Cookie consent voor websites: AVG en Telecommunicatiewet uitgelegd
Cookie consent is verplicht voor analytische cookies (Google Analytics) en marketingcookies op grond van art. 11.7a Telecommunicatiewet en AVG art. 6(1)(a). Strikt noodzakelijke cookies zijn vrijgesteld. Vergelijking van vier CMP-tools voor het mkb.
- Cookie consent is verplicht voor analytische cookies (zoals Google Analytics _ga en _gid) en marketingcookies op grond van art. 11.7a Telecommunicatiewet -- de Nederlandse omzetting van ePrivacy Richtlijn 2009/136/EG -- en AVG art. 6(1)(a). Strikt noodzakelijke cookies zijn vrijgesteld van de toestemmingsplicht.
- Een rechtsgeldige cookie banner vereist een gelijkwaardige Weigeren-knop naast Accepteren, opt-in (niet opt-out) en logging van toestemming per gebruiker conform AVG art. 7 lid 1. Pre-aangevinkte vakjes zijn niet toegestaan.
- De ACM handhaaft de Telecommunicatiewet; de Autoriteit Persoonsgegevens handhaaft de AVG. Boetes lopen op tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Complianz (WordPress) en Cookiebot zijn de meest gebruikte CMP-oplossingen voor Nederlands mkb.
Wat is cookie consent en wanneer is het verplicht?
Cookie consent is de toestemming die een websitebezoeker geeft voordat een website niet-noodzakelijke cookies plaatst. Art. 11.7a van de Telecommunicatiewet (Tw) -- de Nederlandse omzetting van ePrivacy Richtlijn 2009/136/EG -- verbiedt het plaatsen van analytische en marketingcookies zonder voorafgaande, geïnformeerde toestemming van de bezoeker. Als die cookies persoonsgegevens verwerken -- zoals Google Analytics-trackers (_ga, _gid) of de Meta Pixel -- geldt bovendien AVG art. 6(1)(a): toestemming is dan de verwerkingsgrondslag. Die toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn: een pre-aangevinkt vakje voldoet niet, en doorgaan met surfen geldt niet als instemming. Strikt noodzakelijke cookies -- sessiecookies, CSRF-beveiligingstokens, shopping-cart cookies en load-balancing cookies -- zijn vrijgesteld van de toestemmingsplicht: ze zijn technisch essentieel voor de werking van de site en mogen zonder voorafgaande toestemming worden geplaatst.
Welke cookies vereisen toestemming?
Er zijn drie categorieen. Strikt noodzakelijke cookies (sessiecookies, beveiligingstokens, CSRF-bescherming, load-balancing cookies) zijn vrijgesteld: ze zijn essentieel voor de technische werking van de website en mogen altijd worden geplaatst. Analytische cookies -- zoals Google Analytics _ga en _gid -- meten bezoekersgedrag en zijn in principe toestemmingsplichtig. De ACM erkent een uitzondering voor first-party analytics met uitsluitend twee aggregerende meetdoelen en zonder doorgifte aan derden, maar de exacte voorwaarden worden regelmatig bijgesteld; raadpleeg acm.nl voor de meest actuele richtsnoeren. Marketingcookies en trackingpixels -- de Meta Pixel, LinkedIn Insight Tag, Google Ads-remarketingcookies -- zijn altijd opt-in: zonder expliciete toestemming mogen ze niet worden geplaatst.
Hoe werkt een rechtsgeldige cookie consent banner?
Een rechtsgeldige cookie consent banner voldoet aan vijf vereisten. De knop Weigeren (of equivalent) heeft dezelfde visuele prominentie als Accepteren: geen grijs versus groen, geen verborgen tekstlink versus grote knop. De banner vraagt om actieve opt-in: doorgaan met surfen of scrollen geldt niet als toestemming. Toestemming wordt per categorie gevraagd (strikt noodzakelijk, analytisch, marketing). De gegeven of geweigerde toestemming wordt gelogd per gebruiker met tijdstempel conform AVG art. 7 lid 1, zodat je bij een handhavingsverzoek bewijs kunt leveren. Bezoekers kunnen hun toestemming op elk moment intrekken, net zo eenvoudig als ze die hebben gegeven. Google Consent Mode v2 is verplicht voor GA4 en Google Ads in de EEA: het communiceert de analytics_storage- en ad_storage-status naar Google Tag Manager voordat tags laden, zodat gegevensverwerking stopt zodra een gebruiker weigert.
Welke cookie consent tool kiest het mkb?
Er zijn vier veelgebruikte CMP-tools (Consent Management Platforms) voor het mkb. Prijzen zijn indicatief; controleer de actuele tarieven op de website van de aanbieder.
Complianz (WordPress / NL-native)
De meest gebruikte WordPress CMP in Nederland. Native WordPress-plug-in zonder vereist extern dashboard; genereert automatisch een cookieverklaring op basis van een scan van je site. Indicatief: gratis basisplan beschikbaar, Premium vanaf ca. 49 euro/jaar (controleer complianz.io). IAB TCF 2.2-certificering beschikbaar in de Premium Plus variant. Ideaal voor WordPress-sites met een Nederlandse doelgroep die een eenvoudige, NL-native oplossing zoeken.
Cookiebot (by Usercentrics)
Cloudgebaseerde CMP met dagelijkse automatische scan van alle cookies op je domein. IAB TCF 2.2-gecertificeerd; GDPR/ePrivacy-gecertificeerd door externe auditor. Google Consent Mode v2 native ondersteund. Indicatief: gratis voor kleine websites (max. 1 domein, max. 100 subpagina's); betaald vanaf ca. 9 euro/mnd (controleer cookiebot.com). Werkt platformonafhankelijk, ook buiten WordPress. Aanbevolen voor sites met meerdere trackingpixels of EU-advertenties.
CookieYes
Cloudgebaseerde CMP geschikt voor zowel WordPress als andere CMS-platformen en maatwerkwebsites. Gratis plan beschikbaar voor kleine sites; betaalde plannen indicatief vanaf ca. $9/mnd (controleer cookieyes.com). Google Consent Mode v2 native ondersteund. Automatische cookiescan en -categorisering inbegrepen. IAB TCF 2.2-ondersteuning beschikbaar in hogere tiers. Goede keuze voor mkb-sites buiten WordPress of sites met een internationaal publiek.
iubenda
Juridisch gerichte CMP- en privacybeleid-bundel. Genereert naast de cookie consent-tool ook een AVG-privacyverklaring en cookieverklaring als juridisch document. Indicatief: sites-plan vanaf ca. 27 euro/jaar (controleer iubenda.com). Minder geautomatiseerde scan dan Cookiebot; vereist handmatig invoeren van cookies bij de opzet. Goed voor bedrijven die hun privacybeleid, cookieverklaring en toestemmingsbeheer in een tool willen beheren.
Handhaving door ACM en Autoriteit Persoonsgegevens
Twee toezichthouders zijn bevoegd bij cookie-overtredingen. De Autoriteit Consument en Markt (ACM) handhaaft art. 11.7a Telecommunicatiewet: het plaatsen van cookies zonder toestemming of het tonen van een misleidende banner. De Autoriteit Persoonsgegevens (AP) handhaaft de AVG: het onrechtmatig verwerken van persoonsgegevens via cookies zonder geldige toestemmingsgrondslag. Veelgemaakte fouten die leiden tot handhaving: een Accepteren-knop die zichtbaarder is dan Weigeren, cookies die al laden voordat de bezoeker de banner heeft beantwoord, en het ontbreken van toestemmingsregistratie per gebruiker. Boetes onder de AVG lopen op tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (AVG art. 83). Raadpleeg acm.nl en autoriteitpersoonsgegevens.nl voor actuele richtsnoeren en handhavingscases.
Veelgestelde vragen over cookie consent voor websites
Is Google Analytics toestemmingsplichtig in Nederland?
Welke cookies zijn vrijgesteld van de toestemmingsplicht?
Wat is Google Consent Mode v2 en is het verplicht?
Welke boetes riskeert een mkb-website zonder cookie consent?
Hoe implementeer ik cookie consent op mijn website?
Cookie consent op orde? Delahaye Care regelt het doorlopend.
Cookies veranderen mee met je website: nieuwe plug-ins, trackingpixels of Google-tag-updates maken je cookieverklaring verouderd. Ons Care-plan (39-89 euro/mnd) houdt je cookiebanner en -verklaring actueel, monitort je site op beveiligingsproblemen en zorgt dat je bij elke update compliant blijft.
Plan een gratis gesprek →Gratis en vrijblijvend · Reactie binnen een werkdag · Vaste prijs vooraf, geen verrassingen