Cookiecategorieën: Hoe je cookies classificeert voor toestemming
Toestemming voor cookies is geen alles-of-nietsbeslissing. Privacywetgeving vereist dat gebruikers gedetailleerde keuzes kunnen maken over welke soorten cookies ze accepteren. Om dit mogelijk te maken, worden cookies ingedeeld in categorieën — groepen op basis van hun doel, elk met eigen toestemmingsvereisten.
Een juiste categorisering is cruciaal. Een marketingcookie ten onrechte als "strikt noodzakelijk" bestempelen is niet zomaar een technische fout — het is een schending van de wetgeving waar toezichthouders actief op letten en die ze bestraffen.
Waarom categorisering belangrijk is
De GDPR vereist dat toestemming "specifiek" is (artikel 4, lid 11). De Artikel 29-werkgroep (nu de EDPB) heeft verduidelijkt dat dit betekent dat toestemming afzonderlijk moet worden gegeven voor elk afzonderlijk doel. Alle cookies bundelen onder één enkele "alles accepteren" zonder een keuze per categorie aan te bieden, voldoet niet aan deze norm.
In de praktijk betekent dit dat je toestemmingsmechanisme voor cookies deze gegroepeerd naar doel moet presenteren en gebruikers de mogelijkheid moet geven om elke categorie afzonderlijk te accepteren of te weigeren. De norm die in de sector is ontstaan — en die toezichthouders verwachten — hanteert vier categorieën.
De vier standaard cookiecategorieën
1. Strikt noodzakelijke cookies
Deze cookies zijn essentieel voor het basisfunctioneren van de website. Zonder deze cookies kan de dienst die de gebruiker uitdrukkelijk heeft aangevraagd niet worden geleverd.
Toestemming vereist: Nee. Strikt noodzakelijke cookies zijn vrijgesteld van de toestemmingsvereiste op grond van artikel 5, lid 3, van de ePrivacy-richtlijn, waarin staat dat toestemming niet nodig is voor cookies die "strikt noodzakelijk zijn om de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst te kunnen leveren."
Voorbeelden van strikt noodzakelijke cookies:
- Sessiecookies die de inlogstatus bewaren
- Winkelwagencookies op een e-commercesite
- CSRF-tokens (cross-site request forgery) ter bescherming
- Load-balancingcookies die verkeer over servers verdelen
- Cookies voor toestemmingsvoorkeuren (de cookie die je toestemmingskeuze onthoudt)
- Beveiligingscookies die misbruik van authenticatie detecteren
Wat NIET strikt noodzakelijk is:
- Analytische cookies — zelfs first-party cookies. Verkeer meten is nuttig voor de website-exploitant, maar het is niet noodzakelijk voor het leveren van de dienst die de gebruiker heeft aangevraagd.
- Social-mediaplugins — deelknoppen en ingesloten feeds dienen de belangen van de site-eigenaar, niet een functie die de gebruiker uitdrukkelijk heeft aangevraagd.
- Advertentiecookies — deze dienen per definitie een doel dat verder gaat dan de dienst waar de gebruiker gebruik van maakt.
- A/B-testcookies — deze dienen de optimalisatiedoelen van de site-exploitant, niet het uitdrukkelijke verzoek van de gebruiker.
De cruciale test is het perspectief: noodzakelijk voor wie? Als de cookie de belangen van de website-exploitant dient in plaats van een functie die de gebruiker uitdrukkelijk heeft aangevraagd, is deze niet strikt noodzakelijk — hoe belangrijk deze ook mag zijn voor het bedrijf.
2. Analytische / statistiekcookies
Deze cookies verzamelen informatie over hoe bezoekers de website gebruiken: welke pagina's worden bezocht, hoe lang gebruikers blijven, waar ze vandaan komen en waar ze afhaken. De gegevens worden doorgaans geaggregeerd en gebruikt om de website te verbeteren.
Toestemming vereist: Ja, in de meeste rechtsgebieden. Sommige gegevensbeschermingsautoriteiten (met name de Franse CNIL en de Nederlandse AP) hebben echter aangegeven dat bepaalde first-party analysetools in aanmerking kunnen komen voor een beperkte vrijstelling, mits aan specifieke voorwaarden wordt voldaan (zie onze sectie over wanneer toestemming vereist is).
Veelvoorkomende analytische cookies:
| Cookie | Dienst | Doel | Standaardlevensduur |
|---|---|---|---|
_ga |
Google Analytics | Onderscheidt unieke gebruikers | 2 jaar |
_ga_* |
Google Analytics 4 | Bewaart sessiestatus | 2 jaar |
_gid |
Google Analytics | Onderscheidt gebruikers (24u) | 24 uur |
_pk_id.* |
Matomo | Bezoekers-ID | 13 maanden |
_pk_ses.* |
Matomo | Sessietracking | 30 minuten |
_hjSessionUser_* |
Hotjar | Gebruikersidentificatie | 1 jaar |
Merk op dat Google Analytics-cookies van nature third-party zijn, ook al lijken ze first-party cookies te zijn — omdat Google de gegevens op zijn eigen servers verwerkt en deze voor eigen doeleinden kan gebruiken. Dit onderscheid heeft een belangrijke rol gespeeld in verschillende Europese handhavingsacties.
3. Marketing- / advertentiecookies
Deze cookies volgen bezoekers over verschillende websites heen om een profiel van hun surfgedrag op te bouwen. Dit profiel wordt gebruikt om gerichte advertenties weer te geven, de effectiviteit van advertentiecampagnes te meten en te beperken hoe vaak een gebruiker een bepaalde advertentie ziet.
Toestemming vereist: Altijd. Er bestaat geen enkele uitzondering voor advertentiecookies onder welke interpretatie van de ePrivacy-richtlijn of GDPR dan ook.
Veelvoorkomende marketingcookies:
| Cookie | Dienst | Doel | Standaardlevensduur |
|---|---|---|---|
_fbp |
Meta (Facebook) | Volgt bezoeken voor advertentietargeting | 3 maanden |
_gcl_au |
Google Ads | Conversietracking | 3 maanden |
IDE |
Google DoubleClick | Retargeting en advertentievertoning | 13 maanden |
_uetsid |
Microsoft Advertising | Conversietracking | 1 dag |
li_fat_id |
Indirecte identificatie van leden | 30 dagen |
Marketingcookies zijn vrijwel altijd third-party. Ze vormen het hoogste privacyrisico en zijn de meest gereguleerde categorie. Elk toestemmingsmechanisme dat het accepteren van marketingcookies gemakkelijker maakt dan het weigeren ervan, loopt het risico op handhavingsmaatregelen.
4. Voorkeurs- / functionaliteitscookies
Deze cookies maken uitgebreide functionaliteit en personalisatie mogelijk die verder gaat dan strikt noodzakelijk. Ze onthouden keuzes die de gebruiker heeft gemaakt, maar zijn niet vereist voor het functioneren van de kerndienst.
Toestemming vereist: Ja, hoewel het risiconiveau lager is dan bij analytische of marketingcookies. Sommige toezichthouders behandelen voorkeurscookies soepeler, maar juridisch gezien blijft toestemming vereist.
Voorbeelden:
- Taalvoorkeur (wanneer de site zonder deze cookie functioneert en gewoon terugvalt op een andere taal)
- Regio- of valutakeuze
- Vooraf invullen van gebruikersnaam op inlogformulieren
- Voorkeuren voor videospelers (volume, kwaliteit)
- Status van chatwidgets (open/gesloten, gespreksgeschiedenis)
- Lettergrootte of toegankelijkheidsvoorkeuren
Het onderscheid tussen "strikt noodzakelijk" en "voorkeuren" kan subtiel zijn. Een taalcookie op een eentalige site is zinloos. Een taalcookie op een meertalige site die zonder deze cookie terugvalt op een functionele taal is een voorkeur. Een taalcookie op een site die zonder deze cookie helemaal niet kan functioneren — omdat de content niet laadt zonder taalkeuze — zou aantoonbaar strikt noodzakelijk kunnen zijn. Context is bepalend.
Hoe je je cookies correct categoriseert
Volg dit proces voor elke cookie op je website:
- Identificeer de cookie. Wat is de naam, wie plaatst deze (first-party of third-party) en hoe lang blijft deze bestaan?
- Bepaal het doel. Waarom bestaat deze cookie? Wat gebeurt er als deze wordt verwijderd?
- Pas de test voor strikt noodzakelijk toe. Is deze cookie essentieel voor een functie die de gebruiker uitdrukkelijk heeft aangevraagd? Als de gebruiker heeft gevraagd om in te loggen, is een sessiecookie noodzakelijk. Als je hun gedrag wilt volgen, is dat jouw behoefte, niet die van hen.
- Wijs de categorie toe. Als de cookie niet strikt noodzakelijk is, classificeer deze dan op basis van het primaire doel: analyse, marketing of voorkeuren.
- Documenteer je redenering. Leg voor elke cookie vast waarom je deze op die manier hebt gecategoriseerd. Deze documentatie is waardevol als een toezichthouder er ooit naar vraagt.
Veelvoorkomende categoriseringsfouten
Op basis van handhavingsacties van toezichthouders en auditresultaten zijn dit de meest voorkomende fouten:
- Google Analytics als strikt noodzakelijk classificeren. Dit is verreweg de meest voorkomende fout. GA is een analysetool. Het is nooit strikt noodzakelijk voor het leveren van een dienst aan de gebruiker. Verschillende gegevensbeschermingsautoriteiten hebben hier specifiek op gewezen.
- Alle third-party cookies onder "functionaliteit" plaatsen. Ingesloten YouTube-video's, deelknoppen voor sociale media en chatwidgets zijn niet strikt noodzakelijk en hun cookies dienen doorgaans analyse- of marketingdoeleinden die verder gaan dan de zichtbare functionaliteit.
- Cookies negeren die door plugins en integraties worden geplaatst. Een WordPress-site met 20 plugins kan tientallen cookies plaatsen waar de site-exploitant zich niet eens van bewust is. Je bent er nog steeds voor allemaal verantwoordelijk.
- Marketingcookies als analytisch behandelen. Facebook Pixel en conversietracking van Google Ads zijn marketingcookies, geen analytische cookies — hun primaire doel is advertentie, ook al gebruik je de gegevens analytisch.
- A/B-testcookies verkeerd categoriseren. Tools zoals Optimizely en VWO plaatsen cookies om gebruikers aan testgroepen toe te wijzen. Deze zijn niet strikt noodzakelijk en moeten worden gecategoriseerd als analyse of voorkeuren.
Automatiseer het proces
Handmatige cookie-audits zijn tijdrovend en foutgevoelig. Websites veranderen voortdurend — een nieuwe plugin, een bijgewerkt script, een marketingteam dat een trackingpixel toevoegt — en elke wijziging kan nieuwe cookies introduceren die gecategoriseerd moeten worden.
Passiro scant en categoriseert automatisch alle cookies op je website, detecteert nieuwe cookies zodra ze verschijnen en signaleert mogelijke categoriseringsfouten. Zo weerspiegelt je toestemmingsmechanisme voor cookies altijd de daadwerkelijke cookies die je site gebruikt — niet alleen die welke je kende toen je voor het laatst controleerde.
Nu we de categorieën begrijpen, gaan we kijken naar wat cookietoestemming juridisch daadwerkelijk betekent — de vereisten zijn specifieker dan de meeste mensen beseffen.
Voldoet uw website aan de cookieregels?
Scan uw website gratis en vind alle cookies binnen enkele minuten.
Scan uw cookies gratis