Autoriteit Persoonsgegevens vervolgt jacht op foute cookiebanners

Juridisch Nieuws

17 apr '25

Auteur(s): Lisanne Bruggeman

Cookies blijven een belangrijk focusgebied voor de Autoriteit Persoonsgegevens (“AP”), de instantie die toezicht houdt privacyregelgeving. Begin vorig jaar maakte de AP al bekend dat er vaker gecontroleerd zou gaan worden of websites aan de cookieregels voldoen. Tegelijkertijd publiceerde de AP voorbeelden van wat volgens de toezichthouder goede en foute cookiebanners zijn.

Boetes voor Kruidvat en Coolblue

De vervolgvraag is dan of er ook gehandhaafd gaat worden. Deze vraag kunnen we inmiddels bevestigend beantwoorden. Afgelopen zomer werd bekend dat Kruidvat een boete van 600.000 euro heeft gekregen, omdat de cookiebanner op Kruidvat.nl niet volgens de regels was. Zo plaatste Kruidvat volgens de AP tracking cookies zonder dat websitebezoekers daarvoor toestemming hadden gegeven. Ook Coolblue ontving vorig jaar een boete van 40.000 euro, omdat het de toestemming niet goed geregeld had en vooraf aangevinkte vakjes gebruikte volgens de AP.

AP zet handhaving door

Een paar maanden geleden is de toezichthouder een publiekscampagne gestart om mensen bewust te maken van cookies en de impact daarvan. Eind vorige maand heeft de AP de bij de minister een voorstel ingediend om het gehele toezicht op cookies op zich te kunnen nemen. Vorige week kondigde de AP aan dat cookiebanners de komende jaren structureel gecontroleerd gaan worden. Dat doet de AP naar eigen zeggen door constant en automatisch de cookiebanners van 10.000 websites te scannen. Deze week werd duidelijk dat 50 organisaties deze week een brief van de AP ontvangen met de boodschap om hun cookiebanner aan te passen of te stoppen met het volgen van websitebezoekers. Als daar niet binnen 3 maanden gehoor aan wordt gegeven, dan zou de AP een onderzoek starten en zou de kans op een boete groot zijn. In totaal wil de privacytoezichthouder elk jaar 500 organisaties gaan waarschuwen.

Wat gaat er vaak fout bij cookiebanners?

In de praktijk zien wij vaker foute dan goede cookiebanners voorbijkomen. De volgende dingen gaan vaak mis:

Er wordt geen toestemming gevraagd voor het plaatsen van tracking cookies.
Er wordt gebruik gemaakt van vooraf aangevinkte vakjes om toestemming te vragen.
Er wordt geen duidelijke en begrijpelijke informatie gegeven over de cookies die worden geplaatst.
Er wordt geen volledige informatie gegeven over de cookies die worden geplaatst, wat deze cookies doen, wat het doel van deze cookies is en wat de bewaartermijn is.
Het is niet even gemakkelijk om cookies te weigeren als te accepteren. De knoppen “Accepteren” en “Weigeren” staan niet naast elkaar.
Er wordt gebruik gemaakt van cookiewalls, waarbij je alleen verder kunt als je eerst tracking cookies accepteert.
Cookiebanners en -informatie zijn gebaseerd op Amerikaanse regelgeving, zoals de CCPA, in plaats van de Europese AVG.

Brief van de AP ontvangen?

Ons privacyteam adviseert vaak over cookies en heeft ervaring met waarschuwingen van de AP. Neem daarom gerust contact met ons op via privacy@ploum.nl als uw organisatie een brief van de AP heeft ontvangen. Wij staan voor u klaar.

Contact