Contact
← Terug naar kennisbank PRIVACY

Cookie-melding: wanneer is het verplicht en wanneer niet?

Niet elke website heeft een cookie banner nodig. Sterker: bij veel zakelijke sites is hij wettelijk overbodig — en zonder banner ben je vaak juist beter compliant. Dit is wanneer je 'm écht moet hebben, en wanneer hij overbodig is.

11 min lezen · Laatst gecheckt:

"Moet er niet ook nog een cookie banner op?" Een vraag die ik regelmatig krijg — en het antwoord is, in tegenstelling tot wat veel websitebouwers beweren, niet altijd "ja". Een cookie banner is alleen verplicht als je site bepaalde soorten cookies of trackers gebruikt. Voor een groeiend aantal mkb-websites is dat helemaal niet het geval.

In dit artikel: de wet in mensentaal, een concrete lijst wanneer je wel of geen banner moet hebben, en welke privacy-vriendelijke alternatieven helemaal geen banner vereisen.

Het korte antwoord

Een cookie banner is verplicht als je site niet-functionele cookies plaatst — denk aan analytics, advertising, social media tracking, embedded video's met tracking, chat-widgets. Voor functionele cookies (winkelmandje, login, taalvoorkeur) is geen consent nodig.

Geen tracking, geen externe scripts, geen embedded media die data verzamelt? Dan is geen banner verplicht — en je voldoet beter aan de privacywetgeving zonder banner dan met een mislukt opgezette banner.

De wet — wat zegt 'ie precies?

Twee wetten zijn relevant in Nederland:

  • Telecommunicatiewet artikel 11.7a — beter bekend als de "Cookiewet". Verplicht consent vóórdat een cookie of tracking-mechanisme wordt geplaatst. Geldt voor cookies én voor andere lokale opslag (localStorage, fingerprinting, pixel tracking).
  • Algemene Verordening Gegevensbescherming (AVG/GDPR) — gaat over de daadwerkelijke verwerking van persoonsgegevens. Een IP-adres in een Google Analytics request? Persoonsgegeven. Voor verwerking is een grondslag nodig — meestal toestemming.

De Cookiewet bepaalt of je iets mag plaatsen; de AVG bepaalt wat je vervolgens met die data mag doen. In de praktijk overlappen ze sterk en is consent voor de meeste tracking-tools voor beide vereist.

Functioneel vs niet-functioneel — het kernonderscheid

Het hele verhaal draait om dit onderscheid. Functionele cookies zijn vrijgesteld van consent — niet-functionele niet.

Functioneel = strikt noodzakelijk voor de website om te werken

  • Login-sessie cookies (anders moet je elke pagina opnieuw inloggen)
  • Winkelmandje (anders raken bezoekers hun selectie kwijt bij elke klik)
  • Taalvoorkeur of valuta-selectie
  • CSRF-tokens voor formulier-beveiliging
  • Cookie consent zelf — onthouden dat iemand al gekozen heeft

Niet-functioneel = niet strikt nodig, maar handig voor jou

  • Analytics (Google Analytics, Hotjar, Mixpanel)
  • Advertising trackers (Facebook Pixel, Google Ads remarketing)
  • Social media plugins met tracking (Facebook Like-button, Twitter Follow)
  • A/B testing tools (Google Optimize, VWO)
  • Heatmaps (Hotjar, Microsoft Clarity)
  • Personalisatie op basis van eerder gedrag
  • Externe video embeds (YouTube standaard mode, Vimeo standaard mode)
  • Chat-widgets met tracking (Tawk.to, Intercom, Drift)
De analytics-uitzondering: Onder strikte voorwaarden mag je analytics zónder consent gebruiken. Dat moet dan voldoen aan: zelf gehost, geen data delen met derden, IP-anonymisatie, korte bewaartermijnen. De Autoriteit Persoonsgegevens noemt dit "privacy-vriendelijk ingesteld". Standaard Google Analytics 4 voldoet hier niet aan, maar Plausible en Umami wel.

Wanneer heb je écht een banner nodig?

Concreet: gebruik je één of meer van onderstaande tools, dan is een cookie banner verplicht.

Google Analytics (alle varianten — GA4, Universal Analytics)

Ondanks "anonymize IP" verzendt GA4 nog steeds data naar de VS, gebruikt het cookies en valt onder consent. Sinds de Schrems II-uitspraak en uitspraken van Europese privacy-autoriteiten is het zonder consent gebruiken in vrijwel alle gevallen onrechtmatig.

Facebook Pixel / Meta Pixel

Pure tracking voor advertising. Cookies, fingerprinting, server-side data-uitwisseling met Meta. 100% consent vereist.

Google Ads remarketing tags

Idem — gebruikt voor het opvolgen van bezoekers met advertenties op andere sites. Consent verplicht.

Embedded YouTube of Vimeo video's (standaard mode)

Een YouTube-embed laadt scripts van Google en plaatst cookies, ook als de bezoeker niet op play klikt. Vimeo doet vergelijkbaar. Beide hebben "privacy-enhanced" modes (YouTube: youtube-nocookie.com, Vimeo: dnt-parameter) die minder data versturen, maar ook die staan ter discussie.

Social media share/like-knoppen die scripts laden

De officiële Facebook Like-knop laadt scripts van Facebook die bezoekers kunnen tracken zelfs als ze niet klikken. Vermijd. Gebruik in plaats daarvan static share-knoppen die alleen een URL bouwen — die laden niets en hebben geen consent nodig.

Chat-widgets (Tawk.to, Intercom, Drift, LiveChat, Crisp)

Vrijwel allemaal trackers achter de schermen — ook als bezoekers niet chatten. Consent vereist.

Heatmap- en session recording tools (Hotjar, Microsoft Clarity, FullStory)

Nemen letterlijk muisbewegingen en scrollgedrag op. Consent verplicht. Microsoft Clarity is gratis maar valt onder dezelfde regels als de betaalde varianten.

A/B-testing tools (Google Optimize, VWO, Optimizely)

Plaatsen cookies om bezoekers in groepen te verdelen. Consent vereist.

Externe fonts via CDN (Google Fonts, Adobe Fonts)

Sinds een Duitse rechtbank in 2022 oordeelde dat het laden van Google Fonts via Google's CDN al een AVG-overtreding is (omdat het IP-adres naar Google gaat), staat dit ter discussie. Praktische oplossing: host je fonts zelf — dan is er geen externe request en geen privacy-impact.

Wanneer heb je géén banner nodig?

Als je site:

  • Geen analytics gebruikt, of een privacy-vriendelijke alternatief (zie hieronder)
  • Geen advertising-trackers heeft
  • Geen embedded YouTube/Vimeo, of alleen via lokaal gehoste video's
  • Geen social media plugins die scripts laden
  • Geen chat-widgets van derde partijen
  • Self-hosted fonts (geen Google Fonts via CDN)
  • Alleen functionele cookies plaatst (login, winkelmandje, taalvoorkeur)

...dan heb je geen banner nodig. En dat is niet alleen formeel correct — het is ook een teken van professionaliteit. Bezoekers waarderen een snelle, ononderbroken site zonder pop-up boven het beleid van een hippe banner.

Voorbeeld uit de praktijk: de site die je nu leest heeft géén cookie banner. Geen analytics, geen embedded media, geen externe fonts, geen chat-widgets. In de privacyverklaring staat dat expliciet vermeld. Resultaat: snellere site, geen consent-frustratie voor bezoekers, en juridisch sluitend.

Privacy-vriendelijke alternatieven die geen banner vereisen

Wel inzicht in je bezoekers, maar geen consent? Deze tools zijn ontworpen om data te verzamelen zonder cookies of persoonsgegevens te raken:

  • Plausible Analytics — gehost in Duitsland, cookieless, ~€9/maand. Vergelijkbare interface met Google Analytics maar drastisch eenvoudiger en zonder PII
  • Umami — open source, self-host op eigen server. Gratis. Volledig cookieless
  • Cloudflare Web Analytics — gratis als je Cloudflare gebruikt, geen cookies, server-side tracking
  • Matomo (cookieless modus) — krachtige tool, vereist self-host of betaalde cloud. Zorg dat je 'm in cookieless modus draait
  • Server log analyzers — GoAccess of AWStats kijken alleen naar je Apache/Nginx logs. Geen client-side tracking, geen issues

Heb je toch tracking nodig (e-commerce met advertising bijvoorbeeld)? Dan moet de banner aan strikte eisen voldoen. De AP heeft hier scherpe regels over:

  • Vooraf vragen, niet achteraf: cookies plaatsen mag pas na consent. "Door verder te scrollen accepteer je..." is niet geldig — actieve klik vereist
  • Even prominent "weigeren" als "accepteren": een grote groene "Accepteer alles" en een verborgen kleine "Weigeren" link is illegal. Beide moeten gelijkwaardig zichtbaar zijn
  • Granulariteit per categorie: bezoekers moeten kunnen kiezen — alleen functioneel, of ook analytics, of ook marketing. Niet "alles of niets"
  • Geen pre-aangevinkte vakjes: alle niet-functionele categorieën moeten standaard uit staan. De bezoeker moet ze actief aanvinken
  • Mogelijkheid om consent in te trekken: ergens (vaak in de footer) moet een link staan om je voorkeuren aan te passen of consent in te trekken
  • Loggen van consent: bewijs dat iemand toestemming gaf moet je kunnen terughalen — wanneer, voor welke categorieën, welke versie van het beleid

Tools die dit goed doen: Cookiebot, Iubenda, Complianz (gratis WordPress plugin met paid tier). Vermijd simpele "accept all"-banners — die voldoen niet en kunnen tot boetes leiden.

Veelvoorkomende fouten — en wat het kost

"Wij gebruiken alleen functionele cookies" terwijl Google Analytics aan staat

De klassieker. Google Analytics is per definitie niet-functioneel. Boetes door de AP voor onjuiste cookie-praktijken liggen tussen €15.000 en €120.000 voor mkb. Voor grotere bedrijven loopt het op tot miljoenen.

Banner die alleen "Accepteer" toont, geen "Weigeren"

Niet AVG-conform, en relatief makkelijk te detecteren door consumenten of toezichthouders. Vraag op tijd advies in.

Cookies plaatsen vóór consent

Veel cookie-plugin implementaties doen dit fout — ze laden Google Analytics direct, en de banner zegt achteraf "by the way...". De cookies zijn dan al actief. Test in een private browser of er cookies zijn vóór je iets klikt op de banner.

Geen privacyverklaring of een veel te summiere

Onder de AVG ben je verplicht uit te leggen welke gegevens je verzamelt, waarom, hoe lang, en welke rechten bezoekers hebben. Een banner zonder onderliggende privacyverklaring is incompleet.

Google Fonts via CDN

Sinds 2022 ter discussie na de Duitse uitspraak. Niet acuut levensbedreigend, maar wel een onnodig risico. Self-hosten kost vijf minuten en lost het probleem volledig op.

Beslisboom samengevat

  1. Gebruik je geen analytics, geen advertising, geen embedded media, geen chat-widgets, en self-hosted fonts? → Geen banner nodig. Vermeld in je privacyverklaring dat je geen cookies plaatst.
  2. Gebruik je alleen privacy-vriendelijke analytics (Plausible, Umami)? → Geen banner nodig, maar wel vermelden in privacyverklaring.
  3. Gebruik je één of meer van: Google Analytics, Facebook Pixel, embedded YouTube/Vimeo, chat-widgets, advertising trackers? → Banner verplicht, met granulaire opt-in en correcte structuur.

Wanneer schakel je hulp in?

  • Je weet niet welke trackers er op je site staan — een Cookie Audit (handmatig of via tools als Cookiebot Scanner) is dan de eerste stap
  • Je hebt een banner geïmplementeerd maar weet niet zeker of die voldoet aan AP-eisen
  • Je krijgt een waarschuwing of klacht van een bezoeker of toezichthouder
  • Je e-commerce site combineert tracking voor remarketing met privacy-bewuste klanten — daar is balans tussen consent-rate en compliance moeilijker
  • Je migreert van een oude banner-implementatie naar een nieuwere CMP (Consent Management Platform) en wil zeker weten dat de overgang correct verloopt

Voor een goed begrip: niet elke vraag over cookies is een juridische. Vaak is het een technische — welke trackers staan op de site, hoe verwijder ik ze, hoe vervang ik Google Analytics door iets cookieless? Daar kan ik direct mee helpen. Bij specifiek juridische vragen (boete-procedure, AP-onderzoek) verwijs ik je naar een gespecialiseerde privacy-advocaat.