Privacyverklaring en cookiebeleid

Wat is impliciet versus expliciet toestemming bij cookies en wat mag je gebruiken?

Eva de Vries Eva de Vries
· · 9 min leestijd

Ken je dat? Je opent een website en direct springt er een pop-up in je gezicht.

Inhoudsopgave
  1. Wat zijn cookies eigenlijk?
  2. Expliciet toestemming: zelf actief klikken
  3. Impliciet toestemming: stilzwijgend akkoord
  4. Wat mag je als website-eigenaar gebruiken?
  5. Veelvoorkomende valkuilen
  6. Praktische tips voor jou
  7. Conclusie
  8. Veelgestelde vragen

Of je nu wilt of niet, je moet eerst klikken voordat je verder kunt. Meestal staat er iets als "Ik ga akkoord" of "Accepteer alle". Maar wat betekent dat eigenlijk? Hoe weet je of een website jouw toestemming écht op de juiste manier heeft gevraagd?

In de wereld van cookies zijn er twee belangrijke termen die je moet snappen: expliciet en impliciet toestemming. Laten we dit helder uitleggen, zonder ingewikkeld gedoe.

Wat zijn cookies eigenlijk?

Voordat we in de toestemmingsregels duiken, even een snelle opfrisser. Cookies zijn kleine tekstbestanden die een website op je computer of telefoon plaatst. Ze onthouden dingen voor je.

Denk aan je taalvoorkeur of wat je in een winkelmandje stopte. Sommige cookies zijn onschuldig en functioneel, andere zijn er om jouw gedrag te volgen voor reclame.

De regels voor toestemming hangen af van het type cookie.

Expliciet toestemming: zelf actief klikken

Expliciet toestemming geven is het duidelijkst. Het betekent dat jij zelf actief iets moet ondernemen.

Je moet een keuze maken. Meestal zie je dit bij een cookie-banner of een pop-up met een knop. Je moet bijvoorbeeld een vakje aanvinken of op "Accepteren" klikken.

Wanneer is expliciet toestemming nodig?

Dit is verplicht voor cookies die niet strikt noodzakelijk zijn. Denk aan tracking cookies die jouw surfgedrag volgen voor advertenties.

Stel je voor: je bezoekt een webshop. Er verschijnt een melding: "Wilt u dat we uw surfgedrag analyseren om u beter te helpen?" Je klikt op "Ja, prima" of "Nee, bedankt". Dat is expliciet. Jij hebt de controle. De website mag alleen die cookies plaatsen als jij ja hebt gezegd.

  • Tracking cookies: die jouw gedrag volgen over verschillende websites heen.
  • Marketing cookies: voor gepersonaliseerde advertenties.
  • Analytics cookies: als ze niet anoniem zijn en je IP-adres delen.

Zonder jouw actieve klik mogen ze niet beginnen. Volgens de wet (de AVG) is expliciet toestemming vereist voor:

Een goed voorbeeld is Google Analytics. Als je dit slim instelt (anoniem), heb je soms geen expliciete toestemming nodig. Maar als je volledige data verzamelt, moet je wel om toestemming vragen. Websites als Bol.com of Marktplaats doen dit meestal netjes met een banner waar je actief moet klikken.

Impliciet toestemming: stilzwijgend akkoord

Impliciet toestemming is anders. Hierbij laat je iets weten zonder actief te klikken.

Je gedrag spreekt boekdelen. De website gaat ervan uit dat je akkoord bent, tenzij je iets doet om het tegen te houden.

Dit klinkt handig, maar het is vaak niet genoeg voor de strenge cookie-regels. Stel: je bezoekt een site en er staat een banner onderaan de pagina. Er staat: "Door verder te surfen, ga je akkoord met cookies." Jij scrolt verder om het artikel te lezen. Technisch gezien geef je dan impliciet toestemming.

Wanneer mag impliciet toestemming?

Je handeling (verder scrollen) wordt gezien als acceptatie. Maar is dit altijd legaal?

Nee, niet voor alle cookies. Impliciet toestemming mag alleen voor functionele cookies. Dit zijn cookies die nodig zijn om de website te laten werken. Bijvoorbeeld:

  • Je winkelmandje onthouden.
  • Je taalinstellingen bewaren.
  • Inloggen veilig houden.

Voor deze cookies hoef je niet expliciet te vragen. De wet zegt: als iemand de site bezoekt, wil die persoon dat die werkt.

Dus door simpelweg de site te gebruiken, geef je impliciet toestemming voor deze basiscookies.

Je hoeft geen pop-up te tonen die vraagt: "Mag ik een cookie plaatsen om te onthouden dat je Nederlands spreekt?" Dat zou irritant zijn. Maar let op: voor tracking en marketingcookies werkt impliciet toestemming niet. De Autoriteit Persoonsgegevens (AP) is streng.

Zij zeggen: als je iemands privacy raakt, moet die persoon duidelijk ja zeggen. Stilzwijgend akkoord is niet genoeg voor cookies die je volgen.

Wat mag je als website-eigenaar gebruiken?

Als je een website hebt, moet je je houden aan de regels. Hier is een simpel overzicht wat wel en niet mag.

Mag altijd (geen toestemming nodig): Mag alleen met expliciet toestemming:

  • Functionele cookies: essentieel voor de werking van de site.
  • Technische cookies: voor beveiliging en laadsnelheid.

Je moet altijd weten wanneer je een cookiebanner moet plaatsen voor de niet-functionele cookies. Gebruik geen vooringevulde vakjes. Jij moet wachten tot de gebruiker klikt voordat je die cookies plaatst.

  • Tracking cookies: voor gedragsprofielen.
  • Marketing cookies: voor advertenties van partijen zoals Facebook of Google.
  • Analytics cookies: als ze persoonsgegevens verwerken.

Tools zoals Cookiebot of OneTrust helpen hierbij, maar je kunt het ook zelf bouwen. Een goede banner is duidelijk en eerlijk. Geen misleidende knoppen. Gebruik:

Hoe bouw je een goede cookie-banner?

Laat de banner niet meteen verdwijnen. Geef de gebruiker tijd om te kiezen. En onthoud: als iemand weigert, mag je alleen functionele cookies plaatsen. Geen gezeur met "accepteer anders werkt de site niet" als het niet waar is. Dat is misleiding.

  • Een "Accepteren"-knop: voor wie ja zegt.
  • Een "Weigeren"-knop: even groot en zichtbaar.
  • Een "Instellingen"-knop: voor wie wil kiezen welke cookies.

Veelvoorkomende valkuilen

Veel websites maken fouten. Een bekend probleem is de "fake banner".

Bijvoorbeeld: een pop-up met maar één knop: "Ik ga akkoord". Er is geen "Nee" optie. Dat mag niet. Of een banner die zegt: "Door verder te gaan, accepteer je alles." Dat is impliciet toestemming forceren voor tracking, wat verboden is.

Een andere valkuil is het niet uitschakelen van cookies als iemand nee zegt.

Sommige sites plaatsen toch tracking cookies. Dat is een overtreding. De AP controleert hierop en kan boetes geven. Denk aan de boete voor een groot tech-bedrijf of een bekende webshop.

Praktische tips voor jou

Ben je een bezoeker? Let op de banner.

Kies altijd voor "Weigeren" als je niet wilt dat je data wordt gedeeld. Je browser (zoals Chrome of Firefox) heeft instellingen om cookies te blokkeren.

Gebruik incognito-modus voor snelle, private surfjes. Ben je een website-eigenaar? Test je banner. Vraag advies van een jurist als je twijfelt. Houd je aan de AP-richtlijnen. Gebruik tools die automatisch cookies blokkeren tot toestemming is gegeven.

Conclusie

Expliciet toestemming is actief ja zeggen, nodig voor tracking en marketing. Impliciet toestemming is stilzwijgend akkoord, alleen oké voor functionele cookies.

Wees eerlijk, geef keuze, en respecteer privacy. Zo bouw je vertrouwen op en blijf je uit de problemen. Een website die dit goed doet, voelt betrouwbaar. En dat is wat telt.

Veelgestelde vragen

Wat betekent het precies als je een website laat zien dat je cookies accepteert?

Als je een website laat zien dat je cookies accepteert, geef je aan dat je toestemming hebt voor het opslaan van gegevens en het personaliseren van je online ervaring. Websites gebruiken deze informatie om je content en advertenties relevanter te maken, maar het is belangrijk om te weten welke gegevens precies worden verzameld.

Wat is expliciet toestemming in de context van cookies?

Expliciet toestemming betekent dat je actief een keuze maakt, bijvoorbeeld door op een knop te klikken of een vakje aan te vinken. Websites die tracking cookies gebruiken, zoals die van Google, vragen je dan om expliciet toestemming te geven, zodat je controle hebt over welke gegevens worden verzameld over je surfgedrag.

Zijn er situaties waarin een website cookies kan plaatsen zonder dat je expliciet toestemming hoeft te geven?

In sommige gevallen, zoals bij Google Analytics wanneer de instellingen anoniem zijn, is expliciete toestemming niet vereist. Echter, als een website volledige data verzamelt, zoals Bol.com of Marktplaats, dan is het verplicht om een banner te tonen waar je actief moet klikken om toestemming te geven voor het plaatsen van cookies.

Wat gebeurt er als je cookies weigert te accepteren?

Als je cookies weigert te accepteren, kan het zijn dat bepaalde functionaliteiten van de website niet werken, zoals het delen van artikelen op sociale media. Websites zijn verplicht om je te informeren over de gevolgen van het weigeren van cookies, zodat je een weloverwogen beslissing kunt nemen.

Is het nodig om cookies te accepteren?

Nee, het is niet noodzakelijk om cookies te accepteren. Je hebt altijd de mogelijkheid om cookies te weigeren en de website te verlaten. Het is belangrijk om je bewust te zijn van de soorten cookies die worden gebruikt en de impact die ze kunnen hebben op je privacy.

Lees ook
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026? Hoe schrijf je een privacyverklaring in begrijpelijke taal die ook AVG-proof is? Privacyverklaring voorbeeld voor een kleine Nederlandse webshop Privacyverklaring voorbeeld voor een ZZP'er die klantgegevens verwerkt Privacyverklaring voorbeeld voor een coach of therapeut in de zorgsector Privacyverklaring voorbeeld voor een lokaal horecabedrijf met reserveringssysteem
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Privacyverklaring en cookiebeleid

Bekijk alle 32 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat moet er verplicht in een privacyverklaring staan onder de AVG in 2026?
Lees verder →