Wat is de ePrivacy-wetgeving?
Kort antwoord
ePrivacy is de Europese wetgeving voor privacy in elektronische communicatie. De huidige basis is de ePrivacy-richtlijn uit 2002 — beter bekend als de cookiewet — die cookies, tracking, e-mailmarketing en de vertrouwelijkheid van berichten regelt. Een opvolger, de ePrivacy-verordening, ligt al sinds 2017 als voorstel op tafel maar is nog niet aangenomen.
Bijna iedereen kent ePrivacy zonder de naam te kennen: het is de wet achter elke cookiebanner die je wegklikt. Maar ePrivacy gaat veel verder dan cookies. Het regelt of je analytics mag draaien, of je open-tracking in je nieuwsbrief mag verwerken, en of de inhoud van een chatbericht vertrouwelijk blijft. Voor iedereen die software bouwt of laat bouwen, is dit het juridische kader dat bepaalt wat je technisch wel en niet mag inrichten.
De huidige regels staan in de ePrivacy-richtlijn (2002/58/EG), in 2009 aangescherpt door de zogenoemde Cookierichtlijn (2009/136/EG). Een richtlijn werkt niet rechtstreeks: elke lidstaat zet hem om in eigen wetgeving. In Nederland gebeurde dat via de Telecommunicatiewet (artikel 11.7a), de bepaling die we in de volksmond de cookiewet noemen.
ePrivacy versus de AVG: lex specialis voor communicatie
De meest gestelde vraag is hoe ePrivacy zich verhoudt tot de AVG. Het antwoord: ze vullen elkaar aan, maar ePrivacy gaat vóór waar het specifiek is. ePrivacy is lex specialis voor elektronische communicatie. De AVG is de algemene wet voor alle persoonsgegevens; ePrivacy is de bijzondere wet voor het deel dat over communicatie en eindapparatuur gaat.
Dat onderscheid heeft praktische gevolgen. De AVG kent zes grondslagen om gegevens te verwerken — toestemming is er één van, maar gerechtvaardigd belang ook. De cookieregel van ePrivacy kent die vrijheid niet: voor het plaatsen of uitlezen van niet-noodzakelijke informatie op een apparaat heb je altijd toestemming nodig, ongeacht of je daarvoor een gerechtvaardigd belang zou kunnen aanvoeren. De European Data Protection Board legde die voorrang vast in zijn opinie over de samenhang tussen de ePrivacy-richtlijn en de AVG.
De AVG vertelt je wanneer je gegevens mág verwerken. ePrivacy bepaalt eerst of je überhaupt iets op het apparaat van je bezoeker mag zetten of uitlezen. Die volgorde wordt vaak omgedraaid — en dan klopt je toestemmingsmodel niet.
Wat ePrivacy niet zelf invult, leent het van de AVG. De definitie van geldige toestemming — vrij, specifiek, geïnformeerd en met een ondubbelzinnige handeling gegeven — komt rechtstreeks uit de AVG. Een vooraf aangevinkt vakje of een cookiemuur die geen echte keuze laat, voldoet dus niet, ook niet onder ePrivacy.
Cookies en toestemming: de kern van de cookiewet
De bekendste ePrivacy-regel gaat over het opslaan en uitlezen van informatie op de eindapparatuur van een gebruiker. Let op de formulering: de wet noemt geen cookies bij naam. Hij is techniekneutraal en raakt dus net zo goed local storage, device fingerprinting, pixels en SDK-identifiers. Het criterium is de handeling — informatie wegschrijven of teruglezen — niet de technische verschijningsvorm.
De enige uitzondering waarvoor je geen toestemming nodig hebt, is strikt afgebakend. Geen toestemming vereist is:
- Communicatie-cookies: informatie die uitsluitend dient om een bericht over een netwerk te versturen.
- Strikt noodzakelijke cookies: informatie die nodig is voor een dienst die de gebruiker uitdrukkelijk heeft gevraagd — een winkelmandje, een ingelogde sessie, een taalkeuze.
Alles daarbuiten — analytics, A/B-tests, advertentietracking, social-media-embeds, heatmaps — vraagt vooraf om geldige toestemming. De Autoriteit Persoonsgegevens is daar in haar uitleg over cookies helder over: toestemming moet vooraf, actief en zonder drempels weigerbaar zijn. Weigeren hoort net zo makkelijk te zijn als accepteren.
Wat dit betekent voor je implementatie
Technisch dwingt dit een paar dingen af in je software. Tracking-scripts mogen pas laden ná toestemming, niet ervoor — een consent-banner die de analytics al heeft afgevuurd voordat je klikt, is in strijd met de regel. Je toestemmingsvoorkeur moet bovendien terug te draaien zijn en aantoonbaar geregistreerd worden. In de praktijk bouw je dat met een consent-laag die scripts conditioneel inlaadt en de keuze van de gebruiker vastlegt met tijdstip en versie.
E-mailmarketing en open-tracking
ePrivacy regelt ook ongevraagde elektronische communicatie. Het uitgangspunt is opt-in: je mag pas commerciële berichten sturen nadat de ontvanger daar toestemming voor heeft gegeven. Er is één bekende uitzondering, de soft opt-in: aan bestaande klanten mag je mailen over je eigen, vergelijkbare producten of diensten, mits de klant zich bij elke boodschap eenvoudig kan afmelden en dat ook bij het verzamelen van het adres al kon.
Minder bekend is dat ePrivacy ook de meting van e-mail raakt. Een onzichtbare pixel die registreert of en wanneer een mail is geopend, schrijft of leest informatie op het apparaat van de ontvanger. Daarmee valt open-tracking onder dezelfde toestemmingsregel als cookies. De Franse toezichthouder CNIL maakte dat in 2026 expliciet — wat dat concreet betekent voor je mailflows lees je in ons artikel over tracking pixels in e-mail.
Vertrouwelijkheid van communicatie
Het oudste en principieelste deel van ePrivacy gaat niet over marketing, maar over geheimhouding. De richtlijn verplicht tot vertrouwelijkheid van communicatie: meeluisteren, onderscheppen, opslaan of anderszins kennisnemen van berichten en de bijbehorende verkeersgegevens mag niet zonder toestemming van de betrokkenen. Dit beschermt niet alleen de inhoud van een bericht, maar ook de metadata eromheen — wie wanneer met wie communiceerde.
Voor wie communicatiesoftware bouwt — een chatfunctie, een berichtenmodule, een notificatiesysteem — is dit relevanter dan het lijkt. Het betekent dat je inhoud van berichten niet zomaar mag scannen, loggen of voor andere doelen hergebruiken. Logging die je voor debugging inricht, kan ongemerkt botsen met de vertrouwelijkheidsplicht als die berichtinhoud vasthoudt.
Vertrouwelijkheid van communicatie is geen cookie-detail. Het raakt de fundamenten van hoe je berichtenverkeer logt, opslaat en verwerkt — en het is precies het onderdeel dat in technische ontwerpen het vaakst over het hoofd wordt gezien.
De ePrivacy-verordening: al jaren in de wachtkamer
De huidige richtlijn dateert uit een tijd vóór smartphones, apps en grootschalige tracking. Daarom presenteerde de Europese Commissie in januari 2017 een voorstel voor een ePrivacy-verordening, bedoeld om gelijk op te lopen met de AVG en de richtlijn te vervangen. Een verordening werkt rechtstreeks in alle lidstaten, zonder nationale omzetting, en zou de versnippering tussen landen moeten wegnemen.
Maar het voorstel is sindsdien blijven steken. Waar de AVG in 2018 van kracht werd, onderhandelen de lidstaten in de Raad van de EU al jaren over de tekst zonder tot een definitief akkoord te komen. De belangrijkste twistpunten: hoe streng de cookieregels moeten worden, in hoeverre toestemming op browserniveau geregeld mag worden, en hoeveel ruimte er is voor tracking zonder expliciete opt-in. Het dossier geldt inmiddels als een van de meest moeizame in de Europese digitale wetgeving.
Voor de praktijk betekent dit: reken niet op de verordening om snel duidelijkheid te brengen. Tot er een akkoord ligt, blijft de richtlijn uit 2002 — in Nederland de Telecommunicatiewet — de norm. Houd er wel rekening mee dat de verordening, als hij er komt, scherpere eisen en zwaardere boetes meebrengt die aansluiten op het AVG-niveau. Software die nu netjes toestemming regelt en tracking conditioneel inlaadt, is straks het minst kwetsbaar voor verandering.
Mijn kijk op ePrivacy
Wat me na jaren bouwen opvalt, is dat ePrivacy bij teams bijna altijd is verschrompeld tot één ding: de cookiebanner. En meestal een slechte — met een grote "Accepteren"-knop en een weggemoffelde weigeroptie. Dat is niet alleen juridisch wankel, het is ook gewoon respectloos naar je bezoeker. De Digital Fairness Act gaat dit soort misleidende banners hard aanpakken, dus die schijnoplossing heeft sowieso z'n langste tijd gehad.
Ik vind het nuttiger om ePrivacy als ontwerpvraag te behandelen in plaats van als compliance-laagje achteraf. Welke tracking heb je écht nodig? Veel analytics kan privacyvriendelijk en zonder persoonsgegevens, en dan vervalt de toestemmingsvraag grotendeels. Bouw je consent-laag zo dat scripts pas ná de keuze laden, leg die keuze fatsoenlijk vast, en behandel berichtinhoud als vertrouwelijk tenzij je een goede reden hebt om dat niet te doen. Dan hoef je je over de verordening — wanneer die ook komt — nauwelijks zorgen te maken.
— Jasper
Zo helpt Coding Agency hierbij
Wij bouwen maatwerksoftware waarin privacy in het ontwerp zit, niet als losse plak-op. Dat betekent een consent-laag die tracking-scripts conditioneel inlaadt en de keuze van de gebruiker aantoonbaar registreert, analytics-keuzes die de toestemmingsvraag waar mogelijk vermijden, en berichtenmodules die de vertrouwelijkheid van communicatie respecteren. We zorgen dat je toestemmingsmodel klopt met zowel de AVG als de specifieke ePrivacy-regels, en dat je e-mailflows — inclusief open-tracking — op de juiste grondslag staan.
Twijfel je of je huidige cookiebanner, analytics-opzet of e-mailmarketing voldoet, of wil je het meteen goed inrichten in een nieuw project? Neem contact op voor een vrijblijvend gesprek. We denken graag mee over de technische én de juridische kant.
Bronnen: ePrivacy-richtlijn 2002/58/EG (EUR-Lex), voorstel ePrivacy-verordening (EUR-Lex) en de Autoriteit Persoonsgegevens.
