Het begrijpen van de cookiewetgeving en het implementeren van effectieve oplossingen voor toestemmingsbeheer is cruciaal geworden voor elke website. Deze gids onderzoekt de verschillen tussen Europese en Amerikaanse regelgeving, analyseert hoe Google Consent Mode werkt en vergelijkt de belangrijkste oplossingen voor toestemmingsbeheer.
Het begrijpen van de cookiewetgeving en het implementeren van effectieve oplossingen voor toestemmingsbeheer is van cruciaal belang geworden voor elke website. Deze gids onderzoekt de verschillen tussen Europese en Amerikaanse regelgeving, analyseert hoe Google Consent Mode werkt en vergelijkt de belangrijkste oplossingen voor toestemmingsbeheer, met de nieuwste updates voor 2025.
In Europa worden de bescherming van persoonlijke gegevens en online privacy voornamelijk geregeld door twee stukken wetgeving:
De GDPR, die in 2018 van kracht wordt, stelt strenge eisen aan de verwerking van persoonsgegevens en legt fundamentele beginselen vast:
Voor het verzamelen en verwerken van persoonsgegevens (inclusief online identificatiemiddelen zoals cookies) is een geldige rechtsgrondslag nodig, zoals uw uitdrukkelijke toestemming, een legitiem belang of een contractuele verplichting.
Overtredingen van de GDPR kunnen leiden tot zeer hoge boetes, tot 4% van de wereldwijde omzet van het bedrijf.
De ePrivacy-richtlijn (2002/58/EG, gewijzigd in 2009) richt zich specifiek op privacy in elektronische communicatie, inclusief het gebruik van cookies en trackingtechnologieën.
Artikel 5(3) van de richtlijn stelt dat het verplicht is om de voorafgaande toestemming van de gebruiker te verkrijgen voordat informatie op zijn of haar apparaat wordt opgeslagen of geraadpleegd, behoudens uitzonderingen (zoals strikt noodzakelijke technische cookies).
In de praktijk betekent dit dat Europese websites:
Europese privacyautoriteiten hebben overtredingen actief bestraft: zo heeft de Franse CNIL tussen 2020 en 2022 boetes opgelegd aan Google en Amazon voor het plaatsen van tracking cookies zonder geldige toestemming.
In maart 2024 werd de Digital Markets Act (DMA) van de EU van kracht, die de toestemmingsvereisten voor grote technologieplatforms verder aanscherpte en het beheer van cookies en tracking aanzienlijk beïnvloedde. Dit heeft ertoe geleid dat bedrijven zoals Google hun oplossingen voor toestemmingsbeheer hebben bijgewerkt.
In februari 2025 heeft de Europese Commissie haar voorstel voor een nieuwe ePrivacy-verordening officieel ingetrokken, waardoor de bestaande richtlijn van kracht blijft. Dit betekent dat de toestemmingsvereisten voor cookies blijven zoals ze nu zijn, nog steeds bindend en onderworpen aan strikte handhaving in heel Europa.
Het Europese Hof van Justitie heeft in maart 2024 een belangrijke uitspraak gedaan in de IAB TCF-zaak, met belangrijke gevolgen voor de implementatie van het Transparency & Consent Framework, dat bedrijven nog steeds aan het verwerken zijn.
In tegenstelling tot de EU is er in de VS geen algemene federale privacywetgeving die vergelijkbaar is met de GDPR. Regulering vindt plaats op staats- en sectorniveau, met belangrijke ontwikkelingen in de afgelopen jaren.
De CCPA, die in 2020 van kracht werd, is versterkt door de CPRA (van kracht sinds 2023), waardoor het nog dichter bij het Europese model komt.
Het CPRA heeft:
Tussen 2023 en 2025 onderging het privacylandschap in de Verenigde Staten een snelle evolutie:
Vanaf januari 2025 hebben maar liefst 20 Amerikaanse staten een uitgebreide privacywetgeving, met acht nieuwe wetten die in 2025 van kracht worden. Dit betekent dat ongeveer 40% van de Amerikaanse consumenten nu digitale privacyrechten heeft. De versnippering van de regelgeving vormt echter een grote uitdaging voor bedrijven, die moeten navigeren tussen vaak vergelijkbare maar niet identieke vereisten.
Californië blijft in de voorhoede, met de CPPA vooral actief in 2024-2025. Het agentschap heeft verschillende belangrijke boetes opgelegd, waaronder een boete van $ 6,75 miljoen aan een cloudsoftwarebedrijf in 2024. Het agentschap heeft ook nieuwe voorgestelde regels uitgevaardigd voor cyberbeveiliging, risicobeoordelingen en geautomatiseerde besluitvormingstechnologieën (ADMT), met een openbare commentaarperiode tot juni 2025.
Een van de meest relevante ontwikkelingen op het gebied van cookiebeheer is dat Californië de definitie van 'gevoelige persoonlijke informatie' heeft uitgebreid met 'neurale gegevens' (informatie die wordt gegenereerd door het meten van de activiteit van het zenuwstelsel) en heeft verduidelijkt dat persoonlijke informatie ook digitale en abstracte formaten omvat, zoals die welke worden gegenereerd door kunstmatige intelligentie.
Delaware heeft een privacywet aangenomen die, in tegenstelling tot andere, non-profitorganisaties en academische instellingen niet vrijstelt van de dekking, waardoor de reikwijdte aanzienlijk wordt vergroot.
In tegenstelling tot de EU blijft het Amerikaanse model voornamelijk gebaseerd op opt-out in plaats van voorafgaande toestemming. Een site in de VS die EU-gebruikers bedient, zal daarom een GDPR-conforme banner moeten gebruiken voor die gebruikers, terwijl voor gebruikers in de VS gewoon een mededeling en een opt-out-link kunnen worden weergegeven zonder cookies vooraf te blokkeren.
Het Interactive Advertising Bureau (IAB) Europe heeft het Transparency & Consent Framework (TCF) ontwikkeld als een industriestandaard om bedrijven te helpen bij het beheren van toestemming van gebruikers in overeenstemming met GDPR en de ePrivacy-richtlijn, met name relevant in de context van digitale reclame.
Het TCF heeft verschillende versies gehad:
TCF v2.2 introduceerde belangrijke veranderingen:
In april 2025 openden IAB Tech Lab en IAB Europe de TCF v2.3 technische specificatie voor publiek commentaar, met een commentaarperiode tot 19 mei 2025. De update is bedoeld om verkopers meer duidelijkheid te bieden in specifieke scenario's waarin het onduidelijk is of gegevens aan de gebruiker zijn verstrekt, wat met name belangrijk is wanneer een verkoper van plan is gegevens te verwerken voor Speciale Doeleinden op basis van gerechtvaardigd belang.
De tijdlijn voor TCF v2.3 omvat:
Om sites en adverteerders te helpen de toestemmingskeuzes van gebruikers te respecteren, heeft Google Consent Mode geïntroduceerd, een technische oplossing die het gedrag van Google-tags aanpast aan de toestemmingsstatus van de gebruiker.
In november 2023 lanceerde Google Consent Mode V2, met verplichte implementatie in maart 2024 voor sites die Google-services gebruiken en gegevens verzamelen van gebruikers in de Europese Economische Ruimte (EER). Deze update is speciaal ontworpen om aan te sluiten bij de Digital Markets Act (DMA) van de EU.
Consent Mode V2 introduceert twee nieuwe parameters naast de oorspronkelijke:
In tegenstelling tot ad_storage en analytics_storage hebben deze nieuwe parameters geen invloed op het gedrag van de tags op de site zelf, maar zijn het aanvullende parameters die naar Google-services worden verzonden om aan te geven hoe gebruikersgegevens kunnen worden gebruikt.
Google Consent Mode V2 heeft twee implementatiemodi:
Het is belangrijk om op te merken dat sommige privacyexperts twijfels hebben geuit over de naleving van de regelgeving voor gegevensbescherming door de geavanceerde modus, omdat 'pings' persoonlijke gegevens kunnen vertegenwoordigen die zonder toestemming worden verwerkt.
Zonder de toestemmingsmodus van Google kunnen reclameplatforms geen gegevens over nieuwe EER-gebruikers verwerven, waardoor de mogelijkheid om doelgroepgegevens te verzamelen, de effectiviteit van campagnes te meten en gerichte reclamestrategieën te implementeren aanzienlijk wordt beperkt.
Met Consent Mode V2 kunnen websites doorgaan met het verzamelen van analytische basisgegevens, zelfs als gebruikers geen toestemming hebben gegeven voor cookies, door middel van geavanceerde modelleringstechnieken die de voorkeuren voor toestemming respecteren.
.png)
Om aan al deze regels te voldoen, gebruiken websites Consent Management Platforms (CMP) die banners en interfaces bieden om de toestemming van gebruikers te verkrijgen en mechanismen om deze keuzes te respecteren.
De IAB speelt een sleutelrol in de certificering van CMP's via het TCF raamwerk. Een IAB TCF v2.2 gecertificeerde CMP moet:
In 2023-2024 introduceerde Google specifieke certificeringsvereisten voor CMP's die Google Ads in de EU en het VK willen ondersteunen, met als belangrijkste vereiste een bijgewerkte naleving van het IAB TCF. Door Google gecertificeerde CMP's kunnen Google Ads producten gebruiken en zijn opgenomen in een officiële lijst.
Een oplossing speciaal gericht op sites die zijn gebouwd met Webflow, met volledige ondersteuning voor IAB TCF v2.2 en Google Consent Mode v2.
Voordelen:
Nadelen:
Ideaal voor: ontwikkelaars of bureaus die met Webflow werken en totale controle en een ontwerp op maat willen.
Een plug-and-play oplossing die is bijgewerkt om IAB TCF v2.2 en Google Consent Mode v2 te ondersteunen, nu met Gold-certificering als Google CMP Partner.
Voordelen:
Nadelen:
Ideaal voor: kleine sites of eigenaars die snel aan de slag willen.
Iubenda is een Italiaans bedrijf dat een complete suite van compliance tools aanbiedt, volledig geüpdatet om IAB TCF v2.2 en Google Consent Mode v2 te ondersteunen.
Voordelen:
Nadelen:
Ideaal voor: bedrijven die op zoek zijn naar een professionele en uitgebreide oplossing met minimaal onderhoud.
Een van de eerste populaire SaaS CMP oplossingen, nu onderdeel van het Usercentrics platform.
Voordelen:
Nadelen:
Ideaal voor: middelgrote sites en bedrijven die cookiebeheer willen overlaten aan automatisering.
Een opkomende CMP die een complete oplossing biedt voor integratie met Google Consent Mode V2 en IAB TCF v2.2.
Voordelen:
Nadelen:
Ideaal voor: bedrijven die op zoek zijn naar een oplossing gericht op integratie met Google Consent Mode V2.
Voor grote multinationale organisaties zijn er enterprise CMP's zoals OneTrust, TrustArc, Didomi, Usercentrics, Osano, enz.
Voordelen:
Nadelen:
Ideaal voor: grote bedrijven met wereldwijde aanwezigheid en complexe behoeften op het gebied van consensusbeheer.
Aanpassing aan de cookie/privacy-regelgeving vereist zowel een juridisch begrip van de verschillende regelgevingen als de implementatie van geschikte technische oplossingen.
In Europa overheerst een strikt regime van voorafgaande toestemming, terwijl in de VS de opt-out met transparantieverplichting overheerst, hoewel de wetten van de staten geleidelijk evolueren in de richting van strengere normen en dichter bij het Europese model komen.
Tools zoals Google Consent Mode V2 en IAB TCF v2.2/v2.3 helpen de kloof tussen marketing en privacy te overbruggen, waardoor sites analyses en advertentieservices kunnen gebruiken terwijl ze voldoen aan de cookiewetgeving.
De keuze van het platform voor toestemmingsbeheer hangt af van factoren zoals de grootte van de site, de beschikbare technische middelen, het budget en de behoefte aan multinationale naleving. Het belangrijkste is dat gebruikers echte controle krijgen over hun gegevens en dat de site transparant en in overeenstemming met de toepasselijke wetgeving kan werken.
Bedrijven die actief zijn in zowel Europa als de VS zullen moeten blijven navigeren door een complex en veranderend regelgevingslandschap, waarbij ze hun oplossingen voor toestemmingsbeheer moeten aanpassen aan verschillende rechtsgebieden.
In Europa (GDPR en ePrivacy-richtlijn) geldt een opt-in model: er moet expliciete toestemming van de gebruiker worden verkregen voordat niet-essentiële cookies worden gebruikt. In de VS daarentegen (CCPA/CPRA en andere staatswetten) geldt een opt-out model: cookies kunnen worden gebruikt totdat de gebruiker hier expliciet bezwaar tegen maakt en bedrijven moeten een duidelijke manier bieden om zich af te melden voor de verkoop/het delen van gegevens.
Alleen 'strikt noodzakelijke' (of 'technische') cookies kunnen zonder toestemming worden gebruikt in Europa. Hieronder vallen cookies die essentieel zijn voor de werking van de site, zoals cookies voor verificatie, voor het opslaan van items in een e-commerce winkelwagentje of voor de beveiliging van de site.
Google Consent Mode V2 is een interface die toestemmingskeuzes van gebruikers communiceert met Google. Het introduceert vier toestemmingsparameters (ad_storage, analytics_storage, ad_user_data, ad_personalisation) die het gedrag van Google-tags bepalen. Het is belangrijk omdat het sites in staat stelt een balans te vinden tussen het meten van prestatiemarketing en naleving van de privacywetgeving. Het is vanaf maart 2024 verplicht voor sites die Google-services gebruiken in Europa.
De keuze hangt af van verschillende factoren: grootte en verkeer van de site, beschikbaar budget, interne technische expertise, platform waarop de site is gebouwd (bijv. Webflow, WordPress) en specifieke compliance-eisen. Het is ook belangrijk om te controleren of de CMP IAB TCF v2.2 gecertificeerd is en Google Consent Mode V2 ondersteunt, vooral als Google advertentiediensten gebruikt.
In Europa, technisch gezien wel. Zelfs als de site alleen essentiële cookies gebruikt, is het nog steeds noodzakelijk om gebruikers te informeren over welke cookies worden gebruikt. In dit geval is het echter niet nodig om toestemming te vragen, dus kan de banner worden vereenvoudigd tot een informatieve mededeling die geen interactie vereist.
In Europa kunnen overtredingen van de GDPR boetes opleveren tot 4% van de wereldwijde jaaromzet of €20 miljoen, afhankelijk van welk bedrag het hoogst is. In Californië kunnen overtredingen van de CCPA/CPRA leiden tot civielrechtelijke boetes van maximaal $ 2.500 per onopzettelijke overtreding en $ 7.500 per opzettelijke overtreding, evenals mogelijke rechtszaken tegen consumenten. Toezichthouders zijn actiever geworden in de handhaving, met een aantal aanzienlijke boetes in de afgelopen jaren.
Nee, Google Consent Mode V2 vervangt de banner cookie niet, maar werkt ermee samen. Er is nog steeds een systeem nodig om toestemming van de gebruiker te verzamelen (CMP), dat vervolgens voorkeuren doorgeeft aan Google Consent Mode om het taggedrag te reguleren.
De beste oplossing is om een systeem te implementeren dat de geografische locatie van de gebruiker herkent en de juiste interface weergeeft: een opt-in banner voor Europese gebruikers en een opt-out melding voor Amerikaanse gebruikers. De meest geavanceerde CMP's bieden deze geo-targeting functionaliteit.
Het IAB Transparency & Consent Framework (TCF) is een industriestandaard die bedrijven helpt bij het beheren van toestemming van gebruikers in overeenstemming met GDPR en de ePrivacy-richtlijn, met name in de context van digitale reclame. Het biedt een gestandaardiseerd mechanisme voor het verzamelen, opslaan en delen van gebruikersvoorkeuren voor toestemming tussen uitgevers, adverteerders en advertentietechnologieleveranciers. De nieuwste versie, TCF v2.2, is ontworpen om de transparantie en controleerbaarheid te verbeteren en is ontwikkeld in reactie op richtlijnen van gegevensbeschermingsautoriteiten.
TCF v2.3, momenteel in openbare raadpleging tot mei 2025, is bedoeld om meer duidelijkheid te bieden aan verkopers in specifieke scenario's waarin het onduidelijk is of gegevens aan de gebruiker zijn verstrekt. Dit onderscheid is met name van belang wanneer een verkoper van plan is gegevens te verwerken voor speciale doeleinden op basis van gerechtvaardigd belang. De technische specificaties zullen naar verwachting eind mei 2025 gereed zijn, met een implementatiedeadline van 1 februari 2026.
.svg)
.svg)
.svg)
.jpeg)
.jpeg)
