AVG en cookies: gids voor conforme naleving

Cookies en de AVG: meer dan een banner

De cookiewetgeving in Nederland rust op twee pijlers: de Telecommunicatiewet (artikel 11.7a) en de AVG (Algemene Verordening Gegevensbescherming). Samen bepalen ze wanneer u cookies mag plaatsen, welke toestemming nodig is en hoe u dit transparant communiceert aan bezoekers.

De Autoriteit Persoonsgegevens (AP) en de ACM (Autoriteit Consument & Markt) houden hier actief toezicht op. In 2024 legde de AP meerdere boetes op voor niet-conforme cookiepraktijken.

Drie categorieën cookies

Niet alle cookies zijn gelijk. De wetgeving maakt onderscheid op basis van doel:

1. Functionele cookies — geen toestemming nodig

Cookies die strikt noodzakelijk zijn voor het functioneren van de website:

• Sessiecookies voor winkelwagen
• Authenticatiecookies na inloggen
• Load balancing cookies
• Voorkeurscookies (taal, regio)

2. Analytische cookies — beperkte toestemming

Cookies voor het meten van websitegebruik. Onder voorwaarden is geen toestemming nodig:

• De privacy-impact is gering (geanonimiseerd)
• Er is een verwerkersovereenkomst met de analytics-aanbieder
• IP-adressen worden geanonimiseerd
• Gegevens worden niet gedeeld met derden

Google Analytics voldoet in de standaardconfiguratie niet aan deze voorwaarden. Alternatieven zoals Matomo (zelf gehost), Plausible of Fathom bieden meer privacy-vriendelijke opties.

3. Tracking/marketing cookies — altijd toestemming vereist

Cookies die bezoekers volgen over meerdere websites, profielen opbouwen of gepersonaliseerde advertenties tonen:

• Retargeting cookies (Meta Pixel, Google Ads)
• Social media plugins met tracking
• Cross-site tracking cookies
• Fingerprinting-technieken

Zonder expliciete, vrije, geïnformeerde en specifieke toestemming zijn deze cookies verboden.

De 7 eisen voor een conforme cookiebanner

De AP heeft duidelijke richtlijnen gepubliceerd voor cookiebanners. Uw banner moet:

1. Vooraf informeren

Bezoeker moet weten welke cookies u wilt plaatsen en waarom, vóórdat ze worden geplaatst.

2. Vrije keuze bieden

De optie om te weigeren moet even makkelijk zijn als accepteren. Een grote "Accepteer alles"-knop naast een klein "Instellingen"-linkje is niet conform.

3. Geen vooraf aangevinkte vakjes

Cookies mogen niet standaard actief zijn. De bezoeker moet actief kiezen.

4. Specifiek per doel

Toestemming moet per cookie-categorie worden gevraagd. "Alles of niets" is niet toegestaan als enige optie.

5. Geen cookie walls

Toegang tot de website mag niet afhankelijk zijn van het accepteren van niet-functionele cookies (met uitzondering van sommige betaalde mediamodellen).

6. Bewijs bewaren

U moet kunnen aantonen dat en wanneer toestemming is gegeven. Bewaar consent-records.

7. Intrekking eenvoudig maken

Bezoekers moeten hun toestemming op elk moment even makkelijk kunnen intrekken als geven.

Technische implementatie

Consent Management Platform (CMP)

Een CMP automatiseert het cookiebeheer. Veelgebruikte opties in Nederland:

| CMP | Type | TCF 2.2 | Prijs | |---|---|---|---| | Cookiebot | SaaS | Ja | Vanaf gratis | | CookieYes | SaaS | Ja | Vanaf gratis | | Complianz | WordPress plugin | Ja | Vanaf €45/jaar | | Klaro | Open source | Nee | Gratis | | Osano | SaaS | Ja | Vanaf gratis |

Implementatievolgorde

1. Blokkeer standaard — geen niet-functionele cookies vóór consent
2. Toon banner — met duidelijke opties per categorie
3. Registreer keuze — sla consent op met timestamp
4. Activeer scripts — alleen voor goedgekeurde categorieën
5. Respecteer weigering — geen tracking als bezoeker weigert

Code-voorbeeld: conditioneel laden

// Laad Google Analytics ALLEEN na toestemming
if (consentGiven('analytics')) {
  loadScript('https://www.googletagmanager.com/gtag/js?id=GA_ID');
}

// Marketing pixels ALLEEN na expliciete keuze
if (consentGiven('marketing')) {
  loadScript('https://connect.facebook.net/en_US/fbevents.js');
}

Veelgemaakte fouten

| Fout | Risico | |---|---| | Cookies plaatsen vóór consent | Directe overtreding Telecomwet + AVG | | "Door verder te surfen gaat u akkoord" | Geen geldige toestemming (AP-richtlijn) | | Geen optie om te weigeren | Schending vrije keuze-vereiste | | Consent niet bewaren | Geen bewijs bij controle | | Cookiebeleid niet bijgewerkt | Verouderde informatie = misleiding | | Alleen Engelstalig cookiebeleid | Nederlandse bezoekers moeten geïnformeerd worden in begrijpelijke taal |

AVG-specifieke vereisten

Naast de Telecommunicatiewet stelt de AVG aanvullende eisen wanneer cookies persoonsgegevens verwerken:

• Rechtsgrondslag — toestemming (art. 6(1)(a)) of gerechtvaardigd belang (art. 6(1)(f)) voor analytische cookies
• Privacyverklaring — vermelding van cookies en hun doel in uw privacyverklaring
• Verwerkingsregister — cookies met persoonsgegevens horen in uw verwerkingsregister
• DPIA — bij grootschalige tracking kan een Data Protection Impact Assessment nodig zijn
• Rechten betrokkenen — recht op inzage, verwijdering en bezwaar moet gewaarborgd zijn

Handhaving in Nederland

De AP is actief op het gebied van cookie-handhaving:

• Boetes tot 750.000 euro voor niet-conforme cookiepraktijken
• Regelmatige onderzoeken naar grote websites
• Klachten van burgers worden onderzocht
• Samenwerking met Europese toezichthouders bij grensoverschrijdende verwerkingen

Checklist: is uw cookiebeleid compliant?

• [ ] Functionele cookies gescheiden van tracking cookies
• [ ] Geen cookies vóór toestemming (behalve strikt noodzakelijk)
• [ ] Weigeren even makkelijk als accepteren
• [ ] Consent per categorie mogelijk
• [ ] Consent-records bewaard met timestamp
• [ ] Intrekking toestemming eenvoudig beschikbaar
• [ ] Cookiebeleid actueel en in het Nederlands
• [ ] Analytics conform AP-richtlijnen geconfigureerd

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.