Bijna elke Nederlandse website plaatst cookies of laadt tracking, maar lang niet iedereen heeft een correcte cookiemelding. Een cookiebanner is in veel gevallen wettelijk verplicht, en wie het verkeerd doet, riskeert klachten bij de Autoriteit Persoonsgegevens en onbetrouwbare statistieken. In dit artikel lees je wanneer een cookiebanner verplicht is en hoe je er een opzet die AVG-proof is.
Wanneer is een cookiebanner verplicht?
De regels komen uit drie hoeken: de AVG (privacy), de ePrivacy-richtlijn (cookies, in Nederland verankerd in de Telecommunicatiewet) en het toezicht van de ACM en de Autoriteit Persoonsgegevens. De kern: voor cookies die niet strikt noodzakelijk zijn, heb je vooraf toestemming nodig.
Je hebt een cookiebanner nodig zodra je website:
- analytische cookies plaatst zoals Google Analytics (tenzij privacyvriendelijk en anoniem ingericht);
- tracking- of marketingcookies gebruikt, bijvoorbeeld de Meta-pixel of Google Ads-remarketing;
- embedded content laadt zoals YouTube-video’s, Google Maps of social media-widgets;
- cookies van derden plaatst voor advertenties of profilering.
Alleen functionele en strikt noodzakelijke cookies (zoals een winkelmandje of inlogsessie) mogen zonder toestemming. Voor de rest geldt: eerst vragen, dan plaatsen.
Wat moet er volgens de AVG in je cookiemelding?
Een geldige cookiebanner voldoet aan een aantal harde eisen:
- Accepteren en weigeren gelijkwaardig: een “Accepteren”-knop zonder even zichtbare “Weigeren”-knop is niet toegestaan. De keuze moet even makkelijk zijn.
- Geen vooraf aangevinkte vakjes: pre-ticked checkboxes tellen niet als geldige toestemming.
- Toestemming per categorie: bezoekers moeten onderscheid kunnen maken tussen bijvoorbeeld analytische en marketingcookies.
- Vrije en geïnformeerde keuze: doorklikken of scrollen geldt niet als toestemming.
- Intrekken moet kunnen: een bezoeker moet zijn keuze later kunnen wijzigen, bijvoorbeeld via een knopje in de footer.
Verwijs daarnaast naar een duidelijke cookieverklaring waarin staat welke cookies je plaatst, met welk doel en hoelang ze bewaard blijven.
Toestemming vóór tracking: dit gaat vaak mis
Het belangrijkste én meest overtreden principe: je mag pas cookies of trackingscripts laden nadat de bezoeker toestemming heeft gegeven. In de praktijk laden veel sites Google Analytics of de Meta-pixel al bij het openen van de pagina, voordat er op iets is geklikt. Dat is in strijd met de wet, ook al staat er netjes een banner in beeld.
Zorg er dus voor dat je scripts geblokkeerd zijn tot het moment van toestemming. Goede consenttools regelen dit automatisch, maar controleer het altijd na: open je site in een incognitovenster en check via de ontwikkelaarstools welke cookies vóór je klik worden geplaatst.
Google Consent Mode v2
Gebruik je Google-diensten zoals Analytics of Ads, dan is Consent Mode v2 relevant. Hiermee geef je de toestemmingskeuze van de bezoeker door aan Google. Geeft iemand geen toestemming, dan stuurt Google geen of alleen geanonimiseerde, cookieloze signalen.
Het voordeel: je blijft binnen de regels, terwijl Google toch geaggregeerde inzichten kan modelleren over bezoekers die weigerden. Voor adverteerders in de EU is Consent Mode v2 inmiddels praktisch noodzakelijk om remarketing en conversiemeting goed te laten werken.
Welke tools maken het makkelijk?
Je hoeft een cookiebanner niet zelf te programmeren. Er zijn consent management-tools die het blokkeren van scripts, het tonen van de banner en het registreren van toestemming voor je regelen. Een veelgebruikte, ook voor WordPress, is CookieYes. Andere bekende opties zijn Cookiebot en Complianz.
Let bij de keuze op of de tool scripts daadwerkelijk blokkeert vóór toestemming, Consent Mode v2 ondersteunt en een logboek van toestemmingen bijhoudt. Dat laatste is belangrijk om aan te kunnen tonen dat je aan de regels voldoet.
Veelgemaakte fouten met cookiebanners
- Alleen een “Accepteren”-knop: weigeren moet even eenvoudig zijn.
- Scripts laden vóór toestemming: technisch de meest voorkomende overtreding.
- Misleidend ontwerp: de accepteer-knop felgekleurd en weigeren grijs en klein verstopt. Dit zijn verboden “dark patterns”.
- Geen mogelijkheid om in te trekken: de keuze moet altijd herzien kunnen worden.
- Een verouderde cookieverklaring: die moet kloppen met de cookies die je daadwerkelijk plaatst.
Voorbeeld: een webshop die het eerst fout deed
Een Nederlandse webshop in woonaccessoires liet bij elke pagina meteen Google Analytics en de Meta-pixel laden, met daarbovenop een banner met alleen een groene “Alles accepteren”-knop. De weigeroptie zat verstopt achter “Voorkeuren beheren”. Toen we de site openden in een incognitovenster, stonden er al vijftien tracking-cookies vóór de eerste klik. Na de ombouw werden alle marketing- en analysescripts geblokkeerd tot toestemming, kwam er een even grote “Weigeren”-knop naast “Accepteren” en werd Consent Mode v2 gekoppeld. Het gevolg: geen overtreding meer, en in de statistieken een eerlijker beeld doordat dubbele en spookmetingen verdwenen.
Stappenplan: zo zet je een AVG-proof cookiebanner op
- Inventariseer welke cookies en scripts je site plaatst (Analytics, pixels, embeds, plugins).
- Kies een consent management-tool die scripts blokkeert tot toestemming, zoals CookieYes, Cookiebot of Complianz.
- Deel cookies in categorieën in: noodzakelijk, functioneel, analytisch en marketing.
- Zorg voor een even zichtbare “Accepteren”- en “Weigeren”-knop, zonder vooraf aangevinkte vakjes.
- Koppel Google Consent Mode v2 als je Analytics of Ads gebruikt.
- Voeg een intrekknop toe in je footer en een actuele cookieverklaring.
- Test in een incognitovenster welke cookies vóór de klik worden geplaatst.
- Herhaal de controle elk kwartaal en na elke nieuwe plugin of integratie.
Plan die kwartaalcheck echt in. Een nieuwe chatwidget, een ingesloten kaart of een marketingplugin voegt vaak ongemerkt cookies toe die buiten je banner om laden. Wat vandaag compliant is, kan na één update weer afwijken.
Cookiebanner laten controleren of instellen?
Twijfel je of jouw cookiebanner echt AVG-proof is, of plaatst je site stiekem cookies voordat bezoekers toestemming geven? Wij richten consent en tracking correct in, inclusief Consent Mode v2, zodat je compliant bent én betrouwbare statistieken houdt. Neem contact op voor een check of een nette implementatie.