Skip to main content

Cookiewetgeving per land: een gids voor de EU & EER

Hoewel de ePrivacy Directive en de GDPR een gemeenschappelijk kader bieden binnen de Europese Unie, heeft elke lidstaat de ePrivacy Directive met eigen nuances in nationale wetgeving omgezet. De striktheid van de handhaving, de interpretatie van uitzonderingen en de omvang van boetes verschillen aanzienlijk van land tot land. Deze gids behandelt de belangrijkste bijzonderheden van de cookiewetgeving in twaalf grote Europese markten.

Snelle referentietabel

Land Autoriteit Nationale wet Handhavingsniveau Opvallend
Duitsland Deelstaat-DPA's + BfDI TTDSG (2021) Hoog Gedecentraliseerde handhaving; PIMS-kader
Frankrijk CNIL Loi Informatique et Libertés Zeer hoog Recordboetes; gedetailleerde cookierichtlijnen
Italië Garante Privacycode (D.Lgs. 196/2003) Hoog Uitgebreide cookierichtlijnen uit 2021
Spanje AEPD LSSI-CE + LOPDGDD Gemiddeld Geschiedenis van debat over uitzondering voor analytics
Nederland AP Telecommunicatiewet Hoog Strikt verbod op cookiemuren
België APD/GBA ePrivacywet (2012) Gemiddeld Uitspraak inzake IAB Europe TCF
Oostenrijk DSB TKG 2021 Gemiddeld-hoog Vroege uitspraken over Google Analytics
Denemarken Datatilsynet Cookiebekendtgørelsen Gemiddeld Toenemende handhaving sinds 2022
Zweden IMY LEK (2003:389) Gemiddeld-hoog Grote boetes in 2023-2024
Ierland DPC SI 336/2011 Gemiddeld Knooppunt voor Big Tech; kritiek op handhavingstempo
Polen UODO Telecommunicatiewet Gemiddeld Groeiende handhavingsactiviteit
Noorwegen Datatilsynet Ekomloven Gemiddeld EER-lid; volgt EDPB-richtsnoeren nauwgezet

Duitsland

Handhavingsautoriteit: de federale toezichthouder voor gegevensbescherming (BfDI) op federaal niveau, plus 16 deelstaat-toezichthouders voor gegevensbescherming (Landesdatenschutzbehörden).

Nationale wet: de Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), die op 1 december 2021 in werking trad, bundelde de Duitse cookieregels. Paragraaf 25 TTDSG zet artikel 5, lid 3, van de ePrivacy Directive om en vereist toestemming voor het opslaan van of toegang krijgen tot informatie op apparaten van eindgebruikers, tenzij de opslag strikt noodzakelijk is.

Belangrijkste vereisten: de TTDSG verduidelijkte dat toestemming voor cookies aan de GDPR-norm moet voldoen. Het Duitse federale gerechtshof (BGH) had dit al bevestigd bij de uitvoering van de Planet49-uitspraak (mei 2020), waarin werd geoordeeld dat vooraf aangevinkte selectievakjes onvoldoende zijn. De TTDSG introduceerde ook bepalingen voor erkende Personal Information Management Systems (PIMS), waarmee gebruikers hun toestemmingsvoorkeuren centraal zouden kunnen beheren in plaats van op elke website afzonderlijk — al laten de uitvoeringsregels voor PIMS lang op zich wachten.

Handhaving: door de gedecentraliseerde handhavingsstructuur in Duitsland verschilt de handhaving van cookieconformiteit per deelstaat. De toezichthouders van Berlijn, Hamburg en Baden-Württemberg behoren tot de meest actieve. De Conferentie van gegevensbeschermingsautoriteiten (DSK) publiceert periodiek gezamenlijke standpunten over de vereisten voor cookietoestemming.

Opvallende acties: meerdere onderzoeken naar cookiebanners die gebruikmaakten van dark patterns, in het bijzonder "nudging"-ontwerpen waarbij de accepteerknop visueel prominent was terwijl de weigeroptie werd afgezwakt. De boetes zijn over het algemeen lager geweest dan in Frankrijk, maar de handhavingsactiviteit is sinds de inwerkingtreding van de TTDSG gestaag toegenomen.

Frankrijk

Handhavingsautoriteit: Commission Nationale de l'Informatique et des Libertés (CNIL).

Nationale wet: Loi Informatique et Libertés (wet nr. 78-17), gewijzigd om de ePrivacy Directive uit te voeren. De CNIL publiceerde in september 2020 uitgebreide cookierichtlijnen met een respijtperiode die eindigde op 31 maart 2021.

Belangrijkste vereisten: Frankrijk is de striktste grote EU-markt op het gebied van cookieconformiteit. De richtlijnen van de CNIL vereisen: toestemming voordat een niet-essentiële cookie wordt geplaatst; een weigeroptie op de eerste laag van de banner die net zo eenvoudig te gebruiken is als de accepteeroptie; geen cookiemuren (met beperkte uitzonderingen die door de Conseil d'État zijn bevestigd); en gedetailleerde informatie over elk cookiedoel.

Uitzondering voor publieksmeting: de CNIL biedt een beperkte uitzondering voor cookies voor publieksmeting die aan strikte voorwaarden voldoen: de tool moet zo geconfigureerd zijn dat deze uitsluitend anonieme statistische gegevens produceert, cookies moeten beperkt blijven tot de site van de uitgever, de levensduur van de cookie mag niet langer zijn dan 13 maanden, en de gegevens mogen niet worden gecombineerd met andere verwerking. Tools als Matomo (met specifieke configuratie) en AT Internet zijn onder deze uitzondering erkend. Google Analytics komt hiervoor niet in aanmerking.

Opvallende boetes: Frankrijk heeft de hoogste cookie-gerelateerde boetes van Europa opgelegd. Google LLC kreeg in december 2021 een boete van €150 miljoen omdat het weigeren van cookies moeilijker was gemaakt dan het accepteren ervan. Facebook kreeg in dezelfde actie een boete van €60 miljoen. Microsoft kreeg in december 2022 een boete van €60 miljoen. TikTok kreeg in december 2022 een boete van €5 miljoen. Criteo kreeg in juni 2023 een boete van €40 miljoen. In totaal heeft de CNIL meer dan €400 miljoen aan cookie-specifieke boetes opgelegd.

Italië

Handhavingsautoriteit: Garante per la protezione dei dati personali (Garante).

Nationale wet: privacycode (Decreto Legislativo 196/2003), gewijzigd om aan te sluiten bij de GDPR. De Garante publiceerde op 10 juni 2021 uitgebreide cookierichtlijnen, met naleving verplicht vanaf 10 januari 2022.

Belangrijkste vereisten: de richtlijnen van de Garante uit 2021 behoren tot de meest gedetailleerde van Europa. Ze vereisen: een eerste-laagsbanner met een accepteerknop en een prominent weergegeven weigerknop (gemarkeerd met een "X" of "Doorgaan zonder te accepteren"); een tweede laag die toegankelijk is vanaf de eerste banner met granulaire besturing per cookiecategorie; scrollen vormt uitdrukkelijk geen toestemming; en cookietoestemming moet na maximaal 6 maanden opnieuw worden gevraagd.

Opvallend: de Garante introduceerde het idee dat een specifieke "sluiten"-knop op cookiebanners vereist is, in plaats van doorgaan met browsen als weigering te laten gelden. De richtlijnen behandelden ook de kwestie van cookie-analytics: toestemming is vereist voor alle analytics van derden, met slechts een beperkte uitzondering voor first-party analytics-tools met correct geanonimiseerde gegevens.

Spanje

Handhavingsautoriteit: Agencia Española de Protección de Datos (AEPD).

Nationale wet: Ley de Servicios de la Sociedad de la Información (LSSI-CE) en Ley Orgánica de Protección de Datos (LOPDGDD).

Belangrijkste vereisten: Spanje hanteerde aanvankelijk een soepelere benadering van cookieconformiteit; de cookiegids van de AEPD uit 2013 suggereerde dat bepaalde analytics-cookies op basis van gerechtvaardigd belang gebruikt zouden mogen worden. De AEPD heeft zich echter geleidelijk aangesloten bij de striktere Europese consensus, na de richtsnoeren van de EDPB en de Planet49-uitspraak. De huidige AEPD-richtsnoeren vereisen voorafgaande toestemming voor analytics- en marketingcookies.

Opvallende acties: de AEPD legde Vueling Airlines in 2020 een boete van €30.000 op voor een cookiebanner die alleen een accepteeroptie bood, zonder mogelijkheid om cookies te weigeren. CaixaBank kreeg in 2021 een boete van €6 miljoen, deels gerelateerd aan gegevensverwerkingspraktijken in verband met cookie-gebaseerde tracking. Meer recent heeft de AEPD zich gericht op cookiemuren en dark patterns in toestemmingsinterfaces.

Nederland

Handhavingsautoriteit: Autoriteit Persoonsgegevens (AP).

Nationale wet: Telecommunicatiewet, artikel 11.7a.

Belangrijkste vereisten: Nederland heeft een van de striktste standpunten over cookiemuren in Europa ingenomen. De AP heeft duidelijk gesteld dat het afhankelijk maken van toegang tot een website van het accepteren van cookies geen geldige toestemming is, omdat toestemming niet "vrijelijk gegeven" is als het alternatief het verlies van toegang tot de dienst betekent. De AP vereist ook uitdrukkelijke toestemming voordat er trackingcookies worden geplaatst en heeft kritiek geuit op consent management platforms die manipulatief ontwerp gebruiken.

Opvallende acties: de AP heeft talrijke websites onderzocht op tekortkomingen in cookieconformiteit en heeft richtsnoeren gepubliceerd die specifiek gericht zijn op dark patterns in cookiebanners. De autoriteit nam ook deel aan gecoördineerde controles van overheidswebsites op cookieconformiteit. In 2024 verhoogde de AP haar handhavingsactiviteit tegen kleinere organisaties, wat aangaf dat de verwachtingen rond cookieconformiteit gelden ongeacht de omvang van het bedrijf.

België

Handhavingsautoriteit: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Nationale wet: wet van 13 juni 2005 betreffende de elektronische communicatie, gewijzigd bij de wet van 10 juli 2012.

Belangrijkste vereisten: België volgt de standaardvereisten van de ePrivacy Directive. De Belgische toezichthouder werd wereldwijd relevant in cookieregulering toen zij in februari 2022 uitspraak deed over het IAB Europe Transparency and Consent Framework (TCF), en oordeelde dat de consent string van het TCF persoonsgegevens vormde en dat IAB Europe een gezamenlijke verwerkingsverantwoordelijke was. Deze uitspraak, in maart 2024 gedeeltelijk bevestigd door het HvJEU, heeft gevolgen voor elke website die het TCF voor cookietoestemmingsbeheer gebruikt.

Opvallend: de IAB TCF-uitspraak veroorzaakte schokgolven in de online advertentiesector, aangezien het TCF het meest gebruikte toestemmingskader voor programmatic advertising in Europa is. Hoewel IAB Europe wijzigingen heeft doorgevoerd om aan de zorgen van de toezichthouder tegemoet te komen, benadrukte de zaak de risico's van het vertrouwen op door de industrie ontworpen toestemmingskaders die mogelijk niet volledig aan de GDPR-vereisten voldoen.

Oostenrijk

Handhavingsautoriteit: Datenschutzbehörde (DSB).

Nationale wet: Telekommunikationsgesetz 2021 (TKG 2021), paragraaf 165.

Belangrijkste vereisten: de Oostenrijkse cookieregels volgen het standaardkader van de ePrivacy Directive. De Oostenrijkse DSB trok in januari 2022 internationale aandacht toen zij de eerste Europese toezichthouder werd die oordeelde dat het gebruik van Google Analytics de GDPR schond, specifiek met betrekking tot de doorgifte van persoonsgegevens naar de Verenigde Staten na de Schrems II-uitspraak. Hoewel dit primair een kwestie van gegevensdoorgifte was, had het directe gevolgen voor cookieconformiteit, aangezien werd geoordeeld dat Google Analytics-cookies persoonsgegevens vormden die zonder passende waarborgen naar een derde land werden doorgegeven.

Opvallend: de Google Analytics-uitspraak leidde tot een reeks vergelijkbare beslissingen in heel Europa (Frankrijk, Italië en andere volgden) en versnelde de ontwikkeling van privacyvriendelijke analytics-alternatieven. De DSB is actief gebleven op het gebied van cookies en trackingtechnologie.

Denemarken

Handhavingsautoriteit: Datatilsynet.

Nationale wet: Cookiebekendtgørelsen (uitvoeringsbesluit over informatie en toestemming die vereist zijn voor de opslag van of toegang tot informatie op eindapparatuur van gebruikers), ter uitvoering van de bepalingen van de ePrivacy Directive.

Belangrijkste vereisten: Denemarken vereist toestemming voor alle cookies, behalve die welke strikt noodzakelijk zijn voor een dienst die de gebruiker uitdrukkelijk heeft aangevraagd. De Datatilsynet heeft richtsnoeren gepubliceerd waarin wordt bevestigd dat analytics-cookies toestemming vereisen en dat doorgaan met browsen geen geldige toestemming vormt. De Deense richtsnoeren sluiten steeds meer aan bij de striktere standpunten van de CNIL en de EDPB.

Opvallende acties: de Datatilsynet heeft haar cookiehandhaving sinds 2022 opgevoerd en onderzoekt zowel websites uit de publieke als de private sector. In 2023 nam de autoriteit besluiten tegen meerdere Deense websites vanwege ontoereikende cookietoestemmingsmechanismen, waaronder gevallen waarin de weigeroptie onvoldoende zichtbaar was. De Datatilsynet heeft ook het gebruik van Google Analytics en Meta-trackingpixels op Deense websites aangepakt en verschillende organisaties opgedragen te stoppen met het gebruik van deze tools zonder geldige toestemming en waarborgen voor gegevensdoorgifte.

Zweden

Handhavingsautoriteit: Integritetsskyddsmyndigheten (IMY).

Nationale wet: Lag om elektronisk kommunikation (LEK, 2003:389).

Belangrijkste vereisten: Zweden is de afgelopen jaren overgestapt van relatief lage cookiehandhaving naar aanzienlijke actie. De IMY legde in 2023 haar eerste grote cookie-gerelateerde boetes op aan vier bedrijven (waaronder Tele2, CDON, Dagens Industri en Coop) voor in totaal meer dan SEK 100 miljoen (ongeveer €9 miljoen), wegens het gebruik van Google Analytics en het delen van persoonsgegevens met Google zonder geldige toestemming of adequate waarborgen voor gegevensdoorgifte.

Opvallend: de handhavingsacties van 2023 markeerden een grote omslag in de aanpak van Zweden. De IMY stemde af met andere Scandinavische toezichthouders en volgde de precedenten van de Oostenrijkse DSB en de Franse CNIL inzake Google Analytics. De boetes behoorden tot de hoogste die ooit door een Scandinavische toezichthouder zijn opgelegd en toonden aan dat de Zweedse handhaving nu op één lijn ligt met de striktste Europese autoriteiten.

Ierland

Handhavingsautoriteit: Data Protection Commission (DPC).

Nationale wet: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Belangrijkste vereisten: Ierland volgt het standaardkader van de ePrivacy Directive. De rol van de DPC als leidende toezichthoudende autoriteit voor veel grote technologiebedrijven met hoofdkantoor in Ierland (waaronder Meta, Google, Apple, Microsoft en TikTok) geeft haar echter een buitenproportioneel gewicht in de Europese gegevensbescherming. De DPC heeft richtsnoeren over cookieconformiteit gepubliceerd en audits uitgevoerd op websites uit zowel de publieke als de private sector.

Opvallend: de DPC heeft kritiek gekregen van andere Europese toezichthouders en het Europees Parlement vanwege het vermeend trage tempo van haar handhaving tegen Big Tech. Toch heeft de DPC aanzienlijke GDPR-boetes opgelegd, waaronder een boete van €1,2 miljard tegen Meta in 2023 voor gegevensdoorgifte. Specifiek op het gebied van cookies voerde de DPC in 2020 en 2021 websitecontroles uit en gaf zij nalevingsaanbevelingen aan talrijke organisaties. Directe cookie-specifieke boetes van de DPC zijn relatief bescheiden gebleven vergeleken met die van de CNIL.

Polen

Handhavingsautoriteit: Urząd Ochrony Danych Osobowych (UODO).

Nationale wet: Telecommunicatiewet (Prawo telekomunikacyjne), artikel 173.

Belangrijkste vereisten: Polen vereist toestemming voor cookies in overeenstemming met de ePrivacy Directive. De UODO heeft richtsnoeren gepubliceerd waarin wordt bevestigd dat vooraf aangevinkte vakjes en doorgaan met browsen geen geldige toestemming vormen. De Poolse wet bevat specifieke bepalingen over de informatie die aan gebruikers moet worden verstrekt over cookies, waaronder doeleinden, de identiteit van de verwerkingsverantwoordelijke en instructies voor het beheren van cookie-instellingen.

Opvallend: de handhavingsactiviteit van Polen op het gebied van cookies is toegenomen, waarbij de UODO klachten over niet-conforme cookiebanners onderzoekt en samenwerkt met de telecomtoezichthouder. De UODO heeft deelgenomen aan EU-brede gecoördineerde handhavingscontroles en haar richtsnoeren afgestemd op de aanbevelingen van de EDPB.

Noorwegen

Handhavingsautoriteit: Datatilsynet (de Noorse gegevensbeschermingsautoriteit — te onderscheiden van de Deense autoriteit met dezelfde naam).

Nationale wet: Ekomloven (wet elektronische communicatie).

Belangrijkste vereisten: hoewel Noorwegen geen EU-lidstaat is, is het lid van de Europese Economische Ruimte (EER) en heeft het de GDPR en de ePrivacy Directive via de EER-Overeenkomst in zijn nationale wetgeving opgenomen. De Noorse Datatilsynet volgt de richtsnoeren van de EDPB nauwgezet en is actief geweest in cookiehandhaving.

Opvallende acties: de Noorse Datatilsynet legde Grindr in december 2021 een boete van €5 miljoen op (later in beroep verhoogd naar €6,5 miljoen) voor het delen van gebruikersgegevens met advertentiepartners zonder geldige toestemming. Hoewel dit primair een toestemmingszaak was met betrekking tot het delen van gegevens en niet specifiek over cookies, vormde het belangrijke precedenten voor toestemmingsvereisten bij trackingtechnologieën. De autoriteit heeft ook het gebruik van Google Analytics en andere trackingtools op Noorse websites onderzocht.

Belangrijkste conclusies

Ondanks de verschillen in nationale implementatie en handhaving zijn enkele principes in alle EU- en EER-landen consistent:

  • Toestemming is vereist voordat een niet-essentiële cookie wordt geplaatst. Geen enkel Europees land accepteert een zuiver opt-outmodel voor cookies.
  • Toestemming moet aan de GDPR-norm voldoen: vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig, en aangetoond door een duidelijke actieve handeling.
  • Weigeren moet even eenvoudig zijn als accepteren. Hoewel de concrete uitvoering kan verschillen (aparte knop, X om te sluiten, enz.), is het principe dat cookies weigeren niet moeilijker mag zijn dan ze accepteren universeel.
  • De handhaving neemt overal toe. Landen die voorheen soepel waren, leggen nu boetes en formele besluiten op. Er is geen "veilige" Europese jurisdictie voor niet-naleving.
  • Gecoördineerde handhaving groeit. Toezichthouders werken steeds vaker samen via de EDPB en voeren gecoördineerde controles uit, wat betekent dat niet-naleving in het ene land waarschijnlijk ook in andere landen de aandacht trekt.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis