Functionele vs tracking-cookies

TL;DR Functionele cookies zijn toestemmingsvrij: ze zijn strikt noodzakelijk voor de werking van de site (winkelwagen, login-sessie, taalkeuze, cookie-banner-keuze, CSRF-token). Niet-functionele cookies — analytics, marketing, social, advertentie — vereisen toestemming via een banner. NL is strenger dan veel EU-landen: zelfs anonieme analytics-cookies vereisen formeel toestemming, tenzij ze "volledig anoniem" zijn (geen IP, geen unique-ID). De grens loopt langs het criterium: "is deze cookie nodig om de gevraagde dienst te leveren?".

De wettelijke basis

De toestemming voor cookies komt niet uit de AVG zelf maar uit de ePrivacy-richtlijn van de EU, in Nederland geïmplementeerd in de Telecommunicatiewet artikel 11.7a. Die zegt: elke cookie of vergelijkbare techniek mag pas worden geplaatst na toestemming, behalve als hij strikt noodzakelijk is voor de gevraagde dienst.

"Strikt noodzakelijk" is de sleutel. Een winkelwagen-cookie is noodzakelijk: zonder hem kan de bezoeker geen producten verzamelen. Een Google Analytics-cookie is niet noodzakelijk: de bezoeker kan de site prima gebruiken zonder hem. Jij hebt hem alleen voor je eigen inzicht.

Wat altijd functioneel is

Winkelwagen-sessie — bezoeker verzamelt producten over meerdere pagina's heen.
Login-sessie — bezoeker blijft ingelogd tussen pagina's.
Taalkeuze — site onthoudt of bezoeker NL of EN heeft gekozen.
Cookie-banner-keuze — onthouden of bezoeker al toestemming heeft gegeven (anders banner bij elk bezoek).
CSRF-token — beveiligingstoken bij formulieren.
Load-balancer sticky-session — zorgt dat bezoeker bij dezelfde server blijft tijdens checkout.
Voorkeuren voor toegankelijkheid — gekozen lettergrootte, contrastmodus, dark mode.
Gevulde formulier-velden — bezoeker hoeft niet opnieuw te beginnen na refresh.

Deze cookies mogen zonder banner, zonder toestemming. Wel vermelden in je cookies-pagina voor transparantie.

Wat altijd niet-functioneel is

Google Analytics / Adobe Analytics — meten bezoekgedrag voor jouw rapportage.
Meta Pixel / Google Ads conversion tag — koppelen bezoekers aan advertentie-campagnes.
Hotjar / Microsoft Clarity — heatmaps en session-recordings.
YouTube/Vimeo embeds — laden tracking-cookies van Google/Vimeo zodra de embed verschijnt.
Social-media share-buttons — Facebook, LinkedIn, X plaatsen cookies om gebruikers te volgen.
Affiliate-tracking — Awin, Daisycon, Tradedoubler.
Retargeting — Criteo, Google Display, Bing UET.
A/B test-tools — Optimizely, VWO, Google Optimize-vervangers.

Deze cookies vereisen actieve toestemming voordat ze geplaatst worden. Banner-implementatie: zie cookie-banner correct implementeren.

De grijze zone

Analytics zonder unique-ID

Plausible, Fathom en Matomo in "minimal mode" plaatsen óf geen cookie óf een cookie zonder unieke identifier. Dat valt formeel onder "functioneel" omdat er geen profielvorming mogelijk is. Voor MKB betekent dit: geen banner nodig als je deze tools gebruikt. Dit is een van de redenen waarom ze populair zijn.

Affiliate-cookies bij bezoek vanaf partner-link

Sommigen redeneren dat een affiliate-cookie "noodzakelijk" is om de transactie correct toe te wijzen. Strikt genomen is dit een commerciële behoefte van jou, niet van de bezoeker. NL-toezicht beschouwt affiliate-cookies meestal als toestemmingsplichtig.

Performance-tracking via server-logs

Als je geen cookie plaatst maar wel server-logs analyseert (IP, user-agent, pagina, tijdstip), val je strikt genomen buiten de cookie-wet. Wel binnen AVG — IP is een persoonsgegeven. Vermelden in privacyverklaring is voldoende, banner niet nodig.

Het NL-criterium: "nodig voor de gevraagde dienst"

Bij twijfel stel je deze vraag: "Heeft de bezoeker deze cookie zelf gevraagd door iets specifieks te doen?"

Op "in winkelwagen" geklikt — winkelwagen-cookie gevraagd. Functioneel.
Op "inloggen" geklikt — sessie-cookie gevraagd. Functioneel.
Op "ik kies Nederlands" geklikt — taalcookie gevraagd. Functioneel.
Op de site geland — Analytics-cookie? Bezoeker heeft daar niets om gevraagd. Niet-functioneel.

"Functioneel" is een functie van de dienst die de bezoeker afneemt — niet een functie van jouw bedrijfsproces. Het verschil bepaalt of je een banner nodig hebt.

Concrete sectorvoorbeelden

Hovenier-website (informatief)

Pagina's met diensten, contactformulier, projectoverzicht. Geen Analytics, geen pixel. Geen banner nodig. Wel cookies-pagina met "wij plaatsen geen cookies behalve een sessie-cookie voor het formulier".

Webshop met Analytics + Pixel

WooCommerce/Shopify met Google Analytics, Meta Pixel, mogelijk Mailchimp-popup. Banner verplicht. Functionele cookies (winkelwagen, sessie): geen toestemming. Niet-functionele (Analytics, Pixel): banner met opt-in.

Adviespraktijk met Calendly-embed

Calendly plaatst tracking-cookies bij embed. Banner nodig. Of: link naar Calendly in plaats van embed — dan pas op Calendly-domein.

Wat krijg je bij DesignCheck?

Bij elke Rebuild en Premium doen we een cookie-scan en classificatie: welke cookies plaatst je site, zijn ze functioneel of niet, zit alles in de juiste categorie van de banner. Geen affiliate-deal met cookie-tools — we kiezen de simpelste oplossing voor jouw situatie. Vaak betekent dat: geen banner nodig.

Cookie-scan + classificatie standaard

Volledige scan van alle cookies en classificatie functioneel/niet-functioneel zit in elke Rebuild (€3.995) en Premium (€6.995).

Volledig prijsoverzicht →

Volgende stappen

Pillar voor het bredere AVG-plaatje: AVG voor MKB-website 2026. Voor banner-implementatie: cookie-banner correct implementeren. Het NL-vs-EU-verschil: EU cookie-wet vs NL praktijk. Check de cookies op jouw site via de gratis DesignCheck Audit. Of bekijk wat een verkeerde cookie-keuze kost via de verliescalculator. Lokaal implementeren: webdesigner Mijdrecht.

FAQ — functioneel vs tracking

Is een Google Analytics-cookie functioneel?

Nee. Analytics-cookies zijn niet-functioneel — ze zijn niet nodig voor de werking van de site, alleen voor jouw inzicht in bezoekgedrag. Toestemming verplicht.

Wat met de cookie van mijn cookie-banner zelf?

Functioneel. Zonder die cookie weet de site niet of je al toestemming hebt gegeven. Toestemmingsvrij.

Mag ik 'analytics-only' cookies zonder banner plaatsen?

In NL nee — de Telecommunicatiewet artikel 11.7a vereist toestemming voor alle niet-functionele cookies, ook analytics. Uitzondering: als je analytics 'volledig anoniem' zijn (geen IP, geen unique-ID, geen profielen), zoals Plausible of Matomo minimal-mode, dan geen banner nodig.

Door Noah van Tilburg — DesignCheck (jurist/IP). Laatst bijgewerkt 16 mei 2026.

Functionele vs tracking — waar zit de grens?