Cookies · 8 min lezen

Cookie-banner correct implementeren.

Wat een banner in 2026 minimaal moet kunnen, waarom "Akkoord & sluiten" niet meer mag, en welke gratis tools het volgens de AP-richtlijn netjes doen.

TL;DR Een banner moet evenveel zichtbare keuze geven voor accepteren als weigeren. "Akkoord"-knop alleen is sinds de AP-richtlijn van januari 2023 niet meer compliant. Cookies mogen pas worden geplaatst NA toestemming — niet vooraf. CookieConsent (open-source) is gratis en doet het netjes. Cookiebot kost €0 tot 100 pagina's. Functionele cookies (winkelwagen, login, taalkeuze) zijn altijd toestemmingsvrij — daar heb je geen banner voor nodig.

Waarom de meeste banners niet compliant zijn

De Autoriteit Persoonsgegevens publiceerde in januari 2023 een verduidelijkende richtlijn waarin staat dat een cookie-banner aan vier voorwaarden moet voldoen om geldige toestemming op te leveren:

Veel banners die voor 2023 zijn gebouwd geven alleen een "Akkoord, sluiten"-knop. Dat is sinds de richtlijn van 2023 actief niet meer geldig. Bij een audit-controle (of klacht van een bezoeker) is dat een directe overtreding.

Heb je überhaupt een banner nodig?

Niet altijd. De wet vereist toestemming voor niet-functionele cookies — analytics, marketing, social tracking, advertentie-pixels. Functionele cookies hebben geen toestemming nodig. Concreet: als je site geen Google Analytics, geen Meta Pixel, geen YouTube/Vimeo-embeds en geen Hotjar gebruikt, hoef je geen banner te tonen.

Voor een hovenier of kapper met een eenvoudige WordPress-site zonder analytics: geen banner. Voor een webshop met Analytics, Pixel en Mailchimp-popup: wel. Lees onze uitleg over functionele vs tracking-cookies voor de afbakening.

De anatomie van een correcte banner

Eerste laag — direct zichtbaar

Tonen bij eerste bezoek, vóór tracking-scripts laden. Bevat minimaal:

Tweede laag — voorkeuren-paneel

Toggle per cookie-categorie: functioneel (verplicht aan, niet uitschakelbaar), analytics, marketing, social. Per categorie een korte uitleg en de lijst cookies die erin vallen. Knop "Opslaan" sluit de banner met de gekozen toestemming.

Reset-mogelijkheid

Bezoekers moeten hun keuze later kunnen wijzigen. Een vaste "Cookies"-link in de footer die de banner opnieuw opent. Niet onderaan een pagina diep in de site.

Tools-vergelijking (mei 2026)

CookieConsent v3 (open-source, gratis)

Gemaakt door Orest Bida. Volledig gratis, geen account, geen tracking, geen affiliate. Werkt met elk CMS. Voldoet aan de AP-richtlijn als je de juiste configuratie kiest. Nadeel: cookie-categorieën handmatig invoeren — geen automatische scan. Voor MKB onder 50 pagina's is dat 30 minuten werk. Voor onze klanten is dit de standaardkeuze.

Cookiebot

Commerciële tool. Gratis tot 100 pagina's en 100 cookies, daarna €11/maand (Lite), €27/maand (Premium). Sterk punt: automatische scanner detecteert cookies, genereert cookies-pagina automatisch, update als je nieuwe tools toevoegt. Voor webshops met 200+ pagina's of complex tooling: meerwaarde. Voor kleine sites: overkill.

Complianz (WordPress-plugin)

WordPress-specifiek. Gratis basis-versie + Premium (€59/jaar). Doet AP-richtlijn-conforme banner, scant gangbare plugins automatisch. Goede keuze voor WordPress-MKB.

OneTrust, TrustArc

Enterprise. €200+/maand. Overkill voor MKB tenzij je internationale e-commerce met 1000+ pagina's runt.

Veelgemaakte fouten in implementatie

Wat krijg je bij DesignCheck?

Bij elke Rebuild en Premium bouwen we CookieConsent in volgens AP-richtlijn — direct goed geconfigureerd, met scan van werkelijke cookies, met reset-link in footer. Bij een Refresh tegen meerprijs van €150. Geen €11/maand cookie-abonnement. Geen affiliate-deal met tool-leveranciers.

Bij meer dan 70% van de MKB-audits die wij uitvoeren laadt Google Analytics al vóórdat de bezoeker op "akkoord" klikt. Dat is geen kleine fout — het is de overtreding waar de AP het meest op handhaaft.
Cookie-banner standaard bij rebuild

CookieConsent of Cookiebot direct juist geconfigureerd, inclusief cookies-pagina en reset-link, zit standaard in elke Rebuild (€3.995) en Premium (€6.995).

Volledig prijsoverzicht →

De juridische basis — ePrivacy-richtlijn naast de AVG

Veel ondernemers denken dat cookies alleen onder de AVG vallen. Dat klopt niet. Cookies zijn in eerste instantie geregeld in de ePrivacy-richtlijn (2002/58/EG), in Nederland geïmplementeerd in de Telecommunicatiewet artikel 11.7a. De ePrivacy-richtlijn schrijft voor dat het plaatsen of uitlezen van informatie op de apparatuur van een gebruiker (waaronder cookies, local storage, fingerprinting) toestemming vereist — tenzij het strikt noodzakelijk is voor de gevraagde dienst.

De AVG komt erbij op het moment dat de cookie persoonsgegevens bevat of identificeerbaar maakt. Een tracking-cookie van Google Analytics bevat een unieke ID die als persoonsgegeven kwalificeert — dus ePrivacy én AVG. Een functionele cookie die alleen een sessie-token bewaart valt onder ePrivacy maar niet onder AVG.

Voor MKB is het cruciale onderscheid: de strengere wet wint. Ook al heeft Google Analytics 4 minder persoonlijke data dan voorganger Universal Analytics, je moet alsnog toestemming vragen wegens ePrivacy. Dit is waar veel handleidingen verwarring stichten — ze schrijven over "de AVG" maar bedoelen feitelijk de combinatie.

De ePrivacy-verordening die de richtlijn moest vervangen is sinds 2017 in onderhandeling tussen Europese instellingen, maar nog niet aangenomen. Tot die tijd geldt de bestaande Telecommunicatiewet. Voor MKB-praktijk verandert er niets door dat slepende proces.

Hoe Google Consent Mode v2 in een MKB-banner past

Sinds maart 2024 vereist Google dat sites die Google Analytics, Google Ads of Floodlight gebruiken Consent Mode v2 hebben geïmplementeerd. Anders verliezen marketing-features functionaliteit en wordt data sterk gelimiteerd. Voor MKB met Google Ads-campagnes is dit relevant — voor MKB zonder Google Ads merk je het niet.

Consent Mode v2 is geen aparte tool, het is een set signalen die je banner naar Google stuurt: ad_storage, analytics_storage, ad_user_data, ad_personalization. CookieConsent, Cookiebot en Complianz ondersteunen Consent Mode v2 sinds 2024. Bij implementatie is het belangrijk dat je banner deze signalen daadwerkelijk doorstuurt — niet alle MKB-banners doen dit out-of-the-box.

Praktische check: open je site in incognito, accepteer alle cookies, en gebruik Google's Tag Assistant. Daar zie je of Consent Mode v2-signalen worden meegestuurd. Bij grijze indicatoren is je banner technisch in orde maar Google ontvangt geen of incomplete consent-data — wat in de huidige situatie betekent dat je advertentie-conversies onnauwkeuriger worden gemeten.

Vergelijking — open-source banner versus betaalde tool

De keuze tussen een gratis open-source banner en een betaald abonnement hangt af van drie factoren: schaal van de site, frequentie van wijzigingen, en interne tech-capaciteit. Voor een eenmanszaak met een 10-pagina-site die zelden wijzigt, is een open-source banner als CookieConsent prima — eenmalig 30 minuten configureren en het werkt jaren door. Voor een webshop met 200+ pagina's, regelmatig nieuwe productlijnen, integraties met marketing-tools en geen interne developer is Cookiebot een verstandige investering.

Wat een betaalde tool feitelijk toevoegt: automatische cookie-scanner die elke maand nieuwe cookies detecteert, automatisch bijgewerkte cookies-pagina, consent log dat aantoonbaar is bij een AP-vraag, multi-language support. Wat een betaalde tool níét toevoegt: een belangrijke juridische voorsprong. De banner zelf is in beide gevallen even compliant — het verschil zit in onderhoud.

Een aanvullende overweging: betaalde tools sturen consent-data vaak via hun eigen servers. Daarmee wordt de tool-leverancier een verwerker — DPA verplicht. Bij open-source banners die volledig in de browser draaien (zoals CookieConsent v3) bestaat dit probleem niet. Voor MKB die DPA-administratie wil minimaliseren is dit een minor pluspunt voor open-source.

Server-side tagging — de toekomst van privacy-conform meten

Een sterk groeiende oplossing voor MKB die wil meten zonder veel cookies te plaatsen is server-side tagging. In plaats van Google Analytics direct in de browser te laden (waar het cookies plaatst en dus toestemming vereist), stuur je events vanuit je server naar Analytics. Voor pageview-tracking zonder persoonsgegevens werkt dit toestemming-vrij.

Tools die dit ondersteunen: Plausible (€9/maand, EU-gehost), Fathom (€14/maand), Simple Analytics (€19/maand, NL), Matomo Cloud (€21/maand, EU). Allemaal cookie-loos. Bij deze setup heb je geen Analytics-cookie-banner nodig — wel nog steeds banners voor andere niet-functionele cookies.

Voor MKB zonder advertentie-campagnes is dit vaak de slimste keuze. Je behoudt 95% van de analytics-inzichten (bezoekersaantallen, populaire pagina's, conversie-funnel) zonder cookies of toestemming-banner-frictie. Dat verhoogt de bruikbaarheid van de site én verlaagt het AVG-risico.

De technische details — waar het mis gaat in WordPress en Shopify

Wat de Autoriteit Persoonsgegevens publiekelijk over banners heeft gezegd

Sinds 2022 is de AP veel duidelijker over wat wel en niet mag. Drie publicaties zijn voor MKB belangrijk: de richtlijn van januari 2023 over "cookiewalls en tracking-cookies", het normenkader uit 2024 dat de specifieke vereisten beschrijft, en de jaarlijkse update over handhavingsprioriteiten. Telkens komt dezelfde lijn naar voren: geen echte keuze, niet compliant.

Wat de AP nog wél tolereert: een banner mag tonen wat hij wil, mits weigeren even toegankelijk is als accepteren. Knoppen mogen verschillende kleuren hebben mits het kleurverschil niet manipulerend is (felgekleurde "accepteer" naast grijze "weiger" is niet acceptabel; twee neutrale buttons wel). Een uitleg-tekst mag voor het accepteren overhalen, mits feitelijk juist.

Wat de AP duidelijk niet tolereert: cookies plaatsen voor toestemming, "cookiewalls" die toegang tot de site afhankelijk maken van toestemming, en bezoekers die geen mogelijkheid hebben om hun toestemming later in te trekken. De handhaving op deze drie punten is in 2024-2025 toegenomen.

Wat doe je vandaag?

Volgende stappen

Check je huidige banner via de gratis DesignCheck Audit — we openen je site in incognito en kijken letterlijk welke scripts laden vóór toestemming. Diepere context vind je in onze AVG-pillar en de EU vs NL-cookieregel-uitleg. Een lokale partner voor de hele aanpak vind je via DesignCheck Mijdrecht. Speel anders met de verliescalculator om te zien wat compliance-twijfel je aan vertrouwen kost.

FAQ — cookie-banner correct

Mag een cookie-banner mijn site afsluiten tot ik kies?
Ja, mits beide opties (accepteren en weigeren) gelijkwaardig prominent zijn. Een "cookiewall" die alléén toegang geeft na accepteren is niet toegestaan — dat zou geen vrije toestemming meer zijn.
Moet ik een aparte banner voor mobiel hebben?
Niet verplicht apart, maar de banner moet op mobiel even functioneel zijn. Veel banners breken op smalle schermen of laten de "weiger"-knop onder de vouw verdwijnen. Test in Chrome DevTools mobile-modus.
Hoe lang bewaar ik de toestemming?
Maximaal 6-12 maanden volgens AP-advies. Daarna moet je opnieuw vragen. CookieConsent, Cookiebot en Complianz hebben dit standaard ingesteld op 6 maanden.
Mag mijn banner gewoon "Akkoord" tonen zonder weigeren-knop?
Nee. De AP-richtlijn van 2023 stelt dat weigeren even prominent en even simpel moet zijn als accepteren. Eén knop = niet compliant.
Heb ik überhaupt een banner nodig?
Alleen als je niet-functionele cookies plaatst. Een site zonder analytics, zonder embeds, zonder marketing-pixels heeft géén banner nodig. Functionele cookies (winkelwagen, login-sessie, taalkeuze) zijn toestemmingsvrij.
Cookiebot of CookieConsent — welke kies ik?
Cookiebot tot 100 pagina's gratis, daarna €11+/maand. Doet automatische scan. CookieConsent (open-source van Orest Bida) gratis voor altijd, maar handmatige config. Voor MKB onder 50 pagina's: CookieConsent. Voor webshops met 200+ pagina's: Cookiebot.

Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.

Onzeker over je cookie-banner?

De gratis audit checkt of je banner compliant is — binnen 48 uur weet je het.

Site checken →