Heldere en misleidende cookiebanners

Wanneer mensen een website bezoeken, krijgen zij vaak een cookiebanner te zien (ook wel cookiemelding of cookiepop-up genoemd). Met een cookiebanner legt een organisatie aan websitebezoekers uit hoe hun persoonsgegevens worden verzameld met cookies, en waarom. 

Op deze pagina

Websitebezoekers kunnen met een cookiebanner kiezen voor welke cookies zij wel of niet toestemming willen geven. Het is belangrijk dat zij grip houden op hun persoonsgegevens. In de praktijk vragen organisaties nog vaak op een misleidende manier om toestemming. Bijvoorbeeld door opties automatisch aan te vinken. Op deze pagina vindt u daarom enkele vuistregels, voorbeelden van heldere cookiebanners en voorbeelden van hoe het niet moet. 

Cookies en de AVG

Er zijn verschillende soorten cookies. Gebruikt u als organisatie tracking cookies of vergelijkbare technieken? Dan kunt u ervan uitgaan dat u persoonsgegevens verwerkt. Ook bij sommige functionele en beperkte analytische cookies verwerkt u persoonsgegevens. U moet dan voldoen aan de Algemene verordening gegevensbescherming (AVG). 

Waarom is een heldere cookiebanner belangrijk?

Wat mensen op internet doen, is heel persoonlijk. Tracking cookies zorgen ervoor dat organisaties kunnen meekijken met het internetgedrag van hun websitebezoekers. Dat mag alleen als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de mogelijkheid hebben om zulke cookies te weigeren, zonder nadelige gevolgen.

Met heldere informatie over het gebruik van zulke cookies kan uw websitebezoeker een weloverwogen keuze maken om toestemming te geven of niet. Zorg dus voor een heldere cookiebanner, waarmee u gelijk voldoet aan de wettelijke eisen.

Daar hoort ook bij dat u moet wegblijven van misleidende manieren (‘dark patterns’ of ‘deceptive patterns’) om toestemming te krijgen voor cookies. Bijvoorbeeld door bepaalde knoppen minder goed zichtbaar te maken. Uw websitebezoeker kan dan geen goede keuze maken.

Toezicht AP op cookiebanners

Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie met cookies persoonsgegevens verwerkt en daar niet op de juiste manier toestemming voor vraagt. Bijvoorbeeld door websitebezoekers te misleiden. Vanaf 2024 gaat de AP vaker onderzoeken hoe organisaties toestemming vragen voor cookies. 

Grondslagen

Toestemming

Het verwerken van persoonsgegevens via cookies doet u normaal gesproken op basis van de grondslag toestemming. Let er daarbij op dat:

  • U toestemming krijgt vóórdat u zulke cookies plaatst. 
  • Uw websitebezoekers actief toestemming moeten geven door iets aan te klikken. U kunt dus niet uitgaan van toestemming alleen omdat iemand uw website bezoekt. 
  • Het voor websitebezoekers duidelijk moet zijn dat u met de cookiebanner om hun toestemming vraagt.
  • Uw websitebezoekers de toestemming op een vrije, specifieke, geïnformeerde en ondubbelzinnige manier moeten kunnen geven. Ondubbelzinnig betekent dat het heel helder is dat iemand toestemming heeft gegeven. Het ligt daarbij voor de hand dat uw websitebezoekers een neutrale keuze hebben. En dat de ene optie niet meer nadruk krijgt dan de andere. 
  • Uw websitebezoekers hun toestemming even gemakkelijk weer moeten kunnen intrekken. Bekijk ook de informatie bij de 'snelle antwoorden' onderaan deze pagina. 
  • U uw websitebezoekers goed moet informeren, onder meer over hoe u cookies gebruikt en voor welke doelen. U heeft voor ieder doel apart toestemming nodig. 

Gerechtvaardigd belang

Als u met cookies persoonsgegevens verwerkt, moet u goed kijken op welke grondslag u zich baseert. Dat is bij cookies bijna nooit de grondslag gerechtvaardigd belang. Het kán wel. Maar alleen bij functionele en beperkte analytische cookies. Bijvoorbeeld als een cookie nodig is voor beveiliging van uw website.

Hoe maakt u een heldere cookiebanner? 

De AP licht 9 belangrijke aspecten van cookiebanners uit. Deze 9 vuistregels helpen u een goede cookiebanner te maken. U moet daarnaast altijd zelf controleren of u aan alle eisen in de AVG voldoet wanneer u met cookies persoonsgegevens verwerkt. 

De vuistregels zijn:

  • Geef informatie over het doel
  • Zet vinkjes niet automatisch aan
  • Gebruik duidelijke tekst
  • Zet verschillende keuzes op één laag
  • Verberg bepaalde keuzes niet
  • Laat iemand niet extra klikken
  • Gebruik geen onopvallende link in de tekst
  • Wees helder over het intrekken van toestemming
  • Verwar toestemming niet met gerechtvaardigd belang

Hierna vindt u uitleg en voorbeelden. 

Geef informatie over het doel

Geef uw websitebezoeker informatie die nodig is om een weloverwogen keuze te maken. Daarbij hoort dat u voor ieder doel vertelt waarom u cookies gebruikt, vóórdat iemand een keuze maakt. 

Goed voorbeeld: geef informatie over het doel

Wees dus niet vaag of onvolledig over uw doelen. In het voorbeeld hierna wordt bijvoorbeeld wel ‘social media’ genoemd, maar is niet duidelijk hoe persoonsgegevens dan verwerkt worden en met welk(e) doel(en). 

Fout voorbeeld: geef informatie over het doel

Zet vinkjes niet automatisch aan

Maakt u in uw cookiebanner gebruik van vinkjes of schuifjes? Zorg dan dat uw websitebezoeker zelf bepaalde opties aanklikt (of niet) en dus actief een keuze maakt.

Goed voorbeeld: zet vinkjes niet automatisch aan

Vink de keuzeboxen dus niet automatisch aan. Dat geldt niet als toestemming. 

Fout voorbeeld: zet vinkjes niet automatisch aan

Gebruik duidelijke tekst

Het moet voor uw websitebezoeker volledig duidelijk zijn welke keuze diegene maakt. Gebruik daarom duidelijke woorden in knoppen, zoals ‘accepteren’, ‘akkoord’ of ‘weigeren’. Op die manier is het duidelijk dat iemand toestemming geeft. 

Goed voorbeeld: gebruik duidelijke tekst

Maak het voor uw websitebezoeker dus niet onnodig ingewikkeld door vage of sturende bewoordingen te gebruiken, of door tekst juist weg te laten. 

Fout voorbeeld: gebruik duidelijke tekst
Fout voorbeeld: gebruik duidelijke tekst
Fout voorbeeld: gebruik duidelijke tekst

Zet verschillende keuzes op één laag

Uw websitebezoekers moeten cookies net zo makkelijk kunnen weigeren als accepteren. Zet de knoppen voor weigeren en accepteren dus op dezelfde laag. Dat betekent dat iemand niet hoeft door te klikken om te weigeren, als dat voor (alles) accepteren ook niet hoeft. 

Goed voorbeeld: zet verschillende keuzes op één laag

Bied dus niet maar een van de opties op de eerste laag aan.

Fout voorbeeld: zet verschillende keuzes op één laag

Verberg bepaalde keuzes niet

Zorg dat de knop om cookies te weigeren goed zichtbaar is.

Verstop de knop bijvoorbeeld niet door uw websitebezoeker onnodig te laten scrollen om cookies te weigeren, als dat ook niet hoeft om cookies te accepteren. 

Fout voorbeeld: verberg bepaalde keuzes niet

Laat iemand niet extra klikken

Het weigeren van cookies moet niet meer kliks vragen dan het accepteren. 

Laat uw websitebezoeker bijvoorbeeld niet extra bevestigen dat diegene de cookies wil weigeren.

Fout voorbeeld: laat iemand niet extra klikken

Gebruik geen onopvallende link in de tekst

De mogelijkheid om cookies te weigeren moet net zo goed zichtbaar zijn als de optie om cookies te accepteren. 

Verstop deze dus bijvoorbeeld niet als link in een stuk tekst, waardoor uw websitebezoeker onnodig moet zoeken. 

Fout voorbeeld: gebruik geen onopvallende link in de tekst

Wees helder over intrekken van toestemming

Maak duidelijk hoe uw websitebezoeker toestemming weer kan intrekken, vóórdat diegene een keuze maakt. 

Goed voorbeeld: wees helder over intrekken van toestemming

Verwar toestemming niet met gerechtvaardigd belang

Zoals u eerder heeft kunnen lezen, kan er alleen bij functionele en beperkte analytische cookies sprake zijn van de grondslag gerechtvaardigd belang om persoonsgegevens te verwerken. De grondslag toestemming is dan niet van toepassing. U heeft in het geval van functionele cookies en sommige analytische cookies dus geen toestemming nodig voor het plaatsen en uitlezen van die cookies. Een vinkje of schuifje in uw cookiebanner kan dan verwarring opleveren.

In het voorbeeld hierna ziet u een schuifje in combinatie met de grondslag gerechtvaardigd belang. Maar omdat toestemming geven niet van toepassing is, is het onduidelijk wat het aan- of uitzetten van het schuifje voor effect heeft. 

Bovendien is gerechtvaardigd belang geen geldige grondslag om gepersonaliseerde advertenties te tonen. 

Fout voorbeeld: verwar toestemming niet met gerechtvaardigd belang

Snelle antwoorden

Gaan de vuistregels voor cookiebanners ook op voor vergelijkbare technieken?

Ja. De vuistregels voor cookiebanners gaan over cookies en alle andere technieken waarmee u informatie opslaat op of toegang verkrijgt tot het apparaat van de gebruiker (zoals een mobiele telefoon of computer). 

Naast cookies gaat het bijvoorbeeld ook om:

  • het plaatsen van niet-essentiële gegevens op het apparaat van de gebruiker, bijvoorbeeld via local storage;
  • trackingpixels;
  • web beacons;
  • fingerprinting.

Welke informatie moet op de eerste laag van mijn cookiebanner staan?

In uw cookiebanner moet bepaalde informatie direct zichtbaar zijn. Het moet duidelijk zijn wie de persoonsgegevens verwerkt én met welk(e) doel(en). Die informatie zet u dus op de ‘eerste laag’ van uw cookiebanner. Op die manier weet uw websitebezoeker waarvoor de toestemming bedoeld is. 

Overige informatie mag op een tweede (of latere) laag komen te staan. Dit neemt natuurlijk niet weg dat u alle informatie op een duidelijke manier moet aanbieden.

Hoe werkt het intrekken van toestemming bij cookiebanners?

Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken. 

Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers. 

U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken. 

Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken. 

Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.