Cookie Toestemming in Nederland (2026): Complete Gids voor Websites

Cookie toestemming in Nederland is meer dan alleen een cookiebanner tonen.

Als jouw website bezoekers uit Nederland heeft, moet je rekening houden met:

• de AVG
• de Nederlandse cookiewet
• artikel 11.7a van de Telecommunicatiewet
• richtlijnen en uitleg van Nederlandse autoriteiten
• Google Consent Mode v2 als je Google Ads, GA4 of GTM gebruikt
• technische handhaving via script blocking en consent logging

Deze gids legt uit welke cookies toestemming vereisen, wanneer analytics cookies mogelijk zonder toestemming mogen, waarom tracking cookies risicovol zijn en hoe een CMP kan helpen.

Disclaimer: Dit artikel is algemene informatie en geen juridisch advies. De juiste beoordeling hangt af van jouw website, tools, doeleinden, vendors en technische implementatie.

Kort Antwoord

AVG vs Cookiewet

Veel ondernemers noemen alles rond cookies "AVG". Dat is begrijpelijk, maar niet helemaal precies. De AVG regelt de verwerking van persoonsgegevens. De cookieregels komen in Nederland vooral uit artikel 11.7a van de Telecommunicatiewet. Deze bepaling gaat over het opslaan van informatie op, of uitlezen van informatie uit, de apparatuur van een gebruiker.

De praktische vraag bestaat daarom uit twee lagen:

1. Mag je informatie opslaan of uitlezen op het apparaat van de bezoeker?
2. Verwerk je daarna persoonsgegevens onder de AVG?

Bij tracking cookies is het antwoord op de tweede vraag vaak ja, omdat hiermee gedrag kan worden gevolgd en profielen kunnen worden opgebouwd.

Wat zegt de Rijksoverheid?

De Rijksoverheid legt uit dat websites bezoekers toestemming moeten vragen voor het plaatsen van cookies. Daarbij geldt een uitzondering voor cookies die niet privacygevoelig zijn.

Voorbeelden van cookies waarvoor vaak geen toestemming nodig is:

• Functionele cookies
• Analytische cookies met nauwelijks gevolgen voor de privacy

Tracking cookies vereisen volgens de uitleg van de Rijksoverheid altijd toestemming wanneer zij inbreuk maken op de privacy door individueel websitegedrag bij te houden en profielen op te stellen voor bijvoorbeeld gerichte advertenties.

Wat zegt de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens, afgekort AP, legt uit dat tracking cookies internetgedrag over verschillende websites kunnen volgen en kunnen worden gebruikt om profielen van mensen op te stellen. Met tracking cookies worden persoonsgegevens verwerkt.

Voor websites betekent dit dat tracking cookies niet als gewone technische cookies moeten worden behandeld. Gebruik je cookies of scripts voor advertenties, retargeting, profilering of gedrag over meerdere websites, dan is voorafgaande toestemming meestal noodzakelijk.

Welke Cookies Vereisen Toestemming?

Strikt Noodzakelijke Cookies

Meestal geen toestemming nodig. Deze cookies zijn essentieel voor de werking van de website.

Voorbeelden:

• Login sessies
• Winkelmandje
• Beveiligingscookies
• Load balancing
• Betaalproces
• Cookievoorkeuren onthouden

Strikt noodzakelijke cookies moeten wel uitgelegd worden in je cookiebeleid.

Functionele Cookies

Soms zonder toestemming als ze nodig zijn voor de werking van de website.

Voorbeelden:

• Taalvoorkeur
• Regio-instelling
• Interfacevoorkeur
• Formulierstatus
• Accountinstellingen

Als functionele cookies ook worden gebruikt voor personalisatie, marketing of profilering, dan moet je ze opnieuw beoordelen.

Beperkt Analytische Cookies

Soms zonder toestemming als ze geen of een geringe privacy-impact hebben. Niet alle analytics cookies mogen zonder toestemming.

Analytics cookies vereisen sneller toestemming bij:

• Derde partijen die data verwerken
• Koppeling met advertenties
• Remarketing
• User-level tracking
• Combineren van data uit verschillende bronnen
• Lange bewaartermijnen
• Cross-site tracking

Tracking Cookies

Meestal toestemming nodig. Tracking cookies worden gebruikt voor:

• Retargeting
• Behavioral advertising
• Gepersonaliseerde advertenties
• Profielen opbouwen
• Social media tracking
• Conversiemeting

Veelgebruikte tools die tracking cookies plaatsen:

• Meta Pixel
• Google Ads tags
• LinkedIn Insight Tag
• TikTok Pixel
• Snapchat Pixel
• Pinterest Tag

Social Media Cookies

Embeds en plugins van sociale media kunnen cookies plaatsen op het apparaat van de bezoeker.

Voorbeelden:

• Embedded posts
• Share buttons
• Social login
• YouTube embeds
• Social advertising pixels

Als deze cookies worden gebruikt voor tracking of profilering, is toestemming nodig.

Session Replay en Heatmaps

Tools als Hotjar, Microsoft Clarity en FullStory registreren gebruikersgedrag op de website. Of toestemming nodig is, hangt af van de configuratie en de mate waarin persoonlijke gegevens worden verwerkt.

Heb je toestemming nodig voor Google Analytics?

Vaak wel, afhankelijk van de configuratie.

Beperkte analytics met weinig privacy-impact kan soms zonder toestemming. Maar veel GA4-implementaties zijn uitgebreider dan dat.

Let op als GA4 is gekoppeld aan:

• Google Ads
• Audiences
• Remarketing
• Advertentiefuncties
• User-ID
• Cross-platform meting
• Google Signals

In die gevallen is toestemming veiliger en in veel situaties waarschijnlijk vereist.

Google Consent Mode v2 in Nederland

Google Consent Mode v2 is geen Nederlandse wet. Het is een framework van Google voor het doorgeven van consent signalen aan Google-diensten.

Het is belangrijk omdat Nederland in de EER ligt en Google's EU User Consent Policy geldt voor websites die Google-diensten gebruiken.

Bij gebruik van Google Ads, GA4, GTM, conversion tracking of remarketing is het verstandig Consent Mode v2 serieus mee te nemen.

Consent Mode v2 gebruikt vier signalen:

• ad_storage, regelt advertentiegerelateerde opslag
• analytics_storage, regelt analyticsgerelateerde opslag
• ad_user_data, regelt het versturen van gebruikersdata naar Google voor advertenties
• ad_personalization, regelt het gebruik van data voor gepersonaliseerde advertenties

Een CMP kan helpen door deze signalen automatisch door te geven op basis van de consent keuze van de bezoeker.

Zie voor meer informatie: Google Consent Mode v2 requirements.

Waaraan moet een Nederlandse cookiebanner voldoen?

Een goede cookiebanner voor Nederlandse websites bevat:

• Duidelijke uitleg over welke cookies en trackers de website gebruikt en waarom.
• Accepteren, een duidelijke knop om toestemming te geven.
• Weigeren, een duidelijke knop om niet-noodzakelijke cookies af te wijzen.
• Voorkeuren beheren, de mogelijkheid om per categorie te kiezen.
• Categorieen, zoals functioneel, analytics, marketing en social media.
• Link naar cookiebeleid/privacybeleid met volledige informatie.
• Geen vooraf aangevinkte niet-noodzakelijke categorieen.
• Geen tracking voor toestemming, niet-noodzakelijke scripts mogen niet laden voor de keuze.
• Mogelijkheid om toestemming later te wijzigen of in te trekken.

Maak weigeren niet moeilijker dan accepteren. De bezoeker moet een echte keuze hebben.

Veelgemaakte Fouten

1. Tracking voor toestemming

Veel websites laden tracking scripts voordat de bezoeker een keuze heeft gemaakt. Als advertentiepixels, analytics scripts of social media trackers actief zijn voor de toestemming, is de cookiebanner niet effectief. Script blocking moet actief zijn voordat de bezoeker kiest.

2. Alles "analytics" noemen

Niet alle analytics is beperkt analytics. Analytics met advertentiekoppelingen, profielen of derde partijen moet zorgvuldig worden beoordeeld. Ga er niet automatisch van uit dat analytics cookies vrijgesteld zijn.

3. Geen duidelijke weigeren-knop

De gebruiker moet een echte keuze hebben. Als de weigeren-optie verborgen is achter meerdere lagen of klein is weergegeven, is er geen sprake van vrije toestemming.

4. Alleen cookies scannen

Tracking gebeurt niet alleen via cookies. Scripts, pixels, iframes, local storage en embeds kunnen ook informatie opslaan of uitlezen op het apparaat van de bezoeker. Al deze technieken vallen onder de Telecommunicatiewet.

5. Consent Mode verwarren met cookie toestemming

Google Consent Mode vervangt geen cookiebanner. Het is een signaallaag voor Google-diensten. Je hebt nog steeds een cookiebanner, script blocking en consent opslag nodig.

Hoe helpt een CMP?

Een CMP (Consent Management Platform) helpt met:

• Cookies en trackers scannen op je website
• Vendors herkennen en koppelen aan doeleinden
• Scripts blokkeren voor toestemming
• Consent keuzes opslaan met tijdstempel en categorieen
• Bewijs van toestemming bewaren voor verantwoording
• Google Consent Mode ondersteunen met automatische signalen
• Regionale regels toepassen voor verschillende jurisdicties
• Gebruikers toestemming laten wijzigen of intrekken

Concentio ondersteunt deze workflows met automatische scanning, script blocking, consent proof, geo-aware policies, Google Consent Mode support, unlimited domains en alle features op elk plan.

Checklist voor Cookie Toestemming in Nederland

FAQ

Conclusie

Cookie toestemming in Nederland draait niet alleen om het tonen van een banner. Je moet weten welke technieken je gebruikt, welke doeleinden ze hebben en of ze toestemming vereisen.

Functionele cookies en beperkt analytische cookies kunnen soms zonder toestemming. Tracking cookies, advertentiepixels, retargeting, social media tracking en profilering vereisen meestal voorafgaande toestemming.

Gebruik je Google Ads, GA4 of Google Tag Manager, dan is Google Consent Mode v2 ook belangrijk.

Concentio helpt websites om trackers te scannen, niet-noodzakelijke scripts te blokkeren, toestemming vast te leggen, Google Consent Mode te ondersteunen en consent te beheren over meerdere domeinen.

Bekijk alle features → | Bekijk prijzen →