Websitecompliance in Nederland: cookies, AVG en toegankelijkheid

Nederland is EU-lidstaat, dus de hoofdregels zijn dezelfde als in de hele unie: de AVG voor persoonsgegevens, de ePrivacy-richtlijn voor cookies en opslag, en de European Accessibility Act voor digitale toegankelijkheid. De valkuil is dat elk van deze een Nederlandse website bereikt via een andere nationale wet en een andere toezichthouder. Deze gids brengt de drie kaders in kaart zoals ze in 2026 werkelijk in Nederland gelden.

De drie geldende kaders

• AVG + UAVG. De AVG geldt rechtstreeks; de Uitvoeringswet AVG (UAVG) vult het nationale detail in. De toezichthouder is de Autoriteit Persoonsgegevens (AP).
• ePrivacy via de Telecommunicatiewet. De cookietoestemmingsregel is artikel 11.7a van de Telecommunicatiewet, in werking sinds 2012. Deze regel vereist de banner — niet de AVG.
• EAA via de Implementatiewet. De European Accessibility Act wordt omgezet door de Implementatiewet toegankelijkheidsvoorschriften producten en diensten, van toepassing op betrokken consumentenproducten en -diensten vanaf 28 juni 2025.

Cookies: artikel 11.7a Telecommunicatiewet

Artikel 11.7a vereist dat een website, vóór het opslaan of uitlezen van informatie op de randapparatuur van de gebruiker, duidelijk en volledig informeert over de doeleinden en toestemming verkrijgt. Twee smalle uitzonderingen gelden: een cookie die strikt noodzakelijk is om de communicatie te verzenden, en een cookie die strikt noodzakelijk is voor een uitdrukkelijk gevraagde dienst (bijvoorbeeld een sessie- of winkelwagencookie).

Al het andere — analytics, advertentiepixels, social embeds, A/B-tests, sessieopname — vereist voorafgaande opt-in-toestemming. Net als in de rest van de EU is de regel technologieneutraal: een cookie vervangen door localStorage of een trackingpixel ontkomt er niet aan.

De cookieaanpak van de AP

In 2025 maakte de Autoriteit Persoonsgegevens cookiebanners tot uitgesproken handhavingsprioriteit. Diverse organisaties ontvingen een „cookiebrief" met het verzoek niet-conforme banners te herstellen, en de AP onderzocht implementaties van Google Analytics 4. Het standpunt van de AP over bannerontwerp is concreet:

• Staat er op de eerste laag „Alles accepteren", dan moet daar ook „Alles weigeren" staan, even prominent.
• Een link „Instellingen" of „Beheren" telt niet als weigeren — weigeren moet net zo makkelijk zijn als accepteren.
• Geen niet-essentiële cookies of trackers mogen afgaan vóór actieve toestemming.

Dit weerspiegelt de bredere EU-consensus (zie ons artikel over weigeren-pariteit) en is verreweg het meest voorkomende reproduceerbare gebrek dat Veracly op Nederlandse sites aantreft.

Toegankelijkheid: de EAA in het Nederlandse recht

De European Accessibility Act geldt EU-breed vanaf 28 juni 2025. In Nederland wordt hij omgezet door de Implementatiewet toegankelijkheidsvoorschriften producten en diensten, die meerdere bestaande wetten wijzigt, waaronder de Warenwet, de Telecommunicatiewet en het Burgerlijk Wetboek. Voor digitale diensten moeten consumentgerichte websites, apps en webshops toegankelijk zijn — in de praktijk gemeten aan WCAG 2.1 AA via de geharmoniseerde norm EN 301 549.

De handhaving is verdeeld over toezichthouders afhankelijk van product of dienst; de Autoriteit Consument en Markt (ACM) houdt toezicht op e-commerce. Er geldt een micro-ondernemingsuitzondering voor diensten (minder dan 10 medewerkers en omzet of balanstotaal tot € 2 miljoen), maar die is smal en geldt niet voor producten. De publieke sector viel al afzonderlijk onder de Web Accessibility Directive.

Een praktische checklist voor een Nederlandse site

1. Geen niet-essentiële cookie, pixel of opslagactie gaat af vóór toestemming.
2. De banner biedt „Alles weigeren" op de eerste laag, even prominent als Alles accepteren.
3. Een privacyverklaring noemt de gebruikte trackers en de AVG/UAVG-grondslag.
4. Analytics (incl. GA4) is toestemmingsgebonden, en elke VS-doorgifte rust op een geldig mechanisme uit hoofdstuk V.
5. De site voldoet aan WCAG 2.1 AA (EN 301 549) voor consumentgerichte content.

Hoe Veracly een Nederlandse website controleert

Veracly toetst een Nederlandse URL in één scan aan alle drie de kaders. De cookiemodule registreert elke netwerkaanvraag, cookie en opslagactie die plaatsvindt vóór interactie met de banner en signaleert artikel 11.7a-problemen (afgaan vóór toestemming, ontbrekende weigerroute, banner afwezig). De toegankelijkheidsmodule draait axe-core tegen de gerenderde DOM voor WCAG 2.1 AA. Elke bevinding wordt gekoppeld aan het kader dat zij werkelijk raakt en is door uzelf te reproduceren in de DevTools van uw browser.

Zie ook: Websitecompliance in Finland · AVG vs ePrivacy: wat regelt cookies? · De EAA voor het mkb