AI & Cookies: Wat mag volgens de cookiebepaling?

In dit derde artikel uit de DDMA Legal X AI-serie duiken we in veelvoorkomende AI-toepassingen die gebruik maken van ‘cookiedata’ in advertising én leggen we uit wat de juridische spelregels zijn. We sluiten af met concrete aanbevelingen, inclusief voorbeelden van wat wel en niet mag en best practices om compliant te blijven.

AI-toepassingen in advertising: van lookalikes tot consent modeling

AI biedt marketeers krachtige nieuwe mogelijkheden om data (vaak afkomstig uit cookies of soortgelijke trackers) om te zetten in effectieve marketingacties. Enkele belangrijke toepassingen in de praktijk zijn:

1. Klantprofielen & segmenten: met veelal op machine learning gebaseerde AI creëren veel organisaties  surf- en aankoopgedrag tot doelgroepen die je direct kunt voor personalisatie.
2. Lookalike audiences: grote platformen als Meta en Google gebruiken AI om een lookalike audience te creëren aan de hand van een bestaande doelgroep; het bronpubliek bestaat bijvoorbeeld uit je beste klanten of websitebezoekers.
3. Server-side tracking & modelling: first-party hits gaan via je eigen server/-CDP, waarna AI ontbrekende conversies of attributie ‘bijmodelleert’ zonder third-party cookies.
4. Real-Time Bidding (RTB): algoritmen beslissen in milliseconden welke advertentie zichtbaar wordt en hoeveel je ervoor biedt op basis van een cookie- of deviceprofiel.
5. Consent modeling: oplossingen zoals Google Consent Mode vangen geweigerde cookies op met anonieme pings en schatten conversies via statistische modellen.

Wanneer gelden de cookieregels?

AI heeft input nodig om te kunnen leren. Bij veel organisaties zien we nu dat ze inzetten op een first-party data strategie waarbij ze een combinatie van cookie- en klantdata gebruiken om hun AI – of ‘gewoon slimme algoritmen’ –  te trainen, maar wat is cookiedata nu precies? Met cookiedata bedoelen we alle gedragsdata die via cookies en vergelijkbare technieken is verzameld, zoals klikgedrag, bezochte pagina’s, sessieduur en device informatie. En juist daar komt de cookiebepaling in beeld. De cookiebepaling gaat overigens niet alleen over cookies: deze bepaling stelt eisen aan het opslaan of uitlezen van informatie op het apparaat van een gebruiker. Dat betekent dat álle technologieën die een apparaat benaderen, eronder vallen – of ze nu ‘cookie’ heten of niet. Denk aan:

• Pixel- en URL-tracking (zoals de Meta Pixel of GA4-events)
• Local storage (HTML5-techniek die cookies deels vervangt)
• Advertentie-ID’s van smartphones
• Web beacons (onzichtbare meetpixels in e-mails of websites)
• Unieke klantidentifiers (zoals Google’s enhanced conversions of Meta’s advanced matching) voor zover die worden uitgelezen van het apparaat (bijvoorbeeld uit een webformulier)
• Fingerprinting (unieke device- of browserprofielen maken)

Als de cookieregels van toepassing zijn, dan heb je in principe toestemming nodig. Die toestemming regel je in een cookiebanner: maar hoe ziet dit soort geldige cookietoestemming eruit?

Verzamelen en gebruiken van cookiedata met AI: juridisch kader

Om het juridisch kader zo praktisch mogelijk te maken, koppelen we het aan de drie stappen die marketeers in hun dagelijkse workflow herkennen – verzamelen, profileren en inzetten van profielen – zodat je per fase direct ziet welke regels gelden en hoe je daar in de praktijk op kunt inspelen.

Fase 1 – verzamelen van cookiedata: Zoals eerder uitgelegd, is bij gebruik van cookies of vergelijkbare technieken in beginsel voorafgaande toestemming vereist, tenzij het gaat om strikt noodzakelijke cookies of beperkt analytische cookies. Die laatste categorie is alleen toegestaan als de cookies uitsluitend worden gebruikt voor eigen analyse of geen of minimale impact op de privacy van de gebruiker hebben. Dit betekent onder meer dat je geen koppeling mag maken met advertentie platformen en je analytics omgeving. Er moet in elk geval altijd geïnformeerd worden over het gebruik van cookies.

Tegelijkertijd is in deze fase ook de AVG van toepassing, zodra de verzamelde cookiedata herleidbaar is tot een persoon (direct of indirect). Dat betekent dat je voor de verwerking van persoonsgegevens al vanaf het moment van verzamelen een geldige grondslag moet hebben (zoals toestemming of gerechtvaardigd belang), en moet voldoen aan de beginselen van doelbinding, dataminimalisatie en transparantie.

Fase 2 – profileren met behulp van AI en cookiedata: In deze fase gebruikt AI cookiedata – en eventueel andere first party data bronnen – om gebruikerskenmerken en -voorkeuren te analyseren. Dit is ‘profilering’ volgens de AVG. Profileren aan de hand van gedragsdata is toegestaan mits je voldoet aan twee essentiële vereisten:

1. Transparantie – informeer gebruikers duidelijk dat je profileert en met welk doel
2. Doelbinding – de oorspronkelijke toestemming moet profilering dekken. Het is dus cruciaal dat je op het moment van verzamelen informeert over de doeleinden waarvoor je profileren. Dit doe je door minimaal al in het cookie- of privacy statement een begrijpelijke uitleg te geven.

Ook prijspersonalisatie op basis van profielen is in principe ook toegestaan, zolang je hier expliciet over informeert voorafgaand aan de aankoop. Tinder deed dit in het verleden bijvoorbeeld niet en is hiervoor op de vingers getikt. Een eventueel prijsverschil mag alleen niet volgen uit gevoelige datacategorieën, zoals geslacht. Geautomatiseerde besluitvorming die betrokkenen “in aanmerkelijke mate treft” (bijv. het automatisch ontslaan van medewerkers door een AI) vereist echter extra waarborgen, zoals menselijke tussenkomst.

Fase 3 – inzetten van profielen/doelgroepen: Bij de derde fase, het inzetten van profielen, draait het veelal om de activatie of suppressie van specifieke doelgroepen in verschillende kanalen. Denk bij de inzet van data concreet aan het activeren van een in customer data platform opgebouwd klantprofiel – bestaande uit o.m. cookiedata – dat je in bijvoorbeeld Google’s Customer Match wil activeren. Deze fase hangt samen met de eerdere twee fasen – de rechtmatigheid van je activatiestrategie staat of valt met correct uitgevoerde verzamelings- en profileringsfases.

Specificatie van doeleinde als startpunt

De belangrijkste les voor al deze fasen is dat compliant gebruik begint bij het vooraf bepalen van de doeleinden waarvoor je de data wilt inzetten (in fase 3). Je moet dus op het moment van verzamelen al duidelijk hebben hoe je de data wilt gebruiken en welke rol cookiedata, klantdata en AI hierin spelen. Deze vooruitziende blik is niet alleen een vereiste vanuit het oogpunt de cookiewet en AVG, maar zorgt ook voor transparantie richting gebruikers. Zonder deze duidelijke doelomschrijving in de beginfase is het vrijwel onmogelijk om in latere fases rechtmatig te kunnen profileren en activeren. Een goed doordachte datastrategie vormt daarom de basis voor zowel effectieve AI-toepassingen als juridische compliance.

Cookieless AI-advertising: bestaat dat?

Er bestaan ook AI-tools die niet het gedrag analyseert van de gebruiker, maar de inhoud van de pagina – bijv. server-side natural language processing. Op basis van die context wordt een relevante advertentie geselecteerd. Zolang die selectie uitsluitend gebeurt op basis van wat je server al weet – de URL, de tekst van de pagina, categorie-tags – en je geen gegevens op het apparaat opslaat of daaruit uitleest (bijv. een IP-adres), is de cookiewet niet van toepassing en is er dus geen toestemming vereist. In de praktijk is de lat om ‘cookieless’ te advereren daarmee best wel hoog. Wij betwijfelen of dit advertentiemodel voor het gros van uitgeverijen die bannerruimte verkopen rendabel kan zijn.

Vaker hebben marketeers echter te maken met tools die een cookietechniek en/of persoonsgegevens gebruiken. Dit is ‘zelfs’ het geval bij de cookieless Privacy Sandbox   van Google, waarbij de Google topics API met modellering interest based advertising mogelijk maakt. Chrome analyseert lokaal het surfgedrag van de gebruiker, deelt op basis daarvan drie interessecategorieën en stuurt bij elk sitebezoek één daarvan naar adverteerders. Er wordt bij deze techniek wél informatie uitgelezen van het apparaat en daarmee valt Topics onder de Nederlandse cookiewet. Gezien mogelijk advertentiedoeleinden worden gediend, geldt de uitzondering voor analytische cookies niet en zal voorafgaande toestemming verplicht zijn.

Toekomstige wetgeving

De aankomende Digital Fairness Act (wetsvoorstel verwacht in 2026) is aangekondigd door de Europese Commissie en richt zich op het eerlijk en transparant inzetten van digitale beïnvloedingstechnieken. Hieronder valt o.a. gepersonaliseerde content, aanbevelingen en prijzen. Hoewel de wetgeving nog in ontwikkeling is, weten we dat de nadruk ligt op het beschermen van consumenten tegen sturende technieken, verslavend design en bepaalde vormen van gepersonaliseerde advertenties. Voor marketeers betekent dit mogelijk strengere regels bij het gebruik van AI op basis van cookiedata, vooral als profielen worden ingezet voor nudging of prijspersonalisatie. Ook dark patterns in cookiebanners kunnen onder deze wet gaan vallen. 

Daarnaast is na jaren van politiek overleg de ePrivacy-verordening begin 2025 officieel van tafel geveegd. Daarmee blijft de huidige nationale aanpak – in Nederland via de Telecommunicatiewet – voorlopig leidend voor cookieregels. Een EU-brede harmonisatie laat dus op zich wachten. Mogelijk komt er in de toekomst een alternatief wetsvoorstel, maar concrete plannen ontbreken nog.

Best practices

Begrijp hoe je AI-tool werkt en welke wetten van toepassing zijn

Of de cookiewet van toepassing is, hangt af van de werking van de tool: wordt er iets opgeslagen of uitgelezen op het apparaat van de gebruiker], dan geldt artikel 11.7a Tw en is toestemming nodig behoudens de uitzonderingen. Daarnaast is de AVG van toepassing zodra de AI-tool persoonsgegevens verwerkt, ook als die alleen indirect herleidbaar zijn (zoals via een pseudoniem of uniek ID). Zorg dus dat je precies weet hoe de AI-tool werkt: draait het model server-side of on-device? Gebruikt het cookies of andere identifiers?

Vraag vooraf geldige toestemming voor cookiedata met een helder doel

Gebruik je cookies voor meer dan alleen functionele of beperkt analytische doeleinden, dan is voorafgaande toestemming verplicht. Wees daarbij concreet: geef in je cookiebanner aan dat de data gebruikt wordt voor personalisatie of AI-gebaseerde aanbevelingen en zorg dat je geen ‘nudging design’ gebruikt in je banner.

Let op bij het hergebruiken van cookiedata

Cookiedata die oorspronkelijk is verzameld voor webanalyse, mag niet zomaar worden hergebruikt voor AI-modellen of targeting. Dat vereist een nieuwe grondslag en een duidelijke vermelding van het nieuwe doel.

Zorg voor AI-geletterdheid in jouw organisatie

Zorg dat er governance is op AI-profielen: wie beheert het model, hoe wordt bias gemonitord, kloppen de aannames nog? Ook vanuit de AVG ben je verplicht om de werking en effecten van profilering te kunnen onderbouwen.

Denk vanuit de verwachting van je klant

Niet alles wat juridisch mag, is ook verstandig. Toepassingen die niet aansluiten bij de beleving van de gebruiker, kunnen het vertrouwen in je merk beschadigen. Blijf dus kritisch: past dit bij de beleving die de klant verwacht?

Blijf up to date

In een juridisch landschap dat continu in beweging is, is het cruciaal om ontwikkelingen zoals de Digital Fairness Act scherp te volgen. Een branchevereniging als DDMA volgt deze dossiers op de voet en houdt leden tijdig geïnformeerd over de implicaties voor data- en marketingpraktijken.

Isa Nieuwstad

Junior Legal Counsel

Frank de Vries

Team lead legal | Senior legal counsel