Privacywetgeving

AVG toestemming cookies: 2026 gids Nederland

Cookies AVG + Telecommunicatiewet art. 11.7a: geldige toestemming, AP-handhaving, cookiebanner-regels 2026. Wat mag wel en niet.

In één zin. Het Nederlandse cookieregime stoelt op de combinatie van Telecommunicatiewet artikel 11.7a (lex specialis) en AVG artikel 6 lid 1 sub a — toestemming moet aantoonbaar, vrij, specifiek, geïnformeerd en ondubbelzinnig zijn, en cookiewalls die de toegang blokkeren zijn door de AP en ACM in beginsel verboden.

Belangrijkste punten

  • Dubbele rechtsbasis: Tw art. 11.7a (cookies) + AVG art. 6 (persoonsgegevens).
  • Toezichthouders: AP en ACM samen.
  • Cookiewalls verboden (AP-norm 2019, herbevestigd 2023).
  • Weigeren moet even makkelijk als accepteren.
  • Vooraf aangevinkte vakjes verboden (Planet49 HvJ EU 2019).
  • Strikt functionele cookies uitgezonderd.

1. Wettelijk kader

Art. 11.7a Telecommunicatiewet (Tw) implementeert ePrivacy-richtlijn 2002/58/EG art. 5 lid 3 — zie de volledige gids over de cookiewet (Tw 11.7a). Voorwaarden voor plaatsen of uitlezen van informatie op apparatuur eindgebruiker: voorafgaande informatie + toestemming. Bij persoonsgegevens additioneel AVG-regime (art. 6, art. 13). ACM ziet toe op Tw, AP op AVG — gezamenlijke handhaving sinds 2019.

2. Welke cookies vereisen toestemming

Type cookie Toestemming nodig? Voorbeeld
Strikt functioneel Nee Winkelwagen, sessie, login
Analytisch privacyvriendelijk Nee (mits AP-criteria) Matomo zonder ID, statline
Analytisch overig Ja Google Analytics default
Marketing/tracking Ja Facebook Pixel, Google Ads
Social media plugins Ja YouTube-embed, Twitter-widget
A/B testing Ja (meestal) Optimizely, VWO

AP-norm “privacyvriendelijke analytics”: geen persoonsgegevens delen met derde, geen profilering, geanonimiseerd IP, geen cross-site tracking, DPA met dienstverlener. Voor marketing- en trackingcookies in campagnes gelden aanvullend de regels uit AVG en direct marketing.

3. Geldige toestemming: vier voorwaarden

AVG art. 4 lid 11 + Tw art. 11.7a:

  • Vrij: geen cookiewall, geen consequenties bij weigeren.
  • Specifiek: per doel afzonderlijke toestemming (analytics, marketing).
  • Geïnformeerd: heldere uitleg over doel, ontvanger, bewaartermijn.
  • Ondubbelzinnig: actieve handeling, niet door scrollen of doorklikken.

4. Verboden ontwerppatronen

De Autoriteit Persoonsgegevens en de EDPB (Guidelines 3/2022 over dark patterns) verbieden:

  • Cookiewalls die toegang blokkeren tot inhoud.
  • Vooraf aangevinkte vakjes (Planet49).
  • “Accepteren” prominent, “Weigeren” verborgen of in submenu.
  • Verwarrende kleuren (groen accepteren, grijs weigeren = inbreuk).
  • Misleidende formuleringen (“Begrepen”, “Verder gaan”).
  • Toestemming via scrollen, swipen, doorbrowsen.
  • Cookie banners die nooit verdwijnen tenzij geaccepteerd.

5. Cookiebanner: vereiste elementen

Eerste laag moet bevatten:

  • Doel cookies (categorieën).
  • Identiteit verantwoordelijke en eventuele derde.
  • Knoppen “Accepteren” en “Weigeren” gelijkwaardig in prominentie.
  • Link naar gedetailleerde informatie en granulair beheer.
  • Indicatie bewaartermijn.

Tweede laag (instellingen): per categorie toggle, lijst cookies, doel per cookie, derde, bewaartermijn.

6. Cookiewall-verbod

AP-uitspraak december 2019 (herbevestigd 2023): toegang weigeren tot website bij niet-accepteren cookies maakt toestemming onvrij — schending art. 7 AVG. Uitzondering: betaalmuren waarbij betaling redelijk alternatief is (EDPB Opinion 8/2024 over “pay or consent”). Strikte criteria, controversieel, lopende handhaving.

7. Documentatie en bewijs toestemming

Art. 7 lid 1 AVG: verantwoordelijke moet toestemming kunnen aantonen. Praktisch via Consent Management Platform (CMP) dat per gebruiker logt: tijdstip, IP (gehasht), versie banner, geselecteerde categorieën. Bewaartermijn bewijs: looptijd verwerking + bewijslast (minimaal 1 jaar).

8. Intrekken toestemming

Even makkelijk als geven (art. 7 lid 3). Praktisch: permanent cookie-icoon in footer of zwevende knop voor heropenen cookie-instellingen. Bij intrekken: stop verwerking, verwijder cookies, informeer derden waarmee gedeeld. Intrekken werkt vooruit, niet met terugwerkende kracht.

9. Handhaving AP en ACM

ACM richtte zich in 2024-2025 op grote Nederlandse mediawebsites en webshops met onderzoeken naar cookiebanners. AP voert sectorbreed onderzoek uit naar de top 100 Nederlandse websites (gestart 2023). EDPB Cookie Banner Taskforce coördineert EU-breed. Sancties tot 900 K EUR per overtreding onder Tw, plus AVG-boetes.

10. Google Analytics na Schrems II

Google Analytics 4 met standaardconfiguratie geeft doorgifte naar VS. Sinds Schrems II (juli 2020) vereist dit Standard Contractual Clauses + Transfer Impact Assessment. EU-US Data Privacy Framework (juli 2023) biedt grondslag mits Google deelnemer is (ja, sinds september 2023). Risico: framework kan opnieuw vernietigd worden door HvJ EU.

11. ePrivacy-verordening: status 2026

ePrivacy-verordening (ter vervanging van richtlijn 2002/58/EG) ligt sinds 2017 in onderhandeling. Aanname verwacht 2026-2027. Belangrijkste wijzigingen: directe werking (geen omzetting), strikter regime voor metadata, mogelijke afzwakking cookie-toestemming voor onschadelijke doeleinden. Tot inwerkingtreding blijft Tw art. 11.7a geldig.

12. Internationale cookies-handhaving

DPA Verantwoordelijke Bedrag Reden
CNIL (FR) Google 150 M EUR (2022) Geen weiger-knop
CNIL (FR) Facebook 60 M EUR (2022) Geen weiger-knop
CNIL (FR) Amazon 35 M EUR (2020) Cookies zonder toestemming
AEPD (ES) Vodafone 3,9 M EUR (2024) Cookies dark patterns
Garante (IT) Roma Capitale 350 K EUR (2024) Geen granulariteit
AP (NL) Webshop boutique 275 K EUR (2025) Cookies + e-mail cumulatief

Patroon EU: focus op weigeren-knop, granulariteit, geen vooraf-gevinkt. Voor AP boetes 2025 en AVG Art. 5 beginselen over rechtmatigheid.

13. Tool-vergelijking CMP-leveranciers

CMP Prijsindicatie TCF v2.2 NL-features
Cookiebot 0-1000 EUR/m Ja NL-meertalig, GA4-integratie
Usercentrics 100-2000 EUR/m Ja Enterprise NL
OneTrust 5000+ EUR/m Ja Volledig DSAR-platform
Didomi 200-3000 EUR/m Ja Sterk in marketingstacks
Klaro Gratis open source Ja DIY-implementatie
Iubenda 50-500 EUR/m Ja MKB-vriendelijk

Alle bieden weigeren-knop, granulariteit, consent logging, multi-language. Bij keuze: integreer met tag manager om écht tags te blokkeren bij weigering — anders staat banner op groen maar tags blijven laden (vaakvoorkomende fout).

14. Praktisch implementatieplan

  1. Cookie scan (Cookiebot, OneTrust, eigen audit).
  2. Categoriseer per doel en derde.
  3. Configureer CMP met geweigerde defaults.
  4. Implementeer “weigeren” knop gelijkwaardig aan “accepteren”.
  5. Schrijf cookieverklaring (Tw art. 11.7a + AVG art. 13).
  6. Implementeer consent logging.
  7. Test op alle pagina’s en talen.
  8. Permanent heropen-mechanisme in footer.
  9. Periodieke audit (minimaal halfjaarlijks).
  10. DPIA bij grootschalige profilering.

FAQ

Mag ik een cookiewall plaatsen?

Nee. Toegang weigeren bij niet-accepteren cookies is in beginsel verboden volgens AP (2019, 2023). De gebruiker moet de site kunnen bezoeken zonder cookies te accepteren. “Pay or consent” modellen zijn omstreden en lopende handhaving.

Heb ik toestemming nodig voor Google Analytics?

Bij standaardconfiguratie: ja. Bij privacyvriendelijke configuratie (geanonimiseerd IP, geen data-delen met Google, geen profilering) heeft de AP een uitzondering geformuleerd, maar in de praktijk lastig haalbaar met GA4.

Wat zijn strikt functionele cookies?

Cookies absoluut noodzakelijk voor gevraagde dienst: winkelwagen, sessie-ID, login-status, taalkeuze, beveiligingstoken. Geen toestemming nodig (Tw art. 11.7a lid 3).

Wat als de gebruiker geen keuze maakt?

Dan is er geen toestemming. Geen niet-functionele cookies plaatsen of uitlezen. Toestemming kan niet “vermoed” worden uit doorbrowsen of scrollen — EDPB heeft dit expliciet uitgesloten.

Welke boetes staan op cookieovertredingen?

Onder Telecommunicatiewet tot 900 K EUR per overtreding (ACM-handhaving). Onder AVG tot 20 M EUR of 4% omzet (AP-handhaving). Cumulatie mogelijk. Franse CNIL legde Google 150 M EUR en Facebook 60 M EUR boete op voor vergelijkbare overtredingen.

Model waarbij gebruiker kiest tussen betaald abonnement (gratis cookies-vrij) of gratis met toestemming voor advertentie-cookies. EDPB Opinion 8/2024 stelt strikte voorwaarden: prijs moet redelijk zijn, gratis alternatief zonder profilering moet bestaan, geen forced consent. Veel mediasites (Telegraaf, Volkskrant) hanteren dit model — AP-handhaving loopt nog. Risico op nieuwe DPA-besluiten in 2026.

Wat zijn dark patterns in cookiebanners?

EDPB Guidelines 3/2022 noemen: overloading (te veel knoppen), skipping (geen weiger-knop), stirring (kleurverschil accept/weigeren), hindering (verwarrend submenu), fickle (banner verandert tussen visits), left in the dark (geen info). Verboden onder AVG art. 4 lid 11 + 7 lid 4 + Tw 11.7a. Zie ook AVG Art. 5 beginselen over behoorlijkheid.

Bewijslast bij verantwoordelijke gedurende verwerking + 3 jaar verjaringstermijn voor AVG-claims. CMP-tools loggen IP-hash, tijdstip, banner-versie, gekozen categorieën. Bij audit AP/ACM: tonen voor steekproef. Periodiek (jaarlijks) opnieuw vragen indien gebruiker langer dan 13 maanden niet heeft bezocht (CNIL-richtlijn, EDPB volgt grotendeels).

Zie ook: een model toestemmingsformulier, een model cookieverklaring en consent management platforms vergeleken.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →