Skip to content
TrustYourWebsite
AVG & Privacy

Waarschuwing Autoriteit Persoonsgegevens over Cookies: Wat Nu?

6 april 2026

Waarschuwing Autoriteit Persoonsgegevens over Cookies: Wat Nu?

In 2025 heeft de Autoriteit Persoonsgegevens (AP) meer dan 200 Nederlandse websites een waarschuwingsbrief gestuurd over hun cookiebanners. Dit was geen eenmalige actie. De AP heeft er structureel budget voor en blijft controleren.

Ongeveer 80% van de organisaties die de waarschuwing serieus namen en hun banner aanpasten, ontliep verdere sancties. De rest kreeg een formeel onderzoek aan hun broek. Sommige bedrijven ontvingen boetes.

Als jij een waarschuwing hebt gekregen, of wilt voorkomen dat je er een krijgt, lees dan verder. Dit artikel legt uit wat de AP precies controleert, welke fouten je moet vermijden en hoe je je cookiebanner in orde brengt. Wil je eerst de basis weten over wanneer een cookiebanner verplicht is? Lees dan waarom 'alles accepteren' niet genoeg is.

Wat is de AP-actie van 2025?

De Autoriteit Persoonsgegevens is in april 2025 begonnen met een grootschalige controle van cookiebanners op Nederlandse websites. De aanleiding: honderden klachten van consumenten over misleidende cookiebanners. Banners waar "weigeren" onvindbaar was, of waar cookies al werden geplaatst voordat iemand een keuze maakte.

Tijdlijn

  • Eind 2019: De AP start een breed onderzoek naar cookiebanners. Door capaciteitstekort bij de afdeling Handhaven duurt het lang voordat er concrete acties volgen.
  • 2023: Het kabinet kent €500.000 extra per jaar toe (2024-2026) specifiek voor cookie-handhaving.
  • Begin 2024: De AP publiceert vuistregels voor cookiebanners — het eerste heldere kader voor bedrijven.
  • 2024: Vijf formele onderzoeken in sectoren met veel consumentenverkeer: financiële sector, media en horeca.
  • Maart 2025: De AP stuurt een brief aan de Minister met het voorstel om enige toezichthouder op cookies te worden (nu gedeeld met de ACM). Als dat doorgaat, krijgt de AP meer slagkracht voor handhaving.
  • 15 april 2025: De eerste 50 waarschuwingsbrieven gaan de deur uit.
  • Medio 2025: Meer dan 200 websites zijn gewaarschuwd. Driekwart past de banner aan binnen de gestelde termijn.
  • Eind 2025/begin 2026: Handhavingsacties tegen circa 50 organisaties die niet aanpasten na de waarschuwing.
  • 2026: De AP zet de controles voort met het structurele budget van €500.000 per jaar specifiek voor deze toezichtstaak.

Dit is geen incidentele campagne. De AP werkt sinds 2019 aan dit dossier, heeft er structureel budget voor gekregen, en wil als enige toezichthouder op cookies opereren. Cookiebanner-controles zijn een permanent onderdeel van hun toezichtswerk.

Wat controleert de AP precies?

De AP kijkt naar vier dingen als ze je website bezoeken.

1. Is de weigeren-knop gelijkwaardig aan de accepteren-knop?

Dit is het meest voorkomende probleem. De AP noemt het een "misleidende cookiebanner" als de weigeren-optie minder opvallend is dan de accepteren-knop. Concreet betekent dat:

  • De weigeren-knop moet dezelfde grootte hebben als de accepteren-knop
  • De knoppen moeten dezelfde stijl hebben (of vergelijkbaar)
  • Weigeren mag niet verstopt zitten achter "instellingen" of "meer opties"
  • Een groot kleurvlak voor "accepteren" naast een klein tekstlinkje voor "weigeren" is niet toegestaan

De AP hanteert hierbij de richtlijn van het European Data Protection Board (EDPB). Die is helder: de keuze om te weigeren moet net zo eenvoudig zijn als de keuze om te accepteren.

2. Worden er cookies geplaatst voor toestemming?

De AP controleert of je website tracking-cookies plaatst voordat een bezoeker toestemming geeft. Dit is een technisch probleem dat veel voorkomt bij CMP's (Consent Management Platforms) die verkeerd geconfigureerd zijn.

Typische situaties:

  • Google Analytics draait al bij het laden van de pagina, voordat de cookiebanner verschijnt
  • De Facebook Pixel plaatst cookies zodra de pagina laadt
  • YouTube-embeds plaatsen cookies zonder dat de bezoeker de video afspeelt
  • Google Fonts stuurt IP-adressen naar Google (technisch geen cookie, maar wel een privacyschending)

Als je CMP niet correct is ingesteld om scripts te blokkeren tot na toestemming, heb je een probleem. Zelfs als je banner er visueel goed uitziet.

3. Gebruikt de banner dark patterns?

Dark patterns zijn ontwerptrucs die bezoekers sturen richting de keuze die het bedrijf wil. Bij cookiebanners ziet de AP het volgende als dark patterns:

  • Een felle kleur voor "accepteren", een grijze of witte kleur voor "weigeren"
  • Vooraf aangevinkte categorieën (analytisch, marketing)
  • Een "cookie wall" die de inhoud blokkeert totdat je accepteert
  • "Door verder te surfen ga je akkoord" als enige optie
  • Een verwarrende reeks pop-ups om cookies te weigeren

De AP heeft expliciet gezegd dat het doorscrollen of sluiten van een banner niet geldt als toestemming. Toestemming moet een actieve, ondubbelzinnige handeling zijn.

4. Is de cookieverklaring compleet?

Naast de banner zelf controleert de AP ook of je een volledige cookieverklaring hebt. Die moet bevatten:

  • Welke cookies je plaatst (naam, type, doel)
  • Hoe lang elke cookie bewaard wordt
  • Welke derde partijen cookies plaatsen via je website
  • Hoe bezoekers hun toestemming kunnen intrekken

Veelgemaakte fouten met cookiebanners

Deze fouten ziet de AP het vaakst bij Nederlandse websites.

De "nep-keuze" banner

Een banner met een prominente "Alles accepteren" knop en daaronder een kleine tekst "Cookie-instellingen beheren" die naar een tweede scherm leidt. Pas op dat tweede scherm kun je weigeren. Dit is geen gelijkwaardige keuze en voldoet niet.

Cookies die laden voor toestemming

Je banner ziet er goed uit, maar technisch draait Google Analytics al op de achtergrond. Dit is het meest voorkomende technische probleem. Veel CMP's blokkeren scripts niet standaard. Je moet dit expliciet instellen.

Controleer dit zelf: open je website in een incognitovenster, open de browser-devtools (F12), ga naar het tabblad "Network" en kijk welke verzoeken er worden gedaan voordat je de banner beantwoordt. Zie je verzoeken naar google-analytics.com, facebook.com of andere trackers? Dan laden je cookies te vroeg.

"Verder surfen = akkoord"

Sommige websites tonen een melding: "Door deze website te gebruiken ga je akkoord met ons cookiebeleid." Zonder knoppen, zonder keuze. Dit is niet geldig. De AVG vereist een actieve, specifieke handeling. Doorscrollen of de pagina sluiten telt niet als toestemming.

Geen mogelijkheid om keuze te wijzigen

Bezoekers moeten hun cookiekeuze later kunnen aanpassen. Een link naar "Cookie-instellingen" in je footer is de simpelste oplossing. Zonder die optie voldoe je niet aan de AVG.

Onbegrijpelijke categorienamen

"Performancecookies", "functionele cookies", "analytische cookies": de gemiddelde websitebezoeker weet niet wat dit betekent. Leg in gewone taal uit wat elke categorie doet. Bijvoorbeeld: "Cookies die bijhouden welke pagina's je bezoekt" in plaats van "Analytische cookies".

Je hebt een waarschuwing gekregen: wat nu?

Als je een brief van de AP hebt ontvangen, heb je drie maanden om je cookiebanner aan te passen. Dit is wat je moet doen.

Week 1: Inventariseer het probleem

  1. Lees de waarschuwingsbrief zorgvuldig. De AP geeft specifiek aan wat er mis is.
  2. Open je website in een incognito/privevenster.
  3. Maak screenshots van je huidige cookiebanner.
  4. Controleer welke cookies worden geplaatst (via browser-devtools > Application > Cookies).
  5. Noteer welke scripts laden voordat toestemming is gegeven (devtools > Network).

Week 2-4: Pas je banner aan

  1. Zorg dat de weigeren-knop even prominent is als de accepteren-knop.
  2. Configureer je CMP zodat alle niet-functionele scripts geblokkeerd worden tot na toestemming.
  3. Test of er na het weigeren daadwerkelijk geen tracking-cookies worden geplaatst.
  4. Voeg een "Cookie-instellingen" link toe aan je footer.
  5. Werk je cookieverklaring bij met alle cookies, hun doel en bewaartermijn.

Week 5-8: Test en documenteer

  1. Test je banner op desktop en mobiel.
  2. Test in meerdere browsers (Chrome, Firefox, Safari).
  3. Documenteer de aanpassingen die je hebt gemaakt.
  4. Bewaar screenshots van de nieuwe situatie.

Week 9-12: Bevestig aan de AP

  1. Stuur een schriftelijke reactie aan de AP waarin je uitlegt welke aanpassingen je hebt gemaakt.
  2. Voeg screenshots bij als bewijs.
  3. De AP controleert na de termijn opnieuw of je banner voldoet.

Reageer je niet binnen drie maanden? Dan start de AP een formeel onderzoek. Dat kan leiden tot een boete.

Welke bedrijven worden gecontroleerd?

De AP selecteert websites op twee manieren.

Willekeurige controles

De AP scant steekproefsgewijs Nederlandse websites. Hierbij maken ze geen onderscheid op bedrijfsgrootte. Een zzp'er met een simpele website kan net zo goed worden gecontroleerd als een multinational.

Klachtgedreven controles

Consumenten kunnen via de website van de AP een klacht indienen over cookiebanners. De campagne "Ga slim om met cookies" heeft het aantal klachten flink verhoogd. Hoe meer bezoekers je website heeft, hoe groter de kans dat iemand een klacht indient.

In de praktijk worden websites in sectoren met veel consumentenverkeer vaker gecontroleerd: webshops, reissites, nieuwssites en vergelijkingsplatforms.

Wat zijn de boetes?

De AVG kent boetes tot 20 miljoen euro of 4% van je wereldwijde jaaromzet (de hoogste van de twee). In de praktijk zijn de boetes voor cookie-overtredingen bij mkb-bedrijven een stuk lager.

De AP hanteert een stapsgewijze aanpak:

  1. Waarschuwing: Drie maanden om je banner aan te passen.
  2. Formeel onderzoek: Als je niet reageert op de waarschuwing.
  3. Last onder dwangsom: Een bedrag per dag dat je banner niet voldoet (typisch €1.000-€5.000 per dag).
  4. Boete: Voor herhaalde of ernstige overtredingen.

De AP hanteert een boetebandbreedte van €300.000 tot €750.000 voor tracking cookies zonder toestemming. In de praktijk vallen de definitieve bedragen vaak lager uit na bezwaar:

  • Kruidvat: Basisboete €600.000. Na bezwaar verlaagd naar €50.000 vanwege de lange procesduur, erkenning van de overtreding en geringe ernst.
  • Coolblue: Basisboete €310.000-€525.000. Na bezwaar verlaagd naar €40.000 vanwege de korte overtredingsduur.

Voor mkb-bedrijven liggen boetes voor cookie-overtredingen lager, maar de AP maakt geen onderscheid op bedrijfsgrootte bij het starten van onderzoeken.

De last onder dwangsom is in veel gevallen effectiever dan een eenmalige boete: als je €2.000 per dag betaalt omdat je banner niet voldoet, heb je een sterke prikkel om het snel op te lossen.

Technische checklist: hoe pas je je banner aan

Gebruik deze checklist om je cookiebanner te controleren en aan te passen.

Visueel ontwerp

  • [ ] De weigeren-knop is even groot als de accepteren-knop
  • [ ] De knoppen hebben vergelijkbare kleuren en stijl
  • [ ] Weigeren staat op het eerste scherm (niet achter "instellingen")
  • [ ] Er zijn geen vooraf aangevinkte categorieën
  • [ ] De banner is leesbaar op mobiel
  • [ ] De tekst is in begrijpelijke taal geschreven

Technisch

  • [ ] Geen tracking-cookies worden geplaatst voor toestemming
  • [ ] Google Analytics laadt pas na klikken op "accepteren"
  • [ ] Facebook Pixel laadt pas na toestemming
  • [ ] YouTube-embeds worden geblokkeerd tot na toestemming (of gebruik youtube-nocookie.com)
  • [ ] Google Fonts worden lokaal gehost
  • [ ] De CMP slaat het toestemmingsbewijs op
  • [ ] Bij klikken op "weigeren" worden alleen functionele cookies geplaatst

Juridisch

  • [ ] Er is een volledige cookieverklaring met alle cookies, doelen en bewaartermijnen
  • [ ] Bezoekers kunnen hun keuze later wijzigen via een link in de footer
  • [ ] De cookieverklaring vermeldt welke derde partijen cookies plaatsen
  • [ ] Er staat geen cookie wall op de website

Toegankelijkheid

Sinds 28 juni 2025 valt je cookiebanner ook onder de Europese Toegankelijkheidswet. Dat betekent:

  • [ ] De banner is navigeerbaar met een toetsenbord
  • [ ] Tekst is leesbaar voor schermlezers
  • [ ] Kleurcontrasten voldoen aan WCAG 2.1 AA
  • [ ] Knoppen zijn voldoende groot (minimaal 44x44 pixels)

Meer over de AVG-eisen voor je website vind je in de AVG checklist voor ondernemers.

Welke CMP-tool moet je kiezen?

De tool maakt niet uit. De instelling wel. De duurste CMP ter wereld voldoet niet als je hem verkeerd configureert.

Waar je op moet letten bij het kiezen of instellen van een CMP:

  • Standaard blokkeren van scripts: De CMP moet scripts automatisch blokkeren totdat toestemming is gegeven. Niet andersom.
  • Weigeren op het eerste scherm: De weigeren-knop moet direct zichtbaar zijn, niet achter een extra klik.
  • Opslag van toestemmingsbewijs: De CMP moet vastleggen wanneer en hoe een bezoeker toestemming heeft gegeven (of geweigerd).
  • Aanpasbaar ontwerp: Je moet de knoppen qua kleur en grootte gelijk kunnen maken.
  • Toegankelijkheid: De banner moet werken met schermlezers en toetsenbordnavigatie.

Populaire CMP's als Cookiebot en CookieScript bieden deze functies, maar je moet ze zelf correct instellen. Lees onze vergelijkingen van Cookiebot-alternatieven en CookieScript-alternatieven voor een overzicht.

Let ook op tracking door derde partijen: zelfs als je CMP goed is ingesteld, kunnen externe scripts alsnog cookies plaatsen buiten je CMP om. Lees meer over toestemming voor third-party tracking.

Veelgestelde vragen

Wat doet de AP als mijn cookiebanner niet voldoet?

De AP stuurt eerst een waarschuwing met drie maanden om je banner aan te passen. Als je niet reageert volgt een formeel onderzoek dat kan leiden tot een boete.

Hoe hoog zijn de boetes voor cookiebanners?

De AP hanteert een boetebandbreedte van €300.000 tot €750.000 voor tracking cookies zonder toestemming. Na bezwaar kan dat fors lager uitvallen: Kruidvat ging van €600.000 naar €50.000, Coolblue van ruim €300.000 naar €40.000. Voor mkb-bedrijven liggen de bedragen lager, maar de AP maakt geen onderscheid op bedrijfsgrootte bij het starten van onderzoeken.

Hoe controleer ik of mijn cookiebanner voldoet?

Controleer of je weigeren-knop even prominent is als de accepteren-knop, of cookies pas laden na toestemming, en of je cookieverklaring compleet is. Of gebruik onze gratis scan.

Wil je weten of jouw cookiebanner voldoet aan de eisen van de AP? Scan je website gratis en krijg binnen twee minuten een rapport met concrete verbeterpunten. Geen account nodig.

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Scan je site gratis

Website-handleidingen

AVG Boetes in Nederland: Echte Zaken en Bedragen

Overzicht van AVG-boetes in Nederland: echte zaken, bedragen en wat de Autoriteit Persoonsgegevens controleert. Van waarschuwing tot boete.

AVG checklist voor je website: voldoe je aan de regels?

Check met deze AVG checklist of jouw website voldoet aan de privacywetgeving. Praktische stappen voor mkb en zzp in Nederland.

AVG voor Horeca Websites: Wat Je Echt Moet Regelen

Reserveringen, Google Maps, menufoto's en bezorgplatforms: de AVG-valkuilen voor horecawebsites. Praktische checklist voor restaurants en cafés.