Maar diezelfde cookies maken je ook kwetsbaar. Cookiebanners zijn een handhavingsprioriteit van de Autoriteit Persoonsgegevens (AP), die inmiddels actief organisaties waarschuwt die hun zaken niet op orde hebben. Daarbij richt de AP zich niet alleen op grote platforms: ook middelgrote webshops staan op de radar.
Op de Webwinkel Vakdagen 2026 gaven de DDMA Legal Counsels een presentatie over precies dit onderwerp. Heb je deze gemist? Geen probleem. Hieronder lees je de vijf belangrijkste tips waarmee jij je cookiecompliance op orde brengt.
Tip 1: Check welke cookies worden ingeladen vóór consent
Dit is veruit het meest voorkomende probleem dat we tegenkomen bij audits en ook een van de punten waar de AP als eerst naar kijkt. De regel is eenvoudig: cookies die niet strikt noodzakelijk zijn voor de werking van je webshop óf die op privacy-vriendelijke manier de kwaliteit en effectiviteit van de website meten, mogen pas worden geplaatst nadat de bezoeker toestemming heeft gegeven.
In de praktijk gaat het hier vaak mis door de technische inrichting van tag managers of third-party scripts. Google Analytics, Meta Pixel, TikTok Pixel — ze staan bij veel webshops standaard aan, nog voordat de bezoeker ook maar op een knop heeft gedrukt.
Wat te doen: Voer een cookiescan uit met een tool als Ghostery of via de CMP (Cookiebot, OneTrust, etc). Kijk specifiek naar welke cookies en scripts worden geactiveerd bij de eerste paginaweergave, dus nog vóór interactie met de banner. Is dat iets anders dan functioneel noodzakelijke óf privacy-vriendelijke analytische cookies? Dan kun je deze pas inladen ná toestemming door de gebruiker.
Tip: maak een team van verschillende professionals binnen je organisatie. Legal, tech, marketing: iedereen die iets te maken heeft met cookies breng je samen. Hierdoor zie je vanuit verschillende perspectieven hoe het cookiegebruik binnen jouw organisatie geregeld is. Een van de DDMA Legal Counsels hierbij aanhaken? Als DDMA-lid kan dat! Stuur een mail naar legal@ddma.nl
Tip 2: Bied de weiger- en toestemmingsknop gelijkwaardig aan
Om de gebruiker een goede keuze te kunnen laten maken tussen het accepteren of weigeren van de cookies, moeten de knoppen duidelijk en gelijk zijn. Dat betekent dat bewoordingen als ‘Ja, ik wil een optimale ervaring’ of ‘Oke’ niet juist zijn: de enige optie is ‘accepteren’. Ook moet op de eerste laag zowel de acceptatie als weiger-button worden getoond: de weigerbutton mag niet verstopt worden op een andere laag of in andere bewoordingen als ‘selectie opslaan’.
Wat te doen: Zet een ‘Alles weigeren’-knop naast de ‘Alles accepteren’-knop op het eerste niveau van je cookiebanner. Niet verstopt achter een extra klik. Niet in een kleiner lettertype of in een té sturende kleur (rood voor weigeren, groen voor accepteren).
Tip 3: Informeer volledig, maar niet overmatig
Als plaatser van cookies heb je een wettelijke informatieplicht. Je bent verplicht gebruikers o.a. te vertellen dát je cookies gebruikt, dat je daarbij persoonsgegevens verwerkt, en voor welke doeleinden je dat doet.
Maar er zit ook een andere kant aan: te veel informatie werkt averechts. Een banner die bestaat uit pagina’s juridisch proza bereikt het tegenovergestelde. De bezoeker haakt af en klikt op “accepteren” zonder iets te lezen.
Wat je moet doen: Zorg dat je werkt in verschillende informatielagen. Op het eerste niveau van je banner plaats je de kern: welke categorieën cookies gebruik je en met welk doel? Op het tweede niveau — een uitklapbare sectie of een apart scherm — bied je de meer gedetailleerde uitleg voor bezoekers die dat willen. De volledige technische en juridische onderbouwing heeft zijn plek in je cookieverklaring. Zo voldoe je aan je informatieplicht zonder je bezoekers te overspoelen.
Precies weten wat er in je cookiebanner moet staan en hoe je design voldoet aan de regels? Bekijk hier de Cookiebanner Checklist! De DDMA Legal Counsels kunnen je helpen bij de cookie-audit. Mail daarvoor naar legal@ddma.nl.
Tip 4: Informeer bezoekers over hoe ze hun toestemming kunnen intrekken
In de cookiebanner moet op de eerste laag ofwel de mogelijkheid worden geboden om toestemming in te trekken of met een directe link naar waar dat kan. Een logische keuze daarbij is een verwijzing naar het cookiebeleid, waar de gebruiker in een oogopgslag ziet dat hij toestemming kan intrekken. Dat betekent meteen bovenaan de pagina op een duidelijke manier. Als iemand moet zoeken naar een knop, vindt de toezichthouder het niet even gemakkelijk.
Wat te doen: Zorg voor een permanente en makkelijk vindbare manier om cookievoorkeuren te wijzigen. Dat begint met een link in de cookiebanner. Daarnaast is het handig te kijken bij het gekozen CMP of er een mogelijkheid is tot een persistent cookie-icoon.
Tip 5: de cookieontwikkelingen gaan snel, zorg dat je bij blijft
Met het zicht op de vereenvoudiging van wetgeving via de Digital Omnibus, kan het zomaar zijn dat de hele Cookiewet op de schop wordt gegooid. Ook worden regelmatig uitspraken of richtlijnen gepubliceerd door (Europese) toezichthouders en rechters. Bij DDMA houden we die ontwikkelingen voor je bij en schrijven we die op in praktische artikelen. Schrijf je hier in voor onze nieuwsbrief en blijf op de hoogte van alle wetgeving en wijzigingen.
Isa Nieuwstad
Ook interessant
Cookies in e-com: 5 tips om handhaving te voorkomen
Wat je moet doen na een cookie-waarschuwing van de AP
