/ap-waarschuwt-50-bedrijven-om-foute-cookiebanners-bent-u-wel-compliant/ 2025-12-03T19:44:05+00:00 5a9b6129
Ga naar de inhoud
15 april 2025 • Nieuws

AP waarschuwt 50 bedrijven om foute cookiebanners: bent u wel compliant?

De Autoriteit Persoonsgegevens (AP) heeft 50 Nederlandse organisaties per brief gemaand hun misleidende cookiebanners aan te passen. Dit is onderdeel van een bredere handhavingscampagne, waarbij jaarlijks 500 bedrijven worden gecontroleerd op naleving van de privacywetgeving.

keyboard-895556_1920

Misleidende cookiebanners in het vizier

Volgens de AP schenden veel websites de wet door bijvoorbeeld al cookies te plaatsen vóórdat toestemming is gegeven, of door toestemming vooraf al aan te vinken. Ook komt het regelmatig voor dat bezoekers meerdere stappen moeten nemen om tracking cookies te weigeren, wat volgens de toezichthouder niet is toegestaan.

In lijn met de waarschuwingen biedt de AP ook ondersteuning. De AP publiceerde al vuistregels voor heldere cookiebanners en organisaties worden uitgenodigd voor informatiesessies over hoe een cookiebanner wél hoort te werken.

AP-voorzitter Aleid Wolfsen benadrukt hoe indringend tracking cookies zijn:
“Alsof iemand je door de winkelstraat volgt, opschrijft wat je koopt, je naar huis volgt en door je ramen gluurt. Dat klinkt absurd, maar online gebeurt dit voortdurend, zonder dat er netjes om toestemming wordt gevraagd.”

Hoe voorkomt u problemen? (DMCC-tips)

DMCC waarschuwde eerder al dat de AP strenger handhaaft en gaf bedrijven deze praktische adviezen:

  • Bied een ‘Alles weigeren’-knop op de eerste laag: de AP benadrukt dat gebruikers net zo makkelijk cookies moeten kunnen weigeren als accepteren. Dit betekent – aldus de AP – dat een ‘Alles weigeren’-knop direct zichtbaar moet zijn bij het eerste cookie consent banner scherm.
  • Geen vooraf aangevinkte boxen: toestemming moet actief worden gegeven.
  • Controleer welke cookies u vóór en na toestemming plaatst: alleen functionele cookies en cookies met geringe privacy gevolgen kunnen voor toestemming worden geplaatst. Hieronder vallen ook affiliate of performance cookies, mits ze enkel worden gebruikt om de effectiviteit van een getoonde advertentie te meten en te bepalen welke affiliate recht heeft op een beloning. En ook A/B test cookies kunnen worden uitgesloten, mits ze puur worden ingezet om de effectiviteit van bepaalde variaties van online uitingen tegen elkaar af te zetten.
  • Ook analytische cookies kunnen toestemming vereisen: de AP ziet ook het gebruik van sommige analytics cookies als privacygevoelig. Veel organisaties plaatsen analytische cookies voordat een gebruiker toestemming heeft gegeven. Maar als die cookies een unieke identifier hebben, waarmee gebruikers over tijd en meerdere domeinen gevolgd kunnen worden, vindt de AP dit meer dan een ‘geringe’ inbreuk op de privacy en vindt dan dat ook voor deze cookies toestemming moet worden gevraagd. Dat geldt bijvoorbeeld voor visual website optimizer, hotjar en kan ook gelden voor Google Analytics. Meer informatie hierover staat in dit eerdere artikel van DMCC: Google Analytics en toestemming.

Wat nu?

De AP wil dat organisaties zichzelf één belangrijke vraag stellen:
“Is dit wel normaal gedrag? Wil ik mijn bezoekers op deze manier volgen?”

Wolfsen: “Als het antwoord nee is, dan is de oplossing simpel: stop ermee. Dan heb je geen cookiebanner nodig, en voorkom je direct een onderzoek of boete.”

Wilt u zeker weten dat uw website aan de regels voldoet? Controleer dan welke cookies worden geplaatst en hoe de toestemmingsbanner eruit ziet. Betrek uw bureau hierbij, maar wees hierop alert. Bureaus zijn soms geneigd alle analytics cookies te plaatsen voor toestemming, wat niet is toegestaan. Het is belangrijk dat u de koers hierin bepaalt. U bent immers de verantwoordelijke op grond van de AVG. Bij twijfel kunt u altijd contact met ons opnemen.

Heeft u vragen naar aanleiding van dit artikel?

Neem dan contact met ons op.

Jitty van Doodewaerd
Jitty van Doodewaerd
Directeur privacy DMCC Group
 E-mail