De Europese basis: ePrivacy-richtlijn
De ePrivacy-richtlijn (2002/58/EG) regelt de bescherming van persoonsgegevens in elektronische communicatie. In 2009 werd artikel 5(3) gewijzigd: cookies en vergelijkbare technieken vereisen vanaf dan voorafgaande toestemming, behalve als ze strikt noodzakelijk zijn voor de gevraagde dienst.
Een EU-richtlijn is geen rechtstreeks toepasbare wet — elk lidstaat moet hem omzetten naar nationale wetgeving. Dat verklaart waarom de praktijk per land verschilt: dezelfde richtlijn, andere nationale invulling en handhaving.
De Nederlandse omzetting: Telecommunicatiewet 11.7a
NL heeft de regel sinds 2012 in artikel 11.7a van de Telecommunicatiewet:
"Onverminderd de Algemene verordening gegevensbescherming, is het slechts toegestaan om langs elektronische weg gegevens op te slaan in, of kennis te nemen van gegevens die zijn opgeslagen in, randapparatuur van een gebruiker, indien (a) de betrokken gebruiker duidelijke en volledige informatie heeft ontvangen, en (b) de gebruiker daarvoor toestemming heeft verleend."
De uitzondering staat in lid 3: cookies die "uitsluitend tot doel hebben de communicatie over een elektronisch communicatienetwerk uit te voeren of te vergemakkelijken" of "strikt noodzakelijk zijn om een door de gebruiker gevraagde dienst van de informatiemaatschappij te leveren" — die zijn toestemmingsvrij.
Wie handhaaft wat in NL?
Twee toezichthouders, met overlap:
- ACM (Autoriteit Consument & Markt) — handhaaft de Telecommunicatiewet, dus het plaatsen van cookies an sich. Focus op consumentenbescherming en transparantie.
- AP (Autoriteit Persoonsgegevens) — handhaaft de AVG, dus de verwerking van persoonsgegevens die uit cookies komt. Focus op de geldigheid van toestemming.
In de praktijk werken AP en ACM samen. De AP-richtlijn van januari 2023 over cookie-banners is mede afgestemd met ACM. Voor MKB betekent dit: één set regels, één set boetes-risico.
Waar NL strenger is dan andere EU-landen
Strengere toestemming-eis
Sinds de AP-richtlijn van 2023 moet weigeren even prominent en even simpel zijn als accepteren. Geen verstopte "Instellingen"-link drie schermen diep. Veel Zuid-Europese landen accepteerden tot 2024 nog "soft consent" — doorscrollen of klikken op de site telde als akkoord. NL heeft dat nooit toegestaan.
Geen tolerantie voor analytics-uitzondering
Sommige landen (UK pre-Brexit, Duitsland in bepaalde Länder) staan analytics-cookies toe zonder toestemming, mits ze "first-party only" en "anoniem" zijn. NL beschouwt elke cookie met unique-ID als toestemmingsplichtig, ongeacht first-party-status. Voor MKB: GA4 vereist een banner, ook al is je site verder cookie-vrij.
Reset-mogelijkheid actief gehandhaafd
NL eist een zichtbare manier om eerder gegeven toestemming in te trekken — typisch een "Cookies"-link in de footer die de banner heropent. In andere EU-landen is dit soms een formele eis maar niet actief gehandhaafd.
Waar NL soepeler is
Niet alles is strenger. Drie punten waar NL pragmatischer is:
- IP-anonymisatie voldoende voor GA4. Sommige Duitse Länder eisen server-side proxy bovenop IP-anonymisatie. NL accepteert standaard GA4-instelling.
- Geen aparte cookie-toezicht-registratie. Frankrijk heeft een aparte CNIL-aanmelding voor sommige tools. NL doet dat via algemeen AP-toezicht.
- Pragmatische boete-bedragen voor MKB. NL-boetes liggen typisch tussen €1.000 en €10.000 voor MKB. Frankrijk hanteert vaak hogere boetes voor vergelijkbare overtredingen.
De aangekondigde ePrivacy-verordening
In 2017 kondigde de Europese Commissie een nieuwe ePrivacy-verordening aan die de richtlijn zou vervangen. Een verordening werkt rechtstreeks in alle lidstaten — geen verschillen meer in nationale uitvoering. De tekst zit sindsdien vast in onderhandelingen tussen Raad, Parlement en Commissie. Status mei 2026: nog geen definitieve tekst, geen verwachte datum.
Praktisch betekent dit: de huidige richtlijn + nationale wetten blijven het kader. Voor MKB-eigenaren: geen reden om iets te veranderen vooruitlopend op een verordening die misschien nooit komt.
Wat dit betekent voor jouw MKB-site
- Volg NL-regel. Als je site primair NL-bezoekers heeft, is de NL-uitvoering leidend. Internationale bezoekers krijgen hetzelfde recht — geen aparte banners per land nodig.
- Banner conform AP-richtlijn 2023. Weigeren even prominent als accepteren, reset-link in footer, opt-in vóór tracking laadt.
- Geen extra eisen voor "EU-bezoekers". Veel oude blog-posts verwijzen naar aparte GDPR-banners voor EU vs NL. Niet nodig — één banner conform NL-AP voldoet aan alle EU-eisen.
- Geen geo-targeted banner. Banner aan- of uitschakelen op basis van bezoeker-locatie is technisch mogelijk maar juridisch zwak. NL-banner toont aan iedereen.
Wie compliant is met NL-AP-richtlijn 2023 is automatisch compliant met de strengste EU-uitvoering. Tijd besparen door één banner-aanpak voor alle bezoekers.
Wat krijg je bij DesignCheck?
Bij elke Rebuild en Premium implementeren we de banner volgens NL-AP-richtlijn 2023 — automatisch compliant in heel EU. Geen geo-routing, geen multi-banner-setup. Bij Refresh tegen meerprijs van €150.
Banner volgens AP-richtlijn 2023 (weigeren even prominent, reset in footer, opt-in voor tracking) zit in elke Rebuild (€3.995) en Premium (€6.995).
Volledig prijsoverzicht →Volgende stappen
Voor de praktische banner-implementatie: cookie-banner correct implementeren. Voor onderscheid functioneel vs tracking: functionele vs tracking-cookies. Volledig AVG-plaatje in onze pillar. Check je site via de gratis DesignCheck Audit. Of bekijk verliescalculator voor de impact op vertrouwen. Lokaal: webdesigner Mijdrecht.
FAQ — EU vs NL cookie-regel
Welke instantie handhaaft cookies in NL?
Is een cookie-banner verplicht in heel Europa?
Wanneer komt de nieuwe ePrivacy-verordening?
Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.