Bijna elke website heeft er een, maar weinig ondernemers weten wat er precies in hoort: het cookiebeleid. Vaak is het een generieke tekst van drie alinea’s, ooit gekopieerd van een andere website. Dat volstaat niet. Een cookiebeleid moet beschrijven welke cookies jouw website effectief plaatst, en per cookie een aantal verplichte gegevens vermelden.
Waarom je een cookiebeleid nodig hebt
De verplichting komt uit twee richtingen tegelijk.
De ePrivacy-regels (in België en Nederland omgezet in nationale wetgeving) eisen dat je toestemming vraagt voordat je niet-noodzakelijke cookies plaatst. Die toestemming moet geïnformeerd zijn: een bezoeker kan alleen geldig instemmen met iets dat duidelijk is uitgelegd.
De GDPR (in Nederland ook bekend als de AVG) legt daarbovenop een transparantieplicht op voor elke verwerking van persoonsgegevens. Veel cookies verzamelen identificeerbare gegevens zoals een uniek bezoekers-ID of IP-adres, en vallen dus onder die plicht.
Het Europese Hof van Justitie maakte in het Planet49-arrest (2019) concreet wat dat betekent: bezoekers moeten onder meer weten hoe lang cookies actief blijven en of derden er toegang toe hebben. Precies de informatie die in een cookiebeleid thuishoort.
Dit moet er per cookie in staan
Een volwaardig cookiebeleid bevat een tabel met, voor elke cookie die je website plaatst:
Naam. De technische naam van de cookie, zoals _ga of PHPSESSID. Zo kan een bezoeker (of toezichthouder) verifiëren dat je beleid klopt met wat de browser toont.
Aanbieder. Wie plaatst de cookie? Jijzelf (first-party) of een externe dienst zoals Google, Meta of HubSpot (third-party)? Bij third-party cookies verwacht de lezer ook een verwijzing naar de privacyverklaring van die partij.
Doel. Waarvoor dient de cookie? “Marketing” alleen is te vaag; beter is bijvoorbeeld “meet de effectiviteit van advertenties door bezoekers over websites heen te herkennen”.
Categorie. Noodzakelijk, functioneel, analytisch of marketing. Deze indeling moet overeenkomen met de keuzes in je cookiebanner: wie analytische cookies weigert, mag er geen krijgen.
Bewaartermijn. Hoe lang blijft de cookie op het toestel staan? Een sessie, 24 uur, 13 maanden, 2 jaar? Dit is de informatie die het Hof van Justitie expliciet verplicht stelde.
Rechtsgrond. Voor noodzakelijke cookies is dat doorgaans gerechtvaardigd belang; voor alle andere categorieën is dat toestemming.
Daarnaast hoort in het beleid: hoe bezoekers hun toestemming kunnen intrekken of aanpassen, of er gegevens buiten de EER worden doorgegeven, en wanneer het beleid voor het laatst is bijgewerkt.
Het echte probleem: weet jij welke cookies je plaatst?
Hier gaat het bij de meeste websites mis. Niet omdat ondernemers iets willen verbergen, maar omdat moderne websites cookies plaatsen waar de eigenaar geen weet van heeft.
Een paar voorbeelden uit de praktijk:
- Een tag manager (zoals Google Tag Manager) laadt scripts die zelf weer cookies plaatsen. Eén marketingcollega die een tag toevoegt, en je cookielandschap is veranderd.
- Een chatwidget zoals Intercom of Tawk.to plaatst cookies om gesprekken aan bezoekers te koppelen.
- Een YouTube-embed kan tracking-cookies van Google plaatsen, ook als de bezoeker de video nooit afspeelt.
- Social share-knoppen en pixels van Meta of LinkedIn plaatsen cookies die bezoekers over websites heen volgen.
Een cookiebeleid schrijven op basis van wat je denkt te gebruiken, levert dus bijna gegarandeerd een beleid op dat niet klopt. En een beleid dat niet klopt is geen detail: het betekent dat de toestemming die je verzamelt niet geldig geïnformeerd is.
De enige betrouwbare aanpak is meten in plaats van gokken: scan je website zoals een echte bezoeker ze ervaart, en bouw je cookietabel op basis van wat er werkelijk gebeurt. Gebruik daarvoor bijvoorbeeld onze gratis cookiebeleid-generator, of doe het handmatig met ons cookie-audit sjabloon.
Cookiebeleid en cookiebanner: twee verschillende dingen
De begrippen worden vaak door elkaar gehaald, maar ze lossen elk een ander deel van de puzzel op:
- De cookiebanner vraagt toestemming voordat niet-noodzakelijke cookies geplaatst worden, en onthoudt de keuze van de bezoeker.
- Het cookiebeleid documenteert welke cookies er zijn, met alle verplichte details, zodat die toestemming geïnformeerd is.
Een banner zonder degelijk beleid verzamelt toestemming die juridisch wankel is. Een beleid zonder banner betekent dat je cookies plaatst zonder toestemming. Je hebt dus beide nodig, en ze moeten naar elkaar verwijzen: vanuit de banner hoort een rechtstreekse link naar je cookiebeleid.
Een cookiebeleid is nooit af
Misschien wel het belangrijkste inzicht: een cookiebeleid is geen document dat je één keer opstelt. Elke wijziging aan je website kan het cookielandschap veranderen. De nieuwe boekingsmodule, de vervangen analytics-tool, de campagnepixel die “tijdelijk” werd toegevoegd: allemaal potentiële nieuwe cookies die in je beleid thuishoren.
Plan daarom een periodieke controle, of beter: automatiseer ze. GDPRWise scant je website periodiek opnieuw en werkt je cookiebeleid automatisch bij wanneer er nieuwe cookies opduiken. Zo blijft wat je publiceert overeenkomen met wat je website doet, ook maanden na de lancering.
Vul je domein in en we detecteren elke cookie op je website, inclusief aanbieder, doel, bewaartermijn en classificatie. De scan is gratis, het beleid genereer je met een gratis account.