Compliance

Consent management platform: vergelijking 2026

Consent management platform vergelijking 2026: cookiebanner-eisen onder AVG en Telecommunicatiewet, AP-toezicht op banners en een compliante reject-flow.

Also available in:English·Deutsch

Welk consent management platform (CMP) past bij een Nederlandse website in 2026? Het korte antwoord: een CMP dat een echte, gelijkwaardige weiger-knop naast de accepteer-knop toont, tracking pas laadt ná toestemming, en de gegeven toestemming aantoonbaar registreert — de eisen die volgen uit de AVG en artikel 11.7a van de Telecommunicatiewet. De Autoriteit Persoonsgegevens onderzocht in 2024 en 2025 grote aantallen websites en waarschuwde herhaaldelijk voor misleidende cookiebanners waarin weigeren moeilijker is gemaakt dan accepteren. Deze gids vergelijkt de belangrijkste CMP’s en laat zien waar een banner alleen niet volstaat.

Een CMP kiezen is geen cosmetische beslissing. Een banner die accepteren makkelijker maakt dan weigeren — via kleur, plaatsing of verstopte weiger-opties — levert geen geldige toestemming op, en de toezichthouder heeft die praktijk expliciet op de korrel.

Kernpunten

  • Onder art. 11.7a Telecommunicatiewet is voor tracking cookies voorafgaande toestemming vereist; alleen strikt noodzakelijke cookies zijn uitgezonderd.
  • Weigeren moet even eenvoudig zijn als accepteren — een gelijkwaardige reject-knop op de eerste laag.
  • De AP onderzocht sinds 2024 veel websites en waarschuwde voor misleidende (deceptive) banners.
  • Een CMP regelt de banner en de toestemmingsregistratie, maar niet uw bredere AVG-verplichtingen.

Wat een compliante cookiebanner moet doen

De juridische lat ligt op vier punten. Een CMP dat er een mist, dekt de verplichting niet:

Eis Wat het inhoudt
Voorafgaande toestemming Tracking laadt pas ná een actieve “accepteer”
Gelijkwaardige weiger-knop Weigeren even zichtbaar en eenvoudig als accepteren
Granulariteit Keuze per categorie (functioneel, analytisch, marketing)
Aantoonbaarheid Registratie van wie wanneer waarvoor toestemde

Voorgevinkte vakjes, “cookiewalls” die toegang blokkeren tot toestemming, en banners zonder weiger-optie op de eerste laag zijn allemaal ongeldig. Onze uitleg over toestemming voor cookies en de Cookiewet en Telecommunicatiewet gaan dieper op deze eisen in.

De Nederlandse handhavingscontext

Cookietoezicht is in Nederland verdeeld: de Autoriteit Persoonsgegevens ziet toe op de toestemming (AVG), en de Autoriteit Consument & Markt op de Telecommunicatiewet zelf. Sinds 2024 heeft de AP het cookietoezicht opgevoerd, honderden websites bekeken en publiekelijk gewaarschuwd voor misleidende banners waarin de weiger-optie is weggemoffeld (AP over cookies). De boodschap is consistent: een banner die de bezoeker naar “accepteren” duwt, is geen geldige toestemming.

Voor websitebeheerders betekent dit dat de keuze van CMP en de configuratie ervan direct handhavingsrisico raakt. Een goed CMP dat verkeerd is ingesteld — reject-knop verstopt, tracking die vóór toestemming laadt — biedt geen bescherming.

De juridische basis is dubbel, en dat maakt het toezicht robuust. Artikel 11.7a Telecommunicatiewet eist toestemming vóór het plaatsen of uitlezen van cookies; zodra die cookies persoonsgegevens verwerken — wat bij tracking- en marketingcookies vrijwel altijd het geval is — geldt daarnaast de AVG, met haar eis dat toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is. Een banner die niet aan die lat voldoet, faalt dus op twee wetten tegelijk. De AP heeft in haar cookie-normuitleg duidelijk gemaakt dat “doorklikken”, scrollen of het simpelweg wegklikken van een banner géén geldige toestemming oplevert, en dat een cookiewall — waarbij toegang tot de site afhankelijk wordt gemaakt van het accepteren van tracking — in de meeste gevallen onrechtmatig is omdat de toestemming dan niet vrij is. Wie een CMP kiest, koopt in feite de infrastructuur om aan beide regimes te voldoen; de kunst zit in het correct configureren ervan.

De markt in 2026, platform voor platform

Cookiebot (Usercentrics) — breed gebruikt Europees CMP met automatische cookiescan en sterke categorisering. Solide en compliant in te richten; let op de configuratie van de reject-knop en de prijs bij veel pageviews.

Usercentrics — enterprise-CMP met uitgebreide geo-targeting en A/B-mogelijkheden. Krachtig, prijziger, geschikt voor grotere sites met internationaal verkeer.

CookieYes — betaalbare instap-CMP, populair bij kleinere sites en WordPress. Voldoende voor eenvoudige situaties; toets of de reject-flow op de eerste laag staat.

Cookie-Script / Complianz — voordelige, veelal Europese opties met goede WordPress-integratie. Complianz is populair in de Benelux en Nederlandstalig.

OneTrust / Didomi — enterprise-CMP’s binnen een breder privacyplatform. Zeer volledig (TCF-ondersteuning, geavanceerde vendor-lijsten), maar zwaar en duur; passend bij grote uitgevers en adtech.

Platform Reject op eerste laag NL-taal Auto cookiescan Segment
Cookiebot Configureerbaar Ja Ja Mkb - enterprise
Complianz Ja Ja Ja Mkb / WordPress
CookieYes Configureerbaar Deels Ja Klein - mkb
Didomi Ja Ja Ja Enterprise / adtech
OneTrust Ja Deels Ja Enterprise

Waar een CMP alleen niet volstaat

Dit is de kern van de zaak: een CMP regelt de cookiebanner en de toestemmingsregistratie, maar níét uw bredere AVG-verplichtingen. De toestemming die het CMP verzamelt, moet passen in uw verwerkingsregister, uw privacyverklaring en uw bewaartermijnen. Marketingcookies die klantprofielen opbouwen, raken bovendien de regels voor direct marketing.

Met andere woorden: een CMP is een noodzakelijke bouwsteen, geen compleet compliance-platform. Organisaties die zowel de cookiebanner als het register, de DPIA’s en de verwerkersovereenkomsten willen beheren, combineren een CMP met een AVG-platform — zie onze AVG compliance software vergelijking. Legiscope beheert die AVG-kern (register, DPIA’s, verwerkers) maar is geen cookiebanner-tool; de twee vullen elkaar aan.

Er is nog een blinde vlek die veel organisaties over het hoofd zien: de tags áchter de banner. Een CMP blokkeert alleen de scripts die het kent en die correct in de toestemmingslogica zijn ingehangen. In de praktijk lekken er vaak trackers langs de banner — een pixel die rechtstreeks in de paginacode staat, een marketingtag die via een tag manager laadt vóór de toestemmingsvraag, of een embed van een videodienst die zelf cookies zet. Het gevolg is dat de bezoeker “weigeren” aanklikt terwijl er toch getrackt wordt: de ergst denkbare situatie, want de organisatie wékt de indruk compliant te zijn en is het aantoonbaar niet. Een goede implementatie vraagt daarom om meer dan het installeren van een CMP: het vraagt om een periodieke cookiescan die controleert welke scripts er werkelijk laden, en om discipline in het beheer van tags. Reken dat werk mee wanneer u de kosten van een platform afweegt — de licentie is zelden de grootste post.

Zo kiest en configureert u

  1. Kies op de reject-flow, niet op het aantal features. Test in de demo of weigeren met één klik op de eerste laag kan. Als dat verstopt zit, is het CMP een risico.
  2. Controleer of tracking pas ná toestemming laadt. Veel misconfiguraties laten analytics vóór de keuze lopen — dat is de meest voorkomende overtreding. Draai na de installatie een cookiescan om te verifiëren dat er vóór toestemming werkelijk niets tracks, en herhaal die scan na elke wijziging aan de site.
  3. Toets de prijs tegen uw pageviews. CMP-prijzen schalen vaak met verkeer; reken de kosten door op uw werkelijke volume.
  4. Zorg voor Nederlandstalige tekst. De AP, uw bezoekers en de OR lezen Nederlands; een Engelstalige banner ondermijnt de begrijpelijkheid.

Een punt dat bij de keuze zwaarder weegt dan de meeste kopers denken, is de omgang met bestaande toestemmingen. Wanneer u overstapt van het ene CMP naar het andere, of wanneer u uw cookiebeleid wijzigt, is de vraag of eerder verkregen toestemmingen nog geldig zijn. Voegt u een nieuwe trackingcategorie toe of verandert het doel, dan is opnieuw toestemming vragen doorgaans noodzakelijk — een banner die stilzwijgend voortborduurt op oude toestemming voor nieuwe doeleinden, voldoet niet. Een goed CMP houdt daarom een toestemmingsregister bij met versie, tijdstip en reikwijdte per bezoeker, zodat u kunt aantonen waarvoor precies toestemming is gegeven en wanneer die verloopt. Vraag in de demo hoe het platform omgaat met beleidswijzigingen en hernieuwde toestemming; dat onderscheidt een volwassen CMP van een simpele bannergenerator.

Veelgestelde vragen

Niet als zodanig, maar de onderliggende eis wel: voor tracking cookies is voorafgaande, aantoonbare toestemming vereist (art. 11.7a Telecommunicatiewet). Een CMP is de praktische manier om die toestemming te verzamelen, per categorie te registreren en tracking pas ná de keuze te laden. Een handmatige oplossing is bij enige omvang onhoudbaar.

Moet de weiger-knop even prominent zijn als accepteren?

Ja. De AP beschouwt banners waarin weigeren moeilijker is gemaakt dan accepteren als misleidend, waardoor de toestemming niet geldig is. Een gelijkwaardige reject-knop op dezelfde laag als de accepteer-knop is de norm — verstop weigeren niet achter “instellingen”.

Vervangt een CMP mijn AVG-compliance?

Nee. Een CMP regelt uitsluitend de cookiebanner en de toestemmingsregistratie. Uw verwerkingsregister, DPIA’s, verwerkersovereenkomsten en bewaartermijnen vallen daarbuiten. Combineer een CMP daarom met een AVG-platform voor de volledige compliance.

Welk CMP is het beste voor een Nederlandse website?

Er is geen universele winnaar. Voor kleinere sites en WordPress zijn Complianz en CookieYes betaalbaar en Nederlandstalig; voor grotere sites bieden Cookiebot en Didomi meer functionaliteit. Beslissend is niet de merknaam maar de configuratie: een gelijkwaardige reject-knop en tracking die pas ná toestemming laadt.

Conclusie

Het beste consent management platform is niet het platform met de meeste functies, maar het platform dat u compliant kúnt configureren: een gelijkwaardige weiger-knop op de eerste laag, tracking die pas ná toestemming laadt, en aantoonbare registratie per categorie. Met de AP die sinds 2024 actief jaagt op misleidende banners, is de configuratie belangrijker dan de merkkeuze. Vergeet daarbij niet dat een CMP alleen de cookiebanner dekt — voor uw register, DPIA’s en verwerkersovereenkomsten heeft u een aanvullend AVG-platform nodig. Test elk CMP op één ding: kan een bezoeker met één klik weigeren, en blijft de tracking dan uit?

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →