestaande bijwerkten.
Toegankelijkheid werkt op dezelfde manier. Elke nieuwe functie, elk component van derden, elke ontwerpvernieuwing kan nieuwe barrières introduceren. Duurzame naleving vereist het integreren van toegankelijkheid in je ontwikkel- en contentworkflows, en niet het behandelen ervan als een eenmalige remediëring. Onze gids over toegankelijkheid in de softwareontwikkelingslevenscyclus beschrijft hoe dit er in de praktijk uitziet.
Begin met een nulmeting
Voordat je remediëring kunt plannen, moet je begrijpen waar je nu staat. Dat betekent het uitvoeren van een audit — zowel automatisch als handmatig — om de fouten te documenteren, ze te prioriteren op impact en frequentie en een realistisch remediëringsplan te maken.
Als je dit nog niet hebt gedaan, is het snelste startpunt een gratis automatische scan, die je direct een beeld geeft van de automatiseerbare overtredingen. Voor het volledige beeld — inclusief de ongeveer 60–70% van de barrières die automatische tools niet kunnen detecteren — is handmatig testen door mensen die hulptechnologie gebruiken noodzakelijk.
De organisaties die GDPR goed aanpakten, wachtten niet op de handhaving. Ze beoordeelden hun positie, maakten een plan en voerden het uit met dezelfde urgentie die ze zouden toepassen op elk ander materieel bedrijfsrisico. De EAA verdient dezelfde behandeling.
Ontdek of je site voldoet aan de EAA-eisen