Mag ik de website blokkeren voor bezoekers die cookies weigeren?

In principe niet. Een zogenoemde harde cookiewall waarbij toegang tot de website volledig wordt geweigerd als iemand tracking-cookies afwijst, is in de meeste gevallen niet toegestaan onder de AVG. Toestemming moet vrijelijk gegeven kunnen worden, en dat is niet mogelijk als weigeren directe nadelige gevolgen heeft. Er zijn beperkte uitzonderingen denkbaar, maar die zijn strikt. Raadpleeg https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-tv-en-post/cookies/cookies voor de actuele interpretatie.

Hoe lang mag ik een verkregen toestemming bewaren?

De Autoriteit Persoonsgegevens hanteert als richtlijn dat toestemming maximaal twaalf maanden geldig is. Na deze periode moet jouw website opnieuw om toestemming vragen. Jouw toestemmingsbeheersysteem moet dit automatisch afhandelen. De toestemmingslogboeken zelf dien je minimaal drie jaar te bewaren als bewijs dat toestemming correct is verkregen, voor het geval er een klacht of controle volgt.

Geldt de cookiewet ook voor mijn zakelijke website zonder webshop?

Ja. De verplichting geldt voor iedere website die niet-functionele cookies plaatst, ongeacht of er een webshop aan verbonden is of niet. Zodra je bijvoorbeeld een analytische tool met identificerende mogelijkheden of een social media-knop met trackingfunctie gebruikt, ben je verplicht vooraf toestemming te vragen. Het type bedrijf of de omvang van de website is hierbij niet relevant.

Wat is het verschil tussen een cookiebanner en een cookiewall?

Een cookiebanner is een melding die verschijnt aan de bezoeker met de mogelijkheid toestemming te geven of te weigeren, terwijl de website gewoon toegankelijk blijft. Een cookiewall blokkeert de toegang tot de website totdat de bezoeker een keuze maakt. Een banner is de meest gangbare en juridisch veiligste aanpak. Een harde cookiewall die toegang ontzegt bij weigering is in de meeste situaties niet toegestaan onder de huidige Nederlandse en Europese regelgeving.

Moet ik ook toestemming vragen voor Google Analytics?

Dit hangt af van de configuratie. Standaard Google Analytics plaatst cookies die persoonsgegevens kunnen verwerken, waarvoor toestemming vereist is. Als je de tool zo configureert dat IP-adressen volledig worden geanonimiseerd, er geen advertentiefuncties zijn ingeschakeld en gegevens niet worden gedeeld met derden, valt dit mogelijk onder de beperkte analytische uitzondering. Controleer jouw specifieke configuratie en raadpleeg de actuele uitleg op https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-tv-en-post/cookies/cookies.

Cookiewall implementeren AVG-conform

Wanneer moet je Cookiewall implementeren AVG-conform doen?

Iedere website-eigenaar die cookies plaatst die verder gaan dan strikt noodzakelijk voor de werking van de site, is wettelijk verplicht om vooraf toestemming te vragen. Dit geldt zodra je analytische tools met identificerende mogelijkheden, advertentiecookies of social media-knoppen met trackingfunctie inzet. Er bestaat geen drempel voor bedrijfsgrootte: ook een eenmanszaak met een kleine website valt onder deze verplichting. De Autoriteit Persoonsgegevens handhaaft actief op naleving. Je moet de cookiewall actief hebben vóórdat een bezoeker enige niet-functionele cookie ontvangt. Nieuwe websites dienen direct bij lancering aan de regels te voldoen, bestaande websites die dat nog niet doen lopen nu al risico.

Een uitzondering geldt voor zogenoemde functionele cookies die uitsluitend nodig zijn om de website technisch te laten werken, zoals een sessie-cookie voor een winkelwagen. Deze vereisen geen toestemming, maar je bent wel verplicht bezoekers hierover te informeren via een cookieverklaring. Analytische cookies die volledig geanonimiseerd zijn en waarbij de gegevens niet worden gedeeld met derden, vallen onder een beperkte uitzondering: je mag deze plaatsen zonder toestemming, maar bezoekers moeten wel de mogelijkheid hebben om bezwaar te maken. Twijfel je of jouw specifieke cookies onder een uitzondering vallen, raadpleeg dan de officiële informatie op https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-tv-en-post/cookies/cookies.

Wat heb je nodig vooraf?

Voordat je een cookiewall kunt inrichten, moet je precies weten welke cookies jouw website plaatst. Maak een volledig cookie-overzicht, ook wel een cookielog of cookie-audit genoemd. Noteer per cookie de naam, het doel, de plaatser (jijzelf of een derde partij), de bewaartermijn en of de cookie strikt noodzakelijk is of niet. Je hebt daarnaast een bijgewerkte privacyverklaring nodig waarin je het gebruik van cookies beschrijft. Verder heb je toegang nodig tot de broncode of het contentmanagementsysteem van jouw website om de cookiewall technisch te integreren, of je moet een webontwikkelaar inschakelen.

De voorbereiding die de meeste tijd kost, is het volledig in kaart brengen van alle derde partijen die via jouw website cookies plaatsen. Denk aan ingebedde video's, betaalproviders, chattools en advertentienetwerken. Neem contact op met deze partijen om de exacte cookie-informatie te achterhalen. Stel ook vast welke toestemmingscategorieën je wilt hanteren, doorgaans minimaal: noodzakelijk, analytisch en marketing. Zorg dat je verwerkersovereenkomsten hebt met alle externe partijen die persoonsgegevens via cookies verwerken. Dit fundament moet op orde zijn voordat je de technische implementatie start.

Stappenplan: zo doe je het

Stap 1: Voer een volledige cookie-audit uit. Gebruik een browserextensie of gespecialiseerde scantool om alle cookies op jouw website te identificeren. Documenteer voor elke cookie: naam, plaatser, categorie, doel en bewaartermijn. Dit overzicht vormt de basis voor jouw cookieverklaring en de categorisering in jouw toestemmingsbeheersysteem. Controleer ook pagina's die bezoekers minder vaak bezoeken, zoals de checkout of het contactformulier.

Stap 2: Stel een toestemmingsbeheersysteem (Consent Management Platform) in. Kies een technische oplossing die toestemmingen registreert en bewaart. Zorg dat de tool voldoet aan de IAB TCF-standaard of aantoonbaar aan de AVG-vereisten. Het systeem moet toestemmingen per bezoeker opslaan met tijdstempel, zodat je kunt bewijzen dat toestemming correct is verkregen. Raadpleeg voor de technische vereisten https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-tv-en-post/cookies/cookies.

Stap 3: Ontwerp de cookiemelding conform de AVG-eisen. De melding moet gelijkwaardige opties bieden: accepteren en weigeren moeten even gemakkelijk zijn. Gebruik geen vooraf aangevinkte vakjes. De tekst moet helder en begrijpelijk zijn zonder juridisch jargon. Zorg dat de weiger-knop minstens even prominent aanwezig is als de accepteer-knop, want een verborgen weiger-optie is niet toegestaan en leidt tot handhaving.

Stap 4: Koppel alle niet-functionele scripts aan de toestemming. Pas jouw websitecode zo aan dat tracking-scripts, advertentiepixels en analytische tools pas laden nádat een bezoeker toestemming heeft gegeven voor de betreffende categorie. Scripts die eerder laden dan de toestemming, zijn een veelgemaakte overtreding. Test dit grondig in verschillende browsers en op mobiele apparaten om te bevestigen dat er geen cookies worden geplaatst vóór de toestemmingsactie.

Stap 5: Publiceer een volledige cookieverklaring en test de gehele keten. Voeg op jouw website een aparte cookieverklaringspagina toe met het volledige cookie-overzicht uit stap 1. Zorg dat bezoekers vanuit de cookiemelding direct naar deze pagina kunnen navigeren. Test vervolgens de volledige gebruikerservaring: weigeren, accepteren, instellingen wijzigen en toestemming intrekken. Bewaar de toestemmingslogboeken ten minste drie jaar als bewijs van naleving.

Kosten en doorlooptijd

De kosten voor een AVG-conforme cookiewall lopen sterk uiteen. Een eenvoudige oplossing via een zelfbeheerde pluginoplossing voor een CMS-website kost tussen de nul en vijftig euro per jaar voor de basisfunctionaliteit. Betaalde toestemmingsbeheerplatformen voor grotere of complexere websites rekenen in 2026 doorgaans tussen de vijftig en driehonderd euro per jaar voor een licentie voor een enkel domein. Als je een webontwikkelaar inschakelt voor de technische integratie, reken dan op een eenmalige implementatiekost van honderd tot vierhonderd euro, afhankelijk van de complexiteit van jouw website en het aantal te integreren scripts.

De doorlooptijd voor een volledige implementatie bedraagt bij een eenvoudige website met weinig externe scripts gemiddeld twee tot vijf werkdagen. De cookie-audit en het in kaart brengen van derde partijen kosten het meeste tijd, gemiddeld een halve tot hele werkdag. De technische integratie en het testen nemen bij een standaard CMS-website één tot twee dagen in beslag. Voor complexe websites met maatwerkkoppelingen of meerdere subdomeinen moet je rekenen op één tot drie weken. Er is geen wachttijd bij overheidsinstanties: je implementeert zelf en bent direct na livegang verantwoordelijk voor naleving.

Veelgemaakte fouten

De meest gemaakte fout is dat cookies al worden geplaatst voordat de bezoeker een keuze heeft gemaakt. Dit is direct in strijd met de wet en een veelgehoorde reden voor handhavingsacties. Een tweede veelvoorkomende fout is het ontbreken van een gelijkwaardige weiger-optie: een grote groene accepteerknop met een nauwelijks zichtbare weiger-link voldoet niet. Ook het niet bijhouden van toestemmingslogboeken is een probleem; zonder bewijs kun je bij een controle door de Autoriteit Persoonsgegevens geen naleving aantonen. Verder vergeten veel website-eigenaren hun cookiewall te updaten wanneer zij nieuwe scripts of tools aan hun website toevoegen. Elke nieuwe tracking-functionaliteit vereist een herziening van de cookieverklaring en mogelijk van de categorieën in de toestemmingsmelding. Tot slot is het niet instellen van een vervaldatum op toestemmingen een fout: toestemming mag maximaal twaalf maanden worden bewaard voordat je opnieuw om toestemming moet vragen.

Wat na afloop?

Na de implementatie ben je niet klaar. Stel een jaarlijkse herziening in waarbij je de cookie-audit herhaalt en controleert of alle externe scripts en hun cookies nog correct zijn gedocumenteerd en gecategoriseerd. Toestemmingen verlopen doorgaans na twaalf maanden, waarna jouw systeem automatisch opnieuw om toestemming moet vragen. Bewaar toestemmingslogboeken minimaal drie jaar als juridisch bewijs. Informeer jouw cookieverklaring bij iedere wijziging van jouw cookiegebruik, en zorg dat je verwerkersovereenkomsten met externe partijen actueel blijven. Houd de richtlijnen van de Autoriteit Persoonsgegevens in de gaten, want interpretaties en handhavingspraktijken kunnen wijzigen.