/ap-blijft-pijlen-richten-op-cookies-is-uw-website-wel-compliant/ 2025-03-12T11:27:45+00:00 ca08726f
Ga naar de inhoud
12 februari 2025 • Nieuws

AP blijft pijlen richten op cookies: is uw website wel compliant?

De Autoriteit Persoonsgegevens (AP) blijft ook komend jaar de focus leggen op het naleven van de privacyregels rondom cookies. In december lanceerde de toezichthouder een campagne om het bewustzijn rondom de privacyrisico’s van cookies te vergroten. Afgelopen jaar heeft de AP bovendien boetes uitgedeeld aan onder andere Kruidvat en Coolblue voor het overtreden van de cookieregels.

shutterstock_1837443379-scaled

Striktere handhaving en onderzoek naar cookies

De AP heeft de afgelopen jaren meerdere organisaties aangeschreven over hun cookiebeleid. Daarbij wordt veelal specifiek gevraagd naar de werking van bepaalde cookies, of hiermee persoonsgegevens worden verwerkt en op welke grondslag dit gebeurt. Niet al deze informatieverzoeken hebben (nog) geleid tot handhaving. Wel onderstreept dit de aanhoudende aandacht van de AP voor naleving van de cookiewetgeving.

Ook in België speelt een interessante casus. De Belgische privacy toezichthouder de Gegevensbeschermingsautoriteit (GBA) heeft aangekondigd een klacht in behandeling te nemen over de cookies van DPG Media naar aanleiding van een klacht van NOYB, de privacy organisatie van Max Schrems (die het eerder al succesvol opnam tegen Spotify en Meta).

Wat kunt u nu doen?

Om  tegemoet te komen aan de interpretatie van de AP, zijn er een aantal belangrijke take-aways voor de cookie-inrichting van een website:

  1. Bied een ‘Alles weigeren’-knop op de eerste laag
    De AP benadrukt dat gebruikers net zo makkelijk cookies moeten kunnen weigeren als accepteren. Dit betekent – aldus de AP – dat een ‘Alles weigeren’-knop direct zichtbaar moet zijn bij het eerste cookie consent banner scherm.
  2. Controleer welke cookies u vóór en na toestemming plaatst
    Alleen functionele cookies en cookies met geringe privacy gevolgen kunnen voor toestemming worden geplaatst. Hieronder vallen ook affiliate of performance cookies, mits ze enkel worden gebruikt om de effectiviteit van een getoonde advertentie te meten en te bepalen welke affiliate recht heeft op een beloning. En ook A/B test cookies kunnen worden uitgesloten, mits ze puur worden ingezet om de effectiviteit van bepaalde variaties van online uitingen tegen elkaar af te zetten.
  3. Ook analytische cookies kunnen toestemming vereisen
    De AP ziet ook het gebruik van sommige analytics cookies als privacygevoelig. Veel organisaties plaatsen analytische cookies voordat een gebruiker toestemming heeft gegeven. Maar als die cookies een unieke identifier hebben, waarmee gebruikers over tijd en meerdere domeinen gevolgd kunnen worden, vindt de AP dit meer dan een ‘geringe’ inbreuk op de privacy en vindt dan dat ook voor deze cookies toestemming moet worden gevraagd. Dat geldt bijvoorbeeld voor visual website optimizer, hotjar en kan ook gelden voor Google Analytics. Meer informatie hierover staat in dit eerdere artikel van DMCC: Google Analytics en toestemming.

Wilt u zeker weten dat uw website aan de regels voldoet? Controleer dan welke cookies worden geplaatst en hoe de toestemmingsbanner eruit ziet. Betrek uw bureau hierbij, maar wees hierop alert. Bureaus zijn soms geneigd alle analytics cookies te plaatsen voor toestemming, wat niet is toegestaan. Het is belangrijk dat u de koers hierin bepaalt. U bent immers de verantwoordelijke op grond van de AVG. Bij twijfel kunt u altijd contact met ons opnemen.

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

Jitty van Doodewaerd
Jitty van Doodewaerd
Directeur privacy DMCC Group
 E-mail