Cookiewet: regels voor je website en webshop

Wat is de cookiewet?

De cookiewet is de populaire naam voor artikel 11.7a van de Telecommunicatiewet (Tw). Deze bepaling schrijft voor dat je alleen gegevens mag opslaan op of uitlezen van het apparaat van een websitebezoeker als je duidelijke informatie geeft over het doel en vooraf toestemming hebt verkregen. De wet is in 2012 in werking getreden en sindsdien meerdere keren aangescherpt.

De cookiewet werkt samen met de AVG (Algemene verordening gegevensbescherming). Waar de Telecommunicatiewet regelt wanneer je cookies mag plaatsen, bepaalt de AVG hoe je met de persoonsgegevens die via cookies verzameld worden moet omgaan. Beide wetten vullen elkaar aan en je moet aan beide voldoen.

De Autoriteit Persoonsgegevens (AP) is de toezichthouder die controleert of websites zich aan de cookieregels houden. De AP kan boetes opleggen tot maximaal €900.000 per overtreding of, als dat hoger is, tot 4% van de wereldwijde jaaromzet onder de AVG. In de praktijk richt de AP zich vooral op grote overtraders en websites die op grote schaal tracking cookies plaatsen zonder toestemming.

In de toekomst zal de Europese ePrivacy Verordening de huidige cookieregels vervangen. Deze verordening wordt al jaren voorbereid, maar is nog niet definitief aangenomen. Tot die tijd gelden de huidige regels uit de Telecommunicatiewet onverminderd.

Soorten cookies en het toestemmingsvereiste

Niet alle cookies zijn gelijk. De wet maakt onderscheid op basis van het doel van de cookie. Functionele cookies zijn noodzakelijk voor het functioneren van de website en vereisen geen toestemming. Denk aan een cookie die je winkelmandje onthoudt, een cookie voor inloggegevens of een cookie die je taalvoorkeur opslaat.

Analytische cookies die geanonimiseerd zijn, vallen onder een uitzondering en vereisen evenmin toestemming. Dit geldt alleen als de cookies geen of minimale gevolgen hebben voor de privacy van de bezoeker. Google Analytics kan hieronder vallen, maar alleen als je IP-anonimisering hebt ingeschakeld, gegevens niet deelt met Google en geen cross-site tracking gebruikt.

Tracking cookies en marketing cookies vereisen altijd voorafgaande toestemming van de bezoeker. Dit zijn cookies die het surfgedrag van bezoekers volgen, vaak over meerdere websites heen. Denk aan cookies voor retargeting-advertenties, social media pixels (zoals de Meta Pixel) en cookies van advertentienetwerken.

Ook zogeheten third-party cookies, die door externe partijen op je website geplaatst worden, vereisen toestemming. Zelfs als jij als websitehouder niet precies weet welke cookies een externe dienst plaatst, ben jij als websitehouder verantwoordelijk voor het verkrijgen van toestemming.

• Functionele cookies: geen toestemming nodig (bijv. sessie, winkelmandje, taalvoorkeur)
• Analytische cookies (anoniem): geen toestemming nodig (bijv. geanonimiseerde Google Analytics)
• Analytische cookies (niet-anoniem): toestemming verplicht
• Tracking en marketing cookies: toestemming altijd verplicht
• Third-party cookies: toestemming altijd verplicht

Eisen aan de cookie-banner

Een cookie-banner is het pop-upvenster dat bezoekers te zien krijgen bij hun eerste bezoek aan je website. De banner moet voldoen aan strikte eisen om geldig te zijn. Ten eerste moet toestemming actief gegeven worden (opt-in). Vooraf aangevinkte vakjes zijn niet toegestaan volgens het Europese Hof van Justitie in de Planet49-uitspraak.

Weigeren moet even makkelijk zijn als accepteren. Dit betekent dat de knop om cookies te weigeren net zo prominent en toegankelijk moet zijn als de knop om te accepteren. Een banner met alleen een grote groene "Accepteer alles"-knop en een klein linkje "Instellingen beheren" voldoet niet aan de wet. De AP heeft hier in 2024 expliciet aandacht voor gevraagd.

De banner moet duidelijke en begrijpelijke informatie geven over welke cookies geplaatst worden en waarvoor. Gebruik geen juridisch jargon, maar leg in gewone taal uit wat de cookies doen. De bezoeker moet een weloverwogen keuze kunnen maken op basis van de verstrekte informatie.

Toestemming moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn, zoals de AVG voorschrijft. De bezoeker moet per categorie cookies kunnen kiezen. Een alles-of-niets-benadering waarbij de bezoeker alleen kan kiezen tussen alle cookies accepteren of de website verlaten is niet toegestaan.

Cookiebeleid en privacyverklaring

Naast de cookie-banner ben je verplicht om een uitgebreid cookiebeleid te publiceren op je website. Dit cookiebeleid moet per cookie beschrijven welke naam de cookie heeft, door wie de cookie geplaatst wordt, wat het doel is, welke gegevens verzameld worden en hoe lang de cookie bewaard wordt.

Het cookiebeleid moet makkelijk vindbaar zijn op je website, bijvoorbeeld via een link in de footer. Het moet geschreven zijn in begrijpelijke taal. Vermijd technisch jargon en leg duidelijk uit wat elke cookie doet. Bezoekers moeten op elk moment hun toestemming kunnen intrekken.

Je cookiebeleid moet regelmatig geactualiseerd worden. Als je nieuwe diensten toevoegt aan je website die cookies plaatsen, moet je het beleid bijwerken. Een verouderd cookiebeleid dat niet overeenkomt met de werkelijk geplaatste cookies is een overtreding. Scan je website minimaal elk kwartaal op nieuwe cookies.

Het cookiebeleid is onderdeel van je bredere privacyverklaring, maar het is aan te raden om het als apart document te publiceren. Dit maakt het overzichtelijker voor bezoekers en toezichthouders. Verwijs in je privacyverklaring wel naar je cookiebeleid en andersom.

Google Analytics en de cookiewet

Google Analytics is een van de meest gebruikte analysetools en verdient bijzondere aandacht in het kader van de cookiewet. Sinds de introductie van Google Analytics 4 (GA4) zijn er mogelijkheden om de tool privacyvriendelijker in te stellen, maar standaard voldoet GA4 niet aan de eisen voor analytische cookies zonder toestemming.

Om Google Analytics te mogen gebruiken zonder toestemming, moet je aan strikte voorwaarden voldoen. Je moet IP-adressen anonimiseren (GA4 doet dit standaard), je mag geen gegevens delen met Google voor eigen doeleinden en je moet een verwerkersovereenkomst sluiten met Google. Daarnaast mag je Google Signals niet activeren, omdat dit cross-device tracking mogelijk maakt.

In de praktijk raden privacy-experts aan om altijd toestemming te vragen voor Google Analytics, ook als je het privacyvriendelijk hebt ingesteld. De Autoriteit Persoonsgegevens en andere Europese toezichthouders hebben wisselende standpunten over de toelaatbaarheid van Google Analytics zonder toestemming, met name vanwege de doorgifte van gegevens naar de VS.

Alternatieven voor Google Analytics die meer privacyvriendelijk zijn, zijn bijvoorbeeld Matomo (zelf gehost), Plausible Analytics en Fathom. Deze tools kunnen zo geconfigureerd worden dat ze geen toestemming vereisen, omdat ze geen persoonsgegevens naar het buitenland sturen en standaard IP-adressen anonimiseren.

Cookie walls en tracking walls

Een cookie wall is een mechanisme waarbij je bezoekers de toegang tot je website weigert als ze niet alle cookies accepteren. De toelaatbaarheid van cookie walls is in Nederland en Europa een discussiepunt. De Europese toezichthouders hebben in hun richtlijnen aangegeven dat cookie walls in principe niet zijn toegestaan, omdat toestemming dan niet vrij is.

Er is echter een nuance: als je een redelijk alternatief biedt, kan een cookie wall in bepaalde gevallen toelaatbaar zijn. Denk aan een betaalde versie van je website zonder tracking cookies. De Autoriteit Persoonsgegevens heeft hier nog geen definitief standpunt over ingenomen.

Tracking walls op nieuwswebsites, waarbij bezoekers moeten kiezen tussen tracking accepteren of betalen, komen steeds vaker voor in Europa. De Franse toezichthouder CNIL heeft dit onder voorwaarden goedgekeurd. In Nederland is de situatie nog niet volledig uitgekristalliseerd.

Het advies voor MKB-ondernemers is om geen cookie wall te gebruiken. Het risico op een boete weegt niet op tegen het beperkte voordeel. Bied bezoekers altijd de mogelijkheid om je website te gebruiken zonder niet-noodzakelijke cookies, eventueel met beperkte functionaliteit.

Boetes en handhaving door de AP

De Autoriteit Persoonsgegevens is bevoegd om boetes op te leggen voor overtredingen van de cookiewet. Op grond van de Telecommunicatiewet kan een boete oplopen tot €900.000 per overtreding. Bij schendingen van de AVG in combinatie met cookieovertredingen kan de boete zelfs oplopen tot 4% van de wereldwijde jaaromzet.

In de praktijk richt de AP zich vooral op grote organisaties en websites die op grote schaal persoonsgegevens verzamelen zonder toestemming. Het MKB krijgt doorgaans eerst een waarschuwing of een aanwijzing om de situatie te herstellen. Maar het is onverstandig om hierop te vertrouwen, want de AP kan ook bij kleinere organisaties direct een boete opleggen.

In 2024 en 2025 heeft de AP meerdere onderzoeken uitgevoerd naar cookiepraktijken van Nederlandse websites. Websites van overheden, zorginstellingen en grote webshops zijn extra gecontroleerd. De AP publiceerde ook richtsnoeren over de inrichting van cookie-banners, die als norm gelden.

Naast de AP kunnen ook consumenten en belangenorganisaties actie ondernemen. Stichting Privacy Protection Group en vergelijkbare organisaties hebben in het verleden massaal klachten ingediend bij de AP over websites die de cookieregels overtraden. Dit kan ook voor jouw website consequenties hebben.

Praktische implementatie voor je website

Begin met een grondige cookie-audit van je website. Gebruik tools zoals Cookiebot Scanner, CookieYes of de browser developer tools om alle cookies te inventariseren die je website plaatst. Noteer per cookie de naam, het domein, het doel, de categorie en de bewaartermijn.

Kies een betrouwbaar consent management platform (CMP) dat voldoet aan de IAB Europe Transparency and Consent Framework (TCF). Populaire opties zijn Cookiebot (vanaf circa €12 per maand), CookieYes (vanaf circa €10 per maand) en Complianz (eenmalig circa €45 voor WordPress). Zorg dat het CMP goed geintegreerd is met je website en daadwerkelijk cookies blokkeert tot toestemming is gegeven.

Configureer je website zo dat tracking scripts pas geladen worden nadat de bezoeker toestemming heeft gegeven. Dit vereist aanpassingen in je Google Tag Manager configuratie of in de broncode van je website. Een CMP regelt dit doorgaans automatisch, maar controleer altijd of het correct werkt.

Test je implementatie regelmatig. Open je website in een incognito-venster en controleer of er geen cookies geplaatst worden voordat je toestemming geeft. Gebruik tools zoals de Cookie Scanner van de AP of de Ghostery browser-extensie om te verifieren dat je implementatie correct werkt.

• Voer een cookie-audit uit en inventariseer alle cookies
• Installeer een consent management platform (CMP)
• Blokkeer tracking scripts tot toestemming is gegeven
• Schrijf een helder cookiebeleid in begrijpelijke taal
• Test je implementatie regelmatig in een incognito-venster
• Update je cookiebeleid bij elke wijziging aan je website

De ePrivacy Verordening: wat staat er te wachten?

De Europese ePrivacy Verordening (ePV) is bedoeld om de huidige ePrivacy Richtlijn (2002/58/EG) te vervangen. De verordening wordt al sinds 2017 besproken in Brussel, maar is begin 2026 nog niet definitief aangenomen. Als de ePV van kracht wordt, vervangt deze de nationale cookiewetten van alle EU-lidstaten.

De verwachting is dat de ePV strengere regels zal bevatten dan de huidige Telecommunicatiewet. Browserinstellingen zullen waarschijnlijk een grotere rol gaan spelen bij het geven van toestemming. Het concept van "privacy by default" zal sterker verankerd worden in de regelgeving.

Voor ondernemers is het advies om nu al te voldoen aan de strengste interpretatie van de huidige regels. Als je nu al een correcte cookie-banner hebt, een uitgebreid cookiebeleid publiceert en alleen cookies plaatst na toestemming, ben je goed voorbereid op de ePrivacy Verordening.

Houd de ontwikkelingen rond de ePV in de gaten via de website van de Autoriteit Persoonsgegevens en de Europese Commissie. Als de verordening wordt aangenomen, krijgen organisaties naar verwachting een overgangstermijn van 12 tot 24 maanden om zich aan te passen.

Cookies en webshops: specifieke aandachtspunten

Webshops hebben te maken met extra uitdagingen op het gebied van cookies. Naast functionele cookies voor het winkelmandje en het bestelproces, maken webshops vaak gebruik van marketing cookies voor retargeting, affiliatetracking en conversieoptimalisatie. Al deze cookies vereisen voorafgaande toestemming.

De Meta Pixel (voorheen Facebook Pixel) en het Google Ads conversietracking script zijn veelgebruikte tools in webshops die tracking cookies plaatsen. Deze mogen pas geladen worden nadat de bezoeker toestemming heeft gegeven. Zonder toestemming mis je conversiedata, maar plaatsing zonder toestemming is een overtreding.

Affiliate cookies, die bijhouden via welk kanaal een klant is binnengekomen, vereisen eveneens toestemming. Dit kan gevolgen hebben voor je affiliate-omzet, omdat een deel van de bezoekers geen toestemming zal geven. Bespreek dit met je affiliatepartners en overweeg alternatieve attributiemodellen.

Gebruik server-side tracking als alternatief voor client-side cookies. Met server-side tracking verwerk je gegevens op je eigen server in plaats van in de browser van de bezoeker. Dit geeft je meer controle over de gegevensverwerking en kan in sommige gevallen de noodzaak van toestemming verminderen, hoewel de AVG uiteraard van toepassing blijft.