Privacyverklaring en cookiebeleid

Wanneer ben je verplicht een cookiebanner op je website te plaatsen?

Eva de Vries Eva de Vries
· · 10 min leestijd

Je kent het wel: je bezoekt een website en direct springt er een groot vak in beeld dat vraagt om cookies te accepteren. Vaak klik je het snel weg, zonder erbij na te denken.

Inhoudsopgave
  1. Wat zijn cookies eigenlijk?
  2. De kernvraag: wanneer ben je verplicht?
  3. De 9 vuistregels van de Autoriteit Persoonsgegevens
  4. De techniek achter de banner
  5. Wat als je geen cookiebanner plaatst?
  6. Praktijkvoorbeelden: hoe het wel en niet moet
  7. Alternatieven voor een pop-up banner
  8. Conclusie: wanneer moet je het nu echt plaatsen?
  9. Veelgestelde vragen

Maar als je zelf een website hebt, of er één bouwt, verandert die simpele 'klik' opeens in een serieuze verplichting.

Wanneer moet je dat nu eigenlijk echt plaatsen? En wat zijn de regels? Laten we dit samen uitzoeken, zonder ingewikkelde juridische taal, maar wel met de scherpte die je nodig hebt om direct aan de slag te kunnen.

Wat zijn cookies eigenlijk?

Stel je voor: je bezoekt een winkel. De eerste keer kijk je rond en weet je nog niet waar de spullen liggen.

De tweede keer weet je direct de weg. Een cookie doet ongeveer hetzelfde op een website. Het is een klein bestandje dat op de computer van je bezoeker wordt opgeslagen.

Dit bestandje onthoudt dingen. Sommige cookies zijn superhandig.

Ze onthouden dat je ingelogd bent, dat je een artikel in je winkelwagentje hebt gedaan of dat je de taal op 'Nederlands' hebt gezet. Andere cookies zijn wat grijzer gebied. Die houden bij welke websites je bezoekt, wat je leuk vindt en wat je niet leuk vindt, om je vervolgens overal advertenties te laten zien. Om de privacy van bezoekers te beschermen, zijn er regels gekomen. In Nederland is dit geregeld via de Cookiewet, die samenhangt met de AVG (Algemene Verordening Gegevensbescherming).

De kernvraag: wanneer ben je verplicht?

Je bent niet altijd verplicht om een cookiebanner te plaatsen. Het hangt af van wat voor cookies je gebruikt.

De vuistregel is simpel: als je cookies plaatst die de privacy van je bezoeker aantasten, moet je toestemming vragen. De Autoriteit Persoonsgegevens (AP) houdt hier toezicht op.

De uitzondering: functionele cookies

Zij maken onderscheid tussen functionele cookies en niet-functionele cookies. Laten we dit helder uitleggen. Functionele cookies zijn de helden die de website laten werken. Zonder deze cookies zou een webshop niet weten wat er in je mandje ligt en zou je steeds opnieuw in moeten loggen.

Voor deze cookies hoef je geen expliciete toestemming te vragen met een banner.

De regel: niet-functionele cookies

Je moet wel vermelden dat je ze gebruikt, vaak in een privacy- of cookiestatement, maar een pop-up is niet verplicht. Hier wordt het serieus. Gebruik je cookies voor:

Dan ben je verplicht een cookiebanner te tonen. Je bezoeker moet actief toestemming geven voordat deze cookies geplaatst mogen worden.

  • Tracking (het volgen van bezoekers over meerdere websites heen)?
  • Analytics (zoals Google Analytics) die persoonsgegevens verwerken?
  • Advertentieprofielen?
  • Sociale media-knoppen (zoals de 'Vind ik leuk' knop van Facebook)?

Je mag deze cookies dus niet plaatsen zodra de bezoeker de site binnenkomt.

Ze moeten eerst 'ja' zeggen.

De 9 vuistregels van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een lijst opgesteld met 9 belangrijke punten waar een goede cookiebanner aan moet voldoen.

1. Transparantie is key

Deze lijst is heilig. Als je je hier niet aan houdt, loop je het risico op een boete.

2. Geen voorgevinkte hokjes

Hieronder de belangrijkste punten, uitgelegd in gewone taal. Je bezoeker moet precies weten wat er gebeurt. Geen vage taal, maar duidelijke uitleg. Welke cookies plaats je en waarom?

3. Makkelijk weigeren

Zorg dat dit in heldere taal staat. Dit is een klassieke fout.

4. Geen extra klikken (verboden praktijken)

Je mag niet standaard al een vinkje zetten bij 'Ik accepteer cookies'. De bezoeker moet zelf actief een keuze maken. Zolang er geen vinkje is gezet of een knop is ingedrukt, mogen de niet-functionele cookies niet geplaatst worden.

5. Een duidelijke 'Ja' en 'Nee'

Het moet net zo makkelijk zijn om cookies te weigeren als om ze te accepteren. Geen verborgen linkjes onderaan in een kleine lettertjes tekst.

6. Makkelijk intrekken

De 'Weigeren'-knop moet even groot en even zichtbaar zijn als de 'Accepteren'-knop.

7. Scheid cookies per categorie

Sommige websites vragen eerst om cookies te accepteren en als je weigert, moet je eerst naar een aparte instellingenpagina. Dat mag niet. De keuze voor accepteren of weigeren moet direct zichtbaar zijn in de eerste laag van de cookiebanner. Je mag de bezoeker niet dwingen om eerst door te klikken om nee te zeggen.

Gebruik begrijpelijke woorden. 'Akkoord', 'Accepteren' of 'Ik ga akkoord' is prima. Vermijd vage termen.

8. Informeer over derde partijen

De knop om nee te zeggen moet minstens even duidelijk zijn. Als een bezoeker eerst toestemming heeft gegeven, moet hij dit later makkelijk kunnen terugdraaien.

Dit kan bijvoorbeeld via een zwevende knop onderin beeld of in de voettekst van de website. Je hoeft niet alles in één keer te accepteren.

9. Bewaar de toestemming

Een goede banner geeft de mogelijkheid om alleen functionele cookies te accepteren en tracking cookies af te wijzen. Dit heet 'granulaire toestemming'. Als je je cookiebanner correct instelt voor cookies van partijen zoals Google, Facebook of Hotjar, moet je dat duidelijk vermelden. Je bezoeker moet weten dat zijn data naar derden gaat.

Je moet kunnen aantonen dat iemand toestemming heeft gegeven. Gebruik een tool die dit registreert (een zogenaamde Consent Management Provider), zodat je bij een controle kunt laten zien dat je je aan de regels houdt.

De techniek achter de banner

Het plaatsen van een banner is één ding, maar het technisch blokkeren van cookies is het tweede. Je mag een cookie pas plaatsen als de bezoeker ja zegt.

Dat betekent dat je website technisch ingesteld moet zijn om cookies pas te laden na expliciete of impliciete toestemming.

Veel websites gebruiken tools van derden, zoals Cookiebot, OneTrust of een eigen gebouwde oplossing. Deze tools zorgen ervoor dat scripts (zoals die van Google Analytics) pas draaien als de gebruiker akkoord gaat. Let op: je mag geen 'first-party' cookies plaatsen zonder toestemming als deze niet functioneel zijn. Ook niet voor analytics.

Wat als je geen cookiebanner plaatst?

Stel, je denkt: 'Ik doe gewoon niets, dan zien ze het wel.' Dat is riskant.

De Autoriteit Persoonsgegevens controleert actief op naleving. Een boete kan oplopen tot tienduizenden euro's, of zelfs een percentage van je jaaromzet. Maar naast de boete is er nog iets anders: vertrouwen.

Een bezoeker die direct volgespamd wordt met trackers zonder dat hij het weet, voelt zich al snel onveilig. Een transparante cookiebanner bouwt juist vertrouwen op. Het laat zien dat je respect hebt voor de privacy van je bezoekers.

Praktijkvoorbeelden: hoe het wel en niet moet

Laten we kijken naar hoe grote partijen dit doen. Neem een site als Bol.com of Marktplaats.

Zij hebben vaak een duidelijke banner onderin of bovenin beeld. Ze bieden een simpele keuze: 'Akkoord' en 'Instellingen'. Klik je op 'Instellingen', dan zie je precies welke cookies er geplaatst worden en kun je ze per stuk uitzetten.

Een slecht voorbeeld is een banner die alleen een 'Accepteren' knop heeft en een kleine link 'Lees meer' die naar een pagina leidt zonder duidelijke weigeroptie.

Dit voldoet niet aan de regels. De keuze moet direct zichtbaar zijn.

Alternatieven voor een pop-up banner

Moet het perse een pop-up zijn? Nee, zolang je maar voldoet aan de eisen.

Sommige websites kiezen voor een 'cookiemuur', maar dat is vaak niet toegestaan als je niet-functionele cookies blokkeert totdat iemand betaalt. Een simpele balk onderaan het scherm kan ook, mits de knoppen voor accepteren en weigeren duidelijk zichtbaar zijn. Een andere optie is een 'consent management provider' (CMP).

Dit zijn tools die speciaal gebouwd zijn om aan de strenge eisen van de AP te voldoen.

Ze updaten zichzelf als de regels veranderen, wat handig is omdat de wetgeving soms verschuift.

Conclusie: wanneer moet je het nu echt plaatsen?

Om het even samen te vatten: Zorg dat je banner voldoet aan de 9 vuistregels van de Autoriteit Persoonsgegevens.

  • Gebruik je alleen functionele cookies (voor de werking van de site)? Dan is een banner niet verplicht, maar wel goed om te vermelden in je privacyverklaring.
  • Gebruik je analytics, tracking cookies, social media plugins of advertentiecookies? Dan is een cookiebanner absoluut verplicht.

Wees transparant, maak het makkelijk en geef de bezoeker de controle. Het is niet alleen een wettelijke verplichting, het is ook een manier om respect te tonen voor je gebruikers.

En in de digitale wereld van vandaag is vertrouwen goud waard. Dus, voordat je je website live zet: check je cookies. Plaats de banner, test de knoppen en zorg dat je technisch alles op orde hebt. Dan kun je met een gerust hart online.

Veelgestelde vragen

Moet ik altijd een cookiebanner plaatsen?

Nee, het plaatsen van een cookiebanner is niet altijd verplicht. Het hangt af van de cookies die je gebruikt. Als je alleen functionele cookies plaatst die essentieel zijn voor de werking van de website, zoals het onthouden van een ingelogde status, dan is geen banner nodig.

Wat moet ik doen als ik cookies gebruik voor tracking of advertenties?

Als je cookies gebruikt voor bijvoorbeeld tracking, Google Analytics of advertentieprofielen, dan ben je verplicht om een cookiebanner te tonen en expliciete toestemming van de bezoeker te vragen voordat deze cookies geplaatst mogen worden. Dit is nodig om de privacy van je bezoekers te waarborgen.

Hoe zit het met functionele cookies?

Functionele cookies, zoals die die je winkelwagentje onthouden, hoeven geen expliciete toestemming te vragen. Deze cookies zijn essentieel voor de goede werking van de website en zonder ze zou de website niet goed functioneren. Zonder deze cookies zou je bijvoorbeeld steeds opnieuw in moeten loggen.

Wat is de rol van de Autoriteit Persoonsgegevens bij cookies?

De Autoriteit Persoonsgegevens houdt toezicht op het gebruik van cookies, vooral wanneer deze de privacy van bezoekers aantasten. Ze zorgen ervoor dat websites de juiste regels volgen en dat bezoekers geïnformeerd worden en toestemming geven voor het plaatsen van cookies.

Wat is de Cookiewet en hoe verhoudt deze zich tot de AVG?

De Cookiewet is een Nederlandse wetgeving die voortbouwt op de AVG (Algemene Verordening Gegevensbescherming). Beide wetten vereisen dat websites bezoekers informeren over het gebruik van cookies en expliciete toestemming vragen voor het plaatsen van niet-noodzakelijke cookies, om zo de privacy van de bezoekers te beschermen.

Lees ook
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026? Hoe schrijf je een privacyverklaring in begrijpelijke taal die ook AVG-proof is? Privacyverklaring voorbeeld voor een kleine Nederlandse webshop Privacyverklaring voorbeeld voor een ZZP'er die klantgegevens verwerkt Privacyverklaring voorbeeld voor een coach of therapeut in de zorgsector Privacyverklaring voorbeeld voor een lokaal horecabedrijf met reserveringssysteem
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Privacyverklaring en cookiebeleid

Bekijk alle 32 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026?
Lees verder →