In één zin. De Nederlandse cookiewet leeft als artikel 11.7a Telecommunicatiewet — sinds 2012 in werking, in 2015 verzacht voor analytics, sinds 2019 herijkt door AP-cookiewall-verbod, en in 2026 aan de vooravond van vervanging door de Europese ePrivacy-verordening.
Belangrijkste punten
- Tw art. 11.7a implementeert ePrivacy-richtlijn (2002/58/EG).
- Toezicht door ACM (Tw) en AP (AVG). Gecombineerde handhaving.
- Sancties: tot 900 K EUR per overtreding (Tw) + AVG-boetes.
- 2015-wijziging: uitzondering voor strikt functionele en privacyvriendelijke analytics.
- 2019: AP-norm tegen cookiewalls.
- 2026: ePrivacy-verordening verwacht.
1. Wettelijke geschiedenis
- 2002: ePrivacy-richtlijn 2002/58/EG (EUR-Lex).
- 2009: wijziging Richtlijn 2009/136/EG (cookie consent).
- 5 juni 2012: Nederland implementeert in Tw art. 11.7a (eerste lidstaat met expliciete cookietoestemming).
- 2013: handhaving start.
- 2015: wijziging — uitzondering analytics privacyvriendelijk.
- 2018: AVG van toepassing, complementair regime.
- 2019: AP-norm tegen cookiewalls.
- 2023: AP en ACM gezamenlijke handhaving top-100.
- 2026: ePrivacy-verordening verwacht.
2. Reikwijdte Tw art. 11.7a
Verbod om informatie op te slaan in randapparatuur eindgebruiker of toegang te verkrijgen tot reeds opgeslagen informatie, tenzij:
- Eindgebruiker geïnformeerd is over doel.
- Eindgebruiker toestemming heeft gegeven.
Of een van de uitzonderingen geldt.
Reikt verder dan cookies alleen: ook tracking pixels, fingerprinting, local storage, IndexedDB, service workers. Vooral webshops met retargeting-pixels en affiliate tracking vallen hier volop onder.
3. Uitzonderingen (Tw 11.7a lid 3)
Geen toestemming nodig bij:
- Strikt noodzakelijk voor verzochte dienst (winkelwagen, sessie, login, taalkeuze).
- Communicatie verzenden over elektronische communicatienetwerk (load balancing, security tokens).
- Privacyvriendelijke analytics (2015-wijziging) onder strikte voorwaarden.
4. Privacyvriendelijke analytics-uitzondering
AP-norm voor toestemmingsvrije analytics:
- Geen persoonsgegevens delen met derde.
- Geanonimiseerd IP (laatste octet maskeren).
- Geen profielopbouw cross-site.
- Geen cookies langer dan strikt nodig.
- Verwerkersovereenkomst met dienst.
- Geen advertising features (remarketing, demographics).
Voldoet aan: Matomo lokaal, Plausible, Fathom, statline (in juiste configuratie). Voldoet meestal NIET aan: Google Analytics 4 default, Hotjar default, Mixpanel default.
5. Toezicht ACM en AP
| Aspect | ACM | AP |
|---|---|---|
| Wet | Tw | AVG |
| Cookie-plaatsing | Ja | Indirect (via persoonsgeg.) |
| Toestemmingsgeldigheid | Beide | Beide |
| Max boete | 900 K EUR per overtreding | 20 M EUR / 4% omzet |
| Klachtkanaal | ACM ConsuWijzer | AP klachtformulier |
Praktijk: gezamenlijke handhaving sinds 2019. Onderzoek vaak gecombineerd.
6. Cookiebanner-norm
Eerste laag minimaal:
- Identiteit verantwoordelijke.
- Doel cookies (categorieën).
- Knoppen “Accepteren” en “Weigeren” gelijkwaardig.
- Link naar instellingen en cookie-overzicht.
EDPB-richtlijn 3/2022 + AP-handhaving:
- Geen pre-ticked vakjes.
- Geen verwarrende kleurcoderingen.
- Geen “Accept All” prominent zonder gelijkwaardige “Reject All”.
- Geen toestemming via scrollen.
- Geen cookiewalls.
7. Cookiewall-verbod (AP 2019)
AP-norm december 2019: toegang weigeren tot website bij niet-accepteren cookies maakt toestemming onvrij. Schending art. 7 AVG (vrije toestemming).
Uitzonderingen onder discussie:
- Pay-or-consent: NRC, NU.nl, Telegraaf experimenteren met betalingsmuur als alternatief. EDPB Opinion 8/2024 stelt strikte criteria.
- Publieke missie: omroepen, overheid mogen geen pay-wall.
8. Documentatie en bewijs
Art. 11.7a + AVG art. 7 vereisen aantoonbare toestemming:
- Consent Management Platform (Cookiebot, OneTrust, CookieFirst).
- Per gebruiker log: timestamp, IP-hash, banner-versie, gemaakte keuzes.
- Bewaartermijn bewijs: looptijd verwerking + 1 jaar.
- Periodieke audit op CMP-werking.
9. Intrekken toestemming
Even makkelijk als geven. Praktisch:
- Permanent cookie-icoon in footer (open opnieuw banner).
- Zwevende knop “Cookie-instellingen”.
- Link in privacyverklaring naar instellingen.
Bij intrekken: stop verwerking, verwijder cookies, informeer derden.
10. Belangrijke handhavingszaken
- ACM-boetes 2013-2024: tientallen, varierend 5K-200K EUR (voornamelijk niet-conforme banners).
- AP-onderzoek top-100 (2023): meerderheid niet-conform, waarschuwingen + verbeterplannen.
- EU-context: CNIL Google 150 M EUR + Facebook 60 M EUR (2022) voor onmogelijk weigeren.
- Italiaanse Garante: meerdere cookie-boetes 0,5-5 M EUR.
11. Internationale handhaving cookies
| DPA | Verantwoordelijke | Bedrag | Jaar |
|---|---|---|---|
| CNIL (FR) | 150 M EUR | 2022 | |
| CNIL (FR) | 60 M EUR | 2022 | |
| CNIL (FR) | Amazon | 35 M EUR | 2020 |
| Garante (IT) | Roma Capitale | 350 K EUR | 2024 |
| AEPD (ES) | Vodafone España | 3,9 M EUR | 2024 |
| ICO (VK) | Easylife | 130 K GBP | 2022 |
CNIL leidt globaal in cookie-handhaving; ACM/AP Nederland nog selectief actief maar oprukkend. Verwacht 2026: eerste grote NL-boete na top-100 onderzoek (>70% niet-conform 2023).
12. Tool-vergelijking CMP NL
| CMP | Prijs/maand | Sterkten | Zwakten |
|---|---|---|---|
| Cookiebot | 0-1000 EUR | NL-meertalig, GA4 | Banner-design beperkt |
| Usercentrics | 100-2000 EUR | Enterprise, EU-hosted | Prijs voor MKB |
| OneTrust | 5000+ EUR | DSAR + cookies geïntegreerd | Complex |
| Didomi | 200-3000 EUR | Marketing-stack integraties | Minder NL-focus |
| Klaro | Gratis OSS | DIY, EU-hosted | Geen support |
| Iubenda | 50-500 EUR | MKB, juridische templates | Beperkte enterprise |
Bij keuze: integratie met Tag Manager (Google, Tealium, Segment) verifieren — cookie-tags moeten daadwerkelijk geblokkeerd worden bij weigering. Vaak gemaakte fout: CMP toont banner maar tags blijven laden in background.
13. ePrivacy-verordening 2026
Vervanging ePrivacy-richtlijn 2002/58. Onderhandelingen sinds 2017, vermoedelijke aanname 2026-2027. Belangrijke wijzigingen:
- Verordening (directe werking, geen omzetting).
- Strikter regime metadata communicatie.
- Mogelijk versoepeling toestemming onschadelijke cookies (security, fraud).
- Browser-based consent mogelijk (Do Not Track-achtig).
- Hoge boetes (vergelijkbaar AVG).
Tot inwerkingtreding blijft Tw art. 11.7a geldig.
12. Tekst van Tw art. 11.7a (kerneis)
“Onverminderd de Algemene verordening gegevensbescherming en de Uitvoeringswet Algemene verordening gegevensbescherming is het een ieder verboden om door middel van een openbaar elektronisch communicatienetwerk informatie op te slaan in de randapparatuur van een gebruiker of abonnee, dan wel toegang te verkrijgen tot informatie die reeds in zijn randapparatuur is opgeslagen, anders dan voor zover de betrokken gebruiker of abonnee daarvoor toestemming heeft verleend (…)” (art. 11.7a lid 1 Tw)
Lid 3 noemt de uitzonderingen voor strikt noodzakelijke en analytische cookies. ACM en AP delen handhavingsbevoegdheid. Bij persoonsgegevens (vrijwel altijd het geval) geldt AVG-regime cumulatief. Voor AVG Art. 5 beginselen over rechtmatigheid.
13. AP-norm cookies en walls (2019/2023)
Een publicatie van de Autoriteit Persoonsgegevens uit december 2019 (herbevestigd 2023):
- Cookiewall die toegang weigert = onvrije toestemming = ongeldig.
- “Pay or consent” alleen onder strikte EDPB-criteria (Opinion 8/2024).
- Weigeren moet even prominent en simpel als accepteren.
- Geen “Begrepen”-knoppen die toestemming impliceren.
- Granulariteit per categorie verplicht.
- Heroverweging mogelijk te maken via permanente footer-link.
AP-onderzoek top-100 NL-sites (2023): >70% niet-conform. Verbeterplannen overeengekomen, vermoedelijk eerste boetes 2026. Zie AP boetes 2025.
14. Compliance-checklist
- Cookie scan (categoriseren per doel en derde).
- CMP implementeren met geweigerd-default.
- Eerste laag: equivalente knoppen, granulaire toggles.
- Tweede laag: instellingen per cookie.
- Privacyvriendelijke analytics overwegen.
- Verwerkersovereenkomsten met cookieleveranciers.
- Doorgifte-clausules (VS-services).
- Periodieke audit + consent-rate analyse.
- Heropenmechanisme in footer.
- Documentatie + log van toestemmingen.
FAQ
Heb ik altijd een cookiebanner nodig?
Alleen bij niet-functionele cookies. Pure functionele site (alleen sessie, login, winkelwagen) hoeft geen banner. Vrijwel elke moderne website gebruikt echter analytics → banner nodig.
Mag ik Google Analytics 4 zonder toestemming?
Standaardconfiguratie nee. Zwaar afgeklede configuratie (geen advertising features, EU-only, geanonimiseerd IP) zou theoretisch onder analytics-uitzondering kunnen vallen, maar AP heeft GA4 niet expliciet vrijgesteld. Plausible of Matomo veiliger.
Wat als de gebruiker geen keuze maakt?
Dan is er geen toestemming. Geen niet-functionele cookies plaatsen. Toestemming via scrollen, sluiten banner of doorbrowsen is NIET toegestaan — expliciete handeling vereist.
Wat is het verschil tussen cookiewet en AVG?
Cookiewet (Tw 11.7a) regelt het kanaal: wat mag wel/niet op gebruikersapparaat. AVG regelt de gegevensverwerking. Beide gelden cumulatief. Cookiewet eist toestemming voor plaatsing; AVG eist grondslag voor verwerking — zie de gids over geldige AVG-toestemming voor cookies.
Komt ePrivacy-verordening in 2026?
Mogelijk. Onderhandelingen lopen sinds 2017. Politieke wil bestaat maar Raad-Parlement-Commissie onenigheid op specifieke punten (browser-consent, metadata). Realistisch: aanname eind 2026, inwerkingtreding 2027-2028 na transitieperiode.
Welke cookies vallen onder de uitzondering “strikt noodzakelijk”?
Winkelwagen, sessie-ID, login-status, taalkeuze, beveiligingstoken (CSRF), load balancing. Algemene regel: zonder deze cookie werkt de door gebruiker actief gevraagde dienst niet. Analytics is per definitie NIET strikt noodzakelijk — valt onder aparte analytics-uitzondering met strikte criteria. Marketing en advertising nooit onder uitzondering.
Welke sancties heeft ACM opgelegd voor cookies?
ACM-boetes 2013-2024: tientallen besluiten, varierend 5K-200K EUR. Grotere recente boete: Eneco 750 K EUR (2024) voor cookies + telemarketing-cumulatie — zie de gids AVG en direct marketing voor de telemarketingregels. Patroon: eerst waarschuwing, dan boete bij niet-naleven. ACM en AP coördineren handhaving sinds 2019; één onderzoek kan leiden tot twee sancties (Tw + AVG).
Hoe verhoudt de cookiewet zich tot de Digital Services Act?
DSA (Verordening 2022/2065) reguleert online platforms en bevat aparte regels voor profilering-advertenties (verbod aan minderjarigen, beperkt voor bijzondere gegevens). Cumuleert met Tw 11.7a (cookies) en AVG (verwerking). Voor zeer grote platforms (VLOP’s): aanvullende DSA-verplichtingen. Zie ook Verwerkersovereenkomst template voor DPA-eisen aan adtech-leveranciers.
Zie ook: een model cookieverklaring en consent management platforms vergeleken.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial