De EU pleit voor “browser based cookie consent”: goed nieuws of juist niet?

Wat stelt de Europese Commissie precies voor?

De voorgestelde hervorming maakt deel uit van de bredere “Digital Omnibus” en wil de bestaande cookieregels moderniseren. Concreet worden de bepalingen over cookies ondergebracht binnen het handhavingskader van de GDPR, waardoor ze strikter en uniformer toegepast kunnen worden.

Toestemming blijft daarbij de hoofdregel, maar er komt een expliciete uitzondering voor een beperkt aantal gevallen. Je zal geen toestemming meer nodig hebben wanneer je:

• een dienst levert die de gebruiker zelf expliciet heeft gevraagd;
• zuiver technische communicatie mogelijk maakt;
• enkel werkt met strikt interne, geaggregeerde statistieken (zonder datadeling of profiling);
• maatregelen neemt voor veiligheid en onderhoud van het toestel of de dienst.

 

Voor alle andere verwerkingen verandert er eigenlijk niets: third-party analytics, social media pixels, remarketing tags, gepersonaliseerde advertenties, A/B testingtools en zelfs sommige cookieloze pings blijven gewoon onderworpen aan de toestemmingsverplichting. Let wel: ook tools die op het eerste gezicht first-party lijken, zoals Google Analytics 4 of Google Tag Manager, vallen in de praktijk vaak buiten de uitzondering. GTM zelf is immers een derde partij en laadt scripts van Google of andere platformen, nog vóór de gebruiker toestemt. En GA4 is nauw verbonden met het bredere Google Ads-ecosysteem, waardoor ook daar voorafgaande toestemming vereist blijft. De vaak gehoorde verwachting dat “de helft van de websites straks geen cookiebanner meer nodig heeft” is dus weinig realistisch.

 

Daarnaast introduceert het voorstel een mechanisme waarmee gebruikers via hun browserinstellingen standaard kunnen aangeven dat ze bepaalde soorten cookies, zoals marketingcookies, niet wensen. Dat zou hen toelaten om al op voorhand, en voor alle websites tegelijk, bepaalde vormen van tracking te weigeren. Maar wie dacht dat websites daardoor geen toestemming meer hoeven te vragen, komt bedrogen uit. Zo’n standaardinstelling mag immers niet beschouwd worden als een impliciete toestemming voor het plaatsen van cookies. Als je als website eigenaar toch marketingcookies of andere niet-essentiële cookies wil plaatsen, zal je nog altijd een cookiebanner of een ander toestemmingssysteem moeten gebruiken dat expliciet, vrij en geïnformeerd toestemming vraagt aan de gebruiker. Zodra je bijvoorbeeld aan cross-site analytics of profilering doet, blijft een banner onvermijdelijk.

 

Op dat vlak verandert er dus weinig ten opzichte van de huidige regels. Bovendien geldt de verplichting om die browser-signalen te respecteren bizar genoeg niet voor mediaplatformen, die om ons geheel onduidelijke redenen een uitzondering krijgen. Het zijn in onze ogen precies die mediaplatformen die in veel gevallen in het verleden het grootste probleem stelden…  De voorgestelde uitzondering creëert op het eerste zicht toch een oneerlijke en moeilijk te verdedigen voorkeurspositie voor grote mediabedrijven.

 

Een andere vernieuwing is het verbod op zogenaamde ‘nag loops’. Als een gebruiker vandaag een cookiebanner weigert, dan verschijnt die banner vaak bij elk volgend bezoek opnieuw. Dat zal niet meer mogen. Eens geweigerd, mag een website de gebruiker minstens zes maanden lang niet opnieuw vragen voor datzelfde doeleinde. Ook dat veronderstelt een correct werkend first-party mechanisme om die voorkeuren lokaal bij te houden én te respecteren. Belangrijk om te nuanceren: dit zesmaandenverbod is nieuw als expliciete wettelijke bepaling, maar staat ook al in de richtlijnen van de GBA van oktober 2023. 

 

Indien de voorstellen zoals ze nu op tafel liggen, uiteindelijk worden aangenomen, dan zal dat inhouden dat:

• gebruikers cookies met één klik moeten kunnen weigeren of aanvaarden;
• websites die keuze op een eenvoudige en duidelijke manier moeten aanbieden;
• gemaakte keuzes minstens zes maanden moeten worden gerespecteerd;
• gebruikers hun voorkeuren centraal moeten kunnen instellen, bijvoorbeeld via hun browserinstellingen;
• websites die voorkeuren moeten respecteren;
• cookies die geen risico inhouden voor de privacy, zoals eenvoudige bezoekersstatistieken, geen expliciete toestemming meer zouden vereisen;
• inbreuken op deze regels zouden kunnen leiden tot boetes tot vier procent van de wereldwijde jaaromzet van het betrokken bedrijf.

Hoewel de plannen dus op tafel liggen, is het wetgevingsproces nog maar net gestart. Eerst moet het voorstel goedgekeurd worden door zowel de Raad van de EU als het Europees Parlement, waarna het eventueel nog op nationaal niveau zal worden omgezet in wetgeving. De kans is groot dat er tijdens dat proces nog aanpassingen gebeuren.

Wat is de verwachte timing?

De Europese Commissie heeft aangegeven dat zij het formele wetsvoorstel nog dit jaar neerlegt bij het Europees Parlement en de Raad. Daarna volgen intensieve onderhandelingen, amendementen en eventuele herwerkingen in 2026. In een optimistisch scenario kan de wet eind 2026 of in de loop van 2027 worden goedgekeurd. Vervolgens zal er nog nationale omzetting, technische standaardisatie en praktische toepassing moeten gebeuren, waardoor de eerste daadwerkelijke toepassing ten vroegste tegen eind 2027 mag worden verwacht. Gezien de politieke agenda is het bovendien zeer goed mogelijk dat dit proces nog vertraging oploopt.

Met andere woorden, het zal nog minstens een tweetal jaar duren vooraleer de nieuwe regels effectief van toepassing worden. Tot zolang verandert er in de praktijk dus niets, en blijven de huidige regels volledig van kracht.

Goed voor de gebruiker of eerder nadelig voor vertrouwen en engagement?

In ons boek “Cookies en online tracking” wezen we er al op dat eerdere voorstellen rond een browser-based opt-out systeem, zoals voorzien in het geflopte ePrivacy-verhaal, geen goed idee waren. De nieuwe plannen lijken helaas opnieuw diezelfde richting uit te gaan.

Het uitgangspunt dat gebruikers via hun browser of toestelinstellingen hun privacyvoorkeuren centraal zouden kunnen instellen, klinkt op papier aantrekkelijk. In de praktijk dreigt dat echter neer te komen op een binaire keuze: tracking toestaan of tracking blokkeren. Daar houdt het op. Die versimpeling is problematisch, want net de mogelijkheid om selectief te kunnen delen, is voor veel gebruikers belangrijk. Misschien vertrouw je merk X, en wil je met dat merk wél data delen. Tegelijk wil je je gegevens misschien niet zomaar laten gebruiken door een anoniem advertentieplatform of een willekeurige derde partij. Die nuance verdwijnt volledig in een gecentraliseerd opt-outmodel.

Voor bedrijven die hun publiek zorgvuldig opbouwen, en investeren in long term engagement, customer trust en transparante communicatie, is dit geen goed nieuws. Hun relatie met de gebruiker, gebaseerd op waardevolle content en correct datagebruik, wordt in de kiem gesmoord door een systeem dat standaard alle toegang afsluit.

Privacy gaat niet over blokkeren, maar over kiezen. Dat gaat niet noodzakelijk over minder data, maar over ethisch omgaan met data. Een duurzame datastrategie vergt vertrouwen, en dat bouw je op door gebruikers heldere keuzes te geven, niet door hun keuzes vooraf in te perken.

Wat blijft vandaag gelden, en waar zit het verschil met het voorstel?

Tot nader order zijn het de bestaande cookieregels die gelden, zoals uitgewerkt door de Gegevensbeschermingsautoriteit (GBA) en de andere Europese toezichthouders. In onze gratis whitepaper analyseren we hoe een correcte cookiebanner eruit ziet, aan de hand van de richtlijnen van de GBA.

Zo is het vandaag al verplicht om een knop te voorzien waarmee gebruikers alle cookies kunnen weigeren, op dezelfde zichtbare en toegankelijke manier als de knop om cookies te aanvaarden. De toestemming moet hernieuwd worden na zes maanden, nudging is niet toegelaten, de categorieën van cookies moeten afzonderlijk worden benoemd, partners moeten expliciet worden vermeld en het moet mogelijk zijn om de toestemming eenvoudig in te trekken. Al deze vereisten blijven onverminderd van kracht, tot op het moment dat er nieuwe regels goedgekeurd en geïmplementeerd worden.

Wat het voorstel eventueel toevoegt, is een meer geharmoniseerde Europese aanpak. Daarbij wordt het beheer van voorkeuren gecentraliseerd, en worden sommige functioneel onschuldige cookies vrijgesteld van toestemming. Toch blijft het overgrote deel van de compliancevereisten inhoudelijk onveranderd. Bovendien moeten we kritisch blijven bij de economische beloftes van de Commissie. De veronderstelling dat de helft van de websites straks geen cookiebanner meer nodig zou hebben, is op zijn minst optimistisch. Slechts een absolute minderheid van de websites komt volgens ons de facto in aanmerking om cookiebanners in de toekomst achterwege te laten.

Wat verandert er concreet voor jouw website?

Op dit moment verandert er niets. De Europese plannen zijn nog niet goedgekeurd en moeten nog een volledig wetgevingsproces doorlopen. Tot zolang blijven de bestaande regels van kracht. Die zijn streng en worden actief gehandhaafd.

Wij zien vandaag nog regelmatig uitgebreide inspectierapporten van de Gegevensbeschermingsautoriteit binnenkomen. Eén enkele klacht van een bezoeker is voldoende om een grondige inspectie op gang te trekken. De GBA gaat daarbij zeer ver, zowel op juridisch als op technisch vlak. We zien dossiers waarin bedrijven geconfronteerd worden met boetes van duizenden tot tienduizenden euro’s, enkel en alleen omdat hun cookiebanner niet aan de regels voldoet of omdat de gebruikte toestemming ongeldig blijkt.

Wachten op toekomstige versoepelingen is geen optie. Wie vandaag zijn cookiemodel niet op orde heeft, neemt reële juridische risico’s.

Als de voorstellen er in hun huidige vorm doorkomen, zal je als organisatie wel degelijk bijkomende stappen moeten zetten:

• Je zal centraal ingestelde voorkeuren van gebruikers moeten kunnen herkennen en respecteren.
• De technische compatibiliteit van je Consent Management Platform (CMP) met browsers en instellingen zal opnieuw onder de loep genomen moeten worden.
• Het wordt belangrijk om kritisch te kijken naar de mate waarin jouw analytics cookies echt onder de nieuwe uitzondering zouden kunnen vallen. Voor de meeste bedrijven die werken met geavanceerde analytics in een marketingcontext, is de kans klein dat hun tools onder de vrijstelling zullen vallen.

Actiepunten voor cookie compliance vandaag

Als je website momenteel nog niet cookie compliant is, bekijk dan zeker volgende zaken:

• welke cookies jouw organisatie gebruikt en in welke categorie die vallen;
• wat je communiceert in je cookiebanner;
• welke CMP je gebruikt en hoe die geconfigureerd is;
• of jouw systemen in staat zijn om straks centrale voorkeuren van gebruikers correct te interpreteren en te respecteren.

En vooral, stel jezelf de vraag of je databeleid klaar is voor de toekomst. Niet alleen om in regel te zijn, maar ook om het vertrouwen van je publiek te behouden. De wetgeving mag dan evolueren, het uiteindelijke doel blijft altijd hetzelfde: bouwen aan duurzame klantrelaties via respectvolle en waardevolle omgang met data.