De ePrivacy-richtlijn: de cookiewet van de EU uitgelegd
Wanneer mensen het over "de EU-cookiewet" hebben, doelen ze meestal op de ePrivacy-richtlijn — specifiek artikel 5, lid 3. Hoewel de GDPR het grootste deel van de aandacht krijgt, is het de ePrivacy-richtlijn die het gebruik van cookies en vergelijkbare trackingtechnologieën rechtstreeks regelt. Inzicht in deze richtlijn, haar relatie tot de GDPR en de aankomende ePrivacy-verordening is essentieel voor iedereen die verantwoordelijk is voor cookieconformiteit op een Europese website.
Wat is de ePrivacy-richtlijn?
De ePrivacy-richtlijn (officieel Richtlijn 2002/58/EG) werd op 12 juli 2002 aangenomen als onderdeel van het EU-kader voor privacy in de telecommunicatie. Oorspronkelijk richtte ze zich op privacy in elektronische communicatie — met onderwerpen als de vertrouwelijkheid van communicatie, verkeersgegevens, spam en nummeridentificatie.
In 2009 werd de richtlijn ingrijpend gewijzigd door Richtlijn 2009/136/EG (vaak de "Burgerrechtenrichtlijn" genoemd). Deze wijziging introduceerde de toestemmingsvereiste voor cookies zoals we die vandaag kennen, en verving het eerdere opt-outregime door een opt-inmodel. Vóór 2009 hoefden websites gebruikers alleen te informeren over cookies en hun het recht te geven deze te weigeren. Na 2009 werd voorafgaande toestemming verplicht voor alle niet-essentiële cookies.
In tegenstelling tot de GDPR, die een verordening is (rechtstreeks toepasselijk in alle lidstaten), is de ePrivacy-richtlijn een richtlijn (elke lidstaat moet deze omzetten in nationaal recht). Dit betekent dat de specifieke cookieregels van land tot land verschillen, ook al zijn de onderliggende vereisten dezelfde.
Artikel 5, lid 3: de regel over cookietoestemming
Artikel 5, lid 3 van de ePrivacy-richtlijn is de bepaling die cookies rechtstreeks regelt. In gewijzigde vorm luidt deze:
"De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie, overeenkomstig [de Richtlijn gegevensbescherming, thans de GDPR], onder meer over de doeleinden van de verwerking."
Deze bepaling stelt verschillende kernvereisten vast:
- Reikwijdte: ze bestrijkt elke opslag van informatie op het apparaat van een gebruiker, of toegang tot informatie die op het apparaat van een gebruiker is opgeslagen. Dit omvat cookies, maar ook local storage, IndexedDB, device fingerprinting, tracking pixels en elke andere technologie die van het apparaat van de gebruiker leest of daarnaar schrijft.
- Voorafgaande toestemming: toestemming moet worden verkregen voordat de informatie wordt opgeslagen of geraadpleegd — niet erna.
- Geïnformeerde toestemming: de gebruiker moet duidelijke en volledige informatie krijgen over de doeleinden van de opslag of toegang.
- Toestemmingsnorm: de verwijzing naar de GDPR (oorspronkelijk de Richtlijn gegevensbescherming) betekent dat de definitie en voorwaarden voor toestemming uit de GDPR van toepassing zijn. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.
De uitzondering voor "strikt noodzakelijk"
Artikel 5, lid 3 bevat een belangrijke uitzondering in de tweede zin:
"Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, voor zover dit strikt noodzakelijk is, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert."
Deze uitzondering bestrijkt twee categorieën cookies die geen toestemming vereisen:
- Cookies die noodzakelijk zijn voor het verzenden van een communicatie (bijv. load-balancingcookies).
- Cookies die strikt noodzakelijk zijn om een uitdrukkelijk door de gebruiker gevraagde dienst te leveren (bijv. winkelwagencookies, authenticatiesessiecookies, voorkeurscookies voor een dienst die de gebruiker actief gebruikt).
De voorganger van het Europees Comité voor gegevensbescherming, de Artikel 29-werkgroep, gaf gedetailleerde richtsnoeren over welke cookies als strikt noodzakelijk kwalificeren in Advies 04/2012. Voorbeelden zijn:
- Vrijgesteld (geen toestemming vereist): sessiecookies voor gebruikersinvoer (formulieren met meerdere stappen), authenticatiecookies, winkelwagencookies, beveiligingscookies (CSRF-tokens), sessiecookies voor multimediaspelers, load-balancingcookies, UI-aanpassingscookies (taalvoorkeur) voor de huidige sessie.
- Niet vrijgesteld (toestemming vereist): analysecookies (waaronder Google Analytics), advertentiecookies, cookies voor delen/tracking via social media, permanente voorkeurscookies die na de sessie blijven bestaan, alle tracking-cookies van derden.
Het cruciale onderscheid zit tussen cookies die de uitdrukkelijke verzoeken van de gebruiker dienen en cookies die de belangen van de website-exploitant dienen. Een taalvoorkeurscookie die wordt geplaatst omdat de gebruiker op een taalkeuze heeft geklikt, is strikt noodzakelijk. Een analysecookie die wordt geplaatst om de website-exploitant het verkeer te laten begrijpen, is dat niet — ook al vindt de exploitant het belangrijk.
Hoe ePrivacy en GDPR samenwerken
De relatie tussen de ePrivacy-richtlijn en de GDPR is er een van lex specialis (bijzondere wet) en lex generalis (algemene wet). De ePrivacy-richtlijn is de bijzondere wet die de privacy in elektronische communicatie regelt, terwijl de GDPR het algemene kader voor gegevensbescherming vormt.
In de praktijk:
- De ePrivacy-richtlijn bepaalt of u een cookie op het apparaat van een gebruiker mag plaatsen. Ze vereist toestemming voor niet-essentiële cookies, ongeacht of de cookie persoonsgegevens bevat.
- De GDPR bepaalt wat geldige toestemming inhoudt en hoe u persoonsgegevens die via cookies worden verzameld, mag verwerken. Ze biedt ook het handhavingskader, waaronder het recht om klachten in te dienen bij toezichthouders en het aanzienlijke boeteregime.
Dit betekent dat zelfs een cookie die geen persoonsgegevens bevat (bijvoorbeeld een willekeurig gegenereerde analyse-identificator zonder koppeling aan andere gegevens) toch toestemming vereist onder de ePrivacy-richtlijn, omdat artikel 5, lid 3 van toepassing is op elke opslag op het apparaat van de gebruiker — niet alleen op de opslag van persoonsgegevens.
Omgekeerd geldt: als u persoonsgegevens via cookies verwerkt, moet u voldoen aan het volledige GDPR-kader: rechtsgrondslag, transparantie, rechten van betrokkenen, gegevensbeschermingseffectbeoordelingen en alle overige verplichtingen.
Nationale implementaties
Omdat de ePrivacy-richtlijn een richtlijn is en geen verordening, heeft elke EU-lidstaat deze met enige variatie omgezet in nationaal recht. Hoewel de kernvereiste — toestemming vóór niet-essentiële cookies — in alle lidstaten consistent is, bestaan er noemenswaardige verschillen in:
- Handhavingsintensiteit: Frankrijk (CNIL) en Italië (Garante) zijn het meest actief geweest in cookiehandhaving, terwijl andere landen hun middelen elders hebben ingezet.
- Specifieke uitzonderingen: sommige landen hebben iets ruimere of engere interpretaties van de uitzondering "strikt noodzakelijk" aangenomen.
- Analysecookies: sommige toezichthouders hebben onderzocht of correct geconfigureerde, privacyvriendelijke analysetools (bijv. geanonimiseerde analyse zonder cross-site tracking) in aanmerking zouden kunnen komen voor een grondslag op basis van gerechtvaardigd belang. De vrijstelling van de Franse CNIL voor publieksmetingstools onder specifieke voorwaarden is het meest opvallende voorbeeld, hoewel deze omstreden blijft.
- Cookiewalls: de rechtmatigheid van cookiewalls (toestemming vereisen om toegang te krijgen tot een website) verschilt per rechtsgebied. De Nederlandse Autoriteit Persoonsgegevens en het EDPB hebben een strikt standpunt ingenomen, terwijl de Franse Conseil d'État ze onder bepaalde voorwaarden toelaatbaar achtte.
De voorgestelde ePrivacy-verordening
De Europese Commissie publiceerde in januari 2017 een voorstel voor een ePrivacy-verordening, bedoeld om de ePrivacy-richtlijn te vervangen en de cookieregels af te stemmen op de GDPR. Meer dan negen jaar later wordt er nog steeds over de verordening onderhandeld, waarmee dit een van de langstlopende wetgevingsprocessen in de geschiedenis van de EU is.
Belangrijke wijzigingen in de voorgestelde verordening
Hoewel de definitieve tekst nog niet is overeengekomen, wijzen het voorstel en de daaropvolgende standpunten van de Raad op verschillende ingrijpende wijzigingen:
- Rechtstreekse toepasselijkheid: als verordening in plaats van richtlijn zou de ePrivacy-verordening uniform in alle lidstaten gelden, waarmee de huidige versnippering wordt weggenomen.
- Browsergebaseerde toestemming: vroege voorstellen bevatten bepalingen waarmee gebruikers hun cookievoorkeuren op browserniveau konden instellen in plaats van te reageren op afzonderlijke cookiebanners op elke website. Dit zou de gebruikerservaring aanzienlijk vereenvoudigen, al zijn de technische en politieke uitdagingen groot.
- Uitgebreidere reikwijdte: de verordening zou ook over-the-top (OTT) communicatiediensten als WhatsApp en Skype omvatten, die niet onder de huidige richtlijn vallen.
- Duidelijkere uitzonderingen: de verordening beoogt te verduidelijken welke soorten cookies zijn vrijgesteld van toestemming, waarbij de uitzondering mogelijk wordt verruimd tot bepaalde vormen van publieksmeting.
- Regels voor metadata: nieuwe bepalingen voor de verwerking van communicatiemetadata (locatiegegevens, verbindingstijden) die verder gaan dan wat de huidige richtlijn regelt.
- Geharmoniseerde handhaving: de verordening zou een consistent handhavingsmechanisme instellen, waarschijnlijk naar het model van het one-stop-shopbeginsel van de GDPR.
Huidige status en tijdlijn
Begin 2026 bevindt de ePrivacy-verordening zich nog in trialoogonderhandelingen tussen het Europees Parlement, de Raad van de EU en de Europese Commissie. De voortgang verloopt traag vanwege fundamentele meningsverschillen op verschillende punten, waaronder het browsergebaseerde toestemmingsmechanisme, de reikwijdte van de uitzondering "strikt noodzakelijk" en de regels voor de verwerking van metadata.
Het meest realistische scenario is dat de verordening op zijn vroegst niet vóór 2027 wordt afgerond, met een aanvullende overgangsperiode van 12 tot 24 maanden voordat ze in werking treedt. Website-exploitanten moeten blijven voldoen aan de huidige ePrivacy-richtlijn zoals omgezet in hun nationale recht, aangevuld met het toestemmingskader van de GDPR.
Praktische gevolgen voor website-eigenaren
Ongeacht de regelgevende onzekerheid rond de aankomende ePrivacy-verordening zijn de huidige regels duidelijk en worden ze actief gehandhaafd. Website-eigenaren zouden het volgende moeten doen:
- Behandel het huidige regime als uitgangspunt. De toestemmingsvereiste voor niet-essentiële cookies is gevestigde wetgeving in de hele EU. Wacht niet op de ePrivacy-verordening om conformiteit te implementeren.
- Blokkeer niet-essentiële cookies vóór toestemming. Dit is het technisch meest uitdagende aspect van conformiteit, maar het is niet onderhandelbaar. Uw cookietoestemmingsmechanisme moet voorkomen dat scripts cookies plaatsen totdat de gebruiker actief toestemming heeft gegeven.
- Pas de GDPR-toestemmingsnorm toe. Wanneer de ePrivacy-richtlijn spreekt van "toestemming", betekent dit GDPR-toestemming: vrij, specifiek, geïnformeerd, ondubbelzinnig en blijkend uit een duidelijke bevestigende handeling.
- Documenteer uw strikt noodzakelijke cookies. Houd een duidelijk overzicht bij van welke cookies u als strikt noodzakelijk beschouwt en waarom. Wees erop voorbereid deze classificatie te kunnen rechtvaardigen als een toezichthouder ernaar vraagt.
- Volg nationale ontwikkelingen. Omdat de ePrivacy-richtlijn in elk land anders is geïmplementeerd, blijf op de hoogte van de richtsnoeren en handhavingsactiviteiten van de toezichthouders in de landen waar uw gebruikers zich bevinden.
- Bereid u voor op de ePrivacy-verordening. Hoewel de tijdlijn onzeker is, is de richting duidelijk: meer geharmoniseerde regels, mogelijk ruimere toestemmingsmechanismen en een blijvende nadruk op gebruikersprivacy. Door nu een robuust toestemmingsbeheersysteem op te bouwen, verloopt de overgang soepeler wanneer die er komt.
De ePrivacy-richtlijn mag dan ruim twee decennia oud zijn, ze blijft de hoeksteen van het cookierecht in Europa. Gecombineerd met het toestemmingskader van de GDPR en de actieve handhavingsprogramma's van nationale toezichthouders creëert ze een regelgevend klimaat waarin cookieconformiteit niet optioneel is — het is een wettelijke verplichting met reële financiële gevolgen bij niet-naleving.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis