Zijn de cookieregels dezelfde in Europa, Duitsland, Californië en Quebec?

Nee. De Europese Unie, Duitsland en Quebec werken op opt-in: niets niet-essentieels gaat af vóór een duidelijke toestemming, en weigeren moet net zo eenvoudig zijn als accepteren. Californië (CCPA/CPRA) werkt op opt-out: cookies worden standaard getolereerd, maar je hebt een link Do Not Sell or Share My Personal Information nodig en moet het browsersignaal Global Privacy Control respecteren. Een winkel die internationaal verkoopt, heeft een geo-adaptieve CMP nodig.

E-commerce-compliance

WooCommerce: je cookies zijn aangebrand

Q: Plaatst WooCommerce cookies zonder toestemming?

Ja, maar alleen functionele cookies: winkelwagen (woocommerce_cart_hash, woocommerce_items_in_cart) en sessie (wp_woocommerce_session_), doorgaans te verdedigen als strikt noodzakelijk en dus vrijgesteld van toestemming. Alles wat je daarbovenop toevoegt — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, retargeting — vereist een voorafgaande toestemming en mag niet afgaan vóór de klik van de bezoeker.

Q: Volstaat een cookiebanner om een WooCommerce-winkel conform te maken?

Nee. Een banner die een boodschap toont zonder de scripts te blokkeren vóór de klik, maakt niet conform. Compliance stel je vast in de browser: vóór elke klik en na een weigering mogen alleen de strikt noodzakelijke cookies (winkelwagen, sessie, beveiliging) aanwezig zijn. De weigering moet de marketing- en analyticstrackers echt blokkeren, niet alleen de banner verbergen.

Je hebt een banner geïnstalleerd, in gedachten het vakje "conform" aangevinkt, en bent weer gaan verkopen. Het probleem is dat die banner bij de meeste winkels die we auditen net zoveel nut heeft als een op de muur geschilderde brandblusser: het stelt gerust, het redt niets.

Fred Gaveau17 juni 2026~11 min leestijd

Een verbrand, rokend koekje op een witte achtergrond — metafoor voor een WooCommerce-configuratie waarvan de cookies zijn aangebrand — Goed nieuws toch: het is bijna nooit de schuld van WooCommerce. En het is te repareren.

Je hebt het gedaan zoals iedereen. Het punt is dat "iedereen" het mis heeft. Goed nieuws toch: het is bijna nooit de schuld van WooCommerce. En het is te repareren.

De waarheid in twee zinnen

Kaal WooCommerce staat niet buiten de wet vanwege zijn cookies: winkelwagen en sessie zijn doorgaans te verdedigen als "strikt noodzakelijk". De ellende begint zodra je daar analytics, advertentiepixels, retargeting, heatmaps en winkelwagenherinneringen bovenop stapelt — en al dat speelgoed afgaat voordat de bezoeker ja heeft gezegd.

Vertaling: de boosdoener is niet de kassa, het zijn de bespieders die eraan zijn vastgeplakt.

Wat het probleem is in een "aangeklede" WooCommerce-winkelwagen

Noodzakelijk Analytics Adpixels Retargeting

Zonder toestemming (winkelwagen, sessie, beveiliging) Toestemming verplicht vóór activering

Schema, geen meting. Kaal WooCommerce = het groene blok. Al het andere is wat je hebt toegevoegd — en dat is precies het deel dat op een duidelijk "ja" moet wachten voordat het afgaat.

De "eerlijke" WooCommerce-cookies

WooCommerce plaatst functionele cookies — woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_ — om de winkelwagen te volgen en server-side terug te vinden. Ze bevatten niet rechtstreeks persoonsgegevens.

En dáár loop je tegen de lamp: "geen persoonsgegevens in de cookie" betekent niet "buiten de AVG". Een unieke identificator die achter de schermen aan een winkelwagen, een account of een bestelling is gekoppeld, draagt bij aan de identificatie van een persoon. De AVG schaart online identificatoren, cookies inbegrepen, trouwens onder wat iemand identificeerbaar maakt. De cookie speelt de onschuldige; de server weet heel goed wie je bent.

Kortom:

cart_hash, items_in_cart, wp_woocommerce_session_ → strikt noodzakelijk, zonder opt-in, zolang ze niet stiekem voor marketing worden gebruikt.
woocommerce_recently_viewed → bij voorbaat verdacht. Voedt hij aanbevelingen, retargeting of een tool van derden, behandel hem dan als niet-essentieel.

Aan WordPress-kant geldt dezelfde logica: authenticatiecookies (noodzakelijk), maar commentaarcookies (comment_author_*) die bijna een jaar bewaard blijven en volkomen nutteloos zijn voor een aankoop. Te vermelden, of beter nog te ontslaan.

De Europese spelregels: twee sloten, één sleutel volstaat niet

In Europa controleer je geen één deur, maar twee:

Het plaatsen of lezen van de tracker valt onder ePrivacy (in Frankrijk artikel 82 van de wet Informatique et Libertés) — zelfs als de cookie geen enkel persoonsgegeven bevat.
Wat je met de verzamelde gegevens doet valt onder de AVG.

Het fundament is niet veranderd, en het is genadeloos voor slimmeriken: doorklikken geldt niet als toestemming; er is een duidelijke positieve handeling nodig; en elke draai anders dan een onomwonden "ja" — de banner sluiten bijvoorbeeld — telt als een weigering. Vooral: weigeren moet net zo eenvoudig zijn als aanvaarden. De truc met een knalgroene "Accepteren"-knop en een "Weigeren" verstopt drie submenu's lager is uitgewerkt.

Sommige trackers zijn vrijgesteld (winkelwagen, authenticatie, beveiliging, en een sterk ingekaderde publieksmeting). Maar — een detail dat velen vergeten — vrijgesteld betekent niet onzichtbaar: je moet de internetgebruiker er nog steeds over informeren.

Het nieuws van 2026, zonder opsmuk

De CNIL bracht op 29 april 2026 een FAQ uit en buigt zich over "multi-device"-toestemming en daarna over "multi-property"-toestemming (dezelfde toestemming geldig op meerdere sites van eenzelfde groep). Dit zijn verduidelijkingen en lopende projecten, geen nieuwe wet die je winkel van de ene op de andere dag illegaal maakt. Als een artikel je "DE nieuwe cookiewetgeving 2026" in hoofdletters verkoopt, houd dan een hand op je portemonnee: de basis blijft AVG + ePrivacy + CNIL-richtsnoeren.

En de nieuwe ePrivacy-versie? De fameuze verordening die de richtlijn moest vervangen, is geschrapt — begraven na jaren onderhandelen. Er circuleren vereenvoudigingsvoorstellen (de "Digital Omnibus"), maar een voorstel is geen wet. Maak je site niet wettelijk op basis van de voorwaardelijke wijs.

De 7 plagen van het niet-conforme WooCommerce

Alles "noodzakelijk" dopen. De winkelwagen, prima. Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Criteo, Google Ads en affiliatie, zeker niet. "Noodzakelijk" is geen synoniem van "handig voor mijn marketing".
De geniepige banner. "Alles accepteren" in het groot, weigeren in het piepklein, voorafgevinkte vakjes, en geen enkel bewijs van toestemming. Design dat we beleefd dark pattern noemen, en onbeleefd oplichterij.
Schieten vóór het startschot. De grote klassieker: Tag Manager, Meta Pixel en de analytics gaan af vóór de klik. De banner komt dan aan als de brandweer na de brand.
Het retargeting. Verlaten winkelwagen, gedragsgestuurde herinnering, advertentiedoelgroepen, conversiepixels → toestemming verplicht. Een klant door het web achtervolgen met de schoenen die hij gisteren bekeek, vraag je beleefd.
De "grijze" analytics. Publieksmeting kan vrijgesteld zijn, maar onder strakke voorwaarden (beperkt doel, geen tracking tussen sites, geen kruising, geen doorverkoop). Veel GA4-configuraties missen dit en weten het.
De gulzige CAPTCHA. Noodzakelijk voor de beveiliging, kan hij vrijgesteld zijn; maar als de leverancier zich onderweg bedient voor zijn eigen zaken, komt de toestemming weer op tafel.
De valse "first-party". Een tracker van derden via een eigen subdomein laten lopen maakt hem niet eerlijk — het vermomt de tracker, het vrijwaart hem niet, en het voegt er bovendien een beveiligingsrisico aan toe.

Voorbij de banner: privacy voor het echie

Drie dure dode hoeken:

Sessiebeveiliging: HTTPS, de attributen Secure, HttpOnly, SameSite goed ingesteld, extensies up-to-date. Een slecht beveiligde sessiecookie is een sleutel onder de deurmat.
De cache: Winkelwagen, Mijn account en Bestellen buiten de cache, punt. Anders riskeer je de winkelwagen — of erger, de gegevens — van de ene klant aan de andere te serveren. WooCommerce herhaalt het luid genoeg.
De extensies: betaling, verzending, CRM, nieuwsbrief, reviews, fraudebestrijding… elk kan derden besproeien met gegevens. Eén voor één te auditen.

Verkoop je in het buitenland? Welkom in de regelgevende toren van Babel

Zodra je de grens oversteekt, speel je niet meer met één regel maar met vier — en ze vragen niet hetzelfde op hetzelfde moment. De nuance die pijn doet: in orde zijn in Parijs beschermt je noch in Sacramento, noch in Montreal.

Vóór de eerste klik, wie mag afgaan?

🇪🇺 Europese Unie

niets niet-essentieels

🇩🇪 Duitsland

niets niet-essentieels

🇨🇦 Quebec

niets niet-essentieels

🇺🇸 Californië

cookies getolereerd

Hoe langer de balk, hoe meer het land blokkeert vóór elke toestemming. De EU, Duitsland en Quebec werken op opt-in (niets gaat af zonder "ja"). Californië werkt op opt-out: cookies worden standaard getolereerd, het is aan de bezoeker om zich ertegen te verzetten.

🇪🇺 Europese Unie — de strengste sheriff

Opt-in-model: niets niet-essentieels vóór een duidelijke toestemming, en een weigering net zo eenvoudig als een "ja". Het is het referentieregime, dat waar de anderen naar kijken — vaak door de kopie te kopiëren. Als je hier kraakhelder bent, heb je het zwaarste al achter de rug.

🇩🇪 Duitsland — Europa, dubbel slot en perfectionistische versie

Ook opt-in, maar Duitsland doet nooit iets half: twee teksten parallel, de TDDDG (ex-TTDSG, § 25, voor het plaatsen van de cookie) en de DSGVO (de lokale AVG, voor het gebruik van de gegevens). Rechtsgrond dus in tweevoud.

De banner moet Accepteren en Weigeren gelijkwaardig tonen vanaf het eerste scherm (richtsnoer van de DSK). En de rekening prikt: tot 300.000 € per overtreding op grond van de TDDDG, bovenop de AVG-plafonds.

Lokale noviteit, de EinwV (van kracht sinds 1 april 2025) creëert erkende toestemmingsdiensten — de gebruiker stelt zijn voorkeuren één keer in, de deelnemende sites respecteren ze. Het idee is de zondvloed aan banners droog te leggen. Het is facultatief: niemand wordt gedwongen zich erop aan te sluiten.

⚠️ Een punt dat we weigeren je als zekerheid te verkopen

Verschillende dienstverleners zwaaien met een deadline op 19 juni 2026 die een "opt-out-knop" oplegt aan winkels die Duitse consumenten bedienen. Bij gebrek aan een primaire juridische bron om het te bevestigen — en omdat het meer naar consumentenrecht (opzegging/herroeping) ruikt dan naar cookies — signaleren we het je zonder het te garanderen. Voordat je het gelooft, vraag het een Duitse jurist. De voorwaardelijke wijs heeft nog nooit jurisprudentie gemaakt.

🇺🇸 Californië (CCPA/CPRA) — het schaap met vijf poten: opt-out

Compleet andere logica. Californië eist geen voorafgaande opt-in: het werkt op "we waarschuwen, jij verzet je". Concreet:

een link "Do Not Sell or Share My Personal Information";
het in aanmerking nemen van het browsersignaal Global Privacy Control (GPC) als verzet.

Nieuw in 2026: nieuwe regels van de CPPA zijn op 1 januari van kracht geworden. Zich verzetten mag niet meer stappen vergen dan accepteren (de jacht op dark patterns is de Atlantische Oceaan overgestoken), en het bedrijf moet bevestigen dat het verzet wel degelijk is verwerkt, GPC inbegrepen. Het geheel richt zich op bedrijven boven ~$26,6 M omzet, of die 100.000+ Californiërs verwerken, of die 50 %+ van hun inkomsten halen uit de doorverkoop van gegevens.

🇨🇦 Quebec (Wet 25 (Quebec)) — Europa spreekt ook Frans

De Wet 25 (Quebec) eist een uitdrukkelijke, duidelijke en geïnformeerde toestemming vóór elke niet-essentiële cookie — analytics, pixels, scripts van derden inbegrepen. De puur informatieve banner en het "als je doorgaat, accepteer je" worden afgewezen. Er is bovendien privacy by default nodig (niet-essentiële tracking standaard uit) en het bewaren van het bewijs van de toestemming. Gepeperde nota bij een misstap: tot 25 M CA$ of 4 % van de wereldwijde omzet.

Het memo om boven het scherm te plakken

Jurisdictie	Model	Vóór de klik	Het detail dat alles verandert
Europese Unie	Opt-in	Niets niet-essentieels	Weigeren = net zo eenvoudig als accepteren
Duitsland	Opt-in	Niets niet-essentieels	TDDDG + DSGVO ; EinwV (facultatief)
Californië	Opt-out	Cookies standaard getolereerd	Link "Do Not Sell" + GPC + bevestiging 2026
Quebec	Opt-in	Niets niet-essentieels	Privacy by default + bewijs bewaard

Moraal: een CMP "alleen Europa" laat je in Californië in je hemd staan, en een aanpak "opt-out op z'n Amerikaans" zet je buitenspel in Europa én in Quebec. Je hebt een geo-adaptieve CMP nodig: opt-in voor de EU, Duitsland en Quebec; opt-out + GPC voor Californië. Een regelgeving met variabele geometrie verdient een banner met variabele geometrie.

De checklist die je in de browser controleert (niet op je woord)

Compliance lees je niet in het cookiebeleid — je stelt het vast in de console (F12 → Application → Cookies, en het tabblad Netwerk). De rest is literatuur.

De test van de drie scenario's, in de browser

Vóór elke klik

alleen noodzakelijke

Na "Weigeren"

geen enkele bespieder

Na "Accepteren"

de aangekondigde trackers

Het juiste gedrag: korte balken vóór de klik en na een weigering (niets dan het strikt noodzakelijke), volle balk alleen na een "ja" — en uitsluitend met de aangekondigde trackers. Als de eerste of de tweede balk langer wordt, is dat precies het gat waar de toezichthouders naar kijken.

Vóór elke klik:

Alleen strikt noodzakelijke cookies zijn geplaatst (winkelwagen, sessie, beveiliging).
Geen GA4, Meta Pixel, Tag Manager, Hotjar of advertentiepixel is gestart.

Na "Alles weigeren":

Geen enkele niet-vrijgestelde marketing-/analyticstracker gaat af. De weigering blokkeert de scripts; ze veegt niet alleen de banner onder het tapijt.

Na "Alles accepteren":

Alleen de aangekondigde trackers worden actief. Geen verstekelingen.

CMP-instellingen:

"Alles accepteren" en "Alles weigeren" gelijkwaardig, granulaire keuzes, blokkering vóór toestemming, bewijs bewaard, intrekken net zo eenvoudig als aanvaarden.
Geo-adaptatie: opt-in (EU / Duitsland / Quebec) vs opt-out + GPC (Californië).
Google Consent Mode v2 actief als je GA4 gebruikt.
WordPress Consent API benut door je plugins (nuttig — maar ze doet het werk niet helemaal alleen).

Eerlijk papierwerk:

Cookiebeleid = je echte cookies (naam, domein, doel, duur, categorie, verantwoordelijke, derden, rechtsgrond, doorgifte buiten de EU, intrekking) — geen kopie-plak uit een generator.
Privacybeleid dat de echte WooCommerce-verwerkingen dekt (account, bestelling, verzending, betaling, facturatie, support, reviews, marketing, fraudebestrijding, bewaartermijnen).
Winkelwagen / Mijn account / Bestellen uitgesloten van de cache.
Lijst van verwerkers en doorgiften buiten de EU up-to-date gehouden.

De koningsfout van 2026 blijft het generieke privacybeleid dat een generator uitbraakt, dat noch je verwerkers, noch je doorgiften buiten de EU, noch je echte bewaartermijnen kent. Bij een klacht is dat het eerste stuk dat men omdraait — en het meest bezwarende.

Aan de kassa

Helemaal kaal WooCommerce komt prima weg qua cookies. Aangekleed WooCommerce — premium-thema, Tag Manager, pixels, analytics, CAPTCHA, reviews, chat, winkelwagenherinnering — kantelt snel in de illegaliteit als niets wordt geauditeerd of geblokkeerd vóór toestemming. En zodra je de grenzen oversteekt, jongleer je met meerdere regimes die elkaar beleefd tegenspreken.

Niemand kan een site certificeren zonder zijn echte cookies, zijn echte netwerkverzoeken, zijn extensies en zijn CMP te inspecteren. Dat is precies wat een privacyvriendelijke analyticstool je zou moeten toestaan: je bezoekers tellen zonder je mee te tellen onder de overtreders.

FAQ

Plaatst WooCommerce cookies zonder toestemming?
Ja, maar alleen functionele cookies — winkelwagen (woocommerce_cart_hash, woocommerce_items_in_cart) en sessie (wp_woocommerce_session_) — doorgaans te verdedigen als "strikt noodzakelijk" en dus vrijgesteld van toestemming. Alles wat je daarbovenop toevoegt (Google Analytics, Meta Pixel, TikTok, Hotjar, retargeting) vereist wel een voorafgaande toestemming.

Volstaat een cookiebanner om WooCommerce conform te maken?
Nee. Een banner die zich beperkt tot het tonen van een boodschap zonder de scripts te blokkeren vóór de klik, dient nergens toe. Compliance stel je vast in de browser: vóór elke klik en na een weigering mogen alleen de strikt noodzakelijke cookies aanwezig zijn.

Is WooCommerce standaard AVG-conform?
De kern van WooCommerce (winkelwagen, sessie) is te verdedigen. De AVG komt in het spel zodra een identificator aan een persoon wordt gekoppeld of je analytics en pixels stapelt. Compliance hangt dus af van je configuratie, je extensies en je CMP, niet van WooCommerce alleen.

Zijn de cookieregels dezelfde in de EU, Duitsland, Californië en Quebec?
Nee. De EU, Duitsland en Quebec werken op opt-in (niets niet-essentieels vóór een duidelijke toestemming). Californië werkt op opt-out (cookies standaard getolereerd, met een link "Do Not Sell" en respect voor het GPC-signaal). Een internationale winkel heeft een geo-adaptieve CMP nodig.

Is er een nieuwe cookiewet in 2026?
Nee. De CNIL publiceerde op 29 april 2026 een FAQ en werkt aan multi-device-toestemming, maar dat zijn verduidelijkingen, geen nieuwe wet. De ePrivacy-verordening die de richtlijn moest vervangen, is geschrapt. De basis blijft AVG + ePrivacy + CNIL-richtsnoeren.

Bijgewerkt in juni 2026. Dit artikel informeert; het vervangt noch een audit noch een advocaat — twee dingen die geen enkele cookiebanner ooit heeft vervangen. Belangrijkste bronnen: CNIL (richtsnoeren en cookieaanbeveling, FAQ april 2026), WooCommerce-documentatie, TDDDG / DSGVO en EinwV (Duitsland), CCPA/CPRA en CPPA-regels 2026 (Californië), Wet 25 (Quebec). De punten met een voorbehoud moeten door een jurist van de betrokken jurisdictie worden gevalideerd voordat je een beslissing neemt.