Skip to main content

Cookie-compliance checklist: 25 punten naar volledige naleving

Cookie-compliance omvat technische implementatie, juridische documentatie en doorlopende operationele processen. Als ook maar één element ontbreekt, kan dit leiden tot non-compliance, zelfs als al het andere in orde is. Deze gestructureerde checklist met 25 punten behandelt elk aspect van cookie-compliance onder de GDPR, de ePrivacy Directive en de belangrijkste internationale privacywetten. Gebruik hem zowel als implementatiegids als als terugkerend audit-instrument.

Cookie-inventarisatie

Je kunt niet beheren wat je niet in kaart hebt gebracht. Een volledige, accurate cookie-inventaris is de basis van elke andere compliance-activiteit.

  1. Alle cookies geïdentificeerd en gedocumenteerd

    Elke cookie die je website plaatst, moet worden geïdentificeerd, inclusief cookies die worden geplaatst door scripts van derden, ingesloten content en dynamisch geladen bronnen. Gebruik geautomatiseerde scans om volledige dekking te garanderen over alle pagina's, niet alleen de homepage. Je inventaris moet HTTP-cookies, localStorage-vermeldingen, sessionStorage-vermeldingen en alle andere client-side opslagmechanismen die voor tracking worden gebruikt omvatten.

  2. Elke cookie correct gecategoriseerd

    Elke cookie moet worden toegewezen aan de juiste compliance-categorie: strikt noodzakelijk, functioneel, analytics/prestaties, of marketing/advertenties. De categorisering moet eerlijk zijn — een cookie die gebruikers voor advertentiedoeleinden volgt, kan niet als "functioneel" worden gecategoriseerd simpelweg omdat hij ook enig functioneel voordeel biedt. Kies bij twijfel de striktere categorie. Toezichthouders beoordelen categorisering nauwlettend, en verkeerde categorisering is een van de meest voorkomende bevindingen bij handhavingsacties.

  3. Cookies van derden geïdentificeerd met aanbieders

    Documenteer voor elke cookie van derden op je site welke dienst hem plaatst, waarom hij op je site staat en welke gegevens hij verzamelt of deelt. Veelvoorkomende bronnen van cookies van derden zijn analytics-platforms (Google Analytics, Adobe Analytics), advertentienetwerken (Google Ads, Meta Pixel, LinkedIn Insight Tag), socialemediawidgets, video-embeds (YouTube, Vimeo), chattools (Intercom, Drift) en A/B-testplatforms (Optimizely, VWO). Met elke externe aanbieder moet een verwerkersovereenkomst zijn afgesloten.

  4. Cookie-duur gedocumenteerd

    Noteer de vervalperiode voor elke cookie. Sessiecookies vervallen wanneer de browser wordt gesloten. Permanente cookies hebben een gedefinieerde levensduur die moet worden gedocumenteerd (bijv. 30 dagen, 1 jaar, 2 jaar). Volgens de GDPR-principes van dataminimalisatie en opslagbeperking moet de cookie-duur in verhouding staan tot het doel ervan. Een analytics-cookie die 10 jaar blijft bestaan, zou moeilijk te rechtvaardigen zijn. De CNIL adviseert een maximum van 13 maanden voor analytics-cookies.

  5. Cookie-doeleinden gedocumenteerd in begrijpelijke taal

    Het doel van elke cookie moet worden beschreven in taal die een gemiddelde websitebezoeker kan begrijpen. "Deze cookie slaat een unieke identificatie op om je surfgedrag op onze site te volgen voor website-analyse" is duidelijk. "_ga: Gebruikt door Google Analytics om gebruikers te onderscheiden" volstaat niet voor de meeste gebruikers. De doelbeschrijving moet de vraag beantwoorden: "Wat doet deze cookie, en waarom zou ik hem toestaan?"

Toestemmingsmechanisme

Het toestemmingsmechanisme is waar juridische vereisten en technische implementatie samenkomen. Dit goed regelen is het meest cruciale — en het vaakst mislukte — aspect van cookie-compliance.

  1. Toestemming verkregen VOORDAT niet-essentiële cookies worden geplaatst

    Dit is de allerbelangrijkste technische vereiste. Er mogen geen analytics-, advertentie- of andere niet-essentiële cookies worden geplaatst voordat de gebruiker uitdrukkelijke toestemming heeft gegeven. Dit betekent dat scripts van derden moeten worden geblokkeerd tot toestemming is ontvangen. Cookies achteraf simpelweg verwijderen is niet compliant — de ePrivacy Directive vereist toestemming vóór opslag, niet retroactieve verwijdering. Test dit door je site in een incognitovenster te bezoeken en te controleren welke cookies worden geplaatst voordat je met de banner interageert.

  2. Scripts geblokkeerd totdat toestemming is gegeven

    Cookies blokkeren is niet genoeg — de scripts die ze plaatsen, moeten worden verhinderd uit te voeren. Een script dat laadt en uitvoert maar wordt verhinderd een cookie te schrijven, kan nog steeds gegevens verzamelen en verzenden (via pixels, beacons of API-aanroepen). Je toestemmingsbeheer moet voorkomen dat het script zelf laadt totdat de juiste toestemmingscategorie is geaccepteerd. Veelvoorkomende implementatiemethoden zijn het wijzigen van het type-attribuut van scripttags (bijv. van text/javascript naar text/plain) en het dynamisch injecteren van scripts na toestemming.

  3. Accepteren- en weigeren-knoppen even prominent

    De optie om niet-essentiële cookies te weigeren moet even prominent worden gepresenteerd als de optie om ze te accepteren. Dit betekent dezelfde visuele vormgeving: dezelfde grootte, hetzelfde kleurgewicht, dezelfde laag van de interface. Een grote groene "Alles accepteren"-knop naast een klein grijs "Instellingen beheren"-linkje vormt geen gelijke prominentie. De CNIL, de Garante en meerdere andere toezichthouders hebben specifiek voor dit probleem boetes opgelegd. Beide opties moeten op de eerste laag van de cookiebanner staan zonder dat extra klikken nodig zijn.

  4. Granulaire toestemming op categorieniveau beschikbaar

    Gebruikers moeten onafhankelijk toestemming kunnen geven voor specifieke categorieën cookies. Het accepteren van analytics-cookies mag niet vereisen dat ook advertentiecookies worden geaccepteerd. Voorzie minimaal in aparte schakelaars voor: strikt noodzakelijk (altijd aan, niet uit te schakelen), functioneel, analytics/prestaties, en marketing/advertenties. Als je cookies gebruikt voor meerdere afzonderlijke doeleinden binnen een categorie, overweeg dan om nog granulairdere opties te bieden.

  5. Geen vooraf aangevinkte selectievakjes

    Wanneer een gebruiker de gedetailleerde cookievoorkeuren opent, moeten alle optionele categorieën standaard uitgevinkt zijn. Alleen strikt noodzakelijke cookies (waarvoor geen toestemming nodig is) mogen vooraf ingeschakeld zijn. Het HvJ-EU bevestigde in het Planet49-arrest (zaak C-673/17) dat vooraf aangevinkte selectievakjes geen geldige toestemming vormen. Dit geldt ongeacht of de gebruiker ze kan uitvinken — de standaardstatus moet opt-out zijn en een actieve handeling vereisen om zich aan te melden.

  6. Toestemming intrekken even eenvoudig als toestemming geven

    Artikel 7(3) van de GDPR vereist dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan. Als een gebruiker cookies kan accepteren met één klik op een banner, moet hij zijn toestemming met vergelijkbaar gemak kunnen intrekken. Best practice is een permanente, altijd zichtbare link of icoon (bijv. in de footer of als zwevende knop) die het cookievoorkeurencentrum opent waar de gebruiker zijn keuzes kan aanpassen of intrekken. De gebruiker verplichten om zijn browsercookies te wissen, naar een verborgen instellingenpagina te navigeren of contact op te nemen met support voldoet niet aan deze norm.

  7. Toestemmingsregistraties opgeslagen met tijdstempels

    Je moet kunnen aantonen dat toestemming is gegeven. Sla van elke toestemmingshandeling een registratie op met: tijdstempel, de gemaakte toestemmingskeuzes (welke categorieën zijn geaccepteerd/geweigerd), de versie van de cookiebanner en het beleid dat op dat moment van kracht was, en een unieke identificatie voor de toestemming (voor anonieme bezoekers niet noodzakelijk gekoppeld aan een gebruikersaccount). Volgens het verantwoordingsprincipe van de GDPR ligt de bewijslast voor toestemming bij de verwerkingsverantwoordelijke. Als je geen bewijs kunt overleggen dat een specifieke gebruiker toestemming heeft gegeven, is die toestemming feitelijk niet aangetoond.

Cookiebeleid

Je cookiebeleid is zowel een juridisch document als een transparantie-instrument. Het moet accuraat, volledig en begrijpelijk zijn.

  1. Cookiebeleid bestaat en is toegankelijk

    Er moet een specifiek cookiebeleid bestaan (of een duidelijke cookiesectie binnen je privacybeleid) dat gemakkelijk te vinden is. Best practice is een aparte pagina met links vanuit je websitefooter, je cookiebanner en je algemene privacybeleid. Het beleid moet toegankelijk zijn zonder cookies te accepteren — gebruikers moeten het kunnen lezen voordat ze een toestemmingsbeslissing nemen.

  2. Alle cookies vermeld met namen, doeleinden, typen en duur

    Je cookiebeleid moet een tabel of gestructureerde lijst bevatten van elke cookie die je website plaatst, inclusief: de cookienaam, wie hem plaatst (first-party of externe aanbieder), wat hij doet (in begrijpelijke taal), of het een sessie- of permanente cookie is, en hoe lang hij bestaat. Dit is niet optioneel — het is een expliciete vereiste onder de transparantiebepalingen van de GDPR (artikelen 12-14) en de vereiste van geïnformeerde toestemming van de ePrivacy Directive.

  3. Externe aanbieders geïdentificeerd

    Je beleid moet de externe diensten benoemen die cookies op je website plaatsen. "Wij gebruiken analytics-cookies van derden" volstaat niet. "Wij gebruiken Google Analytics (van Google LLC), dat de volgende cookies plaatst: _ga, _gid, _gat" wel. Gebruikers hebben het recht te weten wie gegevens over hen verzamelt en om over elke aanbieder een geïnformeerde beslissing te nemen.

  4. Instructies voor het beheren van cookies opgenomen

    Je beleid moet uitleggen hoe gebruikers hun cookievoorkeuren kunnen beheren, inclusief: hoe ze je cookievoorkeurencentrum kunnen openen om toestemmingskeuzes te wijzigen, hoe ze bestaande cookies via de browserinstellingen kunnen verwijderen, en links naar het privacybeleid van belangrijke externe cookie-aanbieders. Hoewel cookiebeheer op browserniveau de verantwoordelijkheid van de gebruiker is, toont het bieden van duidelijke instructies goede wil en ondersteunt het het principe van gebruikersempowerment.

  5. Beleid gedateerd en regelmatig bijgewerkt

    Je cookiebeleid moet de datum bevatten waarop het voor het laatst is bijgewerkt. Telkens wanneer je nieuwe cookies toevoegt, cookies verwijdert, externe aanbieders wijzigt of cookie-doeleinden aanpast, moet het beleid worden bijgewerkt om de wijziging te weerspiegelen. Een ongedateerd beleid of een beleid dat al meer dan een jaar niet is bijgewerkt is een waarschuwingssignaal voor toezichthouders. Best practice: integreer je cookiescanresultaten met je beleid, zodat het beleid automatisch wordt bijgewerkt wanneer nieuwe cookies worden gedetecteerd.

Cookiebanner

De cookiebanner is de zichtbare interface van je toestemmingsbeheer. Hij moet juridische naleving in balans brengen met gebruiksvriendelijkheid.

  1. Banner verschijnt bij het eerste bezoek voordat cookies worden geplaatst

    De cookiebanner moet verschijnen wanneer een gebruiker je website voor het eerst bezoekt, voordat er niet-essentiële cookies worden geplaatst. De banner moet direct zichtbaar zijn zonder te scrollen, mag niet gemakkelijk per ongeluk worden weggeklikt en moet blijven bestaan totdat de gebruiker een actieve keuze maakt. De banner mag niet verhinderen dat de gebruiker van de pagina weg kan navigeren of essentiële content kan raadplegen (hoewel het beperken van de toegang tot content achter een toestemmingsvereiste in sommige rechtsgebieden toegestaan kan zijn, is de veiligere aanpak om navigatie toe te staan terwijl de banner wordt getoond).

  2. Banner is toegankelijk (met toetsenbord navigeerbaar, compatibel met schermlezers)

    Je cookiebanner moet zelf toegankelijk zijn. Dit betekent: alle interactieve elementen (knoppen, schakelaars, links) moeten bereikbaar en bedienbaar zijn via het toetsenbord; de banner moet correct worden aangekondigd aan schermlezers met passende ARIA-attributen; de focus moet correct worden beheerd (de focus moet naar de banner gaan wanneer deze verschijnt en terugkeren naar de pagina wanneer deze wordt gesloten); het kleurcontrast moet voldoen aan de WCAG 2.1 AA-normen (4,5:1 voor normale tekst, 3:1 voor grote tekst); en de banner moet bruikbaar zijn bij verschillende zoomniveaus en schermformaten. Een ontoegankelijke cookiebanner is zowel een juridisch risico (het niet voldoen aan WCAG) als een reputatierisico voor elke organisatie die beweert om privacy en inclusie te geven.

  3. Banner linkt naar het volledige cookiebeleid

    De cookiebanner moet een link naar je volledige cookiebeleid bevatten, zodat gebruikers gedetailleerde informatie over elke cookie kunnen lezen voordat ze hun toestemmingsbeslissing nemen. De link moet duidelijk zichtbaar en gelabeld zijn (bijv. "Lees ons cookiebeleid" of "Meer informatie"). De GDPR vereist dat toestemming "geïnformeerd" is, wat betekent dat de informatie die nodig is om een geïnformeerde beslissing te nemen toegankelijk moet zijn op het moment van toestemming.

  4. Banner gebruikt geen dark patterns

    Dark patterns in cookiebanners ondermijnen de geldigheid van toestemming. Vermijd: de accepteren-knop visueel dominant maken (groter, feller, prominenter) terwijl de weigeroptie subtiel of verborgen is; verwarrende taal gebruiken ("Aanbevolen instellingen accepteren" in plaats van duidelijke opties); meer klikken vereisen om te weigeren dan om te accepteren; kleurcodering gebruiken die impliceert dat weigeren verkeerd is (rood voor weigeren, groen voor accepteren); "confirm-shaming"-taal inzetten ("Nee, mijn ervaring interesseert me niet"); en elk ander ontwerp dat gebruikers richting acceptatie duwt, manipuleert of misleidt. De richtlijnen van de EDPB over dark patterns (aangenomen in februari 2023) bieden gedetailleerde voorbeelden van verboden praktijken.

Technisch & doorlopend

Cookie-compliance is geen project met een einddatum. Het is een continu operationeel proces.

  1. Google Consent Mode v2 geïmplementeerd (bij gebruik van Google-diensten)

    Als je Google-diensten gebruikt (Analytics, Ads, Tag Manager), is Google Consent Mode v2 sinds maart 2024 verplicht om advertenties in de EER te tonen. Consent Mode communiceert de cookietoestemmingskeuzes van je gebruikers naar de tags van Google en past hun gedrag aan op basis van de toestemmingsstatus. Zonder Consent Mode functioneren Google-tags mogelijk niet correct met je consent management platform, wat leidt tot ofwel gegevensverlies (tags volledig geblokkeerd) ofwel compliance-overtredingen (tags die zonder toestemming afvuren). Implementeer zowel de ad_storage- als de analytics_storage-toestemmingsparameters en zorg ervoor dat ze standaard op "denied" staan totdat toestemming is gegeven.

  2. Regelmatige cookiescan ingepland

    Stel geautomatiseerde cookiescans in op een terugkerend schema. Scan minimaal maandelijks. Idealiter integreer je scans in je deployment-pijplijn zodat elke release automatisch wordt gescand. Configureer meldingen voor nieuwe of gewijzigde cookies zodat je team ze snel kan beoordelen en categoriseren. Een scan die wel draait maar nooit wordt beoordeeld biedt geen compliance-voordeel.

  3. Proces voor het beoordelen van nieuwe scripts van derden

    Stel een formeel proces in dat moet worden gevolgd voordat er een nieuw script, plug-in of dienst van derden aan je website wordt toegevoegd. Het proces moet omvatten: identificeren welke cookies het script plaatst, die cookies categoriseren, de configuratie van het toestemmingsbeheer bijwerken om ze op te nemen, het cookiebeleid bijwerken, en verifiëren dat het script correct wordt geblokkeerd totdat de juiste toestemming is gegeven. Bij dit proces moeten zowel technische (ontwikkeling) als compliance (juridisch/privacy) beoordelingen betrokken zijn. De meest voorkomende oorzaak van cookie-compliancefouten is dat nieuwe scripts aan een website worden toegevoegd zonder een privacybeoordeling te doorlopen.

  4. Personeel getraind in cookie-compliance

    Iedereen die bij je website betrokken is — ontwikkelaars, marketeers, contentmakers en managers — moet de basisprincipes van cookie-compliance begrijpen en hun rol in het handhaven ervan. Ontwikkelaars moeten weten hoe ze scripts op een toestemmingsbewuste manier toevoegen. Marketeers moeten begrijpen dat het toevoegen van een nieuwe trackingpixel een compliance-beoordeling vereist. Contentmakers moeten weten dat het insluiten van een YouTube-video cookies van derden introduceert. De training hoeft niet uitgebreid te zijn, maar moet wel het kernprincipe behandelen: geen nieuwe tracking zonder beoordeling. Eén ongetraind teamlid dat een marketingscript toevoegt zonder het beoordelingsproces te doorlopen, kan maanden compliance-werk tenietdoen.

Deze checklist gebruiken

Deze checklist is ontworpen om op drie manieren te worden gebruikt:

  • Initiële implementatie: Werk alle 25 punten achtereenvolgens door wanneer je cookie-compliance voor het eerst opzet. Sla geen punten over en stel ze niet uit — gedeeltelijke naleving is nog steeds non-compliance.
  • Regelmatige audit: Beoordeel de checklist per kwartaal om te verifiëren dat alle punten nog steeds worden nageleefd. Besteed bijzondere aandacht aan de doorlopende items (punten 22-25), aangezien deze het meest waarschijnlijk in de loop van de tijd afdrijven.
  • Na wijzigingen: Telkens wanneer je website een significante wijziging ondergaat (nieuwe functies, nieuwe externe diensten, herontwerp, CMS-migratie), loop je de relevante secties van de checklist door om te verifiëren dat de compliance behouden blijft.

Cookie-compliance is haalbaar. Het vereist aandacht en proces, maar geen van de afzonderlijke vereisten is onredelijk moeilijk. De organisaties die worstelen, zijn doorgaans die welke compliance behandelen als een eenmalig project in plaats van een doorlopend operationeel aandachtspunt. Bouw het in in je workflow, wijs duidelijke verantwoordelijkheid toe en gebruik deze checklist als je terugkerende verificatie-instrument.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis