Hoe zit het nu met de cookiewetgeving?

Door Thomas van Eldijk

•

Bijgewerkt op 18 april 2026

•

Er is een hoop te doen rondom de huidige Cookiewetgeving en de eventuele wetswijziging. Als website eigenaar overtreed je namelijk al heel snel de wet. Heb je bijvoorbeeld youtube filmpjes op je website die een tracking cookie plaatsen? En vraag je hiervoor geen toestemming aan bezoekers? Dan ben je strikt gezien in overtreding.

Waarom een cookiewetgeving?

Via het plaatsen van cookies kunnen organisaties al onze acties op het Internet koppelen aan onze persoonsgegevens. Dat klinkt als spioneren en dat is eigenlijk ook wel een beetje. Omdat deze praktijken erg uit de hand liepen en bezoekers van websites totaal niet wisten dat ze werden getraceerd, is er sinds 5 juni 2012 de cookiewetgeving van kracht. Met deze wet willen overheden het traceren via cookies aan banden leggen. Je moet wanneer je nu cookies plaatst om mensen te volgen, hier toestemming voor vragen. De wet sloeg wat door waardoor nagenoeg alle websites in overtreding waren. Handhaving van de wet was daardoor lastig en het bezoeken van websites werd er niet prettiger op. Vandaar dat er een update moest komen van de wet.

Sinds februari 2015 het niet meer verplicht om bezoekers akkoord te laten gaan met het plaatsen van cookies wanneer je cookies gebruikt voor statistiek systemen zoals Google Analytics. Alleen nog voor commerciële cookies die als doel hebben mensen te traceren is het nog verplicht om een goedkeuring te vragen.

Meld je aan voor onze nieuwsbrief

En je ontvangt net als 3.202 anderen onze nieuwste artikelen.

Wat kun je nu het beste doen?

Eerst nagaan wat voor soort cookies je plaatst. Dit kun op veel verschillende manieren maar een van de simpelste is om binnen je browser te kijken naar de cookies die geplaatst worden.

Zo kun je de cookies bekijken die een website plaatst via je de Chrome browser.

Meestal zie je enkel functionele cookies en cookies voor een statistiek systeem zoals Google Analytics. Als dat zo is dan moet je nog wel de instellingen nagaan in Google Analytics. Je moet bijvoorbeeld aangeven dat de statistieken niet doorgegeven mogen worden aan derden.

Je kunt ook overstappen naar een statistieken systeem dat je zelf installeert en beheert. Matomo is een open source statistiek systeem dat je gratis kunt downloaden. Het CPB gebruikt trouwens zelf ook Matomo.

Zie je toch andere cookies van derde partijen? Bijvoorbeeld doordat je een social sharing tool gebruikt, youtube filmpje embed of adverteert op je website? Dan weet je meestal niet welke data er opgeslagen wordt van je bezoekers en moet je volgens de oude en nieuwe cookiewetgeving akkoord vragen aan de bezoekers voor het plaatsen van deze cookies.

Strikt gezien is het hierbij niet voldoende om een melding te maken dat je cookies plaatst. Er mogen geen cookies geplaatst worden voordat je deze goedkeuring krijgt van de bezoeker.

Technisch is dat nog best lastig omdat veel gebruikte website systemen zoals Joomla, Drupal en Wordpress niet in staat zijn de tracking cookies die geplaatst worden door bv. een youtube filmpje tegen te houden. Vandaar dat veel websites die tracking cookies plaatsen overgaan tot het plaatsen van een cookiewall. Je moet hierbij of akkoord gaan met het plaatsen van cookies of je kunt de website niet benaderen.

Verder is het altijd verstandig als organisatie of bedrijf om aan te geven in een privacyverklaring wat je doet met de gegevens die je van klanten ontvangt. Het beste kun je een link ik je footer opnemen richting een pagina met deze privacy verklaring.

Samenvattend:

Breng in kaart wat voor soort cookies jouw websites plaatst.
Stap eventueel over naar alternatieve systemen, technieken of diensten die geen cookies plaatsen.
Kun je niet zonder? Vraag dan een goedkeuring aan de bezoeker.
Stel een privacyverklaring op en plaats een link hier naar toe in de footer van je website.

Wanneer je gegevens van klanten of gebruikers opvraagt via je je website, via een contactformulier bijvoorbeeld, dan is het verstandig ook rekening te houden met de veiligheid van deze data.

De toekomst?

Het is de vraag of de cookiewetgeving in zijn huidige vorm blijft bestaan. Er is veel weerstand tegen de onuitvoerbare wet die met name voor irritatie zorgt. Het is dan ook niet voor niets dat het adviesorgaan Actal in oktober 2016 Minister Kamp van Economische zaken adviseert om op Europees niveau aan te sturen op een effectievere en minder belastende oplossing.

Heb je vragen of opmerkingen over de huidige of nieuwe cookiewetgeving? Ik lees en beantwoord ze graag hieronder in het commentaar gedeelte.

Lees ook: de AVG en je website.

Stappenplan: zo maak je je website cookie-proof

Of je nu al een cookiebanner hebt of nog niets hebt ingericht: deze stappen kun je zelf doorlopen. Zo weet je zeker dat je voldoet aan zowel de cookiewetgeving als de AVG.

Inventariseer welke cookies je plaatst. Open je website in een incognito-venster, ga naar Developer Tools (F12), tabblad Application, onder Cookies, en bekijk de lijst. Noteer per cookie de naam, het doel en de bewaartermijn.
Bepaal per cookie of het functioneel, statistisch of marketing is. Functioneel betekent: zonder werkt de website niet. Statistiek is bijvoorbeeld Google Analytics. Marketing is bijvoorbeeld Facebook Pixel of Google Ads-remarketing.
Vraag toestemming voor alle niet-functionele cookies. Dat betekent geen cookies plaatsen vóór de bezoeker op “accepteren” klikt. Een cookiebanner die cookies al laadt voordat je klikt, is niet AVG-compliant.
Maak weigeren net zo makkelijk als accepteren. Een banner met alleen “accepteren” en een verstopt “voorkeuren”-linkje voldoet niet meer aan de richtlijnen van de Autoriteit Persoonsgegevens.
Documenteer de toestemming. Bewaar welke keuze de bezoeker heeft gemaakt en wanneer. Dit doe je bijvoorbeeld in een log of in een eigen cookie-consent-cookie.
Stel een cookieverklaring op. Een aparte pagina waarop je elke cookie uitlegt: welke, van wie, waarom en hoe lang.
Leg een link naar die pagina in je footer en in je cookiebanner. Zo is hij altijd bereikbaar.
Controleer regelmatig. Nieuwe scripts, pixels of videobibliotheken voegen vaak ongemerkt cookies toe. Plan elk half jaar een hercontrole.

De verschillende typen cookies op een rij

Niet elke cookie is hetzelfde. Om te weten welke toestemming je nodig hebt, moet je ze goed uit elkaar kunnen houden.

Functionele cookies. Voorbeelden: sessie, winkelmandje, login. Geen toestemming nodig. Meestal korte bewaartermijn.
Statistiek (anoniem). Voorbeelden: Matomo, of een goed ingericht Google Analytics. Strikt genomen geen toestemming nodig, mits volledig geanonimiseerd en zonder data delen met derden.
Statistiek (niet-anoniem). Voorbeeld: Google Analytics met standaardinstellingen. Toestemming nodig. Bewaartermijn doorgaans tot 2 jaar.
Marketing. Voorbeelden: Facebook Pixel, Google Ads-remarketing. Altijd toestemming nodig. Bewaartermijn tot 2 jaar.
Social- en video-embeds. Voorbeelden: YouTube, Vimeo. Plaatsen tracking cookies zodra de embed laadt. Toestemming nodig voor ze geladen worden.

De beste route voor veel organisaties: schakel over naar een privacyvriendelijke statistiektool of configureer Google Analytics zo dat er geen persoonsgegevens worden gedeeld. Dan heb je voor het grootste deel van je analytics geen toestemming meer nodig.

Veelgestelde vragen over de cookiewetgeving

Is een cookiemelding verplicht?

Als je cookies plaatst die niet functioneel zijn, dus statistiek, marketing of tracking, dan ja. Voor uitsluitend functionele cookies hoef je geen toestemming te vragen, maar transparantie richting bezoekers is altijd een goed idee. Een duidelijke cookieverklaring hoort er dan wel bij.

Moet ik toestemming vragen voor Google Analytics?

Bij de standaardinstellingen ja. Pas als je Google Analytics volledig anonimiseert, IP-adressen maskeert, geen data deelt met derden en het niet combineert met advertentiediensten, kun je betogen dat het onder een uitzondering valt. Veilig is om toch toestemming te vragen, of om te kiezen voor een privacyvriendelijkere tool zoals Matomo.

Wat als mijn bezoeker weigert?

Dan plaats je geen niet-functionele cookies. Dat betekent: geen tracking, geen ingeladen YouTube-embeds, geen Facebook Pixel. Vaak zie je dan placeholders, met de keuze om per dienst apart toestemming te geven.

Wat is het verschil tussen de cookiewetgeving en de AVG?

De cookiewetgeving is onderdeel van de Telecommunicatiewet en gaat over het plaatsen en uitlezen van informatie op apparaten van bezoekers. De AVG gaat over het verwerken van persoonsgegevens. In de praktijk overlappen ze: zodra een cookie persoonsgegevens verwerkt, gelden beide wetten. Je cookiebanner moet dus aan allebei voldoen.

Gelden deze regels ook voor een eenvoudige brochuresite?

Ja. De regels gelden voor iedere website die cookies plaatst, ongeacht de grootte of het doel. Heeft een website uitsluitend functionele cookies en geen ingesloten YouTube-video’s of andere third-party scripts? Dan kun je het met een korte cookieverklaring afdoen.

Mag ik een cookiewall hanteren waarbij bezoekers alleen verder kunnen als ze accepteren?

Nee. De Autoriteit Persoonsgegevens en de Europese privacytoezichthouders hebben duidelijk gemaakt dat een cookiewall niet voldoet aan het vereiste van vrijelijk gegeven toestemming. Je moet bezoekers de keuze geven om te weigeren zonder dat de toegang tot de website daardoor blokkeert.

Wat zijn de boetes bij overtreding?

Handhaving gebeurt door de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt. Boetes kunnen onder de AVG oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. In de praktijk blijven de boetes doorgaans beperkter, maar reputatieschade en verplichte nazorg zijn vaak net zo ingrijpend.

Heb ik toestemming nodig voor cookies die een contactformulier laat werken?

Nee. Cookies die strikt nodig zijn om een dienst te laten werken, zoals een CSRF-token of een sessie-ID, vallen onder functionele cookies. Wel moet je in je privacyverklaring transparant zijn over wat je doet met de gegevens die je via het formulier ontvangt.

Wat we bij Emble standaard doen voor onze opdrachtgevers

Bij elke nieuwe Drupal- of Laravel-website zetten we de cookie-aanpak meteen goed. We gebruiken bij voorkeur consent-managers die compliant zijn met de Autoriteit Persoonsgegevens, configureren Google Analytics of een privacyvriendelijk alternatief en stellen een cookieverklaring op die past bij de praktijk van de organisatie. Bij grotere platformen testen we periodiek of er geen nieuwe cookies via embeds of externe scripts zijn binnengeglipt.

Wil je weten of jouw website voldoet? Dan is een korte toegankelijkheids- en privacy-audit vaak een goede eerste stap. We kijken of de basis staat en geven een concreet actieplan. Kijk ook eens naar ons overzicht van alles over digitale toegankelijkheid en de EAA, omdat privacy en toegankelijkheid vaak in één project samenkomen.

Security / Privacy

Deel dit artikel

Meer inzichten over Security / Privacy

Drupal CAPTCHA's die wel leuk zijn

Zelf ben ik absoluut een CAPTCHA-analfabeet. Je weet wel, die akelige controles om te verifiëren dat je een mens bent. Daar moeten toch betere alternatieven voor zijn?

0 reacties

Inzien

Hoe zit het nu met de AVG? En wat betekent dit voor jouw website?

Wat heeft de privacywet AVG (Algemene Verordening Gegevensbescherming) voor consequenties voor je website en wat moet je aanpassen om AVG-proof te zijn?

2 reacties

Inzien

Spam tegen gaan op je Drupal website

Spam is een groot probleem. Als je een website hebt waar het mogelijk is voor bezoekers om actie te ondernemen krijg je geheid te maken met spammers. In dit artikel bespreek ik verschillende methodes om de strijd met spammers aan te gaan.

2 reacties

Inzien

Alles over Drupal updates en Drupal upgrades

Als je een Drupal-website hebt, krijg je vroeg of laat te maken met begrippen als updates en upgrades. Ze lijken sterk op elkaar, maar in de praktijk betekenen ze iets heel anders. En dat verschil is belangrijk, want het bepaalt hoeveel werk er nodig is, welke risico’s je loopt en hoe je de overstap slim en veilig uitvoert.

2 reacties

Inzien