Autoriteit Persoonsgegevens
Sluit menu

Heldere cookiebanners

Wanneer mensen een website bezoeken, krijgen zij vaak een cookiebanner te zien (ook wel cookiemelding of cookiepop-up genoemd). Met een cookiebanner legt een organisatie aan websitebezoekers uit hoe hun persoonsgegevens worden verzameld met cookies, en waarom.

Op deze pagina

Websitebezoekers kunnen met een cookiebanner kiezen voor welke cookies zij wel of niet toestemming willen geven. Het is belangrijk dat zij grip houden op hun persoonsgegevens. In de praktijk vragen organisaties nog vaak op een misleidende manier om toestemming. Bijvoorbeeld door opties automatisch aan te vinken. Op deze pagina vindt u daarom enkele vuistregels, voorbeelden van heldere cookiebanners en voorbeelden van hoe het niet moet.

Cookies en de AVG

Er zijn verschillende soorten cookies. Gebruikt u als organisatie tracking cookies of vergelijkbare tracking technieken? Dan kunt u ervan uitgaan dat u persoonsgegevens verwerkt. Ook bij sommige functionele en beperkte analytische cookies verwerkt u persoonsgegevens. U moet dan voldoen aan de Algemene verordening gegevensbescherming (AVG).

Waarom is een heldere cookiebanner belangrijk?

Wat mensen op internet doen, is heel persoonlijk. Tracking cookies zorgen ervoor dat organisaties kunnen meekijken met het internetgedrag van hun websitebezoekers. Dat mag alleen als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de mogelijkheid hebben om zulke cookies te weigeren, zonder nadelige gevolgen.

Met heldere informatie over het gebruik van zulke cookies kan uw websitebezoeker een weloverwogen keuze maken om toestemming te geven of niet. Zorg dus voor een heldere cookiebanner, waarmee u gelijk voldoet aan de wettelijke eisen.

Daar hoort ook bij dat u moet wegblijven van misleidende manieren (‘dark patterns’ of ‘deceptive patterns’) om toestemming te krijgen voor cookies. Bijvoorbeeld door bepaalde knoppen minder goed zichtbaar te maken. Uw websitebezoeker kan dan geen goede keuze maken.

Toezicht AP op cookiebanners

Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie met cookies persoonsgegevens verwerkt en daar niet op de juiste manier toestemming voor vraagt. Bijvoorbeeld door websitebezoekers te misleiden.

Sinds 2024 controleert de AP strenger op het gebruik van cookies. Wij controleren vaker of websites op de juiste manier toestemming vragen voor cookies en andere volgsoftware. Lees verder: Zo houdt de AP toezicht op cookies.

Grondslagen

Toestemming

Het verwerken van persoonsgegevens via tracking cookies doet u verplicht op basis van de grondslag toestemming. Let er daarbij op dat:

  • U toestemming krijgt vóórdat u zulke cookies plaatst.
  • Uw websitebezoekers actief toestemming moeten geven door iets aan te klikken. U kunt dus niet uitgaan van toestemming alleen omdat iemand uw website bezoekt.
  • Het voor websitebezoekers duidelijk moet zijn dat u met de cookiebanner om hun toestemming vraagt.
  • Uw websitebezoekers de toestemming op een vrije, specifieke, geïnformeerde en ondubbelzinnige manier moeten kunnen geven. Ondubbelzinnig betekent dat het heel helder is dat iemand toestemming heeft gegeven. Het ligt daarbij voor de hand dat uw websitebezoekers een neutrale keuze hebben. En dat de ene optie niet meer nadruk krijgt dan de andere.
  • Uw websitebezoekers hun toestemming even gemakkelijk weer moeten kunnen intrekken. Bekijk ook de informatie bij de 'snelle antwoorden' onderaan deze pagina.
  • U uw websitebezoekers goed moet informeren, onder meer over hoe u cookies gebruikt en voor welke doelen. U heeft voor ieder doel apart toestemming nodig.

Voor meer informatie over toestemming als grondslag, bekijk de EDPB-guidelines over toestemming.

Gerechtvaardigd belang

Het verwerken van persoonsgegevens met functionele en beperkt analytische cookies kan op basis van de grondslag gerechtvaardigd belang. Denk aan cookies die nodig zijn voor de beveiliging van uw website, of om de website te laten onthouden welke producten in het winkelmandje zijn gestopt. Voor meer invasieve cookies, zoals tracking cookies, is de grondslag gerechtvaardigd belang dus niet mogelijk. De gebruiker moet toestemming geven.

Hoe maakt u een heldere cookiebanner? 

De AP licht 9 belangrijke aspecten van cookiebanners uit. Deze 9 vuistregels helpen u een goede cookiebanner te maken. U moet daarnaast altijd zelf controleren of u aan alle eisen in de AVG voldoet wanneer u met cookies persoonsgegevens verwerkt.

De vuistregels zijn:

  • Geef informatie over de verwerking van persoonsgegevens en het doel van de verwerking
  • Zet vinkjes niet automatisch aan
  • Gebruik duidelijke tekst
  • Zet verschillende keuzes op één laag
  • Verberg bepaalde keuzes niet
  • Laat iemand niet extra klikken
  • Gebruik geen onopvallende link in de tekst
  • Wees helder over het intrekken van toestemming
  • Verwar toestemming niet met gerechtvaardigd belang

Hierna vindt u uitleg en voorbeelden.

Let op: De voorbeelden en teksten in de afbeeldingen zijn fictief en bedoeld ter illustratie. De voorbeelden laten steeds een deel van een heldere cookiebanner zien. Wat er precies in uw banner moet staan, hangt af van hoe u cookies inzet en persoonsgegevens verwerkt.

Geef informatie over de (soort) persoonsgegevens en voor welke doelen deze verwerkt worden

Geef uw websitebezoeker informatie die nodig is om een weloverwogen keuze te maken. Daarbij hoort dat u vertelt voor welke doelen u cookies gebruikt en welke (soort) persoonsgegevens u daarbij verwerkt, vóórdat iemand een keuze maakt.

voorbeeld cookiebanners - soort en doel

Verwerkt uw website veel persoonsgegevens voor veel verschillende doelen? Dan kan het passend zijn om te werken met een cookiebanner met 2 lagen. In de eerste laag vermeldt u duidelijk dát u persoonsgegevens verwerkt en voor welke doelen u dat doet. De tweede laag geeft verdere uitleg over de persoonsgegevens en doelen.

Zorg dat per doel duidelijk is welke (soort) persoonsgegevens worden gebruikt, zodat de websitebezoeker per doel een geïnformeerde keuze kan maken.

Let erop dat de websitebezoeker al vóór het geven van toestemming een globaal beeld heeft van wat de cookies betekenen voor zijn of haar persoonsgegevens. Een eventuele tweede laag is slechts bedoeld om meer gedetailleerde informatie te geven: over welke persoonsgegevens worden verwerkt, en voor welke doelen.

Deelt u voor een bepaald doel gegevens met derden? Dan moet u in de eerste laag duidelijk maken:

  • dat u gegevens deelt met derden;
  • voor welk(e) doel(en);
  • en, per doel, met hoeveel derden.

Zo helpt u de websitebezoeker direct een eerste inschatting te maken van de impact van de verwerkingen.

Om websitebezoekers volledig te informeren, moet u daarnaast extra informatie geven over welke gegevens voor welke verwerkingsdoelen worden gedeeld, en met welke ontvangers. Als het om veel extra informatie gaat, kunt u deze extra informatie eventueel opnemen in een tweede laag.

voorbeeld cookiebanners - doel en ontvangers

U mag niet vaag of onvolledig zijn over uw verwerkingsdoelen. In het voorbeeld hierna wordt bijvoorbeeld wel ‘social media’ genoemd, maar is niet duidelijk hoe persoonsgegevens dan verwerkt worden en met welk(e) doel(en).

voorbeeld cookiebanners - soort en doel

Zet vinkjes niet automatisch aan

Maakt u in uw cookiebanner gebruik van vinkjes of schuifjes? Zorg dan dat uw websitebezoeker zelf bepaalde opties aanklikt en dus actief een keuze maakt.

Goed voorbeeld: zet vinkjes niet automatisch aan

Vink de keuzeboxen dus niet automatisch aan. Dat geldt niet als toestemming. Als u meerdere lagen gebruikt, mag u óók niet op de andere lagen keuzeboxen automatisch aanvinken.

Fout voorbeeld: zet vinkjes niet automatisch aan

Gebruik duidelijke tekst

Het moet voor uw websitebezoeker volledig duidelijk zijn welke keuze diegene maakt. Gebruik daarom duidelijke woorden in knoppen, zoals ‘accepteren’, ‘akkoord’ of ‘weigeren’. Op die manier is het duidelijk dat iemand toestemming geeft.

Goed voorbeeld: gebruik duidelijke tekst

Maak het voor uw websitebezoeker dus niet onnodig ingewikkeld door vage of sturende bewoordingen te gebruiken, of door tekst juist weg te laten. De websitebezoeker moet duidelijk begrijpen dat diegene toestemming geeft voor tracking cookies, en niet alleen bevestigt de tekst te hebben gelezen.

Fout voorbeeld: gebruik duidelijke tekst
Fout voorbeeld: gebruik duidelijke tekst
Fout voorbeeld: gebruik duidelijke tekst

Zet verschillende keuzes op één laag

Uw websitebezoekers moeten de vrijheid hebben om cookies te accepteren óf te weigeren. U mag die vrijheid niet belemmeren door het weigeren van cookies moeilijker te maken. Zet de knoppen voor weigeren en accepteren dus op dezelfde laag. Dat betekent dat iemand niet hoeft door te klikken om te weigeren, als dat voor (alles) accepteren ook niet hoeft.

Goed voorbeeld: zet verschillende keuzes op één laag

Bied dus niet maar een van de opties op de eerste laag aan.

Fout voorbeeld: zet verschillende keuzes op één laag

Verberg bepaalde keuzes niet

Zorg dat de knop om cookies te weigeren goed zichtbaar en leesbaar is.

Verstop de knop bijvoorbeeld niet door uw websitebezoeker onnodig te laten scrollen om cookies te weigeren, als dat ook niet hoeft om cookies te accepteren. Voorkom ook dat de weigerknop amper verschilt van de achtergrond van de cookiebanner, waardoor hij voor vrijwel elke gebruiker onleesbaar is.

Fout voorbeeld: verberg bepaalde keuzes niet

Laat iemand niet extra klikken om toestemming te weigeren

Het weigeren van cookies moet niet meer kliks vragen dan het accepteren. Laat uw websitebezoeker bijvoorbeeld niet extra bevestigen dat diegene de cookies wil weigeren.

Fout voorbeeld: laat iemand niet extra klikken

Gebruik geen onopvallende link in de tekst voor het weigeren van cookies

De mogelijkheid om cookies te weigeren moet net zo goed zichtbaar zijn als de optie om cookies te accepteren.

Verstop deze dus bijvoorbeeld niet als link in een stuk tekst, waardoor uw websitebezoeker onnodig moet zoeken.

Fout voorbeeld: gebruik geen onopvallende link in de tekst

Wees helder over intrekken van toestemming

Maak duidelijk dat de websitebezoeker toestemming weer kan intrekken, vóórdat diegene een keuze maakt.

Goed voorbeeld: wees helder over intrekken van toestemming

Het kan passend zijn om niet de bewoording 'toestemming intrekken' te gebruiken. U kunt andere woorden gebruiken, mits het voor de websitebezoeker duidelijk is dat diegene de toestemming kan intrekken.

voorbeeld cookiebanners - intrekken toestemming

Wees daarnaast duidelijk over hoe toestemming kan worden ingetrokken, vóórdat diegene een keuze maakt. In plaats van een uitleg over hoe toestemming kan worden ingetrokken, kunt u ook een link plaatsen waarmee de websitebezoeker direct de toestemming kan intrekken. Zoals in het voorbeeld hierboven.

De mogelijkheid om toestemming in te trekken moet altijd eenvoudig en toegankelijk zijn, ook buiten de cookiebanner om. Bijvoorbeeld via een zwevende knop die altijd in beeld is.

Zorg ervoor dat de websitebezoeker niet zelf actief moet zoeken naar informatie over het intrekken van toestemming, of de mogelijkheid daartoe.

voorbeeld cookiebanners - intrekken toestemming

Meer informatie over hoe u websitebezoekers kunt informeren over het recht op het intrekken van toestemming vindt u in onze normuitleg over het intrekken van toestemming bij cookiebanners.

Verwar toestemming niet met gerechtvaardigd belang

Maak per verwerkingsdoel een duidelijke keuze: gebruikt u toestemming of gerechtvaardigd belang als grondslag? Zo weten websitebezoekers waar ze aan toe zijn. Gebruik nooit beide grondslagen tegelijk voor één verwerkingsdoel.

Zoals u bij Grondslagen heeft kunnen lezen, kunt u alleen bij functionele en beperkte analytische cookies de grondslag gerechtvaardigd belang gebruiken om persoonsgegevens te verwerken.

De grondslag toestemming is dan niet van toepassing. U heeft in het geval van functionele cookies en beperkte analytische cookies dus geen toestemming nodig voor het plaatsen en uitlezen van die cookies. Een vinkje of schuifje in uw cookiebanner kan dan verwarring opleveren.

Let op: Ook als u geen toestemming nodig heeft voor het plaatsen van cookies, moet u wel nog steeds duidelijke informatie geven over de manier waarop u persoonsgegevens verwerkt.

In het voorbeeld hierna ziet u een schuifje in combinatie met de grondslag gerechtvaardigd belang. Maar omdat toestemming geven niet van toepassing is, is het onduidelijk wat het aan- of uitzetten van het schuifje voor effect heeft. Bovendien is gerechtvaardigd belang geen geldige grondslag om gepersonaliseerde advertenties te tonen.

Fout voorbeeld: verwar toestemming niet met gerechtvaardigd belang

Snelle antwoorden

Gaan de vuistregels voor cookiebanners ook op voor vergelijkbare technieken?

Ja. De vuistregels voor cookiebanners gaan over cookies en alle andere technieken waarmee u informatie opslaat op of toegang verkrijgt tot het apparaat van de gebruiker (zoals een mobiele telefoon of computer).

Naast cookies gaat het bijvoorbeeld ook om:

  • het plaatsen van niet-essentiële gegevens op het apparaat van de gebruiker, bijvoorbeeld via local storage;
  • trackingpixels;
  • web beacons;
  • fingerprinting.

Welke informatie moet op de eerste laag van mijn cookiebanner staan?

In uw cookiebanner moet bepaalde informatie direct zichtbaar zijn. Het moet in ieder geval duidelijk zijn dat er persoonsgegevens worden verwerkt, wie de persoonsgegevens verwerkt én met welk(e) doel(en).

Daarnaast moet u, als dat het geval is, vermelden of u voor een doel gegevens deelt met derden en hoeveel derden dit dan zijn.

Ook vermeldt u dat de websitebezoeker het recht heeft om toestemming in te trekken en hoe dit moet.

Die informatie zet u dus op de ‘eerste laag’ van uw cookiebanner. Op die manier weet uw websitebezoeker waarvoor de toestemming bedoeld is. Overige informatie mag, als dat gezien de beknoptheid passend is, op een tweede laag komen te staan. Dit neemt natuurlijk niet weg dat u alle informatie op een duidelijke manier moet aanbieden.

Hoe werkt het intrekken van toestemming bij cookiebanners?

Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken.

Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers.

U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken.

Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.

Terug naar onderwerp Cookies

Bekijk ook

Meer informatie

Waar in de wet?

AVG artikel 4, elfde lid

AVG artikel 7

Telecommunicatiewet artikel 11.7a

Vrouw met bril achter schermen met computercode

Lees ook: AP pakt misleidende cookiebanners aan

Terug naar onderwerp Cookies
Deze pagina is bijgewerkt op
.