Wanneer ontstaat de plicht om een cookiebeleid te hebben?
Een cookiebeleid is verplicht zodra je website meer doet dan alleen technisch functioneren. De verplichting volgt uit twee wettelijke kaders: de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet.
De kernvraag is niet of je cookies gebruikt. De kernvraag is: verwerk je persoonsgegevens of plaats je niet-strikt-noodzakelijke cookies? Zodra het antwoord “ja” is, ontstaat een informatieplicht en vaak een toestemmingsplicht.
De bredere juridische basis achter cookies, toestemming en informatieplicht staat in cookiewet, AVG en cookiebeleid essentieel uitgelegd. Deze pagina zoomt daarna in op één specifiek punt: wanneer een cookiebeleid daadwerkelijk verplicht is.
AVG vs Telecommunicatiewet: wie regelt wat bij cookies
Veel ondernemers denken dat de AVG “de cookiewet” is. Dat is juridisch onjuist. Voordat je de juridische verschillen begrijpt, is het belangrijk te weten wat cookies precies zijn en hoe ze technisch functioneren binnen een website.
AVG → verwerking van persoonsgegevens
De AVG is van toepassing wanneer:
- Een cookie herleidbaar is tot een persoon, zoals via IP-adres, device-ID of login-ID
- Er profilering plaatsvindt
- Gegevens worden gekoppeld aan andere databronnen
- Er sprake is van doorgifte buiten de EU
Dan moet je een rechtsgrond hebben, transparant informeren, bewaartermijnen specificeren en de verwerking opnemen in je verwerkingsregister. Hier ontstaat direct de verplichting om dat vast te leggen in je cookiebeleid.
Telecommunicatiewet → plaatsen en uitlezen van cookies
De Telecommunicatiewet regelt iets anders: wanneer je cookies mag plaatsen, wanneer voorafgaande toestemming verplicht is en welke cookies daarvan zijn uitgezonderd omdat ze strikt noodzakelijk zijn.
| Situatie | Telecommunicatiewet | AVG |
|---|---|---|
| Functionele cookie | Geen toestemming | Wel informatieplicht |
| Trackingcookie | Toestemming vereist | Toestemming vereist |
| Analytics niet geanonimiseerd | Toestemming vereist | Toestemming vereist |
Je moet dus aan beide wetten voldoen.
Wanneer is een cookiebeleid wettelijk verplicht?
Is een cookiebeleid verplicht voor kleine bedrijven? Ja zodra je onder één van de onderstaande situaties valt.
1. Je verwerkt persoonsgegevens
Gebruik je analytics met IP-adressen, advertentiepixels, gepersonaliseerde dashboards, CRM-koppelingen of retargeting? Dan verwerk je persoonsgegevens. Dat activeert de AVG.
2. Je gebruikt tracking of marketingcookies
Tracking betekent bezoekersgedrag volgen, profielen opbouwen, advertenties personaliseren of remarketing inzetten. Marketingcookies zijn nooit strikt noodzakelijk. Daarom is voorafgaande toestemming verplicht.
3. Je gebruikt derde partijen
Gebruik je tools van externe aanbieders, dan moet je in je cookiebeleid vermelden:
- Naam van de partij
- Doel van de verwerking
- Rechtsgrond
- Doorgifte buiten de EU, bijvoorbeeld naar de VS
- Bewaartermijn
Dit is precies waar veel kleine ondernemers fouten maken.
Wanneer is voorafgaande toestemming verplicht?
Voorafgaande toestemming is verplicht wanneer:
- De cookie niet strikt noodzakelijk is
- Er tracking of profilering plaatsvindt
- Gegevens worden gedeeld met derde partijen
- Geen beroep mogelijk is op gerechtvaardigd belang
Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Een cookiebanner met alleen “OK” voldoet niet.
Functionele, analytische en trackingcookies: juridisch verschil uitgelegd
Het verschil tussen cookiecategorieën bepaalt of een cookiebeleid alleen informatief is of toestemmingsgedreven.
Functionele cookies
Functionele cookies zijn noodzakelijk voor winkelmandjes, inlogfunctionaliteit, beveiliging en taalinstellingen. Daarvoor is geen toestemming vereist, maar ze moeten wel in je cookiebeleid worden opgenomen.
Analytische cookies
Hier zit juridische nuance. Privacyvriendelijke analytics, zoals IP-anonimisering zonder data-sharing of advertentiekoppeling, kunnen onder voorwaarden zonder toestemming. Zodra analytics gegevens deelt met derden, niet geanonimiseerd is of wordt gekoppeld aan advertentiediensten, is toestemming verplicht.
Trackingcookies
Trackingcookies volgen gebruikers over meerdere websites, bouwen advertentieprofielen op en delen data met advertentienetwerken. Hier is toestemming altijd verplicht. Gerechtvaardigd belang is vrijwel nooit houdbaar.
Mini-beslisboom: heb jij een cookiebeleid nodig?
Gebruik je alleen strikt noodzakelijke cookies? Dan moet je informatie opnemen, maar geen toestemming vragen. Gebruik je analytics? Dan moet je de configuratie controleren; vaak is alsnog toestemming nodig. Gebruik je tracking of marketingtools? Dan zijn toestemming en een volledig cookiebeleid verplicht.
De vraag wanneer een cookiebeleid verplicht is volgens de AVG en Telecommunicatiewet eindigt dus vrijwel altijd in: ja, tenzij je website puur technisch functioneel is.
Wat moet er concreet in een cookiebeleid staan?
Als je wilt weten wat er in een cookiebeleid moet staan, dan moet je verder gaan dan een algemene uitleg over cookies. De informatieplicht onder de AVG vereist concrete, herleidbare informatie per verwerking.
Een juridisch correct cookiebeleid bevat minimaal:
1. Doel per cookie
Niet: “voor marketingdoeleinden”. Wel: conversiemeting via advertentieplatform, gedragsanalyse voor optimalisatie, ingelogde sessiebeveiliging of personalisatie van content. De doelomschrijving moet specifiek zijn. Vage formuleringen voldoen niet aan de transparantie-eis.
2. Cookieduur
Vermeld per cookie of het een sessiecookie is of een permanente cookie met bijvoorbeeld 30 dagen, 6 maanden of 2 jaar looptijd. De bewaartermijn moet proportioneel zijn. Onbeperkte duur zonder onderbouwing is juridisch risicovol.
3. Derde partijen
Bij third-party cookies moet je specificeren:
- Naam van de partij
- Rol als verwerker of mede-verwerkingsverantwoordelijke
- Land van verwerking
- Eventuele doorgifte buiten de EU
Gebruik je advertentietools of analytics met internationale servers, dan moet je dit expliciet vermelden in je cookiebeleid.
4. Rechtsgrond en bewaartermijnen
Voor elke categorie moet duidelijk zijn of toestemming wordt gebruikt als rechtsgrond, of gerechtvaardigd belang, en hoe lang gegevens worden bewaard. Hier maken veel ondernemers fouten. Een cookiebeleid is ook voor kleine bedrijven verplicht zodra beperkte marketingtools persoonsgegevens raken.
5. Toestemming intrekken
Je moet uitleggen hoe gebruikers toestemming kunnen wijzigen, hoe zij cookies kunnen verwijderen en hoe bezwaar kan worden gemaakt. Een cookiebanner zonder intrekmechanisme is juridisch incompleet.
Minimale juridische checklist voor een cookiebeleid
Een cookiebeleid moet minimaal bevatten:
- Overzicht van cookiecategorieën zoals functioneel, analytisch en marketing
- Concrete doelomschrijving per cookie
- Cookieduur per categorie
- Benoeming van derde partijen en doorgifte buiten de EU
- Toestemmingsmechanisme inclusief intrekking
Ontbreekt één van deze elementen, dan voldoet je cookiebeleid niet aan de AVG en Telecommunicatiewet.
Handhaving en risico’s: wat controleert de Autoriteit Persoonsgegevens?
De naleving wordt gecontroleerd door de Autoriteit Persoonsgegevens. Voor overtredingen rond toestemming kan ook de Autoriteit Consument & Markt optreden.
Handhavingstraject
Het traject verloopt meestal als volgt:
- Klacht van een betrokkene
- Onderzoek naar toestemmingsmechanisme
- Controle op logging en documentatie
- Beoordeling van rechtsgrond en proportionaliteit
Bij tracking zonder geldige opt-in is handhaving reëel.
Boetecategorieën
Onder de AVG kunnen boetes oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet. Ook bij kleine ondernemingen kan een boete worden opgelegd als structureel geen toestemming wordt gevraagd.
Aansprakelijkheid
Als verwerkingsverantwoordelijke draag je zelf de eindverantwoordelijkheid, ook wanneer een externe webbouwer of marketingbureau de cookies heeft geïmplementeerd. Uitbesteden ontslaat je niet van aansprakelijkheid.
Bewijslast bij klachten
Bij een klacht moet jij aantonen:
- Dat toestemming vooraf is verkregen
- Voor welke categorie
- Op welk moment
- Met welke versie van de cookiebanner
Zonder logging sta je juridisch zwak. Dit is precies waarom de vraag wanneer een cookiebeleid verplicht is niet alleen inhoudelijk, maar ook bewijsrechtelijk relevant is.
Technische implementatie: CMP, logging en audit trail
Een juridisch correct cookiebeleid zonder technische borging is waardeloos. Dit raakt direct aan de vraag hoe je privacy technisch correct inricht binnen je website-architectuur.
Cookiemanagementplatform (CMP)
Een CMP moet cookies blokkeren vóór toestemming, categorieën gescheiden aanbieden, geen vooraf aangevinkte opties tonen en toestemming registreren. Opt-out modellen voldoen niet wanneer trackingcookies worden gebruikt.
Opt-in vs opt-out
Bij niet-strikt-noodzakelijke cookies geldt opt-in. Geen impliciete toestemming via scrollen. Geen cookiewall zonder geldige uitzondering. Dit volgt rechtstreeks uit de Telecommunicatiewet.
Logging van toestemming
Je moet kunnen aantonen:
- IP-adres of unieke identifier
- Tijdstip van toestemming
- Gekozen categorieën
- Versie van het cookiebeleid
Zonder logging kun je niet bewijzen dat je compliant was. Daarom is structurele technische borging van je website geen luxe, maar een juridische noodzaak.
Audit trail
Een audit trail documenteert welke scripts geladen werden, wanneer wijzigingen zijn doorgevoerd en welke cookies actief waren per periode. Dat is essentieel bij klachten of onderzoek.
DPIA bij profiling of grootschalige verwerking
Gebruik je geautomatiseerde profilering, cross-site tracking of structurele gedragsanalyse? Dan kan een Data Protection Impact Assessment verplicht zijn onder de AVG. Hier wordt vaak ten onrechte van uitgegaan dat dit alleen voor grote bedrijven geldt. Dat is juridisch onjuist.