Cookies scannen & auditen: weet welke cookies uw website plaatst
U kunt niet voldoen aan de cookiewetgeving als u niet weet welke cookies uw website plaatst. Dat lijkt vanzelfsprekend, maar toch is dit de meest voorkomende oorzaak van tekortkomingen op het gebied van cookienaleving. Websites veranderen voortdurend — er worden nieuwe plug-ins geïnstalleerd, marketingtags toegevoegd en scripts van derden bijgewerkt — en elke wijziging kan nieuwe cookies introduceren. Een cookie-audit is geen eenmalige activiteit. Het is een doorlopend proces dat gelijke tred moet houden met de ontwikkeling van uw website.
Waarom cookies scannen belangrijk is
Elke verplichting op het gebied van cookienaleving hangt af van een accurate, volledige inventarisatie van uw cookies. Zonder deze inventarisatie:
- Is uw cookiebanner onvolledig. Als uw banner vier categorieën cookies vermeldt, maar uw site in werkelijkheid ook cookies in een vijfde categorie plaatst, kunnen gebruikers geen geïnformeerde toestemming geven. Hun toestemming is dan ongeldig onder de GDPR.
- Is uw cookiebeleid onnauwkeurig. Gegevensbeschermingsautoriteiten verwachten dat uw cookiebeleid elke cookie vermeldt met naam, doel, type en duur. Een onvolledig of verouderd beleid is een nalevingstekort waar toezichthouders tijdens audits actief naar op zoek zijn.
- Blokkeert uw toestemmingsmechanisme mogelijk niet alle cookies. Als een nieuw toegevoegd script cookies plaatst die niet in de configuratie van uw consentmanagement zijn opgenomen, worden die cookies zonder toestemming geplaatst — een directe schending van artikel 5(3) van de ePrivacy-richtlijn.
- Kunt u niet reageren op verzoeken van gebruikers. Onder de GDPR hebben gebruikers het recht om te weten welke gegevens u over hen verzamelt. Als u niet weet welke cookies uw site plaatst, kunt u geen accurate antwoorden geven op inzageverzoeken van betrokkenen.
Wat een cookiescan aan het licht brengt
Een grondige cookiescan identificeert:
- Cookienamen: de exacte identificatie van elke cookie (bijv.
_ga,_fbp,JSESSIONID). - Herkomst: of de cookie first-party is (geplaatst door uw eigen domein) of third-party (geplaatst door een extern domein).
- Type: sessiecookie (verwijderd wanneer de browser wordt gesloten) of permanente cookie (blijft gedurende een bepaalde periode bestaan).
- Duur: hoe lang de cookie blijft bestaan voordat deze verloopt (bijv. 30 minuten, 1 jaar, 2 jaar).
- Doel: wat de cookie doet — sessiebeheer, analyse, advertenties, personalisatie of functionele doeleinden.
- Categorie: de nalevingscategorie waartoe de cookie behoort — strikt noodzakelijk, functioneel, analyse/prestaties of marketing/advertenties.
- Externe aanbieder: als de cookie door een derde partij wordt geplaatst, tot welke dienst deze behoort (Google Analytics, Facebook, HubSpot, Hotjar, enz.).
- Verzamelde gegevens: welke informatie de cookie opslaat of het verzamelen daarvan mogelijk maakt.
Handmatig cookies scannen met de DevTools van de browser
De meest basale methode om cookies te scannen maakt gebruik van de ontwikkelaarstools die in elke moderne browser zijn ingebouwd. Hoewel handmatig scannen aanzienlijke beperkingen heeft, is het nuttig voor steekproeven en om te begrijpen hoe cookies op uw site werken.
Stap voor stap: handmatige cookie-audit in Chrome
- Open een incognito-/privévenster. Zo begint u met een schone lei — zonder bestaande cookies van eerdere bezoeken.
- Open DevTools (druk op F12 of klik met de rechtermuisknop en selecteer "Inspecteren").
- Ga naar het tabblad Application (in Chrome) of het tabblad Storage (in Firefox).
- Vouw de sectie "Cookies" uit in de linkerzijbalk. U ziet dan een lijst met domeinen.
- Bezoek uw website zonder met de cookiebanner te interacteren. Noteer welke cookies direct worden geplaatst — dit zijn de cookies die vóór toestemming worden geplaatst en die uitsluitend strikt noodzakelijk zouden mogen zijn.
- Accepteer alle cookies in uw cookiebanner. Vernieuw het tabblad Application/Storage en noteer de nieuwe cookies die verschijnen.
- Navigeer door de belangrijkste pagina's van uw website (homepage, productpagina's, afrekenen, contactformulier, blog). Sommige cookies worden alleen op specifieke pagina's of na specifieke interacties geplaatst.
- Documenteer elke cookie: noteer voor elke gevonden cookie de naam, het domein, het pad, de vervaldatum, de grootte en of deze HTTP-only of secure is.
- Controleer het tabblad Network op aanvullende tracking. Sommige trackingtechnologieën gebruiken pixels, beacons of API-aanroepen in plaats van traditionele cookies. Het tabblad Network toont alle uitgaande verzoeken naar externe domeinen.
Beperkingen van handmatig scannen
Handmatig scannen is waardevol om te leren en voor steekproeven, maar het heeft serieuze beperkingen voor nalevingsdoeleinden:
- Onvolledige dekking. U kunt alleen pagina's controleren die u handmatig bezoekt. Een grote website met honderden pagina's kan verschillende cookies op verschillende pagina's plaatsen. Handmatig scannen kan ze in de praktijk niet allemaal afdekken.
- Geen categorisering. DevTools tonen u de ruwe cookiegegevens, maar categoriseren cookies niet op doel of nalevingscategorie. U moet elke cookie afzonderlijk onderzoeken.
- Alleen een momentopname. Handmatig scannen geeft u een momentopname. Het detecteert geen nieuwe cookies die na uw audit worden toegevoegd.
- Geen verificatie van scriptblokkering. Met handmatig scannen kunt u niet eenvoudig verifiëren dat uw consentmanagementplatform scripts correct blokkeert vóór toestemming.
- Tijdrovend. Zelfs voor een site met 20 pagina's kost het handmatig controleren van elke pagina en het documenteren van elke cookie uren.
Geautomatiseerd cookies scannen
Geautomatiseerde tools voor cookiescans ondervangen de beperkingen van handmatig scannen door uw hele website te doorzoeken, alle cookies te identificeren en ze systematisch te categoriseren. Een goede geautomatiseerde scantool biedt:
- Volledige crawling: de scanner bezoekt elke pagina op uw site (of een gedefinieerd deel daarvan), inclusief pagina's die alleen toegankelijk zijn via navigatie of zoeken.
- Vóór en na toestemming: de scanner controleert welke cookies vóór het geven van toestemming worden geplaatst, welke na toestemming verschijnen en of geweigerde categorieën correct worden geblokkeerd.
- Automatische categorisering: bekende cookies (zoals
_gavan Google Analytics of_fbpvan Facebook) worden automatisch gecategoriseerd op basis van bijgehouden databases met cookiedoeleinden. - Identificatie van derden: alle externe domeinen die cookies plaatsen, worden geïdentificeerd en gedocumenteerd.
- Geplande scans: scans worden automatisch volgens een schema uitgevoerd (wekelijks, na deployments) om nieuwe cookies op te sporen zodra ze verschijnen.
- Wijzigingsdetectie: de scanner waarschuwt u wanneer nieuwe cookies verschijnen of bestaande cookies veranderen, zodat u uw toestemmingsmechanisme en cookiebeleid kunt bijwerken.
- Nalevingsrapporten: resultaten worden opgemaakt op een manier die uw nalevingsdocumentatie ondersteunt.
Waar u op moet letten bij een cookiescantool
Houd bij het evalueren van geautomatiseerde oplossingen voor cookiescans rekening met het volgende:
- JavaScript-rendering: veel cookies worden geplaatst door JavaScript dat draait nadat de pagina is geladen. De scanner moet JavaScript uitvoeren (met behulp van een echte browser-engine) om deze cookies te detecteren. Eenvoudige HTTP-crawlers die geen JavaScript renderen, missen de meeste third-party cookies.
- Diepte van crawling: de scanner moet interne links volgen en uw hele site doorzoeken, niet alleen de homepage. Cookies die worden geplaatst door ingesloten video's, formulieren, chatwidgets of betalingsverwerkers op specifieke pagina's worden gemist als alleen de homepage wordt gescand.
- Simulatie van het eerste bezoek: de scanner moet een eerste bezoeker simuleren (geen bestaande cookies, geen toestemming gegeven) om te verifiëren dat er geen niet-essentiële cookies worden geplaatst vóór toestemming.
- Cookiedatabase: een bijgehouden database met bekende cookies, hun doeleinden en categorieën vermindert de handmatige inspanning voor classificatie aanzienlijk.
- Rapportage: duidelijke, exporteerbare rapporten die kunnen worden gedeeld met de juridische, marketing- en ontwikkelteams.
- Planning en waarschuwingen: automatisch scannen volgens een instelbaar schema met meldingen wanneer nieuwe cookies worden gedetecteerd.
Het cookiescanproces
Een grondige cookiescan volgt vijf stappen, of deze nu handmatig of met geautomatiseerde tools wordt uitgevoerd:
Stap 1: alle pagina's crawlen
Begin met het opstellen van een volledige kaart van uw website. Dit omvat alle openbare pagina's, geauthenticeerde pagina's (indien van toepassing), landingspagina's, bedankpagina's, foutpagina's en elke pagina die een bezoeker mogelijk bezoekt. Beperk uw scan niet tot de homepage — cookies worden vaak geplaatst door scripts van derden die alleen op specifieke pagina's laden (bijv. een YouTube-embed in een blogbericht, een betalingsverwerker op de afrekenpagina of een chatwidget die alleen op supportpagina's verschijnt).
Stap 2: alle cookies identificeren
Noteer voor elke pagina elke cookie die wordt geplaatst. Dit omvat zowel HTTP-cookies (zichtbaar in de Set-Cookie-header en de cookieopslag van de browser) als opslagmechanismen aan de clientzijde (localStorage, sessionStorage, IndexedDB) die als trackingtechnologie kunnen functioneren, ook al zijn het technisch gezien geen cookies.
Stap 3: de herkomst van cookies bepalen
Bepaal voor elke cookie of deze first-party is (geplaatst door uw eigen domein) of third-party (geplaatst door een extern domein). Third-party cookies zijn bijzonder belangrijk voor naleving, omdat ze doorgaans het delen van gegevens met externe organisaties inhouden, wat vermelding in uw cookiebeleid vereist en in veel gevallen een verwerkersovereenkomst.
Stap 4: cookies classificeren per categorie
Wijs elke cookie toe aan een nalevingscategorie:
- Strikt noodzakelijk: vereist voor het functioneren van de website. Kan niet door de gebruiker worden uitgeschakeld. Voorbeelden: sessiecookies, CSRF-tokens, load-balancingcookies, cookies voor cookie-toestemmingsvoorkeuren.
- Functioneel: bieden verbeterde functionaliteit en personalisatie. Voorbeelden: taalvoorkeuren, regioselectie, recent bekeken items (wanneer niet gebruikt voor advertenties).
- Analyse/prestaties: verzamelen informatie over hoe bezoekers de website gebruiken. Voorbeelden: cookies van Google Analytics, Hotjar, Matomo.
- Marketing/advertenties: volgen bezoekers over verschillende websites voor advertentiedoeleinden. Voorbeelden: Facebook Pixel, Google Ads-cookies, retargetingcookies, affiliate-trackingcookies.
Stap 5: doel, duur en type documenteren
Documenteer voor elke cookie het doel in begrijpelijke taal die een niet-technische persoon kan volgen, de duur (sessie of permanent, en indien permanent, hoe lang) en het type (HTTP-cookie, localStorage, enz.). Deze documentatie vormt de basis van uw cookiebeleid en de informatie die in uw cookiebanner wordt verstrekt.
Doorlopende monitoring
Een cookiescan is alleen geldig op het moment dat deze wordt uitgevoerd. Uw website is niet statisch — deze verandert met elke deployment, plug-inupdate en marketingcampagne. Doorlopende monitoring is essentieel, omdat:
- Nieuwe scripts nieuwe cookies introduceren. Wanneer een ontwikkelaar een nieuwe analysetool toevoegt, een marketingteam een nieuwe trackingpixel installeert of een plug-in wordt bijgewerkt, kunnen er nieuwe cookies op uw site verschijnen zonder dat iemand daar expliciet toe heeft besloten.
- Scripts van derden veranderen. Zelfs als u uw website niet wijzigt, kunnen de externe diensten die u gebruikt hun scripts bijwerken en nieuwe cookies introduceren. Een update van Google Analytics, een wijziging van een socialmediawidget of een aanpassing van een CDN-configuratie kunnen allemaal invloed hebben op de cookies op uw site.
- Naleving continu is. Toezichthouders verwachten dat uw cookiebeleid en toestemmingsmechanisme de huidige staat van uw website weerspiegelen. Een beleid dat zes maanden geleden accuraat was, maar geen cookies bevat die sindsdien zijn toegevoegd, is vandaag niet conform.
De beste praktijk is om geautomatiseerde scans na elke deployment en minimaal maandelijks uit te voeren. Stel waarschuwingen in voor nieuwe cookies, zodat uw team ze kan evalueren, categoriseren en aan uw toestemmingsmechanisme kan toevoegen voordat ze een nalevingsprobleem worden.
Cookies scannen en uw cookiebeleid
Uw cookiebeleid en de resultaten van uw cookiescan moeten synchroon blijven. Elke cookie die tijdens een scan wordt geïdentificeerd, moet in uw beleid worden gedocumenteerd, en elke cookie die in uw beleid wordt vermeld, moet daadwerkelijk op uw site aanwezig zijn. Een mismatch in beide richtingen is een probleem:
- Cookies op de site maar niet in het beleid: dit betekent dat gebruikers niet worden geïnformeerd over alle tracking op uw site. Hun toestemming, zelfs indien gegeven, dekt mogelijk niet de niet-vermelde cookies.
- Cookies in het beleid maar niet op de site: hoewel minder ernstig, zorgt het vermelden van cookies die niet bestaan voor verwarring en ondermijnt het het vertrouwen in de nauwkeurigheid van uw documentatie.
De meest efficiënte aanpak is om uw scantool te integreren met uw cookiebeleid, zodat het beleid automatisch wordt bijgewerkt wanneer nieuwe cookies worden gedetecteerd. Dit elimineert de handmatige stap van het bijwerken van het beleid na elke scan en verkleint het risico dat de twee uit elkaar gaan lopen.
Hoe Passiro cookies scannen aanpakt
De scanner van Passiro gebruikt een headless browser-engine om elke pagina van uw website te bezoeken en JavaScript exact uit te voeren zoals de browser van een echte bezoeker dat zou doen. Zo wordt gegarandeerd dat cookies die worden geplaatst door dynamisch geladen scripts, ingesloten content en single-page-applicationframeworks allemaal worden gedetecteerd. De scanner draait vóór en na gesimuleerde toestemming om te verifiëren dat uw consentmanagement correct werkt — dat niet-essentiële cookies daadwerkelijk worden geblokkeerd totdat er toestemming is gegeven.
Scanresultaten worden automatisch gecategoriseerd met behulp van een continu bijgewerkte database van bekende cookies, met de mogelijkheid om elke cookie handmatig te classificeren of te herclassificeren. Geplande scans worden op instelbare basis uitgevoerd en u ontvangt waarschuwingen wanneer nieuwe cookies op uw site verschijnen, zodat u actie kunt ondernemen voordat ze een nalevingsrisico worden.
Hoe vaak moet u scannen?
De juiste scanfrequentie hangt af van hoe vaak uw website verandert:
- Na elke deployment: elke codewijziging kan nieuwe cookies introduceren. Integreer cookies scannen in uw CI/CD-pijplijn of voer een scan uit na elke release.
- Na het toevoegen van diensten van derden: scan direct wanneer u een nieuwe analysetool, marketingplatform, chatwidget, betalingsverwerker of een ander script van derden toevoegt.
- Minimaal maandelijks: zelfs als u niets wijzigt, kunnen scripts van derden op uw site worden bijgewerkt en nieuwe cookies introduceren. Een maandelijkse scan vangt deze wijzigingen op.
- Na updates van uw CMP: als u uw consentmanagementplatform bijwerkt of uw cookiecategorieën wijzigt, scan dan om te verifiëren dat de wijzigingen werken zoals verwacht.
- Kwartaalreview: voer naast geautomatiseerd scannen elk kwartaal een handmatige review uit van uw cookie-inventarisatie om te verifiëren dat de categoriseringen nog steeds accuraat zijn, dat externe aanbieders nog steeds nodig zijn en dat uw cookiebeleid de werkelijkheid weerspiegelt.
De organisaties die cookies scannen behandelen als routineonderhoud in plaats van als een periodieke audit, zijn degene die continue naleving handhaven — en de onaangename verrassing vermijden om tijdens een onderzoek van een toezichthouder ongedocumenteerde trackingcookies aan te treffen.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis