De Autoriteit Persoonsgegevens (AP) treedt sinds 2024 strenger op tegen misleidende cookiebanners. Als jouw organisatie een waarschuwingsbrief heeft ontvangen, is het tijd om snel te handelen. In dit artikel lees je precies wat je moet doen.
De Autoriteit Persoonsgegevens handhaaft strenger dan ooit
De AP heeft sinds 2024 een extra budget van €500.000 per jaar gekregen specifiek voor toezicht op cookies en online tracking. De toezichthouder controleert via geautomatiseerde software tienduizend websites tegelijk.
In 2025 waarschuwde de AP meer dan 200 organisaties per brief vanwege een misleidende cookiebanner. Het resultaat? Ongeveer driekwart paste de cookiebanner aan na de waarschuwing. Tegen de overige organisaties is de AP onderzoek gestart dat kan leiden tot forse boetes.
Recente boetes als waarschuwing
De AP heeft laten zien dat ze niet alleen waarschuwt, maar ook daadwerkelijk beboet:
| Organisatie | Boete | Overtreding |
|---|---|---|
| Kruidvat (AS Watson) | €600.000 | Vooraf aangevinkte tracking cookies, weigeren vereiste veel stappen |
| Coolblue | €40.000 | Ging automatisch uit van toestemming, vooraf aangevinkte vakjes |
Bij Kruidvat werden miljoenen websitebezoekers gevolgd zonder hun medeweten. De AP oordeelde dat dit extra ernstig was vanwege de gevoelige aard van drogisterijproducten.
Wat staat er in de AP-brief?
Als je een brief van de AP ontvangt, constateert de toezichthouder dat jouw website niet voldoet aan de cookiewetgeving. De brief bevat:
- De geconstateerde overtreding(en) - bijvoorbeeld cookies laden vóór toestemming, geen gelijkwaardige weigeroptie, of vooraf aangevinkte vakjes
- Een termijn van 90 dagen om de situatie te herstellen
- Waarschuwing voor verdere stappen als je niet tijdig actie onderneemt
De drie meest geconstateerde overtredingen
- Cookies laden vóór toestemming - Scripts worden al bij pageload ingeladen zonder dat de bezoeker akkoord heeft gegeven
- Weiger-knop minder prominent - De accepteerknop is groot en groen, de weigeroptie verstopt of minder opvallend
- Vooraf aangevinkte vakjes - Consent-opties staan standaard aan in plaats van uit
Stappenplan: wat moet je doen?
Je hebt 90 dagen om je cookiebanner op orde te brengen. Hier is een concreet stappenplan:
Week 1: Analyse en quick wins
| Dag | Actie |
|---|---|
| 1-2 | Lees de brief zorgvuldig en inventariseer alle genoemde overtredingen |
| 3-5 | Voer een cookie-audit uit: welke cookies plaatst je site, wanneer, en waarvoor? |
| 6-7 | Blokkeer alle niet-essentiële cookies tot na toestemming (quick win) |
Week 2-4: Banner herontwerpen
Gelijkwaardige knoppen: "Accepteer alles" en "Weiger alles" even groot en prominent
Geen vooraf aangevinkte vakjes: Alle toggle-opties standaard uit
Duidelijke informatie: Leg uit welke cookies je gebruikt en waarvoor
Eenvoudig intrekken: Link naar cookie-instellingen in de footer
Week 5-8: Testen en documenteren
| Week | Actie |
|---|---|
| 5 | Test de nieuwe banner grondig (worden cookies echt geblokkeerd tot consent?) |
| 6 | Documenteer je wijzigingen en sla bewijsmateriaal op |
| 7-8 | Overweeg proactief contact met de AP om je verbeteringen te melden |
Week 9-12: Buffer en nazorg
Houd een buffer aan voor onvoorziene problemen. De AP controleert na 90 dagen of je de situatie hebt hersteld.
De 6 eisen voor een conforme cookiebanner
Om boetes te voorkomen, moet je cookiebanner aan deze eisen voldoen:
1. Gelijkwaardige keuze
De "Accepteer alles" en "Weiger alles" knoppen moeten:
- Even groot zijn
- Dezelfde visuele prominentie hebben
- Beide in één klik werken
Niet toegestaan: grote groene accepteerknop met kleine grijze weigerlink
2. Geen vooraf aangevinkte vakjes
Alle cookie-categorieën (behalve strikt noodzakelijke) moeten standaard uit staan. De bezoeker moet actief aanvinken.
3. Cookies pas laden na toestemming
Geen enkel tracking script mag laden voordat de bezoeker expliciet akkoord geeft. Dit geldt voor:
- Google Analytics
- Facebook Pixel
- Marketing tags
- Alle third-party cookies
4. Eenvoudig toestemming intrekken
Bezoekers moeten hun toestemming even makkelijk kunnen intrekken als geven. Plaats een link naar cookie-instellingen in je footer.
5. Duidelijke informatie
Leg in begrijpelijke taal uit:
- Welke cookies je plaatst
- Waarvoor je ze gebruikt
- Met welke partijen je data deelt
6. Consent logging
Houd bewijs bij van gegeven toestemming:
- Wanneer (timestamp)
- Waarvoor (welke categorieën)
- Welke tekst werd getoond
Wat als je niets doet?
Negeer je de brief van de AP? Dit is wat er gebeurt:
| Consequenties |
|---|
| Na 3 maanden voert de AP een hercontrole uit |
| Bij voortdurende overtreding: formeel onderzoek |
| Mogelijk sanctiebesluit (last onder dwangsom of boete) |
De risico's zijn reëel
- Boete tot €20 miljoen of 4% van de wereldwijde jaaromzet
- Imagoschade door negatieve publiciteit
- Juridische kosten voor bezwaar en beroep
Positief nieuws: organisaties die binnen de termijn aantoonbaar serieus verbeterden, ontliepen in de meeste gevallen verdere sancties. Actie loont dus.
Voorkom problemen: schakel over naar cookievrije analytics
De eenvoudigste manier om cookiebanner-problemen te voorkomen? Gebruik geen tracking cookies. Met cookievrije analytics zoals Piwik PRO, Simple Analytics of Matomo in cookieless mode heb je:
- Geen toestemming nodig voor analytics
- Minder juridisch risico
- Eenvoudigere cookiebanner (of helemaal geen nodig)
- Volledige data, ook van bezoekers die cookies weigeren
Lees meer in ons artikel over cookievrije analytics zonder toestemming.
NUMEO helpt je compliant te worden
Heb je een brief van de AP ontvangen en weet je niet waar te beginnen? Of wil je voorkomen dat je op de radar van de toezichthouder komt? NUMEO helpt organisaties met:
Privacy audit We analyseren je huidige situatie: welke cookies plaats je, voldoet je banner aan de eisen, en waar liggen de risico's?
Compliant cookiebanner We implementeren een cookiebanner die voldoet aan alle wettelijke eisen, inclusief consent logging en integratie met je analytics.
Privacy-vriendelijke analytics We helpen je overstappen naar cookievrije analytics, zodat je minder afhankelijk bent van toestemming.
Doorlopende monitoring Met onze Privacy Monitor houden we je website continu in de gaten, zodat je niet verrast wordt door de volgende controle van de AP.
Bronnen:
- AP: driekwart websites past misleidende cookiebanner aan na waarschuwing
- Boete van €600.000 voor Kruidvat
- Boete voor Coolblue
- ICTrecht: Cookiebanner niet op orde
- DDMA: Wat je moet doen na een cookie-waarschuwing
Hulp nodig? Neem contact op voor een vrijblijvend gesprek over jouw situatie.