AI en cookies: wat mag volgens de cookiebepaling?

Als online marketeer werk je dagelijks met klantdata en trackingtechnologie. Wat veel professionals zich niet realiseren: AI speelt hier een steeds grotere, vaak onzichtbare rol.

Die rol gaat van 360°-klantprofielen tot lookalike-targeting en real-time bieden. Maar wat mag er eigenlijk volgens de wet, waaronder in het bijzonder de cookiebepaling (art. 11.7a Telecommunicatiewet)?

In dit derde artikel uit de DDMA AI & Legal-serie duiken we in veelvoorkomende AI-toepassingen die gebruik maken van ‘cookiedata’ voor het adverteren én leggen we uit wat de juridische spelregels zijn. We sluiten af met concrete aanbevelingen, inclusief voorbeelden van wat wel en niet mag en best practices om compliant te blijven.

AI-toepassingen bij adverteren: van ‘lookalikes’ tot ‘consent modeling’

AI biedt marketeers krachtige nieuwe mogelijkheden om data (vaak afkomstig uit cookies of soortgelijke trackers) om te zetten in effectieve marketingacties. Enkele belangrijke toepassingen in de praktijk zijn:

• Klantprofielen en segmenten – Met veelal op Machine Learning gebaseerde AI creëren veel organisaties surf- en aankoopgedrag tot doelgroepen die je direct kunt voor personalisatie.
• ‘Lookalike audiences’ – Grote platformen als Meta en Google gebruiken AI om een lookalike audience te creëren aan de hand van een bestaande doelgroep: het bronpubliek bestaat bijvoorbeeld uit je beste klanten of websitebezoekers.
• Server-side tracking en modeling – First-party hits gaan via je eigen server/-CDP, waarna AI ontbrekende conversies of attributie ‘bijmodelleert’ zonder third-party cookies.
• Real-Time Bidding (RTB) – algoritmen beslissen in milliseconden welke advertentie zichtbaar wordt en hoeveel je ervoor biedt op basis van een cookie- of deviceprofiel.
  Consent modeling: oplossingen zoals Google Consent Mode vangen geweigerde cookies op met anonieme pings en schatten conversies via statistische modellen.

Wanneer gelden de cookieregels?

AI heeft input nodig om te kunnen leren. Bij veel organisaties zien we nu dat ze inzetten op een first-party datastrategie waarbij ze een combinatie van cookie- en klantdata gebruiken om hun AI (of ‘gewoon slimme algoritmen’) te trainen, maar wat zijn cookiedata nu precies? Met cookiedata bedoelen we alle gedragsdata die via cookies en vergelijkbare technieken is verzameld, zoals klikgedrag, bezochte pagina’s, sessieduur en apparaatinformatie. En juist daar komt de cookiebepaling in beeld. De cookiebepaling gaat niet alleen over cookies: deze bepaling stelt eisen aan het opslaan of uitlezen van informatie op het apparaat van een gebruiker. Dat betekent dat álle technologieën die een apparaat benaderen, eronder vallen: of ze nu ‘cookie’ heten of niet. Denk aan:

• Pixel- en URL-tracking (zoals de Meta Pixel of GA4-events).
• Local storage (HTML5-techniek die cookies deels vervangt).
• Advertentie-ID’s van smartphones.
• Web-beacons (onzichtbare meetpixels in e-mails of websites).
• Unieke klant-identifiers (zoals Google’s “enhanced conversions” of Meta’s “advanced matching”) voor zover die worden uitgelezen van het apparaat (bijvoorbeeld uit een webformulier)
• Fingerprinting (unieke apparaat- of browserprofielen maken).

Als de cookieregels van toepassing zijn, dan heb je in principe toestemming nodig. Die toestemming regel je in een cookiebanner: maar hoe ziet dit soort geldige cookietoestemming eruit?

Om geldige toestemming te verkrijgen voor het gebruik van cookies (en vergelijkbare technieken), zijn er een aantal zaken die je als organisatie niet mag vergeten. Ten eerste categoriseer je de cookies correct (functioneel, analytisch en marketing) en plaats je géén marketingcookies zonder voorafgaande toestemming. Je informeert gebruikers duidelijk en volledig over de gebruikte technieken, doeleinden en partners. Toestemming moet bovendien altijd het resultaat zijn van een actieve handeling, dus standaard aangevinkte vakjes of verborgen keuzemogelijkheden zijn niet toegestaan. Bovendien moet de weigerknop even zichtbaar en eenvoudig zijn als de accepteerknop, en tenslotte moet de gebruiker zijn voorkeuren te allen tijde eenvoudig kunnen aanpassen of intrekken, bijvoorbeeld via een link in de cookiebanner.

Verzamelen en gebruiken van cookiedata met AI: juridisch kader

Om het juridisch kader zo praktisch mogelijk te maken, koppelen we het aan de drie stappen die marketeers in hun dagelijkse workflow herkennen – verzamelen, profileren en inzetten van profielen – zodat je per fase direct ziet welke regels gelden en hoe je daar in de praktijk op kunt inspelen.

• Fase 1: verzamelen van cookiedata

Zoals eerder uitgelegd, is bij gebruik van cookies of vergelijkbare technieken in beginsel voorafgaande toestemming vereist, tenzij het gaat om strikt noodzakelijke cookies of beperkt analytische cookies. Die laatste categorie is alleen toegestaan als de cookies uitsluitend worden gebruikt voor eigen analyse, dan wel geen of minimale impact op de privacy van de gebruiker hebben. Dit betekent onder meer dat je geen koppeling mag maken met advertentieplatformen en je analytics-omgeving. Er moet in elk geval altijd geïnformeerd worden over het gebruik van cookies.

Tegelijkertijd is in deze fase ook de AVG van toepassing, zodra de verzamelde cookiedata herleidbaar zijn tot een persoon (direct of indirect). Dat betekent dat je voor de verwerking van persoonsgegevens al vanaf het moment van verzamelen een geldige grondslag moet hebben (zoals toestemming of gerechtvaardigd belang) en moet voldoen aan de beginselen van doelbinding, dataminimalisatie en transparantie.

• Fase 2: profileren met behulp van AI en cookiedata

In deze fase gebruikt AI cookiedata en eventueel andere first-party databronnen, om gebruikerskenmerken en -voorkeuren te analyseren. Dit is ‘profilering’ volgens de AVG. Profileren aan de hand van gedragsdata is toegestaan mits je voldoet aan twee essentiële vereisten:

1. Transparantie – informeer gebruikers duidelijk dat je profileert en met welk doel
2. Doelbinding – de oorspronkelijke toestemming moet profilering dekken.

Het is dus cruciaal dat je op het moment van verzamelen informeert over de doeleinden waarvoor je profileert. Dit doe je door minimaal al in de cookie- of privacyverklaring een begrijpelijke uitleg te geven.

Ook prijspersonalisatie op basis van profielen is in principe toegestaan, zolang je hier expliciet over informeert voorafgaand aan de aankoop. Tinder deed dit in het verleden bijvoorbeeld niet en is hiervoor op de vingers getikt. Een eventueel prijsverschil mag alleen niet volgen uit gevoelige datacategorieën, zoals geslacht. Geautomatiseerde besluitvorming die betrokkenen “in aanmerkelijke mate treft” (bijvoorbeeld het automatisch ontslaan van medewerkers door een AI) vereist echter extra waarborgen, zoals menselijke tussenkomst.

• Fase 3: inzetten van profielen/doelgroepen

Bij de derde fase, het inzetten van profielen, draait het veelal om de activatie of onderdrukking van specifieke doelgroepen in verschillende kanalen. Denk bij de inzet van data concreet aan het activeren van een in een Customer Data Platform opgebouwd klantprofiel (bestaande uit onder meer cookiedata) dat je in bijvoorbeeld Google’s Customer Match wilt activeren. Deze fase hangt samen met de eerdere twee fasen: de rechtmatigheid van je activatiestrategie staat of valt met correct uitgevoerde verzamelings- en profileringsfases.

De belangrijkste les voor al deze fasen is dat compliant gebruik begint bij het vooraf bepalen van de doeleinden waarvoor je de data wilt inzetten (in fase 3). Je moet dus op het moment van verzamelen al duidelijk hebben hoe je de data wilt gebruiken en welke rol cookiedata, klantdata en AI hierin spelen. Deze vooruitziende blik is niet alleen een vereiste vanuit het oogpunt de cookiewet en AVG, maar zorgt ook voor transparantie richting gebruikers. Zonder deze duidelijke doelomschrijving in de beginfase is het vrijwel onmogelijk om in latere fases rechtmatig te kunnen profileren en activeren. Een goed doordachte datastrategie vormt daarom de basis voor zowel effectieve AI-toepassingen als juridische compliance.

Cookieloos AI-adverteren: bestaat dat?

Er bestaan ook AI-tools die niet het gedrag analyseert van de gebruiker, maar de inhoud van de pagina (bijvoorbeeld server-side natural language processing). Op basis van die context wordt een relevante advertentie geselecteerd. Zolang die selectie uitsluitend plaatsvindt op basis van wat je server al weet (de URL, de tekst van de pagina, categorie-tags) en je geen gegevens op het apparaat opslaat of daaruit uitleest (bijvoorbeeld een IP-adres), dan is de cookiewet niet van toepassing en is er dus geen toestemming vereist.

In de praktijk is de lat om cookieloos te advereren daarmee best wel hoog. Wij betwijfelen of dit advertentiemodel voor het gros van uitgeverijen die bannerruimte verkopen rendabel kan zijn.

Vaker hebben marketeers echter te maken met tools die een cookietechniek en/of persoonsgegevens gebruiken. Dit is zelfs het geval bij de cookieloze Privacy Sandbox van Google, waarbij de Google topics API met modellering interest-based adverteren mogelijk maakt. Chrome analyseert lokaal het surfgedrag van de gebruiker, deelt op basis daarvan drie interessecategorieën en stuurt bij elk sitebezoek één daarvan naar adverteerders. Er wordt bij deze techniek wél informatie uitgelezen van het apparaat en daarmee valt Topics onder de Nederlandse cookiewet. Aangezien mogelijk advertentiedoeleinden worden gediend, geldt de uitzondering voor analytische cookies niet en is voorafgaande toestemming verplicht.

Toekomstige wetgeving

De aankomende Digital Fairness Act (wetsvoorstel verwacht in 2026) is aangekondigd door de Europese Commissie en richt zich op het eerlijk en transparant inzetten van digitale beïnvloedingstechnieken. Hieronder vallen onder andere gepersonaliseerde content, aanbevelingen en prijzen. Hoewel de wetgeving nog in ontwikkeling is, weten we dat de nadruk ligt op het beschermen van consumenten tegen sturende technieken, verslavend design en bepaalde vormen van gepersonaliseerde advertenties.

Voor marketeers betekent dit mogelijk strengere regels bij het gebruik van AI op basis van cookiedata, vooral als profielen worden ingezet voor nudging of prijspersonalisatie. Ook dark patterns in cookiebanners kunnen onder deze wet gaan vallen.

Daarnaast is na jaren van politiek overleg de e-privacy-verordening begin 2025 officieel van tafel geveegd. Daarmee blijft de huidige nationale aanpak – in Nederland via de Telecommunicatiewet – voorlopig leidend voor cookieregels. Een EU-brede harmonisatie laat dus op zich wachten. Mogelijk komt er in de toekomst een alternatief wetsvoorstel, maar concrete plannen ontbreken nog.

‘Best practices’

• Begrijp hoe je AI-tool werkt en welke wetten van toepassing zijn.
  Of de cookiewet van toepassing is, hangt af van de werking van de tool: wordt er iets opgeslagen of uitgelezen op het apparaat van de gebruiker, dan geldt artikel 11.7a Telecommunicatiewet en is toestemming nodig (behoudens de uitzonderingen). Daarnaast is de AVG van toepassing zodra de AI-tool persoonsgegevens verwerkt, ook als die alleen indirect herleidbaar zijn (zoals via een pseudoniem of uniek ID). Zorg dus dat je precies weet hoe de AI-tool werkt: draait het model server-side of on-device? Gebruikt het cookies of andere identifiers?
• Vraag vooraf geldige toestemming voor cookiedata met een helder doel.
  Gebruik je cookies voor meer dan alleen functionele of beperkt analytische doeleinden, dan is voorafgaande toestemming verplicht. Wees daarbij concreet: geef in je cookiebanner aan dat de data gebruikt worden voor personalisatie of AI-gebaseerde aanbevelingen en zorg dat je geen nudging design gebruikt in je banner.
• Let op bij het hergebruiken van cookiedata.
  Cookiedata die oorspronkelijk zijn verzameld voor webanalyse mogen niet zomaar worden hergebruikt voor AI-modellen of targeting. Dat vereist een nieuwe grondslag en een duidelijke vermelding van het nieuwe doel.
• Zorg voor AI-geletterdheid in je organisatie.
  Zorg dat er governance is op AI-profielen: wie beheert het model, hoe wordt bias gemonitord, kloppen de aannames nog? Ook vanuit de AVG ben je verplicht om de werking en effecten van profilering te kunnen onderbouwen.
• Denk vanuit de verwachting van je klant.
  Niet alles wat juridisch mag, is ook verstandig. Toepassingen die niet aansluiten bij de beleving van de gebruiker, kunnen het vertrouwen in je merk beschadigen. Blijf dus kritisch: past dit bij de beleving die de klant verwacht?

Over de auteurs: Isa Nieuwstad en Frank de Vries zijn beiden Legal counsel bij DDMA.

Over deze serie – Het idee achter de AI-&-Legal-artikelenreeks is om meer inzicht te geven in hoe AI zich verhoudt tot bestaande wetgeving die relevant is voor de (datagedreven) marketingsector. We gaan in op thema’s en onderwerpen als privacy, auteursrecht, reclamerecht (influencermarketing), cookies, platformen en cybersecurity, allemaal in relatie tot AI. Zo kijken we verder dan alleen de AI Act, zodat we kunnen beschrijven wat relevant is voor onze leden.