Cookiebeleid Website Nederland
COOKIEBELEID
Website: [Website Url]
Laatst gewijzigd: [Datum Inwerkingtreding]
Conform Telecommunicatiewet art. 11.7a (cookie-toestemming) en Algemene Verordening Gegevensbescherming (AVG / EU 2016/679) art. 6 lid 1 sub a.
Artikel 1 - Wat zijn cookies
1. WAT ZIJN COOKIES
Een cookie is een klein tekstbestand dat bij bezoek aan onze website wordt opgeslagen op uw apparaat (computer, tablet, smartphone). Cookies bevatten gegevens zoals voorkeursinstellingen, login-informatie of een uniek identificatienummer.
Cookies worden beheerd onder Telecommunicatiewet art. 11.7a (cookiewet, geimplementeerd vanuit ePrivacy Richtlijn 2002/58/EG) en de Algemene Verordening Gegevensbescherming (AVG) wanneer zij persoonsgegevens verwerken.
Vergelijkbare technieken zoals pixels, web beacons, local storage en fingerprinting worden in dit beleid eveneens behandeld als 'cookie'.
Artikel 2 - Toestemming
2. TOESTEMMING EN INDELING COOKIES
Wij maken onderscheid tussen vier categorieen cookies:
Categorie 1 - Strikt noodzakelijke / functionele cookies: vereist voor basisfunctionaliteit (winkelwagen, login, taalkeuze). Geen toestemming vereist onder Telecommunicatiewet art. 11.7a lid 3.
Categorie 2 - Analytische cookies (geanonimiseerd): voor anonieme website-analyse zonder identificatie individuele bezoeker. Geen toestemming vereist mits voldaan aan voorwaarden Autoriteit Persoonsgegevens.
Categorie 3 - Marketing- en tracking-cookies: voor gepersonaliseerde advertenties, retargeting, conversiemeting. Voorafgaande toestemming verplicht onder Telecommunicatiewet art. 11.7a lid 1.
Categorie 4 - Social media en embedded content cookies: voor delen via social media, embedded video. Voorafgaande toestemming verplicht.
Toestemming wordt vastgelegd via ons Consent Management Platform: [Consent Management Platform].
Artikel 3 - Functionele cookies
3. FUNCTIONELE COOKIES (ZONDER TOESTEMMING)
Onze functionele cookies zijn:
[Functionele Cookies]
Deze cookies vallen onder de uitzondering van Telecommunicatiewet art. 11.7a lid 3 (cookies strikt noodzakelijk voor door bezoeker gevraagde dienst); zij worden geplaatst zonder voorafgaande toestemming.
Artikel 4 - Analytische cookies
4. ANALYTISCHE COOKIES (ZONDER TOESTEMMING)
Onze analytische cookies zijn:
[Analytics Cookies]
Wij gebruiken privacy-vriendelijke instellingen conform handleiding Autoriteit Persoonsgegevens: IP-adressen anonimiseren (laatste octet verwijderd), data delen met derden uit, gebruik analytics-cookies alleen voor anonieme statistiek.
Deze cookies vereisen geen toestemming omdat de privacy-impact verwaarloosbaar is volgens AP-handhavingsbeleid 2023.
Artikel 5 - Marketing-cookies
5. MARKETING- EN TRACKING-COOKIES (MET TOESTEMMING)
Voor onderstaande marketing- en tracking-cookies vragen wij voorafgaand uw toestemming via onze cookie-banner:
[Marketing Cookies]
Deze cookies worden uitsluitend geplaatst nadat u op 'Accepteren' heeft geklikt in de cookie-banner. Voor elke categorie kunt u apart toestemming geven of weigeren.
Marketing-cookies stellen ons en advertentiepartners (Google Ads, Meta Ads) in staat om uw interesses te volgen over verschillende websites en gepersonaliseerde advertenties te tonen. Veel marketing-cookies bevatten persoonsgegevens onder AVG en zijn onderhevig aan AVG art. 6 lid 1 sub a (toestemming).
Artikel 6 - Social media
6. SOCIAL MEDIA EN EMBEDDED CONTENT
Onze website bevat social media plugins en embedded content (YouTube-videos, social share buttons) die cookies plaatsen:
[Social Media Cookies]
Deze cookies worden geplaatst door externe partijen (Meta, Google, LinkedIn, X) die eigen privacybeleid hanteren. Wij hebben geen invloed op gegevensverwerking door deze partijen.
Voor doorgifte buiten EU/EER door deze partijen geldt AVG art. 44-49; veel partijen werken onder EU-US Data Privacy Framework of Standard Contractual Clauses.
Artikel 7 - Beheer toestemming
7. BEHEER UW TOESTEMMING
U kunt uw cookie-voorkeuren op elk moment wijzigen of intrekken:
[Intrekking Methode]
Intrekking van toestemming geldt voor toekomstige verwerking; eerdere verwerking blijft rechtmatig op basis van oorspronkelijk gegeven toestemming (AVG art. 7 lid 3).
Daarnaast kunt u cookies beheren via uw browserinstellingen (Chrome, Firefox, Edge, Safari); wij verwijzen naar de browser-handleidingen voor specifieke instructies.
Artikel 8 - Uw rechten
8. UW RECHTEN ONDER AVG
Voor zover cookies persoonsgegevens verwerken, heeft u alle rechten onder AVG hoofdstuk III: recht op inzage (art. 15), rectificatie (art. 16), wissing (art. 17), beperking (art. 18), dataportabiliteit (art. 20), bezwaar (art. 21) en intrekking toestemming (art. 7 lid 3).
Verzoeken kunt u richten aan [Contact Email]; wij reageren binnen 1 maand (AVG art. 12 lid 3). Voor algemene informatie over uw rechten verwijzen wij naar ons Privacybeleid op [Website Url]/privacybeleid.
Klachten kunt u indienen bij de Autoriteit Persoonsgegevens (AP), Postbus 93374, 2509 AJ Den Haag, via autoriteitpersoonsgegevens.nl (AVG art. 77).
Artikel 9 - Wijzigingen
9. WIJZIGINGEN COOKIEBELEID
Wij behouden ons het recht voor dit cookiebeleid te wijzigen bij veranderingen in wetgeving (bijvoorbeeld nieuwe ePrivacy Verordening), technologie of bedrijfsvoering.
Bij substantiele wijzigingen vragen wij opnieuw uw toestemming via de cookie-banner. De meest recente versie is altijd beschikbaar op [Website Url]/cookiebeleid.
Artikel 10 - Contact
10. CONTACT
Voor vragen over dit cookiebeleid:
Organisatie: [Organisatie Naam]
Website: [Website Url]
E-mail: [Contact Email]
Verwerkingsverantwoordelijke
________________
Signature
Wat is Cookiebeleid Website Nederland?
Het Cookiebeleid Website Nederland is een verplicht informatiedocument waarin een website-eigenaar transparant uitlegt welke cookies en vergelijkbare tracking-technologieen op de website worden gebruikt, met welk doel, door welke partijen, hoe lang ze worden bewaard, en hoe bezoekers toestemming kunnen geven of intrekken. De wettelijke grondslag bestaat uit Telecommunicatiewet art. 11.7a (Nederlandse cookiewet, implementatie ePrivacy Richtlijn 2002/58/EG), Algemene Verordening Gegevensbescherming (AVG / EU 2016/679) art. 6 lid 1 sub a (toestemming als grondslag) en art. 7 (vereisten geldige toestemming), aanvullend Uitvoeringswet AVG (UAVG) en Burgerlijk Wetboek art. 6:217 (aanbod en aanvaarding).
Een cookie is een klein tekstbestand dat bij bezoek aan een website wordt opgeslagen op het apparaat van de gebruiker (computer, tablet, smartphone). Cookies bevatten gegevens zoals voorkeursinstellingen (taal, valuta), login-informatie (sessie-ID, MFA-token), winkelwagen-inhoud, of een uniek identificatienummer voor analytics en tracking. Vergelijkbare technieken zoals web beacons (1x1-pixel afbeeldingen voor tracking), local storage (browser-opslag), fingerprinting (uniek apparaat-identificatie via browser-instellingen) en server-side tracking worden in het cookiebeleid eveneens behandeld als 'cookie' onder Telecommunicatiewet art. 11.7a.
De cookiewet onderscheidt vier hoofdcategorieen cookies met verschillende toestemming-vereisten. Categorie 1 strikt noodzakelijke (functionele) cookies: vereist voor basisfunctionaliteit website (winkelwagen, login, taalkeuze, CSRF-token); geen toestemming vereist onder Telecommunicatiewet art. 11.7a lid 3 (uitzondering voor cookies strikt noodzakelijk voor door gebruiker gevraagde dienst). Categorie 2 analytische cookies: voor anonieme website-analyse zonder identificatie individuele bezoeker; geen toestemming vereist mits voldaan aan AP-handhavingsbeleid 2022 (IP-anonimisering, geen data-deling met derden, geen cross-site tracking). Categorie 3 marketing- en tracking-cookies: voor gepersonaliseerde advertenties, retargeting, conversiemeting; voorafgaande toestemming verplicht onder Telecommunicatiewet art. 11.7a lid 1. Categorie 4 social media en embedded content cookies: voor delen via social media, embedded YouTube-videos, social login; voorafgaande toestemming verplicht.
De cookiewet (Telecommunicatiewet art. 11.7a) implementeert ePrivacy Richtlijn 2002/58/EG die in 2009 werd aangevuld met cookie-toestemming-vereiste via Cookie Richtlijn 2009/136/EG. ePrivacy Verordening (in voorbereiding sinds 2017, planning ingangsdatum 2026-2027) zal cookiewet vervangen met sterkere harmonisatie EU-breed. Tot dan blijft Telecommunicatiewet hoofdkader voor cookies in Nederland; AVG geldt aanvullend voor cookies die persoonsgegevens verwerken (vrijwel alle cookies behalve puur technische). Het primaire toezichthouder voor cookies is Autoriteit Persoonsgegevens (AP); voor telecommunicatie-aspecten ook Autoriteit Consument en Markt (ACM).
In de Nederlandse praktijk wordt het cookiebeleid gepubliceerd op een aparte pagina (/cookiebeleid of /cookies), bereikbaar via prominente link in footer en in cookie-banner. Het cookiebeleid wordt ondersteund door een Consent Management Platform (CMP) zoals Cookiebot, OneTrust, Usercentrics, Complianz (WordPress) die toestemming registreert, granulaire opties biedt per categorie, en intrekking mogelijk maakt via cookie-icoon op elke pagina. Eerste laag is de cookie-banner (popup of layer bij eerste bezoek); tweede laag is het volledige cookiebeleid met detail-informatie.
Het cookiebeleid onderscheidt zich van het privacybeleid (algemene info verwerking persoonsgegevens onder AVG art. 13), de cookie-banner (eerste-laag toestemming-mechanisme), en de algemene voorwaarden (contractuele rechten en verplichtingen). Vaak worden meerdere documenten gelijktijdig gepresenteerd in website-footer: privacybeleid, cookiebeleid, algemene voorwaarden, klachtenregeling. Bij e-commerce ook retourbeleid en geschillen-procedure.
Autoriteit Persoonsgegevens (AP) heeft sinds 2018 actief gehandhaafd op cookie-compliance. Belangrijke boetes en handhaving: Coolblue EUR 750.000 (2024, cookies zonder voldoende toestemming en inadequate informatie); Talpa Network EUR 290.000 (2024, cookie-wall die alleen 'Accepteer alles' bood zonder gelijkwaardige weigeren-optie); diverse waarschuwingen aan webshops, nieuwsmedia, en commerciele platforms. AP-handhavingsbeleid 2022 eist: gelijkwaardige weigeren-knop in cookie-banner; geen pre-vinkte vakjes; granulaire opties per cookie-categorie; eenvoudige intrekking-procedure; logging toestemming voor accountability AVG art. 7 lid 1.
Kwalitatief cookiebeleid is meer dan compliance-document - het toont organisatie-zorg voor privacy. Best-in-class cookiebeleidteksten gebruiken duidelijke taal (B1-niveau aanbevolen door AP), gestructureerde indeling per cookie-categorie met expandable tables, per cookie naam-doel-levensduur-derde partij, contact-mogelijkheid voor vragen, en regelmatige update bij wijzigingen. Moderne cookiebeleid bevat ook sectie over privacy-vriendelijke alternatieven die organisatie heeft overwogen (Matomo zonder cookies, Plausible analytics) en eventuele cookieless tracking initiatieven.
Wanneer heeft u Cookiebeleid Website Nederland nodig?
Het Cookiebeleid Website Nederland is verplicht in vrijwel elke situatie waarin een website cookies plaatst. Onderstaande omstandigheden vragen om tijdige opstelling.
Launch van nieuwe website met cookies of tracking. Vrijwel alle moderne websites plaatsen cookies (sessie-management, taal-voorkeur, analytics, marketing). Voor go-live nieuwe website is cookiebeleid verplicht onder Telecommunicatiewet art. 11.7a wanneer cookies anders dan strikt noodzakelijk worden gebruikt. Zonder cookiebeleid plus geldige toestemming voor niet-noodzakelijke cookies is plaatsing onrechtmatig met boete-risico door Autoriteit Persoonsgegevens. Best practice: cookiebeleid voorbereid voor go-live; Consent Management Platform geimplementeerd; cookie-banner met granulaire opties; link in footer op elke pagina.
E-commerce platform met marketing- en tracking-cookies. Webshops gebruiken intensief tracking-cookies voor: Google Ads conversie-meting (_gcl_au); Meta Pixel voor Facebook/Instagram retargeting (_fbp); LinkedIn Insight voor B2B-tracking; abandoned cart recovery met cross-session tracking; gepersonaliseerde productaanbevelingen via cookies. Cookiebeleid moet expliciet per marketing-cookie informatie geven met opt-in toestemming. Voor B2C-webshops vaak ook social media cookies (Pinterest, TikTok) voor share-buttons en embedded content. Zonder correcte toestemming-mechanisme: substantiele AP-boete-risico zoals Coolblue EUR 750.000 in 2024.
Nieuws-website of mediabedrijf met advertising en analytics. Nieuws-websites en mediabedrijven (NU.nl, NRC.nl, Volkskrant.nl, RTL.nl) zijn afhankelijk van advertising-revenue en plaatsen daarom uitgebreide marketing- en tracking-cookies van advertising-partners (Google Ad Manager, Outbrain, Taboola, partner-specific). Cookiebeleid moet per advertising-partner informatie geven over cookies, doel, levensduur, en mogelijkheid om opt-out te kiezen. Voor moderne paywalled content: extra aandacht voor toestemming-vereisten bij subscriber-tracking en personalisering.
B2B SaaS-platform met multi-tenant analytics en user behavior tracking. SaaS-providers gebruiken vaak intensieve analytics (Mixpanel, Amplitude, Heap, Hotjar) voor product-improvement, A/B-testing, feature-adoption-tracking. Voor login-pagina en marketing-website is cookie-toestemming verplicht; voor authenticated user-area binnen platform zijn meer cookies gerechtvaardigd via uitvoering overeenkomst (AVG art. 6 lid 1 sub b). Cookiebeleid moet onderscheid maken tussen marketing-context (toestemming) en authenticated-context (uitvoering overeenkomst).
Mobile app web-view met cookies en SDK's. Mobile apps die web-content tonen via web-view (React Native, Flutter, native mobile apps met embedded browser) plaatsen cookies in browser-context. Aanvullend gebruiken mobile apps SDK's (Firebase Analytics, AppsFlyer, Adjust, Branch) voor tracking en attribution die vergelijkbaar zijn met cookies onder Telecommunicatiewet art. 11.7a (vergelijkbare technieken). Cookiebeleid moet expliciet ingaan op mobile SDK's en device identifiers (IDFA Apple, GAID Google) waar relevant.
Website voor minderjarigen of mede toegankelijk voor kinderen. Wanneer website zich richt op minderjarigen onder 16 jaar (UAVG art. 5) gelden extra strikte cookie-vereisten: geen marketing-cookies of behavioral advertising naar kinderen (DSA art. 28 verbod profilering minderjarigen); minimale cookies-set; ouderlijke toestemming voor niet-noodzakelijke cookies. Cookiebeleid moet specifiek vermelden welke maatregelen voor kinderen worden genomen en hoe ouders toestemming geven. Voor educatieve platforms (schoolportals, educatieve apps): vrijwel altijd alleen functionele cookies; geen tracking.
Website met cross-border bezoekers en multi-jurisdictie compliance. Voor websites met bezoekers uit verschillende EU-landen (B2B, e-commerce internationaal) is cookiebeleid moet multi-jurisdictie compliance hebben: AVG geldt EU-breed; cookiewet per lidstaat anders (Nederland Telecommunicatiewet art. 11.7a; Duitsland TTDSG sinds 2021; Frankrijk Loi Informatique et Libertes; UK PECR 2003 + ICO guidance). Best practice: hoogste gemene deler compliance (typisch Nederlandse en Duitse interpretatie). Voor VS-georienteerde bezoekers ook CCPA/CPRA voor California, CDPA voor Virginia, andere state-laws.
Website na update Consent Management Platform of cookie-strategie. Wanneer organisatie CMP wisselt (van Cookiebot naar OneTrust of vice versa), nieuwe cookies toevoegt (advertising platform integratie, A/B-testing tool), of cookie-architectuur wijzigt (cookieless tracking, server-side tagging), moet cookiebeleid worden geactualiseerd. Wijziging die nieuwe categorie cookies introduceert: vereist nieuwe toestemming via cookie-banner; oude toestemming niet automatisch geldig voor nieuwe categorie.
Website met embedded content van derden (YouTube, Vimeo, Google Maps). Embedded content van derden plaatst eigen cookies. YouTube embedded video plaatst DOUBLE_CONSENT_COOKIE, VISITOR_INFO1_LIVE en YSC. Google Maps plaatst NID en SID cookies. Vimeo plaatst player en analytics cookies. Cookiebeleid moet per embedded service vermelden: welke cookies worden geplaatst; door welke partij; doel; levensduur; opt-out-mogelijkheid (vaak via privacybeleid derde partij). Modern alternatief: server-side proxy voor embedded content of placeholder met click-to-load voor explicit consent.
Wat moet er in uw Cookiebeleid Website Nederland staan?
Het Cookiebeleid Website Nederland bevat een aantal essentiele elementen die onder Telecommunicatiewet art. 11.7a en AVG vereist zijn plus best practices voor transparantie.
Identificatie organisatie en website-scope. Volledige naam organisatie (statutaire naam), website-URL waarop cookiebeleid van toepassing is (specifiek domein en sub-domeinen), contact-e-mail voor cookie-vragen (gangbaar [email protected]), datum laatste wijziging prominent vermeld. Voor concerns of multi-brand strategy: identificeer per merk/domein welke entiteit verantwoordelijke is; eventueel apart cookiebeleid per merk. Verifieer KvK-uittreksel via kvk.nl voor juiste juridische naam organisatie.
Uitleg wat cookies zijn (definitie en context). Korte uitleg in begrijpelijke taal: 'Een cookie is een klein tekstbestand dat bij bezoek aan onze website wordt opgeslagen op uw apparaat (computer, tablet, smartphone). Cookies bevatten gegevens zoals voorkeursinstellingen, login-informatie of een uniek identificatienummer'. Vermeld dat ook vergelijkbare technieken (web beacons, local storage, fingerprinting, server-side tracking) onder Telecommunicatiewet art. 11.7a vallen en in cookiebeleid behandeld worden. Refereer aan ePrivacy Richtlijn 2002/58/EG als EU-context.
Categorieen cookies en toestemming-vereisten. Onderscheid vier hoofdcategorieen met verschillende toestemming-vereisten: 1) Strikt noodzakelijk (functioneel) - geen toestemming vereist onder Telecommunicatiewet art. 11.7a lid 3; voorbeelden sessionId, cartContents, languagePref, CSRF-token, load balancer routing. 2) Analytisch (geanonimiseerd) - geen toestemming vereist mits voldaan aan AP-handhavingsbeleid 2022 (IP-anonimisering, geen data-delen, geen cross-site tracking); voorbeelden Matomo _pk_id 13 maanden, geanonimiseerde Google Analytics 4. 3) Marketing/tracking - toestemming verplicht onder art. 11.7a lid 1; voorbeelden Google Ads _gcl_au 90 dagen, Meta Pixel _fbp 90 dagen, LinkedIn Insight 30 dagen, conversion tracking. 4) Social media/embedded - toestemming verplicht; YouTube DOUBLE_CONSENT_COOKIE 8 maanden, Facebook share button, LinkedIn share button, Twitter X widget. Voor de gratis sjabloon op forms-legal.com adviseren wij gebruikers ook de gerelateerde modellen voor privacybeleid website, algemene voorwaarden consument en B2B, en verwerkersovereenkomst onder AVG art. 28 te raadplegen voor complete cookie- en privacy-compliance-suite.
Gedetailleerde cookie-lijst per categorie. Per cookie-categorie expandable lijst of tabel met details: cookie-naam (technische identifier); doel (waarvoor wordt cookie gebruikt); levensduur (sessie of dagen/maanden/jaren); type (first-party vs third-party); domein (bedrijf-website vs derde partij zoals google.com); derde partij naam indien third-party (Google, Meta, LinkedIn). Voorbeelden details: 'cookieName: _gcl_au | doel: conversion tracking Google Ads | levensduur: 90 dagen | type: third-party | domein: google.com | derde partij: Google Ireland Limited'. Voor automated cookie-scanning: tools zoals Cookiebot, OneTrust, Cookiepro die periodieke crawl uitvoeren en cookies inventariseren.
Toestemming en intrekking-mechanisme. Beschrijving Consent Management Platform (CMP): naam platform (Cookiebot, OneTrust, Usercentrics, Complianz); hoe toestemming wordt verkregen (cookie-banner bij eerste bezoek, granulaire opties per categorie, gelijkwaardige weigeren-knop); hoe toestemming wordt geregistreerd voor accountability AVG art. 7 lid 1 (IP, timestamp, gekozen opties); hoe intrekking werkt (cookie-icoon op elke pagina, CMP-portal, browser-instellingen). AP-handhavingsbeleid 2022 vereist: gelijkwaardige weigeren-knop in cookie-banner (geen cookie-walls); geen pre-vinkte vakjes (CJEU Planet49 C-673/17 oktober 2019); granulaire opties per categorie; eenvoudige intrekking-procedure.
Derde partijen en internationale doorgifte. Lijst per cookie-categorie de derde partijen die cookies plaatsen: Google (Ads, Analytics, Tag Manager, Maps); Meta (Facebook Pixel, Instagram); LinkedIn (Insight Tag); Microsoft (Clarity, Bing Ads); YouTube (embedded videos); Vimeo (embedded videos); Twitter/X (share buttons); Hotjar (heatmaps); Mixpanel/Amplitude (analytics). Voor doorgifte naar derde landen buiten EU/EER: vermeld juridische basis (EU-US Data Privacy Framework voor gecertificeerde Amerikaanse organisaties; Standard Contractual Clauses 2021/914; adequaatheidsbesluit Europese Commissie). Schrems II-context (CJEU C-311/18 juli 2020): supplementary measures voor VS-transfers; transparantie over surveillance-risico.
Betrokkenenrechten onder AVG. Voor zover cookies persoonsgegevens verwerken (vrijwel alle cookies behalve puur technische sessionId), heeft gebruiker alle rechten onder AVG hoofdstuk III: recht op inzage (AVG art. 15) - welke cookie-data is opgeslagen; rectificatie (art. 16) - aanpassing onjuiste data; wissing (art. 17) - verwijdering cookie-data; beperking (art. 18); dataportabiliteit (art. 20); bezwaar (art. 21) - direct stoppen voor marketing-cookies; intrekking toestemming (art. 7 lid 3) - via cookie-icoon op elke pagina. Verzoeken via privacy-contact gangbaar ([email protected]); reactietermijn 1 maand (AVG art. 12 lid 3); klachtrecht bij Autoriteit Persoonsgegevens.
Cookies van advertentie-partners en advertising networks. Voor websites met advertising-revenue (Google Ad Manager, programmatic advertising via SSP/DSP): aanvullende informatie over real-time bidding (RTB), demand-side platforms, supply-side platforms, ad exchanges. IAB Europe Transparency & Consent Framework (TCF) v2.2 standaard voor industrie-brede consent management; vermelding aan welke versie en welke vendors voor publiek beschikbaar via IAB Global Vendor List. Voor moderne web: aandacht voor Google Privacy Sandbox (Topics API, Protected Audience API als post-cookie tracking) en mogelijke wijzigingen aan cookie-strategie.
Browser-instellingen voor cookie-beheer. Aanvullend op cookie-banner kunnen bezoekers cookies beheren via browser-instellingen: Chrome (Settings > Privacy and Security > Cookies); Firefox (Settings > Privacy & Security > Cookies and Site Data); Safari (Preferences > Privacy > Cookies); Microsoft Edge (Settings > Cookies and Site Permissions). Browser-instellingen werken cross-site maar niet altijd granulair per categorie. Voor mobile browsers: iOS Safari (Settings > Safari > Block All Cookies); Android Chrome (Chrome > Settings > Site Settings > Cookies).
Wijziging-procedure en datum laatste wijziging. Cookiebeleid kan worden gewijzigd bij veranderingen wetgeving (ePrivacy Verordening verwacht 2026-2027), nieuwe cookies, gewijzigde CMP, of significante wijziging cookie-strategie. Substantiele wijzigingen (nieuwe categorie cookies, nieuwe derde partijen, gewijzigde toestemming-mechanisme): nieuwe toestemming via cookie-banner; bestaande gebruikers krijgen herziene banner bij volgende bezoek. Vermeld datum laatste wijziging prominent (Laatst gewijzigd: DD-MM-JJJJ); bewaar versie-historie voor accountability AVG art. 5 lid 2.
Hoe vult u uw Cookiebeleid Website Nederland in?
Een Cookiebeleid Website Nederland zorgvuldig opstellen vraagt onderstaande stappen die privacy officer, marketing-team en web-developer doorlopen.
Stap 1 - Organisatie en website identificeren. Volledige naam organisatie (statutaire naam zoals ingeschreven in Handelsregister Kamer van Koophandel), website-URL (specifiek domein en sub-domeinen waarop cookiebeleid van toepassing is), contact-e-mail voor cookie-vragen (gangbaar [email protected] of [email protected]). Verifieer KvK-uittreksel via kvk.nl. Voor multi-brand strategy: identificeer per merk of cookiebeleid van toepassing is; eventueel separate cookiebeleidteksten per merk indien substantieel verschillende cookie-strategie. Datum laatste wijziging prominent vermeld.
Stap 2 - Cookie-inventarisatie uitvoeren via scanning. Identificeer alle cookies die website plaatst via automated scanning: Cookiebot Cookie Scanner (gratis trial); OneTrust Cookie Compliance; CookieScanner; Termly's Cookie Scanner. Manual scanning via browser DevTools (Chrome DevTools > Application > Cookies) per pagina-categorie (homepage, productpagina, checkout, account, blog). Categoriseer per cookie: strikt noodzakelijk (functioneel) vs analytisch vs marketing/tracking vs social media. Identificeer eerste-partij (eigen domein) vs derde-partij cookies. Voor derde-partij cookies: identificeer derde partij (Google, Meta, LinkedIn, Hotjar, etc.) en hun privacybeleid.
Stap 3 - Functionele cookies documenteren (geen toestemming). Lijst strikt noodzakelijke cookies die geen toestemming vereisen onder Telecommunicatiewet art. 11.7a lid 3: sessieId (sessie cookie, vervalt bij sluiten browser; doel: gebruiker-sessie tijdens bezoek); cartContents (30 dagen; doel: winkelwagen-onthouding tussen sessies); languagePref (1 jaar; doel: taal-voorkeur); csrf_token (sessie; doel: cross-site request forgery beveiliging); load_balancer (sessie; doel: routing naar juiste server). Vermeld per cookie: naam, doel, levensduur, type (sessie/persistent), domein. Onderbouw waarom cookie strikt noodzakelijk is voor door gebruiker gevraagde dienst.
Stap 4 - Analytische cookies documenteren (toestemming-vrijstelling onder voorwaarden). Lijst analytische cookies met privacy-vriendelijke instellingen onder AP-handhavingsbeleid 2022: Matomo _pk_id (13 maanden; doel: anonieme bezoeker-identificatie voor statistiek) en _pk_ses (30 min; doel: sessie-onderscheid); Google Analytics 4 met IP-anonimisering en data-delen uit (cookies _ga 2 jaar, _gid 24 uur). Voorwaarden voor toestemming-vrijstelling: IP-adres geanonimiseerd (laatste octet verwijderd); geen data-deling met derden of advertising; geen cross-site tracking; geen identificatie individuele bezoeker. Bij twijfel: behandel als marketing-cookie met toestemming. Alternatief: cookieless analytics (Plausible, Fathom) zonder toestemming-vereiste.
Stap 5 - Marketing- en tracking-cookies documenteren (toestemming verplicht). Lijst marketing-cookies waarvoor toestemming vereist is: Google Ads _gcl_au (90 dagen; doel: conversion tracking) en _gcl_aw (90 dagen; doel: click attribution); Meta Pixel _fbp (90 dagen; doel: Facebook/Instagram retargeting); LinkedIn Insight li_fat_id (30 dagen; doel: B2B-tracking); TikTok Pixel _ttp (13 maanden; doel: TikTok Ads conversion); Pinterest Pixel _pin_unauth (1 jaar; doel: Pinterest Ads tracking); Bing Ads _uetsid en _uetvid (24 uur en 16 dagen; doel: Bing Ads conversion). Vermeld per cookie: naam, doel, levensduur, derde partij, link naar derde-partij privacybeleid. Voor advertising-network: vermeld TCF (IAB Transparency & Consent Framework) versie indien gebruikt.
Stap 6 - Social media en embedded content cookies documenteren. Lijst cookies van social media plugins en embedded content waarvoor toestemming vereist is: YouTube embedded video DOUBLE_CONSENT_COOKIE (8 maanden; doel: cookie-toestemming YouTube) en VISITOR_INFO1_LIVE (6 maanden); Facebook Like/Share button c_user en xs (sessie en 90 dagen; doel: gebruiker-identificatie indien ingelogd); LinkedIn Share button bcookie (1 jaar) en lidc (1 dag); Twitter/X widget personalization_id (2 jaar); Vimeo embedded player vuid (2 jaar). Voor moderne web: overweeg server-side proxy voor embedded content of placeholder met click-to-load voor explicit consent (bezoeker klikt actief om video te laden).
Stap 7 - Consent Management Platform implementeren. Kies CMP afhankelijk van behoefte en budget: Cookiebot (Cybot, gratis voor MKB <100 pagina's, EUR 15-200/maand voor enterprise); OneTrust (enterprise focus, EUR 1000+/maand); Usercentrics (privacy-focus, EUR 50-500/maand); Complianz (WordPress plugin, EUR 50-200 eenmalig of EUR 5-15/maand); Termly (klein-business, EUR 0-30/maand). CMP-functionaliteit: cookie-banner met granulaire opties; pre-scan en automatic categorization cookies; registratie toestemming met IP, timestamp, gekozen opties; auditlog voor accountability AVG art. 7 lid 1; periodieke re-prompt voor verlopen toestemming (gangbaar 12-13 maanden); intrekking via cookie-icoon. Implementatie via tag in HTML head (CMP script blokkeert overige scripts tot toestemming).
Stap 8 - Cookie-banner ontwerp en plaatsing. Best practice cookie-banner ontwerp: prominent maar niet blocking (banner aan onderkant of overlay); duidelijke titel ('Wij gebruiken cookies'); korte uitleg (1-2 zinnen); gelijkwaardige 'Accepteren' en 'Weigeren' knoppen met dezelfde prominentie (AP-handhavingsbeleid 2022); link naar 'Voorkeuren beheren' voor granulaire opties per categorie; link naar volledig cookiebeleid; eventueel link naar privacybeleid. Vermijd: cookie-walls die alleen 'Accepteer alles' bieden (boete-risico Talpa Network EUR 290.000 in 2024); pre-vinkte vakjes voor optionele categorieen (CJEU Planet49 ongeldig); donker patroon UX dat weigeren moeilijk maakt; banner-versteken na scrolling. Mobile-optimized: responsive design; voldoende grote knoppen; geen tab-trap.
Stap 9 - Intrekking-procedure inrichten. Intrekking toestemming moet net zo makkelijk zijn als geven (AVG art. 7 lid 3). Best practice intrekking-mechanismen: 1) Cookie-icoon op elke pagina (linksonder of rechtsonder, klein maar zichtbaar) - klik opent CMP-portal voor herziening; 2) Direct link in cookiebeleid naar 'Wijzig uw voorkeuren' die CMP-portal opent; 3) Browser-instellingen mogelijkheid (Chrome, Firefox, Safari, Edge); 4) Op verzoek via privacy-contact e-mail. Intrekking geldt voor toekomstige cookie-plaatsing; reeds geplaatste cookies blijven actief tot vervaldatum (gebruiker kan zelf wissen via browser). Documentation intrekking-verzoeken voor accountability.
Stap 10 - Wijziging-procedure en jaarlijkse review. Cookiebeleid kan worden gewijzigd bij: veranderingen wetgeving (ePrivacy Verordening verwacht 2026-2027); nieuwe cookies toegevoegd (advertising-platform integratie, A/B-testing tool); gewijzigde CMP; gewijzigde derde partijen (advertising-partner wijziging); significante wijziging cookie-strategie (server-side tagging, cookieless tracking). Substantiele wijzigingen (nieuwe categorie cookies, nieuwe derde partijen, gewijzigde toestemming-mechanisme): nieuwe toestemming via cookie-banner; bestaande gebruikers krijgen herziene banner bij volgende bezoek. Vermeld datum laatste wijziging prominent. Jaarlijkse review: cookie-scan herhalen om nieuwe cookies te detecteren; update derde-partij lijst; verifieer dat CMP nog correct functioneert; review compliance met laatste AP-handhavingsbeleid en EU-wetgeving.
Wettelijke vereisten voor Cookiebeleid Website Nederland
Het Cookiebeleid Website Nederland is onderworpen aan uitgebreide wettelijke voorschriften uit Telecommunicatiewet, AVG, en aanvullende EU-wetgeving.
Telecommunicatiewet art. 11.7a (Nederlandse cookiewet). Art. 11.7a lid 1 vereist voorafgaande toestemming voor het plaatsen of uitlezen van informatie op apparaat van gebruiker (cookies, web beacons, fingerprinting, local storage); art. 11.7a lid 2 vereist daarnaast duidelijke en volledige informatie over wat plaats vindt. Uitzondering art. 11.7a lid 3: cookies strikt noodzakelijk voor door gebruiker gevraagde dienst zijn vrijgesteld van toestemming. Implementatie ePrivacy Richtlijn 2002/58/EG en Cookie Richtlijn 2009/136/EG. Toezichthouder: Autoriteit Persoonsgegevens (AP) voor privacy-aspecten; Autoriteit Consument en Markt (ACM) voor telecommunicatie-aspecten. Maximale boete onder Telecommunicatiewet art. 15.4: EUR 900.000 per overtreding (voor non-AVG cookie-overtredingen).
AVG art. 6 en 7 voor cookies die persoonsgegevens verwerken. Vrijwel alle cookies (behalve puur technische sessionId) verwerken persoonsgegevens onder AVG art. 4 lid 1 - tracking unieke individuen via cookies kwalificeert als verwerking. AVG art. 6 lid 1 sub a (toestemming) is grondslag voor marketing- en tracking-cookies. AVG art. 7 detailleert vereisten geldige toestemming: vrijelijk gegeven (geen koppeling aan onnodige diensten, gelijkwaardige weigeren-optie); specifiek (per cookie-categorie aparte toestemming); geinformeerd (cookiebeleid met details per cookie); ondubbelzinnig (actieve handeling, geen pre-vinkte vakjes); herroepbaar (intrekking net zo makkelijk als geven, AVG art. 7 lid 3). Bewijslast toestemming bij verantwoordelijke (AVG art. 7 lid 1) vereist Consent Management Platform met logging.
CJEU Planet49 (C-673/17, oktober 2019). Belangrijke EU-uitspraak over cookie-toestemming: pre-vinkte vakjes (default opt-in) voldoen NIET aan AVG art. 7 toestemming-vereiste, zelfs voor uniform geinformeerde gebruikers. Toestemming vereist actieve, ondubbelzinnige handeling. Dit verbiedt vrijwel alle vormen van impliciete toestemming (continuing browsing wordt als acceptance gezien) en pre-checked options. Toepassing in Nederland: AP-handhavingsbeleid 2022 verwijst expliciet naar Planet49; cookie-banner moet expliciete opt-in vereisen voor niet-noodzakelijke cookies.
AP-handhavingsbeleid cookies 2022. Autoriteit Persoonsgegevens publiceerde in 2022 specifiek handhavingsbeleid voor cookies. Belangrijkste vereisten: 1) Gelijkwaardige weigeren-knop in cookie-banner - 'Accepteren' en 'Weigeren' moeten gelijke prominentie en bereikbaarheid hebben; cookie-walls die alleen 'Accepteer alles' bieden zijn niet acceptabel. 2) Granulaire opties per categorie - bezoeker moet kunnen kiezen per cookie-categorie (functioneel, analytisch, marketing, social media). 3) Geen donker patroon UX - design dat weigeren bewust moeilijk maakt is overtreding. 4) Eenvoudige intrekking - cookie-icoon op elke pagina of CMP-portal direct toegankelijk. 5) Voor analytische cookies zonder toestemming: strikt voldoen aan IP-anonimisering, geen data-delen, geen cross-site tracking. Niet-naleving: boete tot 4% wereldwijde omzet onder AVG art. 83.
Google Consent Mode v2 (verplicht vanaf maart 2024). Google introduceerde Consent Mode v2 in maart 2024 als vereiste voor adverteerders die Google Ads en Google Analytics 4 gebruiken in EU. Consent Mode v2 vereist communiceren van twee toestemming-signalen aan Google: ad_storage (advertising) en analytics_storage (analytics), plus ad_user_data en ad_personalization. Implementatie via CMP met Google Consent Mode-integratie (Cookiebot, OneTrust, Usercentrics ondersteunen dit). Bij niet-implementatie: verminderde advertising-effectiviteit (geen remarketing, conversion modeling reduced) en mogelijke account-suspensie door Google. EU Digital Markets Act gatekeeper-status van Google maakt dit relevant voor compliance.
Digital Services Act (DSA, EU 2022/2065). DSA verbiedt sinds februari 2024 gerichte advertenties aan minderjarigen onder 17 jaar (DSA art. 28 lid 2) en gerichte advertenties op basis bijzondere persoonsgegevens (art. 26 lid 3). Voor cookies: marketing- en tracking-cookies mogen niet worden gebruikt voor profilering minderjarigen of profilering op bijzondere gegevens. Aanvullende eisen voor Very Large Online Platforms (VLOPs) zoals Booking.com, AliExpress, en Very Large Online Search Engines (VLOSEs) zoals Google Search, Bing: transparantie over advertising algoritmes; mogelijkheid voor gebruikers om profilering uit te schakelen. Boete tot 6% wereldwijde omzet.
Digital Markets Act (DMA, EU 2022/1925). Sinds 2 mei 2023 effectief voor gatekeepers (Apple, Google, Meta, Microsoft, Amazon, ByteDance/TikTok). Voor cookies: gatekeepers mogen niet zonder expliciete toestemming gebruikersgegevens combineren van verschillende eigen diensten (Google Search + YouTube + Maps + etc combinen) of van eigen dienst met third-party services. Implicatie voor websites: cookies van Google-services (Analytics, Ads, Maps, YouTube embedded) hebben sinds DMA strengere consent-eisen; cross-service tracking vereist actief gebruiker-akkoord.
ePrivacy Verordening (in voorbereiding sinds 2017). EU werkt sinds 2017 aan ePrivacy Verordening die ePrivacy Richtlijn zal vervangen en cookie-regels EU-breed harmoniseert. Planning ingangsdatum 2026-2027 (was meerdere keren uitgesteld). Verwachte wijzigingen: 1) Harmonisatie cookie-toestemming EU-breed (nu lidstaat-implementatie). 2) Sterkere positie van browser-instellingen als toestemming-signal (Do Not Track signal mogelijk gelding krijgen). 3) Beperking cookies voor strikt noodzakelijke en bepaalde analytische zonder toestemming. 4) Sterkere transparantie-eisen via standardized icons. 5) Centralisering toezicht via Europese Privacy Toezichthouder (European Data Protection Board, EDPB). Tot dan: Telecommunicatiewet hoofdkader Nederland.
IAB Europe TCF v2.2 (Transparency & Consent Framework). Industrie-brede standaard voor toestemming-management in online advertising. IAB Europe Transparency and Consent Framework versie 2.2 (uitgebreide vereisten na CNIL-handhaving 2022 die TCF v2.0 ongeldig verklaarde). Voor websites met programmatic advertising (advertising via real-time bidding marketplaces): TCF-compliance verplicht voor advertising vendors; CMP moet TCF-compatibel zijn; vendor-lijst moet beschikbaar zijn via IAB Global Vendor List. Voor publishers: aanbevolen TCF v2.2 implementatie voor advertising-revenue continuiteit. Niet-naleving: advertising-vendors stoppen met aanleveren ads of laagwaardige ads.
Google Privacy Sandbox en cookieless future. Google Chrome (60%+ marktaandeel) heeft third-party cookies deprecated; Privacy Sandbox biedt alternatieven via Topics API (interest-based advertising via on-device categorisering), Protected Audience API (remarketing via on-device auctions), Attribution Reporting API (conversion measurement met privacy-waarborgen). Voor cookiebeleid implicaties: third-party cookies van adverteerders worden geleidelijk minder relevant; eerste-party data en server-side tracking worden belangrijker; mogelijke nieuwe toestemming-vereisten voor Topics API en andere Privacy Sandbox features. Anticipeer in cookiebeleid: regelmatige review en update bij wijziging cookie-strategie.
Veelgemaakte fouten bij uw Cookiebeleid Website Nederland
De volgende fouten worden bij het opstellen van een Cookiebeleid Website Nederland regelmatig gemaakt en leiden tot AP-boetes en consumenten-vertrouwensverlies.
Fout 1 - Cookie-wall die alleen 'Accepteer alles' biedt. Veel websites tonen cookie-banner met alleen 'Accepteer' knop, soms een verstopte 'Meer info'-link maar geen gelijkwaardige 'Weigeren' optie. AP-handhavingsbeleid 2022 verklaart cookie-walls expliciet onacceptabel; Talpa Network kreeg EUR 290.000 boete in 2024 voor deze constructie. Best practice: cookie-banner met gelijkwaardige 'Accepteren' EN 'Weigeren' knoppen, beide met dezelfde prominentie en bereikbaarheid; granulaire opties per categorie via 'Voorkeuren beheren' knop; mogelijkheid om alleen functionele cookies te accepteren zonder marketing-cookies; geen donker patroon UX (kleine 'weigeren'-knop in lichte kleur naast grote groene 'accepteer alles'-knop).
Fout 2 - Pre-vinkte vakjes voor optionele cookies. CJEU Planet49 (C-673/17, oktober 2019) verklaarde pre-vinkte vakjes voor cookie-toestemming ongeldig. Veel cookie-banners gebruiken nog steeds default opt-in voor analytische of marketing-cookies. Best practice: alle optionele categorieen (analytisch, marketing, social media) moeten standaard UIT staan in cookie-banner; bezoeker moet actief vakjes aanvinken voor toestemming; opt-in alleen voor strikt noodzakelijke cookies (geen toestemming nodig); voor analytisch onder AP-handhaving 2022 met strikte voorwaarden eventueel default aan, maar bewijslast bij organisatie dat voorwaarden vervuld zijn.
Fout 3 - Onvolledige cookie-lijst zonder periodieke scan. Cookiebeleidteksten lijsten vaak alleen bekende cookies (Google Analytics, Facebook Pixel) zonder cookies van advertising-network partners, customer support tools, A/B-testing platforms. Bij audit blijken meer cookies aanwezig dan in cookiebeleid vermeld; transparantie-overtreding AVG art. 12 en Telecommunicatiewet. Best practice: periodieke cookie-scan via geautomatiseerde tools (Cookiebot Cookie Scanner, OneTrust, Termly) minimaal per kwartaal; manual check via browser DevTools per pagina-categorie; bij nieuwe tool of integratie automatische cookie-lijst update; bij CMP gebruik: actieve geatomatiseerde scanning ingeschakeld.
Fout 4 - Geen onderscheid tussen toestemming-vrijgesteld en toestemming-vereist. Veel cookiebeleidteksten behandelen alle cookies gelijk zonder onderscheid tussen strikt noodzakelijke cookies (geen toestemming nodig onder Telecommunicatiewet art. 11.7a lid 3) en cookies waarvoor toestemming verplicht is. Bezoeker krijgt cookie-banner ook voor sessionId of CSRF-token wat niet nodig is. Best practice: duidelijk onderscheid vier categorieen (strikt noodzakelijk, analytisch, marketing, social media); voor strikt noodzakelijk geen toestemming vragen (gewoon plaatsen); voor analytisch onder voorwaarden geen toestemming (anders wel); voor marketing en social media altijd voorafgaande toestemming; cookie-banner alleen voor categorieen die toestemming vereisen; eventueel info-bericht voor strikt noodzakelijke cookies (transparantie) zonder toestemming-vraag.
Fout 5 - Onvoldoende informatie over derde partijen en internationale doorgifte. Cookiebeleidteksten missen vaak: identificatie derde partijen die cookies plaatsen (Google Ireland, Meta Platforms Ireland, LinkedIn Corporation); hosting-locatie van derde-partij data (vrijwel altijd VS voor Google, Meta, LinkedIn); juridische basis voor doorgifte buiten EU/EER (EU-US Data Privacy Framework sinds juli 2023, Standard Contractual Clauses 2021/914). Schrems II-context (CJEU C-311/18 juli 2020) vereist transparantie over surveillance-risico bij VS-transfers. Best practice: vermeld per derde-partij naam, hoofdvestiging, link naar privacybeleid derde; voor VS-providers vermeld EU-US DPF-certificering of SCC plus supplementary measures; mogelijkheid voor bezoeker om copy van waarborgen op te vragen.
Fout 6 - Geen update bij wijziging cookies of CMP. Cookiebeleidteksten worden vaak eenmaal opgesteld bij implementatie en daarna jarenlang niet aangepast, terwijl organisatie nieuwe cookies toevoegt (nieuwe advertising-platform, A/B-testing tool, customer support widget). Werkelijke cookies wijken af van cookiebeleid; bezoeker wordt onjuist geinformeerd; toestemming voor nieuwe cookies is niet verkregen. Best practice: jaarlijkse review cookiebeleid in combinatie met cookie-scan; bij nieuwe cookie-categorie: nieuwe toestemming via cookie-banner; versioning cookiebeleid met datum laatste wijziging prominent; automatische cookie-scanning ingeschakeld in CMP voor detectie nieuwe cookies; medewerker-training (marketing, development) over cookie-impact bij nieuwe tools.
Fout 7 - Onduidelijke intrekking-procedure. Intrekking toestemming moet net zo makkelijk zijn als geven (AVG art. 7 lid 3), maar veel websites verbergen intrekking-mogelijkheid achter meerdere klikken in cookiebeleid-tekst of vragen volledige uitlog. Best practice: cookie-icoon prominent op elke pagina (linksonder of rechtsonder, klein maar zichtbaar); direct opent CMP-portal voor herziening voorkeuren; alternatief link in footer 'Cookies beheren'; minimum mogelijk klikken voor intrekking (1-2 klikken); bevestiging dat voorkeuren zijn aangepast; geen donker patroon UX dat intrekking moeilijk maakt.
Fout 8 - Geen rekening houden met minderjarigen onder DSA. Sinds februari 2024 verbiedt Digital Services Act (DSA art. 28) gerichte advertenties aan minderjarigen onder 17 jaar. Voor websites die mede toegankelijk zijn voor jongeren is dit relevant voor marketing-cookies en profilering. Best practice: identificeer of website mede gericht is op jongeren (gaming, social, educatie, content voor jongeren); implementeer leeftijdsverificatie waar relevant; geen marketing-cookies of behavioral advertising voor gebruikers <17 jaar; voor kinderen <16 jaar onder UAVG art. 5: ouderlijke toestemming voor niet-noodzakelijke cookies; kindvriendelijke cookie-banner in begrijpelijke taal; documentatie maatregelen voor accountability AVG art. 5 lid 2.
Bronnen en Citaten
Wettelijke citaten linken naar officiële overheidsbronnen.
- DSAEU official
- Digital Services ActEU official
- Digital Markets ActEU official
- DMAEU official
Citeer deze pagina
Verwijs naar dit gratis sjabloon in een artikel, lesplan of onderzoeksnotitie:
Forms Legal. (2026). Cookiebeleid Website Nederland (Nederland) [Legal document template]. Forms Legal. https://forms-legal.com/nl/netherlands/business/policies/cookiebeleid
"Cookiebeleid Website Nederland (Nederland)." Forms Legal, 2026, https://forms-legal.com/nl/netherlands/business/policies/cookiebeleid.
@misc{formslegal-cookiebeleid,
author = {{Forms Legal}},
title = {Cookiebeleid Website Nederland (Nederland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/nl/netherlands/business/policies/cookiebeleid}},
note = {Free legal document template}
}Veelgestelde vragen
Een cookiebeleid is een informatiedocument waarin een website-eigenaar transparant uitlegt welke cookies en vergelijkbare tracking-technologieen op de website worden gebruikt, met welk doel, door welke partijen, hoe lang ze worden bewaard, en hoe bezoekers toestemming kunnen geven of intrekken. De wettelijke grondslag bestaat uit Telecommunicatiewet art. 11.7a (Nederlandse cookiewet, implementatie ePrivacy Richtlijn 2002/58/EG) en Algemene Verordening Gegevensbescherming (AVG / EU 2016/679) art. 6 lid 1 sub a (toestemming) en art. 7 (vereisten toestemming). Een cookiebeleid is verplicht in vrijwel elke situatie waarin een website cookies plaatst, behalve voor websites die uitsluitend strikt noodzakelijke cookies gebruiken zonder enige andere tracking. Concrete situaties waarin cookiebeleid verplicht is: 1) Vrijwel alle commerciele websites die analytics, advertising, social media-functionaliteit of marketing-cookies gebruiken; 2) E-commerce platforms met retargeting (Google Ads, Meta Pixel, LinkedIn Insight); 3) Nieuws- en mediawebsites met advertising-revenue; 4) B2B SaaS-platforms met marketing-website en user behavior tracking; 5) Mobile apps met embedded web-content of tracking-SDK's; 6) Websites met embedded content van derden (YouTube, Vimeo, Google Maps, social media share buttons). Niet-verplicht (informatie via privacybeleid volstaat): 1) Statische informatie-website met alleen sessionId en CSRF-token (strikt noodzakelijk); 2) Websites met uitsluitend privacy-vriendelijke analytics zonder cookies (Plausible, Fathom, Matomo zonder cookies). Boete-risico bij niet-naleving: tot 4% wereldwijde jaaromzet of EUR 20 miljoen onder AVG art. 83 lid 5; aanvullend EUR 900.000 per overtreding onder Telecommunicatiewet art. 15.4. Autoriteit Persoonsgegevens heeft sinds 2018 actief gehandhaafd: Coolblue EUR 750.000 (2024, inadequate toestemming en informatie); Talpa Network EUR 290.000 (2024, cookie-wall). Praktische tip: cookiebeleid voorbereid voor go-live nieuwe website; periodieke cookie-scan minimaal per kwartaal; CMP geimplementeerd voor toestemming-management; jaarlijkse review.
Onder Telecommunicatiewet art. 11.7a en AVG art. 6 lid 1 sub a worden cookies onderverdeeld in vier hoofdcategorieen met verschillende toestemming-vereisten. Categorie 1 - Strikt noodzakelijke (functionele) cookies: GEEN toestemming vereist onder Telecommunicatiewet art. 11.7a lid 3 (uitzondering voor cookies strikt noodzakelijk voor door gebruiker gevraagde dienst). Voorbeelden: sessionId (gebruiker-sessie tijdens bezoek); cartContents (winkelwagen-onthouding 30 dagen); languagePref (taal-voorkeur 1 jaar); csrf_token (cross-site request forgery beveiliging); load_balancer (routing naar juiste server); authentication-cookies bij login; payment-flow cookies bij checkout. Categorie 2 - Analytische cookies (geanonimiseerd): GEEN toestemming vereist mits voldaan aan AP-handhavingsbeleid 2022 met strikte voorwaarden: IP-adres geanonimiseerd (laatste octet verwijderd); geen data-deling met derden of advertising; geen cross-site tracking; geen identificatie individuele bezoeker. Voorbeelden voldoen aan voorwaarden: Matomo _pk_id 13 maanden met privacy-vriendelijke instellingen; Google Analytics 4 met IP-anonimisering en data-sharing UIT. Bij twijfel of niet aan voorwaarden voldaan: behandel als marketing-cookie met toestemming. Categorie 3 - Marketing- en tracking-cookies: TOESTEMMING VERPLICHT onder Telecommunicatiewet art. 11.7a lid 1. Voorbeelden: Google Ads _gcl_au (90 dagen, conversion tracking); _gcl_aw (90 dagen, click attribution); Meta Pixel _fbp (90 dagen, Facebook/Instagram retargeting); LinkedIn Insight li_fat_id (30 dagen, B2B-tracking); TikTok Pixel _ttp (13 maanden); Pinterest Pixel _pin_unauth (1 jaar); Bing Ads _uetsid en _uetvid (24 uur, 16 dagen). Categorie 4 - Social media en embedded content cookies: TOESTEMMING VERPLICHT. Voorbeelden: YouTube embedded video DOUBLE_CONSENT_COOKIE (8 maanden); VISITOR_INFO1_LIVE (6 maanden); Facebook Like/Share button c_user en xs; LinkedIn Share button bcookie (1 jaar) en lidc (1 dag); Twitter/X widget personalization_id (2 jaar); Vimeo embedded player vuid (2 jaar). Voor de cookie-banner is best practice: voor strikt noodzakelijke cookies geen toestemming vragen (gewoon plaatsen) maar wel informatie via cookiebeleid; voor analytische onder strikte voorwaarden eventueel default 'aan' met opt-out optie; voor marketing en social media altijd voorafgaande toestemming via opt-in. Modern alternatief: gebruik cookieless analytics (Plausible, Fathom) zonder toestemming-vereiste; server-side tracking via own-domain om third-party cookies te vermijden; placeholder met click-to-load voor embedded content (bezoeker klikt actief om video te laden, geeft impliciete toestemming).
Autoriteit Persoonsgegevens publiceerde in 2022 specifiek handhavingsbeleid voor cookies dat eisen stelt aan cookie-banner ontwerp. Sindsdien zijn meerdere boetes opgelegd voor niet-naleving: Coolblue EUR 750.000 (2024), Talpa Network EUR 290.000 (2024). AP-vereisten voor compliant cookie-banner: 1) Gelijkwaardige weigeren-knop verplicht. 'Accepteren' en 'Weigeren' knoppen moeten gelijke prominentie, kleur en bereikbaarheid hebben. Cookie-walls die alleen 'Accepteer alles' bieden zijn ongeoorloofd. Best practice: twee knoppen naast elkaar, dezelfde grootte en kleur. 2) Geen pre-vinkte vakjes voor optionele cookies. CJEU Planet49 (C-673/17, oktober 2019) verklaarde pre-vinkte vakjes ongeldig. Voor optionele categorieen (analytisch, marketing, social media): default UIT in voorkeuren-overzicht. 3) Granulaire opties per cookie-categorie. Bezoeker moet kunnen kiezen per categorie (functioneel, analytisch, marketing, social media) - niet alleen alles aan of alles uit. Implementatie: 'Voorkeuren beheren' knop opent gedetailleerd menu. 4) Geen donker patroon UX. Design dat weigeren bewust moeilijk maakt is overtreding: kleine 'weigeren' knop in lichte kleur naast grote 'accepteer alles' in opvallende kleur; verborgen 'weigeren' onder 'Meer info' link; cookie-banner die niet kan worden weggeklikt zonder accepteren. 5) Volledige informatie via link naar cookiebeleid. Korte uitleg in banner; link naar volledig cookiebeleid voor details per cookie. 6) Eenvoudige intrekking-procedure. Cookie-icoon op elke pagina (gangbaar linksonder of rechtsonder, klein maar zichtbaar); klik opent CMP-portal voor herziening. Best practice cookie-banner ontwerp specifiek: a) Prominente positionering aan onderkant scherm of overlay (niet midden om interactie met website-content niet onnodig te blokkeren); b) Duidelijke titel 'Wij gebruiken cookies' of vergelijkbaar; c) Korte uitleg (1-2 zinnen) over wat cookies zijn en waarvoor gebruikt; d) Gelijkwaardige 'Accepteren' en 'Weigeren' knoppen, beide met dezelfde prominentie en bereikbaarheid; e) Link of knop 'Voorkeuren beheren' voor granulaire opties per categorie; f) Link 'Cookiebeleid' voor volledig document; g) Mobile-optimized: responsive design; voldoende grote knoppen voor tap-targets; geen tab-trap; h) Geen banner-versteken na scrolling of timer-based dismissal; i) Banner blijft tonen tot bezoeker actieve keuze maakt (Accepteren, Weigeren, of Voorkeuren). Voor compliance: gebruik gevalideerd Consent Management Platform (Cookiebot, OneTrust, Usercentrics, Complianz) dat AP-handhavingsbeleid implementeert; periodieke test met testers en compliance-audits; A/B-test voor optimale user experience zonder compliance-compromis. Voor de Privacybeleid Website Nederland en cookiebeleid gezamenlijk: zorg voor consistent design en messaging; cookie-banner verwijst naar privacybeleid voor algemene info en cookiebeleid voor details.
Een Consent Management Platform (CMP) is software die toestemming voor cookies (en breder: data-verwerking) management automatiseert: cookie-banner tonen, granulaire opties bieden, toestemming registreren met audit-trail, periodieke re-prompt voor verlopen toestemming, intrekking faciliteren via cookie-icoon. Voor websites met meer dan alleen strikt-noodzakelijke cookies is een CMP feitelijk onmisbaar voor AVG- en cookiewet-compliance, gezien complexiteit van vereisten en bewijslast. Verplichting: niet expliciet wettelijk verplicht, maar feitelijk noodzakelijk gezien toestemming-vereisten AVG art. 7 (vrijelijk, specifiek, geinformeerd, ondubbelzinnig, herroepbaar) plus bewijslast (art. 7 lid 1) plus AP-handhavingsbeleid 2022 met granulaire opties en gelijkwaardige weigeren-knop. Zonder CMP is correcte implementatie vrijwel onmogelijk; AP-boetes zoals Coolblue EUR 750.000 (2024) tonen risico bij onvoldoende implementatie. Belangrijke CMP-functionaliteit: 1) Cookie-banner ontwerp met compliance-defaults (gelijkwaardige knoppen, geen pre-vinkte vakjes, granulaire opties). 2) Automatische cookie-scanning en categorisering (bij installatie en periodiek voor nieuwe cookies). 3) Toestemming-registratie met IP, timestamp, user-agent, gekozen opties voor accountability AVG art. 7 lid 1. 4) Auditlog en bewijsvoering voor compliance-audits door AP of derde-partij. 5) Periodieke re-prompt voor verlopen toestemming (gangbaar 12-13 maanden). 6) Intrekking via cookie-icoon op elke pagina; opent CMP-portal voor herziening. 7) Google Consent Mode v2 integratie (sinds maart 2024 vereist voor Google Ads/Analytics EU). 8) IAB TCF v2.2 ondersteuning voor advertising-vendors. 9) Multi-language support voor internationale websites. 10) Mobile-optimized design. Bekende CMP-leveranciers en kosten: Cookiebot (Cybot) - gratis voor MKB <100 pagina's met basic features; EUR 15-200/maand voor enterprise met advanced features; Deense vendor, AVG-compliant default. OneTrust - enterprise focus; EUR 1.000-5.000+/maand; uitgebreide functionaliteit; populair bij Fortune 500. Usercentrics - privacy-focus; EUR 50-500/maand; Duitse vendor; sterke EU-compliance. Complianz - WordPress plugin; EUR 50-200 eenmalig of EUR 5-15/maand abonnement; populair bij MKB met WordPress; goede AP-compliance. Termly - klein-business focus; EUR 0-30/maand; Engels-talig met multi-language; eenvoudige implementatie. Klaro! - open-source CMP; gratis; technische kennis vereist voor implementatie; goede voor compliance-bewuste developers. Iubenda - betalingsbasis; EUR 27-99/maand; uitgebreid en automatisch; populair bij MKB Europa. Keuze afhankelijk van: 1) Grootte website (klein-MKB vs enterprise); 2) Platform (WordPress, Shopify, custom); 3) Budget (gratis tier voor MKB; enterprise spend voor compliance-kritieke organisaties); 4) Integraties (Google Consent Mode v2, IAB TCF v2.2, custom analytics); 5) Multi-jurisdictie behoefte (alleen NL vs EU-breed vs wereldwijd); 6) Compliance-niveau (basic vs enterprise-grade); 7) Tech-team capaciteit (no-code SaaS vs zelf-hosted oplossing). Implementatie-tips: 1) Test verschillende CMP's via free tier of trial; 2) Verifieer dat CMP voldoet aan AP-handhavingsbeleid 2022 (gelijkwaardige weigeren-knop, granulaire opties); 3) Implementeer Google Consent Mode v2 voor Google Ads/Analytics-effectiviteit; 4) Periodieke compliance-check via testers en interne audit; 5) Documenteer CMP-keuze en configuratie voor accountability AVG art. 5 lid 2.
Cookies van grote advertising- en analytics-platforms (Google Analytics, Google Ads, Meta Pixel) vereisen specifieke aandacht voor AVG- en cookiewet-compliance, mede gezien hun marktdominantie en Schrems II-implicaties. Google Analytics 4 (GA4) - Analytics-platform van Google met cookies _ga (2 jaar, client_id), _gid (24 uur, sessie-onderscheid), _ga_<container-id> (2 jaar, session counter). Compliance opties: 1) Standaard GA4 met toestemming: vereist opt-in via cookie-banner; eenvoudigste compliance-route. 2) GA4 zonder toestemming (analytische cookie vrijstelling): vereist strikte voorwaarden per AP-handhavingsbeleid 2022 - IP-anonimisering aan (default in GA4); data-deling met Google uit (Property Settings > Data Sharing); geen advertising features (Audiences, Demographics, Interests); geen cross-site tracking via Google Signals; geen data-retentie langer dan strikt noodzakelijk. Bij twijfel: behandel als marketing-cookie met toestemming. 3) Server-side GA4 via Google Tag Manager Server Container: eigen domein, minder cookies, betere compliance. 4) Cookieless alternatieven: Plausible Analytics, Fathom Analytics, Matomo (selfhosted, geen cookies optie) - geen toestemming nodig. Google Ads conversion tracking - Cookies _gcl_au (90 dagen, click identifier), _gcl_aw (90 dagen, click attribution), _gcl_dc (90 dagen, conversion data). Compliance: vereist altijd opt-in via cookie-banner (marketing-cookie); sinds maart 2024 verplicht Google Consent Mode v2 voor effectiviteit. Implementatie: 1) Gebruik CMP met Google Consent Mode v2 integratie (Cookiebot, OneTrust, Usercentrics, Complianz). 2) Configureer beide signalen (ad_storage, analytics_storage, ad_user_data, ad_personalization) per categorie toestemming. 3) Verifieer correcte werking via Google Tag Assistant. Zonder Consent Mode v2 in EU: verminderde advertising-effectiviteit (geen remarketing, conversion modeling reduced) en mogelijke account-suspensie door Google. Meta Pixel (Facebook/Instagram) - Cookie _fbp (90 dagen, browser ID voor retargeting), _fbc (90 dagen, click identifier voor attribution). Compliance: altijd opt-in via cookie-banner (marketing-cookie); aanvullende beperkingen onder DMA voor Meta als gatekeeper. Implementatie: 1) Pixel script alleen laden na toestemming (CMP blokkeert standaard); 2) Conversions API als server-side alternatief (minder cookie-afhankelijk); 3) Limited Data Use signal voor specifieke US-rechtsgebieden (Connecticut, Colorado, Virginia). Voor B2B-advertising overweeg LinkedIn Insight Tag (li_fat_id 30 dagen, similar compliance-route). Schrems II-context voor VS-providers (Google, Meta): sinds CJEU C-311/18 (juli 2020) en EU-US Data Privacy Framework (besluit juli 2023) zijn cookies van VS-providers extra gevoelig. Voor compliance: 1) Verifieer EU-US DPF-certificering van provider via dataprivacyframework.gov; 2) Bij EU-US DPF: contractuele verklaring certificering plus opzegrecht bij verlies; 3) Vermeld in cookiebeleid de doorgifte naar VS en juridische basis; 4) Voor overheid en zorg: overweeg European alternatieven (Matomo selfhosted in EU; Plausible in EU; Reportz; Webgains EU). Praktische compliance check: 1) Cookie-scan via CMP toont alle Google/Meta cookies; 2) Verifieer dat cookies pas laden na toestemming via DevTools Network tab; 3) Test toestemming-intrekking: cookies moeten direct stoppen met laden; 4) Documentatie voor accountability: CMP-configuratie, toestemming-logs, periodic reviews. Voor websites zonder advertising-revenue: overweeg volledig cookieless setup (Plausible voor analytics, geen ads) voor maximum privacy en geen consent-management complexiteit.
Cookies van embedded content (YouTube videos, Vimeo videos, social media share buttons) vormen een veelvoorkomende compliance-uitdaging gezien deze cookies van derden zijn die buiten directe controle van website-eigenaar vallen. YouTube embedded videos - Cookies van Google: DOUBLE_CONSENT_COOKIE (8 maanden), VISITOR_INFO1_LIVE (6 maanden), YSC (sessie), CONSENT (16 maanden), PREF (8 maanden). Alle vereisen toestemming als marketing/tracking-cookie. Standaard YouTube embed plaatst cookies direct bij laden van video-frame, ook zonder afspelen. Compliance opties: 1) Vervang door YouTube-nocookie domain: embed met www.youtube-nocookie.com in plaats van www.youtube.com; plaatst aanzienlijk minder cookies, maar nog steeds enkele tracking-cookies; geen volledig toestemming-vrije oplossing. 2) Click-to-load placeholder: toon static placeholder (thumbnail) van video; bezoeker klikt actief op afspeel-icoon om video te laden; impliciete toestemming via click-actie. Implementatie via vanilla JavaScript, jQuery, of frameworks. 3) Volledige toestemming via CMP: cookie-banner moet toestemming vragen voor 'Social media' categorie; YouTube laadt pas na toestemming. 4) Self-hosted video: upload video op eigen server (geen cookies); geen YouTube features (geen automatische subtitle, geen related videos), kostbare bandwidth. Vimeo embedded videos - Cookies: vuid (Vimeo unique identifier, 2 jaar), player (player settings, sessie), Vimeo SSL (sessie). Vergelijkbare aanpak als YouTube: 1) Click-to-load placeholder (aanbevolen voor compliance); 2) Toestemming via CMP voor 'Social media' categorie; 3) Self-hosted alternatief. Vimeo plaatst minder cookies dan YouTube; iets eenvoudiger compliance. Voor compliance-focused organisaties: overweeg PeerTube of Bunny.net als European alternatieven met minimaal tracking. Social media share buttons (Facebook Like, X/Twitter Share, LinkedIn Share, Pinterest Pin) - Cookies: Facebook c_user en xs (sessie en 90 dagen, gebruiker-identificatie indien ingelogd); LinkedIn bcookie (1 jaar) en lidc (1 dag); X/Twitter personalization_id (2 jaar); Pinterest _pinterest_referrer (sessie). Compliance: alle vereisen toestemming als social media-cookie. Modern alternatief: gebruik tracking-free share buttons zoals shareriff.com (geen cookies), Shareaholic (configureer no-tracking mode), AddThis nieuw met privacy-modus, of eigen implementation via mailto: en social media URL schemes (deze openen native share dialog zonder cookies). Embedded social media feed (Instagram feed, Twitter timeline op website) - Plaatsen uitgebreide cookies en zijn vrijwel onmogelijk privacy-compliant. Alternatief: cache feed server-side; toon laatste posts via eigen rendering zonder Instagram/Twitter cookies. Google Maps embedded - Cookies NID, SID, HSID (Google account cookies indien ingelogd), 1P_JAR (klikgedrag), CONSENT (toestemming Google). Compliance: vereist toestemming voor 'Marketing' of 'Social media' categorie afhankelijk van interpretatie. Alternatief: 1) OpenStreetMap embed (geen cookies, open-source); 2) MapBox (configureerbaar voor minimaal tracking); 3) Static map image (geen cookies, geen interactie). Best practice voor embedded content compliance: 1) Inventariseer alle embedded content op website via scan; 2) Voor elke embedded source bepaal compliance-strategie (click-to-load vs CMP vs alternative); 3) Click-to-load placeholder is meest privacy-vriendelijke optie zonder toestemming-overhead; 4) Documenteer in cookiebeleid welke embedded services worden gebruikt en welke aanpak; 5) Bij CMP-toestemming: testen dat embedded content correct laadt na toestemming; 6) Mobile-optimized testing (embedded content gedraagt zich soms anders op mobile). Voor MKB met beperkte resources: click-to-load placeholders zijn relatief eenvoudige implementatie met goed compliance-resultaat en minimale UX-impact.
Bewaartermijnen voor cookies vallen onder twee wettelijke kaders: Telecommunicatiewet art. 11.7a (cookies algemeen) en AVG art. 5 lid 1 sub e (opslagbeperking voor cookies die persoonsgegevens verwerken). Beide kaders vereisen dat cookies niet langer worden bewaard dan strikt noodzakelijk voor het doel waarvoor ze worden gebruikt. Standaard bewaartermijnen per cookie-categorie: 1) Functionele cookies (strikt noodzakelijk): typisch sessie tot 1 jaar afhankelijk van functie - sessionId vervalt bij sluiten browser; cartContents 30 dagen (gebruiker komt eventueel terug); languagePref 1 jaar (voorkeur onthouden); CSRF_token sessie (alleen tijdens bezoek). Onderbouw per cookie waarom bewaartermijn noodzakelijk is. 2) Analytische cookies (mits toestemming-vrijgesteld): typisch 13 maanden maximum. Matomo _pk_id 13 maanden (cohort-analyse over jaar); Google Analytics 4 cookies _ga 2 jaar (kan worden ingekort naar 14 of 26 maanden in GA4 Settings > Data Settings > Data Retention). AP-handhavingsbeleid 2022: hoe korter hoe beter; 13 maanden gangbaar als compromis tussen accountabity en privacy. 3) Marketing/tracking cookies: typisch 90 dagen voor conversion-attribution; 13 maanden voor long-term remarketing. Google Ads _gcl_au 90 dagen (attribution window); Meta Pixel _fbp 90 dagen; LinkedIn Insight 30 dagen. Onderbouw dat termijn proportioneel is aan business need. 4) Social media en embedded cookies: bepaald door derde-partij (Facebook, YouTube, LinkedIn) - cookies tot 2 jaar gangbaar voor cross-session functionaliteit. Geen directe controle voor website-eigenaar. 5) Authentication cookies (login): sessie voor persistent sessions (gebruiker blijft ingelogd 7-30 dagen); langere voor 'remember me' (90 dagen of langer met opt-in). 6) Cookie-toestemming cookies: typisch 12-13 maanden voor periodieke re-prompt door CMP; aanbevolen door AP voor verlopen toestemming. AVG-impact voor persoonsgegevens-cookies: AVG art. 5 lid 1 sub e (opslagbeperking) vereist niet langer dan noodzakelijk; AVG art. 13 lid 2 sub a vereist transparantie over bewaartermijnen in privacybeleid en cookiebeleid; AVG art. 17 (recht op vergetelheid) vereist verwijdering op verzoek voor cookies-data. Praktische tips voor cookie-retention management: 1) Documenteer per cookie de bewaartermijn en logica (cookie naam, doel, levensduur, derde partij); 2) Periodieke review of bewaartermijnen nog proportioneel zijn aan business need; 3) Bij vermindering bewaartermijn van bestaande cookies: update via CMP en cookiebeleid; 4) Gebruik cookie-scanning tools (Cookiebot, OneTrust) voor automatische detectie van cookies met afwijkende bewaartermijnen; 5) Voor third-party cookies: contact derde partij voor mogelijkheid om kortere bewaartermijn in te stellen of via privacy-instellingen aanpassen; 6) Voor analytics: verifieer en configureer data retention in tool (GA4 Settings > Data Retention 2 maanden tot 14 maanden); 7) Voor accountability AVG art. 5 lid 2: bewaar documentatie cookie-retention beleid en wijzigingen. Bij overschrijding van noodzakelijke bewaartermijn: dezelfde boete-risico's als andere AVG-overtredingen onder AVG art. 83 tier 2 (max EUR 20 miljoen of 4% wereldwijde omzet). AP heeft historisch gefocust op grotere overtredingen (geen toestemming, geen cookie-banner) maar bij audit kan retention worden gevraagd; documentatie van logica achter elke termijn is essentieel.
Boete-risico's voor niet-naleving cookiewet komen uit twee wettelijke kaders en kunnen substantieel zijn voor zowel MKB als enterprise organisaties. AVG art. 83 boetes voor cookies die persoonsgegevens verwerken (vrijwel alle cookies): Tier 1 (max EUR 10 miljoen of 2% wereldwijde jaaromzet) voor schending verwerker-verplichtingen, beveiligings-verplichtingen, datalek-meldplicht. Tier 2 (max EUR 20 miljoen of 4% wereldwijde jaaromzet) voor schending grondbeginselen verwerking (art. 5-6), informatieverplichtingen art. 12-13, betrokkenenrechten art. 12-22, internationale doorgifte art. 44-49. Cookies vallen onder tier 2 voor toestemming-overtredingen, transparantie-overtredingen, en internationale doorgifte zonder waarborgen. Telecommunicatiewet art. 15.4 boetes (specifiek voor cookies): EUR 900.000 per overtreding voor schending art. 11.7a (cookie-toestemming, informatieplicht). Boetes onder AVG en Telecommunicatiewet zijn cumulatief; toezichthouders kunnen zelfstandig boetes opleggen. Bekende Nederlandse boetes voor cookie-overtredingen: 1) Coolblue EUR 750.000 (2024) - cookies zonder geldige toestemming en inadequate privacy-informatie; toestemming-banner voldeed niet aan vereisten gelijkwaardige weigeren-knop. 2) Talpa Network EUR 290.000 (2024) - cookie-wall die alleen 'Accepteer alles' bood zonder gelijkwaardige weigeren-optie; in strijd met AP-handhavingsbeleid 2022. 3) Locatefamily.com EUR 525.000 (2024) - misleidende informatie en geen wettelijke grondslag voor verwerking. 4) Diverse waarschuwingen aan webshops, nieuwsmedia, en commerciele platforms zonder formele boete. EU-breed bekende cookie-boetes: 1) Meta EUR 1,2 miljard (2023) - Schrems II-overtreding voor data-transfers naar VS via cookies en andere mechanismen. 2) Google EUR 90 miljoen (2022 CNIL Frankrijk) - cookies banner ontwerp; geen gelijkwaardige weigeren-optie. 3) Facebook EUR 60 miljoen (2022 CNIL Frankrijk) - cookies banner ontwerp. 4) Amazon EUR 35 miljoen (2020 CNIL Frankrijk) - cookies zonder toestemming. 5) Carrefour EUR 1,75 miljoen (2024 CNIL Frankrijk) - cookies banner. Voor concern: boetes op basis wereldwijde omzet hele groep (consolideerde omzet), niet alleen Nederlandse entity - dit maakt zelfs kleine entity binnen multinational kwetsbaar voor zeer hoge boete. Naast directe boete-risico ook indirecte risico's: 1) Reputational damage en media-coverage; Coolblue en Talpa-boetes kregen significante pers-aandacht. 2) Klant-vertrouwen en business impact; bezoekers worden steeds privacy-bewuster. 3) Klacht-procedures bij AP (gratis voor klagers, kostbare voor organisaties qua tijd en resources). 4) Civiele claims door betrokkenen; collectieve acties mogelijk via Stichting WebbDoetlik, Consumentenbond. 5) Verlies advertising-effectiviteit bij Google Consent Mode v2 niet-implementatie; verminderde remarketing en conversion modeling. 6) Aansprakelijkheid management persoonlijk bij grove nalatigheid. AP-handhaving 2024-2026 focus volgens AP-jaarverslag: cookies en toestemming blijft top priority; nieuwe focus op AI en algoritmische besluitvorming, profilering, internationale doorgifte na Schrems II. Mitigatie-strategieen: 1) Implementeer compliant Consent Management Platform (Cookiebot, OneTrust, Usercentrics, Complianz). 2) Periodieke cookie-scan minimaal per kwartaal; CMP automatische scanning ingeschakeld. 3) Jaarlijkse review cookiebeleid en cookie-banner ontwerp; update bij nieuwe AP-handhavingsbeleid. 4) Documentation voor accountability AVG art. 5 lid 2: cookie-inventaris, CMP-configuratie, toestemming-logs, wijzigingen-historie. 5) Training development en marketing teams over cookie-impact bij nieuwe tools en integraties. 6) External audit door privacy-specialist (privacy law firm, Big Four advisory) elke 2-3 jaar voor onafhankelijke verificatie. 7) Cyber-insurance voor financiele dekking restrisico (EUR 1-10 miljoen coverage). 8) Bij twijfel: AP-consultatie via voorafgaande raadpleging onder AVG art. 36 voor high-risk verwerking. Investering in compliance (typisch EUR 5.000-25.000 jaarlijks voor MKB; EUR 50.000-500.000 voor enterprise) verdient zich vrijwel altijd terug door risico-mitigatie.
Dit sjabloon wordt uitsluitend ter informatie verstrekt en vormt geen juridisch advies. Wetten verschillen per rechtsgebied en veranderen in de loop van de tijd. Raadpleeg een gekwalificeerde advocaat voor advies dat is afgestemd op uw situatie.Volledige disclaimer
Een fout gevonden? Laat het ons wetenRelated Documents
You may also find these documents useful:
Privacybeleid Website Nederland
Privacybeleid voor een website conform Algemene Verordening Gegevensbescherming (AVG / EU 2016/679) art. 13 en Uitvoeringswet AVG 2018. Verplichte informatieverstrekking aan bezoekers over verzamelde gegevens, doeleinden, grondslagen en betrokkenenrechten.
Algemene Voorwaarden B2C (Consument)
Algemene voorwaarden voor business-to-consumer (B2C) overeenkomsten conform Burgerlijk Wetboek 6:231 tot 6:247 met inachtneming van de zwarte lijst (BW 6:236) en grijze lijst (BW 6:237) consumentenbescherming, herroepingsrecht 14 dagen en wettelijke garantie.
Algemene Voorwaarden B2B Nederland
Algemene voorwaarden voor zakelijke transacties (business-to-business) conform Burgerlijk Wetboek art. 6:231 tot 6:247 en EU Late Payment Directive 2011/7. Regelt aanbiedingen, betaling, levering, aansprakelijkheid, garantie, overmacht en geschillenbeslechting tussen ondernemingen.
Verwerkersovereenkomst Nederland (AVG Art. 28)
Verwerkersovereenkomst (Data Processing Agreement, DPA) tussen verwerkingsverantwoordelijke en verwerker conform Algemene Verordening Gegevensbescherming (AVG / EU 2016/679) art. 28 en Uitvoeringswet AVG 2018. Regelt instructies, beveiliging, datalek en betrokkenenrechten.