Leestijd: 7 minuten | Update: November 2025
In september 2024 legde de Gegevensbeschermingsautoriteit (GBA) RTL Belgium een boete op van €40.000 per dag voor non-conforme cookiebanners. De beslissing (156/2024) schokte de Belgische mediawereld en stuurde een duidelijke boodschap: de tijd van “cookie fatigue” en ondoordachte implementaties is voorbij.
Als je een website hebt – en laten we eerlijk zijn, wie heeft die niet – is dit artikel essentieel. Ik leg uit wat er mis ging bij RTL, wat de GBA nu verwacht, en hoe je jouw website compliant krijgt.
Wat Ging Er Mis bij RTL Belgium?
RTL Belgium exploiteert populaire websites zoals rtl.be, clubrtl.be en plug.be. De GBA constateerde vijf ernstige overtredingen:
1. Pre-checked boxes (vooraf aangevinkte vakjes)
RTL’s cookiebanner had vooraf aangevinkte vakjes voor marketing- en analytische cookies. Gebruikers moesten actief uitvinken om tracking te weigeren.
Probleem: Dit is geen vrije toestemming. De AVG vereist een actieve, bewuste keuze (opt-in), geen passieve acceptatie.
2. Misleidende banner-teksten
De banner beloofde gebruikers “controle over hun data”, maar gaf hen in werkelijkheid geen eerlijke keuze. De accepteerknop was prominent, de weigerknop verstopt.
Probleem: Dark patterns – gebruikers manipuleren om toestemming te geven.
3. Cookies geplaatst vóór toestemming
Toen onderzoekers de RTL-websites bezochten, werden onmiddellijk tracking cookies geplaatst, nog vóórdat er op “Accepteren” werd geklikt.
Probleem: Cookies mogen alleen na expliciete toestemming worden geplaatst (met uitzondering van strikt noodzakelijke cookies).
4. Geen eenvoudige weigeroptie
Om alle cookies te weigeren, moesten gebruikers door meerdere schermen navigeren en tientallen categorieën handmatig uitvinken.
Probleem: Weigeren moet net zo gemakkelijk zijn als accepteren.
5. Onduidelijke cookie-informatie
De cookieverklaring was vaag en onvolledig. Gebruikers konden niet zien welke partijen hun data precies ontvingen.
Probleem: Transparantie is een kernprincipe van de AVG.
De Gevolgen: €40.000 per Dag
De GBA legde niet alleen een boete op, maar gebruikte ook een dwangsom: RTL moet per dag dat ze non-compliant blijven €40.000 betalen, met een maximum van €400.000.
Dit is significant. Voorheen waren Belgische GDPR-boetes relatief mild vergeleken met andere EU-landen. Deze beslissing markeert een verschuiving naar strengere handhaving.
3 Lessen voor Jouw Website
Les 1: Cookie consent is niet optioneel
Veel websites hebben nog steeds:
- Geen cookiebanner
- Een banner die alleen “OK” zegt (geen weigeroptie)
- Een banner die toestemming “vraagt” maar cookies al plaatst
Actie: Check jouw website. Open je site in een incognito venster en kijk wat er gebeurt:
- Verschijnt er een cookiebanner voordat de pagina laadt?
- Kun je gemakkelijk alle cookies weigeren?
- Worden er cookies geplaatst zonder jouw toestemming?
Les 2: De GBA controleert actief
RTL Belgium is geen toeval. De GBA maakte in haar Strategisch Plan 2020-2025 cookies tot één van vijf prioritaire handhavingsdomeinen. Verwacht meer controles.
Actie: Neem cookie compliance serieus. “Iedereen doet het zo” is geen verdediging.
Les 3: Dark patterns zijn uit den boze
Technieken zoals:
- “Alles accepteren” in een grote groene knop, “Weigeren” klein en grijs
- Verbergen van weigeropties achter meerdere klikken
- Vooraf aangevinkte vakjes
- Tijdsdruk creëren (“Accepteer binnen 10 seconden”)
Actie: Behandel je gebruikers met respect. Geef hen een echte keuze.
Welke Cookies Mag Je Zonder Toestemming Plaatsen?
Niet alle cookies vereisen toestemming. Er zijn 3 categorieën:
1. Strikt noodzakelijke cookies ✅ Geen toestemming nodig
Definitie: Cookies die essentieel zijn voor de basisfunctionaliteit van de website.
Voorbeelden:
- Sessie-cookies (ingelogd blijven tijdens je bezoek)
- Winkelmandje-cookies
- Beveiligingscookies (CSRF-bescherming)
- Cookie consent-cookies (om je keuze te onthouden)
Let op: “Noodzakelijk” betekent echt onmisbaar. Je kunt niet claimen dat Google Analytics “noodzakelijk” is.
2. Functionele cookies ⚠️ Toestemming vereist (maar discussie mogelijk)
Definitie: Cookies die de gebruikerservaring verbeteren maar niet essentieel zijn.
Voorbeelden:
- Taalvoorkeur onthouden
- Voorkeuren voor video-kwaliteit
- Chat-widget cookies
Grijze zone: Sommige juristen stellen dat taalvoorkeur geen toestemming vereist. De GBA heeft hier geen definitief standpunt over. Veiligste keuze: vraag toestemming.
3. Analytische, marketing en tracking cookies ❌ Toestemming verplicht
Definitie: Alle cookies die gebruikersgedrag tracken voor analyse, advertenties of profilering.
Voorbeelden:
- Google Analytics
- Facebook Pixel
- Hotjar
- LinkedIn Insight Tag
- Alle advertentie-netwerk cookies
Geen uitzonderingen. Ook niet voor “geanonimiseerde” analytics.
Checklist: Is Jouw Cookiebanner AVG-Proof?
Gebruik deze checklist om je cookiebanner te evalueren:
Basis Vereisten
- [ ] Er wordt GEEN enkele cookie geplaatst voordat ik mijn keuze maak (behalve strikt noodzakelijke)
- [ ] De banner verschijnt voordat de pagina volledig laadt
- [ ] Ik kan gemakkelijk alle niet-noodzakelijke cookies weigeren
- [ ] “Weigeren” is net zo prominent als “Accepteren” (zelfde grootte, kleur, positie)
Inhoudelijke Vereisten
- [ ] De banner legt duidelijk uit wat cookies zijn
- [ ] Ik kan per categorie cookies accepteren/weigeren (granulariteit)
- [ ] Er is een link naar de volledige cookieverklaring
- [ ] De cookieverklaring lijst alle cookies op (naam, doel, duur, derde partijen)
Technische Vereisten
- [ ] Mijn keuze wordt onthouden (cookie consent cookie)
- [ ] Ik kan mijn keuze later wijzigen (bijv. via een link in de footer)
- [ ] Na weigeren worden echt GEEN tracking cookies geplaatst
- [ ] Script-tags voor marketing cookies worden geblokkeerd tot toestemming
Dark Patterns Vermijden
- [ ] Geen vooraf aangevinkte vakjes
- [ ] Geen misleidende teksten (“Klik hier voor privacy”)
- [ ] Geen verborgen weigeropties
- [ ] Geen tijdsdruk of manipulatie
Score:
- 16-16 vinkjes: ✅ Perfect! Je bent compliant
- 12-15 vinkjes: ⚠️ Bijna goed, maar nog wat werk
- 8-11 vinkjes: ❌ Risico! Prioriteit om te fixen
- 0-7 vinkjes: 🚨 Ernstig! Je loopt GBA-risico
De 3 Meest Gebruikte Cookie Consent Tools (België)
Als je cookiebanner wilt implementeren of vervangen, zijn dit de populairste oplossingen:
1. Cookiebot (€9-€99/maand)
Voordelen:
- ✅ Automatische cookie-scanning
- ✅ Multi-language support (NL/FR/EN)
- ✅ Eenvoudige WordPress integratie
- ✅ Blokkeert cookies automatisch tot toestemming
Nadelen:
- ❌ Betaald (gratis versie beperkt tot 50 pagina’s/maand)
Voor wie: Professionele websites, e-commerce, bedrijven met meerdere websites
2. Complianz (Gratis WordPress plugin)
Voordelen:
- ✅ Volledig gratis
- ✅ Specifiek voor WordPress
- ✅ Wizard-setup (5 minuten)
- ✅ Belgische GBA-compliant
Nadelen:
- ❌ Alleen WordPress
- ❌ Premium features zijn betaald (€59/jaar)
Voor wie: WordPress websites, KMO’s, startups
3. CookieYes (Gratis – €10/maand)
Voordelen:
- ✅ Gratis tot 25.000 pageviews/maand
- ✅ Platform-onafhankelijk (werkt overal)
- ✅ GDPR + ePrivacy compliant
- ✅ Makkelijk aanpasbaar design
Nadelen:
- ❌ Automatische cookie-scanning alleen in betaalde versie
Voor wie: Kleine websites, blogs, freelancers
Google Analytics: Het Grootste Cookie Probleem
75% van Belgische websites gebruikt Google Analytics. En dat is een probleem.
Waarom Google Analytics (nog steeds) risicovol is:
- Datatransfer naar VS: Google stuurt data naar Amerikaanse servers
- Geen volledige controle: Je kunt niet alle tracking uitschakelen
- Moeilijk te anonimiseren: IP-anonimisatie is niet waterdicht
Opties:
Optie 1: Google Analytics met consent
- Plaats GA alleen na expliciete toestemming
- Gebruik IP-anonimisatie
- Sluit een DPA af met Google (gratis, via Google Analytics settings)
Optie 2: Switch naar privacy-vriendelijke alternatieven
- Matomo Cloud (€19/maand) – Volledige data ownership, EU hosting
- Plausible (€9/maand) – Simpel, cookie-less, privacy-first
- Fathom ($14/maand) – No cookies, GDPR-compliant by design
Optie 3: Server-side tracking
- Implementeer Google Analytics via server-side tagging
- Complexer, maar meer controle
Mijn advies voor KMO’s:
Als je onder de 50.000 bezoekers/maand zit: overweeg een switch naar Plausible of Fathom. Ze zijn goedkoper, eenvoudiger, en je hoeft geen uitgebreide cookiebanner te implementeren.
Voor grotere websites of als je echt geavanceerde analytics nodig hebt: gebruik Google Analytics, maar wel met correcte consent.
De Toekomst: Cookie-less Tracking
De industrie verschuift naar cookie-less alternatieven:
1. Server-side tracking
Data wordt direct op je eigen server verzameld en dan doorgestuurd naar analytics platforms.
Voordeel: Meer controle, minder afhankelijk van third-party cookies
Nadeel: Technisch complexer
2. First-party data strategie
Focus op data die je direct van gebruikers krijgt (nieuwsbriefaanmeldingen, accounts, aankopen).
Voordeel: Hoogwaardige, betrouwbare data
Nadeel: Kleinere dataset
3. Privacy-first analytics
Tools zoals Plausible en Fathom gebruiken geen cookies en zijn compliant by design.
Voordeel: Geen cookie consent nodig
Nadeel: Minder gedetailleerde data
Moet Jij Je Cookieverklaring Updaten?
Waarschijnlijk ja. Veel websites hebben verouderde cookieverklaringen die niet voldoen aan de AVG.
Een goede cookieverklaring bevat:
- Lijst van alle cookies (naam, doel, duur, partij)
- Categorieën (noodzakelijk, functioneel, analytisch, marketing)
- Derde partijen die cookies plaatsen (Google, Facebook, etc.)
- Hoe toestemming werken (opt-in/opt-out)
- Hoe cookies beheren (browser-instellingen, banner)
- Contactgegevens voor vragen
Template: Download mijn gratis cookieverklaring template [hier – link naar lead magnet]
Praktisch: Stap-voor-stap Naar Cookie Compliance
Stap 1: Scan je website (10 minuten)
Gebruik een gratis tool om te zien welke cookies jouw website plaatst:
- Cookiebot cookie checker
- OneTrust cookie checker
- Mijn gratis GDPR Scanner [link]
Stap 2: Categoriseer je cookies (15 minuten)
Verdeel alle cookies in:
- Strikt noodzakelijk
- Functioneel
- Analytisch
- Marketing
Stap 3: Kies een consent tool (30 minuten)
Implementeer Cookiebot, Complianz, CookieYes of een ander platform.
Stap 4: Configureer blokkering (20 minuten)
Zorg dat analytische en marketing cookies echt geblokkeerd worden tot toestemming.
Test dit: Open je site in incognito, weiger alle cookies, en check of tracking cookies alsnog geplaatst worden.
Stap 5: Update je cookieverklaring (30 minuten)
Schrijf een duidelijke, volledige cookieverklaring en link ernaar vanuit je banner én footer.
Stap 6: Documenteer (10 minuten)
Voeg cookie consent toe aan je GDPR-register (register van verwerkingsactiviteiten).
Totale tijdsinvestering: ~2 uur
Hulp Nodig met Cookie Compliance?
Cookie compliance is complexer dan het lijkt. Als je niet zeker weet of jouw website compliant is, of als je liever een expert laat kijken, help ik je graag.
Als DPO en EADPP-gecertificeerd consultant heb ik tientallen websites GDPR-proof gemaakt.
Wat ik kan doen:
- ✅ Gratis cookie scan van je website
- ✅ Advies over welke consent tool past bij jouw situatie
- ✅ Implementatie en configuratie
- ✅ Cookieverklaring opstellen
- ✅ Volledige AVG-audit (incl. cookies)
Interesse?
Veelgestelde Vragen
Q: Hoeveel kost een AVG-conforme cookiebanner? A: Gratis (Complianz) tot €99/maand (Cookiebot Pro). Voor de meeste KMO’s is €9-29/maand voldoende.
Q: Mag ik Google Analytics nog gebruiken? A: Ja, mits je eerst toestemming vraagt. Alternatief: switch naar privacy-vriendelijke tools zoals Plausible.
Q: Wat als ik geen cookies gebruik? A: Dan heb je geluk! Maar check toch of externe scripts (Google Fonts, YouTube embeds) geen cookies plaatsen.
Q: Moet ik een DPA hebben met Google Analytics? A: Ja. Dit is gratis te regelen via Google Analytics settings → Data Processing Amendment.
Q: Hoe lang moet ik cookie consent bewaren? A: De GBA specificeert dit niet exact, maar 12-24 maanden is gebruikelijk. Daarna opnieuw toestemming vragen.
Q: Wat als ik geen cookiebanner heb? A: Als je ENKEL strikt noodzakelijke cookies gebruikt, is een banner niet verplicht. Maar je moet dit wel kunnen aantonen.
