Spring naar content

In dit opiniestuk nemen we je mee langs recente juridische en toezichthoudende uitspraken die illustreren waarom de cookieregels toe zijn aan een grondige herziening. De praktijk laat zien: oplossingen als Google Fonts, Google Tag Manager en de TC-string lopen stuk op regels die niet langer passen bij moderne marketingtechnologie.

Juridisch kader in vogelvlucht

De cookiebepaling (artikel 11.7a Telecommunicatiewet) verbiedt het plaatsen of uitlezen van cookies en soortgelijke technieken (bijvoorbeeld Javascript), tenzij er vooraf toestemming is verkregen. Er zijn twee uitzonderingen, maar die worden zéér beperkt uitgelegd door de Europese privacy toezichthouders (voorheen de Artikel 29-Werkgroep, nu EDPB):

  1. Transmissie-exceptie
    Alleen als de opslag of toegang uitsluitend nodig is om communicatie technisch mogelijk te maken (denk aan DNS-verkeer of load balancing). Voor marketing of analytics is deze uitzondering niet relevant.
  2. Strikt noodzakelijke cookies
    Toegestaan wanneer een cookie onmisbaar is voor een door de gebruiker gevraagde dienst. Denk aan:
    • inloggen op een account;
    • producten in een winkelmandje bewaren;
    • een taal- of regio-instelling opslaan;
    • embedded video- of audiocontent afspelen;
    • formuliergegevens onthouden binnen één sessie;
    • pure beveiligingscookies (bijv. om brute-force-aanvallen te detecteren).

Cruciaal volgens de privacy toezichthouders: de functionaliteit moet gericht zijn op het gebruiksgemak van de bezoeker, niet op het gemak of de optimalisatie voor de website-eigenaar. Daarom vallen (first- of third-party) analytics- en marketingcookies in beginsel buiten deze uitzondering, hoe “functioneel” ze voor de organisatie ook lijken.

Hoe zit het dan met analytics zonder toestemming? Nederland en een aantal andere landen staan onder voorwaarden privacy­vriendelijke analytics zonder toestemming toe, maar dit is de uitzondering op de uitzondering.

Lees hier meer over de regels rondom cookies en de uitzondering voor analytics in Nederland

De privacy toezichthouders noemen ook een aantal cookies die sowieso niet zijn uitgezonderd:

  • audience- en conversiemeting;
  • frequency capping (het beperken van advertentie-impressies per gebruiker);
  • detectie van klikfraude.

Voor al deze doeleinden is dus wél cookie-toestemming vereist.

Zodra een cookie (of de bijbehorende scriptverwerking) persoonsgegevens verwerkt (denk aan IP-adressen, device-ID’s of andere online identifiers) geldt óók de AVG. Dan is naast de cookie-toestemming een aparte verwerkingsgrondslag vereist (bijv. toestemming of gerechtvaardigd belang) en moeten principes als transparantie, doelbinding en dataminimalisatie worden nageleefd.

Juist dit samenspel van regels maakt het lastig voor moderne marketingtools. Zo oordeelden Duitse rechters al dat Google Fonts en Google Tag Manager niet zonder toestemming mogen worden ingezet, zelfs als ze technisch lijken te horen bij de functionaliteit van de site.

Waar de uitzondering strandt: drie lessen uit de rechtspraak

De afgelopen 3 jaar kreeg de smalle speelruimte voor “functionele” cookies en scripts steeds vaker een tik van de rechter. Drie uitspraken maken duidelijk hoe snel een ogenschijnlijk onschuldige script- of font-tag tóch om toestemming vraagt óf simpelweg in strijd is met de AVG.

  1. Google Fonts: host fonts en scripts lokaal
    Een web­pagina laadt letter­types rechtstreeks vanaf fonts.gstatic.com. Dat gebeurt al bij de eerste verzoek. Als gevolg hiervan wordt het IP-adres van de bezoeker met een server van Google in de VS gedeeld.
    • Rechter (München, 20 jan 2022): het IP-adres is een persoonsgegeven. De site kon de fonts net zo goed lokaal hosten. Kortom: er was dus geen noodzaak en grondslag voor het delen van het IP-adres.
    • Cookie­bepaling niet van belang: De uitspraak draait puur om de AVG-rechtmatigheid van het delen van persoonsgegevens zonder grondslag.
    • Gevolg: schadevergoeding (€ 100) voor de klager, maar in bredere zin geldt er in Duitsland in feite een ‘verbod’ op externe font-hosting zonder toestemming. Het delen van het IP-adres met een externe server is namelijk technisch onvermijdelijk vanwege de werking van het internetprotocol.
  2. Google Tag Manager (GTM): gemak voor de website ≠ dienst voor de gebruiker
    GTM is een tag management tool waarmee website-eigenaren eenvoudig andere scripts kunnen activeren, zoals analytics- of marketingtags. Hoewel GTM zelf geen cookies plaatst, wordt via het laden van het script wel informatie uitgelezen van het apparaat, waardoor de cookiebepaling van toepassing is. Het is gebruikelijk om het gtm.js script te laden bij de eerste paginaview vóórdat decookiebanner verschijnt.
    • Rechter (Hannover, 19 maart 2025): GTM dient vooral het beheer­gemak van de site-eigenaar, niet een door de gebruiker gevraagde dienst. Bovendien gaan het IP-adres en apparaatgegevens naar de VS. Dit vereist toestemming volgens zowel de cookiebepaling en AVG.
    • Gevolg: GTM vanaf een Google-domein mag in Duitsland pas ná toestemming laden.
    • Server-side GTM? De uitspraak suggereert dat een EU-gehoste, self-hosted of cloud-proxyvariant wél zonder extra toestemming kán als geen IP-adres naar Google gaat. Voor de marketing-tags die via GTM worden ingeladen blijft toestemming uiteraard wel vereist.
  3. TC-string (IAB TCF 2.0): toestemming voor een toestemmings­cookie
    De TC-string is een gecodeerde gegevensreeks waarin een website de advertentievoorkeuren van een gebruiker vastlegt. Deze string wordt opgeslagen in een cookie en bevat doorgaans ook een unieke ID. Binnen het Transparency & Consent Framework (TCF) wordt de TC-string gedeeld met aangesloten partijen (publishers en vendors), zodat zij hun dataverwerking kunnen afstemmen op de keuzes van de gebruiker (bijvoorbeeld bij real time bidding).
    • Rechter (Hof van Justitie EU, 7 maart 2024 & Hof van beroep Brussel, 14 mei 2025): de TC-string is een persoonsgegeven. Het delen ervan met derden vereist daarom een geldige grondslag onder de AVG. Die ontbreekt: het beroep van IAB Europe op gerechtvaardigd belang faalt, omdat bezoekers van een websitehet delen van TC-string met TCF-deelnemers niet kunnen verwachten.
    • Gevolg: om een weigering van toestemming te kunnen onthouden, moet een CMP een cookie plaatsen met de TC-string. Maar zodra die string een unieke ID bevat of gedeeld wordt met derden, is sprake van verwerking waarvoor toestemming nodig is. Zonder toestemming mag de string dus niet gedeeld worden, maar zónder opslag weet de site bij een volgend bezoek niet dat de gebruiker al heeft geweigerd en wordt hij telkens opnieuw geconfronteerd met de cookiebanner.
    • Oplossing in TCF 2.2: De TC-string wordt voortaan uitsluitend lokaal opgeslagen, gekoppeld aan één specifieke website, en niet langer cross-site met de TCF-deelnemers gedeeld. Bij een weigering wordt de string niet verspreid naar derden, maar alleen gebruikt om die weigering te onthouden. IAB Europe onderbouwt dit door te stellen dat het vasthouden van de voorkeuren wél voldoet aan de uitzondering voor ‘strikt noodzakelijke cookies’.

De dubbele paradox voor marketeers

1. Technische frictie
Elke externe tag, font of pixel die vóór toestemming inlaadt, brengt juridische risico’s met zich mee. Blokkeer je deze assets tot er toestemming is, dan ontstaan vertragingen in de laadtijd, haperingen in de gebruikerservaring en meetproblemen in je funnel. Laat je ze wel meteen laden, dan loop je het risico op een overtreding van de cookiewet én de AVG.

De toenemende roep om fonts en scripts zelf te hosten, toont hoe ver de juridische interpretatie inmiddels losstaat van de technische werkelijkheid. Veel moderne sites draaien op gedeelde infrastructuur en content delivery-netwerken. Dat nu van elke website wordt verwacht dat deze alles in eigen beheer neemt, getuigt van weinig begrip voor hoe het internet anno 2025 feitelijk functioneert.

2. Toestemming opslaan zonder toestemming
Het opslaan van een simpele ‘nee, ik wil geen cookies’-keuze mag nog net zonder toestemming, zolang het cookie technisch en lokaal blijft. Maar zodra dezelfde toestemmings­string een ID bevat of wordt gedeeld met advertentie­partners, geldt het strenge regime opnieuw: je hebt wéér toestemming nodig. Het gevolg? Ofwel een eindeloze banner-loop bij iedere (TCF) website, ofwel verlies van advertentie- en consentdata.

Kortom: Of je nu wél of geen cookie plaatst, het juridische kader van cookiebepaling en AVG is zó nauw geworden dat veelgebruikte marketingtactieken structureel tegen de grenzen van wat nog mag aanlopen. De paradox is compleet: zelfs tools die bedoeld zijn om toestemming (deels) te beheren, vereisen zélf toestemming.

Pleidooi voor modernisering: naar een werkbaar en risico-gebaseerd cookieregime

De recente uitspraken over Google Fonts, Google Tag Manager en de TC-string maken duidelijk dat het huidige cookieregime in de praktijk steeds lastiger uitvoerbaar wordt. Wie externe scripts blokkeert tot er toestemming is, loopt tegen vertragingen, meetproblemen en verstoorde gebruikerservaringen aan. Wie diezelfde scripts wel laadt vóór toestemming, riskeert het overtreden van de regels. Dat is geen “privacy-by-design”, dat is impasse-by-design.

Wat DDMA betreft is het tijd voor modernisering van het cookieregime, waarin ruimte ontstaat voor verantwoord gebruik van data én daadwerkelijke privacybescherming.

1. Werk risico-gebaseerd, niet techniek-gestuurd
Het is uiteindelijk een politieke keuze geweest om álle vormen van cookies onder een vergrootglas te leggen, ongeacht doel of impact. Dat is begrijpelijk vanuit het streven naar meer bescherming, maar het leidt inmiddels tot een juridisch keurslijf waarin welwillende organisaties nauwelijks nog kunnen opereren. Maar dat betekent niet dat elk cookie, tag of script bij voorbaat verdacht is. Door te sturen op risico in plaats van op techniek, ontstaat ruimte voor innovatie én effectieve bescherming.

2. Harmoniseer cookieregels en AVG
De huidige cookiebepaling bestaat naast de AVG en leidt in veel gevallen tot dubbele toetsing, verwarring en consent-moeheid bij gebruikers. DDMA pleit al langer voor één geïntegreerd kader, waarin de rechtmatigheid van gegevensverwerking via cookies, pixels of andere technologieën gewoon onder de AVG wordt getoetst. Zo ontstaat een duidelijk, toekomstbestendig kader dat ruimte biedt aan innovatieve oplossingen, zoals privacy-enhancing technologies, persoonlijke, contextuele of andere typen advertenties.

3. Stimuleer innovatie en kijk verder dan één advertentiemodel
Het Rathenau-rapport De prijs van gratis internet schetst een eenzijdig beeld van de digitale advertentieketen. Innovaties in privacybescherming, bestaande waarborgen en de economische realiteit van digitale content blijven onderbelicht. Contextueel adverteren wordt in het rapport en door de politiek gepresenteerd als hét alternatief, terwijl dat model in de praktijk niet altijd toereikend is. Het is minder geschikt voor bijvoorbeeld social media, nichedoelgroepen, retargeting of campagnes met maatschappelijke doelstellingen. Bovendien worden ook bij contextuele advertenties gegevens verwerkt, zoals pagina-inhoud en apparaat informatie.

Daarnaast miskent deze zienswijze hoe het internet werkt: diversiteit in advertentiemodellen betaalt gratis content. Regel het doel, niet het middel. Stel heldere resultaatsnormen (transparantie, controle, data-minimalisatie, PET-gebruik) en laat organisaties zélf bepalen of ze server-side tagging, differential privacy of contextuele ads inzetten.

Wetgeving zou geen voorkeur moeten uitspreken voor één advertentiemodel, maar ruimte moeten bieden aan diverse privacy vriendelijke oplossingen. Beleidskeuzes vragen om een realistisch en onderbouwd beeld van wat werkt, wat al kan en wat werkbaar is voor gebruikers én organisaties.

DDMA roept beleidsmakers op om bij de herziening van het cookieregime verder te kijken dan alleen het instrument (cookies) en juist in te zetten op een aanpak die uitgaat van effect op de gebruiker, risico voor de rechten en ruimte voor verantwoorde innovatie. Alleen zo blijft marketing werkbaar én kan de consument blijven profiteren van een relevant aanbod van diensten.

Frank de Vries

Team lead legal | Senior legal counsel

Ook interessant

Lees meer
Cookies |

Rechters over GTM en TC-string: marketeers klem tussen cookiewet en consent-paradox

De cookieregels zijn hopeloos verouderd: door de recente uitleg van rechters lijkt toestemming nu ook vereist voor het vastleggen van de cookievoorkeuren. Dat leidt tot een ongemakkelijke paradox: wat als…
Lees meer
AVG |

Duidelijkheid over cookiebanners: wat moet er volgens de AP op laag 1 en 2 staan? 

Met 50 waarschuwingen aan organisaties en een aantal boetes verder omtrent foute cookiebanners, heeft de Autoriteit Persoonsgegevens (AP) getoond dat het thema cookies hoog op de agenda staat. De AP…
Lees meer
AI Act |

AI & Cookies: Wat mag volgens de cookiebepaling?

Als online marketeer werk je dagelijks met klantdata en trackingtechnologie. Wat veel professionals zich niet realiseren: AI speelt hier een steeds grotere, vaak onzichtbare rol – van 360°-klantprofielen tot lookalike…