Cookiebanner België: GBA boetes en regels voor uw website
Steven | TrustYourWebsite · 3 april 2026 · Laatst bijgewerkt: april 2026
In 2024 kreeg Mediahuis (uitgever van De Standaard, Het Nieuwsblad en andere Vlaamse kranten) een dwangsom opgelegd van €25.000 per dag. De reden: een cookiebanner die niet voldeed aan de AVG/GDPR-regels.
De GBA (Gegevensbeschermingsautoriteit) constateerde twee problemen:
- Er was geen duidelijke "Alles weigeren" knop.
- De accepteerknop was kleuriger en prominenter dan de weigeroptie, een zogenaamd dark pattern.
Dit is geen geïsoleerde zaak. De Geschillenkamer van de GBA legde Roularta Media Group in beslissing 85/2022 van 25 mei 2022 een administratieve geldboete van €50.000 op voor cookies die werden geplaatst vóór toestemming en voor vooraf aangevinkte vakjes voor toestemming voor cookies van derde partijen op Knack en Le Vif. De GBA handhaaft actief op cookiebanners bij Belgische bedrijven, groot en klein.
Wilt u weten of uw eigen banner door de beugel kan? Gebruik de gratis websitescan om te controleren welke scripts al laden vóór toestemming.
De wettelijke basis in België
Cookieregelgeving in België steunt op twee pijlers. De eerste is de AVG (GDPR), die toestemming verplicht maakt voor elke verwerking van persoonsgegevens zonder andere rechtsgrond. De tweede is de wet van 13 juni 2005 betreffende de elektronische communicatie. Via die wet werd de Europese ePrivacy-richtlijn omgezet in Belgisch recht. De relevante cookiebepaling uit artikel 129 van die wet werd later verplaatst naar de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
In de praktijk werken de twee wetten samen. De ePrivacy-wet regelt of u al dan niet toestemming nodig heeft voor het plaatsen van een cookie. De AVG regelt hoe u die toestemming geldig verkrijgt, registreert en beheert. Een banner die ePrivacy respecteert maar niet voldoet aan de AVG-vereisten voor toestemming, voldoet alsnog niet.
De GBA is bevoegd om beide wetten te handhaven. U kunt de volledige tekst van de wet op elektronische communicatie raadplegen via ejustice.just.fgov.be.
De GBA publiceerde in 2023 ook een gedetailleerde cookie-checklist voor website-beheerders. Die checklist is de meest directe leidraad voor wat de GBA bij een controle verwacht. U kunt er punt voor punt uw eigen banner aan toetsen.
Wat de GBA vereist
De GBA volgt de richtlijnen van het Europees Comité voor gegevensbescherming (EDPB) en hanteert een eigen cookie-checklist die in oktober 2023 werd gepubliceerd. Samengevat:
1. Gelijke keuzemogelijkheden
De knoppen "Alles accepteren" en "Alles weigeren" moeten:
- Even groot zijn
- Vergelijkbaar kleurgewicht hebben
- Op hetzelfde niveau staan in de banner
Een kleine grijze tekstlink naast een grote groene knop voldoet niet.
2. Geen tracking vóór toestemming
Trackingscripts mogen niet laden voordat de bezoeker een keuze heeft gemaakt. Dit geldt voor:
- Google Analytics en Google Tag Manager
- Facebook Pixel / Meta-pixel
- LinkedIn Insight Tag
- Hotjar, Clarity en andere sessie-opnametools
- Advertentienetwerken
Onze scanner test dit door uw cookiebanner te simuleren en te controleren welke scripts laden vóór toestemming.
3. Geen vooraf aangevinkte vakjes
In een cookie-instellingenpaneel mogen analytics- en marketingcategorieën niet standaard aanstaan. De bezoeker moet actief kiezen. Dit volgt rechtstreeks uit het vereiste van "actieve" toestemming in de AVG: stilzwijgend akkoord of een vooraf aangevinkt vakje geldt niet als geldige toestemming. Dit was één van de kernpunten in de GBA-beslissing tegen Roularta in 2022: categorieën stonden standaard op "aan" en de bezoeker moest ze actief uitzetten.
4. Toegankelijke instellingen
Bezoekers moeten hun toestemmingsinstellingen na de eerste keuze kunnen wijzigen. Dit vereist een permanente link, doorgaans in de footer. Het intrekken van toestemming moet even eenvoudig zijn als het geven ervan. Een bezoeker die toestemming wil intrekken, mag daarvoor niet door vijf submenu's moeten navigeren.
5. Geen cookiewall
Een cookiewall waarbij toegang tot de website volledig wordt geblokkeerd totdat de bezoeker akkoord gaat, is in de meeste gevallen niet toegestaan. Uitzonderingen bestaan voor betaalde diensten waarbij cookies functioneel noodzakelijk zijn voor de levering van die dienst. Een gratis nieuwssite die bezoekers dwingt te accepteren of te betalen, bevindt zich in een juridisch grijs gebied dat de GBA nauwlettend volgt.
6. Informatie in de eerste laag
De GBA vereist dat u in de eerste laag van de banner, dus direct zichtbaar bij opening, al aangeeft waarvoor toestemming wordt gevraagd en welke partijen cookies plaatsen. Een vage tekst als "wij gebruiken cookies voor een betere ervaring" volstaat niet. De checklist van de GBA uit 2023 stelt expliciet dat de namen van de verantwoordelijke derde partijen al in de eerste laag zichtbaar moeten zijn, niet alleen verstopt in een bijlage.
7. Toestemming per doel
U mag geen bundel-toestemming vragen waarbij analytics, marketing en functionele cookies in één categorie zitten. De GBA verwacht dat de bezoeker per doeleinde een keuze kan maken. Wie toestemming geeft voor websitestatistieken, heeft daarmee geen toestemming gegeven voor gepersonaliseerde advertenties.
Wat betekent "geïnformeerde toestemming" concreet?
De AVG stelt dat toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. De GBA heeft verduidelijkt wat dit voor cookiebanners betekent.
Vrij wil zeggen dat weigeren geen nadelen mag opleveren. Als uw banner alleen een "Accepteren"-knop toont en de bezoeker verder niets kan kiezen, is de toestemming niet vrij.
Specifiek wil zeggen dat u per doel apart toestemming vraagt. Toestemming voor analytics en toestemming voor advertenties zijn twee aparte keuzes. U mag ze niet samenvoegen.
Geïnformeerd wil zeggen dat de bezoeker vóór het klikken al begrijpt waarvoor de cookies worden gebruikt, hoe lang ze actief zijn en wie er toegang toe heeft. Derde partijen moeten worden vermeld, ook in de eerste laag van de banner.
Ondubbelzinnig wil zeggen dat er een actieve handeling is vereist. Doorklikken op de website telt niet als toestemming. Een tekst als "Door verder te surfen gaat u akkoord" is al jaren verboden door de GBA.
Dark patterns: wat zijn ze en waarom bestraft de GBA ze?
Dark patterns zijn ontwerptechnieken die gebruikers sturen naar de optie die de website-eigenaar verkiest, doorgaans "Alles accepteren", in plaats van een vrije keuze te bieden.
De EDPB publiceerde in 2022 specifieke richtlijnen over dark patterns in cookiebanners. De GBA past deze richtlijnen toe in haar handhaving.
Verboden praktijken:
| Dark pattern | Voorbeeld | Status |
|---|---|---|
| Asymmetrische knoppen | Grote groene accepteerknop, kleine grijze tekstlink voor weigeren | Verboden |
| Verborgen weigeroptie | "Alle cookies accepteren" knop zichtbaar, weigeren alleen via meerdere klikken in menu | Verboden |
| Standaard aangevinkt | Analytics-cookies standaard ingeschakeld | Verboden |
| Misleidende tekst | "Accepteer om uw privacy te beschermen" | Verboden |
| Visueel gewicht | Accepteer in felblauw, weiger in lichtgrijs | Verboden |
| Doorklik-consent | "Door verder te surfen aanvaardt u cookies" | Verboden |
Zowel Mediahuis als RTL Belgium werden in 2024 bestraft voor varianten van asymmetrische knoppen en het ontbreken van een duidelijke weigeroptie in de eerste laag.
Cookiecategorieën: wat mag wanneer?
Het onderscheid tussen categorieën is fundamenteel. Strikt noodzakelijke cookies mogen zonder toestemming. Alle andere cookies vereisen actieve instemming.
Geen toestemming nodig:
- Sessiecookies (inloggen, winkelwagen)
- Load-balancing cookies
- CSRF-beveiligingscookies
- Authenticatiecookies
- Cookies om de cookiebanner-voorkeur op te slaan
Toestemming altijd verplicht:
- Google Analytics en vergelijkbare analyticstools
- Matomo (tenzij correct geanonimiseerd en volledig lokaal gehost, zonder doorgave aan derden)
- Facebook Pixel, LinkedIn Insight Tag
- Hotjar, Microsoft Clarity
- Advertentiecookies en retargetingpixels
- Social share buttons die cookies plaatsen namens derde partijen
Bij twijfel of een cookie "strikt noodzakelijk" is, geldt de vuistregel: als de website technisch normaal functioneert zonder die cookie, is hij niet strikt noodzakelijk.
Hoe implementeert u een conforme cookiebanner?
Een conforme banner bestaat uit twee lagen. De eerste laag is direct zichtbaar bij het bezoek en bevat drie elementen: een korte uitleg van de doeleinden, de namen van de belangrijkste derde partijen en twee gelijkwaardige knoppen. De tweede laag is bereikbaar via "Instellingen" of "Voorkeuren beheren" en toont een volledig overzicht van alle cookiecategorieën met aan/uit-knoppen per categorie.
Technisch gaat het erom dat uw consent management systeem de trackingscripts daadwerkelijk blokkeert. Dat klinkt vanzelfsprekend, maar in de praktijk gaat het hier het vaakst fout.
Stap 1: Configureer Google Analytics of andere trackers als conditionele tags in Google Tag Manager die alleen laden wanneer de juiste toestemmingssignalen actief zijn.
Stap 2: Test na de installatie. Klik op "Alles weigeren" op uw eigen website. Open daarna de browserconsole via F12, ga naar het tabblad "Netwerk" en filter op "google-analytics" of "facebook". Als er verzoeken verschijnen, blokkeert uw banner de scripts niet correct.
Stap 3: Sla de toestemmingskeuze op. Bij elk bezoek opnieuw een banner tonen voldoet niet. De GBA verwacht dat toestemming minimaal wordt opgeslagen voor de duur die vergelijkbaar is met de levensduur van de cookies zelf, in de praktijk doorgaans 6 tot 12 maanden.
Veelgemaakte fouten bij Belgische KMO's
Fout 1: "Ik heb een banner, dus ik voldoe." Een banner aanwezig hebben is niet genoeg. De banner moet correct werken. De meeste tools controleren alleen of er een banner op de pagina staat. Onze websitescan test of trackingscripts echt stoppen na het klikken op "Weigeren".
Fout 2: Gratis cookiebanner-plugin zonder configuratie. Veel WordPress-plugins worden standaard geleverd met vooraf aangevinkte vakjes of ontbrekende weigerknoppen. De standaardinstellingen voldoen zelden aan de GBA-regels. Controleer altijd de instellingen na installatie.
Fout 3: Cookiebanner geïnstalleerd maar Google Analytics laadt meteen. Dit is de meest voorkomende technische fout. Het consent management systeem blokkeert de scripts niet correct. Controleer of Google Analytics in uw Tag Manager-container is opgenomen als een "consent mode"-tag.
Fout 4: Toestemmingsinstelling niet opgeslagen. Bij elk bezoek verschijnt de banner opnieuw en moeten bezoekers opnieuw kiezen. Dit wijst erop dat de toestemmingscookie zelf niet correct wordt opgeslagen.
Fout 5: Alleen een "Accepteren"-knop op de eerste laag. Dit was precies de fout bij RTL Belgium. De weigeroptie was verborgen achter een instellingenmenu, terwijl de accepteerknop direct zichtbaar was. De GBA beschouwt dit als een dark pattern.
GBA-handhaving: wat kunt u verwachten?
De GBA voert zowel klachtonderzoeken als ambtshalve onderzoeken uit. Bij het perssiteonderzoek in 2022 nam de GBA zelf het initiatief om een reeks Belgische nieuwssites te controleren, zonder dat er klachten van burgers lagen. Dat betekent dat ook uw website in aanmerking kan komen voor een sectorbreed onderzoek, ook als u nog nooit een klacht heeft ontvangen.
Wanneer de GBA een overtreding vaststelt, kan zij een reeks maatregelen nemen: een berisping, een bevel tot conformiteit binnen een bepaalde termijn, een administratieve geldboete of een dwangsom per dag zolang de overtreding voortduurt. De hoogte varieert en is afhankelijk van onder meer de ernst van de overtreding, de duur ervan en of de overtreder snel correctieve maatregelen nam.
KMO's die snel reageren op een GBA-aanmaning en aantonen dat zij de banner hebben gecorrigeerd, hebben historisch gezien mildere sancties gekregen dan grote mediabedrijven die maanden bleven tekortschieten.
Klachten kunnen worden ingediend via het klachtenformulier op de website van de GBA. Bezoekers van uw website kunnen uw banner dus rechtstreeks melden bij de toezichthouder. Dat maakt het voor KMO's des te belangrijker om niet te wachten op een aanmaning, maar nu al te controleren of uw banner correct werkt.
Wat als u een extern cookiebanner-platform gebruikt?
Veel Belgische websites maken gebruik van een extern consent management platform zoals Cookiebot, OneTrust, Axeptio of CookieYes. Het gebruik van zo'n platform biedt geen automatische garantie op conformiteit. U bent als website-eigenaar zelf verantwoordelijk voor de configuratie.
Controleer bij elk platform de volgende instellingen: zijn analytics-cookies standaard uitgeschakeld, wordt de weigerknop op hetzelfde niveau getoond als de accepteerknop en worden scripts pas geladen na toestemming. Zelfs betaalde platformen worden in hun standaardinstellingen geleverd met opties die niet voldoen aan de GBA-eisen. Lees de configuratiedocumentatie en pas de instellingen aan voor uw specifieke situatie.
Bronnen
- GBA Beslissing 85/2022, Roularta (25 mei 2022)
- GBA Beslissing 113/2024, Mediahuis
- GBA Cookie-checklist (oktober 2023)
- GBA, Cookies en andere traceringsmiddelen (professionelen)
- EDPB Richtlijnen 03/2022, Deceptive design patterns in social media platform interfaces
- Wet van 13 juni 2005 betreffende de elektronische communicatie
Dit is technische analyse, geen juridisch advies.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Gratis scan startenWebsite-handleidingen
GDPR-checklist KMO België: website-verplichtingen 2026
Praktische AVG/GDPR checklist voor Belgische KMO's. Wat moet je wettelijk vermelden op je website? Welke boetes riskeer je? Gratis scan inbegrepen.
Cookiebanner dark patterns: 12 verboden trucs in België
De 12 verboden cookiebanner-patronen volgens EDPB-taxonomie. GBA Mediahuis-dwangsom, IAB Europe-saga en wat de scanner na reject-all detecteert.
Privacyverklaring voorbeeld België: gratis generator
Gratis privacyverklaring generator voor Belgische bedrijven. Belgisch-specifieke vereisten: GBA als toezichthouder, Wet van 30 juli 2018, ondernemingsnummer.