Een cookiebeleid is een duidelijke pagina waarop je uitlegt welke cookies je website gebruikt, waarom je dat doet, hoe lang ze actief blijven, met welke partijen gegevens worden gedeeld en hoe bezoekers hun toestemming kunnen geven, aanpassen of intrekken. Voor vrijwel alle websites die statistieken, marketingtags, embedded content of andere niet-strikt noodzakelijke technieken gebruiken, is zo’n pagina nodig. Alleen een banner tonen is niet genoeg: je uitleg, je toestemmingsmechanisme en je technische inrichting moeten op elkaar aansluiten. In dit artikel lees je stap voor stap wat er in een goed cookiebeleid moet staan, hoe je het praktisch opstelt en hoe je controleert of je website ook technisch klopt.
- Een cookiebeleid legt uit welke cookies en vergelijkbare technieken je gebruikt, met welk doel en voor hoe lang.
- Niet-noodzakelijke cookies mogen meestal pas worden geplaatst nadat een bezoeker daar geldig mee heeft ingestemd.
- Een goede banner alleen is niet voldoende; scripts moeten ook echt worden tegengehouden tot er een keuze is gemaakt.
- Een actuele cookietabel, duidelijke uitleg per categorie en aantoonbare registratie van keuzes zijn essentieel.
- Controleer je website minimaal iedere zes maanden en direct na nieuwe plugins, tools of campagnes.
Wil je snel aan de slag? Gebruik dan onderaan dit artikel de checklist en het voorbeeld als basis voor je eigen pagina.
Wat is een cookiebeleid en wanneer heb je het nodig?
Een cookiebeleid is een pagina op je website waarop je uitlegt welke cookies en vergelijkbare technieken worden gebruikt. Denk aan functionele cookies, voorkeurscookies, analytische metingen, advertentietags en scripts van derde partijen. Het doel is eenvoudig: bezoekers informeren en duidelijk maken hoe jouw website omgaat met toestemming, tracking en gegevensdeling.
Je hebt zo’n beleid meestal nodig zodra je website meer doet dan alleen strikt noodzakelijke functionaliteit aanbieden. Gebruik je bezoekersstatistieken, remarketing, videoplayers, chatfuncties, social media-integraties of externe formuliertools? Dan moet je bezoekers daarover helder informeren. In veel gevallen moet je daarvoor ook eerst toestemming vragen.
Juridische achtergrond
Bij cookies krijg je te maken met de AVG, de Europese privacyregels en de Nederlandse cookieregels. De basis is dat je transparant moet zijn over wat je plaatst en waarom. Voor veel niet-noodzakelijke technieken geldt dat je deze pas mag activeren nadat een bezoeker daar vrij, specifiek, geïnformeerd en ondubbelzinnig mee heeft ingestemd.
Dat betekent onder meer dat vooraf aangevinkte vakjes niet geldig zijn, dat weigeren net zo makkelijk moet zijn als accepteren en dat je moet kunnen aantonen welke keuze iemand heeft gemaakt. Voor de actuele Nederlandse context is het verstandig om ook de richtlijnen van de Autoriteit Persoonsgegevens te raadplegen.
Wat moet er verplicht in een cookiebeleid staan?
Een sterk cookiebeleid is concreet, actueel en afgestemd op je eigen website. Vermijd algemene standaardteksten die niet passen bij de tools en scripts die je werkelijk gebruikt. Dit zijn de onderdelen die minimaal op de pagina moeten staan.
Overzicht van alle gebruikte cookies
Maak een volledig overzicht van alle cookies en vergelijkbare technieken die op je website actief zijn. Neem daarbij niet alleen eigen cookies op, maar ook alle scripts van derden, zoals videoplatformen, advertentienetwerken, analysetools en social media pixels.
Doel per cookie
Leg per cookie uit waarom deze wordt geplaatst. Bijvoorbeeld voor het onthouden van een sessie, het opslaan van taalinstellingen, het meten van websitegebruik of het tonen van relevantere advertenties.
Bewaartermijn
Vermeld hoe lang iedere cookie actief blijft. Dat kan gaan om een sessiecookie, een bewaartermijn van 24 uur, enkele maanden of bijvoorbeeld twee jaar. De duur moet logisch zijn en passen bij het doel waarvoor de cookie wordt gebruikt.
Derde partijen en toegang tot gegevens
Noem welke externe partijen gegevens ontvangen of kunnen uitlezen via je website. Bezoekers moeten weten of informatie bijvoorbeeld terechtkomt bij een analysetool, advertentieplatform, videodienst of andere externe leverancier.
Uitleg over toestemming
Beschrijf hoe je toestemming vraagt, hoe bezoekers keuzes kunnen aanpassen en hoe zij hun toestemming later weer kunnen intrekken. Licht ook toe welke technieken zonder voorafgaande toestemming mogen worden geplaatst omdat ze strikt noodzakelijk zijn voor de werking van de site.
Beheer en verwijdering
Leg uit hoe bezoekers cookies kunnen beheren via jouw voorkeurencentrum en hoe zij bestaande cookies kunnen verwijderen via hun browserinstellingen. Zo help je bezoekers om zelf controle te houden.
Contactgegevens en updates
Vermeld wie verantwoordelijk is voor de pagina, hoe bezoekers contact kunnen opnemen en wanneer het beleid voor het laatst is bijgewerkt. Zet ook intern vast hoe vaak je de inhoud controleert en actualiseert.
Cookiebeleid of cookieverklaring: wat is het verschil?
De termen worden vaak door elkaar gebruikt. In de praktijk bedoelen organisaties meestal dezelfde soort pagina: een overzicht waarop staat welke cookies worden gebruikt, wat het doel daarvan is, hoe lang ze blijven staan en hoe voorkeuren kunnen worden beheerd.
Toch zit er soms nuance in. Met beleid wordt vaak het bredere organisatorische en juridische kader bedoeld. Met verklaring wordt vaker de publieksvriendelijke uitleg of de feitelijke tabel op de website aangeduid. Voor bezoekers maakt dat onderscheid meestal weinig uit, zolang de informatie maar volledig, begrijpelijk en actueel is.
Cookiecategorieën uitgelegd met voorbeelden
Een duidelijke indeling in categorieën helpt bezoekers om sneller te begrijpen welke technieken je gebruikt en waar zij toestemming voor geven. Gebruik daarom vaste groepen en licht ze in gewone taal toe.
Strikt noodzakelijke cookies
Deze cookies zijn nodig om de website technisch goed te laten werken. Denk aan het onthouden van een sessie, beveiliging, load balancing of een winkelwagenfunctie. Voor deze cookies is meestal geen voorafgaande toestemming nodig, zolang ze echt noodzakelijk zijn voor de dienst die de gebruiker vraagt.
Voorbeeld: een sessiecookie dat onthoudt welke producten in een winkelwagen zitten tijdens het afrekenen.
Voorkeurscookies
Deze cookies onthouden keuzes zoals taal, regio of interface-instellingen. Ze verbeteren het gebruiksgemak, maar zijn niet altijd strikt noodzakelijk. Beoordeel daarom per situatie of voorafgaande toestemming nodig is.
Voorbeeld: een cookie dat de gekozen taal op een meertalige website bewaart.
Statistiek en analytics
Deze categorie meet hoe bezoekers de website gebruiken. Daarmee kun je pagina’s verbeteren, technische problemen opsporen en conversies analyseren. Of voorafgaande toestemming nodig is, hangt af van de manier waarop de meting is ingericht. Zodra de privacy-impact toeneemt of gegevens met andere diensten worden gedeeld, is toestemming vaak nodig of in elk geval de veiligste keuze.
Veelvoorkomende voorbeelden zijn onder andere _ga en _gid.
Marketing en tracking
Deze cookies volgen gebruikers voor advertentiedoeleinden, profiling, remarketing of cross-site tracking. Hiervoor is in de praktijk vrijwel altijd voorafgaande instemming nodig. Dat geldt ook voor advertentiepixels en scripts van externe advertentieplatformen.
Een bekend voorbeeld is _fbp.
Toestemming en juridische grondslagen
Een van de grootste misverstanden is dat een informatieve pagina voldoende zou zijn. Dat is niet zo. Een cookiebeleid legt uit wat je doet, maar de toestemming zelf moet ook juridisch geldig zijn en technisch correct worden verwerkt.
Wanneer toestemming nodig is
Voor advertentie- en trackingdoeleinden is toestemming vrijwel altijd vereist. Voor analytische metingen hangt het af van de concrete inrichting, zoals de mate van gegevensdeling, de instellingen van de tool en de impact op de privacy van bezoekers.
Wanneer toestemming geldig is
Geldige toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Dat betekent dat bezoekers een echte keuze moeten hebben, vooraf weten waar zij mee instemmen en actief een handeling moeten verrichten. Misleidende ontwerpen, onduidelijke knoppen of standaard aangezette categorieën zijn dus niet geschikt.
Legitiem belang is meestal niet genoeg
Soms proberen organisaties tracking of advertentiemetingen te rechtvaardigen met een beroep op gerechtvaardigd belang. In de meeste gevallen is dat voor niet-noodzakelijke cookies een zwakke of onjuiste basis. Voor marketing en gedragsgerichte tracking is voorafgaande instemming doorgaans de juiste route.
Hoe je toestemming moet vastleggen
Je moet kunnen aantonen welke keuze een bezoeker heeft gemaakt. Leg daarom minimaal vast:
- datum en tijd van de keuze
- welke categorieën zijn geaccepteerd of geweigerd
- de versie van de bannertekst
- een consent-ID of vergelijkbare referentie
- de technische bron van de toestemming, bijvoorbeeld web, app of regio-instelling
Een goed ingericht toestemmingsplatform maakt deze registratie en latere audit aanzienlijk eenvoudiger.
Technische implementatie: van banner tot script blocking
Een cookiebeleid klopt pas echt als de techniek erachter ook juist is ingericht. In de praktijk gaat het vaak mis doordat websites wel een toestemmingsbanner tonen, maar scripts al laden voordat de bezoeker iets heeft gekozen. Dan is de situatie nog steeds niet in orde.
Wat een goede cookiebanner moet doen
Een goede banner biedt direct een duidelijke keuze. Accepteren en weigeren moeten even zichtbaar en even makkelijk zijn. Daarnaast moeten bezoekers voorkeuren per categorie kunnen instellen en later opnieuw kunnen wijzigen.
- Niet-noodzakelijke categorieën staan standaard uit.
- Weigeren is even eenvoudig als accepteren.
- De banner linkt naar het volledige cookiebeleid.
- Voorkeuren zijn later opnieuw aan te passen.
- De categorieën zijn helder omschreven, zoals noodzakelijk, voorkeuren, statistiek en marketing.
Scripts blokkeren tot toestemming
Niet-noodzakelijke scripts mogen pas worden geladen nadat een bezoeker daar actief mee heeft ingestemd. Dat geldt bijvoorbeeld voor analysetools, advertentietags, videoplayers van derden en social media pixels. Dit wordt vaak geregeld met een Consent Management Platform, dat de keuze van de bezoeker koppelt aan tags en scripts.
Een eenvoudige pseudo-opzet ziet er bijvoorbeeld zo uit:
<script>
if (consent.analytics === true) {
loadAnalytics();
}
if (consent.marketing === true) {
loadMarketingTags();
}
</script>
Werk je met een tagmanager, dan kun je toestemming ook via een datalaag of consent-signaal doorgeven. In meer geavanceerde implementaties wordt daarbij gewerkt met een consent string of een industriekader zoals IAB TCF.
Consent logging en audits
Leg niet alleen vast dát iemand akkoord ging, maar ook waarmee precies. Bewaar bijvoorbeeld velden zoals:
user_id or anonymous_id
timestamp
banner_text_version
consent_id
accepted_categories
region
source
Controleer daarnaast regelmatig of nieuwe plugins, formulieren, video-embeds of marketingtools extra cookies plaatsen. Juist daar ontstaan vaak verschillen tussen het beleid op papier en de praktijk op de website.
Voorbeeld cookiebeleid en praktische template-opbouw
Een template helpt je sneller op weg, maar een standaarddocument is nooit genoeg zonder maatwerk. Iedere website gebruikt andere systemen, scripts en externe diensten. Controleer daarom altijd wat er werkelijk wordt geplaatst en pas de tekst daarop aan.
Voorbeeldtekst voor de start van een pagina
“Op deze website gebruiken wij cookies en vergelijkbare technieken om de website goed te laten functioneren, prestaties te meten en, indien u daarvoor toestemming geeft, content en advertenties relevanter te maken. In dit cookiebeleid leggen wij uit welke cookies wij gebruiken, met welk doel, hoe lang deze actief blijven en hoe u uw voorkeuren kunt beheren of wijzigen.”
Voorbeeld van een cookietabel
Gebruik bij voorkeur een tabel met vaste kolommen, zodat bezoekers snel kunnen scannen welke technieken actief zijn.
| Naam | Leverancier | Categorie | Doel | Bewaartermijn | Type |
|---|---|---|---|---|---|
| session_id | Eigen website | Noodzakelijk | Onthoudt de sessie van de bezoeker | Sessie | First party |
| _ga | Statistiek | Meet websitegebruik en bezoekersgedrag | 2 jaar | First party of third party, afhankelijk van inrichting | |
| _gid | Statistiek | Onderscheidt gebruikers voor analyse | 24 uur | First party of third party, afhankelijk van inrichting | |
| _fbp | Meta | Marketing | Meet advertentieprestaties en ondersteunt remarketing | 3 maanden | Third party |
Sector-specifieke aanpassingen
Een webshop gebruikt vaak betaalproviders, winkelwagenfuncties, affiliate scripts en remarketingtools. Een SaaS-platform werkt eerder met loginfuncties, supportwidgets, productanalyse en statusmonitoring. Een nieuws- of mediasite gebruikt vaker videoplatformen, advertentienetwerken en abonnementssystemen. Stem je uitleg dus af op je businessmodel en je technische stack.
Stappenplan om een cookiebeleid op te stellen
1. Scan je website op cookies en scripts
Controleer niet alleen de homepage, maar ook formulieren, landingspagina’s, blogs, checkoutprocessen, accountomgevingen en embedded content. Veel cookies verschijnen pas op specifieke pagina’s of na interactie.
2. Categoriseer alle cookies
Deel iedere cookie in als noodzakelijk, voorkeur, statistiek of marketing. Documenteer intern waarom je die indeling hebt gekozen.
3. Bepaal de juiste grondslag
Beoordeel kritisch voor welke categorieën voorafgaande instemming nodig is en welke technieken echt zonder toestemming mogen draaien.
4. Richt banner en CMP correct in
Zorg voor duidelijke keuzes, eerlijke knoppen, script blocking en een mogelijkheid om voorkeuren later te wijzigen.
5. Schrijf en publiceer het beleid
Werk alle gevonden cookies uit in begrijpelijke taal en voeg een actuele tabel toe. Verwijs vanuit de banner direct naar deze pagina.
6. Test op verschillende apparaten
Controleer met meerdere browsers en apparaten of niet-noodzakelijke scripts echt geblokkeerd blijven totdat er toestemming is gegeven.
7. Plan periodieke controles
Nieuwe campagnes, plugins en embeds kunnen je situatie direct veranderen. Plan daarom minimaal elke zes maanden een nieuwe scan en update.
Checklist voor publicatie en compliance-check
- Staan alle cookies en vergelijkbare technieken in een actuele tabel?
- Is het doel per cookie duidelijk en begrijpelijk beschreven?
- Is per item de bewaartermijn vermeld?
- Zijn externe partijen benoemd?
- Worden niet-noodzakelijke scripts pas geladen na toestemming?
- Kan een bezoeker net zo makkelijk weigeren als accepteren?
- Kunnen voorkeuren later opnieuw worden aangepast?
- Worden keuzes aantoonbaar geregistreerd?
- Staat er een revisiedatum op de pagina?
- Sluit deze pagina aan op je privacybeleid en technische inrichting?
Veelgemaakte fouten en hoe je die voorkomt
Een standaardtemplate zonder maatwerk
Dit lijkt snel, maar leidt vaak tot onjuiste of onvolledige informatie. Gebruik een voorbeeld alleen als basis en controleer altijd je eigen site.
Wel een banner, geen technische blokkade
Een mooie banner is niet voldoende als tags en scripts al geladen worden vóórdat een keuze is gemaakt.
Een onvolledige cookielijst
Plugins, embedded video’s, chattools en externe formulieren voegen vaak extra technieken toe die makkelijk over het hoofd worden gezien.
Te ruim omgaan met gerechtvaardigd belang
Voor tracking en advertenties is voorafgaande instemming in de meeste gevallen de veiligste en juridisch juiste aanpak.
Geen periodieke controle
Een eenmaal gepubliceerde pagina veroudert snel. Zeker bij marketingwebsites verandert de cookielijst vaak zonder dat teams dit direct merken.
Cookiebeleid, privacybeleid en cookiebanner: wat is het verschil?
Deze drie onderdelen horen bij elkaar, maar vervullen elk een andere rol.
Cookiebeleid
Hierin leg je uit welke cookies je gebruikt, waarom, hoe lang ze actief zijn en hoe bezoekers hun voorkeuren kunnen beheren.
Privacybeleid
Hierin beschrijf je breder hoe persoonsgegevens worden verwerkt, welke grondslagen je gebruikt, hoe lang gegevens worden bewaard en welke rechten betrokkenen hebben. Verwijs daarom ook naar je privacybeleid.
Cookiebanner
Dit is het mechanisme waarmee je toestemming vraagt en voorkeuren laat instellen voordat niet-noodzakelijke technieken worden geactiveerd.
Kort samengevat: de banner vraagt, deze pagina licht toe en het privacybeleid geeft de bredere context van gegevensverwerking.
Veelgestelde vragen over cookiebeleid
Nee, niet iedere site in exact dezelfde vorm. Maar zodra je meer gebruikt dan strikt noodzakelijke technieken, is een duidelijke uitlegpagina in de praktijk meestal wel nodig.
In de praktijk worden beide termen vaak als synoniem gebruikt. Meestal gaat het om dezelfde soort informatiepagina.
Advertentie- en trackingcookies hebben vrijwel altijd voorafgaande instemming nodig. Voor statistische metingen hangt het af van de precieze inrichting.
Daarvoor bestaat geen vaste algemene standaard. De duur moet passend, uitlegbaar en proportioneel zijn in relatie tot het doel.
Soms wel, als de inrichting aantoonbaar privacyvriendelijk is. In veel situaties is voorafgaande instemming echter de veiligste keuze.
Dat doe je meestal via een toestemmingsplatform dat vastlegt wanneer iemand een keuze maakte, voor welke categorieën en op basis van welke versie van de banner.
Ja. Als externe scripts via jouw website cookies plaatsen, moeten die ook duidelijk in je overzicht staan.
Controleer deze minimaal iedere zes maanden en werk direct bij zodra je nieuwe tools, plugins of advertentieplatformen toevoegt.
Verwijs idealiter ook naar je privacybeleid, een pagina over AVG of gegevensverwerking, je contactpagina en eventueel je CMP- of voorkeurencentrum.
Begin met een volledige scan van je site. Zonder actueel overzicht van scripts en cookies kun je geen betrouwbare pagina of correcte toestemmingsinstelling maken.
Conclusie
Een goed cookiebeleid is duidelijk, volledig en technisch onderbouwd. Het beschrijft welke cookies je gebruikt, waarom je ze plaatst, hoe lang ze actief blijven, welke partijen erbij betrokken zijn en hoe bezoekers hun keuzes kunnen beheren. Tegelijk moet die uitleg aansluiten op je banner, je logging en de werkelijke blokkering van scripts.
Wil je deze pagina goed opzetten? Begin dan met een volledige scan van je website, maak een actuele cookietabel, controleer je toestemmingsinstellingen en werk vervolgens je uitleg in gewone taal uit. Alleen dan voorkom je dat je beleid op papier klopt, maar technisch niet.
Neem contact op voor een compliance-check, laat je website scannen op geplaatste cookies of download een praktische template als startpunt voor je eigen implementatie.
