Veel organisaties denken dat het toezicht van de Autoriteit Persoonsgegevens zich alleen richt op cookies. In werkelijkheid kijkt de AP veel breder: ook trackers, fonts, social media plugins en third-party scripts vallen onder de loep van hun onderzoek.
Wanneer deze elementen zonder geldige toestemming worden geplaatst, spreekt de Autoriteit Persoonsgegevens van onrechtmatige verwerking of constateert zij dat toestemming ontbreekt. Dit kan direct leiden tot een AP brief en mogelijke boetes.
In dit artikel laten we zien waar de Autoriteit Persoonsgegevens specifiek op let, welke elementen op je website risico’s vormen en hoe je proactief compliance problemen voorkomt.
Wat valt allemaal onder toezicht van de Autoriteit Persoonsgegevens?
De AP hanteert een brede definitie van verwerking van persoonsgegevens. Elk element op je website dat informatie over bezoekers kan delen, verzamelen of opslaan valt onder hun toezicht.
Traditionele cookies
Functionele cookies zijn toegestaan zonder toestemming, deze zijn noodzakelijk voor basisfunctionaliteit zoals inloggen of winkelwagenfuncties.
Consent is echter wel vereist voor niet noodzakelijke cookies, zoals:
- Analytics cookies (Google Analytics, Adobe Analytics)
- Marketing cookies (Meta Pixel, Google Ads conversie tracking)
- Remarketing pixels (LinkedIn, Twitter, TikTok)
- A/B testing tools (Optimizely, VWO)
Website trackers en pixels
Trackers zijn scripts of pixels die gebruikersgedrag monitoren, vaak onzichtbaar voor de bezoeker. De Autoriteit Persoonsgegevens ziet deze als verwerking van persoonsgegevens omdat ze:
- IP-adressen registreren
- Device fingerprints maken
- Browsing gedrag volgen
- Cross-site tracking mogelijk maken
Veel voorkomende trackers die toestemming vereisen:
- Google Tag Manager configuratie
- Meta Conversions API
- Hotjar heatmaps en session recordings
- Customer.io event tracking
- Intercom chat widget
Externe fonts en scripts
Zelfs ogenschijnlijk onschuldige elementen zoals Google Fonts kunnen privacy problemen veroorzaken. De Autoriteit Persoonsgegevens let specifiek op:
Google Fonts via CDN:
- Deelt IP-adres met Google servers
- Registreert welke fonts worden opgevraagd
- Kan gebruikt worden voor fingerprinting
YouTube embeds:
- Laden automatisch YouTube tracking cookies
- Delen viewing data met Google
- Registreren video engagement metrics
Social media widgets:
- Facebook Like buttons
- Twitter embedded tweets
- LinkedIn share buttons
- Instagram feeds
Alle externe scripts die data delen met third parties vereisen toestemming onder de AVG.
Specifieke aandachtspunten van de Autoriteit Persoonsgegevens
1. Timing: plaatsing vóór toestemming
Het grootste risico: Scripts die al laden voordat de gebruiker een keuze heeft kunnen maken.
Veelvoorkomende overtredingen:
- Fout: Google Analytics laadt bij pageload
- Fout: Meta Pixel staat in de <head> sectie
- Fout: Google Fonts laden direct via CDN
- Correct: Scripts wachten op consent signal
De AP controleert dit actief door websites te bezoeken en te kijken welke requests al worden gedaan vóór interaction met de cookie banner.
2. Transparantie en uitleg
Gebruikers moeten weten welke cookies en trackers actief zijn en waarvoor ze gebruikt worden.
AP eisen voor transparantie:
- Duidelijke categorieën (Analytisch, Marketing, Functioneel)
- Specifieke doelen (“Voor het bijhouden van conversies” in plaats van “Voor marketing”)
- Third-party partners (Google, Meta, LinkedIn expliciet noemen)
- Bewaarperiodes (30 dagen, 2 jaar, etc.)
Veelgemaakte fouten:
- Vage omschrijvingen zoals “Voor een betere gebruikerservaring”
- Niet vermelden van externe partners
- Geen onderscheid tussen cookie categorieën
3. Gelijkwaardige keuze-opties
Naast “Accepteer alles” moet er altijd een even zichtbare “Weiger alles” optie zijn. Let daarbij ook op dat de “Weiger Alles” or “Reject All” knop ook daadwerkelijk doet wat het zegt. Lees hier meer over niet werkende “Weiger Alles” knoppen in cookie banners.
De Autoriteit Persoonsgegevens let op:
- Visuele gelijkwaardigheid van knoppen
- Tekstuele duidelijkheid (“Weiger alles” vs “Beheer voorkeuren”)
- Technische functionaliteit van beide opties
4. Geen misleidende consent patterns
Dark patterns die gebruikers manipuleren zijn expliciet verboden:
Voorbeelden van misleiding:
- Pre-checked boxes voor marketing cookies
- Complexe uitleg voor weigeren, simpele knop voor accepteren
- Dreigen met beperkte functionaliteit bij weigering
- Verschillende kleuren voor accept/reject knoppen (groen vs grijs)
Onzichtbare risico’s: scripts die je vergeet
De gevaren van automatische script loading
Veel organisaties denken dat hun cookie banner compliant is, maar vergeten de onzichtbare scripts die op de achtergrond draaien.
Veel gemiste elementen:
- CRM pixels die automatisch contacten synchroniseren
- Heatmap tools die al bij pageload starten
- Chat widgets die IP-adressen loggen
- CDN services die usage statistics bijhouden
- Error tracking tools zoals Sentry of Rollbar
Third-party plugin risico's
WordPress plugins, Shopify apps en andere third-party tools voegen vaak automatisch tracking toe:
Voorbeelden:
- WooCommerce Google Analytics integration
- Mailchimp popup widgets
- Calendly booking widgets
- Stripe payment tracking
- Zendesk support widgets
Deze tools kunnen data delen zonder dat je het beseft, wat leidt tot AP overtredingen.
Hoe pak je dit aan?
Gebruik onderstaande checklist om te zorgen dat jouw website voldoet aan de eisen van de Autoriteit Persoonsgegevens. Het helpt je om stap voor stap alle risico’s in kaart te brengen en direct aantoonbaar compliant te zijn.
Breng alles in kaart: Maak een volledig overzicht van alle cookies, trackers, fonts en externe scripts die op je website draaien. Vergeet niet embedded content, social plugins en remarketingpixels.
Test regelmatig: Controleer je website in verschillende browsers, apparaten en in incognito-modus om te zien of scripts al vóór toestemming actief worden.
Gebruik een audittool (zoals Nixon Pro): Krijg exact inzicht in welke cookies, trackers en externe domeinen actief zijn, op welk moment, en of er verschillen zijn per pagina.
Documenteer je keuzes: Leg vast welke cookies en scripts je gebruikt, wat het doel is en op basis van welke grondslag. Zo kun je direct laten zien dat je in control bent als de AP vragen stelt.
Stel beleid en procedures op: Zorg dat je organisatie een duidelijk intern beleid heeft over het gebruik van cookies en trackers, inclusief verantwoordelijkheden en controles.
Monitor wijzigingen: Websites veranderen continu. Nieuwe marketingtools, plugins of updates kunnen ongemerkt nieuwe scripts activeren. Houd dit structureel bij met periodieke audits.
Koppel terug naar je banner en beleid: Zorg dat je cookie- en privacybeleid altijd actueel is en precies aansluit op wat er technisch op de website gebeurt.
Conclusie: bredere scope dan alleen cookies
De Autoriteit Persoonsgegevens kijkt veel verder dan alleen traditionele cookies. Trackers, externe fonts, social media widgets en third-party scripts – alles wat persoonsgegevens kan delen valt onder hun toezicht.
De sleutel tot compliance:
- Volledige transparantie over alle data sharing elementen
- Consent-first implementatie: niets laadt voor toestemming
- Gelijkwaardige keuze opties voor accept/reject
- Regelmatige monitoring van nieuwe risico’s
Door structureel inzicht te hebben in alle elementen die persoonsgegevens kunnen verwerken, voorkom je dat jouw organisatie wordt aangesproken op onrechtmatige verwerking door de Autoriteit Persoonsgegevens.
Hulp nodig? Bekijk dan hier onze aanpak bij het ontvangen of voorkomen van een brief van de Autoriteit Persoonsgegevens of plan vrijblijvend een gesprek met één van onze website privacy experts.
Wil je direct weten wat er speelt op jouw website? Start een gratis website privacy audit en krijg binnen 2 minuten een compleet overzicht van alle cookies, trackers en andere mogelijke privacy overtredingen die de AP op jouw website zou kunnen constateren.
Veelgestelde vragen over cookies en trackers (FAQ)
Moeten Google Fonts toestemming hebben van bezoekers?
Ja, als je ze via CDN gebruikt. Bij het laden van Google Fonts wordt het IP-adres gedeeld met Google servers. Dit is een persoonsgegeven onder de AVG. Alternatieven:
- Host fonts lokaal op je eigen server
- Gebruik system fonts als fallback
- Implementeer consent voor Google Fonts CDN
What is het verschil tussen cookies en website trackers?
Cookies zijn bestanden opgeslagen in de browser, trackers zijn scripts die data verzamelen via pixels, JavaScript of server requests. Beide kunnen persoonsgegevens verwerken:
- Cookies: opslag van user IDs, preferences, session data
- Trackers: real-time data sending naar analytics/marketing platforms
Kan ik website tracking handmatig controleren?
Voor kleine websites (< 10 pagina’s) is handmatige controle mogelijk via browser developer tools.
Voor grotere sites is dit praktisch onmogelijk omdat:
- Verschillende pagina templates kunnen andere scripts hebben
- Dynamic content kan extra trackers laden
- Mobile vs desktop kunnen verschillen
- Geautomatiseerde auditing tools zijn effectiever en accurater
Hoe vaak moet ik mijn website controleren op nieuwe trackers?
Minimaal bij elke belangrijke wijziging:
- Na toevoegen nieuwe marketing tools
- Bij installeren van plugins of apps
- Na website redesigns of CMS updates
- Bij lanceren van nieuwe campagnes
Voor enterprise websites: maandelijkse automated scans.
Kan de Autoriteit Persoonsgegevens boetes geven voor Google Fonts?
Ja, in theorie wel. Verschillende Europese rechtbanken hebben al geoordeeld dat Google Fonts zonder consent gebruik een AVG overtreding is. De AP heeft dit nog niet actief gehandhaafd, maar het risico bestaat. Zeker bij organisaties die al eerder problemen hadden.
