Hoofdstukken 02 In werking: 2002 (gewijzigd 2009)

ePrivacy-richtlijn

Richtlijn betreffende privacy en elektronische communicatie

Overzicht

De ePrivacy-richtlijn (ePD), vaak de "cookie-wet" genoemd, vult de AVG aan door specifieke regels te bieden voor privacy in elektronische communicatie. Het behandelt vertrouwelijkheid van communicatie, gebruik van trackingtechnologieën en directe marketing.[1]

Als richtlijn varieert de implementatie per lidstaat. De voorgestelde ePrivacy-verordening werd officieel ingetrokken in februari 2025, wat betekent dat de richtlijn de toepasselijke wet blijft.

Relatie met AVG

  • ePD is lex specialis: Gaat voor op de AVG voor elektronische communicatie
  • AVG-principes gelden: Toestemming onder ePD moet voldoen aan AVG-standaarden
  • Gezamenlijke handhaving: Beide regels worden gehandhaafd door gegevensbeschermingsautoriteiten

Belangrijkste vereisten

Cookie-toestemming (Artikel 5(3))[2]

Toestemming is vereist voordat informatie op het apparaat van een gebruiker wordt geplaatst of uitgelezen:

Type cookieToestemming vereist?
Strikt noodzakelijkNee (uitzondering)
Voorkeur/functionele cookiesJa
Analytics/statistiekenJa (sommige rechtsgebieden staan uitzonderingen toe)
AdvertentieJa
Tracking door derdenJa

Vereisten voor toestemming

Geldige toestemming moet zijn:

  • Vooraf: Verkregen voordat cookies worden geplaatst
  • Vrij gegeven: Echte keuze zonder nadelen bij weigering
  • Specifiek: Duidelijk over doeleinden en soorten cookies
  • Geïnformeerd: Gebruikers begrijpen welke gegevens worden verzameld
  • Ondubbelzinnig: Duidelijke bevestigende handeling vereist
  • Intrekbaar: Gebruikers kunnen voorkeuren eenvoudig wijzigen

Best practices voor cookiebanners

DoenNiet doen
Bied gedetailleerde keuzesVooraf aangevinkte toestemmingsvakken
Maak "Alles weigeren" even opvallendVerberg weigering achter meerdere klikken
Sla bewijs van toestemming opCookies plaatsen vóór toestemming
Maak intrekking eenvoudigMaak intrekking moeilijker dan toestemming
Duidelijke, eenvoudige taalTechnisch jargon

Vertrouwelijkheid van communicatie (Artikel 5)

  • Verbod op onderschepping en toezicht
  • Technische opslag noodzakelijk voor transmissie is toegestaan
  • Inhoud en metadata zijn gelijk beschermd

Directe marketing (Artikel 13)

TypeVereiste
Email/SMS-marketingVoorafgaande opt-in toestemming vereist
Bestaande klantenSoft opt-in voor vergelijkbare producten (met eenvoudige opt-out)
B2B-marketingRegels verschillen per lidstaat

Ongevraagde communicatie

  • Identiteit van afzender mag niet worden verborgen
  • Geldig opt-out mechanisme vereist
  • Nationale "niet bellen" registers moeten worden gerespecteerd

Voorgestelde Digital Omnibus-wijzigingen (2025)

De Europese Commissie heeft voorgesteld om cookie-regels te stroomlijnen via het "Digital Omnibus"-pakket:[3]

  • Bepaalde ePD-bepalingen overbrengen naar de AVG
  • Uitzonderingen uitbreiden voor analytics- en beveiligingscookies
  • Gecentraliseerde toestemmingssignalen mogelijk maken om "toestemmingsmoeheid" te verminderen

Opmerking: Deze voorstellen zijn nog niet aangenomen. De huidige ePD-vereisten blijven van kracht.

Handhavingsvoorbeelden

AutoriteitEntiteitBoeteReden
CNIL (Frankrijk)Google€150MOvertredingen cookie-toestemming
CNIL (Frankrijk)Facebook€60MMoeilijke cookie-weigering
ICO (VK)MeerdereWaarschuwingenVerborgen weigeringen
AEPD (Spanje)Verschillende€10K-100KOnjuiste toestemming verzameling

Checklist voor ontwikkelaars

Cookie-toestemmingsbanner

  • Verkrijg toestemming voordat niet-essentiële cookies worden geplaatst
  • Bied gedetailleerde categoriecontroles
  • Maak "Alles weigeren" even toegankelijk
  • Sla toestemmingsgegevens en tijdstempels op
  • Sta eenvoudige intrekking van toestemming toe
  • Blokkeer scripts van derden tot toestemming is gegeven

Technische vereisten

  • Controleer alle cookies en trackingtechnologieën
  • Categoriseer op doel en noodzaak
  • Documenteer cookie-doeleinden en bewaartermijnen
  • Zorg dat scripts toestemmingssignalen respecteren
  • Implementeer toestemmingssync voor subdomeinen

Bronnen & Referenties

[1]
Richtlijn 2002/58/EG betreffende privacy in elektronische communicatie. EUR-Lex: ePrivacy-richtlijn
[2]
Artikel 5(3) zoals gewijzigd door Richtlijn 2009/136/EG. GDPR.eu: Cookie-wet
[3]
Voorstel Europese Commissie Digital Omnibus, november 2025. EC: Digital Omnibus