Wat zijn cookies en wanneer mag een website ze plaatsen?

Cookies zijn kleine tekstbestandjes die een website op jouw apparaat opslaat om je te herkennen bij volgende bezoeken. Er zijn drie soorten relevant voor de wet. (1) Functionele/noodzakelijke cookies: nodig om de site of dienst te laten werken — taalvoorkeur, ingelogde sessie, winkelmandje, cookie-keuze zelf. Geen toestemming vereist onder de Telecommunicatiewet Art. 11.7a (Nederlandse uitwerking van de ePrivacy-richtlijn). (2) Statistische/analytics cookies: meten bezoekersgedrag. Google Analytics, Matomo, etc. Toestemming vereist, behalve als ze "privacyvriendelijk geconfigureerd" zijn (IP-masking, geen doorgifte aan derden, geen koppeling met andere data). (3) Marketing/tracking cookies: Facebook Pixel, Google Ads, TikTok Pixel, retargeting. Uitdrukkelijke toestemming altijd vereist. Wat moet een cookiebanner doen? Standaard alles uit (geen pre-vinkjes), gelijkwaardige "Accepteer" en "Weiger" knoppen, granulaire keuze per categorie mogelijk, en intrekken net zo makkelijk als geven. Continue-browsing-impliceert-toestemming is illegaal sinds Planet49-uitspraak (CJEU 2019). Wanneer is de cookiewet niet van toepassing? Bij echte server-side anonimisering zonder cookie. Of bij cookies die alleen ter beveiliging dienen (anti-fraude bij login). Boete: de AP kan boete uitdelen tot €20 miljoen of 4% omzet. Dat is in 2023-2025 al meermalen gebeurd (bv. Booking.com, TikTok).