Cookie-compliance volgens de AP: lessen uit de praktijk

maandag, 3 november 2025 (10:16) - TWiNKLE

In dit artikel:

De Autoriteit Persoonsgegevens (AP) scherpt dit jaar handhaving aan op correcte cookie-toestemming, vooral bij analytics- en marketingtools. De toezichthouder wil ongeveer 500 organisaties per jaar controleren (circa 50 per maand) en heeft inmiddels al minstens 150 dossiers geopend — van grote bedrijven tot kleinschalige sites — dus geen enkele organisatie kan zich onzichtbaar wanen.

Wat doet de AP en hoe werkt het proces?
- De AP gebruikt (grotendeels) geautomatiseerde scans om websites op grote schaal te controleren; dat werkt als digitale flitspalen die continu meekijken.
- Na zo’n quick scan ontvang je een brief met voorlopige bevindingen en je krijgt drie maanden om te reageren en eventuele overtredingen te verhelpen.
- Vaak volgt later een tweede, diepgaandere controle waarin aanvullende issues worden gevonden. De quick scan is dus niet allesomvattend; vertrouw niet alleen op de bijgevoegde cookie-lijst.
- De AP kijkt breder dan één genoemd domein: alle domeinen en mobiele apps waar jouw organisatie verantwoordelijk voor is, kunnen in scope zijn.

Belangrijke praktische aandachtspunten
- Reageer strategisch: plan je eerste, goed onderbouwde reactie 4–6 weken na ontvangst (rekening houdend met dat de AP zelf tot twee weken kan antwoorden). Dat geeft tijd voor aanvullend onderzoek en documentatie.
- Voer een eigen, gedegen cookie- en applicatie-audit uit; de bijlage in de AP-brief is nuttig maar niet volledig. Apps en third-party integraties blijven in de praktijk regelmatig buiten beeld.
- Documenteer wat je aanpast en waarom — heldere toelichtingen beperken de kans dat “twijfel” in een tweede ronde tot nieuwe bevindingen leidt.
- Als je regels lange tijd hebt genegeerd, kan het nodig zijn om bepaalde applicaties tijdelijk uit te zetten totdat je consentmanagement op orde is.
- Houd het doel in zicht: met de beperkte termijnen is het zaak het dossier voorlopig te sluiten; dit is geen moment voor een groot traject rond AVG-brede herinrichting.

Kritiek en risico’s
- Automatisering maakt handhaving schaalbaar maar heeft beperkingen: automatische scans vinden veel, maar missen soms context of genereren twijfelgevallen die handmatig onderzoek nodig maken.
- Omdat toezicht structureel wordt, is afwezigheid van een ontvangen brief geen garantie dat je later niet gecontroleerd wordt. Onwetendheid of passiviteit zijn geen valide verdediging meer.

Aanbeveling en langetermijnvisie
- Maak cookie-compliance onderdeel van structureel databeleid in plaats van een eenmalige klus. Een solide consentmanagement-lego zorgt niet alleen voor naleving, maar ook voor betrouwbaardere, privacy-first marketingdata.
- Voorkomen is goedkoper en minder risicovol dan reageren op een handhavingsbrief: begin tijdig met onderzoek en verbetering van je consentprocessen.

Extra informatie en aanbod
- Cloud Nine Digital, dat meerdere organisaties heeft geholpen na ontvangst van AP-brieven, deelt ervaringen en praktische tips in een kleine ontbijtsessie (13 november, Piano, Herengracht 433, Amsterdam). De sessie is bedoeld om casussen en oplossingen te bespreken met vakgenoten en experts.

Kort gezegd: de AP controleert vaker en geautomatiseerd; bereid je voor door al je digitale kanalen te auditen, snel en goed gedocumenteerd te reageren op een brief, en cookie-compliance structureel in te bedden in je databeleid.