PrivacyTeam033 200 30 83
Inloggen

AP scherpt toezicht aan: handhaving op cookiebanners gestart

AP scherpt toezicht aan: handhaving op cookiebanners gestart

De Autoriteit Persoonsgegevens (AP) heeft dit jaar meer dan tweehonderd Nederlandse websites formeel gewaarschuwd voor het overtreden van de wetgeving rondom cookies en online tracking. Met resultaat: ruim driekwart van deze organisaties heeft de cookiebanner inmiddels aangepast. Voor de resterende websites die geen gehoor gaven aan de waarschuwing, start de AP nu formele handhavingsonderzoeken. Dit kan uitmonden in aanzienlijke boetes. De insteek van de AP is duidelijk: bezoekers moeten écht vrij kunnen kiezen of zij tracking toestaan. Volgsoftware heeft grote impact op de persoonlijke levenssfeer en mag alleen worden gebruikt wanneer bezoekers volledig en begrijpelijk worden geïnformeerd en vrijwillig toestemming geven.

Waarom dit belangrijk is: tracking gaat veel verder dan je denkt

Tracking cookies volgen mensen vaak jarenlang over verschillende websites. Daarmee ontstaan gedetailleerde profielen: van dagelijkse routines tot financiële voorkeuren of vermoedelijke interesses. Deze gegevens worden vervolgens met talloze partijen gedeeld, zonder dat de gebruiker dit beseft.

Volgens de AVG is toestemming alleen geldig wanneer deze vrij, specifiek, geïnformeerd en ondubbelzinnig is (artikel 4 lid 11 AVG). Daarnaast geldt dat tracking alleen mag plaatsvinden wanneer de bezoeker expliciet “ja” heeft gezegd (artikel 6 lid 1 onder a AVG). Een vooraf aangevinkte box of een banner waarin de weigermogelijkheid is verstopt, voldoet daar niet aan.

Ook de transparantieplicht uit artikel 12 en 13 AVG speelt hierbij een cruciale rol: organisaties moeten helder uitleggen wat er gebeurt met de data van bezoekers, en dat zonder misleidende patronen of verwarrende keuzeschermen.

AP: stop met misleiding en geef bezoekers echte keuzevrijheid

Uit de waarschuwingen blijkt dat veel organisaties dezelfde fouten hebben gemaakt:

  • cookies werden al geplaatst voordat iemand toestemming gaf;
  • de optie “weigeren” zat verborgen in een tweede scherm of achter meerdere klikken;
  • tracking-toestemming stond vooraf aangevinkt;
  • onnodig ingewikkelde menu’s dwongen bezoekers richting “accepteren”.

De AP benadrukt dat organisaties zich moeten afvragen of zij bezoekers eigenlijk wel zó intensief willen volgen. Wanneer tracking niet noodzakelijk is voor de dienst, is de eenvoudigste oplossing: gebruik geen volgsoftware. Dan is geen cookiebanner nodig.

Structurele controle: elk jaar 500 waarschuwingen

Sinds april 2025 voert de AP structurele controles uit. Jaarlijks worden 10.000 websites gemonitord en ontvangen 500 organisaties een waarschuwing. De eerste brieven gingen onder andere naar webshops, mediaplatformen en verzekeraars.

Elke brief bevat niet alleen een waarschuwing, maar ook een concrete uitleg over hoe een correcte cookiebanner eruitziet. Daarmee stelt de AP organisaties in staat om hun zaken kosteloos en tijdig op orde te krijgen. Wie weigert, moet rekening houden met onderzoek en mogelijk boetes op grond van artikel 83 AVG.

Wat betekent dit voor organisaties

De handhavingstrend is helder: organisaties die tracking gebruiken, moeten hun cookiebanner én hun interne processen op orde hebben. Een aantal concrete aanbevelingen:

  1. Plaats geen tracking vóór toestemming: controleer via een technische scan of alle marketing- en analysecookies pas actief worden na expliciete toestemming.
  2. Gebruik een evenwichtige banner:
    • geen vooraf aangevinkte vakjes;
    • geef “weigeren” en “accepteren” gelijke visuele zwaarte;
    • vermijd omwegen naar de weiger-optie.
  3. Informeer eerlijk en begrijpelijk: leg per categorie uit wat het doel is en met welke partijen gegevens worden gedeeld. Vermijd jargon en lange juridische teksten.
  4. Bewaar een toestemmingsregistratie: je moet kunnen bewijzen dat toestemming gegeven is. Dit valt onder de verantwoordingsplicht (artikel 5 lid 2 AVG).
  5. Overweeg of tracking echt nodig is: als je werkt met cookieloos meten, server-side analytics (daarbij maakt de browser geen directe verbinding met een derde partij zoals Google of Meta enz.), volledig de site zonder tracking inricht of alleen functionele cookies gebruikt, vervalt de cookiebannerplicht, én minimaliseer je privacyrisico’s.
  6. Evalueer regelmatig: monitor nieuwe cookies, updates van marketingtools en wijzigingen in persoonsgegevensstromen. De AP controleert structureel; organisaties moeten dat ook doen.
  7. Stel een helder en actueel cookiebeleid op: een goed cookiebeleid helpt niet alleen bij interne naleving, maar toont ook aan bezoekers én toezichthouders dat je organisatie transparant en zorgvuldig werkt. Het vormt daarmee een essentieel onderdeel van de verantwoordingsplicht en transparantieverplichtingen uit de AVG.
  8. Gebruik vooral ook de richtlijnen van de AP voor het inrichten van een correcte cookiebanner.

Hulp nodig? Wij denken graag mee

Het verbeteren van cookiebanners en het opstellen van een goed onderbouwd cookiebeleid kan in de praktijk lastiger zijn dan het lijkt. Van technische keuzes rond analytics tot de juiste juridische onderbouwing: het vraagt zowel kennis van de AVG als inzicht in websitegedrag.

Heb je vragen of wil je ondersteuning bij het inrichten van een correcte en transparante cookiebanner, het beoordelen van trackingtools, of het ontwikkelen van beleid? Onze specialisten helpen je graag verder om volledig AVG-proof te werken: zo bouw je niet alleen aan compliance, maar ook aan het vertrouwen van je websitebezoekers. 

Naar het overzicht