Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 6 juli 2026 schedule 6 min leestijd

Wat Moet er in je Cookiebeleid Staan?

verified Laatst beoordeeld 6 juli 2026 · het GDPRWise juridisch team

Een cookiebeleid is meer dan een alinea tekst. Per cookie moet je naam, aanbieder, doel, bewaartermijn en rechtsgrond vermelden. Dit artikel legt uit wat er precies in moet, waarom een sjabloon meestal tekortschiet, en hoe je het actueel houdt.

summarize Kernpunten
  • check_circle Een cookiebeleid vermeldt per cookie: naam, aanbieder, doel, bewaartermijn en rechtsgrond
  • check_circle De informatieplicht volgt uit de GDPR (AVG) en de ePrivacy-regels samen: toestemming is pas geldig als de bezoeker vooraf goed geïnformeerd is
  • check_circle De meeste websites weten niet welke cookies ze plaatsen; tag managers, chatwidgets en embeds voegen ongemerkt cookies toe
  • check_circle Een cookiebeleid is nooit af: elke nieuwe tool op je website kan nieuwe cookies introduceren
  • check_circle Een cookiebanner en een cookiebeleid zijn twee verschillende dingen; je hebt beide nodig

Bijna elke website heeft er een, maar weinig ondernemers weten wat er precies in hoort: het cookiebeleid. Vaak is het een generieke tekst van drie alinea’s, ooit gekopieerd van een andere website. Dat volstaat niet. Een cookiebeleid moet beschrijven welke cookies jouw website effectief plaatst, en per cookie een aantal verplichte gegevens vermelden.

Waarom je een cookiebeleid nodig hebt

De verplichting komt uit twee richtingen tegelijk.

De ePrivacy-regels (in België en Nederland omgezet in nationale wetgeving) eisen dat je toestemming vraagt voordat je niet-noodzakelijke cookies plaatst. Die toestemming moet geïnformeerd zijn: een bezoeker kan alleen geldig instemmen met iets dat duidelijk is uitgelegd.

De GDPR (in Nederland ook bekend als de AVG) legt daarbovenop een transparantieplicht op voor elke verwerking van persoonsgegevens. Veel cookies verzamelen identificeerbare gegevens zoals een uniek bezoekers-ID of IP-adres, en vallen dus onder die plicht.

Het Europese Hof van Justitie maakte in het Planet49-arrest (2019) concreet wat dat betekent: bezoekers moeten onder meer weten hoe lang cookies actief blijven en of derden er toegang toe hebben. Precies de informatie die in een cookiebeleid thuishoort.

Een volwaardig cookiebeleid bevat een tabel met, voor elke cookie die je website plaatst:

Naam. De technische naam van de cookie, zoals _ga of PHPSESSID. Zo kan een bezoeker (of toezichthouder) verifiëren dat je beleid klopt met wat de browser toont.

Aanbieder. Wie plaatst de cookie? Jijzelf (first-party) of een externe dienst zoals Google, Meta of HubSpot (third-party)? Bij third-party cookies verwacht de lezer ook een verwijzing naar de privacyverklaring van die partij.

Doel. Waarvoor dient de cookie? “Marketing” alleen is te vaag; beter is bijvoorbeeld “meet de effectiviteit van advertenties door bezoekers over websites heen te herkennen”.

Categorie. Noodzakelijk, functioneel, analytisch of marketing. Deze indeling moet overeenkomen met de keuzes in je cookiebanner: wie analytische cookies weigert, mag er geen krijgen.

Bewaartermijn. Hoe lang blijft de cookie op het toestel staan? Een sessie, 24 uur, 13 maanden, 2 jaar? Dit is de informatie die het Hof van Justitie expliciet verplicht stelde.

Rechtsgrond. Voor noodzakelijke cookies is dat doorgaans gerechtvaardigd belang; voor alle andere categorieën is dat toestemming.

Daarnaast hoort in het beleid: hoe bezoekers hun toestemming kunnen intrekken of aanpassen, of er gegevens buiten de EER worden doorgegeven, en wanneer het beleid voor het laatst is bijgewerkt.

Het echte probleem: weet jij welke cookies je plaatst?

Hier gaat het bij de meeste websites mis. Niet omdat ondernemers iets willen verbergen, maar omdat moderne websites cookies plaatsen waar de eigenaar geen weet van heeft.

Een paar voorbeelden uit de praktijk:

  • Een tag manager (zoals Google Tag Manager) laadt scripts die zelf weer cookies plaatsen. Eén marketingcollega die een tag toevoegt, en je cookielandschap is veranderd.
  • Een chatwidget zoals Intercom of Tawk.to plaatst cookies om gesprekken aan bezoekers te koppelen.
  • Een YouTube-embed kan tracking-cookies van Google plaatsen, ook als de bezoeker de video nooit afspeelt.
  • Social share-knoppen en pixels van Meta of LinkedIn plaatsen cookies die bezoekers over websites heen volgen.

Een cookiebeleid schrijven op basis van wat je denkt te gebruiken, levert dus bijna gegarandeerd een beleid op dat niet klopt. En een beleid dat niet klopt is geen detail: het betekent dat de toestemming die je verzamelt niet geldig geïnformeerd is.

De enige betrouwbare aanpak is meten in plaats van gokken: scan je website zoals een echte bezoeker ze ervaart, en bouw je cookietabel op basis van wat er werkelijk gebeurt. Gebruik daarvoor bijvoorbeeld onze gratis cookiebeleid-generator, of doe het handmatig met ons cookie-audit sjabloon.

Cookiebeleid en cookiebanner: twee verschillende dingen

De begrippen worden vaak door elkaar gehaald, maar ze lossen elk een ander deel van de puzzel op:

  • De cookiebanner vraagt toestemming voordat niet-noodzakelijke cookies geplaatst worden, en onthoudt de keuze van de bezoeker.
  • Het cookiebeleid documenteert welke cookies er zijn, met alle verplichte details, zodat die toestemming geïnformeerd is.

Een banner zonder degelijk beleid verzamelt toestemming die juridisch wankel is. Een beleid zonder banner betekent dat je cookies plaatst zonder toestemming. Je hebt dus beide nodig, en ze moeten naar elkaar verwijzen: vanuit de banner hoort een rechtstreekse link naar je cookiebeleid.

Een cookiebeleid is nooit af

Misschien wel het belangrijkste inzicht: een cookiebeleid is geen document dat je één keer opstelt. Elke wijziging aan je website kan het cookielandschap veranderen. De nieuwe boekingsmodule, de vervangen analytics-tool, de campagnepixel die “tijdelijk” werd toegevoegd: allemaal potentiële nieuwe cookies die in je beleid thuishoren.

Plan daarom een periodieke controle, of beter: automatiseer ze. GDPRWise scant je website periodiek opnieuw en werkt je cookiebeleid automatisch bij wanneer er nieuwe cookies opduiken. Zo blijft wat je publiceert overeenkomen met wat je website doet, ook maanden na de lancering.

auto_awesome Genereer je cookiebeleid vanuit een echte scan

Vul je domein in en we detecteren elke cookie op je website, inclusief aanbieder, doel, bewaartermijn en classificatie. De scan is gratis, het beleid genereer je met een gratis account.

Delen share LinkedIn mail E-mail
GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.