Tracking cookies zonder geldige toestemming? Autoriteit Persoonsgegevens stuurt waarschuwingsbrieven

    - / 15 July 2025

    De Autoriteit Persoonsgegevens (AP) is recent begonnen met het versturen van een nieuwe ronde waarschuwingsbrieven. Organisaties die onnodige tracking cookies gebruiken op hun website zonder geldige toestemming van gebruikers, kunnen rekenen op zo’n waarschuwingsbrief van de AP. Hierin geeft de AP organisaties 3 maanden de tijd om het gebruik van cookies op hun website aan te passen.

    De AP verwacht dat deze organisaties de AP proactief op de hoogte stellen van de aanpassingen die zij hebben gedaan. Doen organisaties dit niet, dreigt de AP met het starten van een formeel onderzoek, gericht op het opleggen van een boete. Ook organiseert de AP informatiesessies voor organisaties die een waarschuwingsbrief hebben ontvangen.

    In deze blog bekijken we de belangrijkste onderdelen van cookiecompliance en cookiebanners, aan de hand van de eisen die de Algemene Verordening Gegevensbescherming (AVG) aan toestemming stelt. Ook bekijken we waar de AP op zal letten bij het beoordelen van de cookiepraktijken op websites.

    Welke wetgeving is hier ook alweer relevant?

    Het wordt vaak vergeten, maar de primaire verplichting tot toestemming voor het plaatsen van cookies volgt uit artikel 5, lid 2 van de Europese e-privacyrichtlijn, 2002/58/EG [1]. Omdat dit een Europese richtlijn is, moet elke lidstaat deze richtlijn omzetten in nationale wetgeving. In Nederland is dit gedaan in de Telecommunicatiewet (Tw).

    Artikel 11.7a, lid 1 Tw verbiedt het opslaan van of toegang verkrijgen tot informatie in de apparatuur van gebruikers, tenzij de gebruikers toestemming hebben verleend en zijn voorzien van duidelijke informatie hierover. Cookies zijn in feite kleine tekstbestandjes die websites op het apparaat van een gebruiker kunnen plaatsen, dus cookies vallen ook binnen de reikwijdte van artikel 11.7a Tw.

    Artikel 11.7a, lid 3 Tw geeft nog twee uitzonderingen op de toestemmingregel voor cookies. Toestemming is niet nodig voor cookies die strikt noodzakelijk zijn voor het leveren van de door de gebruiker gevraagde dienst, en voor bepaalde privacyvriendelijke analytische cookies.

    Toestemming in artikel 11.7a Tw is gelijkgesteld aan toestemming in de AVG [2]. Dit betekent dat toestemming o.a. vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn en een actieve handeling of verklaring moet omvatten.

    De Autoriteit Consument en Markt (ACM) is bevoegd om boetes op te leggen op basis van overtredingen van artikel 11.7a Tw (de AP heeft deze bevoegdheid niet). Maar onnodige tracking cookies bevatten vaak unieke online identificatoren die aan individuele gebruikers gekoppeld worden. Dit zijn persoonsgegevens, waardoor de AVG zelf ook van toepassing wordt. En de AP is wel bevoegd om op te treden tegen overtredingen van de AVG. Ook de websiteinteracties van gebruikers die gevolgd worden door middel van onnodige tracking cookies zijn persoonsgegevens.

    Omdat voor de opslag van onnodige tracking cookies toestemming nodig is volgens de eprivacyrichtlijn en de Tw, volgt hieruit dat toestemming ook de enige mogelijke grondslag is onder artikel 6 AVG voor de verwerking van persoonsgegevens met behulp van cookies [3]. In de praktijk wordt deze toestemming verkregen door middel van een cookiebanner. Hierbij is het van belang dat het ontwerp van de cookiebanner voldoet aan alle eisen van toestemming onder de AVG.

    Veelgemaakte fouten bij onnodige tracking cookies

    We bekijken nu een aantal veelgemaakte fouten met betrekking tot onnodige tracking cookies waar de AP op let.

    Toestemming weigeren is moeilijker dan toestemming accepteren

    • Toestemming moet vrij gegeven worden om geldig te zijn. Dit betekent dat gebruikers niet benadeeld mogen worden als zij toestemming willen weigeren.
    • Vaak moeten gebruikers extra klikken om toestemming te weigeren en de cookiebanner te sluiten. Zo kunnen gebruikers vaak alle onnodige cookies accepteren door één klik op een ‘alles accepteren’ knop in de eerste laag van de cookiebanner. Maar gebruikers moeten dan meer dan één keer klikken om alle onnodige cookies te weigeren. Dit mag dus niet.
    • Als er op de eerste laag van de cookiebanner een ‘alles accepteren’ knop is, moet er daar dus ook een ‘alles weigeren’ knop zijn die even zichtbaar is.

    Toestemming is niet specifiek genoeg of bepaalde types onnodige cookies staan standaard aan

    • Als er meerdere types onnodige cookies gebruikt worden, moeten gebruikers deze onafhankelijk van elkaar kunnen in- en uitschakelen. Zo moeten gebruikers bijvoorbeeld kunnen kiezen om functionele cookies te accepteren en tegelijkertijd om tracking cookies voor persoonlijke advertenties te weigeren.
    • Vaak gebeurt dit met een ‘meer opties’ knop op de eerste laag van de cookiebanner. Er opent dan een tweede laag van de cookiebanner, waar per type onnodige cookie uitgelegd wordt hoe deze wordt gebruikt en met welke eventuele derde partijen persoonsgegevens worden gedeeld.
    • Gebruikers kunnen vaak een keuze maken voor elk type onnodige cookie door middel van een mechanisme zoals een vinkje of schuifknop. Bij zulke mechanismes is het van belang dat deze standaard uitgeschakeld staan. Gebruikers moeten zelf dus actief op het mechanisme klikken om het type onnodige cookie in te schakelen.

    Toestemming kan niet even makkelijk worden ingetrokken

    Volgens artikel 7, lid 3 AVG moeten gebruikers de toestemming kunnen intrekken nadat zij toestemming hebben gegeven. Dit moet even makkelijk zijn als het geven van de toestemming. Ook moet duidelijk zijn hoe gebruikers de toestemming kunnen intrekken.

    Concreet betekent dit dat:

    • Op elke websitepagina een link of knop aanwezig moet zijn om de cookiebanner weer te openen, zodat gebruikers hun keuze kunnen aanpassen. In de praktijk gebeurt dit vaak via een duidelijke link of knop naar ‘cookie-instellingen’ in de footer van de website.
    • In de cookiebanner zelf moet meteen duidelijk uitgelegd worden hoe gebruikers hun toestemming kunnen intrekken. Dit kan bijvoorbeeld door op de eerste laag van de cookiebanner uit te leggen waar de knop staat om de cookiebanner te heropenen, zodat gebruikers hun keuze kunnen aanpassen.

    Onnodige tracking cookies worden geplaatst voordat toestemming wordt gegeven

    Het komt ook regelmatig voor dat websites meteen onnodige tracking cookies plaatsen, zelfs nog voordat de cookiebanner überhaupt wordt getoond. Soms plaatsen websites ook nog onnodige tracking cookies nadat de gebruiker toestemming hiervoor heeft geweigerd.

    Controleer dus goed dat jouw website geen onnodige cookies plaatst totdat gebruikers hiervoor daadwerkelijk toestemming hebben gegeven. Dit geldt ook voor onnodige cookies die via externe content op jouw website worden geplaatst, zoals iframes en scripts die geladen worden via een CDN.

    Meer weten?

    Heb je hulp nodig? Of heb je een waarschuwingsbrief ontvangen van de AP over het gebruik van cookies op jouw website? Neem dan contact met ons op.

    Zie voor meer informatie onze cookie factsheet.

    Cookie factsheet

     

    [1] https://eur-lex.europa.eu/eli/dir/2002/58/2009-12-19

    [2]Art 11.1, punt g Tw jo. art. 4, lid 11 AVG.

    [3] https://www.autoriteitpersoonsgegevens.nl/documenten/normuitleg-ap-over-intrekken-van-toestemming-bij-cookiebanners, voetnoot 8.
    Terug naar overzicht

    Albert Tarcy

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram