Een vraag die ik regelmatig krijg van ondernemers die net een nieuwe website hebben laten maken: moet ik eigenlijk een cookiebanner op mijn site? En als dat zo is, is zo’n gratis plugin dan voldoende of heb ik toch iets betalends nodig?

Het korte antwoord: ja, voor de meeste zakelijke websites is een cookiebanner verplicht. En welke plugin je nodig hebt, hangt af van hoe je website is ingericht. In dit artikel leg ik u stap voor stap uit waar u aan moet denken, wat de wet precies vereist, en hoe u de juiste keuze maakt zonder er meer geld aan uit te geven dan nodig is.

Liever eerst de video bekijken? In 2,5 minuut leggen we je de belangrijkste punten uit.

Lees hieronder de uitgebreide uitleg per onderdeel.

Wat is een cookiebanner eigenlijk?

Een cookiebanner — ook wel cookiemelding of cookie consent banner genoemd — is het pop-up venster dat verschijnt als iemand uw website voor het eerst bezoekt. Via dat venster geeft de bezoeker aan welke cookies hij of zij accepteert. U heeft ze zelf vast al honderden keren weggeklikt.

Cookies zijn kleine tekstbestanden die een website opslaat op het apparaat van de bezoeker. Sommige cookies zijn puur functioneel: ze onthouden bijvoorbeeld wat er in een winkelwagen zit of welke taal iemand heeft ingesteld. Andere cookies volgen het gedrag van de bezoeker over meerdere websites heen, voor reclamedoeleinden of analyses. En juist voor die laatste categorie is toestemming wettelijk verplicht.

Wanneer is een cookiebanner verplicht?

De Autoriteit Persoonsgegevens controleert in Nederland actief of websites op de juiste manier toestemming vragen voor het plaatsen van cookies. De regels vloeien voort uit de Algemene Verordening Gegevensbescherming (AVG) in combinatie met de Telecommunicatiewet.

De vuistregel is eenvoudig: zodra uw website cookies plaatst waarmee persoonsgegevens worden verwerkt, bent u verplicht daarvoor vooraf toestemming te vragen. Dat doet u met een cookiebanner.

Concreet betekent dit dat een cookiebanner verplicht is als uw website gebruik maakt van:

  • Google Analytics — ook de privacy-vriendelijkere versie (GA4) verwerkt persoonsgegevens zodra deze niet volledig geanonimiseerd is geconfigureerd
  • Google Ads of Meta Ads — advertentiepixels zijn tracking cookies bij uitstek
  • Social media knoppen — de Like-knop van Facebook of de Tweet-knop van X plaatsen direct cookies
  • YouTube of Vimeo embeds — zodra u een video inlaadt, worden er cookies van derden geplaatst
  • Affiliate tracking — als u via een affiliate programma werkt, zijn er cookies bij betrokken
  • Marketingtools als Hotjar, Mailchimp tracking pixels of soortgelijke software

Alleen als uw website uitsluitend functionele en volledig geanonimiseerde analytische cookies gebruikt, kunt u mogelijk zonder cookiebanner. Maar dat is in de praktijk bij vrijwel geen enkele zakelijke website het geval. Gebruikt u WordPress als cms voor uw website, dan zijn er doorgaans meerdere plugins actief die cookies plaatsen.

Welke cookies hebben geen toestemming nodig?

De wet maakt een duidelijk onderscheid. Functionele cookies — cookies die strikt noodzakelijk zijn voor het functioneren van de website — zijn vrijgesteld van de toestemmingsplicht. Denk aan:

  • Sessie-cookies die bijhouden dat iemand is ingelogd
  • Winkelwagen-cookies in een webshop
  • Cookies die de taalvoorkeur opslaan

Analytische cookies vallen in een grijs gebied. In Nederland geldt een uitzondering voor analytische cookies die nauwelijks inbreuk maken op de privacy. Dit geldt alleen als u Google Analytics correct heeft ingesteld: geen IP-opslag, geen koppeling met andere Google-diensten en geen gebruik van Google Signals. Zodra u Google Ads gebruikt of Universal Analytics-achtige functies inschakelt, is de uitzondering niet meer van toepassing en is een cookiebanner verplicht.

Waar moet een goede cookiebanner aan voldoen?

Een cookiebanner plaatsen is één ding, maar de Autoriteit Persoonsgegevens stelt duidelijke eisen aan hoe die banner eruit moet zien. Een banner die niet voldoet, is juridisch even waardeloos als helemaal geen banner.

De belangrijkste regels:

Weigeren moet net zo makkelijk zijn als accepteren. De weiger-knop mag niet kleiner, grijs of verborgen zijn ten opzichte van de accepteer-knop. Dit is een van de meest voorkomende overtredingen die de AP heeft aangekaart.

Geen vooraf aangevinkte vakjes. Toestemming moet actief worden gegeven. Een bezoeker die doorscrollt of de pagina gewoon blijft gebruiken, heeft geen geldige toestemming gegeven.

Per categorie toestemming vragen. Als u zowel analytische als marketingcookies gebruikt, moet de bezoeker per categorie kunnen kiezen. Alles of niets is niet toegestaan als u meerdere doeleinden heeft.

Google Consent Mode V2. Als u Google Ads of Google Analytics gebruikt, moet uw cookiebanner ook werken met Google Consent Mode V2. Dit is het systeem waarmee Google bijhoudt of een bezoeker toestemming heeft gegeven en het advertentiebeheer daarop aanpast.

Toestemming intrekken moet altijd mogelijk zijn. Bezoekers moeten op elk moment hun toestemming kunnen aanpassen, niet alleen bij het eerste bezoek.

Gratis of betaalde cookie plugin — wat is het verschil?

Vergelijking gratis en betaalde cookie plugin voor WordPress met overzicht van functies per versie

Voor WordPress zijn er tientallen cookie plugins beschikbaar, zowel gratis als betaald. De vraag is: wanneer is de gratis versie voldoende en wanneer heeft u de betaalde variant nodig?

Wat een gratis plugin biedt

De meeste bekende plugins — zoals Complianz, CookieYes en GDPR Cookie Compliance — hebben een solide gratis versie. Die gratis versies bieden doorgaans:

  • Een cookiebanner met accepteer- en weiger-optie
  • Automatische cookiescan die de cookies op uw website detecteert
  • Aanmaken van een cookieverklaring
  • Basisintegratie met Google Consent Mode
  • AVG-compliance voor Nederlandse en Europese bezoekers

Voor een gemiddelde zakelijke website van een Nederlandse ondernemer — een bedrijfswebsite met Google Analytics, een contactformulier en eventueel wat social media knoppen — is de gratis versie van Complianz in de meeste gevallen voldoende.

Wanneer heeft u een betaalde versie nodig?

Er zijn situaties waarbij de gratis versie tekortschiet:

Meerdere websites of internationale bezoekers. Heeft u bezoekers uit zowel Europa als de VS? Dan gelden er naast de AVG ook andere privacywetten, zoals de CCPA in Californië. De gratis versie van de meeste plugins dekt dit niet volledig af. De betaalde versie van Complianz herkent automatisch de locatie van de bezoeker en past de banner daarop aan.

Consent logging. In geval van een controle door de Autoriteit Persoonsgegevens moet u kunnen aantonen dat bezoekers daadwerkelijk toestemming hebben gegeven. Sommige gratis plugins slaan deze toestemmingslog niet op; betaalde versies doen dit wel.

Geavanceerde script blokkering. Heeft u een website met veel ingesloten content van derden — denk aan YouTube-video’s, Calendly-widgets of externe chattools — dan is het handiger om een premium versie te gebruiken die al deze scripts automatisch blokkeert totdat toestemming is gegeven.

Prioritaire support. Bij een betaalde licentie heeft u toegang tot directe ondersteuning. Dat kan handig zijn als er na een WordPress-update iets mis gaat met de configuratie. Iets om rekening mee te houden als website onderhoud niet uw sterkste punt is.

IAB TCF-ondersteuning. Gebruikt u advertentienetwerken die werken met het IAB Transparency and Consent Framework, dan heeft u sowieso een geavanceerde CMP nodig. Voor een gemiddelde MKB-website is dit zelden relevant.

Welke plugin raad ik aan?

Voor WordPress websites raad ik Complianz aan. Dit is een Nederlandse plugin, gebouwd door een team dat de Europese privacywetgeving goed begrijpt. De gratis versie is functioneel en AVG-compliant voor de meeste Nederlandse ondernemers. De betaalde versie kost ongeveer €59 per jaar per website — een beperkte investering voor de juridische gemoedsrust die het biedt.

ICTRecht omschrijft cookie-toestemming als een juridische verantwoordelijkheid voor de website-eigenaar, niet alleen een technische. Complianz neemt dat serieus: de plugin genereert naast de cookiebanner ook een cookieverklaring, een privacyverklaring en een verwerkersovereenkomst. Dat is een compleet pakket dat u veel uitzoekwerk bespaart.

Wanneer kiest u voor de gratis versie van Complianz?

  • U heeft één website gericht op Nederlandse bezoekers
  • U gebruikt Google Analytics en eventueel een paar social media embeds
  • U maakt geen gebruik van betaalde advertenties via Google Ads of Meta

Wanneer kiest u voor de betaalde versie?

  • U heeft meerdere websites
  • U maakt gebruik van Google Ads, Meta Ads of andere advertentiepixels
  • U wilt uw toestemmingslog bijhouden voor compliance-documentatie
  • U wilt automatische geo-detectie voor bezoekers buiten Europa

Wat als u helemaal niets doet?

Het weggooien van de cookiebanner of het installeren van een niet-functionerende banner is geen vrijblijvende keuze. De Autoriteit Persoonsgegevens kan boetes opleggen van maximaal €20 miljoen of 4% van de wereldwijde jaaromzet — afhankelijk van wat hoger is. Dat is weliswaar voor grote organisaties, maar ook kleine ondernemers kunnen een waarschuwing of last onder dwangsom ontvangen.

Daarnaast loopt u bij gebruik van Google Ads het risico dat uw advertentieaccount wordt beperkt als uw website geen geldige Consent Mode V2-implementatie heeft. Kortom: het is een kleine moeite met grote gevolgen als u het nalaat.

Cookiebanner instellen: hoe pakt u dat praktisch aan?

Als uw website op WordPress draait, verloopt de installatie van Complianz als volgt:

  1. Installeer de Complianz plugin via het WordPress dashboard onder Plugins > Nieuwe plugin
  2. Doorloop de installatiewizard — de plugin stelt gerichte vragen over uw website en configureert zichzelf grotendeels automatisch
  3. Voer een cookiescan uit zodat de plugin detecteert welke cookies uw website plaatst
  4. Configureer de cookiebanner naar de huisstijl van uw website
  5. Test de banner door uw website in een incognito venster te openen

Heeft u uw website laten bouwen via AlphaWeb, dan kunnen wij dit voor u instellen als onderdeel van de oplevering. WordPress websites laten maken inclusief een correcte cookieconfiguratie is onderdeel van ons vaste werkproces.

Vergeet ook niet om de banner te controleren na elke grote website update. Soms veranderen plugin-updates de wijze waarop scripts worden geladen, waardoor de cookiebanner opnieuw geconfigureerd moet worden.

Samenvatting

Een cookiebanner is voor vrijwel elke zakelijke website in Nederland verplicht zodra u Google Analytics, advertentiepixels of social media embeds gebruikt. De banner moet voldoen aan de eisen van de AVG: weigeren moet net zo makkelijk zijn als accepteren, er mogen geen vooraf aangevinkte vakjes zijn en de bezoeker moet per categorie kunnen kiezen.

Voor de meeste ondernemers met een standaard WordPress website volstaat de gratis versie van Complianz. Heeft u meerdere sites, gebruikt u Google Ads of wilt u een toestemmingslog bijhouden, dan is de betaalde versie voor €59 per jaar een logische stap.

Wilt u weten hoe uw huidige website scoort op dit punt? Neem gerust contact op, ik kijk het graag met u door.

Meer weten over het opbouwen van een goede, professionele website? Lees dan ook mijn artikel over wat er allemaal komt kijken bij een goede zakelijke website of bekijk het stappenplan voor het bouwen van een ondernemerswebsite.

Veelgestelde vragen over cookiebanners

Is een cookiebanner altijd verplicht, ook voor een kleine zzp-website? Niet automatisch. Als uw website uitsluitend functionele cookies gebruikt en geen tracking- of analytische cookies van derden, heeft u geen cookiebanner nodig. Maar zodra u Google Analytics, een contactformulier met tracking of social media knoppen gebruikt — wat bij de meeste zakelijke websites het geval is — is een cookiebanner wettelijk verplicht.

Mag ik de weiger-knop kleiner maken dan de accepteer-knop? Nee. De Autoriteit Persoonsgegevens beschouwt dit als een misleidende praktijk (dark pattern). Weigeren moet even makkelijk en zichtbaar zijn als accepteren. Doet u dit niet, dan is de verkregen toestemming juridisch ongeldig.

Wat is Google Consent Mode V2 en heb ik dat nodig? Google Consent Mode V2 is een systeem waarmee uw cookiebanner communiceert met Google’s advertentie- en analysetools. Als u Google Ads of Google Analytics gebruikt, is integratie met Consent Mode V2 vereist om uw advertentieaccount actief te houden en om correcte data te verzamelen. De meeste moderne cookieplugins, waaronder Complianz, ondersteunen dit standaard.

Hoe lang mag een website de cookie-toestemming van een bezoeker bewaren? De Autoriteit Persoonsgegevens hanteert geen vaste maximumtermijn, maar adviseert om toestemming niet langer dan twaalf maanden geldig te laten zijn zonder opnieuw te vragen. Na een significante wijziging in de cookieconfiguratie — bijvoorbeeld als u een nieuwe trackingpixel toevoegt — moet u sowieso opnieuw om toestemming vragen.

Kan ik bezoekers verplichten cookies te accepteren om mijn website te mogen gebruiken? Nee. Een zogeheten cookie wall — waarbij u pas toegang geeft tot de website na het accepteren van alle cookies — is in Nederland niet toegestaan. Bezoekers moeten uw website normaal kunnen gebruiken, ook als ze tracking cookies weigeren.

Wat is het verschil tussen een cookiebanner en een cookieverklaring? De cookiebanner is het pop-upvenster dat toestemming vraagt bij het eerste bezoek. De cookieverklaring is een aparte pagina op uw website die uitlegt welke cookies u gebruikt, waarvoor en hoe lang. Beide zijn verplicht. Een goede cookie plugin zoals Complianz genereert de cookieverklaring automatisch op basis van de cookies die op uw website zijn gevonden.

Heeft mijn website ook een privacyverklaring nodig naast een cookiebanner? Ja. Een privacyverklaring is verplicht voor elke website die persoonsgegevens verwerkt — en dat is vrijwel elke website met een contactformulier, nieuwsbrief of analysesoftware. De cookiebanner regelt de toestemming voor cookies; de privacyverklaring legt uit hoe u omgaat met alle persoonsgegevens die u verwerkt. Complianz helpt u met het aanmaken van beide documenten.