Cookie- en privacyregelgeving: een wereldwijd overzicht
Cookieconformiteit wordt niet door één enkele wet geregeld. Ze wordt gevormd door een lappendeken van nationale en regionale regelgeving die sterk verschilt in reikwijdte, vereisten en handhaving. Voor elke website met een internationaal publiek — wat op het open internet zo goed als elke website is — is het essentieel om te begrijpen welke wetten van toepassing zijn en hoe ze van elkaar verschillen.
Deze gids brengt het wereldwijde regelgevingslandschap voor cookies en online tracking in kaart, van het toestemmingsmodel van de EU tot de notice-and-choice-aanpak van de VS en opkomende kaders elders.
Het wereldwijde lappendeken
Er bestaat geen enkele "cookiewet". In plaats daarvan bevindt cookieconformiteit zich op het snijvlak van privacyregelgeving, richtlijnen inzake elektronische communicatie en consumentenbeschermingswetten. Het resultaat is een complex, soms tegenstrijdig landschap waarin dezelfde website aan verschillende regels onderworpen kan zijn, afhankelijk van waar de bezoekers zich bevinden.
Er zijn twee brede modellen ontstaan:
- Het EU-model (toestemming eerst): Niet-essentiële cookies mogen pas worden geplaatst nadat de gebruiker geïnformeerde, specifieke en vrijelijk gegeven toestemming heeft verleend. De standaard is geen tracking. De gebruiker moet actief toestemming geven (opt-in).
- Het VS-model (notice-and-choice): Bedrijven moeten hun praktijken voor gegevensverzameling bekendmaken en gebruikers de mogelijkheid bieden om zich af te melden voor bepaald gebruik (met name de verkoop of het delen van persoonsgegevens). De standaard is tracking, waarbij de gebruiker zich kan afmelden.
De meeste nieuwe privacyregelgeving wereldwijd beweegt richting het EU-model, zij het met lokale variaties. Beide modellen begrijpen — en de specifieke wetten daarbinnen — is noodzakelijk voor elke website die grensoverschrijdend actief is.
Het EU-kader: ePrivacy-richtlijn + GDPR
De aanpak van de Europese Unie voor cookieregelgeving berust op twee juridische instrumenten die samenwerken:
De ePrivacy-richtlijn (2002/58/EG)
De ePrivacy-richtlijn — vaak de "Cookierichtlijn" genoemd — is de belangrijkste EU-wet die het gebruik van cookies en vergelijkbare trackingtechnologieën regelt. De centrale bepaling, artikel 5, lid 3, luidt:
De lidstaten zorgen ervoor dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft gegeven, na te zijn voorzien van duidelijke en volledige informatie.
De enige uitzondering geldt voor cookies die "strikt noodzakelijk" zijn voor het leveren van een dienst die de gebruiker uitdrukkelijk heeft aangevraagd — bijvoorbeeld sessiecookies voor een winkelwagentje of inlogstatus.
Belangrijk: de ePrivacy-richtlijn is een richtlijn, geen verordening. Dit betekent dat elke EU-lidstaat deze met lokale variaties in nationale wetgeving heeft omgezet. Het kernprincipe (toestemming vereist voor niet-essentiële cookies) is consistent, maar de uitvoeringsdetails verschillen. Bijvoorbeeld:
- Frankrijk (CNIL): Heeft gedetailleerde cookierichtlijnen uitgevaardigd, met een beperkte vrijstelling voor bepaalde tools voor publieksmeting die aan strikte voorwaarden voldoen (anonimisering, geen cross-site tracking, beperkte bewaring).
- Duitsland: Uitgevoerd via de TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), die in december 2021 in werking trad en de toestemmingsvereiste expliciet vastlegde.
- Italië (Garante): Publiceerde in 2021 gedetailleerde cookierichtlijnen die een weigerknop op de eerste laag vereisen en cookiewalls verbieden.
- Nederland (AP): Heeft een enigszins soepelere houding aangenomen ten aanzien van cookiewalls, en suggereert dat deze acceptabel kunnen zijn als de gebruiker een echt alternatief heeft om toegang te krijgen tot de inhoud.
De GDPR (Verordening (EU) 2016/679)
De Algemene Verordening Gegevensbescherming vermeldt cookies niet specifiek, maar regelt wel de verwerking van persoonsgegevens — en cookies hebben vaak betrekking op persoonsgegevens. De GDPR is op verschillende manieren relevant voor cookieconformiteit:
- Toestemmingsnorm (artikel 4, lid 11, artikel 7): De GDPR definieert wat geldige toestemming inhoudt: vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig, en gegeven door een duidelijke actieve handeling. Deze norm is van toepassing op cookietoestemming die onder de ePrivacy-richtlijn wordt verkregen.
- Transparantie (artikelen 12-14): Wanneer cookies persoonsgegevens verwerken, gelden de transparantievereisten van de GDPR. Dit betekent dat uw cookiebeleid specifieke informatie moet bieden over de betrokken gegevensverwerking.
- Rechtsgrond (artikel 6): Voor het verwerken van persoonsgegevens via cookies is een rechtsgrond vereist. Voor niet-essentiële cookies is die grond toestemming. Sommige verwerkingsverantwoordelijken proberen zich te beroepen op gerechtvaardigd belang (artikel 6, lid 1, onder f), maar gegevensbeschermingsautoriteiten hebben gerechtvaardigd belang steeds vaker afgewezen als grond voor advertentie- en analysetracking.
- Rechten van betrokkenen (artikelen 15-22): Gebruikers hebben recht op inzage, rectificatie, wissing en overdraagbaarheid van hun gegevens — inclusief gegevens die via cookies zijn verzameld.
- Extraterritoriale reikwijdte (artikel 3): De GDPR is van toepassing op elke organisatie die persoonsgegevens verwerkt van personen in de EU, ongeacht waar de organisatie gevestigd is. Een Amerikaans bedrijf dat zich richt op EU-klanten moet voldoen.
De aankomende ePrivacy-verordening
De Europese Commissie stelde in 2017 een ePrivacy-verordening voor om de ePrivacy-richtlijn te vervangen, de regels tussen lidstaten te harmoniseren en ze te actualiseren voor moderne technologieën. Begin 2026 is de verordening nog niet definitief. De onderhandelingen zijn langdurig geweest, met meningsverschillen over uitzonderingen voor gerechtvaardigd belang, bepalingen inzake cookiewalls en toestemmingsmechanismen op browserniveau.
Wanneer ze uiteindelijk wordt aangenomen, zal de ePrivacy-verordening rechtstreeks van toepassing zijn in alle lidstaten (in tegenstelling tot de huidige richtlijn, die nationale omzetting vereist). Tot dan blijven de bestaande ePrivacy-richtlijn en de nationale uitvoeringen daarvan de geldende wetgeving.
Het VS-kader: privacywetten op staatsniveau
De Verenigde Staten hebben geen federale cookiewet en geen federale allesomvattende privacywet (per begin 2026). In plaats daarvan is privacyregelgeving op staatsniveau ontstaan, wat een lappendeken van vereisten creëert.
Californië: CCPA en CPRA
De California Consumer Privacy Act (CCPA), zoals gewijzigd door de California Privacy Rights Act (CPRA), is de meest uitgebreide privacywet op Amerikaans staatsniveau. Belangrijke bepalingen die relevant zijn voor cookies:
- Recht om zich af te melden voor verkoop/delen. Consumenten hebben het recht om zich af te melden voor de "verkoop" of het "delen" van hun persoonsgegevens. Onder de CPRA omvat "delen" het delen van gegevens met derden voor cross-context gedragsgerichte reclame — precies wat de meeste advertentiecookies doen.
- Geen voorafgaande toestemming vereist. In tegenstelling tot het EU-model vereist de CCPA/CPRA geen voorafgaande toestemming voor cookies. De standaard is dat tracking is toegestaan en gebruikers zich actief moeten afmelden.
- "Do Not Sell or Share"-link. Bedrijven moeten een opvallende "Do Not Sell or Share My Personal Information"-link op hun website plaatsen.
- Global Privacy Control (GPC). Bedrijven moeten het GPC-browsersignaal honoreren als een geldig afmeldverzoek. Als de browser van een gebruiker een GPC-signaal verstuurt, moet het bedrijf dit behandelen alsof de gebruiker op "Do Not Sell or Share" heeft geklikt.
- Kennisgeving bij verzameling. Bedrijven moeten, op of voor het moment van verzameling, de categorieën verzamelde persoonsgegevens en de doeleinden waarvoor deze worden gebruikt bekendmaken.
Andere Amerikaanse staatswetten
In navolging van Californië hebben talrijke Amerikaanse staten uitgebreide privacywetten aangenomen. Per begin 2026 zijn onder meer de volgende staten met actieve privacywetten:
| Staat | Wet | Ingangsdatum | Cookierelevante kenmerken |
|---|---|---|---|
| Virginia | VCDPA | Januari 2023 | Afmelden voor gerichte reclame, verkoop van gegevens |
| Colorado | CPA | Juli 2023 | Afmelden voor gerichte reclame, verkoop van gegevens; moet universele afmeldsignalen honoreren |
| Connecticut | CTDPA | Juli 2023 | Afmelden voor gerichte reclame, verkoop van gegevens; moet universele afmeldsignalen honoreren |
| Utah | UCPA | December 2023 | Afmelden voor gerichte reclame, verkoop van gegevens |
| Texas | TDPSA | Juli 2024 | Afmelden voor gerichte reclame, verkoop van gegevens; moet universele afmeldsignalen honoreren |
| Oregon | OCPA | Juli 2024 | Afmelden voor gerichte reclame, verkoop van gegevens; moet universele afmeldsignalen honoreren |
| Montana | MCDPA | Oktober 2024 | Afmelden voor gerichte reclame, verkoop van gegevens; moet universele afmeldsignalen honoreren |
Nog meer staten hebben wetten aangenomen met ingangsdata in 2025 en 2026. De trend is duidelijk: privacyregelgeving op staatsniveau breidt zich uit, en de meeste nieuwe wetten bevatten afmeldrechten voor gerichte reclame die rechtstreeks van invloed zijn op cookiepraktijken.
Andere noemenswaardige regelgeving
Verenigd Koninkrijk: UK GDPR en PECR
Na de Brexit behield het VK de GDPR als de "UK GDPR" en blijft het de Privacy and Electronic Communications Regulations (PECR) handhaven, die de ePrivacy-richtlijn implementeren. De vereisten voor cookies zijn in wezen identiek aan die van de EU: voorafgaande toestemming is vereist voor niet-essentiële cookies, met een beperkte uitzondering voor strikt noodzakelijke cookies. De Information Commissioner's Office (ICO) handhaaft deze regels en heeft gedetailleerde cookierichtlijnen gepubliceerd.
Brazilië: LGPD
De Braziliaanse Lei Geral de Protecao de Dados (LGPD), van kracht sinds 2020, is sterk geïnspireerd op de GDPR. Ze vereist een rechtsgrond voor het verwerken van persoonsgegevens, inclusief gegevens die via cookies worden verzameld. Hoewel de LGPD geen direct equivalent heeft van de cookiespecifieke bepaling van de ePrivacy-richtlijn, moet toestemming of gerechtvaardigd belang worden vastgesteld voor cookiegebaseerde gegevensverwerking. De ANPD (nationale gegevensbeschermingsautoriteit) geeft geleidelijk richtlijnen uit over cookies en toestemming.
Canada: PIPEDA en Bill C-27
De Canadese Personal Information Protection and Electronic Documents Act (PIPEDA) vereist "betekenisvolle toestemming" voor het verzamelen, gebruiken en bekendmaken van persoonsgegevens. Voor cookies die persoonsgegevens verzamelen, moeten organisaties toestemming verkrijgen en duidelijke informatie over hun praktijken verstrekken. Bill C-27, de voorgestelde Consumer Privacy Protection Act, zou het Canadese kader moderniseren met strengere toestemmingsvereisten, maar de aanname ervan is uitgesteld.
Japan: APPI
De Japanse Act on the Protection of Personal Information (APPI), gewijzigd in 2022, introduceerde het concept "persoonlijk herleidbare informatie", dat in bepaalde contexten cookie-identifiers kan omvatten. Wanneer cookiegegevens worden gecombineerd met andere informatie om een persoon te identificeren, gelden toestemmingsvereisten.
Zuid-Korea: PIPA
De Zuid-Koreaanse Personal Information Protection Act (PIPA), gewijzigd in 2023, vereist toestemming voor het verzamelen en gebruiken van persoonsgegevens, wat cookiegegevens kan omvatten wanneer deze een persoon identificeren of kunnen identificeren.
Convergentietrend
Ondanks het huidige lappendeken tekent zich een duidelijke trend af: de meeste nieuwe privacywetten volgen het EU-model van toestemming-eerst, gebruikersgerichte regelgeving. Zelfs Amerikaanse staatswetten, hoewel technisch gebaseerd op opt-out in plaats van opt-in, bewegen zich richting strengere vereisten met universele afmeldsignalen (GPC), principes van gegevensminimalisatie en uitgebreide definities van "persoonsgegevens" die cookie-identifiers omvatten.
In de praktijk betekent deze convergentie dat websites die cookieconformiteit op EU-niveau implementeren (voorafgaande toestemming, duidelijke accepteren/weigeren, gedetailleerde categorieën, transparant beleid) goed gepositioneerd zijn voor naleving in de meeste andere rechtsgebieden. De EU-norm is de hoogste gemeenschappelijke deler.
Risicobeoordeling: welke wetten zijn van toepassing op uw website?
De belangrijkste vraag voor elke website-exploitant is: welke wetten zijn op mij van toepassing? Het antwoord hangt af van twee factoren:
- Waar uw organisatie gevestigd is. U bent onderworpen aan de privacywetten van de rechtsgebieden waar uw organisatie een vestiging heeft (kantoor, dochteronderneming, filiaal).
- Waar uw gebruikers zich bevinden. Onder de extraterritoriale reikwijdte van de GDPR (artikel 3, lid 2) bent u onderworpen aan de EU-privacywetgeving als u goederen of diensten aanbiedt aan personen in de EU, of als u het gedrag van personen in de EU monitort. Vergelijkbare extraterritoriale bepalingen bestaan in de UK GDPR, de Braziliaanse LGPD en andere wetten.
In de praktijk geldt: als uw website toegankelijk is voor gebruikers in de EU — en u enig EU-verkeer heeft, wat vrijwel alle websites hebben — moet u voldoen aan de ePrivacy-richtlijn en de GDPR. Als u Amerikaans verkeer heeft, moet u de CCPA/CPRA (Californië) en andere toepasselijke staatswetten in acht nemen.
Een pragmatische aanpak:
- Implementeer toestemming volgens EU-norm voor alle EU/EER/VK-bezoekers (voorafgaande opt-in-toestemming voor niet-essentiële cookies).
- Implementeer afmeldmechanismen voor Amerikaanse bezoekers (Do Not Sell/Share-link, GPC-ondersteuning).
- Kies standaard voor de hogere norm als geografische detectie onpraktisch is. Toestemming op EU-niveau voldoet aan vrijwel alle rechtsgebieden.
Extraterritoriale reikwijdte
Een van de meest significante aspecten van moderne privacyregelgeving is de extraterritoriale reikwijdte. De GDPR (artikel 3, lid 2) is van toepassing op organisaties buiten de EU die:
- Goederen of diensten aanbieden aan personen in de EU (zelfs gratis — een in de EU toegankelijke website die zich op EU-gebruikers richt, kwalificeert), of
- Het gedrag van personen in de EU monitoren (analyse- en advertentietracking vormen monitoring).
Dit betekent dat een Amerikaans bedrijf dat Google Analytics gebruikt op een website die EU-verkeer ontvangt, technisch gezien onderworpen is aan de GDPR en de cookievereisten van de ePrivacy-richtlijn. Handhaving tegen niet-EU-organisaties is historisch beperkt geweest, maar neemt toe, met name voor grote bedrijven. Het praktische risico voor kleinere organisaties hangt af van zichtbaarheid en het aantal klachten, maar de wettelijke verplichting bestaat ongeacht de omvang.
Handhavingslandschap
De handhaving van cookieconformiteit is sinds 2020 drastisch geïntensiveerd. Belangrijke trends:
Wie handhaaft
In de EU handhaven de nationale gegevensbeschermingsautoriteiten (DPA's) zowel de ePrivacy-richtlijn als de GDPR. Noemenswaardige actieve handhavers zijn onder meer de CNIL (Frankrijk), de Garante (Italië), het Datatilsynet (Denemarken en Noorwegen), de BfDI (Duitsland op federaal niveau) en de APD (België). De EDPB coördineert grensoverschrijdende handhaving.
In de VS handhaven de California Attorney General en de California Privacy Protection Agency de CCPA/CPRA. De attorneys general van de staten handhaven andere staatswetten.
Hoe ze handhaven
- Klachtgestuurde onderzoeken. De meeste handhaving begint met een klacht van een gebruiker bij een DPA. De klacht leidt tot een onderzoek naar de cookiepraktijken van de website.
- Sweep-onderzoeken. DPA's voeren periodiek sectorbrede sweeps uit, waarbij honderden websites worden gescand op cookieconformiteit. De CNIL, de Italiaanse Garante en het Deense Datatilsynet hebben allemaal openbaar gemaakte sweeps uitgevoerd.
- Klachten van ngo's. Privacy-belangenorganisaties zoals noyb (geleid door Max Schrems) hebben massale klachten ingediend tegen honderden websites, waardoor een aanzienlijk handhavingsvolume is ontstaan. Alleen al de klachten van noyb over cookiebanners hebben geleid tot tientallen handhavingsacties in de hele EU.
Boetes
GDPR-boetes voor cookie-overtredingen kunnen oplopen tot 20 miljoen EUR of 4% van de wereldwijde jaaromzet, afhankelijk van welke hoger is. In de praktijk hebben boetes voor cookie-overtredingen gevarieerd van waarschuwingen (voor kleine organisaties met kleine overtredingen) tot 150 miljoen EUR (Google, CNIL, 2022). De trend gaat richting hogere boetes en frequentere handhaving.
Naast boetes brengt niet-naleving reputatierisico's, schade aan het consumentenvertrouwen en de operationele kosten van spoedherstel onder een regelgevend bevel met zich mee.
Passiro helpt u door deze regelgevingscomplexiteit te navigeren met geautomatiseerde naleving die zich aanpast aan de wetten die op uw bezoekers van toepassing zijn. Ontdek hoe Passiro cookieconformiteit over rechtsgebieden heen vereenvoudigt.
In dit gedeelte
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis