Wanneer is cookietoestemming vereist?
De algemene regel is eenvoudig: toestemming is vereist voor alle cookies behalve die welke strikt noodzakelijk zijn. Maar de details doen ertoe. Precies weten wanneer toestemming wel en niet vereist is, voorkomt zowel overcompliance (gebruikers irriteren met onnodige toestemmingsverzoeken) als ondercompliance (cookies plaatsen zonder rechtsgrond).
De algemene regel
Artikel 5(3) van de ePrivacy Directive stelt het uitgangspunt vast:
De lidstaten dragen er zorg voor dat het gebruik van elektronische communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie [...] over de doeleinden van de verwerking.
Dit geldt voor alle cookies, alle lokale opslag, alle opslag of toegang op apparaatniveau. Als uw website iets naar het apparaat van de gebruiker schrijft, is toestemming standaard vereist.
De uitzondering voor strikt noodzakelijke cookies
Hetzelfde artikel voorziet in de enige uitzondering:
Dit staat niet in de weg aan enige technische opslag of toegang die uitsluitend gericht is op de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of die strikt noodzakelijk is om de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij in staat te stellen deze dienst te leveren.
Deze uitzondering kent twee onderdelen:
- Technische verzending: cookies die technisch noodzakelijk zijn om de communicatie tot stand te brengen. Dit is beperkt — in wezen tot loadbalancing-cookies en vergelijkbare technische noodzakelijkheden op netwerkniveau.
- Strikt noodzakelijk voor de dienst: cookies die essentieel zijn voor een dienst die de gebruiker uitdrukkelijk heeft aangevraagd. De kernzin is "uitdrukkelijk door de abonnee of gebruiker gevraagd". De dienst moet iets zijn waar de gebruiker om heeft gevraagd, en de cookie moet onmisbaar zijn om deze te leveren.
Cookies die strikt noodzakelijk zijn (geen toestemming vereist)
- Sessie-authenticatiecookies. Wanneer een gebruiker inlogt, is de sessiecookie die zijn geauthenticeerde status behoudt strikt noodzakelijk voor de dienst die hij aanvroeg (toegang tot zijn account).
- Winkelwagencookies. Op een e-commercesite is de cookie die de artikelen in de winkelwagen bijhoudt strikt noodzakelijk voor de winkeldienst die de gebruiker gebruikt.
- CSRF-beschermingstokens. Deze zijn strikt noodzakelijk voor de veilige verwerking van formulierinzendingen.
- Cookies voor toestemmingsvoorkeuren. De cookie die de toestemmingskeuzes van de gebruiker opslaat is strikt noodzakelijk — zonder deze cookie kunt u zijn privacyvoorkeuren niet respecteren.
- Invoergerelateerde cookies. Cookies die formulierinvoer onthouden gedurende een meerstapsproces (zoals een afrekenformulier) waarbij de gebruiker het proces zelf heeft gestart.
- Loadbalancing-cookies. Technische cookies die verzoeken naar de juiste server leiden. Deze vallen onder het "verzendings"-onderdeel van de uitzondering.
- Cookies voor aanpassing van de gebruikersinterface. Wanneer een gebruiker uitdrukkelijk een taal of thema selecteert via een bediening op de pagina, is de cookie die deze keuze opslaat strikt noodzakelijk voor de dienst die hij aanvroeg. Dit is echter contextafhankelijk — zie hieronder.
Cookies die NIET strikt noodzakelijk zijn (toestemming vereist)
- Analysecookies. Het meten van websiteverkeer komt de website-exploitant ten goede, niet de gebruiker. De gebruiker heeft geen verkeersanalysedienst aangevraagd.
- Advertentie- en retargetingcookies. Deze dienen de belangen van adverteerders en de website-exploitant, nooit die van de gebruiker.
- Cookies voor delen op sociale media. Deze worden geplaatst door externe sociale netwerken, niet voor een door de gebruiker aangevraagde dienst.
- A/B-testcookies. Deze dienen de optimalisatiedoelen van de exploitant.
- Affiliate-trackingcookies. Deze houden bij welke partner de gebruiker heeft doorverwezen en dienen de zakelijke belangen van de exploitant.
- Cookies voor blijvende aanmelding ("onthoud mij"). De EDPB heeft opgemerkt dat hoewel een sessiecookie voor een lopende aanmelding noodzakelijk is, een blijvende cookie die de gebruiker over sessies heen ingelogd houdt verder gaat dan strikt noodzakelijk. De gebruiker zou immers opnieuw kunnen inloggen.
- Cookies voor prestatiemonitoring. Cookies die worden gebruikt om laadtijden, foutpercentages en vergelijkbare technische statistieken te monitoren dienen de exploitant, niet de gebruiker.
Het debat over first-party-analytics
Een van de meest omstreden gebieden binnen cookiecompliance is de vraag of first-party-analysecookies zonder toestemming mogen worden gebruikt. Het antwoord verschilt per rechtsgebied en is nog in ontwikkeling.
Het standpunt van de CNIL (Frankrijk)
De Franse CNIL heeft specifieke richtlijnen uitgevaardigd waarin staat dat bepaalde cookies voor bereikmeting vrijgesteld kunnen zijn van toestemming, mits:
- Het doel strikt beperkt is tot bereikmeting (geen cross-site-tracking)
- De gegevens niet worden gedeeld met derden
- De cookies uitsluitend first-party zijn
- De gegevens alleen worden gebruikt om anonieme statistieken te genereren
- De cookies een beperkte levensduur hebben (maximaal 13 maanden)
- Gebruikers over het gebruik ervan worden geïnformeerd
- Gebruikers zich kunnen afmelden
Onder deze voorwaarden beschouwt de CNIL bepaalde tools (zoals Matomo geconfigureerd in een privacyvriendelijke modus) als in aanmerking komend voor de uitzondering. Google Analytics komt niet in aanmerking, voornamelijk omdat Google de gegevens op zijn eigen infrastructuur verwerkt en deze voor eigen doeleinden kan gebruiken.
Het standpunt van de Nederlandse AP (Nederland)
De Nederlandse Autoriteit Persoonsgegevens heeft eveneens aangegeven dat analysecookies met minimale privacy-impact zonder toestemming mogen worden gebruikt, maar heeft voorwaarden gesteld die vergelijkbaar zijn met die van de CNIL.
Andere rechtsgebieden
De meeste andere Europese toezichthouders hebben geen expliciete analytics-uitzondering aangenomen. De ICO (VK) heeft verklaard dat analysecookies toestemming vereisen. De Duitse toezichthouders vereisen doorgaans toestemming voor alle niet-essentiële cookies. Het standpunt van de Spaanse AEPD sluit aan bij het vereisen van toestemming.
Praktische aanbeveling
Tenzij u uitsluitend in Frankrijk of Nederland actief bent en aan alle CNIL/AP-voorwaarden kunt voldoen, is de veiligste benadering om analysecookies te behandelen als cookies die toestemming vereisen. Als u wel op de analytics-uitzondering vertrouwt, documenteer dan uw redenering, zorg dat u aan elke voorwaarde voldoet en volg regelgevende ontwikkelingen op de voet — dit gebied is nog volop in beweging.
Toestemmingsuitzonderingen per cookiedoel: een beslisboom
Loop voor elke cookie op uw website deze vragen door:
- Is de cookie technisch vereist om de communicatie te verzenden? (bijv. loadbalancing) Zo ja: geen toestemming nodig. Zo nee: ga verder.
- Heeft de gebruiker uitdrukkelijk een dienst aangevraagd waarvoor deze cookie nodig is? (bijv. inloggen, artikelen toevoegen aan de winkelwagen) Zo ja: ga verder. Zo nee: toestemming vereist.
- Zou de aangevraagde dienst niet functioneren zonder deze specifieke cookie? Zo ja: geen toestemming nodig (strikt noodzakelijk). Als de dienst wel zou functioneren maar minder gemakkelijk: toestemming vereist.
- Is de cookie first-party, beperkt tot geaggregeerde analyses, worden de gegevens niet gedeeld met derden, en bevindt u zich in een rechtsgebied met een analytics-uitzondering? Als het antwoord op alles ja is: mogelijk vrijgesteld, maar documenteer uw redenering. Als het antwoord op één ervan nee is: toestemming vereist.
- In alle andere gevallen: toestemming vereist.
Bijzondere situaties
Cookiemuren
Een cookiemuur blokkeert de toegang tot een website tenzij de gebruiker cookies accepteert. Het standpunt van de EDPB is dat cookiemuren doorgaans verhinderen dat toestemming "vrijelijk" wordt gegeven en daarom niet conform zijn. Sommige toezichthouders (met name de Nederlandse AP, naar aanleiding van een rechterlijke uitspraak) hebben echter aangegeven dat cookiemuren aanvaardbaar kunnen zijn als er een echt, gelijkwaardig alternatief wordt geboden — zoals een betaalde, cookievrije versie van de dienst. Dit blijft een omstreden gebied.
Betaalmuur versus cookiemuur
Sommige uitgevers bieden een "toestemmen of betalen"-model: accepteer trackingcookies voor gratis toegang, of betaal voor een cookievrije ervaring. De EDPB heeft in 2024 een advies uitgebracht over deze praktijk, waarin wordt erkend dat deze onder bepaalde voorwaarden toegestaan kan zijn, maar ook bezorgdheid wordt geuit dat het "betaal"-alternatief werkelijk redelijk moet zijn en niet vastgesteld mag worden tegen een prijs die bedoeld is om toestemming af te dwingen.
Kinderen
Op grond van AVG-artikel 8 vereist toestemming voor diensten van de informatiemaatschappij die op kinderen zijn gericht verificatie en, voor kinderen onder een bepaalde leeftijd (variërend van 13 tot 16 afhankelijk van de lidstaat), ouderlijke toestemming. Als uw website zich op kinderen richt, gelden strengere vereisten voor cookietoestemming.
Werknemers- en B2B-contexten
De ePrivacy Directive is van toepassing op de "abonnee of gebruiker" — niet alleen op consumenten. Als uw B2B-SaaS-platform niet-essentiële cookies gebruikt, is nog steeds toestemming van de individuele gebruiker vereist, zelfs in een zakelijke context.
Wat gebeurt er zonder geldige toestemming
Als u niet-essentiële cookies plaatst zonder geldige toestemming:
- De gegevens die u verzamelt kunnen onrechtmatig zijn onder zowel de ePrivacy Directive als de AVG.
- U loopt het risico op boetes onder de AVG van maximaal 20 miljoen EUR of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is (artikel 83(5)).
- U kunt worden verplicht de onrechtmatig verzamelde gegevens te verwijderen.
- Uw analyse- en advertentiegegevens kunnen worden aangetast — als de rechtsgrond voor verzameling ongeldig is, mogen de gegevens niet rechtmatig worden gebruikt.
- Verdere ontvangers van die gegevens (advertentienetwerken, aanbieders van analysediensten) kunnen eveneens aansprakelijk zijn.
Dit zijn geen hypothetische risico's. De CNIL beboette Google met 150 miljoen EUR en Facebook met 60 miljoen EUR specifiek wegens schendingen van de cookietoestemming. Kleinere bedrijven hebben boetes van tienduizenden euro's opgelegd gekregen voor vergelijkbare tekortkomingen.
Passiro identificeert elke cookie op uw website en markeert de cookies die toestemming vereisen, zodat u erop kunt vertrouwen dat uw toestemmingsmechanisme de juiste cookies bestrijkt — niet meer en niet minder.
Laten we vervolgens de twee fundamentele toestemmingsmodellen vergelijken: opt-in versus opt-out, en welke waar van toepassing is.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis