U heeft een cookiebanner op uw website geïnstalleerd en denkt dat u in orde bent. Helaas is een banner die een “Accepteren”-knop toont niet voldoende. Hij moet scripts van derden daadwerkelijk blokkeren totdat de gebruiker toestemming heeft gegeven. En daar falen de meeste gratis oplossingen — en zelfs sommige betaalde.
In 2026 laadt een gemiddelde website 20 tot 40 scripts van derden: analytics, advertenties, chat, video-embeds, heatmaps, marketingtools. Als uw banner er zelfs maar enkele laat passeren vóór toestemming, overtreedt u artikel 11.7a van de Telecommunicatiewet en potentieel de AVG. De Autoriteit Persoonsgegevens (AP) en andere Europese toezichthouders hebben tussen 2020 en 2025 honderden bedrijven op deze grond gesanctioneerd.
Dit artikel somt de 37 meest over het hoofd geziene trackers op bij gratis banners, legt uit hoe u uw huidige configuratie kunt verifiëren en vergelijkt de technische aanpak van de belangrijkste oplossingen op de markt.
Test uw website gratis in 10 seconden →
Waarom 37 diensten? De checklist 2026
We hebben de honderd meest bezochte websites in Nederland geaudit en de lijst opgesteld van diensten van derden die systematisch problemen opleveren voor AVG-conformiteit. Het resultaat: 37 diensten die elke serieuze cookiebanner standaard moet detecteren en blokkeren.
Analytics & heatmaps (14 diensten)
| Dienst | Uitgever | Cookie zonder toestemming? |
|---|---|---|
| Google Analytics 4 | ❌ Illegaal | |
| Google Tag Manager | ❌ Illegaal (als het niet-geaccepteerde tags triggert) | |
| Hotjar | Contentsquare | ❌ Illegaal |
| Microsoft Clarity | Microsoft | ❌ Illegaal |
| Matomo (zelf gehost) | Matomo | ⚠️ Vrijgesteld indien geconfigureerd in cookieless modus |
| Plausible | Plausible | ✅ Vrijgesteld (cookieless) |
| Mixpanel | Mixpanel | ❌ Illegaal |
| Segment | Twilio | ❌ Illegaal (afhankelijk van bestemmingen) |
| Amplitude | Amplitude | ❌ Illegaal |
| Heap | Heap | ❌ Illegaal |
| FullStory | FullStory | ❌ Illegaal |
| LogRocket | LogRocket | ❌ Illegaal |
| Pendo | Pendo | ❌ Illegaal |
| Smartlook | Smartlook | ❌ Illegaal |
Onthoud: alleen Plausible en Matomo in cookieless modus kunnen zonder toestemming worden geladen. Alle anderen vereisen een actieve opt-in.
Advertenties & social marketing (12 diensten)
| Dienst | Uitgever | Cookie zonder toestemming? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Illegaal |
| TikTok Pixel | TikTok | ❌ Illegaal |
| Google Ads | ❌ Illegaal | |
| LinkedIn Insight Tag | Microsoft | ❌ Illegaal |
| Pinterest Tag | ❌ Illegaal | |
| Twitter/X Pixel | X | ❌ Illegaal |
| Snapchat Pixel | Snap | ❌ Illegaal |
| Reddit Pixel | ❌ Illegaal | |
| Quora Pixel | Quora | ❌ Illegaal |
| Outbrain | Outbrain | ❌ Illegaal |
| Taboola | Taboola | ❌ Illegaal |
| Marketo | Adobe | ❌ Illegaal |
Een Meta Pixel die zonder toestemming wordt geladen is een van de vaakst gesanctioneerde overtredingen door Europese toezichthouders. De Autoriteit Persoonsgegevens heeft tussen 2023 en 2025 meerdere publieke uitspraken gedaan op deze grond.
Video-embeds & kaarten (3 diensten)
| Dienst | Uitgever | Cookie zonder toestemming? |
|---|---|---|
| YouTube | ❌ Illegaal (behalve modus youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Illegaal |
| Google Maps | ❌ Illegaal |
Veel websites integreren een YouTube-video op hun homepage zonder zich te realiseren dat de YouTube-iframe circa dertig cookies laadt nog voordat de gebruiker op Play klikt. Een conforme banner moet de iframe vervangen door een wachtscherm (consent wall) tot de toestemming.
Chat & klantenservice (7 diensten)
| Dienst | Uitgever | Cookie zonder toestemming? |
|---|---|---|
| Intercom | Intercom | ❌ Illegaal |
| Crisp | Crisp | ❌ Illegaal |
| Tawk.to | Tawk | ❌ Illegaal |
| Zendesk Messaging | Zendesk | ❌ Illegaal |
| Drift | Drift | ❌ Illegaal |
| Olark | Olark | ❌ Illegaal |
| HubSpot | HubSpot | ❌ Illegaal |
Supportchats vormen een specifiek probleem: ze worden door webmasters als “functioneel” beschouwd, terwijl ze in werkelijkheid identificatie-, locatie- en navigatiegegevens verzamelen — dus toestemmingsplichtig.
Strikte vrijstelling (1 dienst)
Slechts één dienst ontsnapt aan toestemming: Stripe voor de strikt noodzakelijke cookies voor betalingsbeveiliging (fraudepreventie). Zelfs daar zijn alleen de beveiligingssessie-cookies vrijgesteld, niet de bijbehorende marketingcookies.
De vergelijking van cookiebanners (april 2026)
Voordat u een banner installeert, controleer objectief wat deze dekt. Hieronder een vergelijking van de meest voorkomende oplossingen, op basis van technische en verifieerbare criteria.
| Criterium | WebLegal CCB | Typische gratis banner | Commerciële oplossing (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Prijs | Gratis, zonder beperking op sites of pagina’s | Gratis maar vaak beperkt (1 domein, < 100 pagina’s, watermark) | Betaald vanaf de 1e serieuze site of beperkt tot 1 domein |
| Standaard gedetecteerde trackers | 37 diensten + uitbreidbare regex | Meestal 5 tot 15 | 20 tot 30 |
| Onderhouden talen | 14 EU-talen + 16 fallbacks | 1 tot 3 (Engels + 2 andere) | 10 tot 50 afhankelijk van het plan |
| Google Consent Mode v2 | 7 signalen op 7 (waaronder security_storage) | Vaak onvolledig (3 tot 5 signalen) | 7 op 7 in betaalde versie |
| Vervangingsscherm (consent wall) voor embeds | 9 embeds gelokaliseerd (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Zeldzaam, vaak afwezig | Gedeeltelijk, afhankelijk van plannen |
| Scriptgrootte | 40 KB niet-geminified (~12 KB gzip) | 30 tot 60 KB | 80 tot 300 KB (OneTrust: 300+ KB) |
| Open / auditbare code | ✅ Leesbare code, bewust niet-geminified | Variabel | Zelden (geobfusceerd, geminified) |
| Automatische detectie van bestaande CMP | ✅ 36 CMP’s herkend (voor anti-conflict scanner) | Nee | Gedeeltelijk |
| Third-party hosting (AVG) | Script geserveerd vanaf weblegal.ai (EER) | Variabel (vaak US CDN) | Vaak US CDN (transfer buiten EU te vermelden) |
Onderscheidende punten van WebLegal CCB:
- Het lichtste op de markt onder de complete oplossingen. Een script van 40 KB (12 KB gzip) tegen 80 tot 300 KB voor alternatieven. Minder latency, betere Core Web Vitals-score, positieve SEO-impact.
- Bewust niet-geminified. De code is leesbaar voor een ontwikkelaar, een FG of een AP-expert. Dit is een transparantie- en conformiteitsargument: u kunt precies rechtvaardigen wat de banner op uw site doet.
- Echte lokalisatie van vervangingsschermen. Wanneer een Duitse gebruiker een geblokkeerde YouTube-video tegenkomt, is het wachtscherm in het Duits, niet standaard in het Engels. Dezelfde logica voor Vimeo, Spotify, Instagram, TikTok, enz.
- Volledige Consent Mode v2 sinds april 2026. De 7 Google-signalen worden al bij de eerste laadbeurt uitgezonden en vervolgens bijgewerkt na toestemming. Geen verlies van Google Ads-conversies door een ontbrekend signaal.
Hoe uw huidige banner te testen
Voordat u van oplossing verandert, test wat uw banner vandaag daadwerkelijk doet. Twee praktische methoden:
Methode 1 — Automatische scanner (30 seconden)
Voer uw URL in op onze conformiteitsscanner. Deze analyseert uw pagina in een headless browser, detecteert de cookies die vóór het klikken op “Accepteren” worden geplaatst en lijst de diensten op die zonder toestemming worden geladen. Resultaat in 10 seconden, zonder registratie.
Methode 2 — Chrome DevTools (5 minuten)
- Open uw site in incognitomodus
- F12 → tab Application → Cookies (vóór enige interactie)
- Bekijk de reeds geplaatste cookies: als u iets anders ziet dan uw eigen sessiecookies +
wl_cc_consent(of equivalent), heeft u een probleem - Tab Network, filter
XHR/Fetch→ bekijk de verzoeken naargoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: elk verzoek vóór klik is een overtreding
Methode 3 — Speciale extensie
De Chrome-extensie CMP Verifier (gratis) simuleert een bezoeker die heeft geweigerd en vervolgens geaccepteerd, en vertelt u of de toestemmingsregels zijn nageleefd. Zeer nuttig om de conformiteit te documenteren voor uw FG.
De vier meest voorkomende fouten
Fout 1 — De banner verschijnt maar blokkeert niets
Dit is de meest voorkomende fout bij gratis WordPress-plugins van het type “plaats een banner in 1 klik”. De plugin toont de banner, registreert de toestemming… maar raakt de scripts niet aan. Google Analytics blijft laden. Resultaat: u heeft de bannermoeite gedaan zonder enig juridisch voordeel.
Hoe te verifiëren: pas Methode 2 hierboven toe. Als u _ga- of _fbp-cookies ziet voordat u heeft geklikt, is het bevestigd.
Fout 2 — YouTube/Vimeo embeds laden toch
Zelfs als uw banner Google Analytics blokkeert, laat deze vaak <iframe src="https://www.youtube.com/embed/...">-iframes die rechtstreeks in uw pagina’s zijn geïntegreerd toch passeren. Elk daarvan laadt 20 tot 30 Google-cookies.
Oplossing: de banner moet de iframe dynamisch vervangen door een wachtscherm met “Deze video gebruikt cookies. Accepteer om hem te bekijken.” Dit is de consent wall — standaard bij WebLegal CCB, optioneel of afwezig bij veel anderen.
Fout 3 — De modus “alles weigeren” is niet gelijkwaardig aan “alles accepteren”
Europese toezichthouders eisen sinds 2021 dat weigeren even eenvoudig is als accepteren. Als uw banner een grote groene “Alles accepteren”-knop aanbiedt maar “Weigeren” verbergt achter een tekstlink van drie klikken, bent u in overtreding. Gedocumenteerde EU-boetes tussen 2022 en 2025 op deze grond: meer dan 50 publieke uitspraken.
Fout 4 — De banner blokkeert Googlebot
Sommige banners verschijnen ook voor indexeringsrobots, wat door Google kan worden geïnterpreteerd als een misbruikelijk interstitial en uw SEO kan schaden. Een moderne banner moet bekende User-Agents (Googlebot, Bingbot, DuckDuckBot) detecteren en hun crawl niet verstoren.
Status bij WebLegal CCB: functionaliteit op planning — zie onze publieke roadmap (issue #174).
Installeer WebLegal CCB in 2 minuten
Als u na het lezen besluit te migreren, is hier de procedure:
- Ga naar weblegal.ai/nl/cookie-banner/
- Vul uw sitenaam in en de cookiecategorieën die u gebruikt
- Kopieer het snippet (één regel
<script src="...">) - Plak het vóór enig ander script van derden in de
<head>-tag van uw site - Test via Methode 1 hierboven
Nul registratie, nul bankkaart, nul limiet op pagina’s of domeinen. Het snippet is één enkel script van 40 KB gehost op weblegal.ai — uw site laadt niets anders zolang de bezoeker niet met de banner interacteert.
FAQ
Is mijn gratis WordPress-banner voldoende?
Waarschijnlijk niet. De meerderheid van gratis plugins toont een banner maar blokkeert de scripts niet. Test met Methode 2 (DevTools) om het zeker te weten. Als u _ga, _fbp, _gcl_au of .hotjar.com-cookies ziet voordat u heeft geklikt, bent u in overtreding.
Kunnen we ons beperken tot “strikt noodzakelijke cookies”?
Ja, op voorwaarde dat u daadwerkelijk geen enkele analytische, reclame- of third-party chat-tracker gebruikt. Concreet: geen Google Analytics, geen Facebook Pixel, geen geïntegreerde YouTube, geen Google Maps, geen Intercom. Een blogsite zonder enige marketingtool kan het zonder. Een e-commerce site: nooit.
Zijn betaalde banners beter?
Niet automatisch. Een betaalde banner biedt meestal meer talen en gepolijstere beheerinterfaces, maar niet noodzakelijk een betere blokkeringskwaliteit. De scriptgrootte (soms 200-300 KB bij OneTrust) kan ook uw SEO via Core Web Vitals schaden.
Hoe de conformiteit van mijn banner aantonen aan de Autoriteit Persoonsgegevens?
Bewaar drie elementen:
- de code van het gebruikte script (of de publieke URL zoals
https://weblegal.ai/js/wl-cookie-consent.js) - een periodieke scan van uw eigen site (screenshot + rapport)
- een toestemmingsregister — het bewijs dat u de keuze van de gebruiker opslaat
Bij WebLegal wordt de toestemming opgeslagen in een wl_cc_consent-cookie met datum en categorieën, waarvan het formaat publiekelijk gedocumenteerd is.
Moet de banner getoond worden aan bezoekers van buiten de EU?
Ja standaard. Het is technisch mogelijk de banner te beperken tot EU-bezoekers, maar dat wordt niet aangeraden:
- als een niet-EU-bezoeker zich aanmeldt met een EU-account, moet u diens rechten respecteren
- vergelijkbare regelgeving bestaat nu in het Verenigd Koninkrijk (UK GDPR), Californië (CCPA), Brazilië (LGPD), en breidt zich uit naar andere jurisdicties
- de UX-consistentie is beter met een universele banner
Samengevat
De conformiteit van een cookiebanner berust op drie technische criteria:
- Hij moet de 20 tot 40 gangbare scripts van derden daadwerkelijk detecteren en blokkeren — niet alleen een banner tonen.
- Hij moet de volledige Consent Mode v2 (7 Google-signalen) implementeren om uw marketingdata te behouden.
- Hij moet embeds vervangen (YouTube, Vimeo, Maps, enz.) door gelokaliseerde wachtschermen.
Een test van 10 seconden met onze scanner vertelt u waar u staat. Een migratie naar WebLegal CCB duurt 2 minuten, kost nul euro en dekt de 37 hier vermelde diensten.