August 18, 2025
2 min read
Uit de analyse van de vereisten van de AVG blijkt dat expliciete toestemming vereist is voordat de meeste cookies op de apparaten van gebruikers worden geplaatst. Verschillende gezaghebbende bronnen bevestigen dat cookies, zoals gedefinieerd in artikel 4, lid 1, van de AVG als “online identificatoren”, als persoonsgegevens worden beschouwd wanneer ze een gebruiker direct of indirect kunnen identificeren (Europees Parlement, 2016).
Belangrijkste bevindingen:
"Toestemming moet worden verkregen voordat cookies op het apparaat van de gebruiker worden geplaatst of geopend, met uitzondering van cookies die strikt noodzakelijk zijn voor de levering van de dienst waarom de gebruiker uitdrukkelijk heeft verzocht" (European Court of Justice, Planet49 case, 2019).
Empirische studies naar cookiebanners en de naleving ervan op websites in de EU tonen een wijdverbreide implementatie van toestemmingsmechanismen aan. Echter, dark patterns en misleidende ontwerpen leiden nog steeds tot niet-conforme praktijken (Utz et al., 2019). Effectieve platforms voor toestemmingsbeheer (CMP's) moeten het volgende bieden:
Niet-naleving van de toestemmingsvereisten van de AVG heeft geleid tot verschillende spraakmakende handhavingsacties en boetes door gegevensbeschermingsautoriteiten.
Kortom, de AVG vereist voorafgaande, actieve toestemming van de gebruiker voor alle cookies, behalve die welke strikt noodzakelijk zijn voor de werking van de website, waarbij een groeiend aantal regelgevende richtlijnen en juridische precedenten deze verplichting in de hele EU en het VK versterken.
