Cookiebeleid maken: de regels in 2026

Direct antwoord

Een cookiebeleid maken in 2026 vraagt om vier elementen: een opt-in cookiebanner met gelijke prominentie voor accepteren en weigeren, een lijst van alle gebruikte cookies met doel en bewaartermijn, een toestemmingsmechanisme dat per categorie werkt, en een privacyverklaring met cookie-specifieke uitleg. De cookiewet (artikel 11.7a Telecommunicatiewet) en AVG werken samen.

Een cookiebeleid maken in 2026 betekent dat je website voldoet aan zowel de cookiewet (artikel 11.7a Telecommunicatiewet) als de AVG, met een opt-in cookiebanner waarop weigeren even makkelijk is als accepteren. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een cookiebeleid en waarom is het verplicht?

Een cookiebeleid is het deel van je privacyregeling dat beschrijft welke cookies je website plaatst, met welk doel, en hoe bezoekers daar toestemming voor geven of weigeren. Het is een verplicht onderdeel van je website-juridica zodra je niet-functionele cookies plaatst. De juridische basis ligt in twee samenwerkende kaders.

Het eerste is artikel 11.7a Telecommunicatiewet — de cookiewet. Deze bepaalt wanneer je toestemming nodig hebt om gegevens op of vanuit een apparaat van een bezoeker op te slaan of te lezen. Het tweede is de AVG, die regelt hoe je vervolgens met de via cookies verzamelde persoonsgegevens omgaat. De Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt handhaven beide kaders.

Niet alle cookies vereisen toestemming. Drie categorieën worden onderscheiden:

  • Functionele cookies: nodig voor het functioneren van de site (login, winkelmandje). Geen toestemming vereist.
  • Analytische cookies (geanonimiseerd): voor websitebeheer, mits geen persoonsgegevens worden verwerkt en de instellingen privacy-vriendelijk zijn. Geen toestemming vereist mits aan voorwaarden voldaan.
  • Tracking, marketing en social cookies: voor profielvorming, advertenties of analyse die persoonsgegevens verwerkt. Toestemming vereist.

Voorbereiding: welke cookies gebruik je eigenlijk?

Voordat je een cookiebeleid opstelt, moet je weten welke cookies je website plaatst. Het aantal cookies op een MKB-website is in de praktijk groter dan verwacht — naast je eigen analytics-tool plaatst een gemiddelde website tussen 10 en 50 cookies via embeds, plug-ins en marketing-pixels. Drie inventarisatie-stappen:

  • Cookie-scan uitvoeren: gebruik een gratis tool zoals Cookiebot, Termly of CookieYes om alle cookies op je site in kaart te brengen. Doe dit na inloggen, op een productpagina én op de afrekenpagina — zodat je third-party cookies meeneemt.
  • Per cookie noteren: naam, type (eerste-/derde-partij), categorie (functioneel/analytisch/tracking), bewaartermijn, en welk doel het cookie dient. Dit wordt de cookie-tabel in je beleid.
  • Verwerkers identificeren: van elke derde-partij die cookies plaatst (Google, Meta, LinkedIn, intercom etc.) heb je een verwerkersovereenkomst nodig. Voor verwerkers buiten de EER ook Standaard Contractbepalingen (SCC's).

Stappenplan: cookiebeleid opstellen in 6 stappen

Zes concrete stappen om een werkend cookiebeleid op te zetten dat voldoet aan zowel cookiewet als AVG. Stappen 1-3 zijn voorbereidend, 4-6 implementatie.

  1. Categoriseer de cookies: deel ze in als functioneel, analytisch (geanonimiseerd) of marketing/tracking. Alleen de derde categorie vereist toestemming. Functionele cookies zoals winkelmandje en login plaats je standaard.
  2. Schrijf de cookieverklaring: een document dat per cookie vermeldt: naam, doel, eerste/derde partij, bewaartermijn en categorie. Dit kan een aparte pagina zijn (bijvoorbeeld /cookies) of een sectie in je privacyverklaring.
  3. Kies een Consent Management Platform (CMP): gangbare opties voor MKB zijn Cookiebot (€10-€100/maand), CookieYes (€10-€39/maand) en Borlabs Cookie (eenmalig €39-€99 voor WordPress). Functioneel doel: cookies blokkeren tot toestemming en keuze opslaan.
  4. Configureer de cookiebanner correct: de Autoriteit Persoonsgegevens vereist dat alle keuzes (accepteren/weigeren/instellingen) op één laag staan, met gelijke prominentie. "Alles accepteren" mag niet groter, kleurrijker of prominenter zijn dan "alles weigeren". Geen cookiewall die toegang tot de site blokkeert.
  5. Implementeer cookie-blokkade vóór toestemming: tracking-scripts (Google Analytics, Meta Pixel, advertentie-cookies) mogen pas na expliciete toestemming worden geladen. De CMP regelt dit technisch — controleer in browser DevTools dat geen tracking-cookie wordt geplaatst zonder klik op "accepteren".
  6. Documenteer toestemmingen: bewaar per bezoeker een log van het tijdstip, de gegeven keuze en de getoonde versie van het beleid. Bij AP-onderzoek moet je kunnen aantonen dat toestemming is verkregen volgens de vereisten van AVG-artikel 7 (vrij, geïnformeerd, ondubbelzinnig).

Een werkend cookiebeleid heb je in 4-12 uur opgesteld voor een gemiddelde MKB-website, exclusief de eenmalige integratie van een CMP. Die laatste kost typisch 1-3 uur ontwikkeltijd of een eenmalige plug-in-installatie.

Wat doet de Autoriteit Persoonsgegevens bij overtreding?

De Autoriteit Persoonsgegevens (AP) handhaaft sinds 2020 actief op cookiebanners die niet voldoen aan AVG-toestemmingseisen. In recente jaren heeft de AP duidelijke prioriteiten benoemd: cookiewall verbod, gelijkwaardigheid van keuzes, en blokkade vóór toestemming. Drie sancties zijn mogelijk:

  • Waarschuwing: bij eerste overtreding of beperkte ernst — formele brief met termijn voor herstel.
  • Last onder dwangsom: bij niet-herstel volgt een dwangsom per dag dat de overtreding voortduurt, oplopend tot enkele duizenden euro per dag.
  • Boete: bij ernstige of structurele overtredingen. Voor cookiewet-overtredingen kan de boete oplopen tot €900.000 per overtreding onder de Telecommunicatiewet. Bij gecombineerde AVG-overtredingen kan de boete reiken tot 4% van wereldwijde jaaromzet.

Voor MKB lopen typische cookie-handhavingstrajecten in de eerste fase via waarschuwing en hersteltermijn. Bij niet-herstel volgt een dwangsom van enkele duizenden euro per dag, wat snel oploopt tot tienduizenden euro.

Veelgemaakte fouten in cookiebeleid

De vijf fouten die door de AP regelmatig worden aangepakt:

  • Cookiewall: bezoekers verplichten om alle cookies te accepteren voordat ze toegang krijgen tot de site. Dit is door de AP expliciet verboden — toegang mag niet afhankelijk zijn van toestemming voor niet-functionele cookies.
  • Ongelijke prominentie: "Alles accepteren" als grote groene knop en "Weigeren" als kleine grijze tekstlink. De AP eist dat beide keuzes even makkelijk zichtbaar en klikbaar zijn op dezelfde laag.
  • Cookies plaatsen vóór toestemming: tracking-scripts laden zodra de pagina opent, voordat de bezoeker iets heeft gekozen. Dit is een schending — de toestemming moet vooraf, niet achteraf.
  • Geanonimiseerde analytics zonder voorwaarden: Google Analytics standaard installeren en als "geen toestemming nodig" beschouwen werkt niet. De AP heeft voorwaarden gesteld (geanonimiseerd IP-adres, geen data-deling, geen advertentiefuncties); buiten die voorwaarden geldt toch toestemmingsplicht.
  • Geen verwerkersovereenkomsten met derde-partij cookies: Google, Meta en andere advertentiepartijen zijn AVG-verwerkers wanneer ze persoonsgegevens via jouw site verzamelen. Zonder verwerkersovereenkomst loop je direct toezichtsrisico.

Wanneer schakel je een jurist in?

Voor reguliere websites met standaard analytics, marketing-pixels en social-share-buttons volstaat een gestandaardiseerd cookiebeleid plus een geconfigureerd CMP. Bij Lawsy genereer je een cookiebeleid op basis van je gebruikte tools, optioneel met jurist-review.

Schakel altijd een jurist in bij:

  • Lopend AP-onderzoek of correspondentie over cookies of cookiebanner.
  • Internationale website met bezoekers buiten de EER — andere privacy-stelsels (zoals CCPA voor Californië, UK GDPR) vereisen aanvullende lagen.
  • Branche met aanvullende regels: kinderen onder 16 (verzwaarde toestemming), zorg of financieel.
  • Custom-tracking of fingerprinting — vereist DPIA en specialistische beoordeling.
Let op: Dit artikel geeft algemene informatie over het opstellen van een cookiebeleid en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over cookiebeleid maken: de regels in 2026.

Welke cookies vereisen toestemming volgens de cookiewet?

Tracking-, marketing- en sociale-mediacookies vereisen altijd voorafgaande toestemming. Functionele cookies (winkelmandje, login, taalkeuze) en geanonimiseerde analytische cookies onder strikte voorwaarden zijn vrijgesteld. De AP heeft de voorwaarden voor analytische uitzondering gepubliceerd; bij twijfel: vraag toestemming.

Mag ik een cookiewall gebruiken?

Nee, een cookiewall die toegang tot je website blokkeert tot je alle cookies accepteert, is door de Autoriteit Persoonsgegevens expliciet verboden. Toegang tot de site mag niet afhankelijk zijn van toestemming voor niet-functionele cookies. Functionele toegang moet ook beschikbaar zijn voor bezoekers die weigeren.

Wat kost een Consent Management Platform (CMP)?

Voor MKB lopen abonnementen uiteen van €10 tot €100 per maand bij dienst-CMP's zoals Cookiebot of CookieYes. WordPress-plug-ins zoals Borlabs Cookie kosten eenmalig €39-€99. Handmatige cookie-blokkade is ook mogelijk maar vereist development-tijd en wordt zelden onderhouden.

Hoe vaak moet ik mijn cookiebeleid updaten?

Telkens als je nieuwe tracking-tools, embeds of marketing-pixels toevoegt aan je website. Voer minimaal halfjaarlijks een cookie-scan uit om "vergeten" cookies te ontdekken (third-party cookies via embeds veranderen vaak zonder dat je het merkt). Vermeld een revisiedatum in het beleid.

Wat is het verschil tussen cookiebeleid en privacyverklaring?

Het cookiebeleid beschrijft specifiek welke cookies je website plaatst en hoe bezoekers daar toestemming voor geven of weigeren. De privacyverklaring is breder en regelt alle persoonsgegevens-verwerking inclusief contactformulieren, nieuwsbrief, sollicitaties. Het cookiebeleid kan onderdeel zijn van de privacyverklaring of een aparte pagina.

Bronnen

Terug naar Privacyverklaring maken