TrustYourWebsite
AVG & Privacy

Cookiebanner verplicht in Nederland: wat de AP eist in 2026

Steven | TrustYourWebsite · 31 maart 2026

Een cookiebanner is verplicht zodra je website tracking-cookies plaatst. Dat staat in artikel 11.7a van de Telecommunicatiewet. De Autoriteit Persoonsgegevens (AP) heeft sinds april 2025 meer dan 200 Nederlandse websites gewaarschuwd. Driekwart paste de banner aan. De rest krijgt een formeel onderzoek.

Ondertussen hebben we 499 Nederlandse restaurantwebsites gescand. Daarvan had 67,5% helemaal geen cookiebanner. Van de overige 32,5% miste meer dan de helft een werkende weigerknop. Slechts 16% had een banner die de AP-eisen daadwerkelijk haalt.

Wil je in twee minuten weten hoe jouw banner ervoor staat? Start de gratis scan. Wij controleren of je een banner hebt, of de weigerknop werkt en welke cookies er zonder toestemming worden geplaatst.

Wanneer is een cookiebanner verplicht?

De wet is duidelijk. Je hebt toestemming nodig zodra je website iets opslaat op het apparaat van een bezoeker dat niet strikt noodzakelijk is. Dat staat in artikel 11.7a Tw.

De European Data Protection Board (EDPB) bevestigt dit in zijn richtsnoeren bij artikel 5(3) van de ePrivacy-richtlijn. Ook fingerprinting, local storage en tracking pixels vallen onder de regel.

Wel een cookiebanner verplicht als je website:

  • Google Analytics gebruikt (tenzij volledig geanonimiseerd zonder Google Signals)
  • Marketing-cookies plaatst (Facebook Pixel, Google Ads, LinkedIn Insight Tag)
  • Social media-embeds laadt die cookies plaatsen (YouTube, Instagram, Twitter)
  • Voorkeurscookies gebruikt die niet strikt noodzakelijk zijn
  • Google Fonts extern laadt (stuurt IP-adressen naar Google)

Geen cookiebanner verplicht als je website alleen:

  • Functionele cookies gebruikt (sessiebeheer, winkelwagen, taalvoorkeur)
  • Volledig geanonimiseerde analytics draait (zoals Plausible of Fathom)
  • Geen externe scripts laadt die bezoekersdata delen

De meeste websites vallen in de eerste categorie. Twijfel je? Ga er dan vanuit dat een banner verplicht is.

Beslisboom: heb je een banner nodig?

<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 640 360" role="img" aria-label="Beslisboom: wanneer is een cookiebanner verplicht" width="100%" height="auto" preserveAspectRatio="xMidYMid meet" font-family="system-ui, sans-serif"> <rect x="220" y="10" width="200" height="50" rx="6" fill="#e0f2fe" stroke="#0284c7" stroke-width="1.5"/> <text x="320" y="33" text-anchor="middle" font-size="13" font-weight="600" fill="#0c4a6e">Plaats je website cookies?</text> <text x="320" y="49" text-anchor="middle" font-size="11" fill="#0c4a6e">Of leest die data uit het apparaat?</text> <path d="M320 60 L320 90" stroke="#475569" stroke-width="2" fill="none"/> <path d="M320 90 L120 130" stroke="#475569" stroke-width="2" fill="none"/> <path d="M320 90 L520 130" stroke="#475569" stroke-width="2" fill="none"/> <text x="200" y="85" font-size="11" fill="#475569">Nee</text> <text x="420" y="85" font-size="11" fill="#475569">Ja</text> <rect x="20" y="130" width="200" height="50" rx="6" fill="#dcfce7" stroke="#16a34a" stroke-width="1.5"/> <text x="120" y="153" text-anchor="middle" font-size="13" font-weight="600" fill="#14532d">Geen banner nodig</text> <text x="120" y="169" text-anchor="middle" font-size="11" fill="#14532d">Privacyverklaring blijft wel verplicht</text> <rect x="420" y="130" width="200" height="50" rx="6" fill="#fef3c7" stroke="#ca8a04" stroke-width="1.5"/> <text x="520" y="158" text-anchor="middle" font-size="13" font-weight="600" fill="#713f12">Alleen functioneel?</text> <path d="M520 180 L520 210" stroke="#475569" stroke-width="2" fill="none"/> <path d="M520 210 L320 250" stroke="#475569" stroke-width="2" fill="none"/> <path d="M520 210 L520 250" stroke="#475569" stroke-width="2" fill="none"/> <text x="400" y="205" font-size="11" fill="#475569">Nee</text> <text x="540" y="205" font-size="11" fill="#475569">Ja</text> <rect x="220" y="250" width="200" height="60" rx="6" fill="#fee2e2" stroke="#dc2626" stroke-width="1.5"/> <text x="320" y="275" text-anchor="middle" font-size="13" font-weight="600" fill="#7f1d1d">Banner verplicht</text> <text x="320" y="291" text-anchor="middle" font-size="11" fill="#7f1d1d">Met gelijkwaardige weigerknop,</text> <text x="320" y="304" text-anchor="middle" font-size="11" fill="#7f1d1d">vooraf, geen vinkjes aan</text> <rect x="420" y="250" width="200" height="60" rx="6" fill="#dcfce7" stroke="#16a34a" stroke-width="1.5"/> <text x="520" y="275" text-anchor="middle" font-size="13" font-weight="600" fill="#14532d">Geen banner nodig</text> <text x="520" y="291" text-anchor="middle" font-size="11" fill="#14532d">Wel transparant zijn in</text> <text x="520" y="304" text-anchor="middle" font-size="11" fill="#14532d">je privacyverklaring</text> <text x="320" y="340" text-anchor="middle" font-size="11" font-style="italic" fill="#475569">Bron: artikel 11.7a Telecommunicatiewet en AVG-considerans 32.</text> </svg>

Waar moet een cookiebanner aan voldoen?

De AP heeft een publiekscampagne over misleidende cookiebanners gestart. Daarin staan negen vuistregels. Hier zijn de eisen die het meest worden overtreden.

De AP-eisen op een rij

EisWat de AP zegtWat je banner moet doen
Toestemming voorafCookies pas plaatsen na actieve keuzeBlokkeer alle niet-functionele scripts tot de bezoeker klikt
Gelijke keuzeWeigeren even zichtbaar als accepterenTwee knoppen op het eerste scherm met dezelfde grootte en stijl
Geen donkere patronenGeen kleurcontrast, geen vooraf aangevinkte vinkjesNeutrale opmaak, alle niet-functionele categorien uit
Granulaire keuzePer categorie kunnen kiezenAparte schakelaars voor analytics, marketing en functioneel
IntrekkingNet zo eenvoudig als gevenPermanente link in de footer naar cookie-instellingen
Bewijs van toestemmingVastgelegd en aantoonbaarLog per bezoeker met datum, keuze en versie van de banner
Geen cookiemuurToegang niet afhankelijk van toestemmingDe site moet ook zonder akkoord bruikbaar zijn

Gelijke keuze

De weigerknop moet net zo opvallend zijn als de accepteerknop. Dezelfde grootte, dezelfde kleur, dezelfde plek. Een grote groene "Alles accepteren" knop met daaronder een klein grijs linkje "beheer voorkeuren" voldoet niet. De AP noemt dit een misleidende cookiebanner.

Geen vooraf aangevinkte opties

Heb je een banner met categoriekeuzes (analytisch, marketing, functioneel)? Dan mogen niet-functionele categorien niet vooraf aangevinkt zijn. De bezoeker moet actief kiezen. Dat volgt uit het Planet49-arrest van het Hof van Justitie EU.

Geen cookies voor toestemming

Je website mag geen tracking-cookies plaatsen voordat de bezoeker op "accepteren" klikt. Dit is een veelgemaakt technisch probleem. Veel CMP's (Consent Management Platforms) laden standaard Google Analytics of de Facebook Pixel. Ook voor bezoekers die nog geen keuze hebben gemaakt.

De cookiemuur is verboden

Je mag bezoekers niet dwingen om cookies te accepteren als voorwaarde om je website te gebruiken. De bezoeker moet je site ook zonder niet-functionele cookies volledig kunnen gebruiken.

Toegankelijkheid

Sinds 28 juni 2025 valt je cookiebanner ook onder de Europese Toegankelijkheidswet. Dat betekent:

  • De banner moet navigeerbaar zijn met een toetsenbord
  • Tekst moet leesbaar zijn voor schermlezers
  • De kleurcontrasten moeten voldoen aan WCAG 2.1 AA
  • Knoppen moeten voldoende groot zijn

Wat de AP controleert in 2026

De AP is in april 2025 begonnen met een systematische controle van cookiebanners. Haar aanpak:

  1. Ze bezoeken je website en screenen de cookiebanner
  2. Als die niet voldoet, sturen ze een waarschuwingsbrief
  3. Je krijgt drie maanden om je banner aan te passen
  4. Na drie maanden controleren ze opnieuw
  5. Voldoe je nog steeds niet? Dan start een formeel onderzoek

De AP heeft meer dan 200 websites gewaarschuwd. Driekwart paste de banner aan. Tegen de rest loopt nu een onderzoek.

De AP ontvangt jaarlijks 500.000 euro budget specifiek voor deze toezichtstaak. Dit is geen tijdelijke actie. Ze blijven controleren.

In december 2025 lanceerde de AP de publiekscampagne "Ga slim om met cookies" om bewustzijn bij consumenten te vergroten. Meer klachten van consumenten betekent meer controles.

Boetes in de praktijk

De AVG kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. In de praktijk valt het niveau lager uit, maar het zijn nog steeds bedragen die je MKB pijn doen. Kruidvat kreeg een boete van 600.000 euro voor tracking-cookies zonder toestemming. Na bezwaar werd dat verlaagd naar 50.000 euro. Coolblue kreeg 40.000 euro voor hetzelfde patroon.

Voor MKB-ondernemers is de reputatieschade vaak groter dan de boete zelf. Een formeel onderzoek wordt gepubliceerd op de site van de AP. Klanten lezen mee.

Veelgemaakte fouten

"Verder surfen = akkoord"

Sommige websites tonen een banner met alleen een melding: "Door verder te surfen ga je akkoord met cookies." Dat is niet geldig. Toestemming moet een actieve handeling zijn. Doorscrollen telt niet. De EDPB heeft dit bevestigd in zijn richtsnoeren over toestemming.

Weigeren via omweg

Een banner met een "Accepteren" knop en een "Meer informatie" link die naar een pagina leidt waar je dan cookies kunt uitschakelen telt niet als gelijke keuze. Weigeren moet net zo makkelijk als accepteren.

Cookie-instellingen niet aanpasbaar

Bezoekers moeten hun keuze later kunnen wijzigen. Een permanente link in je footer naar "Cookie-instellingen" is de makkelijkste oplossing.

Onduidelijke categorien

"Performancecookies" of "analytische cookies" zegt de gemiddelde bezoeker niks. Leg in gewone taal uit wat elke categorie doet. Noem ook de derde partijen die de cookies plaatsen.

Zo controleer je je eigen cookiebanner

  1. Open je website in een incognito-venster
  2. Kijk of er een cookiebanner verschijnt
  3. Check of de weigeroptie net zo zichtbaar is als accepteren
  4. Klik op weigeren en bezoek je website opnieuw
  5. Open de dev-tools (F12) en ga naar Application > Cookies
  6. Staan er cookies van Google, Facebook of andere trackers? Dan werkt je banner niet goed

Of sneller: scan je website gratis via TrustYourWebsite. Wij controleren het voor je in twee minuten.

Welke cookiebanner-tools voldoen?

Er zijn tientallen CMP's (Consent Management Platforms) op de markt. De tool maakt niet uit, de instelling wel. De duurste tool ter wereld voldoet niet als je hem verkeerd configureert.

Waar je op moet letten:

  • Standaard blokkeren van scripts totdat toestemming is gegeven
  • Een weigerknop op het eerste scherm (niet achter "instellingen")
  • Opslag van toestemmingsbewijs
  • Makkelijk aanpasbaar ontwerp zodat weigeren en accepteren gelijk zijn
  • Toegankelijk voor schermlezers en toetsenbordgebruikers

Wil je dieper inzicht in de exacte tekstuele eisen aan je banner? Lees dan onze gids over cookiebanner-eisen en de meest voorkomende dark patterns.

Veelgestelde vragen

Is een cookiebanner verplicht op mijn website?

Ja, een cookiebanner is verplicht zodra je website niet-functionele cookies plaatst (analytics, marketing, social media embeds). Alleen strikt functionele cookies mogen zonder toestemming. Dat volgt uit artikel 11.7a van de Telecommunicatiewet.

Wat is het verschil tussen functionele en niet-functionele cookies?

Functionele cookies zijn nodig om je website te laten werken (winkelwagen, taalinstelling). Niet-functionele cookies volgen bezoekers of verzamelen gedragsdata, zoals Google Analytics of Facebook Pixel.

Hoe hoog is de boete voor een verkeerde cookiebanner?

De AVG kent boetes tot 20 miljoen euro of 4% van je wereldwijde jaaromzet. In de praktijk begint de AP met een waarschuwing en geeft je drie maanden om je banner aan te passen. Bekende boetes zijn Kruidvat (50.000 euro na bezwaar) en Coolblue (40.000 euro).

Moet mijn cookiebanner ook toegankelijk zijn?

Ja. Sinds 28 juni 2025 geldt de Europese Toegankelijkheidswet. Je cookiebanner moet leesbaar zijn, navigeerbaar met een toetsenbord en bruikbaar met een schermlezer.

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Gratis check starten

Website-handleidingen

AP-waarschuwing cookiebanner 2026: boetes en hoe je reageert

De AP heeft 200+ Nederlandse websites gewaarschuwd. Kruidvat en Coolblue kregen boetes tot €750.000. Zo check je of jouw cookiebanner in 2026 nog voldoet.

AVG Boetes in Nederland: Echte Zaken en Bedragen

Overzicht van AVG-boetes in Nederland: echte zaken, bedragen en wat de Autoriteit Persoonsgegevens controleert. Van waarschuwing tot boete.

AVG Checklist Website: 35 Punten om je Site te Controleren [2026]

Gratis AVG checklist website met 35 controlepunten. Privacyverklaring, cookies, beveiliging en meer. Inclusief gratis scan. Bijgewerkt april 2026.