De juridische basis

Verplichtingen voor cookietoestemming vloeien voort uit de GDPR (Regulation 2016/679) en de ePrivacy Directive (2002/58/EC). De ePrivacy Directive vereist toestemming voordat informatie op het apparaat van een gebruiker wordt opgeslagen (Article 5(3)), terwijl de GDPR geldige toestemming definieert (Article 4(11), Article 7, Recital 32).

De 14 vereisten

1. Voorafgaande toestemming

Niet-essentiële cookies mogen niet worden geactiveerd voordat de gebruiker toestemming geeft. Article 5(3) van de ePrivacy Directive is expliciet. CNIL beboette Google met EUR 150 miljoen (2022) voor het laden van cookies vóór gebruikersinteractie.

2. Vrij gegeven toestemming

Toestemming mag geen voorwaarde zijn voor toegang (GDPR Article 4(11)). Cookietoestemming mag niet worden gebundeld met servicevoorwaarden.

3. Gedetailleerde doelselectie

Gebruikers moeten voor elk doel afzonderlijk toestemming geven — analytics, reclame, functioneel (GDPR Recital 43). Eén enkele knop "Alles accepteren" zonder categorieselectie is onvoldoende.

4. Gelijke zichtbaarheid voor Accepteren en Weigeren

Weigeren moet net zo zichtbaar zijn als Accepteren. CNIL vereist een knop "Alles weigeren" op de eerste laag met gelijk visueel gewicht. Microsoft werd beboet met EUR 60 miljoen (2022), mede omdat de weigeroptie verborgen was.

5. Geen vooraf aangevinkte vakjes

CJEU Planet49-uitspraak (C-673/17, 2019): vooraf aangevinkte vakjes vormen geen geldige toestemming. Alle categorieën moeten standaard uitgeschakeld zijn.

6. Geen cookiewalls

Toegang tot de website blokkeren totdat toestemming is gegeven is over het algemeen niet-conform. EDPB en de Nederlandse DPA hebben dit bevestigd.

7. Duidelijke, eenvoudige taal

GDPR Article 7(2) — toestemmingsverzoeken moeten duidelijke, eenvoudige taal gebruiken. "We gebruiken cookies om uw ervaring te verbeteren" is onvoldoende.

8. Taalovereenkomst

GDPR Article 12(1) — informatie moet begrijpelijk zijn. De banner moet overeenkomen met de taal van de website.

9. Link naar cookiebeleid

GDPR Articles 13-14 vereisen uitgebreide informatie. De banner moet linken naar een volledig cookiebeleid dat elke cookie vermeldt.

10. Eenvoudige intrekking

GDPR Article 7(3) — intrekking moet net zo eenvoudig zijn als het geven van toestemming. Een permanent widget of voettekstlink moet het heropenen van de toestemmingsinterface mogelijk maken.

11. Toestemmingsregistratie

GDPR Article 7(1) — u moet kunnen aantonen dat toestemming is verkregen. Registreer tijdstempels, keuzes en bannerversies.

12. Openbaarmaking van derden

GDPR Article 13(1)(e) — maak alle ontvangers van gegevens van derden openbaar. Onder TCF 2.3 moet de leverancierslijst toegankelijk zijn vanuit de toestemmingsinterface.

13. Transparantie over gegevensopslag

GDPR Article 13(2)(a) — maak openbaar hoe lang cookies actief blijven.

14. Mobiele responsiviteit

Geen GDPR-uitzondering voor mobiel. Knoppen moeten tikbaar zijn, tekst leesbaar en de interface functioneel op alle schermformaten.

Snelle auditchecklist

• Geen niet-essentiële cookies worden geactiveerd vóór toestemming
• Accepteren en Weigeren zijn gelijk zichtbaar op de eerste laag
• Individuele categorieselectie is beschikbaar
• Geen vooraf geselecteerde schakelaars voor niet-essentiële categorieën
• De website is toegankelijk, zelfs als de gebruiker alles weigert
• De bannertaal komt overeen met de inhoudstaal
• Duidelijke, niet-technische taal wordt gebruikt
• Link naar het volledige cookiebeleid is zichtbaar op de banner
• Het cookiebeleid vermeldt elke cookie op naam, doel en duur
• Een permanent widget maakt het heropenen van de toestemmingsinterface mogelijk
• Het intrekken van toestemming vereist hetzelfde aantal klikken als het geven ervan
• Toestemmingsrecords worden geregistreerd met tijdstempels
• Ontvangers van gegevens van derden zijn openbaar gemaakt
• De banner is functioneel op mobiele apparaten
• Geen manipulatieve kleuren, afmetingen of bewoordingen

Automatiseer dit: FlexyConsent voldoet direct aan alle vereisten — Google-gecertificeerde CMP met IAB TCF 2.3, Consent Mode V2, 43+ talen, abonnementen vanaf EUR 0/maand. Ga aan de slag op panel.flexyconsent.com.