Je hebt hem vast wel gezien. Die banner onderaan je website, net iets donkerder dan de achtergrond, met twee knoppen die ogenschijnlijk even groot zijn (maar waarvan er één veel groter oogde). “Accepteer alles” versus “Instellingen”. Bijna elke website in Nederland heeft zo’n ding, en het management slaapt beter omdat het vinkje staat: we zijn compliant.
Fout.
Een cookiebanner is als een alarmsysteem in een museum dat wél een scherm heeft, maar waarvan alle sensoren op standby staan. Het ziet er indrukwekkend uit. Het communiceert vertrouwen. Maar het beschermt eigenlijk helemaal niemand.
De illusie van naleving
Laten we eerlijk zijn: de meeste organisaties stoppen bij “we hebben een banner”. De Autoriteit Persoonsgegevens (AP) controleert niet of je banner mooi staat. De AP controleert of je daadwerkelijk stopt met tracking als een gebruiker dat aanvraagt. En daar gaat het mis.
Handhavingsonderzoeken en technische audits tonen keer op keer hetzelfde patroon: bij een groot deel van de websites worden scripts geladen voordat de banner zelfs maar verschijnt. De gebruiker ziet nog niets, maar de analytics-tracker wordt al aangeroepen, de remarketing pixel vuurt al, en Google Ads weet al waar je bent. De banner is puur theater. Het is post-factum toestemming vragen voor iets dat al gebeurd is.
Dit is geen technische inbreuk. Dit is architecturaal faalt.
Vier manieren waarop je cookiebanner beschermt noch voldoet
Ten eerste: de timing klopt niet. Scripts moeten geladen worden nadat de gebruiker toestemming geeft. Niet tegelijk. Niet daarvoor. Niet “maar toch even”, want dan gaat het tracking door. Toch zien we overal websites waar de load volgorde volledig omgekeerd is. Het is als vragen of iemand ja zegt op je vraag, terwijl je al bent begonnen zonder antwoord af te wachten.
Ten tweede: “Reject All” doet niks. Je zou denken dat je op die knop klikt en alles stopt. Maar bij veel implementaties vuren de tracking-scripts toch af, ongeacht wat je kiest. Ze controleren geen enkele parameter. “Reject All” is een cosmetic knop die het gebruikerservaring verzacht, terwijl de technologie eronder het compleet negeert. Een gebruiker klikt “Nee, ik wil niet gevolgd worden”, maar Google Analytics registreert de klik toch. Goed gedaan.
Ten derde: je privacyverklaring liegt. De privacyverklaring zegt dat je drie trackers gebruikt. Maar als je de website analyseren met een tool als Nixon Pro, vind je twintig. De banner en de verklaring zijn niet gesynchroniseerd. Dit is geen kleine administratieve fout. Dit is opzettelijke misleiding. Je vraagt toestemming voor iets anders dan wat je werkelijk doet.
Ten vierde: je negeert GPC-signalen. Global Privacy Control is een browserinstelling waarmee gebruikers zeggen: “Volg me niet.” Het is meer dan een voorkeur. Het is een rechtmatig signaal dat je wettelijk moet respecteren. Toch negeren de meeste websites dit signaal compleet. Gebruikers geven al hun voorkeur aan in de browser. Dan nog krijgen ze banners te zien.
Privacy compliance is geen checkbox
Dit is het kernpunt: privacy compliance is geen eenmalige handeling. Het is geen project dat je afrond en afvinkt. Het is een doorlopend technisch proces dat getest, gemeten en onderhouden moet worden.
Elke keer als je een nieuwe cookie plaatst, moet je testen of die door je banner ook werkelijk wordt geblokkeerd. Elke keer als je je tool upgraadt, kan het zijn dat de consent-flow kapot gaat. Elke keer als je een derde partij integreert, moet je controleren of die derde partij ook echt wacht op toestemming.
Naleving vereist eigenaarschap. En eigenaarschap vereist transparantie over wat er werkelijk gebeurt. Niet wat je denkt dat er gebeurt.
Wat wél werkt
Als je compliant wilt zijn, zijn hier vier concrete stappen.
Ten eerste: blokker voordat je laadt. Laat scripts pas laden nadat de gebruiker ja heeft gezegd. Niet tegelijk. Niet “op de achtergrond”. Echte blokkering, niet tonen. Dit klinkt voor techneuten logisch, maar het is verrassend zelden goed geïmplementeerd.
Ten tweede: test regelmatig. Zet je development-omgeving op, accepteer alle cookies, en controleer met behulp van je browser of de tracker wél vuurt. Weiger alle cookies, en controleer of deze keer alles stil staat. Dit zou maandelijks moeten gebeuren. Veel organisaties doen dit één keer, jaren geleden.
Ten derde: houd je privacyverklaring synchroon. Audit wat je website werkelijk doet. Kijk in de network-tab. Count de trackers. Zorg dat je privacyverklaring beschrijft wat je echt integreert, niet wat je dacht te integreren. Dit is niet sexy werk. Het is wel essentieel.
Ten vierde: herken en respecteer GPC-signalen. Je kunt dit in je consent manager configureren. Zo simpel is het.
Een tool als Nixon Pro helpt hier. Het kijkt onder de motorkap. Het geeft je zicht op welke scripts werkelijk laden, welke trackers je hebt, en of je banner de juiste blokkering toepast. Voor veel organisaties is dit een schok. Voor anderen is het een checklist op orde.
De AP kijkt verder
Hier is wat je moet weten: de Autoriteit Persoonsgegevens begint eindelijk echt te handhaven. De AP intensifieert haar controle op banner-compliance, en zij controleren niet alleen of je banner aanwezig is. Zij controleren of die banner ook werkelijk iets doet.
De boetes voor improper tracking zijn groot. De reputatieschade nog groter.
Het echte probleem: zichtbaarheid van het onzichtbare
Hier ligt het werkelijke probleem: gebruikers zien de banner. De AP ziet de banner. Maar bijna niemand kijkt naar wat er ónder de motorkap gebeurt. En dat is precies waar privacy-compliantie zit.
De banner is het zichtbare gedeelte. Gebruikers begrijpen dit. Ze klikken ja of nee, en gaan verder. Managers begrijpen dit ook. De banner is aanwezig, dus compliance is achieved. Mission accomplished.
Maar compliance leeft in het onzichtbare. In de load order van scripts. In de parameters die je meegeeft aan je consent manager. In de netwerkverkeer dat je browser registreert. In de privacyverklaring die daadwerkelijk overeenkomt met je technische setup.
Tot de handhaving begint, blijft de meeste compliance illusoir.
Wat nu
Je hoeft niet perfect te zijn. Maar je hoeft wel eerlijk en transparent te zijn. Audit wat je werkelijk doet. Test je implementatie. Zorg dat je banner echt iets doet, niet alleen ziet. Houd je privacyverklaring up-to-date.
De banner is een goed begin. Maar het is niet het einde van het verhaal. Het is het begin van compliance. En dan pas begint het werkelijk ingewikkelde werk.
De Autoriteit Persoonsgegevens publiceert haar verwachtingen rond cookietoestemming. Dat is de norm die telt.
Lees ook: Autoriteit Persoonsgegevens in 2026: strengere handhaving | Hoe Nederlandse webshops omgaan met privacy | Cookie banner audit: werkt jouw banner echt?
