Cookies 101

Image of Carlo Cilento

Gepubliceerd op 9 apr 2024 en bijgewerkt op 2 apr 2025 door Carlo Cilento

Wanneer mensen praten over online privacy, komen cookies altijd ter sprake. Maar hoe werken cookies en welke regels zijn van toepassing?

Je zou kunnen denken dat je voor cookies toestemming nodig hebt. Veel websites irriteren je immers met cookiebanners! Maar de regels zijn ingewikkelder dan dat en niet alle cookies worden door de wet gelijk behandeld. Laten we daarom eens wat duidelijkheid scheppen over cookies en hun wettelijke vereisten in de EU.

  1. Wat zijn cookies en waar dienen ze voor?
  2. Hoe worden cookies gereguleerd in Europa?
  3. Welke soorten cookies zijn er?
    1. Eerste partij versus derde partij
    2. Essentieel vs. niet-essentieel
    3. Uniek vs. niet-uniek
  4. Hoe worden cookies gereguleerd?
    1. Voor niet-essentiële cookies is toestemming nodig...
    2. ... maar essentiële cookies niet
    3. Extra regels van de GDPR kunnen van toepassing zijn
    4. Wat als ik cookies voor meerdere doeleinden gebruik?
    5. Toestemming is opt-in
  5. Hoe zit het met apps?
  6. Zijn cookies goed voor webanalyse?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Wat zijn cookies en waar dienen ze voor?

Cookies zijn kleine bestanden die in uw browser worden opgeslagen en die informatie uitwisselen met de server wanneer u op een website surft.

Hoewel cookies vaak worden geassocieerd met webanalyse, worden ze voor allerlei verschillende doeleinden gebruikt. Veel websites gebruiken cookies voor fraudebestrijding, webbeveiliging en geautomatiseerde aanmeldingen. Het doel van cookies is belangrijk omdat niet alle cookies hetzelfde worden behandeld onder de EU-wetgeving - daarover later meer.

Hoe worden cookies gereguleerd in Europa?

Cookieregels zijn enigszins complex in de EU, dus hier is een korte tl;dr om het minder verwarrend te maken:

  • Als je cookies essentieel zijn voor het functioneren van je website, dan heb je geen toestemming nodig.
  • Als uw cookies niet essentieel zijn, dan heeft u opt-in toestemming nodig voor het gebruik ervan. Dit betekent meestal dat er een cookiebanner moet worden weergegeven.
  • Als je cookie een unieke identificatiecode heeft, dan heb je een aantal verplichtingen onder de GDPR. Je kunt deze cookies nog steeds zonder toestemming plaatsen als ze essentieel zijn.

Nogmaals, deze blog heeft alleen betrekking op de EU-wetgeving. Verschillende wetgevingen reguleren cookies op verschillende manieren: het Verenigd Koninkrijk en Brazilië sluiten bijvoorbeeld nauw aan bij de Europese wetgeving, terwijl de Amerikaanse regelgeving over het algemeen toegeeflijker is.

Welke soorten cookies zijn er?

Hoewel alle cookies op dezelfde manier werken, zijn er enkele verschillen, waarvan sommige van belang zijn voor de wet.

Eerste partij versus derde partij

First-party cookies kunnen alleen worden gelezen door het domein dat ze in uw browser heeft geschreven, terwijl third-party cookies ook door andere domeinen kunnen worden gelezen.

Als je bijvoorbeeld Facebook bezoekt en Meta's third-party cookies accepteert, kunnen andere websites deze cookies ook lezen. Hierdoor kan Meta uw ervaring "personaliseren" (lees: gerichte reclame aanbieden op basis van indringende profilering, zowel op Facebook als op andere websites die afhankelijk zijn van Meta voor het plaatsen van advertenties).

Aan de andere kant, als je first-party cookies accepteert van www.coolwebsite.com, kan de site ze lezen- _maar een ander domein zoals _www.awesomewebsite.com\_ niet.

Cookies van derden zijn zeer schadelijk. Daarom installeren zoveel internetgebruikers advertentieblokkers en blokkeren veel browsers cookies van derden of beperken ze het snuffelen op andere manieren (zoals de cookiepotjes in Mozilla Firefox). Dit algemene verzet tegen cookies wordt wel de grootste boycot in de menselijke geschiedenis genoemd en maakt cookies van derden steeds minder effectief als retargetingtool.

Essentieel vs. niet-essentieel

Essentiële cookies zijn cookies die een app of website nodig heeft om goed te werken. Cookies die bijvoorbeeld worden gebruikt om DoS-aanvallen op websites te voorkomen, zijn essentieel, terwijl webanalytische cookies niet-essentieel zijn.

Dit is het belangrijkste onderscheid vanuit juridisch oogpunt, omdat voor niet-essentiële cookies altijd toestemming nodig is volgens de EU-wetgeving (waarover later meer). In feite worden niet-essentiële cookies soms optioneel genoemd omdat ze over het algemeen strenger worden gereguleerd door de wet.

Uniek vs. niet-uniek

Laten we tot slot eens kijken naar een derde en vaak over het hoofd gezien onderscheid. Sommige cookies bevatten een unieke identificatiecode, dat wil zeggen een reeks getallen die een individuele gebruiker (of beter gezegd, zijn browser) identificeert. Met deze identificatie kan een website een individuele gebruiker volgen omdat geen twee cookies hetzelfde zijn.

Veelgebruikte webanalyseprogramma's zoals Google Analytics en Adobe Analytics gebruiken identificatiecookies om mensen te volgen op het internet en ze te profileren op basis van hun surfgedrag. Dit zijn dus het soort cookies waar privacy voorstanders (terecht) over klagen. Maar identificerende cookies hebben ook andere, minder invasieve toepassingen: veel websites gebruiken ze bijvoorbeeld voor fraudebestrijding en e-commerceplatforms gebruiken ze vaak om de producten in je winkelwagentje te volgen.

Unieke identificatoren zijn vanuit juridisch oogpunt relevant omdat ze als persoonsgegevens gelden. Cookies met unieke identificatoren zijn dus altijd persoonsgegevens en vallen onder de GDPR, cookies zonder unieke identificatoren niet.

Hoe worden cookies gereguleerd?

De regels voor cookies zijn voornamelijk te vinden in twee juridische bronnen: de GDPR en de ePrivacy-richtlijn. De regulering van cookies is enigszins gecompliceerd omdat de twee wetten verschillen in criteria, terminologie en toepassingsgebied.

Zoals we al aangaven in onze td;dr:

  • Voor niet-essentiële cookies is altijd opt-in toestemming nodig.
  • Voor niet-essentiële cookies is helemaal geen toestemming nodig.
  • Voor sommige cookies gelden andere vereisten onder de GDPR, of ze nu essentieel zijn of niet.

Laten we deze regels stap voor stap uitwerken.

Voor niet-essentiële cookies is toestemming nodig...

De ePrivacy Richtlijn (meer precies, artikel 5(3)) vereist toestemming om toegang te krijgen tot gegevens die zijn opgeslagen op de eindapparatuur van een gebruiker. Dit betekent dat cookies alleen met toestemming kunnen worden gebruikt, maar er zijn uitzonderingen, zoals we zullen zien.

Het artikel is ook van toepassing op andere technologieën dan cookies, omdat het zeer ruim is geformuleerd. Voor ingebouwde trackers in mobiele apps is bijvoorbeeld ook toestemming nodig, net als voor reclame-identificatiemiddelen voor mobiele apparaten zoals de AAID van Google of de IDFA van Apple.

Deze verplichte toestemmingsregel is strenger dan die in de GDPR. Het idee dat de GDPR alleen maar over toestemming gaat, is misleidend, want er zijn absoluut legitieme manieren om gegevens te verzamelen zonder toestemming(zoals we hier hebben uitgelegd).

... maar essentiële cookies niet

De richtlijn bevat een uitzondering voor gegevens die "strikt noodzakelijk zijn om een dienst van de informatiemaatschappij te leveren" op verzoek van de gebruiker.

Deze uitzonderingsbepaling wordt vrij ruim geïnterpreteerd door regelgevers en omvat alle gegevens die websites en apps nodig hebben om te kunnen functioneren. Daarom is voor essentiële cookies geen toestemming nodig, zoals we hadden verwacht.

Stel bijvoorbeeld dat je een e-commerce website bezoekt en de taal verandert in Spaans. Je taalvoorkeur wordt waarschijnlijk opgeslagen via een cookie. Dit is een essentiële cookie: als je op de website wilt surfen, moet de website de inhoud weergeven in een taal die je begrijpt. De website heeft uw toestemming dus niet nodig om dat te plaatsen.

Maar als dezelfde website Google Analytics-cookies wil gebruiken, heeft hij uw toestemming nodig. Dit komt omdat web analytics en retargeting extra dingen zijn die de website wel wil, maar niet hoeft te doen.

(Terzijde: de ePrivacy-richtlijn bevat een tweede uitzonderingsbepaling voor gegevens die strikt noodzakelijk zijn om communicatie mogelijk te maken. Deze uitzondering geldt normaal gesproken niet voor cookies, maar is toch het vermelden waard.)

Extra regels van de GDPR kunnen van toepassing zijn

De GDPR en de ePrivacy-richtlijn hebben niet dezelfde reikwijdte: de GDPR is van toepassing op persoonsgegevens, terwijl de ePrivacy-richtlijn (en artikel 5 in het bijzonder) van toepassing is op alle communicatiegegevens, of het nu persoonsgegevens zijn of niet. Dit maakt de zaken een beetje ingewikkeld, omdat sommige cookies onder zowel de ePrivacy-richtlijn als de GDPR vallen, terwijl andere alleen onder de ePrivacy-richtlijn vallen.

Het allemaal in detail uitleggen zou deze blog te lang maken, maar in een notendop:

  • De cookies die onder de GDPR vallen zijn, nogmaals, de cookies die een unieke identifier bevatten.
  • Als de GDPR van toepassing is, gelden er ook enkele algemene regels (bijvoorbeeld rechtsgrondslagen, informatieplichten, het recht op toegang tot gegevens, enzovoort) . Het is niet omdat de GDPR van toepassing is dat je toestemming nodig hebt! Cookies met unieke ID's kunnen nog steeds zonder toestemming worden gebruikt als ze essentieel zijn. In het bovenstaande voorbeeld zijn de unieke cookies die worden gebruikt door e-commerce websites om de items in je winkelwagen te volgen, essentiële cookies en zijn ze vrijgesteld van de toestemmingsvereiste.

Wat als ik cookies voor meerdere doeleinden gebruik?

Soms worden cookies voor meerdere doeleinden gebruikt. U kunt bijvoorbeeld dezelfde cookie gebruiken voor zowel fraudebestrijding als webanalyse.

Je kunt zien waarom cookies voor meerdere doeleinden problematisch zijn. Voor niet-essentiële cookies is toestemming nodig en voor essentiële cookies niet. Hoe zit het met cookies die zowel essentiële als niet-essentiële doeleinden vervullen?

Gelukkig heeft het Europees Comité voor gegevensbescherming hier een tijdje geleden op gereageerd: zolang een individueel doel niet essentieel is, is er toestemming nodig voor de cookie. Deze belangrijke verduidelijking sluit gevaarlijke achterpoortjes die anders tracking zonder toestemming mogelijk zouden maken.

De praktische oplossing is om te voorkomen dat je dezelfde cookies gebruikt voor essentiële en niet-essentiële doeleinden. Zo kunt u de keuze van de gebruiker respecteren en toch alle essentiële cookies schrijven die ervoor zorgen dat uw website werkt.

Toestemming is opt-in

Toestemming is een complex onderwerp. We kunnen hier slechts een tipje van de sluier oplichten, maar het is de moeite waard om erop te wijzen dat alleen actieve, opt-in-toestemming geldig is. Er bestaat niet zoiets als een impliciete of opt-out toestemming onder de GDPR!

De regel van opt-in toestemming heeft belangrijke gevolgen voor web analytics:

  • Je cookiebanner moet bevestigende formuleringen gebruiken zoals "Ik accepteer cookies" of "Ik geef toestemming voor het gebruik van cookies". Vermijd dubbelzinnige taal zoals het erkennen van het gebruik van cookies.
  • Uw website mag geen niet-essentiële cookies schrijven totdat de gebruiker een keuze maakt. De cookiebanner negeren en verder scrollen is geen keuze, en hetzelfde geldt voor het klikken op een "sluiten/X/afwijzen"-knop.

Er valt nog veel meer te zeggen over toestemming en cookies, vooral met betrekking tot web analytics, en misschien komen we binnenkort op dit onderwerp terug.

Hoe zit het met apps?

Het volgen van apps verschilt van het volgen op basis van cookies in die zin dat trackers meestal direct in de app worden ingebouwd. Maar artikel 5 van de ePrivacy-richtlijn is zeer ruim geformuleerd en de trackers die vaak in apps worden aangetroffen, vallen binnen het toepassingsgebied.

Om een lang verhaal kort te maken, de regel is hetzelfde: als het volgen niet strikt noodzakelijk is, dan is er toestemming voor nodig.

Maar deze vereiste wordt grotendeels genegeerd. Het grootste deel van de app-industrie maakt gebruik van SDK's (Software Development Kits) van derden die vol zitten met trackers. Deze kits verzamelen gegevens ten voordele van de ontwikkelaar van de kit en negeren of omzeilen vaak de toestemmingsregels. Het eindresultaat is illegale tracking op wereldschaal.

Om het nog erger te maken, heb je minder controle over je apps dan over de websites die je bezoekt, omdat je geen advertentieblokker kunt installeren of trackers kunt controleren en verwijderen zoals je cookies van je browser zou beheren. Daarom probeert elk bedrijf onder de zon je een waardeloze app op te dringen.

Tl;dr: apps volgen dezelfde regels als cookies, maar bedrijven houden zich van de domme.

Zijn cookies goed voor webanalyse?

Dat hangt ervan af. Op cookies gebaseerde analysediensten zoals Google Analytics en Adobe Analytics kunnen gedetailleerde gegevens verzamelen, maar die gegevens gaan ten koste van de privacy van de gebruiker. Dit is een ethisch probleem en het kan een praktisch probleem worden in rechtsgebieden met strenge toestemmingsvereisten zoals de EU, omdat cookiebanners leiden tot een hoge afmeldingsratio en onnauwkeurige analyses.

Simple Analytics kan dit probleem oplossen. We bouwen onze dienst zo op dat je alle inzichten krijgt die je nodig hebt zonder cookies te gebruiken en zonder persoonlijke gegevens te verzamelen. Simple Analytics is een geweldig, privacy-gericht alternatief voor Google Analytics en ook een perfecte aanvulling daarop - als een manier om het verlies van gegevens door cookie-banners te beperken.

Als je nieuwsgierig bent, probeer ons dan gerust uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start nu gratis