Skip to main content

Opt-in versus opt-out: de twee toestemmingsmodellen begrijpen

Wereldwijd bestaan er twee fundamenteel verschillende benaderingen van cookietoestemming. De Europese Unie vereist opt-in: geen cookies totdat de gebruiker ja zegt. De Verenigde Staten (in de meeste staten) staan opt-out toe: cookies worden standaard geplaatst en de gebruiker kan nee zeggen. Deze twee modellen begrijpen — hun rechtsgrondslag, hun implicaties en waar elk van toepassing is — is essentieel voor elke website met een wereldwijd publiek.

Het opt-in-model

Bij het opt-in-model mogen niet-essentiële cookies pas worden geplaatst nadat de gebruiker uitdrukkelijke, actieve toestemming heeft gegeven. Geen actie van de gebruiker betekent geen cookies. Dit is het model dat wordt vereist door de ePrivacy-richtlijn van de EU (artikel 5, lid 3), zoals geïnterpreteerd via de definitie van toestemming in de GDPR (artikel 4, lid 11).

Hoe opt-in in de praktijk werkt

  1. De gebruiker bezoekt de website voor het eerst.
  2. Alleen strikt noodzakelijke cookies zijn actief. Cookies voor analyse, marketing en voorkeuren worden geblokkeerd.
  3. Er verschijnt een toestemmingsmechanisme dat de cookiecategorieën toont en de gebruiker vraagt een keuze te maken.
  4. De gebruiker selecteert actief welke categorieën hij accepteert (of klikt op "Alles accepteren" of "Alles weigeren").
  5. Alleen de scripts die overeenkomen met de geaccepteerde categorieën worden geladen.
  6. Als de gebruiker geen actie onderneemt, worden er geen niet-essentiële cookies geplaatst. Het toestemmingsmechanisme blijft zichtbaar (of toegankelijk) totdat de gebruiker een keuze maakt.

Rechtsgrondslag

De opt-in-verplichting komt voort uit twee bronnen:

  • ePrivacy-richtlijn artikel 5, lid 3: Vereist "toestemming" voordat er informatie op het apparaat van een gebruiker wordt opgeslagen.
  • GDPR artikel 4, lid 11: Definieert toestemming als iets dat een "duidelijke actieve handeling" vereist — wat inactiviteit, vooraf aangevinkte vakjes en impliciete instemming uitsluit.
  • HvJ-EU-uitspraak Planet49 (C-673/17): Bevestigde dat actieve toestemming vereist is en dat vooraf aangevinkte vakjes geen geldige toestemming vormen.

Waar opt-in van toepassing is

Alle EU/EER-lidstaten (27 EU-landen plus Noorwegen, IJsland en Liechtenstein), plus het Verenigd Koninkrijk (dat de ePrivacy-regels na de Brexit heeft behouden via de Privacy and Electronic Communications Regulations, of PECR).

Implicaties voor website-exploitanten

  • Reken op aanzienlijke weigeringspercentages. Cijfers uit de sector wijzen erop dat 30-50% van de Europese bezoekers niet-essentiële cookies weigert wanneer zij een echte keuze krijgen.
  • Analysegegevens zullen onvolledig zijn. U beschikt alleen over gegevens van gebruikers die toestemming hebben gegeven. Dit is geen fout — het is het beoogde resultaat van de regelgeving.
  • Het laden van scripts moet voorwaardelijk zijn. U heeft een technisch mechanisme nodig dat scripts blokkeert totdat de toestemming is vastgelegd. Dit kan niet met een banner alleen — het vereist daadwerkelijk scriptbeheer.

Het opt-out-model

Bij het opt-out-model mogen cookies standaard worden geplaatst. De gebruiker heeft het recht om te weigeren of zich af te melden, maar zolang hij geen actie onderneemt, is tracking toegestaan. Dit is het model dat wordt gebruikt in de Verenigde Staten en verschillende andere rechtsgebieden.

Hoe opt-out in de praktijk werkt

  1. De gebruiker bezoekt de website.
  2. Alle cookies — inclusief analyse- en marketingcookies — worden onmiddellijk geplaatst.
  3. Een melding informeert de gebruiker dat er cookies worden gebruikt en biedt een manier om zich af te melden.
  4. Als de gebruiker geen actie onderneemt, blijven de cookies actief.
  5. Als de gebruiker zich afmeldt, worden zijn voorkeuren voortaan gerespecteerd (en in sommige rechtsgebieden moeten eerder verzamelde gegevens mogelijk worden verwijderd).

Rechtsgrondslag

Het opt-out-model komt voor in:

  • CCPA/CPRA (Californië): Californische consumenten hebben het recht om zich af te melden voor de "verkoop" of het "delen" van persoonsgegevens. Cookies die worden gebruikt voor cross-context gedragsgerichte advertenties vormen "delen" onder de CPRA. De verplichting bestaat uit het bieden van een opt-out-mechanisme (vaak via een link "Verkoop of deel mijn persoonsgegevens niet"), niet uit het verkrijgen van voorafgaande toestemming.
  • CAN-SPAM Act en FTC-richtsnoeren: De federale Amerikaanse benadering van online tracking is van oudsher gebaseerd op kennisgeving-en-keuze in plaats van actieve toestemming.
  • Diverse Amerikaanse staatswetten: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) en andere volgen variaties op het opt-out-model voor gerichte advertenties en gegevensverkoop.

Waar opt-out van toepassing is

De Verenigde Staten (met variaties per staat), Canada (PIPEDA — al kan dit veranderen met de voorgestelde hervormingen), Australië (onder de Privacy Act — eveneens in herziening) en verschillende andere rechtsgebieden buiten de EU/EER.

Implicaties voor website-exploitanten

  • Standaard meer gegevensverzameling. Omdat cookies worden geplaatst tenzij de gebruiker bezwaar maakt, zijn analyse- en advertentiegegevens vollediger.
  • U moet een duidelijk opt-out-mechanisme bieden. Onder de CCPA/CPRA betekent dit een link "Verkoop of deel mijn persoonsgegevens niet" die gemakkelijk te vinden en te gebruiken is.
  • U moet Global Privacy Control (GPC) respecteren. De Californische wet vereist dat bedrijven het GPC-browsersignaal behandelen als een geldig opt-out-verzoek.

Gedetailleerde vergelijking

Aspect Opt-in (EU/GDPR) Opt-out (VS/CCPA)
Standaardstatus Cookies geblokkeerd tot toestemming Cookies standaard actief
Vereiste gebruikersactie Moet handelen om cookies toe te staan Moet handelen om cookies te stoppen
Stilte / geen actie Betekent geen toestemming (geen cookies) Betekent aangenomen toestemming (cookies actief)
Toestemmingsmechanisme Granulaire keuze per categorie Opt-out-link of schakelaar
Vooraf aangevinkte vakjes Niet toegestaan (Planet49-uitspraak) Toegestaan (opt-out-model)
Impact op analyse 30-50% gegevensverlies door geen toestemming Minimaal gegevensverlies (weinig afmeldingen)
Intrekking Even eenvoudig als toestemming geven (GDPR art. 7, lid 3) Moet worden geboden, geen vereiste van gelijke eenvoud
Kinderen Ouderlijke toestemming onder 13-16 jaar (verschilt) COPPA geldt voor kinderen onder de 13
Belangrijkste regelgeving ePrivacy-richtlijn + GDPR CCPA/CPRA + staatswetten
Maximale boetes EUR 20 mln of 4% wereldwijde omzet $7.500 per opzettelijke overtreding (CCPA)

Kunt u verschillende modellen gebruiken voor verschillende regio's?

Ja, en veel wereldwijde websites doen dit. Deze aanpak wordt geo-getarget toestemmingsbeheer genoemd. De website detecteert de locatie van de bezoeker (meestal via IP-geolocatie) en presenteert het passende toestemmingsmodel:

  • Bezoekers uit EU/EER/VK: Opt-in-model met granulaire toestemming.
  • Californische bezoekers: Opt-out-model met een link "Verkoop of deel niet".
  • Overige Amerikaanse bezoekers: Alleen kennisgeving (afhankelijk van de toepasselijkheid van de staatswet).
  • Andere rechtsgebieden: Op basis van het toepasselijke lokale recht.

Uitdagingen van geo-targeting

  • IP-geolocatie is niet perfect. VPN-gebruikers kunnen verkeerd worden gelokaliseerd. Mobiele gebruikers kunnen zich tussen rechtsgebieden verplaatsen.
  • Onderhoudslast. U moet de wettelijke ontwikkelingen in elk rechtsgebied waar u actief bent bijhouden en uw toestemmingsflows daarop afstemmen.
  • Complexiteit van testen. U moet controleren of elke regionale variant correct werkt — verschillende banners, verschillende standaardstatussen, verschillend gedrag bij scriptblokkering.
  • De GDPR werkt extraterritoriaal. Als u zich richt op EU-gebruikers (artikel 3, lid 2), is de GDPR van toepassing, ongeacht waar uw bedrijf gevestigd is. "Zich richten op" omvat het aanbieden van goederen of diensten aan EU-inwoners of het monitoren van hun gedrag.

Beste praktijk: standaard opt-in

Als het beheren van meerdere toestemmingsmodellen overweldigend lijkt, is er een eenvoudigere weg: hanteer wereldwijd standaard het opt-in-model.

Dit werkt om de volgende redenen:

  1. Overal compliant. Het opt-in-model voldoet aan de strengste eisen. Als u voldoet aan de toestemmingsvereisten van de GDPR, overtreft u automatisch de eisen van de CCPA, LGPD en de meeste andere kaders.
  2. Eenvoud. Eén toestemmingsmechanisme, één implementatie, één set tests. Geen geo-detectie, geen regionale varianten, geen randgevallen.
  3. Toekomstbestendig. De wereldwijde trend gaat richting strengere toestemmingsvereisten. Voorgestelde hervormingen in de VS, Canada, Australië en India wijzen allemaal in de richting van meer expliciete toestemming. Nu bouwen voor opt-in betekent dat u het later niet hoeft aan te passen.
  4. Vertrouwen van gebruikers. Gebruikers wereldwijd reageren positief op transparante, respectvolle toestemmingspraktijken. Een echte keuze bieden — zelfs waar de wet dit niet strikt vereist — bouwt vertrouwen en merkgeloofwaardigheid op.
  5. Datakwaliteit. Gegevens waarvoor toestemming is gegeven, zijn schoner, beter verdedigbaar en waardevoller dan gegevens die via juridische onduidelijkheid zijn verzameld.

De afweging is reëel: u zult wereldwijd minder gegevens verzamelen. Maar de gegevens die u wél verzamelt, zijn juridisch solide, ethisch zuiver en steeds waardevoller naarmate gegevens van derden minder toegankelijk worden.

Opkomende ontwikkelingen

Het toestemmingslandschap staat niet stil. Verschillende ontwikkelingen zijn het volgen waard:

  • ePrivacy-verordening. De EU werkt sinds 2017 aan een vervanging voor de ePrivacy-richtlijn. Wanneer deze wordt aangenomen, wordt het een rechtstreeks toepasselijke verordening (zoals de GDPR) in plaats van een richtlijn die nationale omzetting vereist. Verwacht wordt dat de toestemmingsregels voor cookies vergelijkbaar of strenger zullen zijn dan het huidige kader.
  • Global Privacy Control (GPC). Dit signaal op browserniveau communiceert automatisch de privacyvoorkeuren van een gebruiker. De Californische wet vereist al dat GPC wordt gerespecteerd. Colorado en Connecticut ook. Dit kan een standaardmechanisme worden voor het communiceren van opt-out-voorkeuren.
  • "Consent or pay"-modellen. Het advies van de EDPB uit 2024 over "consent or pay" (met name in de context van de aanpak van Meta) bepaalt mede hoe toezichthouders de relatie tussen toestemming en toegang tot diensten beoordelen.
  • Toestemming op browserniveau. Sommige voorstellen zouden het toestemmingsbeheer verplaatsen van afzonderlijke websites naar de browser zelf, waarbij gebruikers hun voorkeuren eenmalig instellen in plaats van op elke site. Dit zou de werking van toestemming in de praktijk fundamenteel veranderen.

Passiro helpt u het juiste toestemmingsmodel voor uw publiek te implementeren, met automatische detectie en categorisatie van alle cookies op uw site — of u nu kiest voor opt-in, opt-out of een geo-getargete aanpak.

In ons laatste onderdeel bekijken we beste praktijken voor toestemming — de praktische, toepasbare richtlijnen voor het implementeren van toestemming die zowel compliant als gebruiksvriendelijk is.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis