ProWeb Studio Logo
Terug naar Kennisbank
Juridisch
2026-02-25 ProWeb Studio 8 min

GDPR & cookies in Nederland: wat moet op je website?

Praktische gids over cookiebeleid, AVG-compliance en toestemmingsbeheer voor Nederlandse websites. Wat is verplicht en wat is overkill?

AVG en cookies: wat u écht moet regelen

De Algemene Verordening Gegevensbescherming (AVG) en de cookiewetgeving zijn voor veel ondernemers een bron van verwarring. Wat moet er precies op uw website? Wat is wettelijk verplicht en waar schiet u door?

In dit artikel leggen we het helder uit — zonder juridisch jargon.

De twee wetten die u moet kennen

1. AVG (GDPR)

De Europese privacywet die bepaalt hoe u persoonsgegevens mag verzamelen, verwerken en opslaan. Geldt voor élke organisatie die persoonsgegevens van EU-burgers verwerkt.

2. Telecommunicatiewet (cookiewet)

De Nederlandse implementatie van de ePrivacy-richtlijn. Bepaalt wanneer u toestemming nodig heeft voor het plaatsen van cookies en vergelijkbare technieken.

Drie categorieën cookies

Functionele cookies (geen toestemming nodig)

  • Sessie-cookies (winkelmandje, inlogstatus)
  • Taalvoorkeur
  • Cookiebannervoorkeur zelf

Deze mag u plaatsen zonder toestemming, maar u moet ze wel vermelden in uw cookiebeleid.

Analytische cookies (voorwaardelijk)

  • Google Analytics (met IP-anonimisering)
  • Plausible, Fathom, Simple Analytics (privacy-vriendelijk)

Privacy-vriendelijke analytics (die geen persoonsgegevens verwerken) mogen vaak zonder toestemming. Google Analytics vereist wél toestemming, tenzij u aanvullende maatregelen treft.

Marketing/tracking cookies (altijd toestemming)

  • Facebook Pixel
  • Google Ads remarketing
  • LinkedIn Insight Tag
  • Hotjar (sessie-opnames)

Hiervoor heeft u altijd expliciete, actieve toestemming nodig. Geen vooraf aangevinkte vakjes.

Wat moet op uw website?

1. Cookiebanner met echte keuze

De banner moet:

  • Vóór het plaatsen van niet-functionele cookies verschijnen
  • Een duidelijke "Accepteren" en "Weigeren" knop bieden (gelijkwaardig)
  • Geen dark patterns gebruiken (weigeren niet moeilijker maken)
  • Werken zonder dat cookies al geplaatst worden bij het laden

2. Privacyverklaring

Een pagina die uitlegt:

  • Welke persoonsgegevens u verzamelt
  • Waarom (rechtsgrond)
  • Hoe lang u ze bewaart
  • Met wie u ze deelt
  • Hoe bezoekers hun rechten kunnen uitoefenen

3. Cookiebeleid

Specifiek voor cookies:

  • Welke cookies u plaatst (naam, doel, bewaartermijn)
  • Of ze van uzelf of derden zijn
  • Hoe bezoekers hun toestemming kunnen intrekken

4. Contactgegevens verwerkingsverantwoordelijke

Uw privacyverklaring moet vermelden wie verantwoordelijk is voor de gegevensverwerking — inclusief naam, adres en e-mail.

Veelgemaakte fouten

Cookiebanner zonder "weigeren" optie

De Autoriteit Persoonsgegevens heeft bevestigd dat een "weigeren" optie even prominent moet zijn als "accepteren". Alleen een "X" of "sluiten" knop is onvoldoende.

Scripts laden vóór toestemming

Als uw Google Analytics of Facebook Pixel al laadt voordat de bezoeker toestemming geeft, bent u in overtreding. Implementeer script-blocking correct.

Toegang tot uw website weigeren als iemand cookies afwijst is in Nederland niet toegestaan, tenzij er een redelijk alternatief is.

Verouderd cookiebeleid

Uw cookielijst moet actueel zijn. Als u een tool toevoegt of verwijdert, moet het cookiebeleid bijgewerkt worden.

Privacy-vriendelijke alternatieven

| Tool | Alternative | Toestemming nodig? | |------|-----------|-------------------| | Google Analytics | Plausible, Fathom | Nee* | | Hotjar | PostHog (self-hosted) | Ja | | Facebook Pixel | Server-side conversion API | Ja | | Google Maps embed | Statische kaart + link | Nee |

*Bij privacy-vriendelijke analytics die geen persoonsgegevens verwerken en geen cookies plaatsen.

Implementatie checklist

  • [ ] Cookiebanner met gelijkwaardige "Accepteren" / "Weigeren" knoppen
  • [ ] Scripts blokkeren tot toestemming is gegeven
  • [ ] Privacyverklaring met alle vereiste elementen
  • [ ] Cookiebeleid met complete cookielijst
  • [ ] Toestemming registreren (bewijs bewaren)
  • [ ] Optie om toestemming in te trekken
  • [ ] Jaarlijkse review van privacy- en cookiebeleid

Veelgestelde vragen

Moet elke website een cookiebanner hebben? Niet per se. Als u alleen functionele cookies gebruikt en geen analytics of tracking, is een banner niet verplicht. Een privacyverklaring is wél altijd nodig als u persoonsgegevens verwerkt (bijv. contactformulier).

Is Google Analytics toegestaan in Nederland? Ja, mits u de juiste maatregelen treft: IP-anonimisering, geen data-delen met Google, en toestemming vragen via uw cookiebanner. Overweeg privacy-vriendelijke alternatieven om compliant te zijn zonder cookiebanner.

Kan ik een boete krijgen? Ja. De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet. In de praktijk gaat de AP eerst waarschuwen bij MKB-bedrijven.

Laatst bijgewerkt: 25 februari 2026

Wilt u uw website AVG-proof maken? Neem contact op →

Gerelateerde diensten

Website Laten MakenOnderhoud Support
Vragen over dit onderwerp? Neem contact op →