Is een cookiewall verboden in Nederland?

De AP stelt dat een cookiewall verboden is: toestemming is niet vrij gegeven als toegang tot de website afhankelijk is van cookie-acceptatie. Juridisch is het genuanceerder. Er is geen expliciet wetsartikel dat cookiewalls verbiedt; het is een interpretatie van 'vrij gegeven' toestemming. De EDPB onderschrijft het standpunt van de AP. In de praktijk: gebruik geen cookiewall.

Welke cookies mag ik plaatsen zonder toestemming?

Functionele cookies die strikt noodzakelijk zijn voor de werking van de website: sessiecookies, winkelwagentje, inlogstatus, taalvoorkeur. Sinds 2025 ook beperkte analytische cookies die geen persoonsgegevens verwerken, niet worden gedeeld met derden en geen profielen opbouwen. Alle andere cookies (tracking, marketing, social media) vereisen voorafgaande toestemming.

Wat is een dark pattern in een cookiebanner?

Een ontwerp dat bezoekers stuurt richting 'alles accepteren'. Voorbeelden: een grote groene accepteerknop naast een kleine grijze weigerlink, weigeren dat meer klikken kost dan accepteren, 'aanbevolen keuze' bij accepteren, of scrollen als toestemming beschouwen. De AP beschouwt dark patterns als een overtreding van de toestemmingseisen.

Hoe vaak mag ik toestemming opnieuw vragen?

De AP stelt dat herhaald vragen na weigering niet mag. Het Digital Omnibus-voorstel van de Europese Commissie (november 2025) stelt een verbod voor op herhaalde toestemmingsverzoeken binnen zes maanden na weigering. Dat voorstel is nog niet aangenomen maar geeft de richting aan. In de praktijk: als iemand weigert, respecteer dat.

Verdwijnen cookiebanners in de toekomst?

Mogelijk deels. Het Digital Omnibus-voorstel introduceert browser-gebaseerde toestemmingssignalen: gebruikers stellen hun voorkeuren centraal in via hun browser, en websites zijn verplicht die signalen te respecteren. Als dat wordt aangenomen (verwacht niet voor 2027), worden cookiebanners minder nodig maar niet volledig overbodig.

Cookiewall of cookiebanner: wat mag en wat niet

Kruidvat: 600.000 euro boete voor tracking cookies zonder toestemming. Coolblue: 40.000 euro voor vooraf aangevinkte vakjes. De AP stuurt jaarlijks 500 waarschuwingsbrieven, heeft een geautomatiseerde scanner die 10.000 websites controleert en heeft 200 websites gewaarschuwd in 2024-2025. De Consumentenbond onderzocht 100 populaire sites en vond dat 38% niet compliant was.

De regels zijn niet ingewikkeld. Maar de uitvoering gaat vaak mis. Dit is wat mag, wat niet mag en wat eraan komt.

Wanneer heb je toestemming nodig?

De Telecommunicatiewet (Art. 11.7a) vereist toestemming voor het plaatsen en uitlezen van cookies. Er zijn twee uitzonderingen:

Functionele cookies. Strikt noodzakelijk voor de werking van de website. Sessiecookies, winkelwagentje, inlogstatus, taalvoorkeur. Geen toestemming nodig, maar je moet ze wel benoemen in je privacyverklaring.

Beperkte analytische cookies. Sinds 2025 versoepeld: first-party analytische cookies die geen persoonsgegevens verwerken, niet worden gedeeld met derden en geen profielen opbouwen, mogen zonder toestemming. Plausible, Simple Analytics en Fathom voldoen hier standaard aan. Google Analytics 4 in de standaardconfiguratie niet.

Alles overige vereist voorafgaande toestemming: tracking cookies, marketingcookies, social media cookies, advertentiecookies, retargeting pixels.

De cookiewall: verboden of niet?

Een cookiewall blokkeert de toegang tot je website als de bezoeker geen cookies accepteert. "Accepteer cookies of verlaat de site."

De AP stelt: dit is verboden. Toestemming is niet "vrij gegeven" als de bezoeker geen reëel alternatief heeft. De EDPB onderschrijft dit standpunt.

Juridisch is het genuanceerder. Er is geen expliciet Nederlands wetsartikel dat cookiewalls verbiedt. Het is een interpretatie van het begrip "vrij gegeven" toestemming uit de AVG. De Franse Conseil d'État oordeelde dat de CNIL te ver ging met een absoluut verbod. De DDMA noemt de AP "kort door de bocht".

Maar in de praktijk: de AP handhaaft, de EDPB steunt het standpunt, en het risico van een cookiewall is groter dan het voordeel. Gebruik geen cookiewall.

Dark patterns: wat de AP verbiedt

De AP hanteert negen vuistregels voor cookiebanners. De kern: weigeren moet even makkelijk zijn als accepteren.

Verboden:

Een grote groene "Alles accepteren" naast een kleine grijze "Instellingen"-link
Weigeren dat meer klikken kost dan accepteren
"Aanbevolen keuze" of sturende tekst bij accepteren
Vooraf aangevinkte vakjes (Planet49-arrest, HvJ EU 2019)
Cookies laden voordat de bezoeker kiest
Scrollen of navigeren als toestemming beschouwen
De weigeroptie verstoppen in kleine tekst

Verplicht:

Informeer vooraf over cookiedoeleinden en datatypes
Alle opties standaard uit
Neutrale, niet-sturende taal
"Weigeren" en "Accepteren" op hetzelfde niveau qua zichtbaarheid en moeite
Intrekken van toestemming moet even makkelijk zijn als geven
Bij intrekking moeten cookies daadwerkelijk worden verwijderd

De Consumentenbond onderzocht in 2025 honderd populaire Nederlandse websites. Bij 20% was de weigerknop onduidelijker dan de accepteerknop. Twee websites plaatsten tracking cookies ongeacht de keuze. DPG Media-sites (nu.nl, Volkskrant, Tweakers) deelden data met meer dan 800 advertentiepartners.

AP-handhaving in de praktijk

De AP heeft een geautomatiseerde scanner die continu 10.000 websites controleert. Het proces:

Scanner detecteert mogelijke overtreding
Organisatie ontvangt een waarschuwingsbrief
90 dagen om de cookiebanner aan te passen
Na 120 dagen zonder actie: onderzoek en mogelijk een boete

Ongeveer 75% van de gewaarschuwde organisaties past de banner aan. De rest riskeert een onderzoek en sanctie. Het AP-budget voor cookiehandhaving is 500.000 euro per jaar (2024-2026).

Wil je weten of je cookiebeleid en andere privacybasics op orde zijn? Doe de Privacy Scan en ontdek binnen 2 minuten waar je website staat.

Boetes tot nu toe: Kruidvat 600.000 euro (later verlaagd naar 50.000 na bezwaar), Coolblue 40.000 euro. Maximale boete: 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Wat verandert er?

ePrivacy Verordening: ingetrokken. Het voorstel voor een nieuwe Europese ePrivacy Verordening, sinds 2017 in onderhandeling, is in februari 2025 formeel ingetrokken door de Europese Commissie. De bestaande ePrivacy Richtlijn (geïmplementeerd in de Telecommunicatiewet) blijft van kracht.

Digital Omnibus (november 2025). De Europese Commissie stelt voor om de cookieregels ingrijpend te wijzigen:

Cookieregels verhuizen van de ePrivacy Richtlijn naar de AVG zelf
Verplichte single-click weigerknop
Verbod op herhaalde toestemmingsverzoeken voor hetzelfde doel binnen zes maanden
Browser-gebaseerde toestemmingssignalen: gebruikers stellen hun privacyvoorkeuren centraal in via hun browser, en websites zijn verplicht die te respecteren
Nieuwe vrijstellingen: beveiligingscookies, first-party analytische cookies en cookies noodzakelijk voor de gevraagde dienst

Dit is nog een voorstel. Verwachte aanname: eind 2026 op zijn vroegst. Inwerkingtreding: 2027 of later. Cookiebanners verdwijnen niet volledig maar worden minder opdringerig als het voorstel wordt aangenomen.

Toegankelijkheidseisen (juni 2025). Cookiebanners moeten voldoen aan Europese toegankelijkheidsrichtlijnen: leesbaar, toetsenbordnavigeerbaar en bruikbaar met schermlezers.

Hoe een goede cookiebanner eruitziet

De kern in drie elementen:

Eerste laag: duidelijke tekst over wat je doet ("Wij gebruiken cookies voor [doeleinden]"), twee gelijkwaardige knoppen ("Alles accepteren" en "Alles weigeren") en een optionele "Voorkeuren instellen" knop voor granulaire keuze.

Tweede laag (bij "Voorkeuren"): per categorie (functioneel, analytisch, marketing) een toggle die standaard uit staat, met een korte uitleg per categorie en de namen van de betrokken derde partijen.

Herroeping: een cookieknop of link onderaan de pagina waarmee bezoekers hun keuze altijd kunnen herzien.

Alle cookie consent tools uit onze vergelijking (CookieFirst, CookieYes, Complianz, Cookiebot) ondersteunen deze structuur. De technische implementatie hoef je niet zelf te bouwen.

De regels zijn niet nieuw. De handhaving wel. De AP scant continu, stuurt 500 brieven per jaar en de boetes zijn reëel. Een middag investeren in je cookiebanner is goedkoper dan de brief die je anders ontvangt.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.