Wat de AVG van een cookiebanner vereist

De AVG en de ePrivacy-richtlijn stellen vijf ononderhandelbare regels vast voor cookietoestemming:

• Vrij gegeven: Cookies weigeren moet net zo makkelijk zijn als accepteren.
• Specifiek: Toestemming moet per doel afzonderlijk worden gevraagd.
• Geïnformeerd: Gebruikers moeten weten waarmee ze instemmen voordat ze instemmen.
• Ondubbelzinnig: Vooraf aangevinkte vakjes en doorgesurfen tellen niet.
• Intrekbaar: Gebruikers moeten toestemming op elk moment kunnen intrekken.

Voorbeeld 1: De "Alleen accepteren"-banner (Niet-conform)

Hoe het eruitziet

Een kleine balk met "Wij gebruiken cookies om uw ervaring te verbeteren" en één "OK"-knop. Geen weigeringsoptie, geen instellingen.

Waarom het faalt

Geen echte keuze, geen informatie over cookies, geen manier om te weigeren. CNIL beboette Google met EUR 150 miljoen en Facebook met EUR 60 miljoen in 2022 voor precies dit patroon.

Oordeel: Onwettig volgens de AVG.

Voorbeeld 2: Alles accepteren + klein "Voorkeuren beheren"-linkje (Niet-conform)

Hoe het eruitziet

Een opvallende "Alles accepteren"-knop met een klein grijs "Voorkeuren beheren"-linkje. Geen "Alles weigeren"-knop.

Waarom het faalt

Visuele hiërarchie duwt gebruikers richting accepteren. Weigeren vereist twee klikken, accepteren één. Meerdere toezichthouders hebben geoordeeld dat dit geen vrij gegeven toestemming is.

Oordeel: Niet-conform. Weigeren moet even toegankelijk zijn als Accepteren.

Voorbeeld 3: Gelijke Accepteren en Weigeren knoppen (Conform)

Hoe het eruitziet

Twee even grote knoppen: "Alles accepteren" en "Alles weigeren". Daaronder een "Voorkeuren beheren"-link. Korte uitleg van cookiedoeleinden.

Waarom het werkt

Echte vrije keuze, beide opties even prominent, elk één klik. Dit is het patroon dat CNIL expliciet aanbeval.

Oordeel: Conform. De basislijn die elke website moet halen.

Voorbeeld 4: De cookiemuur (Niet-conform)

Hoe het eruitziet

Volledig scherm overlay die alle inhoud blokkeert. De enige optie is "Cookies accepteren".

Waarom het faalt

AVG artikel 7(4) — toestemming is niet vrij als toegang tot de dienst ervan afhankelijk is. De Nederlandse AP concludeerde dat cookiemuren over het algemeen niet zijn toegestaan.

Oordeel: Niet-conform in de meeste EU-rechtsgebieden.

Voorbeeld 5: Vooraf aangevinkte vakjes (Niet-conform)

Hoe het eruitziet

Gedetailleerde banner met cookiecategorieën en selectievakjes — maar alle vakjes zijn vooraf aangevinkt.

Waarom het faalt

Het HvJ EU Planet49-arrest (2019) heeft dit definitief beslecht: vooraf aangevinkte vakjes vormen geen geldige toestemming. Toestemming vereist een duidelijke bevestigende handeling.

Oordeel: Expliciet onwettig volgens HvJ EU-jurisprudentie.

Voorbeeld 6: De gelaagde aanpak (Conform — Best practice)

Hoe het eruitziet

Eerste laag: compacte banner met knoppen Alles accepteren, Alles weigeren en Aanpassen. Tweede laag: gedetailleerd voorkeurscentrum met individuele categorieschakelaars en leverancierslijst. Derde laag: volledig cookiebeleid.

Waarom het werkt

Balanceert informatie met gebruiksvriendelijkheid. Eerste laag biedt keuze, tweede detail, derde volledige transparantie. Expliciet aanbevolen door het EDPB.

Oordeel: Best practice. De gouden standaard voor naleving.

Voorbeeld 7: Misleidende knoplabels (Niet-conform)

Hoe het eruitziet

"Ik ga akkoord" versus "Ik ga niet akkoord met het weigeren van niet-essentiële cookies". Of: "Aanbevolen instellingen accepteren" versus "Beperkte versie gebruiken".

Waarom het faalt

AVG overweging 42 vereist duidelijke, eenvoudige taal. Dubbele ontkenningen, gesuggereerde gevolgen en manipulatieve labels zijn niet-conform.

Oordeel: Niet-conform. Gebruik duidelijke, neutrale labels.

Voorbeeld 8: De goed uitgevoerde conforme banner

Hoe het eruitziet

Een schone onderste balk met: duidelijke kop, korte uitleg, drie gelijk gestylde knoppen (Alles accepteren, Alles weigeren, Voorkeuren beheren) en een link naar het cookiebeleid. Voorkeuren beheren opent een voorkeurscentrum met individuele schakelaars, leverancierslijst en Opslaan-knop.

Waarom het werkt

Voldoet aan alles: vrije keuze, symmetrische knoppen, gelaagde informatie, eenvoudige taal, geen vooraf aangevinkte vakjes, eenvoudige intrekking via cookieinstellingen-icoon.

Oordeel: Volledig conform.

Echte boetes voor slechte banners

• Google (Frankrijk, 2022): EUR 150 miljoen — weigeringsoptie was moeilijker te vinden dan accepteren.
• Facebook (Frankrijk, 2022): EUR 60 miljoen — zelfde asymmetrieprobleem.
• Microsoft (Frankrijk, 2022): EUR 60 miljoen — advertentiecookies geplaatst zonder geldige toestemming.
• TikTok (Frankrijk, 2023): EUR 5 miljoen — cookies weigeren vereiste meer stappen dan accepteren.

Nalevingschecklist

• Is er een zichtbare "Alles weigeren"-knop op de eerste laag?
• Zijn Accepteren en Weigeren even prominent?
• Zijn alle selectievakjes standaard niet aangevinkt?
• Wordt de banner getoond voordat niet-essentiële cookies worden geplaatst?
• Kunnen gebruikers gedetailleerde categoriecontroles bereiken?
• Wordt toestemming gelogd met tijdstempel?
• Kunnen gebruikers toestemming op elk moment wijzigen?
• Is de banner in de taal van de gebruiker?
• Voorkomt klikken op Weigeren daadwerkelijk niet-essentiële cookies?

Hoe FlexyConsent dit standaard afhandelt

FlexyConsent is een door Google gecertificeerde CMP met IAB TCF 2.3-ondersteuning. Het dekt elke nalevingseis:

• Gelijke Accepteren en Weigeren knoppen op de eerste laag
• Ingebouwde gelaagde aanpak (eerste laag voor keuze, tweede voor gedetailleerde controles)
• Geen vooraf aangevinkte vakjes — alle optionele categorieën standaard niet aangevinkt
• Google Consent Mode V2 standaard geïntegreerd
• 43 talen met automatische detectie
• Geo-targeting voor regiospecifieke banners
• Toestemmingsregistratie en bewijs voor audits
• Plannen vanaf EUR 0/maand

Stel een conforme banner in onder vijf minuten op panel.flexyconsent.com.