Cookiebeleid: wat het is en wat het moet bevatten
Een cookiebeleid is een document dat aan uw websitebezoekers uitlegt welke cookies en vergelijkbare volgtechnologieën uw site gebruikt, waarom die worden ingezet en hoe gebruikers ze kunnen beheren. Het is een wettelijke verplichting op grond van zowel de ePrivacy-richtlijn als de GDPR en vormt een hoeksteen van transparante gegevensverwerking.
Deze gids behandelt wat een cookiebeleid is, hoe het zich verhoudt tot een privacybeleid, wat het volgens de huidige regelgeving moet bevatten en hoe u het in de loop van de tijd accuraat houdt.
Wat is een cookiebeleid?
Een cookiebeleid is een specifiek document — ofwel een afzonderlijke pagina, ofwel een duidelijk herkenbaar onderdeel binnen uw privacybeleid — dat uitgebreide informatie biedt over het gebruik van cookies en vergelijkbare technologieën (local storage, session storage, pixeltags, webbakens, fingerprinting en dergelijke) door uw website.
De juridische grondslag voor het verplicht stellen van een cookiebeleid komt voort uit twee overlappende regelgevingen:
- ePrivacy-richtlijn (2002/58/EG), artikel 5, lid 3 — vereist dat gebruikers "duidelijke en volledige informatie" krijgen over de doeleinden van cookies voordat toestemming wordt verkregen.
- GDPR, artikelen 12-14 — vereisen transparantie over gegevensverwerking, waaronder welke gegevens worden verzameld, voor welke doeleinden, met wie ze worden gedeeld en hoe lang ze worden bewaard.
Samen verplichten deze regelgevingen u om uw gebruikers exact te vertellen welke volgtechnologieën u gebruikt en hen zinvolle controle over die technologieën te geven.
Cookiebeleid versus privacybeleid
Een cookiebeleid en een privacybeleid zijn aanvullende maar afzonderlijke documenten. Het verschil begrijpen is belangrijk:
| Aspect | Cookiebeleid | Privacybeleid |
|---|---|---|
| Reikwijdte | Specifiek cookies en volgtechnologieën | Alle verwerking van persoonsgegevens (formulieren, accounts, aankopen, enz.) |
| Juridische grondslag | ePrivacy-richtlijn + transparantievereisten van de GDPR | GDPR artikelen 12-14 |
| Inhoudelijke focus | Cookienamen, doeleinden, looptijden, typen, categorieën, beheermechanismen | Gegevenscategorieën, rechtsgronden, rechten, doorgiftes, DPO, bewaartermijnen |
| Formaat | Afzonderlijke pagina of onderdeel binnen het privacybeleid | Afzonderlijke pagina (verplicht) |
| Bijwerkfrequentie | Telkens wanneer cookies wijzigen (tools of leveranciers toevoegen/verwijderen) | Telkens wanneer de gegevensverwerkingspraktijken wijzigen |
U mag uw cookiebeleid opnemen als onderdeel binnen uw privacybeleid, maar het moet duidelijk herkenbaar en eenvoudig te vinden zijn. Veel organisaties houden een aparte cookiebeleidspagina aan voor de duidelijkheid, en omdat cookie-informatie behoorlijk gedetailleerd kan zijn.
Uw cookiebanner moet naar uw cookiebeleid verwijzen. Als uw cookie-informatie een onderdeel is binnen uw privacybeleid, moet de link rechtstreeks naar dat onderdeel verwijzen — dwing gebruikers niet om door pagina's met niet-gerelateerde privacy-informatie te scrollen om cookiedetails te vinden.
Wettelijke verplichting voor een cookiebeleid
De ePrivacy-richtlijn vereist "duidelijke en volledige informatie" als voorwaarde voor geldige toestemming. Het transparantiebeginsel van de GDPR (artikel 5, lid 1, onder a) en de informatievereisten (artikelen 13-14) vereisen daarnaast dat deze informatie:
- Beknopt, transparant en begrijpelijk is (artikel 12, lid 1)
- Wordt verstrekt in duidelijke en eenvoudige taal (artikel 12, lid 1)
- Gemakkelijk toegankelijk is (artikel 12, lid 1)
- Kosteloos wordt verstrekt (artikel 12, lid 5)
In de praktijk betekent dit: uw cookiebeleid moet zijn geschreven in taal die een niet-technische persoon kan begrijpen, het moet vanaf uw cookiebanner en de footer van uw website worden gelinkt, en het moet specifieke informatie bevatten over elke cookie die uw site gebruikt.
Wat een cookiebeleid moet bevatten
Op basis van de gecombineerde vereisten van de ePrivacy-richtlijn, de GDPR en richtsnoeren van gegevensbeschermingsautoriteiten, waaronder de ICO (VK), de CNIL (Frankrijk) en de Artikel 29-Werkgroep, moet uw cookiebeleid de volgende informatie bevatten:
1. Welke cookies u gebruikt
Geef een volledige lijst van alle cookies en vergelijkbare technologieën die op uw website actief zijn. Dit omvat cookies die door uw eigen code worden geplaatst (first-party) evenals cookies die worden geplaatst door externe diensten die u gebruikt (analyseplatforms, advertentienetwerken, socialmediawidgets, ingesloten content, chatbots, enz.).
Elke cookie moet met naam worden geïdentificeerd. "We gebruiken analysecookies" is niet voldoende — u moet de specifieke cookies opsommen: bijvoorbeeld _ga, _gid, _gat voor Google Analytics.
2. Doel van elke cookie
Leg voor elke cookie of groep gerelateerde cookies in eenvoudige taal uit wat deze doet. Vermijd technisch jargon. Doeltreffende doelomschrijvingen:
- "Slaat uw cookievoorkeuren op zodat we ze niet bij elk bezoek opnieuw hoeven te vragen."
- "Helpt ons tellen hoeveel mensen onze website bezoeken en welke pagina's het populairst zijn."
- "Stelt ons in staat om u op andere websites advertenties te tonen die aansluiten bij uw interesses."
3. First-party versus third-party
Geef aan of elke cookie rechtstreeks door uw website wordt geplaatst (first-party) of door een externe dienst (third-party). Identificeer bij third-party cookies de aanbieder en verwijs naar hun privacybeleid. Gebruikers hebben het recht om niet alleen te weten dat hun gegevens worden verzameld, maar ook door wie.
4. Looptijd / vervaldatum
Vermeld hoe lang elke cookie blijft bestaan. Er zijn twee typen:
- Sessiecookies — worden verwijderd wanneer de gebruiker de browser sluit. Vermeld dit duidelijk: "Sessie (verwijderd wanneer u uw browser sluit)."
- Permanente cookies — blijven gedurende een bepaalde periode op het apparaat van de gebruiker. Vermeld de specifieke looptijd: "2 jaar," "30 dagen," "13 maanden." Gebruik geen vage termen zoals "langdurig."
Gegevensbeschermingsautoriteiten hebben cookielooptijden onder de loep genomen. De CNIL beveelt bijvoorbeeld aan dat toestemmingscookies (de cookies die de toestemmingskeuze van de gebruiker opslaan) niet langer dan 13 maanden mogen bewaard blijven.
5. Cookies beheren en verwijderen
Leg uit hoe gebruikers cookies kunnen beheren via twee mechanismen:
- Uw toestemmingsbanner. Leg uit dat gebruikers hun cookievoorkeuren op elk moment kunnen wijzigen via uw cookie-instellingen (geef de locatie van de instellingenlink/-icoon aan).
- Browserinstellingen. Geef algemene instructies voor het beheren van cookies in veelgebruikte browsers (Chrome, Firefox, Safari, Edge). U hoeft geen stapsgewijze instructies te geven, maar u moet uitleggen dat browserinstellingen bestaan en verwijzen naar de relevante ondersteuningspagina's voor elke browser.
6. Toestemming intrekken
GDPR artikel 7, lid 3 vereist dat het intrekken van toestemming net zo eenvoudig moet zijn als het geven ervan, en dat gebruikers over dit recht worden geïnformeerd voordat zij toestemming geven. Uw cookiebeleid moet uitleggen:
- Dat de gebruiker het recht heeft om toestemming op elk moment in te trekken.
- Hoe dit te doen (doorgaans: klik op het cookie-instellingenicoon/-link dat op elke pagina zichtbaar is, of wis cookies via de browserinstellingen).
- Dat het intrekken van toestemming geen afbreuk doet aan de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking ervan.
7. Cookiecategorieën
Deel cookies in in de standaardcategorieën die door uw toestemmingsbanner worden gebruikt. De meest gehanteerde indeling is:
- Strikt noodzakelijk — cookies die vereist zijn om de website te laten functioneren (loginsessies, winkelwagentjes, beveiligingstokens). Deze vereisen geen toestemming op grond van de ePrivacy-richtlijn.
- Voorkeuren / functioneel — cookies die gebruikerskeuzes onthouden (taal, regio, weergave-instellingen). Deze verbeteren de ervaring maar zijn niet essentieel.
- Analyse / statistiek — cookies die worden gebruikt om anonieme gebruiksgegevens te verzamelen (paginaweergaven, verkeersbronnen, gedragspatronen van gebruikers).
- Marketing / advertenties — cookies die worden gebruikt voor gerichte advertenties, retargeting en advertentiemeting.
De categorieën in uw cookiebeleid moeten overeenkomen met de categorieën in uw toestemmingsbanner. Inconsistentie tussen de twee documenten ondermijnt de transparantie.
8. Contactgegevens
Geef contactgegevens voor vragen over uw cookiepraktijken. Dit omvat doorgaans:
- De identiteit van de verwerkingsverantwoordelijke (uw bedrijfsnaam en geregistreerd adres)
- E-mailadres voor privacyvragen
- Contactgegevens van de functionaris voor gegevensbescherming (DPO), als u er een heeft aangesteld
- Uw toezichthoudende autoriteit (de relevante gegevensbeschermingsautoriteit)
Waar u uw cookiebeleid moet tonen
Uw cookiebeleid moet vanaf meerdere locaties eenvoudig toegankelijk zijn:
- Footer van de website. Een link "Cookiebeleid" in uw footer, zichtbaar op elke pagina. Dit is de standaardlocatie die gebruikers verwachten.
- Cookiebanner. Een directe link vanaf uw cookiebanner naar het volledige cookiebeleid. Dit is een wettelijke verplichting — gebruikers moeten vanuit de toestemmingsinterface toegang hebben tot gedetailleerde informatie.
- Paneel met cookie-instellingen/voorkeuren. De tweede laag van uw toestemmingsinterface moet verwijzen naar het cookiebeleid voor gebruikers die meer informatie willen.
- Privacybeleid. Als uw cookiebeleid een afzonderlijk document is, verwijs er dan naar vanuit uw privacybeleid en omgekeerd.
Cookie-informatie presenteren
Het meest doeltreffende en transparante formaat om afzonderlijke cookies te presenteren is een tabel. Gegevensbeschermingsautoriteiten, waaronder de ICO, bevelen dit formaat aan:
| Cookienaam | Aanbieder | Doel | Type | Looptijd |
|---|---|---|---|---|
_ga |
Google Analytics | Onderscheidt unieke bezoekers door een willekeurig gegenereerd nummer toe te wijzen | Third-party, analyse | 2 jaar |
_gid |
Google Analytics | Onderscheidt unieke bezoekers voor de huidige dag | Third-party, analyse | 24 uur |
cookie_consent |
Deze website | Slaat uw cookievoorkeuren op | First-party, noodzakelijk | 12 maanden |
Dit formaat is duidelijk, snel te scannen en biedt in één oogopslag alle vereiste informatie.
Hoe vaak bijwerken
Uw cookiebeleid moet te allen tijde accuraat zijn. Werk het bij telkens wanneer:
- U een nieuwe externe dienst toevoegt die cookies plaatst (een nieuwe analysetool, een nieuw marketingplatform, een nieuwe chatbot).
- U een dienst verwijdert die eerder cookies plaatste.
- Een externe dienst zijn cookies wijzigt (nieuwe namen, nieuwe looptijden, nieuwe doeleinden).
- U de categorieën in uw toestemmingsbanner wijzigt.
- De regelgevende richtsnoeren wijzigen (nieuwe vereisten, nieuwe best practices).
Vermeld een datum "Laatst bijgewerkt" boven- of onderaan uw cookiebeleid. Dit toont aan dat het beleid actief wordt onderhouden en helpt gebruikers de actualiteit ervan te beoordelen.
De uitdaging is uiteraard om te weten wanneer uw cookies wijzigen. Externe diensten werken hun tracking regelmatig bij, en een cookie die drie maanden geleden bestond, kan inmiddels zijn vervangen of hernoemd. Handmatige audits zijn onbetrouwbaar omdat ze afhankelijk zijn van iemand die eraan denkt om te controleren.
Uw beleid accuraat houden met geautomatiseerd scannen
De meest voorkomende nalevingsfout in cookiebeleiden is niet het ontbreken van informatie — het is onjuiste informatie. Een beleid dat cookies opsomt die u niet meer gebruikt, of dat verzuimt cookies te vermelden die door een recente integratie van een marketingtool zijn toegevoegd, is niet conform.
Geautomatiseerd cookiescannen lost dit probleem op. Een scanner bezoekt uw website met regelmatige tussenpozen, identificeert alle cookies die worden geplaatst, vergelijkt deze met uw gedeclareerde cookies en waarschuwt u bij discrepanties.
Passiro scant uw website automatisch op cookies, deelt ze in categorieën in en markeert eventuele niet-gedeclareerde cookies die nog niet in uw beleid zijn opgenomen. Dit betekent dat uw cookiebeleid accuraat blijft zonder handmatige audits. Lees meer over het geautomatiseerde cookiescannen van Passiro.
In dit gedeelte
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis