Cookiebanners: de complete gids
Een cookiebanner vormt de schakel tussen uw website en het recht op privacy van uw bezoekers. Het is het mechanisme waarmee u wettelijk geldige toestemming voor niet-essentiële cookies verkrijgt — of niet. Dit goed regelen is geen keuze: het is een wettelijke verplichting binnen de hele Europese Unie en in een groeiend aantal rechtsgebieden wereldwijd.
Deze gids behandelt wat cookiebanners zijn, waarom ze bestaan, wat de wet vereist en hoe u er een implementeert die zowel compliant als gebruiksvriendelijk is.
Wat is een cookiebanner?
Een cookiebanner is een onderdeel van de gebruikersinterface — meestal getoond wanneer een bezoeker voor het eerst op uw website terechtkomt — dat de gebruiker informeert over het gebruik van cookies en vergelijkbare trackingtechnologieën op de site, en een mechanisme biedt waarmee de gebruiker toestemming kan geven of weigeren.
De term "cookiebanner" is enigszins informeel. In juridische termen gaat het om een toestemmingsbeheerinterface. Deze bestaat vanwege twee elkaar overlappende Europese wetten:
- De ePrivacy-richtlijn (2002/58/EG), artikel 5(3) — vereist voorafgaande toestemming voordat informatie op het apparaat van een gebruiker wordt opgeslagen of geraadpleegd (met beperkte uitzonderingen voor strikt noodzakelijke cookies).
- De Algemene Verordening Gegevensbescherming (GDPR), artikelen 4(11) en 7 — definieert wat geldige toestemming inhoudt: deze moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven worden, door middel van een duidelijke actieve handeling.
Samen betekenen deze wetten dat u, voordat u een analytics-cookie, een marketingpixel of een andere niet-essentiële tracker plaatst, de gebruiker om toestemming moet vragen en een duidelijk "ja" moet ontvangen.
Wettelijke vereisten voor cookiebanners
Een compliant cookiebanner is niet zomaar een melding — het is een toestemmingsmechanisme. De European Data Protection Board (EDPB) en nationale toezichthouders voor gegevensbescherming hebben uitgebreide richtlijnen uitgevaardigd over wat banners moeten bevatten. Dit zijn de onmisbare vereisten:
Wat getoond moet worden
- Een duidelijke omschrijving van het doel. Gebruikers moeten begrijpen waarom cookies worden gebruikt, niet alleen dat ze bestaan. "Wij gebruiken cookies om uw ervaring te verbeteren" volstaat niet. U moet de specifieke doeleinden toelichten: analytics, advertenties, personalisatie, integratie met sociale media.
- Een accepteerknop. Een duidelijke, actieve handeling om toestemming te geven voor niet-essentiële cookies.
- Een weigerknop (of gelijkwaardig). Gebruikers moeten niet-essentiële cookies met evenveel gemak kunnen weigeren. De CNIL (Frankrijk), de Deense toezichthouder (Datatilsynet) en de EDPB hebben allen bevestigd: cookies weigeren moet net zo eenvoudig zijn als ze accepteren.
- Een link naar de cookie-instellingen of -voorkeuren. Gebruikers moeten gedetailleerde keuzes kunnen maken — bepaalde categorieën cookies accepteren en andere weigeren.
- Een link naar uw cookiebeleid. De banner moet toegang bieden tot gedetailleerde informatie over welke cookies u gebruikt, hun doeleinden, hun geldigheidsduur en of ze first-party of third-party zijn.
- De identiteit van de verwerkingsverantwoordelijke. Gebruikers moeten weten wie hun gegevens verzamelt.
Wat niet mag gebeuren
- Niet-essentiële cookies mogen niet worden geplaatst voordat de gebruiker een keuze maakt.
- Toestemming mag niet worden afgeleid uit scrollen, doorbladeren of inactiviteit.
- Vooraf aangevinkte vakjes vormen geen geldige toestemming (bevestigd door het HvJ-EU in het Planet49-arrest, zaak C-673/17).
- Cookiemuren — het blokkeren van toegang tot de site tenzij de gebruiker toestemming geeft — zijn over het algemeen verboden, hoewel er in sommige rechtsgebieden beperkte uitzonderingen bestaan.
Soorten cookiebanners
Niet alle cookiebanners zijn gelijk. Het type dat u nodig heeft, hangt af van uw rechtsgebied, de cookies die u gebruikt en het niveau van compliance dat u nastreeft.
Banners met alleen een melding
Deze informeren de gebruiker enkel dat er cookies worden gebruikt, vaak met een enkele knop "OK" of "Begrepen". Banners met alleen een melding zijn niet compliant onder EU-recht. Ze waren gebruikelijk in de begindagen van cookieregelgeving, maar ze voldoen niet aan de norm voor toestemming die de GDPR stelt. Als uw website zich richt op EU-gebruikers, vormt zo'n banner een aansprakelijkheidsrisico.
Opt-in-banners (toestemming eerst)
De gouden standaard voor EU-compliance. Er worden geen niet-essentiële cookies geplaatst totdat de gebruiker actief toestemming geeft. De banner biedt duidelijke opties om te accepteren en te weigeren, en idealiter een link naar gedetailleerde instellingen. Dit is het model dat de ePrivacy-richtlijn vereist, zoals geïnterpreteerd via de GDPR.
Gelaagde banners
Een gelaagde aanpak toont essentiële informatie op de eerste laag (de banner zelf) en gedetailleerde informatie op een tweede laag (een voorkeurenpaneel of instellingenpagina). Dit is de aanpak die de EDPB en de meeste toezichthouders aanbevelen. Het brengt transparantie en gebruiksgemak in balans: gebruikers krijgen de belangrijkste informatie meteen te zien, met de mogelijkheid om dieper te graven.
Een goed geïmplementeerde gelaagde banner toont doorgaans:
- Eerste laag: beknopte omschrijving van het doel, accepteerknop, weigerknop, link "Voorkeuren beheren".
- Tweede laag: een uitsplitsing per categorie met schakelaars, gedetailleerde beschrijvingen en een lijst van de specifieke cookies in elke categorie.
Plaatsing van de banner
Waar u uw cookiebanner plaatst, is van invloed op zowel compliance als gebruikerservaring. Veelvoorkomende plaatsingen zijn:
| Plaatsing | Voordelen | Nadelen |
|---|---|---|
| Onderbalk | Niet-opdringerig, laat de content zien, algemeen herkend | Kan over het hoofd worden gezien, kan footercontent afdekken |
| Modal in het midden (overlay) | Onmogelijk te negeren, dwingt een beslissing af, hoge betrokkenheid | Onderbreekt de ervaring, kan agressief aanvoelen |
| Bovenbalk | Zichtbaar, conventionele plaatsing | Kan de content naar beneden duwen, kan de navigatie hinderen |
| Hoekwidget | Minimale visuele impact, onopvallend | Gemakkelijk over het hoofd te zien, lage betrokkenheid, kan compliancezorgen oproepen |
De EDPB heeft geen specifieke plaatsing voorgeschreven, maar de banner moet duidelijk zichtbaar zijn en niet gemakkelijk over het hoofd te zien. Een modal in het midden of een prominente onderbalk zijn vanuit compliance-oogpunt de veiligste keuzes. Een kleine hoekwidget die gebruikers routinematig negeren, voldoet mogelijk niet aan de norm van "duidelijke en prominente" informatie.
Wat een compliant banner moet bevatten
Samengevat: een banner die aan de huidige EU-normen voldoet, moet deze elementen bevatten:
- Omschrijving van het doel: een beknopte uitleg van waarom cookies worden gebruikt, geordend per categorie (noodzakelijk, analytics, marketing, voorkeuren).
- Knop "Alles accepteren": duidelijk gelabeld, waarmee toestemming wordt gegeven voor alle niet-essentiële cookiecategorieën.
- Knop "Alles weigeren": even prominent als de accepteerknop — dezelfde grootte, hetzelfde visuele gewicht, hetzelfde niveau van toegankelijkheid.
- Link "Voorkeuren beheren" / "Instellingen": opent een tweede laag waar gebruikers keuzes per categorie kunnen maken.
- Link naar het cookiebeleid: verwijst naar een gedetailleerd cookiebeleidsdocument.
- Link naar het privacybeleid: verwijst naar het volledige privacybeleid van de site (mag worden gecombineerd met de link naar het cookiebeleid).
Veelgemaakte fouten bij de implementatie van cookiebanners
Zelfs goedbedoelde implementaties bevatten vaak fouten die de compliance ondermijnen:
- Cookies plaatsen vóór toestemming. De meest voorkomende en meest ernstige fout. Als uw analytics- of advertentietags al bij het laden van de pagina afgaan, voordat de gebruiker met de banner interacteert, overtreedt u de regels. Toestemming moet worden verkregen voordat de cookies worden geplaatst.
- Geen weigerknop. Alleen "Accepteren" en "Instellingen" aanbieden volstaat niet. Gebruikers moeten alle niet-essentiële cookies vanaf de eerste laag met één handeling kunnen weigeren.
- Visuele manipulatie. De accepteerknop groot en groen maken terwijl de weigeroptie een kleine tekstlink is, is een dark pattern. Toezichthouders hebben aanzienlijke boetes opgelegd voor deze praktijk.
- Vage omschrijvingen van het doel. "Wij gebruiken cookies om uw ervaring te verbeteren" zegt de gebruiker niets. Wees specifiek: analytics, gerichte advertenties, ingesloten sociale media, A/B-testen.
- Toestemming negeren op vervolgpagina's. Toestemming (of weigering) moet gedurende de hele sessie en over bezoeken heen behouden blijven. Als een gebruiker cookies weigert op de homepage, moet die keuze op elke volgende pagina worden gerespecteerd.
- Geen manier bieden om voorkeuren te wijzigen. Gebruikers moeten hun toestemming op elk moment kunnen intrekken, net zo eenvoudig als ze deze hebben gegeven (GDPR artikel 7(3)). Een permanente link naar de instellingen — vaak een klein pictogram in de hoek van de pagina — moet altijd beschikbaar zijn.
- Niet bijwerken wanneer cookies veranderen. Als u een nieuwe marketingtool toevoegt, moeten uw bannercategorieën en cookiebeleid worden bijgewerkt. Verouderde toestemming is geen geldige toestemming.
Banner- en paginaprestaties
Cookiebanners bevinden zich op een kritieke positie: ze laden bij elk eerste bezoek, op elke pagina. Een slecht geïmplementeerde banner kan de prestaties van uw site aanzienlijk verslechteren, wat gevolgen heeft voor uw Core Web Vitals en daarmee voor uw zoekresultaten.
Belangrijke prestatieoverwegingen:
- Scriptgewicht. Een script van een consent management platform (CMP) moet zo licht mogelijk zijn. Zware scripts die extra afhankelijkheden laden, kunnen honderden milliseconden aan de laadtijd van een pagina toevoegen. Streef naar minder dan 30 KB gzipped voor het bannerscript.
- Render-blokkering. Het bannerscript moet asynchroon laden. Het mag de weergave van uw pagina-inhoud nooit blokkeren. Gebruikers moeten uw site zien laden terwijl de banner verschijnt.
- Layout shift. Een banner die content naar beneden duwt of elementen doet verspringen, schaadt uw Cumulative Layout Shift (CLS)-score. Gebruik een vaste of overlay-positionering om layout shifts te voorkomen.
- Tagbeheer. De banner moet integreren met uw tagmanager om scripts voorwaardelijk te laden op basis van toestemming. Tags die afgaan voordat de toestemming wordt gecontroleerd, zijn zowel een juridisch als een prestatieprobleem — ze laden onnodige bronnen.
De beste aanpak is een banneroplossing die vanaf de basis is gebouwd voor prestaties: minimale JavaScript, geen externe afhankelijkheden, asynchroon laden en een nauwe integratie met uw tagbeheer.
De aanpak van Passiro voor cookietoestemming
De toestemmingsbanner van Passiro is ontworpen om aan elke vereiste op deze pagina te voldoen — en om dat te doen zonder de prestaties van uw site in gevaar te brengen. Ons bannerscript is minder dan 15 KB gzipped, laadt asynchroon, ondersteunt Google Consent Mode v2 en biedt standaard een volledig toegankelijke, WCAG AA-compliant toestemmingsinterface. Passiro is bij IAB Europe geregistreerd als CMP ID 499, wat geldige TC String-generatie en volledige deelname aan het IAB TCF v2.3-framework mogelijk maakt.
Wij nemen de juridische complexiteit voor onze rekening, zodat u zich op uw onderneming kunt richten. Passiro scant uw site automatisch op cookies, categoriseert ze, genereert een compliant bannerconfiguratie en houdt alles gesynchroniseerd naarmate uw site zich ontwikkelt.
Ontdek hoe Passiro u kan helpen bij het bereiken van cookiecompliance.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis