Skip to main content

Hoe schrijf je een cookiebeleid: stapsgewijze handleiding

Een cookiebeleid is alleen zo goed als de nauwkeurigheid en duidelijkheid ervan. Deze handleiding leidt je door het proces van het opstellen van een cookiebeleid dat voldoet aan de wettelijke eisen, je gebruikers van dienst is en na verloop van tijd accuraat blijft. Volg deze negen stappen om een beleid op te stellen dat volledig, transparant en onderhoudbaar is.

Stap 1: Breng je cookies in kaart

Voordat je iets over je cookies kunt schrijven, moet je precies weten welke cookies je website plaatst. Dit vormt de basis van je hele beleid — en het is de stap die de meeste organisaties verkeerd aanpakken.

Een grondige cookie-inventarisatie omvat:

  1. Elke pagina scannen. Cookies kunnen per pagina verschillen. Je startpagina plaatst mogelijk andere cookies dan je afrekenpagina, je blog of je accountpagina's. Een volledige inventarisatie moet alle paginatypen dekken.
  2. First-party- en third-party-cookies vastleggen. First-party-cookies worden door je eigen domein geplaatst. Third-party-cookies worden geplaatst door externe diensten — analyseplatforms, advertentienetwerken, social media widgets, ingesloten video's, chatwidgets, betaalproviders en meer.
  3. Opslag zonder cookies identificeren. Moderne websites gebruiken ook localStorage, sessionStorage, IndexedDB en pixeltags. Een volledig beleid dekt alle client-side opslagmechanismen, niet alleen HTTP-cookies.
  4. Testen met en zonder toestemming. Sommige cookies worden geplaatst ongeacht toestemming (strikt noodzakelijke cookies). Andere zouden pas mogen verschijnen nadat toestemming is verleend. Je inventarisatie moet verifiëren dat niet-essentiële cookies daadwerkelijk geblokkeerd zijn totdat toestemming is gegeven.

Handmatige inventarisaties zijn onbetrouwbaar. Het handmatig openen van de ontwikkelaarstools van je browser op een handvol pagina's mist cookies die door asynchroon geladen third-party-scripts worden geplaatst, cookies die alleen bij specifieke gebruikersacties worden geplaatst, en cookies die pas bij latere bezoeken verschijnen. Gebruik geautomatiseerde scantools voor een volledig beeld.

De geautomatiseerde cookiescanner van Passiro crawlt je hele website, identificeert elke cookie en elk opslagmechanisme, en levert een gecategoriseerd rapport — het ideale startpunt voor je beleid.

Stap 2: Categoriseer elke cookie

Zodra je een volledige lijst van cookies hebt, deel je ze in in standaardcategorieën. De meest gebruikte indeling, gehanteerd door het IAB Transparency and Consent Framework en aanbevolen door de meeste toezichthouders voor gegevensbescherming, is:

Strikt noodzakelijk

Cookies zonder welke de website niet kan functioneren. Voorbeelden: sessiecookies voor inlogstatus, winkelwagencookies, CSRF-beveiligingstokens, load balancer-cookies, cookies voor cookievoorkeuren. Deze zijn vrijgesteld van de toestemmingsvereiste onder artikel 5, lid 3, van de ePrivacy-richtlijn, maar je moet ze nog steeds vermelden in je beleid.

Voorkeuren / Functioneel

Cookies die verbeterde functionaliteit en personalisatie mogelijk maken. Voorbeelden: taalkeuze, voorkeur voor regio/valuta, lettergrootte-instellingen, recent bekeken items. Deze zijn niet strikt noodzakelijk — de site zou zonder deze cookies functioneren — maar ze verbeteren de gebruikerservaring. Ze vereisen toestemming.

Analyse / Statistieken

Cookies die worden gebruikt om gegevens te verzamelen over hoe bezoekers met de website omgaan. Voorbeelden: Google Analytics-cookies (_ga, _gid), Hotjar-sessiecookies, Plausible Analytics. Deze vereisen in de meeste EU-jurisdicties toestemming, hoewel sommige toezichthouders (met name de Franse CNIL) beperkte vrijstellingen hebben gecreëerd voor bereikmeetinstrumenten die aan strikte voorwaarden voldoen.

Marketing / Advertenties

Cookies die worden gebruikt voor gerichte advertenties, retargeting en het meten van advertentieprestaties. Voorbeelden: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies van advertentienetwerken. Deze vereisen altijd toestemming en vormen de meest kritisch bekeken categorie.

Wijs voor elke cookie een categorie toe en verifieer dat de indeling correct is. Een veelgemaakte fout is het categoriseren van analyse- of marketingcookies als "functioneel" om de toestemmingsvereiste te omzeilen — dit is niet-conform en wordt gemakkelijk opgemerkt door toezichthouders.

Stap 3: Schrijf de inleiding

Je cookiebeleid moet beginnen met een korte inleiding die het volgende dekt:

  • Wie je bent. De rechtspersoon die de website beheert (bedrijfsnaam, geregistreerd adres).
  • Wat dit document dekt. "Dit cookiebeleid legt uit hoe [Bedrijfsnaam] cookies en soortgelijke technologieën gebruikt op [website-URL]."
  • Wanneer het voor het laatst is bijgewerkt. Vermeld een duidelijke datum.
  • Hoe men contact met je kan opnemen. Geef een contact-e-mailadres en, indien van toepassing, de gegevens van je functionaris voor gegevensbescherming.

Houd de inleiding beperkt tot twee of drie zinnen. Gebruikers komen voor specifieke informatie, niet voor een bedrijfsintroductie.

Stap 4: Leg uit wat cookies zijn

Neem een korte, niet-technische uitleg op van wat cookies zijn. Veel van je bezoekers zullen dat niet weten. Een goede uitleg is:

Cookies zijn kleine tekstbestanden die op je apparaat (computer, tablet of telefoon) worden opgeslagen wanneer je een website bezoekt. Ze worden veel gebruikt om websites te laten werken, om de efficiëntie te verbeteren en om informatie te verstrekken aan website-eigenaren. Cookies die worden geplaatst door de website die je bezoekt, worden "first-party-cookies" genoemd. Cookies die door andere bedrijven worden geplaatst (bijvoorbeeld analyse- of advertentiediensten) worden "third-party-cookies" genoemd.

Als je site technologieën gebruikt die verder gaan dan HTTP-cookies — zoals localStorage, pixeltags of fingerprinting — vermeld die dan ook. "In dit beleid gebruiken we de term 'cookies' om te verwijzen naar cookies en soortgelijke technologieën, tenzij anders vermeld."

Stap 5: Vermeld cookies in tabelvorm

Presenteer je cookies in een gestructureerde tabel, ingedeeld per categorie. Neem voor elke cookie op:

Veld Omschrijving Voorbeeld
Naam De technische naam van de cookie _ga
Aanbieder Wie deze cookie plaatst Google Analytics (google.com)
Doel Wat de cookie doet, in begrijpelijke taal Genereert een unieke ID om statistische gegevens vast te leggen over hoe je de website gebruikt
Type First-party of third-party; HTTP-cookie, localStorage, enz. Third-party HTTP-cookie
Duur Hoe lang de cookie bewaard blijft 2 jaar

Hier is een voorbeeld van een goed gestructureerde cookietabel voor de analysecategorie:

Cookienaam Aanbieder Doel Type Duur
_ga Google Analytics Wijst een unieke ID toe om bezoekers te onderscheiden en statistische rapporten samen te stellen Third-party 2 jaar
_gid Google Analytics Wijst een unieke ID toe voor elke browsesessie om statistische rapporten samen te stellen Third-party 24 uur
_gat_UA-* Google Analytics Beperkt de snelheid van gegevensverzameling op sites met veel verkeer Third-party 1 minuut

Herhaal deze tabel voor elke categorie: Strikt noodzakelijk, Voorkeuren, Analyse en Marketing.

Stap 6: Beschrijf elke categorie

Geef vóór elke cookietabel een korte beschrijving van de categorie:

  • Wat cookies in deze categorie doen — in algemene bewoordingen.
  • Of toestemming vereist is — strikt noodzakelijke cookies vereisen geen toestemming; alle andere wel.
  • Wat er gebeurt als de gebruiker weigert — "Als je analysecookies weigert, verzamelen we geen gegevens over je bezoeken. De website functioneert normaal."

Deze contextuele informatie helpt gebruikers weloverwogen beslissingen te nemen en voldoet aan de transparantievereisten van de AVG.

Stap 7: Leg uit hoe gebruikers cookies kunnen beheren

Dit gedeelte moet twee beheermechanismen dekken:

Via je toestemmingsbanner

Leg uit dat gebruikers hun cookievoorkeuren op elk moment kunnen beheren door op je cookie-instellingenlink of -pictogram te klikken. Beschrijf waar ze dit kunnen vinden (bijv. "Klik op het cookiepictogram linksonder op elke pagina" of "Klik op 'Cookie-instellingen' in de voettekst"). Wees specifiek — zeg niet gewoon "via onze cookiebanner".

Via browserinstellingen

Geef links naar instructies voor cookiebeheer voor de belangrijkste browsers:

Vermeld het gevolg: "Houd er rekening mee dat het uitschakelen van cookies via je browserinstellingen invloed kan hebben op de functionaliteit van deze en andere websites die je bezoekt."

Stap 8: Voeg contactgegevens en FG-gegevens toe

Geef duidelijke contactgegevens voor privacygerelateerde vragen:

  • Identiteit van de verwerkingsverantwoordelijke: Bedrijfsnaam, geregistreerd adres, registratienummer.
  • Contact-e-mailadres voor privacy: Een gemonitord e-mailadres (bijv. [email protected]).
  • Functionaris voor gegevensbescherming: Als je een FG hebt aangesteld (verplicht voor bepaalde organisaties onder artikel 37 van de AVG), geef dan diens naam en contactgegevens.
  • Toezichthoudende autoriteit: Vermeld de relevante toezichthouder voor gegevensbescherming en geef een link naar hun klachtenprocedure. Bijvoorbeeld: "Je hebt het recht om een klacht in te dienen bij [Naam van toezichthouder] via [URL]."

Stap 9: Dateer het beleid en plan updates

Neem een duidelijke datum op met "Laatst bijgewerkt". Verbind je ertoe het beleid met regelmatige tussenpozen te herzien en bij te werken, en telkens wanneer je cookiegebruik verandert.

Overweeg een verklaring toe te voegen zoals: "Wij herzien dit cookiebeleid regelmatig en werken het bij wanneer dat nodig is. Belangrijke wijzigingen worden gecommuniceerd via een melding op onze website."

In de praktijk is het verstandig om ten minste eens per kwartaal een herziening te plannen. Third-party-diensten wijzigen hun cookies regelmatig, en zelfs een kleine integratie-update kan nieuwe cookies introduceren die moeten worden vermeld.

Veelgemaakte fouten om te vermijden

Zelfs zorgvuldig geschreven cookiebeleid bevat vaak deze fouten:

  • Vage doelomschrijvingen. "Deze cookie verbetert je ervaring" zegt de gebruiker niets. Wees specifiek: welke gegevens verzamelt de cookie en waarvoor worden ze gebruikt?
  • Verouderde cookielijsten. Als je beleid cookies vermeldt van een tool die je zes maanden geleden hebt verwijderd, of geen cookies vermeldt van een tool die je vorige week hebt toegevoegd, is het onnauwkeurig. Onnauwkeurige openbaarmaking ondermijnt de transparantie.
  • Ontbrekende third-party-cookies. Veel organisaties vermelden hun eigen cookies, maar vergeten de third-party-cookies te documenteren die worden geplaatst door ingesloten content (YouTube-video's, social media knoppen, chatwidgets, enz.). Dit zijn vaak de meest privacygevoelige cookies op de site.
  • Categorisatiefouten. Het classificeren van marketing- of analysecookies als "functioneel" of "noodzakelijk" om de toestemmingsvereiste te omzeilen. Toezichthouders voor gegevensbescherming letten hier specifiek op.
  • Geen mechanisme om voorkeuren te wijzigen. Stellen dat gebruikers hun voorkeuren kunnen beheren, maar geen duidelijk beschreven, altijd beschikbaar mechanisme aanbieden om dit te doen.
  • Een sjabloon kopiëren zonder aanpassing. Generieke cookiebeleidssjablonen die niet je werkelijke cookies, je werkelijke diensten of je werkelijke gegevensverwerking weerspiegelen. Een sjabloon is een startpunt, geen afgerond document.
  • Ontoegankelijke taal. Juridisch jargon, technische terminologie en onnodig complexe zinsconstructies. De AVG vereist duidelijke en eenvoudige taal. Schrijf voor een niet-gespecialiseerd publiek.

Je beleid gelijklopend houden met je werkelijke cookies

Het moeilijkste aan het onderhouden van een cookiebeleid is niet het schrijven ervan — het is het accuraat houden. Websites zijn dynamisch. Marketingteams voegen nieuwe tools toe, ontwikkelaars integreren nieuwe diensten, contentmanagementsystemen installeren plug-ins met trackingmogelijkheden. Elke wijziging kan cookies introduceren die je beleid niet vermeldt.

De oplossing is geautomatiseerde, continue monitoring. In plaats van te vertrouwen op handmatige inventarisaties (die zelden plaatsvinden, onvolledig en foutgevoelig zijn), gebruik je een scantool die je website regelmatig crawlt, alle actieve cookies identificeert en deze vergelijkt met je vermelde cookielijst.

Passiro scant je website automatisch, detecteert niet-vermelde cookies en waarschuwt je wanneer je beleid moet worden bijgewerkt. Zo weerspiegelt je cookiebeleid altijd de werkelijkheid — geen momentopname van de laatste keer dat iemand eraan dacht om te controleren. Ontdek de geautomatiseerde cookieconformiteit van Passiro.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis