GDPR-boetes Voorkomen: De 5 Meest Gemaakte Cookiebanner Blunders
Je kent het vast wel: je bezoekt een website en direct verschijnt er een cookiebanner. Het lijkt zo simpel maar toch gaat het vaak mis. Veel banners voldoen niet aan de regels of maken het je onnodig lastig.
Als je zelf een website beheert wil je natuurlijk niet dat bezoekers afhaken door een onduidelijke of irritante cookiebanner. Bovendien loop je risico op boetes als je niet aan de privacywetgeving voldoet. In dit artikel ontdek je de meest gemaakte fouten en leer je hoe je ze eenvoudig voorkomt. Zo zorg je voor een gebruiksvriendelijke én wettelijk correcte website.
Fout 1: Geen expliciete “Weiger”-knop
Veel websites tonen alleen een “Akkoord”-knop in hun cookiebanner. Soms zit de “Weiger”-optie verstopt achter een linkje of submenu. Dat werkt niet. Echt afwijzen van cookies moet net zo makkelijk gaan als accepteren.
Europese toezichthouders (zoals de Autoriteit Persoonsgegevens) controleren streng. Je website valt buiten de regels als de “Weiger”-knop niet even duidelijk in beeld staat als de “Akkoord”-knop.
Kijk dus goed naar je eigen banner:
- Staat “Weiger” in dezelfde stijl als “Akkoord”?
- Hoeft een bezoeker niet te zoeken?
- Hoef je niet extra te klikken of scrollen?
Doet je banner dat niet? Dan ben je non-compliant volgens de meeste Europese toezichthouders. Dat is snel aan te passen. Geef de knoppen dezelfde zichtbaarheid en maak afwijzen net zo makkelijk als toestaan.
Fout 2: Vooraf aangevinkte vakjes (pre-checked opt-ins)
Sites gebruiken vaak standaard aangevinkte opties bij banners. Dit zie je bij diensten als CookieInfo en CookieScript. Jij krijgt zo non-essentiële cookies automatisch aan, tenzij je ze zelf uitzet.
- Je geeft ongemerkt toestemming.
- Dit telt als “implied consent”.
- Je beslist dus niet actief, cookies staan al klaar.
Dat mag niet onder GDPR en PECR. Je hoort juist zelf actief aan te geven dat je akkoord bent. Dat gebeurt niet als je opt-ins vooraf aanvinkt.
Voorbeelden van platforms
CookieInfo en CookieScript zetten vaak alles aan zonder actieve input. Hierdoor ben je niet compliant als je deze gebruikt.
| Platform | Opt-in standaard aan? | Juridisch oké? |
|---|---|---|
| CookieInfo | Ja | Nee |
| CookieScript | Ja | Nee |
Fout 3: Cookie walls of toegang blokkades
Sommige websites blokkeren toegang als je niet alle cookies accepteert. Zo’n cookiewall zie je bij mediaplatforms, webshops en forums. Je mag dan pas verder na een klik op “Akkoord”. Handig voor marketeers, maar niet toegestaan in de EER en het VK. Dit staat gelijk aan onrechtmatig dwingen, zeggen toezichthouders.
CookieInfo en CookieScript laten hun gebruikers zulke blokkerende banners plaatsen. Die aanpak is niet compliant met de AVG en PECR. Je bezoekers krijgen zo geen echte vrije keuze. Als ze niet akkoord gaan, krijgen ze simpelweg geen toegang.
Handhaving hierop wordt strenger. Hoge boetes en reputatieschade liggen op de loer. Bedrijven als Mediatest en nieuwswebsites in Nederland kregen eerder al waarschuwingen en boetes.
| Kenmerk | Toegestaan? | Gevolg |
|---|---|---|
| Cookie wall | Nee | Boete, imago schade |
| Vrije keuze | Ja | Juridisch veilig |
| Toegang blokkade | Nee | Gebruikersverlies |
Zie je dus een cookiebanner van CookieInfo of CookieScript die zonder akkoord niks laat zien? Dan overtreedt je site waarschijnlijk de Europese regels. Je maakt het je bezoeker lastig én loopt risico.
Fout 4: Cookies laden vóór toestemming
Veel websites laden cookies al voor iemand iets aanklikt. Dit gebeurt bij tools zoals consentmanager. Dat gaat mis op drie vlakken:
- Privacy: data van bezoekers wordt meteen verwerkt, soms zelfs persoonsgegevens zoals IP-adressen
- Betrouwbaarheid: je data in analytics en marketing raakt vervuild, want je meet dus ook bezoekers die nooit akkoord gaven
- Wetgeving: cookies plaatsen zonder toestemming is in strijd met de AVG in Nederland
Als cookies zonder toestemming geladen worden, zijn er risico’s voor je bedrijf. Je loopt kans op boetes of controle van toezichthouders. De Autoriteit Persoonsgegevens noemt dit expliciet een overtreding.
Hier zie je de problemen op een rij:
| Punt | Gevolgen |
|---|---|
| Ongevraagd laden | Persoonsgegevens verwerkt zonder akkoord |
| Verstoorde consent | Consent-mode werkt niet, onbetrouwbare data |
| Juridische risico’s | In strijd met AVG, kans op boetes |
Voorbeelden:
- Bij consentmanager komen cookies soms al door voordat iemand gekozen heeft
- Ook analytics-tags of marketingpixels kunnen zo al data vangen
Snel oplossen voorkomt misstappen. Laad cookies pas na expliciete toestemming, anders stel je privacy en rapportages op het spel.
Fout 5: Misleidende design (dark patterns)
Veel cookiebanners sturen je naar “Akkoord” met trucjes. Kleuren, tekstgrootte of taalgebruik trekken je blik naar instemmen, niet naar weigeren. Dit noemen experts als DIE WELT en DataGrail “nudging”.
- Felle kleuren op “Akkoord” en fletse voor “Weiger”
- Grotere knoppen voor toestaan dan weigeren
- Misleidend taalgebruik als “Verbeter je ervaring door akkoord te gaan”
- Informatie over weigeren verstoppen achter kleine links of drop-downs
Deze aanpak scoort slecht bij UX-audits. De Autoriteit Persoonsgegevens noemt nudging oneerlijk. Je krijgt minpunten op gebruiksvriendelijkheid en kunt sancties verwachten volgens de wet. UX-audits signaleren vaak verhoogde bounce als banners teveel sturen.
| Praktijk | Gevolg | Bron |
|---|---|---|
| Nudging met kleur | Meer mensen klikken “Akkoord” onbewust | DataGrail |
| Onbalans opties | UX-score omlaag, kliks dalen | DIE WELT |
| Moeilijk weigeren | Mogelijke boete, sanctierisico | AP, GDPR |
Vermijd misleidend design. Zet knoppen even opvallend neer. Gebruik simpele, neutrale taal. Geef keuzes gelijkwaardig weer. Zo houd je het eerlijk en voorkom je problemen.
Fout 6: Consent niet eenvoudig intrekken of wijzigen
Je maakt het mensen vaak lastig om hun toestemming in te trekken of te veranderen. Veel banners hebben deze optie veel te diep verstopt of zelfs helemaal niet duidelijk aanwezig.
- Vaak zie je dat gebruikers na hun eerste keuze niet meteen terug kunnen. Je moet dan vaak door meerdere schermen of menu’s klikken.
- Sommige banners, zoals bij CookieInfo, bieden geen snelle “intrekken”-optie. Je komt dan vast te zitten in hun instellingenpagina.
Instantie CNIL in Frankrijk heeft aangegeven dat dit niet mag. Volgens de AVG (GDPR) moet elke gebruiker makkelijk en op elk moment hun keuze kunnen aanpassen. Doe je dat niet, dan pleeg je een inbreuk op privacyrechten. Veel mensen haken dan af, want dit wekt weinig vertrouwen.
| Bannerplatform | Intrekken makkelijk? | Opmerking |
|---|---|---|
| CookieInfo | Nee | Meerdere lagen, niet direct duidelijk zichtbaar |
| CNIL compliant? | Nee | Schending van GDPR, risico op boete, gebruikers verliezen vertrouwen |
Mensen verwachten snelle keuzes. Kan je niet makkelijk intrekken of wijzigen, dan blijf je achter bij concurrenten. Veel gebruikers verlaten dan je site.
- Zorg dat elke banner een duidelijke knop heeft voor terugtrekken of aanpassen.
- Zet deze optie op de homepage of in de voettekst, altijd makkelijk te vinden!
- Laat mensen niet verdwalen in instellingen, dat zorgt voor frustratie.
Fout 7: Ontbreken van consent-logs en documentatie
Je website zonder consent-log? Dan kun je niks aantonen bij een klacht of audit. Toestemming gegeven, ingetrokken, datum, tijd, IP-adres—geen bewijs, geen poot om op te staan. Zonder logboek weet niemand of het netjes liep.
Veel aanbieders zoals CookieInfo en CookieScript slaan toestemming niet goed of niet volledig op. Ze registreren vaak alleen een generieke akkoordactie. Er ontbreekt vaak data over type toestemming, unieke gebruiker of wijziging. Autoriteiten vragen tijdens controles om dit soort details. Je mist het en dat levert risico’s op.
| Platform | Volledig consent-log | Detailniveau toestemming | Risico boete |
|---|---|---|---|
| CookieInfo | Nee | Laag | Hoog |
| CookieScript | Nee | Laag | Hoog |
Wat kan misgaan als je geen goede registratie hebt:
- Geen helder bewijs voor wie, wanneer en hoe klikte
- Moeilijk om aan te tonen dat intrekking netjes verliep
- Grote kans op boete bij audits of klachten
Voorbeeld: bij een klacht vraagt de toezichthouder wie precies ergens op klikte, of iemand bij wijzigingen zijn recht kon uitvoeren. Geen bewijs? Dan sta je zwak.
Veel logs zijn simpelweg niet vindbaar of incompleet. Accountgegevens worden soms niet bijgehouden. Hierdoor kun je als organisatie het proces niet reconstrueren. Bij platforms als CookieInfo of CookieScript zie je dit vaak.
Wil je risico beperken? Kies een tool die per gebruiker alles opslaat: IP, tijd, keuze, aanpassing en verwijdering. Altijd direct beschikbaar, netjes in een rapport. Zo voorkom je verrassingen bij controles.
Fout 8: Slechte toegankelijkheid
Veel cookiebanners werken niet goed voor iedereen. Mensen die een schermlezer of alleen hun toetsenbord gebruiken, kunnen het lastig vinden of zelfs niet mogelijk maken om de banner te bedienen. Kijk maar naar platforms als Smashing Magazine—hun banner heeft geen ARIA-landmark, je kunt er niet doorheen met je toetsenbord en hij is vaak onleesbaar voor een screenreader.
Deze fout sluit een groep mensen uit. Denk aan blinde gebruikers, mensen met lage mobiliteit of ouderen. Dit gaat tegen toegankelijkheidsrichtlijnen in zoals WCAG 2.1 (bron: Web Accessibility Guidelines). Veel landen schrijven toegankelijkheid gewoon voor via de wet.
Kijk naar deze tabel voor de problemen bij ontoegankelijke cookiebanners.
| Probleem | Gevolg voor gebruiker | Richtlijn/bron |
|---|---|---|
| Geen ARIA-landmarks | Screenreader mist content | WCAG 2.1, Smashing Magazine |
| Niet met toetsenbord te bedienen | Blinde/gehandicapte gebruiker vast | Web Accessibility Guidelines |
| Onleesbaar voor screenreaders | Slechte gebruikerservaring | Overheid, WCAG |
- Geen ARIA-landmarks zorgt dat een banner niet opvalt voor screenreaders
- Slechte tab-navigatie blokkeert mensen met een beperking
- Onleesbare tekst frustreert gebruikers met lage visus
Sites die hier niets mee doen, schenden wetgeving en sluiten een hele groep uit. Een goede cookiebanner werkt via tabtoetsen, heeft duidelijke knoppen en is te lezen met elke screenreader.
Test je banner altijd met alleen je toetsenbord en een gratis screenreader zoals NVDA. Zo zie je snel waar het misgaat! Platformen als iubenda en CookieInfo missen vaak deze ondersteuning. Dat kan flinke impact hebben op je bezoekers én je reputatie.
Fout 9: Verouderde of onvolledige cookieverklaring
Een cookieverklaring dekt vaak niet alles. Verkeerde info over cookies en bewaartermijnen gebeurt veel. Veel cookieverklaringen vermelden bijvoorbeeld geen analyse- of marketing-cookies, of slaan bepaalde categorieën over.
Toezichthouders pakken dit aan. In 2023 kreeg een Nederlands bedrijf een boete van de Autoriteit Persoonsgegevens omdat hun cookieverklaring niet compleet was (CookieInfo). Het ging mis door onjuiste plekken van cookiecategorieën, onduidelijke uitleg, en geen bewaartermijn.
Alle cookies genoemd in je verklaring? Zeker niet bij veel banners. Platforms als CookieInfo laten regelmatig cookies weg uit het overzicht. Gebrek aan transparantie zorgt voor risico’s op sancties. Toezichthouders letten vooral hierop.
Voorbeeld van wat vaak ontbreekt in cookieverklaringen:
- Niet alle cookies worden genoemd (denk aan third-party, zoals Google Analytics, Facebook Pixel)
- Bewaartermijnen ontbreken of zijn vaag (“tot einde sessie” zegt te weinig)
- Categorieën zoals marketing, analytics, essentiële cookies missen uitleg
- Categorieën en doelen klinken hetzelfde, zonder inhoud
- Cookieverklaring niet bijgewerkt na update in verzamelde cookies
Hier een simpele tabel met veelgemaakte fouten:
| Fout | Gevolg | Wie maakt deze fout? |
|---|---|---|
| Niet alle cookies vermeld | Gebrek aan transparantie, boete | CookieInfo, anderen |
| Geen/maximaal vage bewaartermijn | Voldoet niet aan AVG/ GDPR | Veel banners |
| Geen categorie-uitleg | Onduidelijk voor gebruiker | CookieInfo |
Let hier goed op als je je cookieverklaring opstelt:
- Check of je alle cookies noemt die je site plaatst
- Zet bewaartermijnen zo precies mogelijk
- Geef bij elke categorie kort en helder aan waarvoor die cookies zijn
- Werk je verklaring elke maand bij, zeker na updates of nieuwe tools
Doet je verklaring dit niet? Dan is de kans op boetes of een waarschuwing groot, vooral nu toezichthouders vaker controleren door klachten van gebruikers. Transparantie in je cookiebanner is niet optioneel, want het levert je vertrouwen én minder juridische stress op.
Fout 10: Geen monitoring en testen
Je mist makkelijk updates of fouten als je niet blijft controleren en testen.
- Wetgeving verandert vaak. Denk aan nieuwe privacyregels in de EU, die ineens boetes kunnen betekenen als je banner niet klopt.
- Browsers updaten regelmatig hun cookie-beleid. Safari blokkeert bijvoorbeeld tracking cookies anders dan Chrome.
- UX verandert. Kleine tweaks in design of interactie worden gemist als je nooit kijkt.
Na livegang checkt bijna niemand nog z’n banner op devowl.io of bclplaw.com. Gaat er iets stuk of schuift een script per ongeluk, dan merk je dat meestal te laat.
Regelmatig testen? Ja, dat werkt. Door periodiek te testen voorkom je fouten als:
- Cookie-script werkt ineens niet meer door browser-update.
- Analytics meet niet meer goed omdat toestemming niet wordt geregistreerd.
- Onbedoelde regressies, zoals cookies die zonder toestemming geladen worden.
Hier een simpel overzicht van wat fout kan gaan en hoe vaak dit gebeurt:
| Fouttype | Impact | Hoe vaak zonder testen |
|---|---|---|
| Onjuiste cookie-verwerking | Boete, datalek, klachten | Zeer vaak |
| Verouderde scripts | Niet werkende functies | Vaak |
| Verkeerde UX/tekst | Lager vertrouwen, drop | Vaak |
