In één zin. Het Nederlandse cookieregime stoelt op de combinatie van Telecommunicatiewet artikel 11.7a (lex specialis) en AVG artikel 6 lid 1 sub a — toestemming moet aantoonbaar, vrij, specifiek, geïnformeerd en ondubbelzinnig zijn, en cookiewalls die de toegang blokkeren zijn door de AP en ACM in beginsel verboden.
Belangrijkste punten
- Dubbele rechtsbasis: Tw art. 11.7a (cookies) + AVG art. 6 (persoonsgegevens).
- Toezichthouders: AP en ACM samen.
- Cookiewalls verboden (AP-norm 2019, herbevestigd 2023).
- Weigeren moet even makkelijk als accepteren.
- Vooraf aangevinkte vakjes verboden (Planet49 HvJ EU 2019).
- Strikt functionele cookies uitgezonderd.
1. Wettelijk kader
Art. 11.7a Telecommunicatiewet (Tw) implementeert ePrivacy-richtlijn 2002/58/EG art. 5 lid 3 — zie de volledige gids over de cookiewet (Tw 11.7a). Voorwaarden voor plaatsen of uitlezen van informatie op apparatuur eindgebruiker: voorafgaande informatie + toestemming. Bij persoonsgegevens additioneel AVG-regime (art. 6, art. 13). ACM ziet toe op Tw, AP op AVG — gezamenlijke handhaving sinds 2019.
2. Welke cookies vereisen toestemming
| Type cookie | Toestemming nodig? | Voorbeeld |
|---|---|---|
| Strikt functioneel | Nee | Winkelwagen, sessie, login |
| Analytisch privacyvriendelijk | Nee (mits AP-criteria) | Matomo zonder ID, statline |
| Analytisch overig | Ja | Google Analytics default |
| Marketing/tracking | Ja | Facebook Pixel, Google Ads |
| Social media plugins | Ja | YouTube-embed, Twitter-widget |
| A/B testing | Ja (meestal) | Optimizely, VWO |
AP-norm “privacyvriendelijke analytics”: geen persoonsgegevens delen met derde, geen profilering, geanonimiseerd IP, geen cross-site tracking, DPA met dienstverlener. Voor marketing- en trackingcookies in campagnes gelden aanvullend de regels uit AVG en direct marketing.
3. Geldige toestemming: vier voorwaarden
AVG art. 4 lid 11 + Tw art. 11.7a:
- Vrij: geen cookiewall, geen consequenties bij weigeren.
- Specifiek: per doel afzonderlijke toestemming (analytics, marketing).
- Geïnformeerd: heldere uitleg over doel, ontvanger, bewaartermijn.
- Ondubbelzinnig: actieve handeling, niet door scrollen of doorklikken.
4. Verboden ontwerppatronen
De Autoriteit Persoonsgegevens en de EDPB (Guidelines 3/2022 over dark patterns) verbieden:
- Cookiewalls die toegang blokkeren tot inhoud.
- Vooraf aangevinkte vakjes (Planet49).
- “Accepteren” prominent, “Weigeren” verborgen of in submenu.
- Verwarrende kleuren (groen accepteren, grijs weigeren = inbreuk).
- Misleidende formuleringen (“Begrepen”, “Verder gaan”).
- Toestemming via scrollen, swipen, doorbrowsen.
- Cookie banners die nooit verdwijnen tenzij geaccepteerd.
5. Cookiebanner: vereiste elementen
Eerste laag moet bevatten:
- Doel cookies (categorieën).
- Identiteit verantwoordelijke en eventuele derde.
- Knoppen “Accepteren” en “Weigeren” gelijkwaardig in prominentie.
- Link naar gedetailleerde informatie en granulair beheer.
- Indicatie bewaartermijn.
Tweede laag (instellingen): per categorie toggle, lijst cookies, doel per cookie, derde, bewaartermijn.
6. Cookiewall-verbod
AP-uitspraak december 2019 (herbevestigd 2023): toegang weigeren tot website bij niet-accepteren cookies maakt toestemming onvrij — schending art. 7 AVG. Uitzondering: betaalmuren waarbij betaling redelijk alternatief is (EDPB Opinion 8/2024 over “pay or consent”). Strikte criteria, controversieel, lopende handhaving.
7. Documentatie en bewijs toestemming
Art. 7 lid 1 AVG: verantwoordelijke moet toestemming kunnen aantonen. Praktisch via Consent Management Platform (CMP) dat per gebruiker logt: tijdstip, IP (gehasht), versie banner, geselecteerde categorieën. Bewaartermijn bewijs: looptijd verwerking + bewijslast (minimaal 1 jaar).
8. Intrekken toestemming
Even makkelijk als geven (art. 7 lid 3). Praktisch: permanent cookie-icoon in footer of zwevende knop voor heropenen cookie-instellingen. Bij intrekken: stop verwerking, verwijder cookies, informeer derden waarmee gedeeld. Intrekken werkt vooruit, niet met terugwerkende kracht.
9. Handhaving AP en ACM
ACM richtte zich in 2024-2025 op grote Nederlandse mediawebsites en webshops met onderzoeken naar cookiebanners. AP voert sectorbreed onderzoek uit naar de top 100 Nederlandse websites (gestart 2023). EDPB Cookie Banner Taskforce coördineert EU-breed. Sancties tot 900 K EUR per overtreding onder Tw, plus AVG-boetes.
10. Google Analytics na Schrems II
Google Analytics 4 met standaardconfiguratie geeft doorgifte naar VS. Sinds Schrems II (juli 2020) vereist dit Standard Contractual Clauses + Transfer Impact Assessment. EU-US Data Privacy Framework (juli 2023) biedt grondslag mits Google deelnemer is (ja, sinds september 2023). Risico: framework kan opnieuw vernietigd worden door HvJ EU.
11. ePrivacy-verordening: status 2026
ePrivacy-verordening (ter vervanging van richtlijn 2002/58/EG) ligt sinds 2017 in onderhandeling. Aanname verwacht 2026-2027. Belangrijkste wijzigingen: directe werking (geen omzetting), strikter regime voor metadata, mogelijke afzwakking cookie-toestemming voor onschadelijke doeleinden. Tot inwerkingtreding blijft Tw art. 11.7a geldig.
12. Internationale cookies-handhaving
| DPA | Verantwoordelijke | Bedrag | Reden |
|---|---|---|---|
| CNIL (FR) | 150 M EUR (2022) | Geen weiger-knop | |
| CNIL (FR) | 60 M EUR (2022) | Geen weiger-knop | |
| CNIL (FR) | Amazon | 35 M EUR (2020) | Cookies zonder toestemming |
| AEPD (ES) | Vodafone | 3,9 M EUR (2024) | Cookies dark patterns |
| Garante (IT) | Roma Capitale | 350 K EUR (2024) | Geen granulariteit |
| AP (NL) | Webshop boutique | 275 K EUR (2025) | Cookies + e-mail cumulatief |
Patroon EU: focus op weigeren-knop, granulariteit, geen vooraf-gevinkt. Voor AP boetes 2025 en AVG Art. 5 beginselen over rechtmatigheid.
13. Tool-vergelijking CMP-leveranciers
| CMP | Prijsindicatie | TCF v2.2 | NL-features |
|---|---|---|---|
| Cookiebot | 0-1000 EUR/m | Ja | NL-meertalig, GA4-integratie |
| Usercentrics | 100-2000 EUR/m | Ja | Enterprise NL |
| OneTrust | 5000+ EUR/m | Ja | Volledig DSAR-platform |
| Didomi | 200-3000 EUR/m | Ja | Sterk in marketingstacks |
| Klaro | Gratis open source | Ja | DIY-implementatie |
| Iubenda | 50-500 EUR/m | Ja | MKB-vriendelijk |
Alle bieden weigeren-knop, granulariteit, consent logging, multi-language. Bij keuze: integreer met tag manager om écht tags te blokkeren bij weigering — anders staat banner op groen maar tags blijven laden (vaakvoorkomende fout).
14. Praktisch implementatieplan
- Cookie scan (Cookiebot, OneTrust, eigen audit).
- Categoriseer per doel en derde.
- Configureer CMP met geweigerde defaults.
- Implementeer “weigeren” knop gelijkwaardig aan “accepteren”.
- Schrijf cookieverklaring (Tw art. 11.7a + AVG art. 13).
- Implementeer consent logging.
- Test op alle pagina’s en talen.
- Permanent heropen-mechanisme in footer.
- Periodieke audit (minimaal halfjaarlijks).
- DPIA bij grootschalige profilering.
FAQ
Mag ik een cookiewall plaatsen?
Nee. Toegang weigeren bij niet-accepteren cookies is in beginsel verboden volgens AP (2019, 2023). De gebruiker moet de site kunnen bezoeken zonder cookies te accepteren. “Pay or consent” modellen zijn omstreden en lopende handhaving.
Heb ik toestemming nodig voor Google Analytics?
Bij standaardconfiguratie: ja. Bij privacyvriendelijke configuratie (geanonimiseerd IP, geen data-delen met Google, geen profilering) heeft de AP een uitzondering geformuleerd, maar in de praktijk lastig haalbaar met GA4.
Wat zijn strikt functionele cookies?
Cookies absoluut noodzakelijk voor gevraagde dienst: winkelwagen, sessie-ID, login-status, taalkeuze, beveiligingstoken. Geen toestemming nodig (Tw art. 11.7a lid 3).
Wat als de gebruiker geen keuze maakt?
Dan is er geen toestemming. Geen niet-functionele cookies plaatsen of uitlezen. Toestemming kan niet “vermoed” worden uit doorbrowsen of scrollen — EDPB heeft dit expliciet uitgesloten.
Welke boetes staan op cookieovertredingen?
Onder Telecommunicatiewet tot 900 K EUR per overtreding (ACM-handhaving). Onder AVG tot 20 M EUR of 4% omzet (AP-handhaving). Cumulatie mogelijk. Franse CNIL legde Google 150 M EUR en Facebook 60 M EUR boete op voor vergelijkbare overtredingen.
Hoe werkt “pay or consent”?
Model waarbij gebruiker kiest tussen betaald abonnement (gratis cookies-vrij) of gratis met toestemming voor advertentie-cookies. EDPB Opinion 8/2024 stelt strikte voorwaarden: prijs moet redelijk zijn, gratis alternatief zonder profilering moet bestaan, geen forced consent. Veel mediasites (Telegraaf, Volkskrant) hanteren dit model — AP-handhaving loopt nog. Risico op nieuwe DPA-besluiten in 2026.
Wat zijn dark patterns in cookiebanners?
EDPB Guidelines 3/2022 noemen: overloading (te veel knoppen), skipping (geen weiger-knop), stirring (kleurverschil accept/weigeren), hindering (verwarrend submenu), fickle (banner verandert tussen visits), left in the dark (geen info). Verboden onder AVG art. 4 lid 11 + 7 lid 4 + Tw 11.7a. Zie ook AVG Art. 5 beginselen over behoorlijkheid.
Hoe lang bewaar ik consent records?
Bewijslast bij verantwoordelijke gedurende verwerking + 3 jaar verjaringstermijn voor AVG-claims. CMP-tools loggen IP-hash, tijdstip, banner-versie, gekozen categorieën. Bij audit AP/ACM: tonen voor steekproef. Periodiek (jaarlijks) opnieuw vragen indien gebruiker langer dan 13 maanden niet heeft bezocht (CNIL-richtlijn, EDPB volgt grotendeels).
Zie ook: een model toestemmingsformulier, een model cookieverklaring en consent management platforms vergeleken.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial