Heb ik een cookiebanner nodig? Simpele beslishulp

Je hebt net een website gelanceerd. Of je hebt er al jaren een draaien. Iemand zegt dat je een cookiebanner nodig hebt. Iemand anders zegt dat het niet hoeft. De cookiebanner-industrie wil je het liefst een duur abonnement verkopen. De waarheid is simpeler dan je denkt.

De Nederlandse cookiewet is vastgelegd in artikel 11.7a van de Telecommunicatiewet. Die kent drie uitzonderingen (lid 3): cookies die puur nodig zijn voor communicatie-overdracht, cookies die strikt noodzakelijk zijn voor een door de gebruiker gevraagde dienst, en privacyvriendelijke analytische cookies. Die laatste uitzondering is toegevoegd via wetswijziging 33.902 in 2015.

Niet elke website heeft een cookiebanner nodig. Maar de meeste wel, vaak zonder dat de eigenaar het doorheeft. Deze beslishulp helpt je in vijf minuten bepalen waar jij staat.

De beslisboom: heb je een cookiebanner nodig?

Loop deze vragen af. Zodra je ergens "ja" antwoordt, heb je een cookiebanner nodig.

Vraag 1: Gebruik je Google Analytics?

Google Analytics plaatst tracking-cookies (_ga, _gid, _gat) en stuurt bezoekersdata naar Google-servers. Dat vereist toestemming voordat het script laadt. Het maakt niet uit of je Universal Analytics of GA4 gebruikt. GA4 valt waarschijnlijk niet onder de analytische uitzondering van de Telecommunicatiewet, omdat het unieke client-ID's per bezoeker genereert en daarmee tracking-technologie blijft.

Antwoord ja? Je hebt een cookiebanner nodig.

Alternatief: Stap over op een privacy-vriendelijk analytics-pakket zoals Plausible, Fathom of Simple Analytics. Die werken zonder cookies en hebben geen toestemming nodig. Je verliest geen bruikbare data, je wint juist accuratere cijfers omdat je niet afhankelijk bent van cookie-consent.

Vraag 2: Laad je YouTube-video's in?

Een standaard YouTube-embed (<iframe>) plaatst tracking-cookies en stuurt bezoekersdata naar Google, zelfs als de bezoeker de video niet afspeelt. De cookies VISITOR_INFO1_LIVE, YSC en GPS worden direct gezet.

Antwoord ja? Je hebt een cookiebanner nodig. Of je gebruikt de privacy-enhanced modus van YouTube (youtube-nocookie.com in plaats van youtube.com). Die plaatst pas cookies als iemand de video daadwerkelijk afspeelt.

Vraag 3: Gebruik je social media-embeds?

Instagram-posts, Twitter/X-tweets, Facebook-berichten en LinkedIn-posts die je direct op je pagina embed, laden scripts van die platformen. Die scripts plaatsen tracking-cookies.

Antwoord ja? Je hebt een cookiebanner nodig. Alternatief: gebruik screenshots met een link naar het origineel in plaats van live embeds.

Vraag 4: Laad je Google Fonts extern?

Als je website Google Fonts laadt van fonts.googleapis.com, wordt het IP-adres van elke bezoeker naar Google gestuurd. Dat is een persoonsgegevensverwerking zonder grondslag. Het Duitse Landgericht Munchen oordeelde in januari 2022 al dat dit een AVG-overtreding is. Lees meer in onze uitleg over Google Fonts en de AVG.

Antwoord ja? Je hebt mogelijk een cookiebanner nodig, maar de betere oplossing is om Google Fonts lokaal te hosten. Dat kost vijf minuten en lost het probleem volledig op.

Vraag 5: Gebruik je marketing-pixels?

Facebook Pixel, Google Ads remarketing, LinkedIn Insight Tag, TikTok Pixel: allemaal tracking-scripts die cookies plaatsen en bezoekersdata naar advertentieplatformen sturen.

Antwoord ja? Je hebt een cookiebanner nodig. Deze scripts mogen pas laden na expliciete toestemming.

Vraag 6: Heb je een chat-widget, heatmap-tool of A/B-test tool?

Tools zoals Hotjar, Crazy Egg, Intercom, Drift, Optimizely en VWO plaatsen cookies om bezoekers te volgen. Zelfs als de tool zelf zegt "AVG-compliant" te zijn, plaatsen ze bijna altijd cookies die toestemming vereisen.

Antwoord ja? Je hebt een cookiebanner nodig.

Op alles "nee" geantwoord?

Als je website alleen functionele cookies gebruikt (sessie, winkelwagen, taalvoorkeur, inlogstatus) en geen externe scripts laadt die bezoekersdata delen, heb je geen cookiebanner nodig. Een eenvoudige cookiemelding in je privacyverklaring volstaat.

Functionele vs. niet-functionele cookies

Het verschil is simpel. Functionele cookies zijn nodig om je website te laten werken. Niet-functionele cookies verzamelen informatie over je bezoekers.

Functionele cookies (geen toestemming nodig)

| Cookie | Doel | |--------|------| | Sessie-ID | Houdt je ingelogd | | Winkelwagen | Onthoudt producten in je mandje | | Taalvoorkeur | Onthoudt je gekozen taal | | Cookie-keuze | Slaat op wat je in de cookiebanner hebt gekozen | | CSRF-token | Beschermt formulieren tegen aanvallen | | Load balancing | Verdeelt verkeer over servers |

Niet-functionele cookies (toestemming verplicht)

| Cookie | Bron | Doel | |--------|------|------| | _ga, _gid | Google Analytics | Bezoekerstracking | | _fbp, _fbc | Facebook Pixel | Advertentietracking | | VISITOR_INFO1_LIVE | YouTube | Videotracking | | NID, 1P_JAR | Google (diverse) | Advertentieprofiel | | li_sugr | LinkedIn | Cross-site tracking | | _hjid | Hotjar | Sessierecording |

Verborgen cookies: wat je waarschijnlijk over het hoofd ziet

De meeste website-eigenaren weten dat Google Analytics cookies plaatst. Maar er zijn tientallen bronnen van cookies die minder voor de hand liggen.

WordPress-plugins

Veel WordPress-plugins laden externe scripts zonder dat je het doorhebt. Een contactformulier-plugin die Google reCAPTCHA gebruikt, een slider die Google Fonts laadt, een SEO-plugin die analytics-scripts inject: ze plaatsen allemaal cookies of sturen bezoekersdata naar derden.

Themes

Veel WordPress- en Shopify-themes laden standaard Google Fonts, Font Awesome of andere externe resources. Check het netwerkverkeer van je website, niet alleen de plugin-lijst.

Google Maps-embeds

Een ingesloten Google Maps-kaart op je contactpagina plaatst cookies en stuurt bezoekersdata naar Google. Gebruik een statisch kaartbeeld met een link naar Google Maps als alternatief.

Advertentienetwerken van je hosting

Sommige gratis hostingproviders injecteren tracking-scripts of advertenties in je pagina's. Controleer je broncode.

CDN en externe fonts

Als je website fonts, iconen of scripts laadt van externe CDN's (cdnjs.cloudflare.com, unpkg.com, jsdelivr.net), worden IP-adressen van je bezoekers naar die diensten gestuurd. Host deze bestanden lokaal.

Wat als je Shopify, WordPress of Wix gebruikt?

Shopify

Shopify plaatst standaard functionele cookies voor de winkelwagen en sessie. Die vereisen geen toestemming. Maar zodra je een analytics-app installeert, een Facebook-integratie activeert of een chat-widget toevoegt, heb je een cookiebanner nodig. De Shopify App Store vermeldt niet altijd welke cookies een app plaatst. Controleer het zelf.

WordPress

Een kale WordPress-installatie zonder plugins of custom themes plaatst geen cookies en heeft dus geen cookiebanner nodig. Maar bijna geen WordPress-site is kaal. Zodra je plugins en een theme installeert, laden die externe scripts. Jetpack, WooCommerce met Google Analytics, Yoast SEO met de integratie voor Google Search Console: ze voegen allemaal niet-functionele cookies toe. Ga ervan uit dat je WordPress-site een cookiebanner nodig heeft, tenzij je actief hebt gecontroleerd dat dat niet zo is.

Wix

Wix plaatst standaard eigen analytics-cookies en laadt externe scripts voor statistieken. Zelfs een basis Wix-site zonder extra apps heeft waarschijnlijk een cookiebanner nodig. Wix biedt een ingebouwde cookie-banner aan; zorg dat die correct is geconfigureerd.

Squarespace

Squarespace laadt standaard Google Analytics als je dat in de instellingen hebt ingeschakeld. Daarnaast kunnen ingesloten blokken (YouTube, Instagram, SoundCloud) cookies plaatsen. Check de ingebouwde cookie-banner en schakel die in als je externe integraties gebruikt.

Hoe check je welke cookies je website plaatst

Je kunt dit op drie manieren doen:

Methode 1: Browser developer tools

1. Open je website in een incognito-venster (zodat er geen oude cookies meekomen)
2. Druk op F12 om de developer tools te openen
3. Ga naar het tabblad Application (Chrome) of Storage (Firefox)
4. Klik op Cookies in het linkermenu
5. Bekijk welke cookies er staan. Alles behalve sessie- en functionele cookies vereist toestemming.

Let op: sommige cookies verschijnen pas na een paar seconden, als externe scripts klaar zijn met laden. Wacht even en ververs de lijst.

Methode 2: Onze gratis cookie-checker

Gebruik de TrustYourWebsite cookie-checker. Voer je URL in en je ziet binnen twee minuten welke cookies je website plaatst, van welke diensten ze komen en of ze toestemming vereisen.

Methode 3: Netwerkverkeer controleren

1. Open de developer tools (F12) en ga naar het tabblad Network
2. Laad je website opnieuw
3. Filter op third-party requests (verzoeken naar andere domeinen dan jouw eigen)
4. Elk verzoek naar google-analytics.com, facebook.com, doubleclick.net, hotjar.com of vergelijkbare domeinen stuurt bezoekersdata door

Privacy-vriendelijke alternatieven

Je kunt veel tracking-cookies vermijden zonder functionaliteit te verliezen.

| In plaats van | Gebruik | Cookiebanner nodig? | |---------------|---------|---------------------| | Google Analytics | Plausible, Fathom, Simple Analytics | Nee | | Google Fonts (extern) | Google Fonts lokaal gehost | Nee | | YouTube embed | youtube-nocookie.com embed | Alleen bij afspelen | | Google Maps embed | Statisch kaartbeeld + link | Nee | | Facebook Pixel | Server-side Conversions API | Ja, maar minder cookies | | Hotjar/Crazy Egg | Geen directe vervanging zonder cookies | Beoordeel of je het echt nodig hebt | | Social media embeds | Screenshot + link naar origineel | Nee |

Door deze stappen te nemen kun je in veel gevallen een cookiebanner helemaal vermijden. Dat is beter voor je bezoekers (geen irritante pop-up), beter voor je conversie (geen bounce door cookiemeldingen) en beter voor je compliance (minder risico op overtredingen).

En als je wel een cookiebanner nodig hebt?

Dan moet die aan strikte eisen voldoen. De Autoriteit Persoonsgegevens (AP) publiceerde 9 vuistregels voor cookiebanners en monitort continu zo'n 10.000 Nederlandse websites. Meer dan de helft overtreedt de wet. De belangrijkste regels:

• Weigeren moet net zo makkelijk zijn als accepteren. Een grote groene knop "Alles accepteren" met daaronder een klein grijs linkje "Beheer voorkeuren" voldoet niet.
• Geen cookies voor toestemming. Scripts mogen pas laden nadat de bezoeker heeft geklikt.
• Geen vooraf aangevinkte opties. Niet-functionele categorien moeten standaard uit staan. Kruidvat kreeg een boete van €600.000 (na bezwaar verlaagd naar €50.000) voor pre-aangevinkte vakjes. Coolblue werd beboet voor €40.000 vanwege pre-aangevinkte vakjes en automatisch akkoord gaan met cookies.
• Geen cookiemuur. Je mag bezoekers niet dwingen om cookies te accepteren om je website te gebruiken. Cookie walls zijn in Nederland expliciet verboden door de AP (normuitleg maart 2019).

De AP zit niet stil. In april 2025 zijn de eerste 50 waarschuwingsbrieven verstuurd aan webwinkels, mediabedrijven en verzekeraars. Het doel: 500 waarschuwingen per jaar. Na een waarschuwing volgt handhaving als je niet tijdig aanpast.

Lees de volledige eisen voor cookiebanners en de AP-waarschuwing over cookiebanners voor meer details.

Voor Engelstalige achtergrond over consent-management-alternatieven, bekijk onze gids over Cookiebot-alternatieven en third-party tracking consent.

Samenvatting

De vuistregel is simpel: als je twijfelt, heb je waarschijnlijk een cookiebanner nodig. De meeste websites laden ergens een extern script dat cookies plaatst. Dat geldt zeker als je WordPress, Shopify of Wix gebruikt.

Maar het hoeft niet zo te blijven. Door tracking-scripts te vervangen door privacy-vriendelijke alternatieven en externe resources lokaal te hosten, kun je je website cookievrij maken. Geen banner nodig, geen compliance-risico, geen irritatie bij je bezoekers.

Wil je weten waar je website staat? Scan je website gratis en je ziet binnen twee minuten welke cookies er worden geplaatst en wat je moet aanpassen. Of gebruik de AVG-checklist voor ondernemers om je volledige website te controleren.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.