Cookies: beleidsmakers volgen liever de wil van de techlobby dan die van hun kiezers

Een klein bestandje met grote gevolgen

Stel dat je een supermarkt binnenstapt en de eigenaar onthoudt precies wat je koopt, hoe lang je bij welk rek stilstaat en welke route je loopt. Dat is wat een cookie doet op het internet. Een cookie is een klein tekstbestandje dat een website op je toestel plaatst om je gedrag bij te houden. Hij registreert welke pagina's je bezoekt, wat je in je winkelwagentje stopt, waar je vandaan klikt. Zonder cookies zouden websites je telkens opnieuw moeten vragen om in te loggen. Ook zou je winkelwagentje leeg zijn zodra je de pagina ververst. Dat zijn zogenaamde functionele cookies, en niemand klaagt daarover.

Naast die functionele cookies bestaan er ook tracking- en advertentiecookies. Die volgen je niet alleen op één website, maar op duizenden tegelijk. Ze bouwen een profiel op van je interesses, koopgedrag en politieke voorkeuren, dat vervolgens wordt doorverkocht aan advertentienetwerken. Google, Meta en duizenden kleinere datamakelaars verdienen hier miljarden aan. Precies om dat fenomeen aan banden te leggen, verplichtte de Europese e-Privacyrichtlijn in 2009 websites om toestemming te vragen voor dit soort cookies. Het resultaat is bekend: de cookiebanner.

Wie betaalt de rekening? De kmo natuurlijk

Europakenner Wolfgang Munchau, oprichter van EuroIntelligence, stelt dat de GDPR (de Algemene Verordening Gegevensbescherming, de overkoepelende privacywetgeving) Europese bedrijven heeft geschaad terwijl de grote techbedrijven er amper last van hadden. Die kritiek wordt bevestigd door academisch onderzoek.

Een studie gepubliceerd door CEPR, de Londense denktank voor economisch beleid, analyseerde de impact van de GDPR op bedrijven in 61 landen. Kleine bedrijven zagen hun winst met gemiddeld 8 procent dalen, hoofdzakelijk door stijgende nalevingskosten. Grote techbedrijven als Google en Meta bleven nagenoeg ongeschonden. Sterker nog: zij wonnen marktaandeel ten koste van kleinere concurrenten die de administratieve last niet konden dragen. Onderzoek van de George Washington University bevestigt dat de marktconcentratie een week na de inwerkingtreding van de GDPR met 17 procent toenam. Omdat websites massaal kleinere dataleveranciers lieten vallen.

Voor kleine en middelgrote ondernemingen (kmo's) bedragen de initiële nalevingskosten van de GDPR gemiddeld tussen 8.000 en 50.000 euro. Tel daar ook jaarlijkse terugkerende kosten van 5.000 tot 20.000 euro bij. Een studie van MIT Sloan berekende dat de GDPR voor kleinere bedrijven de facto werkt als een belasting van 25 procent op dataopslag. De ironie is scherp. De regulering die consumenten moest beschermen tegen de datahonger van techgiganten, versterkte precies de positie van die giganten.

Het einde van de cookiebanner leek nabij

In het najaar van 2025 stelde de Europese Commissie voor om cookiebanners te vervangen. Dat kan gebeuren door een automatisch signaal vanuit de browser. Het principe is niet nieuw: browsers geven nu al automatisch aan welke taal je spreekt of welke tijdzone je gebruikt. Hetzelfde mechanisme zou kunnen aangeven of je wel of niet gevolgd wilt worden. California, de thuisstaat van Google, Facebook en Apple, heeft zo'n systeem al wettelijk verankerd. Het voorstel van de Commissie was zelfs soepeler. Toestemming per website blijft mogelijk, zodat wie een kwaliteitskrant wil steunen via advertenties dat nog steeds bewust kan doen.

Het voorstel was opgenomen in de zogenaamde Digital Omnibus, een pakket aan vereenvoudigingen dat de Commissie wil doorvoeren. Artikel 88b van de herziene GDPR zou de banners officieel vervangen hebben door dat geautomatiseerde browsersignaal. Technisch is het haalbaar. Politiek bleek het anders te liggen.

Google en de lidstaten kiezen voor de banner

Google verspreidde een intern lobbydocument met de stelling dat het afschaffen van cookiebanners de online advertentiemarkt volledig zou platleggen. De redenering klopt niet: de Commissie had uitdrukkelijk voorzien dat toestemming per website en per doel mogelijk blijft. Google stelde ook dat kwaliteitsmedia zwaar zouden lijden, maar die media waren juist uitdrukkelijk uitgezonderd van de maatregel. Dat zijn gemakkelijk te weerleggen argumenten, maar ze hadden blijkbaar toch effect.

In de Raad van de Europese Unie, waar de lidstaten hun standpunten coördineren, lieten Duitsland, Frankrijk en Polen weten bezwaar te hebben tegen artikel 88b. In het Raadsdocument van 18 juni 2026 was het artikel volledig geschrapt. Dit zijn dezelfde landen die in Brussel luidkeels pleiten voor minder bureaucratie en het terugdringen van regeldruk, maar die tegelijk de enige concrete vereenvoudiging voor 450 miljoen Europese gebruikers van tafel veegden. Terzijde: Google kondigde eerder al aan zijn eigen plannen om cookies te verwijderen uit de Chrome-browser op te geven, na jarenlange tegenstand van de advertentie-industrie.

Het Europees Parlement als laatste hoop

De Digital Omnibus is nog niet definitief: het Europees Parlement heeft nog geen standpunt ingenomen over artikel 88b. Aan het einde van de onderhandelingen moeten Raad en Parlement een compromistekst goedkeuren. Privacyorganisatie noyb, opgericht door advocaat Max Schrems, roept het Parlement op om de maatregel alsnog overeind te houden. Of de conservatieve EVP-fractie, die ook onder lobbydruk staat, daarvoor zal gaan, is onzeker. Intussen klikken 450 miljoen Europese internetgebruikers verder op banners die ze niet willen, in dienst van een systeem dat in handen van enkele techgiganten de data binnenhaalt. Max Schrems: “In een democratie zou wat de meerderheid van de mensen wil ook daadwerkelijk moeten gebeuren — in dit geval: komaf maken met cookiebanners. Als beleidsmakers liever de wil van de techlobby volgen dan die van hun kiezers, dan is er hier iets heel, heel erg mis.”