Websitecompliance in Finland: cookies, AVG en toegankelijkheid

Finland past dezelfde EU-regels toe als de rest van de unie — AVG voor persoonsgegevens, ePrivacy voor cookies en opslag, en de European Accessibility Act voor toegankelijkheid — maar de uitvoering heeft twee bijzonderheden: het cookietoezicht is verdeeld over twee toezichthouders, en Finland stopte vroeg met „toestemming" via browserinstellingen. Deze gids brengt de drie kaders in kaart zoals ze in 2026 voor een Finse website gelden.

De drie geldende kaders

• AVG + Tietosuojalaki. De AVG geldt rechtstreeks, aangevuld door de Finse Wet bescherming persoonsgegevens (Tietosuojalaki, 1050/2018). De toezichthouder is de Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
• ePrivacy via de Act on Electronic Communications Services. De cookie-opslagregel is §205 van wet 917/2014, onder toezicht van Traficom.
• EAA via de Act on the Provision of Digital Services. De European Accessibility Act is uitgevoerd via wijzigingen van bestaande wetten, waaronder wet 306/2019, van toepassing vanaf 28 juni 2025.

Cookies: §205 en actieve toestemming

Volgens §205 van de Act on Electronic Communications Services vereist het opslaan of uitlezen van informatie op de randapparatuur van de gebruiker toestemming, tenzij de opslag strikt noodzakelijk is om de gevraagde dienst te leveren. Analytische cookies zoals _ga of _pk_id zijn niet strikt noodzakelijk en vereisen dus voorafgaande opt-in-toestemming.

De doorslaggevende verschuiving kwam in 2021. Nadat de plaatsvervangend Ombudsman in mei 2020 oordeelde dat verwijzen naar de privacy-instellingen van de browser geen voldoende actieve en uitdrukkelijke toestemming is, gaven Traficom en de Office of the Data Protection Ombudsman gezamenlijk herziene cookierichtlijnen uit voor dienstverleners. De kernpunten:

• Toestemming moet een actieve, bevestigende handeling zijn — geen voorgeselecteerde vakjes, geen impliciete toestemming.
• Niet-essentiële cookies mogen niet vóór die toestemming worden geplaatst.
• Weigeren moet net zo makkelijk zijn als accepteren.
• „Toestemming" via browserinstellingen is niet langer aanvaardbaar.

Finse rechters hebben de handhaving van de cookiewetgeving sindsdien versterkt, dus deze richtlijn kan niet zonder risico worden genegeerd. Ze sluit aan bij de EU-consensus over weigeren-pariteit en over welk kader cookies regelt.

Twee toezichthouders, twee vragen

Het verdeelde model van Finland is van belang omdat het verandert tegenover wie u staat:

• Traficom (via haar Cyber Security Centre) houdt toezicht op de opslag-regel — de §205-vraag of er überhaupt informatie op het apparaat mag worden geplaatst of uitgelezen.
• De Office of the Data Protection Ombudsman houdt toezicht op de verwerking — de AVG-vraag of de persoonsgegevens die de cookies verzamelen rechtmatig worden verwerkt, met geldige toestemming en de vereiste informatie.

Een Finse site heeft beide nodig: een geldige opslagtoestemming onder §205, en een geldige AVG-grondslag en -informatie voor wat volgt.

Toegankelijkheid: wet 306/2019 en de EAA

De Act on the Provision of Digital Services (306/2019) vereist sinds 2019 toegankelijkheid van de publieke sector en bepaalde publiek gefinancierde en essentiële diensten, gemeten aan EN 301 549 — in de praktijk WCAG 2.1 niveau A en AA. De European Accessibility Act breidde de verplichtingen vervolgens uit naar veel consumentgerichte private producten en diensten vanaf 28 juni 2025. Opmerkelijk: Finland voerde de EAA grotendeels uit door bestaande wetgeving te wijzigen(waaronder wet 306/2019) in plaats van één nieuwe wet.

De toezichthouder voor digitale toegankelijkheid is de Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), die de eisen onder meer met dwangsommen onder de Threatened Fines Act (1113/1990) kan handhaven.

Een praktische checklist voor een Finse site

1. Geen niet-essentiële cookie, pixel of opslagactie gaat af vóór de actieve toestemming.
2. Toestemming is via een bevestigende handeling — niet via browserinstellingen, geen voorgeselecteerde vakjes.
3. Weigeren is net zo makkelijk en prominent als Accepteren.
4. Een privacyverklaring noemt de trackers en de AVG-grondslag voor de verwerking.
5. De site voldoet aan WCAG 2.1 AA (EN 301 549) voor consumentgerichte content.

Hoe Veracly een Finse website controleert

Veracly toetst een Finse URL in één scan aan alle drie de kaders. De cookiemodule legt elke aanvraag, cookie en opslagactie vóór de banner-interactie vast en signaleert tekortkomingen in de opslagtoestemming (afgaan vóór toestemming, leunen op browserinstellingen, geen gelijkwaardige weigerroute). De toegankelijkheidsmodule draait axe-core tegen de gerenderde DOM voor WCAG 2.1 AA. Elke bevinding is door uzelf te reproduceren in de DevTools en is gekoppeld aan het kader dat zij raakt.

Zie ook: Websitecompliance in Nederland · Een site over meerdere jurisdicties auditen · De EAA voor het mkb