Sinds juni 2012 zijn webmasters verplicht toestemming te vragen voor het plaatsen van cookies. In dit artikel vertelt Bob je welke soorten cookies er zijn, welke verplichtingen de cookiewet met zich meebrengt en hoe je die kunt implementeren op je eigen website. Dit artikel is op 6-6-2018 up to date gebracht i.v.m. de AVG wetgeving.
In dit artikel lees je:
- Dat een cookie een klein tekstbestandje is wat op de computer van de gebruiker wordt geplaatst
- Dat functionele cookies ervoor zorgen dat een website beter werkt
- Dat analytische cookies bijhouden welke pagina’s je bezoekt op die website
- Dat tracking cookies bijhouden welke andere websites je bezoekt om relevante advertenties te tonen
- Dat de cookiewet vereist dat je gebruikers duidelijk informeert en expliciet toestemming vraagt om cookies te plaatsen
- Dat de AVG een aantal extra eisen aan het informeren over en plaatsen van cookies stelt
- Hoe je de een cookiemelding op je eigen website kan implementeren
Wat zijn cookies nu eigenlijk, en welke soorten cookies onderscheiden we?
Een cookie is een klein tekstbestandje dat door een website op de computer (of tablet of smartphone) van de gebruiker geplaatst wordt. Er zijn 3 soorten cookies:
- Functionele cookies
- Analytische cookies
- Tracking cookies
Functionele cookies
Functionele cookies zorgen ervoor dat een website beter werkt. Met functionele cookies kan een website bijvoorbeeld:
- Links naar reeds bezochte pagina’s een andere kleur geven
- Een gebruiker automatisch inloggen en bij naam welkom heten
- Instellingen onthouden, zoals de taal of favoriete programma’s bij een online tv gids
- De inhoud van je winkelwagen onthouden bij webshops
- Je rekeningnummer en pasnummer onthouden bij internetbankieren
Functionele cookies zijn dus vooral erg handig voor de gebruiker / bezoeker van een website.
Analytische cookies
Analytische cookies houden bij welke pagina’s je bezoekt op de betreffende website, hoe lang je een bepaalde pagina bekijkt, welke pagina je daarna bezoekt enzovoorts. Webmasters kunnen deze informatie vervolgens in hun statistiekenprogramma (bijvoorbeeld Google Analytics) bekijken en deze gebruiken om hun website te verbeteren.
Deze cookies zijn alleen van belang voor webmasters, en als gebruiker heb je daar verder geen last van. Overigens vallen ook cookies door affiliate partijen onder deze analytische cookies.
Tracking cookies
Deze informatie wordt gebruikt voor marketingdoeleinden, voornamelijk voor het tonen van relevante advertenties op basis van je surfgedrag. Google Adwords is een hele grote plaatser van tracking cookies, maar ook andere (re)marketing bedrijven plaatsen die soort cookies.
Je hebt het vast weleens meegemaakt dat je een product bekijkt op een bepaalde website, en dat dit product en de betreffende website vervolgens overal opduikt op andere websites (bijvoorbeeld in de reclamebanners (3) van Nu.nl hiernaast). Dat gebeurt dus middels tracking cookies.
De cookiewet
Als je website tracking cookies plaatst verplicht de cookiewet je 2 dingen:
- Duidelijke en specifieke informatie geven over de cookies die gebruikt worden, bijvoorbeeld op een aparte pagina of in je privacy verklaring
- Expliciet toestemming vragen voor het gebruik van deze cookies
Het toestemming vragen gebeurt vaak in een balk onderaan of bovenaan de website, waar je dan op akkoord moet klikken om dit toe te staan. Zie (1) bij het screenshot van nu.nl hierboven. Overigens hoeft een gebruiker niet perse op akkoord te klikken; als deze duidelijk en volledig geïnformeerd is over het cookiegebruik en hij surft gewoon door op je website wordt dat ook als toestemming gezien. Onder de AVG moet een gebruiker expliciet toestemming geven voor het plaatsen van cookies, je mag er dus niet meer van uit gaan dat een bezoeker cookies accepteert als deze verder surft op je website. Een tracking cookie mag pas geplaatst worden als deze toestemming is verkregen.
Je moet dus duidelijke en specifieke informatie geven over de cookies die gebruikt worden, die makkelijk vindbaar en door iedereen te begrijpen is zodat de gebruiker weet waarvoor hij precies toestemming geeft. Deze informatie kun je het beste op een aparte pagina vermelden, waarnaar je in de meldingsbalk linkt zoals in het voorbeeld hierboven (2). Overigens geeft Nu.nl ook al behoorlijk wat informatie in de meldingsbalk zelf, dat is dus niet verplicht.
Tenslotte mag je ook verwijzen naar de informatie op de website van de partij die de cookies plaatst, dus als je alleen vanwege Google Adsense een informatieplicht hebt mag je ook naar Google’s privacypagina verwijzen.
Wat is er veranderd met de komst van de AVG?
Daarnaast mocht je er onder de cookiewet van uit gaan dat de bezoeker akkoord gaat met het plaatsen van die cookies als hij na het zien van de melding verder surft op de website. Dat is nu niet meer toegestaan; onder de AVG moet de gebruiker echt op een knop klikken om cookies te accepteren voordat deze geplaatst worden.
Verder moet je de bezoeker uitgebreider informeren over wat je met hun gegevens doet. Een algemene melding als “wij gebruiken cookies om onze website beter te laten functioneren” is dus niet meer voldoende, je moet duidelijk vermelden wat voor cookies je plaatst en wat je daarmee doet.
Iets als “Naast noodzakelijke cookies om onze website beter te laten functioneren plaatsen wij ook analytische cookies om te analyseren hoe onze website gebruikt wordt. Verder plaatsen wij tracking cookies om onze advertenties beter af te stemmen op onze bezoekers” komt dus al een stuk meer in de buurt.
Aangezien je onder de AVG bezoekers voor ieder doel van gegevensverwerking apart toestemming moet vragen zul je de acceptatie van cookies ook moeten opsplitsen naar het soort cookie, zoals op de afbeelding hierboven. Vooraf aangevinkte vakjes zijn niet toegestaan, met uitzondering van functionele cookies. Analytische cookies van bijvoorbeeld Google Analytics mogen onder bepaalde voorwaarden ook zonder toestemming geplaatst worden, maar voor alle andere cookies zul je dus wel toestemming moeten vragen.
Een cookie wall waarbij je een website alleen kunt bezoeken als je toestemming geeft om cookies te plaatsen mag ook niet meer, de bezoeker moet je website ook kunnen bezoeken als hij geen analytische en tracking cookies accepteert.
Tot slot moeten bezoekers ook de mogelijkheid hebben hun toestemming weer in te trekken, op dezelfde manier als ze deze gegeven hebben.
Hoe kan ik de cookie melding op mijn website implementeren
Op cookie-script.com kun je gratis een script genereren dat voldoet aan de Nederlandse wetgeving (mits juist geconfigureerd).
Voor WordPress zijn ook diverse gratis plugins beschikbaar, waarvan ik zelf – net als 300.000 anderen – GDPR Cookie Consent gebruik. Deze voldoet aan alle eisen (wederom mits juist geconfigureerd), maar biedt (nog) niet de optie om cookies onder te verdelen in verschillende soorten en voor iedere soort apart toestemming te vragen.
Meer over cookies
Samenvatting van de cookiewet op Rijksoverheid.nl
Een duidelijk en uitgebreid PDF document van de Autoriteit Consument en Markt over de cookiewet
Informatie over cookies op ConsuWijzer
Informatie van de consumentenbond over cookies
De WikiPedia pagina over cookies
De Europese cookiewet, die op sommige punten afwijkt van de Nederlandse wetgeving

Hulp nodig om je website AVG proof te krijgen?
Dit artikel is geschreven door Bob de webbouwer, een allround website expert die regelmatig blogt over allerlei onderwerpen die je helpen bij (het bouwen van) jouw website. Heb je hulp nodig? Huur Bob de webbouwer dan in om jouw website AVG proof te maken!
Heeft dit artikel je zo goed geholpen dat je mij niet meer nodig hebt?
Een kleine eenmalige donatie wordt altijd zeer op prijs gesteld 🙂
Leuk artikel over de cookies, maar waarom vermeld je er niet bij dat bij tracking cookies (en dus ook adsense) informeren niet voldoende is en dat er – voordat de cookies geplaatst mogen worden – expliciet toestemming van de bezoeker vereist is. En dat kan alleen met een cookiemuur … De ACM (de toezichthouder is hierover meer dan duidelijk; informeren is bij tracking cookies niet voldoende.
Hoi TjB,
Dat is een snelle reactie 😉 Maar er stond toch al dat de gebruiker toestemming moet geven? Ik heb het er nog even duidelijk bijgezet.
Daarnaast heb ik ook de link naar het cookie script aangepast, het script waar ik eerst naartoe linkte geeft alleen een melding en zoals je terecht opmerkt is dat niet voldoende. Het script van cookie-script.com zorgt ervoor dat de cookies pas geplaatst worden als de gebruiker toestemming geeft via de akkoord knop, of door het navigeren naar een volgende pagina.
Een cookiemuur – waarmee je de toegang tot de website blokkeert totdat de gebruiker op akkoord heeft geklikt – is dus niet noodzakelijk als je cookie-script.com gebruikt. Ik raad een cookiemuur altijd af, het is immers niet gebruiksvriendelijk en je wilt natuurlijk zoveel mogelijk bezoekers op je site. Bovendien worden Google Adsense advertenties ook gewoon getoond aan gebruikers die niet akkoord gaan, maar dan is de inhoud van die advertenties afgestemd op de inhoud van de website in plaats van op het surfgedrag van de gebruiker.
Bedankt voor je input!
Groeten van Bob
Leuk dit cookies script dat je aangeeft, maar denk niet dat je een Engelse tekst kunt gebruiken. Ook kan ik nergens terug vinden wat er nu precies als tekst moet staan? Moet er een ja/nee knop toegevoegd worden? Moet er een aparte pagina komen waar uitleg staat over de cookies? Heb het al enkele jaren op mijn site staan, maar weet niet of het nu nog voldoet zo?
Hoi Margaret,
Volgens mij is er niet zoveel veranderd sinds de komst van de AVG hoor, je moet nu alleen ook toestemming vragen voor analytische cookies als die ook het IP adres van de gebruiker opslaan. Google Analytics doet dat standaard wel, maar dat kun je voorkomen door het dikgedrukte gedeelte hieronder
{ ‘anonymize_ip’: true } aan je tracking code toe te voegen:
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-X"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });
</script>
Groeten van Bob
Bedankt voor je reactie! Volgens andere zijn mijn cookies niet goed. Ik moet ja en nee knoip hebben, plus een pagina met een goede privacy-verklaring die voldoet aan de nieuwe wetgeving. Maar ik kan nergens op het internet een script vinden. Alleen in het Engels, en dat mag weer niet.
Hoi Margaret,
Ik heb inmiddels wat meer research gedaan en het artikel een update gegeven. Hopelijk worden je vragen hiermee beantwoord 🙂
Groeten van Bob
Het probleem van cookies is niet dat er gebruik van gemaakt wordt, maar dat dit in het verleden gedaan is zonder dat iemand dat wist. Stiekem dus, en stiekem maakt ineens huiverig en opstandig als je er later achter komt.
Als je een boek of tijdschrift koopt verwacht je toch ook niet dat er op het papier een stof zit waardoor je verslaafd raakt aan, ik noem maar wat, koekjes van Verkade. Of heroïne. Als dat in het nieuws zou komen stond terecht de wereld op zijn kop. Dat begrijpen we. Dat doe je toch niet? Waarom bij een website dan wel?
Ik zie niet in waarom je niet gewoon aan de mensen vraagt hoe ze je website vinden. Een enquête heet dat. Ingewikkelder ja. Maar wel duidelijk en dan hoef je je niet te bedienen van fratsen waar niemand iets van weet. Stelen mag zolang er niemand achter komt? Zo kun je alles recht praten. Je moet mensen niet belazeren. Punt. Als ze er later achter komen zit je met de brokken. Had het meteen duidelijk uitgelegd dan was er niks aan de hand geweest.
Dit publieke domein, waar je bijna niet meer aan kunt ontkomen omdat banken en overheden je steeds meer verplichten om er gebruik van te maken, moet om die reden gevrijwaard blijven van die ongein. Daar hebben mensen recht op. Je pincode houd je toch ook geheim?
Begrijp me goed ik ben geen tegenstander van Internet en alles wat daarmee mogelijk is. In tegendeel.
Goed artikel trouwens. Was ik vergeten.
Vriendelijke groet.
Hoi Henk,
Hartelijk dank voor je uitgebreide reactie (en je compliment natuurlijk 🙂 ).
Ik heb persoonlijk weinig problemen met cookies, maar het is uiteraard goed dat mensen bewust worden gemaakt van privacy issues. De manier waarop dit nu gebeurt, waarbij elke website een melding moet tonen (wat meestal ook alleen een melding is; vaak worden cookies niet eens geblokkeerd), lijkt me echter niet de meeste handige manier…
Groeten van Bob