12 februari 2025

Privacy

Toezichthouders

Eprivacy

Striktere handhaving en onderzoek naar cookies

De AP heeft de afgelopen jaren meerdere organisaties aangeschreven over hun cookiebeleid. Daarbij wordt veelal specifiek gevraagd naar de werking van bepaalde cookies, of hiermee persoonsgegevens worden verwerkt en op welke grondslag dit gebeurt. Niet al deze informatieverzoeken hebben (nog) geleid tot handhaving. Wel onderstreept dit de aanhoudende aandacht van de AP voor naleving van de cookiewetgeving.

Ook in België speelt een interessante casus. De Belgische privacy toezichthouder de Gegevensbeschermingsautoriteit (GBA) heeft aangekondigd een klacht in behandeling te nemen over de cookies van DPG Media naar aanleiding van een klacht van NOYB, de privacy organisatie van Max Schrems (die het eerder al succesvol opnam tegen Spotify en Meta).

Wat kunt u nu doen?

Om  tegemoet te komen aan de interpretatie van de AP, zijn er een aantal belangrijke take-aways voor de cookie-inrichting van een website:

  1. Bied een ‘Alles weigeren’-knop op de eerste laag
    De AP benadrukt dat gebruikers net zo makkelijk cookies moeten kunnen weigeren als accepteren. Dit betekent – aldus de AP – dat een ‘Alles weigeren’-knop direct zichtbaar moet zijn bij het eerste cookie consent banner scherm.

  2. Controleer welke cookies u vóór en na toestemming plaatst
    Alleen functionele cookies en cookies met geringe privacy gevolgen kunnen voor toestemming worden geplaatst. Hieronder vallen ook affiliate of performance cookies, mits ze enkel worden gebruikt om de effectiviteit van een getoonde advertentie te meten en te bepalen welke affiliate recht heeft op een beloning. En ook A/B test cookies kunnen worden uitgesloten, mits ze puur worden ingezet om de effectiviteit van bepaalde variaties van online uitingen tegen elkaar af te zetten.

  3. Ook analytische cookies kunnen toestemming vereisen
    De AP ziet ook het gebruik van sommige analytics cookies als privacygevoelig. Veel organisaties plaatsen analytische cookies voordat een gebruiker toestemming heeft gegeven. Maar als die cookies een unieke identifier hebben, waarmee gebruikers over tijd en meerdere domeinen gevolgd kunnen worden, vindt de AP dit meer dan een ‘geringe’ inbreuk op de privacy en vindt dan dat ook voor deze cookies toestemming moet worden gevraagd. Dat geldt bijvoorbeeld voor visual website optimizer, hotjar en kan ook gelden voor Google Analytics. Meer informatie hierover staat in dit eerdere artikel van DMCC: Google Analytics en toestemming.

Over de auteurs

  • Jitty van Doodewaerd

    Jitty van Doodewaerd is directeur privacy bij de DMCC Group. In deze functie ondersteunt zij opdrachtgevers uit velerlei maatschappelijke sectoren bij privacyvraagstukken. Haar aanpak is realistisch en pragmatisch met kennis van de dagelijkse gang van zaken in (commercieel) datagebruik. Van Doodewaerd was onderdeel van de Big Data expertgroep van het ministerie van Economische Zaken en was verantwoordelijk voor de belangenbehartiging van marketing branchevereniging DDMA. Zij was lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

    DMCC

Gerelateerd nieuws

Volgende stap defensiewet vergroot spanning tussen veiligheid en privacy

De Wet op de defensiegereedheid (Wodg) is een stap dichter bij invoering gekomen. De ministerraad heeft ingestemd met het wetsvoorstel, dat Defensie meer ruimte moet geven om sneller en realistischer te oefenen en te opereren. De wet gaat nu voor advies naar de Raad van State, waarna behandeling volgt in de Tweede en Eerste Kamer.

Europese waakhond: ‘AI‑systemen bedreigen grondrechten, menselijk toezicht onvoldoende’

De Europese grondrechtenwaakhond FRA (European Union Agency for Fundamental Rights) waarschuwt in een vorige week verschenen rapport dat organisaties slecht zijn voorbereid op het beoordelen en beperken van grondrechtenrisico’s bij het gebruik van hoog‑risico‑AI. Volgens de FRA dreigt daardoor een kloof tussen de ambities van de AI Act en de dagelijkse praktijk bij ontwikkelaars en gebruikers van AI‑systemen in onder meer asiel, onderwijs, werk, politie en sociale zekerheid. Die kloof raakt direct aan de manier waarop mensen en AI in de samenleving samen optrekken: als de menselijke kant van die samenwerking – kennis, reflectie en kritisch vermogen – tekortschiet, verliest AI haar grond voor vertrouwen.

De cruciale rol van een veilige meldcultuur bij cybersecurity

Onlangs publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland (CSBN) 2025. Het rapport schetst een digitale dreigingsomgeving die steeds complexer, diverser en onvoorspelbaarder wordt. Terwijl de dreiging groeit, ligt de verdediging in het versterken van de digitale basishygiëne. Organisatiecultuur speelt hierbij een belangrijke rol in hoe incidenten worden herkend en gemeld. Het CSBN 2025 maakt duidelijk dat digitale veiligheid geen puur technologisch vraagstuk is, maar afhankelijk is van hoe mensen binnen organisaties handelen. Transparency International Nederland (TI-NL) benadrukt daarom de cruciale rol van menselijk gedrag en een veilige meldcultuur bij effectieve cybersecurity.

AI en Auteursrecht: waarom een uitspraak uit München alles verandert

Op 11 november 2025 deed het Landesgericht München uitspraak in een zaak die de juridische wereld én de techsector op scherp zet: GEMA tegen OpenAI (zaaknummer 42 O 14139/24). Het ging om de vraag of het gebruik van auteursrechtelijk beschermde songteksten door generatieve AI-modellen zoals ChatGPT in strijd is met het auteursrecht. Het antwoord van de rechtbank? Ja. En dat is best baanbrekend.
Meer nieuws