In april 2025 waarschuwde de Autoriteit Persoonsgegevens (AP) vijftig organisaties per brief vanwege een misleidende cookiebanner. Wie niet binnen drie maanden herstelt, loopt kans op een stevig onderzoek en forse boete. (autoriteitpersoonsgegevens.nl)
In dit artikel leer je stap voor stap hoe je de brief begrijpt, welke fouten je direct moet oplossen en hoe Nixon Digital je daarbij helpt.
Waarom krijg je een AP‑brief?
De Autoriteit Persoonsgegevens screent jaarlijks ± 10 000 Nederlandse websites met een semi‑geautomatiseerde crawler. Komt jouw domein in de top 500 met ‘hoog risico’, dan ontvang je een waarschuwingsbrief. De drie meest voorkomende fouten:
Cookies vóór toestemming: scripts, pixels of SDK’s laden al bij page‑load.
Misleidende banner‑UX: geen “Weiger”, verborgen link, ongelijk design.
Onvoldoende informatie: doelen & derde partijen ontbreken of zijn vaag.
Wat staat er in de AP‑brief?
De waarschuwing bevat drie kernpunten:
| Kernpunt | Waarom? |
|---|---|
| Cookies worden geplaatst vóór toestemming | Overtreedt art. 11.7a Telecommunicatiewet en art. 4 GDPR (toestemming moet vooraf zijn) |
| Weiger-knop is niet even zichtbaar als Accepteer | Vrije toestemming ontbreekt → misleidende vormgeving |
| Gebrek aan duidelijke info over doelen en partijen | Toestemming is niet ‘geïnformeerd’ |
Deze drie punten vormen de kern van de waarschuwing van de AP. In de praktijk zijn ze vaak het gevolg van slecht ingestelde cookie tools, een onduidelijke UX of verouderde scripts die al laden voordat bezoekers toestemming kunnen geven. De AP verwacht dat organisaties niet alleen technische maatregelen nemen, maar ook zorgen voor een duidelijke, begrijpelijke en eerlijke cookiebanner voor gebruikers.
Deadline & boeterisico: wat als je niets doet?
Zodra je een brief van de AP ontvangt, start er een duidelijke tijdlijn. Dag 0 is het moment waarop de brief verstuurd wordt. Dit markeert de start van de 90-dagenperiode waarin je je cookiebanner moet aanpassen. Als je binnen deze termijn geen actie onderneemt, volgt op of rond dag 90 een hercontrole. Worden er dan nog steeds inbreuken vastgesteld, dan kan de AP overgaan tot een formeel onderzoek en een last onder dwangsom opleggen. Als ook daarna geen volledige naleving wordt aangetoond, kan de AP vanaf dag 120 een sanctiebesluit nemen. In ernstige gevallen betekent dit een boete tot € 20 miljoen of 4 % van je wereldwijde jaaromzet.
Goed om te weten: de AP houdt rekening met inspanning en transparantie. Organisaties die binnen de gestelde termijn konden aantonen dat zij hun cookiebanner serieus hebben aangepast, ontliepen in 80 % van de gevallen verdere sancties.
Het 7‑stappenplan (uitvoerbaar in 90 dagen)
Stap 1 – Audit je website (dag 1)
De allereerste stap is het objectief vaststellen van de situatie. Via onze gratis website audit tool kun je binnen een minuut een audit doen van je website. Je krijgt een rapport te zien met welke cookies, trackers en scripts er vóór toestemming al worden geladen — iets wat in strijd is met de wet. Dit rapport kan je zowel intern gebruiken als richting de AP als bewijs en vertrekpunt.
Stap 2 – Breng de grootste risico’s in kaart (dag 2–3)
Na de scan kun je snel prioriteren. Focus eerst op cookies die zonder toestemming geplaatst worden. Dit is technisch meetbaar en de meest voorkomende AP-klacht. Daarna kijk je naar de zichtbaarheid en gelijkwaardigheid van de ‘Accepteer’ en ‘Weiger’-knoppen. Tot slot verzamel je documentatie: heb je een cookiebeleid, is er een verwerkingsregister, zijn rollen en verantwoordelijkheden vastgelegd?
Stap 3 – Blokkeer cookies tot ná toestemming (week 1)
Je cookiebanner moet technisch voorkomen dat niet-noodzakelijke cookies vóór toestemming geplaatst worden. Dit bereik je door je Consent Management Platform (CMP) goed in te stellen: zorg dat alle toggles standaard uit staan en dat er een duidelijke ‘Weiger alles’-optie zichtbaar is. Gebruik je Google Tag Manager? Implementeer dan Consent Mode V2 en laad scripts pas nadat de gebruiker daar expliciet toestemming voor gaf.
Stap 4 – Herbouw je cookiebanner volgens de 9 vuistregels (week 2–3)
De AP toetst cookiebanners op onder meer gelijkwaardigheid van knoppen, taalgebruik, gemak van intrekken, en het gebruik van misleidende vormgeving (dark patterns). Nixon Digital biedt een Banner UX-review aan die elk van deze punten afvinkt. Hierbij ontvang je een rapport met visuele annotaties en concrete aanpassingssuggesties per onderdeel van je banner.
Stap 5 – Audit je website voor hercontrole (week 4)
Na het aanpassen van je cookiebanner en het blokkeren van cookies, is het essentieel om opnieuw te controleren of de wijzigingen ook écht effect hebben gehad. Een her-audit toont aan dat je niet alleen stappen hebt gezet, maar ook dat ze meetbaar werken.
Sla deze scanresultaten op als bewijs voor de AP. Voor grotere organisaties of wie meerdere domeinen beheert, biedt het Nixon Platform de mogelijkheid om gestructureerd audits uit te voeren en verbeteringen in de tijd zichtbaar te maken. Zo toon je objectief aan dat er verbetering is – iets waar de AP nadrukkelijk naar kijkt bij de hercontrole.
Stap 6 – Leg alles vast (week 4–5)
Documentatie is cruciaal. Houd bij wanneer je welke acties hebt genomen, voeg scanresultaten, screenshots en changelogs toe, en verwerk dit in je Data Protection Impact Assessment (DPIA). Transparantie en traceerbaarheid zijn essentieel bij een eventuele terugkoppeling aan de AP.
Stap 7 – Communiceer met de AP (week 6)
Stuur vóór de hercontrole een korte voortgangsbrief waarin je aangeeft dat je de belangrijkste tekortkomingen hebt opgelost. Voeg relevante bewijzen bij, zoals je Nixon Audit Report aan het begin en eind en je nieuwe cookiebannerdesign. Organisaties die proactief communiceren en meetbaar verbeteren, krijgen in de praktijk vaker uitstel of een milde opvolging.
FAQ over AP-brieven
Wat als ik de deadline van 3 maanden niet haal?
Probeer in elk geval je verbeteracties aantoonbaar te maken: screenshots, changelogs en een planning helpen je geloofwaardigheid. De AP is strenger op laksheid dan op vertraging. In sommige gevallen kun je uitstel vragen als je actief communiceert en een reëel actieplan hebt.
Kun je ook hulp krijgen bij het bannerdesign?
Ja. Nixon Digital biedt een Banner UX-review aan waarin we je cookiebanner toetsen aan de 9 vuistregels van de AP en EDPB. Je krijgt aanbevelingen, designvoorbeelden en optioneel ondersteuning van een ontwikkelaar. Stuur ons een bericht.
Conclusie & volgende stappen
Het ontvangen van een AP-brief is geen ramp, maar wél een serieus signaal. Door snel actie te ondernemen, inzicht te krijgen met tools als Nixon, en je cookiebanner te verbeteren volgens de gestelde normen, voorkom je juridische problemen én toon je aan dat jouw organisatie privacy serieus neemt.
Wil je geen risico lopen en direct inzicht in je situatie?
➡️ Start nu gratis met een website audit.
➡️ Heb je meerdere domeinen of complexe eisen? Neem hier contact met ons op.
Bronnen & referenties
AP – “Heldere cookiebanners”
