Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 6 min leestijd

Cookies en Consent: Wat Moet je als Ondernemer Weten?

Cookies plaatsen zonder geldige toestemming is een van de meest voorkomende GDPR-overtredingen. Dit artikel legt uit welke cookies toestemming vereisen, hoe je een correcte cookiebanner inricht, en welke fouten je moet vermijden.

summarize Kernpunten
  • check_circle Alleen strikt noodzakelijke cookies mag je plaatsen zonder toestemming
  • check_circle Analytische en marketing cookies vereisen altijd voorafgaande, actieve toestemming
  • check_circle Een cookiebanner met alleen 'Accepteren' is een dark pattern en niet GDPR-compliant
  • check_circle De Franse toezichthouder CNIL deelde in 2022 boetes uit tot 150 miljoen euro voor cookie-overtredingen

Wat zijn cookies eigenlijk?

Cookies zijn kleine tekstbestanden die een website op het apparaat van je bezoeker plaatst. Ze worden gebruikt voor allerlei doeleinden: van het onthouden van een winkelwagen tot het volgen van surfgedrag voor advertenties. Onder de GDPR (in Nederland en Belgie ook AVG genoemd) en de ePrivacy-richtlijn gelden er strikte regels voor wanneer je cookies mag plaatsen.

Het probleem: veel ondernemers plaatsen een cookiebanner op hun website en denken dat het daarmee geregeld is. Maar een banner alleen is niet genoeg. Het gaat erom dat je de juiste toestemming vraagt, op het juiste moment, voor de juiste cookies.

Drie categorieen cookies

Niet alle cookies zijn gelijk. De regelgeving maakt onderscheid tussen drie hoofdcategorieen, en per categorie gelden andere regels.

1. Strikt noodzakelijke cookies (geen toestemming nodig)

Dit zijn cookies zonder welke je website niet functioneert. Denk aan:

  • Sessiecookies voor een winkelwagen of inlogstatus
  • De cookie die de cookiekeuze van de bezoeker opslaat
  • Cookies voor beveiliging (bijv. CSRF-tokens)

Deze mag je plaatsen zonder toestemming, maar je moet ze wel vermelden in je cookieverklaring.

2. Analytische cookies (toestemming vereist)

Cookies die bezoekersgedrag meten, zoals Google Analytics, Hotjar of Matomo (met standaardinstellingen). Zelfs als je de gegevens alleen intern gebruikt, heb je voorafgaande toestemming nodig.

Let op: sommige analytics-tools bieden een “cookieloze modus” aan. Controleer altijd of er daadwerkelijk geen cookies worden geplaatst, want de naam is soms misleidend.

3. Marketing cookies (toestemming vereist)

Cookies die worden gebruikt voor advertenties, retargeting en het opbouwen van bezoekersprofielen. Voorbeelden:

  • Facebook Pixel (_fbp)
  • Google Ads remarketing
  • LinkedIn Insight Tag
  • Andere advertentienetwerken

Marketing cookies zijn het strengst gereguleerd. De toestemming moet specifiek, geinformeerd en actief zijn.

Hoe ziet een correcte cookiebanner eruit?

Een GDPR-conforme cookiebanner voldoet aan deze eisen:

Vooraf geen cookies laden. Niet-noodzakelijke cookies mogen pas geplaatst worden nadat de bezoeker actief toestemming geeft. Dat betekent: geen Google Analytics, geen Facebook Pixel, geen marketing scripts tot de bezoeker op “Accepteren” klikt.

Echte keuze bieden. De bezoeker moet even makkelijk kunnen weigeren als accepteren. Beide knoppen moeten even prominent zichtbaar zijn. Een grote groene “Alles accepteren” knop naast een klein grijs “Meer info” linkje is geen echte keuze.

Per categorie toestemming vragen. De bezoeker moet kunnen kiezen welke categorieeen cookies worden geplaatst. Accepteren van analytische cookies moet los staan van marketing cookies.

De keuze onthouden. Een bezoeker die weigert, mag niet bij elk paginabezoek opnieuw gevraagd worden. Sla de keuze op (ironisch genoeg in een strikt noodzakelijke cookie).

Toestemming intrekbaar maken. Er moet een manier zijn om de cookiekeuze later te wijzigen, bijvoorbeeld via een link in de footer.

Het “accept all” dark pattern

Een van de meest voorkomende fouten is de cookiebanner die sterk stuurt richting “alles accepteren”. De Franse toezichthouder CNIL heeft dit probleem serieus aangepakt.

In 2022 legde de CNIL boetes op aan Google (150 miljoen euro) en Facebook (60 miljoen euro) omdat hun cookiebanners het weigeren van cookies onnodig moeilijk maakten. Accepteren kon met een klik, maar weigeren vereiste meerdere stappen door submenu’s.

Dit geldt niet alleen voor techgiganten. De CNIL en andere toezichthouders kijken ook naar kleinere websites. Het principe is simpel: als “Weigeren” niet even makkelijk is als “Accepteren”, is de toestemming niet geldig.

Concreet: als je banner een knop “Alles accepteren” heeft, moet er een even opvallende knop “Alles weigeren” naast staan. Niet ergens verstopt in een submenu.

Veelgemaakte fouten

  • Cookies laden voor toestemming. Google Analytics draait al voordat de bezoeker iets heeft gekozen. Dit is een directe overtreding.
  • Alleen “Accepteren” aanbieden. Geen weigermogelijkheid, of deze is verstopt achter meerdere klikken.
  • Cookiebanner die niet klopt. De banner noemt drie cookies, maar een scan laat er twintig zien. Dit komt doordat er nooit een cookie-audit is gedaan.
  • Vooraf aangevinkte vakjes. Categorieeen die standaard op “aan” staan. Dat is geen actieve toestemming.
  • Geen cookiebeleid. Wel een banner, maar nergens een uitleg over welke cookies je precies plaatst en waarvoor.
  • Cookie wall. De website blokkeren totdat de bezoeker cookies accepteert. Dit is in de meeste EU-landen niet toegestaan.

De eerste stap naar correcte cookie-compliance is weten welke cookies je website plaatst. Open je website in een incognitovenster, open de developer tools (F12), en bekijk het tabblad Application > Cookies. Je zult waarschijnlijk verrast zijn door wat je vindt.

description

Sjabloon: Cookie Audit

Breng alle cookies systematisch in kaart: welke cookie, van wie, waarvoor, hoe lang actief, en of er toestemming voor nodig is.

Bekijk het sjabloon arrow_forward

Wat moet je nu doen?

  1. Inventariseer alle cookies op je website met een cookie-audit
  2. Categoriseer ze als strikt noodzakelijk, analytisch of marketing
  3. Controleer of je cookiebanner correcte, actieve toestemming vraagt per categorie
  4. Zorg dat niet-noodzakelijke cookies pas laden na toestemming
  5. Maak weigeren even makkelijk als accepteren
  6. Herhaal de audit na elke websitewijziging en minstens jaarlijks
auto_awesome Automatische cookie-scan?

GDPRWise scant je website en detecteert automatisch welke cookies, trackers en derde partijen actief zijn. Zo weet je precies wat er moet veranderen, zonder handmatig te zoeken.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.