Websites onder druk: cookiebanners moeten transparanter

Het begon stilletjes, met een paar brieven. Maar inmiddels is het duidelijk dat de Autoriteit Persoonsgegevens (AP) haar tanden laat zien. In april 2025 startte de toezichthouder een grootschalige controleactie op Nederlandse websites die mogelijk niet voldeden aan de cookieregels. Het gaat dan met name om de manier waarop bezoekers toestemming moeten geven voor tracking cookies.

Nu, in november, is de balans helder: meer dan 200 websites zijn aangeschreven. Ongeveer 75% daarvan heeft inmiddels de cookiebanner aangepast. Maar dat is niet het hele verhaal. Tegen de overige organisaties – die de waarschuwing negeerden of onvoldoende opvolgden, start de AP nu handhavingsmaatregelen.

Waarom cookies zo gevoelig liggen

Stel je voor dat je vandaag een paar schoenen koopt, en morgen advertenties krijgt voor leningen omdat je ongewild in een bepaald profiel bent beland. Tracking cookies maken dit mogelijk. Ze volgen jouw surfgedrag, leggen voorkeuren vast en voeden systemen die aanbiedingen of kredietwaardigheid bepalen. Dit raakt mensen, vaak zonder dat zij zich bewust zijn van de keten waar ze in belanden.

Volgens de vicevoorzitter van de AP, Monique Verdier, zijn gegevens geen handelswaar, maar iets wat raakt aan gelijke kansen en zeggenschap over je leven. En juist daarom moet de keuzevrijheid van de gebruiker leidend zijn.

Hoe ziet een misleidende cookiebanner eruit?

In de praktijk zie je regelmatig banners waarbij de “accepteer”‑knop prominent en kleurrijk is, terwijl de “weigeren”‑optie verborgen is of meerdere klikken vereist. Dat soort trucs – ook wel “dark patterns” genoemd – vallen bij de AP niet in goede aarde. Er moet sprake zijn van een echte keuze. Vrij, geïnformeerd en ondubbelzinnig.

Het is dan ook niet vreemd dat de toezichthouder benadrukt: wie wil voorkomen dat hij een cookiebanner moet plaatsen, moet simpelweg geen trackingtechnologie gebruiken. Dat zou de eenvoudigste en meest privacy vriendelijke oplossing zijn.

Een groeiend probleem: cookiebanners en compliance

Het onderwerp lijkt misschien technisch, maar raakt aan fundamentele rechten. Want hoewel veel websites al jaren gebruikmaken van cookies, zijn de regels rondom toestemming steeds strenger geworden. Dat betekent dat organisaties niet alleen moeten zorgen voor een werkende banner, maar ook dat die voldoet aan de eisen uit de Algemene Verordening Gegevensbescherming (AVG).

In dit dossier ligt de nadruk op artikel 6 lid 1 sub a AVG: verwerking van persoonsgegevens is toegestaan als de betrokkene daarvoor toestemming heeft gegeven. Die toestemming moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn. En, belangrijk, de betrokkene moet die toestemming net zo makkelijk kunnen weigeren als geven.

De praktijk wijst uit dat dit nog lang niet overal goed gaat.

AP scherpt toezicht aan

De toezichthouder kiest niet langer voor louter waarschuwen. Nu er concrete stappen zijn genomen door driekwart van de aangeschreven partijen, is het tijd om door te pakken. Organisaties die niets hebben aangepast, riskeren nu onderzoek of zelfs sancties. Daarbij kunnen boetes oplopen tot miljoenen euro’s, afhankelijk van de ernst van de overtreding en de grootte van de organisatie.

Wat opvalt is dat de AP niet slechts een juridische benadering kiest. Ze wijst ook op de maatschappelijke impact. Verdier stelt: “Wie vandaag iets koopt, kan morgen onbewust in een profiel terechtkomen dat bepaalt welke aanbiedingen, leningen of verzekeringen je krijgt.” En dat raakt direct aan fundamentele principes van gelijke behandeling.

Wat zegt de wet eigenlijk precies?

Om dit goed te begrijpen, moeten we kijken naar de relatie tussen de Telecommunicatiewet en de AVG. Volgens artikel 11.7a van de Telecommunicatiewet mag informatie (zoals cookies) alleen worden opgeslagen of uitgelezen als:

1. de gebruiker daarover op duidelijke en volledige wijze is geïnformeerd;

2. én daarvoor toestemming heeft gegeven.
   

Maar zodra het gaat om persoonsgegevens – en tracking cookies doen dat vrijwel altijd – is ook de AVG van toepassing. Dat betekent dat toestemming moet voldoen aan de vier AVG-criteria: vrij, specifiek, geïnformeerd en ondubbelzinnig (artikel 4 lid 11 AVG).

Bovendien moet je kunnen aantonen dat er toestemming is gegeven. Die bewijslast ligt bij de verwerkingsverantwoordelijke (artikel 7 lid 1 AVG). Dus een website die tracking cookies plaatst zonder correcte registratie van toestemming, begeeft zich op juridisch glad ijs.

Voorbeeld uit de praktijk

Stel je voor: een webshop plaatst al cookies op het moment dat de bezoeker de site opent, nog vóór hij iets heeft geaccepteerd. Dat lijkt klein, maar het is een duidelijke overtreding. De toestemming is dan niet vooraf verkregen, en dus niet rechtsgeldig.

Of neem een website die de “weigeren”‑optie verbergt onder een submenu of met kleine grijze letters. In zulke gevallen is er geen sprake van gelijkwaardige keuzevrijheid. Dat kan ertoe leiden dat de gegeven toestemming als niet-vrij wordt beoordeeld, en dus ongeldig.

Gevolgen voor organisaties

Voor veel organisaties betekent dit dat zij hun cookiebanners grondig moeten herzien. Het gaat dan niet alleen om de techniek, maar vooral om de gebruikerservaring en transparantie. Is het voor de bezoeker direct duidelijk waarvoor toestemming wordt gevraagd? Is het weigeren even makkelijk als accepteren?

In juridische termen moet een organisatie in staat zijn om een privacyrechtelijke audit te doorstaan. Daarbij draait het om:

• heldere documentatie van de keuzes die zijn gemaakt;

• technische waarborgen;

• en een rechtmatige verwerkingsgrondslag.
  

Zonder dat, dreigt niet alleen reputatieschade, maar ook handhavend optreden.

Is er dan geen manier om cookies toch goed in te zetten?

Jawel. De kern ligt in transparantie en keuze. Als organisaties hun cookiebanners zó inrichten dat mensen begrijpen wat er gebeurt en daadwerkelijk kunnen kiezen, dan is er veel mogelijk. Maar daarvoor moet men afscheid nemen van sturende of misleidende interfaces.

Er zijn inmiddels ook initiatieven voor standaardinterfaces of zogenaamde Consent Management Platforms (CMP’s) die voldoen aan de wet. Maar ook daar geldt: technologie is een hulpmiddel, geen vrijbrief.

En hoe nu verder?

De AP heeft laten weten haar toezicht voort te zetten. Dat betekent dat nieuwe controles zullen volgen, en dat organisaties die nog niet zijn aangepakt alsnog aan de beurt kunnen komen. In de praktijk zie je dan ook dat juridische en IT-teams samenwerken om de cookiebanner in lijn te brengen met de eisen.

Voor bedrijven is het raadzaam om een privacyrechtelijke quickscan uit te voeren. En ook voor gebruikers kan het geen kwaad om kritisch te blijven. Want zolang toestemming een formaliteit blijft, is echte zeggenschap ver te zoeken.

FAQ

Wat zijn tracking cookies precies? Tracking cookies zijn kleine bestanden die jouw surfgedrag volgen en opslaan. Ze worden vaak gebruikt om profielen op te bouwen voor advertentiedoeleinden.

Mag ik als website cookies plaatsen zonder toestemming? Alleen als het om functionele cookies gaat die strikt noodzakelijk zijn voor de werking van de website. Voor tracking cookies is altijd voorafgaande toestemming nodig.

Moet ik bezoekers expliciet de mogelijkheid bieden om cookies te weigeren? Ja. Volgens de AVG en de Telecommunicatiewet moet weigeren net zo makkelijk zijn als accepteren.

Wat gebeurt er als ik de regels overtreed? De AP kan handhaven met onderzoeken, waarschuwingen, dwangsommen of boetes. De hoogte hangt af van de ernst van de overtreding.

Kan ik aansprakelijk worden gesteld voor cookies van derden? Ja. Als verwerkingsverantwoordelijke ben jij verantwoordelijk voor alles wat er op jouw website gebeurt, ook bij gebruik van third-party tools.

Bronnen

• Autoriteit Persoonsgegevens

• Overheid.nl – Telecommunicatiewet artikel 11.7a

• Overheid.nl – AVG (Algemene Verordening Gegevensbescherming)