Agnes staat voor een gesloten deur met het label 'ePrivacy Reform' en houdt een actielijst vast

Cookiewet 2026: de ePrivacy-hervorming komt er nooit — dit doe je nu

GDPR, Compliance

Na acht jaar wachten is het antwoord er eindelijk: de ePrivacy-verordening komt er niet. Op 11 februari 2026 heeft de Europese Commissie het voorstel officieel ingetrokken. Geen nieuwe Europese cookiewet. Geen vereenvoudiging van de huidige regels. De deur is gesloten.

Dat is het goede nieuws, op een scheve manier. Als je hebt gewacht met het aanpassen van je cookiebanner tot de nieuwe regels er waren, is het wachten voorbij. Niet omdat de regels zijn vereenvoudigd, maar omdat ze er gewoon niet komen.

Het slechte nieuws: de huidige regels gelden onverminderd, en de Autoriteit Persoonsgegevens handhaaft in 2026 strenger dan op enig moment in de afgelopen vijf jaar. Als je consent-setup niet op orde is, is dit het moment om dat te regelen. Niet volgend jaar, nu.

Waarom komt de ePrivacy-verordening er nooit?

De onderhandelingen over de ePrivacy-verordening begonnen in 2017 en liepen vast op vrijwel elk onderdeel. Lidstaten waren het oneens over uitzonderingen voor nationale veiligheid, regels voor machine-to-machine communicatie, en de gevolgen voor advertentiegefinancierde media. Na acht ronden van pogingen had niemand een meerderheid voor een compromistekst.

De Europese Commissie koos voor een pragmatische uitweg: beperkte aanpassingen aan de bestaande regels via het Digital Omnibus-pakket, in plaats van een volledig nieuwe verordening. Dat pakket is primair een administratieve vereenvoudigingsoperatie, geen fundamentele herziening van cookiewetgeving.

Het resultaat: de ePrivacy-richtlijn uit 2002 blijft de basis, aangevuld met de AVG. De regels die nu gelden, zijn de regels waarmee je het doet.

Wat verandert er dan wel via de Digital Omnibus?

Niet veel, en niets dat je dagelijkse compliance-werk raakt. De Digital Omnibus voert twee technische aanpassingen door.

Ten eerste worden dubbele meldplichten geschrapt. Beveiligingsincidenten en datalekken moesten onder zowel de ePrivacy-richtlijn als de AVG (artikelen 32 tot 34) worden gemeld. Die overlap verdwijnt. Dat scheelt administratie, maar verandert niets aan je cookiebeleid.

Ten tweede wordt artikel 5 lid 3 van de ePrivacy-richtlijn licht aangepast voor bepaalde opslag op apparaten die al volledig onder de AVG valt. Technische randgevallen voor ontwikkelaars; geen impact op standaard cookiebanners.

Wat niet verandert: de vereiste voor voorafgaande toestemming voor niet-noodzakelijke cookies, de verplichting om gebruikers een echte keuze te geven, en de regels voor transparante informatieverstrekking. Die blijven precies zoals ze zijn.

Strengere handhaving door de AP in 2026

De AP heeft haar handhavingsprioriteiten voor 2026 gepubliceerd en noemt pre-consent tracking en dark patterns expliciet als de twee hoogste prioriteiten. Dat zijn geen vage beleidsambities. Het EDPB's Coordinated Enforcement Framework voor 2026 laat 25 nationale toezichthouders tegelijk onderzoek doen naar transparantie en toestemming. Bedrijven worden op dit moment aangeschreven.

Waar kijkt de AP specifiek naar? Er zijn vijf patronen die in de huidige handhavingspraktijk steeds terugkomen.

Scripts die laden vóór toestemming. Advertentiepixels, analytics-tags en trackingcode die al actief zijn voordat de gebruiker op 'accepteren' heeft geklikt. Dit is de meest voorkomende overtreding.

Cookiebanners zonder een duidelijke 'weigeren'-knop. Een banner met alleen 'alles accepteren' en 'instellingen beheren' is een dark pattern. De optie om te weigeren moet even makkelijk bereikbaar zijn als de optie om te accepteren.

Vooraf aangevinkte selectievakjes. Toestemming moet actief worden gegeven, niet het gevolg zijn van inactiviteit.

Gebundelde toestemming. Eén knop voor alle doeleinden, zonder mogelijkheid om per doel te kiezen.

Privacyverklaringen die geen specifieke informatie geven over welke cookies worden gebruikt en waarvoor.

Drie dingen die je nu moet regelen

Het is niet nodig om een groot project van te maken. De basis kan in een dag worden geregeld.

Voer een technische audit uit op je cookiebanner. Open je browser, ga naar de netwerkinspector (F12, tabblad Netwerk) en laad je website zonder cookies te accepteren. Controleer welke externe verzoeken er al worden gedaan vóórdat je iets hebt aangeklikt. Advertentiepixels van Google, Facebook, LinkedIn of Hotjar die al laden voordat toestemming is gegeven, zijn overtredingen. Die moeten pas na acceptatie laden. Dit is de check die de AP als eerste uitvoert.

Voeg een duidelijke 'alles weigeren'-knop toe aan je cookiebanner. Als je banner alleen 'alles accepteren' en 'instellingen beheren' biedt, voldoet hij niet aan de huidige AP-richtlijnen. De weigermogelijkheid moet even prominent zijn als de acceptatiemogelijkheid: zelfde niveau, zelfde visuele opmaak. Geen kleine link in grijs lettertype.

Breng je privacyverklaring up-to-date. Een sectie over cookies mag niet algemeen zijn. Beschrijf per cookiecategorie wat je gebruikt, voor welk doel, welke derde partijen de gegevens ontvangen en hoe lang de cookies bewaard blijven. 'Wij gebruiken cookies om onze dienst te verbeteren' is juridisch onvoldoende. De AP verwacht specifieke informatie.

Conclusie: wachten op vereenvoudiging is geen strategie

Bedrijven die wachtten op de ePrivacy-hervorming voordat ze hun consent-setup zouden aanpassen, hebben acht jaar gewacht. Het wachten is officieel voorbij, maar niet op de manier die ze hoopten. De deur is gesloten, de regels zijn niet vereenvoudigd, en de AP staat klaar om te handhaven.

De drie stappen hierboven kosten een dag werk en verlagen het risico om in de actieve handhavingscyclus van 2026 terecht te komen direct en aantoonbaar.

Wil je je AVG-compliance structureel in orde maken? ComplianceHive helpt je de gebieden in kaart te brengen die de AP in 2026 het meest controleert. Bekijk ook de AVG-functionaliteit voor een overzicht.


Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis