Cookiewet Nederland 2026: Wat Mag Wel en Niet

De "cookiewet" is de meest misverstane wet voor website-eigenaren in Nederland. De ene ondernemer denkt dat elke cookie verboden is zonder toestemming. De andere plaatst Google Analytics zonder banner en hoopt dat niemand het merkt. Beide zitten fout.

Dit artikel legt uit wat de cookiewet precies is, welke cookies wel en niet mogen, en wat je concreet moet doen om in 2026 compliant te zijn. Geen juridisch jargon, wel de feiten.

Wat is de cookiewet?

De "cookiewet" is geen aparte wet. Het is de informele naam voor artikel 11.7a van de Telecommunicatiewet (Tw). Die bepaalt dat je toestemming nodig hebt voordat je gegevens opslaat op of uitleest van het apparaat van een websitebezoeker. Dat gaat niet alleen over cookies, maar ook over local storage, fingerprinting en tracking pixels.

De kern is simpel: je mag niet zomaar in andermans browser rommelen.

Het artikel stamt uit 2012, toen Nederland de Europese ePrivacy-richtlijn (2002/58/EG) implementeerde. Sindsdien is er veel veranderd, maar het basisprincipe niet: je hebt vooraf toestemming nodig, tenzij de cookie strikt noodzakelijk is.

Waar komt de AVG erbij?

De Telecommunicatiewet regelt het plaatsen van cookies. De AVG (Algemene Verordening Gegevensbescherming) regelt wat je doet met de data die via die cookies wordt verzameld. Je hebt met beide te maken.

Voorbeeld: je plaatst een analytische cookie die bezoekgedrag bijhoudt. De Telecommunicatiewet vereist toestemming voor het plaatsen van die cookie. De AVG vereist dat je die bezoekdata rechtmatig verwerkt, een verwerkingsregister bijhoudt, en een privacyverklaring hebt die uitlegt wat je met die data doet.

Twee wetten, twee sets verplichtingen. Voldoe je aan de ene maar niet aan de andere, dan heb je alsnog een probleem.

Telecommunicatiewet vs. AVG: het verschil

Veel ondernemers gooien de Telecommunicatiewet en de AVG op een hoop. Begrijpelijk, want ze overlappen. Maar het verschil is belangrijk.

| | Telecommunicatiewet (art. 11.7a) | AVG | |---|---|---| | Wat wordt geregeld? | Het plaatsen en uitlezen van cookies | Het verwerken van persoonsgegevens | | Wanneer van toepassing? | Altijd als je iets opslaat op het apparaat van de gebruiker | Alleen als de verzamelde data persoonsgegevens betreft | | Toezichthouder | Autoriteit Consument & Markt (ACM) | Autoriteit Persoonsgegevens (AP) | | Boetes | Tot 900.000 euro per overtreding | Tot 20 miljoen euro of 4% van de jaaromzet | | Geldig in | Nederland | Hele EU/EER |

In de praktijk handhaaft de AP ook de cookieregels, ook al valt de Telecommunicatiewet formeel onder de ACM. De AP doet dit omdat de meeste cookies persoonsgegevens verwerken en daarmee onder de AVG vallen. Lees de volledige AVG-checklist voor ondernemers voor de bredere context.

Welke cookies mogen zonder toestemming?

De Telecommunicatiewet kent twee uitzonderingen op het toestemmingsvereiste. In die gevallen mag je cookies plaatsen zonder dat je een cookiebanner hoeft te tonen.

Uitzondering 1: Strikt noodzakelijke cookies

Cookies die technisch nodig zijn om de door de gebruiker gevraagde dienst te leveren. Zonder deze cookies werkt je website niet.

| Cookie | Voorbeeld | Mag zonder toestemming? | |--------|-----------|------------------------| | Sessiecookie | Houdt je ingelogd | Ja | | Winkelwagencookie | Onthoudt producten in je mandje | Ja | | Loadbalancer-cookie | Verdeelt verkeer over servers | Ja | | CSRF-token | Beschermt formulieren | Ja | | Taalvoorkeurcookie | Onthoudt gekozen taal | Ja | | Cookiekeuze-cookie | Slaat je cookiebanner-keuze op | Ja |

Uitzondering 2: Geanonimiseerde analytics

In 2012 voegde de Nederlandse wetgever een specifieke uitzondering toe voor analytische cookies, mits:

• De analytics zijn first-party (je eigen domein)
• IP-adressen worden geanonimiseerd
• De data wordt niet gedeeld met derden
• De data wordt niet gecombineerd met data van andere bronnen
• De impact op de privacy van de bezoeker gering is

Tools die hieraan kunnen voldoen (mits correct geconfigureerd): Matomo (zelf gehost), AT Internet en vergelijkbare privacy-vriendelijke oplossingen. Let op: je moet deze tools expliciet zo instellen. Standaard voldoen ze vaak niet aan alle voorwaarden.

Cookies waarvoor je altijd toestemming nodig hebt

| Cookie | Bron | Waarom toestemming nodig? | |--------|------|--------------------------| | _ga, _gid | Google Analytics | Tracking, data naar Google | | _fbp, _fbc | Facebook Pixel | Advertentietracking | | VISITOR_INFO1_LIVE | YouTube embed | Videotracking | | li_sugr | LinkedIn Insight Tag | Cross-site tracking | | _hjid | Hotjar | Sessierecording | | NID, 1P_JAR | Google (diverse) | Advertentieprofiel | | IDE, DSID | DoubleClick | Retargeting |

Twijfel je of jouw website cookies plaatst die toestemming vereisen? Gebruik de gratis cookie-checker om het in twee minuten te controleren.

De AP-handhaving in 2025-2026

De Autoriteit Persoonsgegevens is in 2025 serieus begonnen met het handhaven van cookieregels. De cijfers spreken voor zich.

Wat is er gebeurd?

• April 2025: De AP start grootschalige controles. Meer dan 200 Nederlandse websites ontvangen een waarschuwingsbrief.
• Juli-september 2025: De drie maanden-termijn verloopt voor de eerste groep. Driekwart past de cookiebanner aan. Een kwart niet.
• Oktober 2025: Formele onderzoeken starten bij bedrijven die niet hebben gereageerd.
• December 2025: Publiekscampagne "Ga slim om met cookies". Consumenten worden opgeroepen om klachten in te dienen.
• 2026: De AP reserveert jaarlijks 500.000 euro specifiek voor cookiebanner-toezicht.

Dit is geen eenmalige actie. De AP controleert steekproefsgewijs en op basis van klachten. Hoe meer bezoekers je website heeft, hoe groter de kans dat iemand een klacht indient.

Meer over de aanpak van de AP, inclusief boetebedragen en een stapsgewijze reactiegids, lees je in ons artikel over de AP-waarschuwing over cookiebanners.

Hoe een goede cookiebanner eruitziet

De AP is helder over waar een cookiebanner aan moet voldoen. Dit zijn de eisen.

1. Gelijkwaardige keuze

De weigeren-knop moet even prominent zijn als de accepteren-knop. Zelfde grootte, zelfde stijl, zelfde scherm. Een grote groene "Alles accepteren"-knop met daaronder een klein grijs linkje "Voorkeuren beheren" voldoet niet.

2. Geen cookies voor toestemming

Niet-functionele scripts mogen pas laden nadat de bezoeker een keuze heeft gemaakt. Dat klinkt logisch, maar het gaat bij de meeste websites technisch mis. Je CMP (Consent Management Platform) moet scripts actief blokkeren, niet achteraf proberen te verwijderen.

3. Geen vooraf aangevinkte opties

Categorieeen als "Analytische cookies" of "Marketingcookies" mogen niet standaard aangevinkt staan. De bezoeker moet ze zelf aanzetten.

4. Intrekbare toestemming

Bezoekers moeten hun keuze op elk moment kunnen wijzigen. Een "Cookie-instellingen" link in je footer is de eenvoudigste oplossing.

5. Duidelijke taal

Geen juridisch jargon. Leg in gewone woorden uit welke cookies je plaatst en waarom. "Cookies die bijhouden welke pagina's je bezoekt zodat wij advertenties kunnen tonen" in plaats van "Performance- en marketingcookies".

6. Volledig cookieoverzicht

Bij je banner hoort een cookieverklaring met: de naam van elke cookie, het doel, de bewaartermijn en welke partij de cookie plaatst. Wil je weten of je huidige banner aan al deze eisen voldoet? Lees dan waarom 'alles accepteren' niet genoeg is.

Google Analytics: mag het nog?

Ja, maar niet zomaar. Google Analytics is een van de meest gebruikte tools op Nederlandse websites en tegelijk een van de grootste compliance-risico's.

Het probleem

Google Analytics (ook GA4) plaatst tracking-cookies en stuurt bezoekersdata naar servers van Google. Dat is een verwerking van persoonsgegevens door een Amerikaans bedrijf. Er zijn twee obstakels:

1. Toestemming nodig: De cookies zijn niet strikt noodzakelijk, dus je hebt toestemming nodig via je cookiebanner.
2. Doorgifte buiten EU: Data gaat naar Google-servers, die (deels) in de VS staan. Na het Schrems II-arrest is deze doorgifte problematisch.

Consent Mode v2

Google heeft Consent Mode v2 geintroduceerd als oplossing. Daarbij laadt het GA4-script altijd, maar worden cookies pas geplaatst na toestemming. Zonder toestemming stuurt GA4 "cookieless pings" naar Google die geen individuele bezoekers identificeren.

Dit lost het toestemmingsprobleem deels op, maar de datadoorgifte naar de VS blijft een aandachtspunt. De AP heeft zich hier nog niet definitief over uitgesproken.

Alternatieven

Privacy-vriendelijke analytics-tools die geen cookies plaatsen en geen data naar derden sturen:

• Plausible: Lichtgewicht, geen cookies, EU-hosted
• Fathom: Privacy-first, geen cookies, EU-dataverwerking
• Simple Analytics: Geen cookies, geen persoonlijke data
• Matomo (zelf gehost): Kan voldoen aan de analytics-uitzondering van de Telecommunicatiewet

Met deze tools heb je voor analytics helemaal geen toestemming nodig. Dat scheelt een cookiebanner (als je verder geen tracking-scripts hebt) en levert je accuratere data op, omdat je niet afhankelijk bent van consent-rates.

Cookiewall: mag je toegang weigeren?

Een cookiewall blokkeert de toegang tot je website totdat de bezoeker alle cookies accepteert. Mag dat?

Het korte antwoord

Nee, in de meeste gevallen niet.

Het langere antwoord

De AP volgt de richtlijn van het European Data Protection Board (EDPB): toestemming moet vrij zijn. Als je de bezoeker dwingt om cookies te accepteren om je website te gebruiken, is die toestemming niet vrij en dus ongeldig.

Er is een smalle uitzondering voor betaalde content: sommige uitgevers bieden een keuze tussen tracking-cookies of een betaald abonnement. Maar het EDPB is kritisch en de AP heeft zich hier niet positief over uitgesproken. Voor de gemiddelde mkb-website is een cookiewall geen optie.

De ePrivacy-verordening: wat komt eraan?

De cookiewet is gebaseerd op de ePrivacy-richtlijn uit 2002. Die wordt al jaren herzien. De opvolger, de ePrivacy-verordening (ePR), had er allang moeten zijn, maar de onderhandelingen slepen voort.

Stand van zaken

De Europese Commissie publiceerde het eerste voorstel in 2017. Na jaren van onderhandeling tussen de Raad en het Europees Parlement is er nog steeds geen definitieve tekst. De verwachting is dat de verordening niet voor 2027 of 2028 in werking treedt.

Wat gaat er veranderen?

Op basis van de huidige conceptteksten:

• Directe werking: De verordening geldt direct in alle EU-lidstaten. Uniforme regels in plaats van 27 nationale varianten.
• Browser-niveau toestemming: Gebruikers stellen op browserniveau hun cookievoorkeuren in. Dit zou het einde kunnen betekenen van de cookiebanner zoals we die nu kennen.
• Hogere boetes: Gelijkgetrokken met de AVG: tot 20 miljoen euro of 4% van de jaaromzet.

Wat moet je nu doen?

Wacht niet op de ePrivacy-verordening. De huidige Telecommunicatiewet en de AVG zijn nu van toepassing. De AP handhaaft nu. Als je je website nu compliant maakt, ben je ook grotendeels voorbereid op wat er komt.

Praktische stappen om compliant te zijn

Dit is het concrete stappenplan om je website in lijn te brengen met de cookiewet.

Stap 1: Inventariseer je cookies

Gebruik de gratis cookie-checker of je browser developer tools om te zien welke cookies je website plaatst. Noteer per cookie: de naam, de bron, het doel en of het een first-party of third-party cookie is.

Stap 2: Categoriseer

Verdeel je cookies in drie groepen:

1. Strikt noodzakelijk: Mag zonder toestemming. Sessie, winkelwagen, CSRF.
2. Analytisch: Mag zonder toestemming als het volledig geanonimiseerd is en aan de voorwaarden voldoet.
3. Tracking/marketing: Altijd toestemming nodig. Google Analytics, social pixels, retargeting.

Stap 3: Verwijder wat niet nodig is

Heb je die Hotjar-script nog nodig? Kijk je nog naar de Facebook Pixel-data? Elke tracking-script die je verwijdert is een compliance-risico minder en een snellere website erbij.

Stap 4: Stel je cookiebanner in

Als je na stap 3 nog steeds cookies hebt die toestemming vereisen, heb je een cookiebanner nodig. Zorg dat die voldoet aan de eisen van de AP (zie hierboven). De tool maakt niet uit, de instelling wel. Populaire opties zijn Cookiebot en CookieScript. Bekijk onze vergelijkingen van Cookiebot-alternatieven en CookieScript-alternatieven.

Stap 5: Blokkeer scripts tot na toestemming

Dit is de stap die het vaakst misgaat. Je CMP moet niet-functionele scripts actief blokkeren totdat de bezoeker toestemming geeft. Test dit: open je website in een incognitovenster, weiger alle cookies, en controleer via de developer tools of er daadwerkelijk geen tracking-cookies zijn geplaatst.

Stap 6: Schrijf een cookieverklaring

Documenteer alle cookies op je website: naam, doel, bewaartermijn, welke partij ze plaatst. Link naar deze verklaring vanuit je cookiebanner en vanuit je privacyverklaring.

Stap 7: Test en monitor

Cookies veranderen. Een WordPress-update, een nieuwe plugin, een aangepaste tag in Google Tag Manager: ze kunnen allemaal nieuwe cookies introduceren. Controleer minstens elk kwartaal of je cookiebanner nog klopt. Of scan je website regelmatig om veranderingen automatisch te detecteren.

Weet je niet zeker of je uberhaupt een cookiebanner nodig hebt? Loop dan eerst onze beslishulp door.

Veelgestelde vragen

Wat is de cookiewet?

De "cookiewet" is de informele naam voor artikel 11.7a van de Telecommunicatiewet. Die bepaalt dat je toestemming nodig hebt voordat je cookies plaatst die niet strikt noodzakelijk zijn voor je website.

Welke cookies mag je plaatsen zonder toestemming?

Strikt noodzakelijke cookies: sessiecookies, winkelwagencookies, loadbalancer-cookies en first-party analytics die volledig geanonimiseerd zijn (zoals Matomo of AT Internet met de juiste instellingen).

Wat verandert er in 2026 aan de cookieregels?

De Europese ePrivacy-verordening laat nog op zich wachten, maar de AP verscherpt de handhaving. In 2025 werden 200+ websites gewaarschuwd. De trend is duidelijk: strengere controles, hogere boetes.

---

Wil je weten of jouw website voldoet aan de cookiewet? Scan je website gratis en krijg binnen twee minuten een rapport met concrete verbeterpunten. Geen account nodig, geen verplichtingen.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.