Skip to main content

Cookietoestemming: Wat de wet daadwerkelijk vereist

Cookietoestemming is een van de meest verkeerd begrepen vereisten binnen digitale privacy. Veel bedrijven denken dat ze aan de regels voldoen omdat ze een cookiebanner tonen. Maar een banner is geen toestemming. Toestemming is een specifiek juridisch begrip met precieze vereisten — en wie daar niet aan voldoet, verzamelt mogelijk zijn volledige dataset onrechtmatig.

De juridische basis

Cookietoestemming rust op twee juridische pijlers:

Artikel 5(3) van de ePrivacy-richtlijn stelt de vereiste vast: het opslaan van of toegang krijgen tot informatie op het apparaat van een gebruiker vereist toestemming van die gebruiker, tenzij de opslag strikt noodzakelijk is voor een dienst die de gebruiker uitdrukkelijk heeft gevraagd. Dit is de regel die specifiek van toepassing is op cookies.

Artikel 4(11) van de GDPR definieert wat toestemming inhoudt: "'toestemming' van de betrokkene is elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt."

Deze twee bepalingen werken samen. De ePrivacy-richtlijn bepaalt wanneer toestemming nodig is (voor niet-essentiële cookies). De GDPR bepaalt hoe geldige toestemming eruitziet. Aan beide moet worden voldaan.

De vijf vereisten van geldige toestemming

Op basis van artikel 4(11) en artikel 7 van de GDPR en de EDPB-richtsnoeren 05/2020 over toestemming moet geldige cookietoestemming aan vijf criteria voldoen:

1. Vrijelijk gegeven

De gebruiker moet een echte keuze hebben. Toestemming is niet vrij als:

  • Toegang afhankelijk is van toestemming. Als de gebruiker de website niet kan gebruiken zonder alle cookies te accepteren (een "cookie wall"), is de toestemming niet vrijelijk gegeven. De EDPB heeft dit standpunt bevestigd, hoewel sommige nationale toezichthouders onder specifieke omstandigheden beperkte cookie walls toestaan — vooral als er een echt alternatief bestaat (zoals een betaalde, cookievrije versie).
  • Er sprake is van een aanzienlijke machtsongelijkheid. In relaties tussen werkgever en werknemer of overheid en burger kan toestemming niet werkelijk vrij zijn. Voor de meeste websites is dit minder relevant, maar het speelt wel bij overheidsdiensten en intranetplatforms.
  • Weigeren aanzienlijk moeilijker is dan accepteren. Als "Alles accepteren" een prominente knop is en "Alles weigeren" alleen via de instellingen bereikbaar is, is de toestemming niet vrijelijk gegeven. Zowel de Italiaanse Garante als de Franse CNIL hebben specifieke richtlijnen uitgevaardigd die vereisen dat het weigeren van cookies net zo eenvoudig is als het accepteren ervan.

2. Specifiek

Toestemming moet voor elk afzonderlijk doel apart worden gegeven. Daarom bestaan cookiecategorieën. Een geldig toestemmingsmechanisme moet gebruikers de mogelijkheid bieden om analytische cookies te accepteren en marketingcookies te weigeren, of andersom. Alle cookies samenbundelen in één enkele "accepteren" of "weigeren" voldoet niet aan de specificiteitseis — hoewel het aanbieden van zowel "Alles accepteren" als "Alles weigeren" als snelkoppelingen naast bediening per categorie wel is toegestaan.

3. Geïnformeerd

Voordat de gebruiker toestemming geeft, moet hem worden verteld:

  • Wie de cookies plaatst (de websitebeheerder en eventuele derde partijen)
  • Wat elke categorie cookies doet
  • Hoe lang de cookies bewaard blijven
  • Hoe de toestemming kan worden ingetrokken

Deze informatie moet duidelijk en in eenvoudige taal worden gepresenteerd. Een cookiebeleid van 5.000 woorden dat verstopt zit achter drie kliks maakt toestemming in geen enkel zinvol opzicht "geïnformeerd". De eerste laag van uw toestemmingsmechanisme moet voldoende informatie bevatten om de gebruiker een weloverwogen beslissing te laten nemen.

4. Ondubbelzinnig

Toestemming vereist een duidelijke actieve handeling. De gebruiker moet actief iets doen om toestemming aan te geven — op een knop klikken, een vakje aanvinken, een schakelaar omzetten.

Wat NIET als ondubbelzinnige toestemming geldt:

  • Vooraf aangevinkte selectievakjes. Het HvJ-EU oordeelde definitief in Planet49 (zaak C-673/17, oktober 2019) dat vooraf aangevinkte vakjes geen geldige toestemming vormen. Dit geldt voor cookietoestemmingsinstellingen waarbij categorieën standaard zijn aangevinkt.
  • Doorbladeren. "Door deze site te blijven gebruiken, stemt u in met cookies" is geen geldige toestemming. Simpelweg scrollen of op een link klikken is geen "ondubbelzinnige wilsuiting". Meerdere toezichthouders hebben dit bevestigd, en de EDPB-richtsnoeren zijn hierover expliciet.
  • Browserinstellingen. Vertrouwen op de browserinstellingen van de gebruiker als vorm van toestemming is door toezichthouders afgewezen. De websitebeheerder moet toestemming rechtstreeks verkrijgen.
  • Stilzwijgen of inactiviteit. Als de gebruiker de banner negeert en verder bladert, is dat geen toestemming. Er mogen geen cookies worden geplaatst totdat de gebruiker een actieve keuze heeft gemaakt.

5. Voorafgaand

Hoewel dit niet als afzonderlijk element in artikel 4(11) van de GDPR wordt genoemd, maakt de ePrivacy-richtlijn duidelijk dat toestemming moet worden verkregen voordat cookies worden geplaatst. Dit is de vereiste waaraan veel websites nog steeds niet voldoen. Scripts die bij het laden van de pagina worden geactiveerd — waarbij analytische en marketingcookies worden geplaatst voordat de gebruiker de toestemmingsbanner überhaupt heeft gezien — schenden deze fundamentele vereiste.

Technisch gezien betekent dit dat niet-essentiële scripts moeten worden geblokkeerd totdat toestemming is gegeven. Een banner tonen terwijl er al cookies worden geplaatst voldoet niet aan de vereiste van voorafgaande toestemming.

Hoe geldige toestemming er in de praktijk uitziet

Een conforme implementatie van cookietoestemming:

  1. Blokkeert alle niet-essentiële cookies voordat de gebruiker met het toestemmingsmechanisme interacteert.
  2. Presenteert een duidelijke eerste laag die de gebruikte cookiecategorieën uitlegt, met opties om elke categorie te accepteren of te weigeren.
  3. Biedt "Alles accepteren" en "Alles weigeren" even prominent aan — dezelfde grootte, hetzelfde visuele gewicht, hetzelfde aantal benodigde kliks.
  4. Gebruikt geen dark patterns — geen misleidende knopkleuren, geen verborgen weigeropties, geen verwarrende taal, geen sturing richting acceptatie.
  5. Verwijst naar een gedetailleerd cookiebeleid waarin elke cookie wordt vermeld met naam, doel, duur en aanbieder.
  6. Legt de toestemming vast met een tijdstempel en de specifieke categorieën die de gebruiker heeft geaccepteerd of geweigerd.
  7. Activeert alleen de relevante scripts nadat toestemming is gegeven voor die specifieke categorie.

De levenscyclus van toestemming

Toestemming is geen eenmalige gebeurtenis. Ze kent een levenscyclus die uw implementatie moet ondersteunen:

Verzameling

Eerste bezoek: toon het toestemmingsmechanisme, blokkeer niet-essentiële cookies, wacht op actie van de gebruiker.

Opslag

Wanneer toestemming is gegeven, sla de keuze van de gebruiker op in een strikt noodzakelijke cookie (voor deze cookie is geen toestemming nodig, aangezien deze vereist is om de privacyvoorkeuren van de gebruiker te respecteren). Bewaar ook een server-side registratie als bewijs van toestemming.

Toepassing

Lees bij volgende paginabezoeken de toestemmingscookie uit en activeer alleen de scripts die overeenkomen met de door de gebruiker geaccepteerde categorieën. Toon de banner niet opnieuw — respecteer de opgeslagen keuze.

Intrekking

Artikel 7(3) van de GDPR is expliciet: "Het intrekken van de toestemming is even eenvoudig als het geven ervan." Uw website moet gebruikers een permanente, gemakkelijk toegankelijke manier bieden om hun cookievoorkeuren op elk moment te wijzigen. Een veelgebruikte aanpak is een klein pictogram of een link in de voettekst die de interface voor toestemmingsbeheer opnieuw opent.

Vernieuwing

Toestemming duurt niet eeuwig. De CNIL adviseert om toestemming elke 13 maanden te vernieuwen. De EDPB heeft geen specifieke duur vastgesteld, maar vereist dat de toestemming geldig blijft en dat de keuze van de gebruiker nog steeds zijn werkelijke wensen weerspiegelt. Een goede praktijk is om minstens eenmaal per jaar opnieuw te vragen, of telkens wanneer uw cookiegebruik ingrijpend verandert.

Wijzigingen

Als u nieuwe cookies, nieuwe diensten van derden of nieuwe doeleinden toevoegt, dekt de bestaande toestemming deze mogelijk niet meer. Gebruikers moeten opnieuw worden gevraagd om toestemming te geven (of te onthouden) voor de nieuwe verwerking.

Toestemmingsregistraties en bewijs

Artikel 7(1) van de GDPR stelt: "Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens." Voor cookietoestemming betekent dit dat u registraties moet bijhouden van:

  • Wanneer toestemming is gegeven (tijdstempel)
  • Waarvoor de gebruiker toestemming heeft gegeven (welke categorieën zijn geaccepteerd, welke zijn geweigerd)
  • Hoe de toestemming is verzameld (hoe het toestemmingsmechanisme er op dat moment uitzag — een versie-identificatie of screenshot)
  • Wie toestemming heeft gegeven (meestal een geanonimiseerde identificatie, niet de naam van de gebruiker)

Als een toezichthouder u vraagt aan te tonen dat een specifieke cookie met geldige toestemming is geplaatst, vormen deze registraties uw verdediging. Zonder deze registraties hebt u geen bewijs dat uw toestemmingsmechanisme werkt — en de bewijslast ligt bij u, niet bij de toezichthouder.

Veelvoorkomende fouten bij toestemming

Op basis van handhavingsacties in heel Europa zijn dit de meest beboete fouten bij toestemming:

  1. Cookies geplaatst vóór toestemming. Analytische en marketingscripts die bij het laden van de pagina worden geactiveerd, voordat de gebruiker met de banner interacteert.
  2. Geen weigeroptie op de eerste laag. Gebruikers verplichten om op "Instellingen" of "Voorkeuren beheren" te klikken om cookies te weigeren, terwijl "Alles accepteren" direct beschikbaar is.
  3. Vooraf aangevinkte categorieën. Toestemmingsschakelaars die standaard "aan" staan voor analyse en marketing.
  4. Geen manier om toestemming in te trekken. Zodra de banner is weggeklikt, kan de gebruiker zijn keuze niet meer wijzigen.
  5. Toestemmingsmuur / cookie wall. Toegang tot inhoud blokkeren tenzij alle cookies worden geaccepteerd.
  6. Misleidend ontwerp. Groen gebruiken voor "Accepteren" en grijs voor "Weigeren", de acceptatieknop groter maken, of verwarrende taal gebruiken zoals "Doorgaan zonder accepteren" versus "Accepteren en doorgaan".

Passiro scant de implementatie van cookietoestemming op uw website en controleert op deze veelvoorkomende fouten, zodat u nalevingslacunes kunt opsporen en verhelpen voordat een toezichthouder dat doet.

Volgende: wanneer is toestemming precies vereist? Het antwoord bevat enkele belangrijke nuances, waaronder de vrijstelling voor strikt noodzakelijke cookies en het aanhoudende debat rond first-party analytics.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis