Artikel

Cookie consent voor websites: AVG en Telecommunicatiewet uitgelegd

Cookie consent is verplicht voor analytische cookies (Google Analytics) en marketingcookies op grond van art. 11.7a Telecommunicatiewet en AVG art. 6(1)(a). Strikt noodzakelijke cookies zijn vrijgesteld. Vergelijking van vier CMP-tools voor het mkb.

Kort antwoord
  • Cookie consent is verplicht voor analytische cookies (zoals Google Analytics _ga en _gid) en marketingcookies op grond van art. 11.7a Telecommunicatiewet -- de Nederlandse omzetting van ePrivacy Richtlijn 2009/136/EG -- en AVG art. 6(1)(a). Strikt noodzakelijke cookies zijn vrijgesteld van de toestemmingsplicht.
  • Een rechtsgeldige cookie banner vereist een gelijkwaardige Weigeren-knop naast Accepteren, opt-in (niet opt-out) en logging van toestemming per gebruiker conform AVG art. 7 lid 1. Pre-aangevinkte vakjes zijn niet toegestaan.
  • De ACM handhaaft de Telecommunicatiewet; de Autoriteit Persoonsgegevens handhaaft de AVG. Boetes lopen op tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Complianz (WordPress) en Cookiebot zijn de meest gebruikte CMP-oplossingen voor Nederlands mkb.

Wat is cookie consent en wanneer is het verplicht?

Cookie consent is de toestemming die een websitebezoeker geeft voordat een website niet-noodzakelijke cookies plaatst. Art. 11.7a van de Telecommunicatiewet (Tw) -- de Nederlandse omzetting van ePrivacy Richtlijn 2009/136/EG -- verbiedt het plaatsen van analytische en marketingcookies zonder voorafgaande, geïnformeerde toestemming van de bezoeker. Als die cookies persoonsgegevens verwerken -- zoals Google Analytics-trackers (_ga, _gid) of de Meta Pixel -- geldt bovendien AVG art. 6(1)(a): toestemming is dan de verwerkingsgrondslag. Die toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn: een pre-aangevinkt vakje voldoet niet, en doorgaan met surfen geldt niet als instemming. Strikt noodzakelijke cookies -- sessiecookies, CSRF-beveiligingstokens, shopping-cart cookies en load-balancing cookies -- zijn vrijgesteld van de toestemmingsplicht: ze zijn technisch essentieel voor de werking van de site en mogen zonder voorafgaande toestemming worden geplaatst.

Cookiecategorieen

Welke cookies vereisen toestemming?

Er zijn drie categorieen. Strikt noodzakelijke cookies (sessiecookies, beveiligingstokens, CSRF-bescherming, load-balancing cookies) zijn vrijgesteld: ze zijn essentieel voor de technische werking van de website en mogen altijd worden geplaatst. Analytische cookies -- zoals Google Analytics _ga en _gid -- meten bezoekersgedrag en zijn in principe toestemmingsplichtig. De ACM erkent een uitzondering voor first-party analytics met uitsluitend twee aggregerende meetdoelen en zonder doorgifte aan derden, maar de exacte voorwaarden worden regelmatig bijgesteld; raadpleeg acm.nl voor de meest actuele richtsnoeren. Marketingcookies en trackingpixels -- de Meta Pixel, LinkedIn Insight Tag, Google Ads-remarketingcookies -- zijn altijd opt-in: zonder expliciete toestemming mogen ze niet worden geplaatst.

Cookie banner

Hoe werkt een rechtsgeldige cookie consent banner?

Een rechtsgeldige cookie consent banner voldoet aan vijf vereisten. De knop Weigeren (of equivalent) heeft dezelfde visuele prominentie als Accepteren: geen grijs versus groen, geen verborgen tekstlink versus grote knop. De banner vraagt om actieve opt-in: doorgaan met surfen of scrollen geldt niet als toestemming. Toestemming wordt per categorie gevraagd (strikt noodzakelijk, analytisch, marketing). De gegeven of geweigerde toestemming wordt gelogd per gebruiker met tijdstempel conform AVG art. 7 lid 1, zodat je bij een handhavingsverzoek bewijs kunt leveren. Bezoekers kunnen hun toestemming op elk moment intrekken, net zo eenvoudig als ze die hebben gegeven. Google Consent Mode v2 is verplicht voor GA4 en Google Ads in de EEA: het communiceert de analytics_storage- en ad_storage-status naar Google Tag Manager voordat tags laden, zodat gegevensverwerking stopt zodra een gebruiker weigert.

CMP-vergelijking

Welke cookie consent tool kiest het mkb?

Er zijn vier veelgebruikte CMP-tools (Consent Management Platforms) voor het mkb. Prijzen zijn indicatief; controleer de actuele tarieven op de website van de aanbieder.

Complianz (WordPress / NL-native)

De meest gebruikte WordPress CMP in Nederland. Native WordPress-plug-in zonder vereist extern dashboard; genereert automatisch een cookieverklaring op basis van een scan van je site. Indicatief: gratis basisplan beschikbaar, Premium vanaf ca. 49 euro/jaar (controleer complianz.io). IAB TCF 2.2-certificering beschikbaar in de Premium Plus variant. Ideaal voor WordPress-sites met een Nederlandse doelgroep die een eenvoudige, NL-native oplossing zoeken.

Cookiebot (by Usercentrics)

Cloudgebaseerde CMP met dagelijkse automatische scan van alle cookies op je domein. IAB TCF 2.2-gecertificeerd; GDPR/ePrivacy-gecertificeerd door externe auditor. Google Consent Mode v2 native ondersteund. Indicatief: gratis voor kleine websites (max. 1 domein, max. 100 subpagina's); betaald vanaf ca. 9 euro/mnd (controleer cookiebot.com). Werkt platformonafhankelijk, ook buiten WordPress. Aanbevolen voor sites met meerdere trackingpixels of EU-advertenties.

CookieYes

Cloudgebaseerde CMP geschikt voor zowel WordPress als andere CMS-platformen en maatwerkwebsites. Gratis plan beschikbaar voor kleine sites; betaalde plannen indicatief vanaf ca. $9/mnd (controleer cookieyes.com). Google Consent Mode v2 native ondersteund. Automatische cookiescan en -categorisering inbegrepen. IAB TCF 2.2-ondersteuning beschikbaar in hogere tiers. Goede keuze voor mkb-sites buiten WordPress of sites met een internationaal publiek.

iubenda

Juridisch gerichte CMP- en privacybeleid-bundel. Genereert naast de cookie consent-tool ook een AVG-privacyverklaring en cookieverklaring als juridisch document. Indicatief: sites-plan vanaf ca. 27 euro/jaar (controleer iubenda.com). Minder geautomatiseerde scan dan Cookiebot; vereist handmatig invoeren van cookies bij de opzet. Goed voor bedrijven die hun privacybeleid, cookieverklaring en toestemmingsbeheer in een tool willen beheren.

Handhaving

Handhaving door ACM en Autoriteit Persoonsgegevens

Twee toezichthouders zijn bevoegd bij cookie-overtredingen. De Autoriteit Consument en Markt (ACM) handhaaft art. 11.7a Telecommunicatiewet: het plaatsen van cookies zonder toestemming of het tonen van een misleidende banner. De Autoriteit Persoonsgegevens (AP) handhaaft de AVG: het onrechtmatig verwerken van persoonsgegevens via cookies zonder geldige toestemmingsgrondslag. Veelgemaakte fouten die leiden tot handhaving: een Accepteren-knop die zichtbaarder is dan Weigeren, cookies die al laden voordat de bezoeker de banner heeft beantwoord, en het ontbreken van toestemmingsregistratie per gebruiker. Boetes onder de AVG lopen op tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (AVG art. 83). Raadpleeg acm.nl en autoriteitpersoonsgegevens.nl voor actuele richtsnoeren en handhavingscases.

Veelgestelde vragen

Veelgestelde vragen over cookie consent voor websites

Is Google Analytics toestemmingsplichtig in Nederland?
Ja, in de meeste configuraties is Google Analytics (GA4) toestemmingsplichtig. De _ga- en _gid-cookies zijn analytische cookies die worden doorgegeven aan Google Inc. en daarmee persoonsgegevens verwerken. Toestemming is vereist op grond van art. 11.7a Telecommunicatiewet en AVG art. 6(1)(a). Gebruik Google Consent Mode v2 zodat GA4 stopt met het verwerken van geïdentificeerde gebruikersdata zodra een bezoeker weigert. Raadpleeg acm.nl voor de actuele uitzondering voor first-party analytics zonder doorgifte aan derden.
Welke cookies zijn vrijgesteld van de toestemmingsplicht?
Strikt noodzakelijke cookies zijn vrijgesteld. Dat zijn cookies die technisch noodzakelijk zijn voor de gevraagde dienst: sessiecookies voor inloggen, CSRF-beveiligingstokens, shopping-cart cookies en load-balancing cookies. Ze mogen worden geplaatst zonder toestemming van de bezoeker. Analytische, marketing- en trackingcookies zijn nooit vrijgesteld, tenzij ze voldoen aan de specifieke ACM-criteria voor geanonimiseerde first-party analytics; raadpleeg acm.nl voor de meest actuele richtsnoeren.
Wat is Google Consent Mode v2 en is het verplicht?
Google Consent Mode v2 is een technische API die de analytics_storage- en ad_storage-instelling van de gebruiker communiceert aan Google Tag Manager voordat GA4- of Google Ads-tags worden geladen. Zonder Consent Mode v2 kunnen GA4 en Google Ads niet voldoen aan de eis om eerst toestemming te verkrijgen voordat tracking begint. Voor EU-adverteerders die Google Ads of GA4 gebruiken is Consent Mode v2 per maart 2024 verplicht gesteld door Google. Je CMP (Cookiebot, CookieYes, Complianz Premium Plus of iubenda) moet Consent Mode v2 native ondersteunen.
Welke boetes riskeert een mkb-website zonder cookie consent?
De Autoriteit Persoonsgegevens (AP) kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet conform AVG art. 83. De ACM kan boetes opleggen voor overtredingen van art. 11.7a Telecommunicatiewet; de maximale ACM-boete is 900.000 euro per overtreding. In de praktijk start handhaving vaak met een last onder dwangsom (een opdracht om te voldoen, met een boete per dag bij niet-naleving). Handhavingszaken worden openbaar gemaakt en veroorzaken ook reputatieschade.
Hoe implementeer ik cookie consent op mijn website?
Installeer een CMP-tool die past bij je platform: Complianz voor WordPress (indicatief gratis of vanaf ca. 49 euro/jaar), Cookiebot of CookieYes voor andere platformen (indicatief vanaf ca. 9 euro/mnd resp. $9/mnd). Voer een cookiescan uit om alle cookies te identificeren en te categoriseren. Stel de banner in met gelijkwaardige accepteer- en weigerknoppen. Activeer Google Consent Mode v2 als je GA4 of Google Ads gebruikt. Het Delahaye Solutions Care-plan (39-89 euro/mnd) omvat doorlopend cookiebeheer, banner-updates en compliancemonitoring.

Cookie consent op orde? Delahaye Care regelt het doorlopend.

Cookies veranderen mee met je website: nieuwe plug-ins, trackingpixels of Google-tag-updates maken je cookieverklaring verouderd. Ons Care-plan (39-89 euro/mnd) houdt je cookiebanner en -verklaring actueel, monitort je site op beveiligingsproblemen en zorgt dat je bij elke update compliant blijft.

Plan een gratis gesprek →

Gratis en vrijblijvend · Reactie binnen een werkdag · Vaste prijs vooraf, geen verrassingen