Onderzoek
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min leestijd
De GDPR is één verordening. Eén tekst. Direct toepasbaar in elke EU-lidstaat zonder nationale omzetting (in tegenstelling tot de ePrivacy-richtlijn, die dat wel vereist, wat een extra variabelaag toevoegt). In theorie heeft een website in Hongarije dezelfde wettelijke verplichtingen als een website in Duitsland. In de praktijk is de kloof tussen theorie en werkelijkheid enorm.
Toen we 97.304 websites in 25 van de 27 EU-lidstaten scanden, vonden we dat het aandeel websites met hoog risico varieert van 20,9% in Oostenrijk tot 58,8% in Hongarije -- een verhouding van bijna drie op één. Dezelfde verordening, dezelfde scanmethodologie, dezelfde classificatiecriteria, duidelijk verschillende uitkomsten. De gegevens suggereren dat naleving minder correleert met wat de wet zegt dan met hoe actief deze wordt gehandhaafd.
De Volledige Ranking
De onderstaande tabel toont elk land in ons onderzoek, gerangschikt op het percentage gescande websites dat als hoog risico is geclassificeerd. Hoog risico betekent dat de site significante toestemmingsschendingen vertoonde: tracking voor toestemming, weigerstroomfouten, ontbrekende toestemmingsmechanismen naast actieve tracking, of combinaties daarvan. We tonen ook de gemiddelde risicoscore (een continue 0-100 metriek) en het bannerdetectiepercentage -- het percentage gescande sites waar ons systeem een toestemmingsbanner identificeerde.
| Rang | Land | Hoog risico % | Gem. risicoscore | Bannerdetectie |
|---|---|---|---|---|
| 1 | Oostenrijk | 20,9% | 31,2 | -- |
| 2 | Duitsland | 23,7% | 33,9 | 46,1% |
| 3 | Zweden | 33,4% | 49,0 | -- |
| 4 | Finland | 40,3% | 46,4 | 54,6% |
| 5 | België | 42,1% | 47,4 | -- |
| 6 | Denemarken | 42,1% | 48,3 | 57,0% |
| 7 | Nederland | 43,5% | 53,1 | 40,3% |
| 8 | Frankrijk | 44,1% | 49,7 | -- |
| 9 | Spanje | 44,1% | 50,2 | -- |
| 10 | Italië | 44,6% | 51,8 | -- |
| 11 | Griekenland | 52,5% | 54,9 | -- |
| 12 | Polen | 53,3% | 56,1 | -- |
| 13 | Roemenië | 53,9% | 56,2 | -- |
| 14 | Tsjechië | 55,1% | 59,0 | -- |
| 15 | Hongarije | 58,8% | 60,1 | -- |
De gemiddelde risicoscore biedt een genuanceerder beeld dan de binaire hoog-risicoclassificatie. Merk op dat Nederland een relatief matig hoog-risicopercentage heeft (43,5%) maar een vergelijkingsgewijs hoge gemiddelde risicoscore (53,1), wat suggereert dat hoewel minder Nederlandse sites de hoog-risicodrempel overschrijden, degene die dat wel doen ernstiger niet-conform zijn. Zweden toont een soortgelijk patroon in omgekeerde richting: een lager hoog-risicopercentage (33,4%) maar een relatief hoge gemiddelde score (49,0), wat wijst op een brede spreiding van matige overtredingen.
Niveau 1: De Koplopers -- Duitsland en Oostenrijk
Duitsland (23,7% hoog risico) en Oostenrijk (20,9% hoog risico) zijn duidelijke uitschieters. Hun websites hebben ongeveer de helft van de kans om als hoog risico te worden geclassificeerd in vergelijking met het EU-gemiddelde van 41%. Om te begrijpen waarom, moet het handhavingsecosysteem in beide landen worden onderzocht.
Duitsland: diepte en breedte van handhaving
Het Duitse gegevensbeschermingslandschap is uniek in Europa. Naast de federale BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) heeft elk van de zestien Duitse deelstaten een eigen onafhankelijke gegevensbeschermingsautoriteit. Dit betekent dat Duitsland in totaal zeventien DPA's heeft, waarvan er verschillende tot de actiefste in Europa behoren op het gebied van toestemmingshandhaving.
De Beierse DPA (BayLDA) voerde in 2020-2021 een sectoroverstijgende audit uit op cookietoestemming op websites, stuurde formele vragenlijsten naar honderden bedrijven en volgde dit op met handhavingsacties. De Hamburgse DPA gaf gedetailleerde richtlijnen uit over Google Analytics en toestemmingsvereisten. Meerdere deelstaat-DPA's voerden gecoördineerde handhavingscampagnes uit gericht op specifieke overtredingen -- tracking voor toestemming, ontbrekende weigeropties en niet-conforme cookiebanners.
Deze handhavingsdichtheid creëert een andere risicoberekening voor Duitse websitebeheerders. Wanneer uw branchegenoten formele verzoeken van de DPA hebben ontvangen, en wanneer handhavingsrichtlijnen specifiek genoeg zijn om u precies te vertellen wat wel en niet aanvaardbaar is, wordt de kostprijs van niet-naleving concreet in plaats van theoretisch.
Er is ook een culturele dimensie. Het Duitse bewustzijn rond gegevensbescherming gaat dieper dan de GDPR. De Volkszahlung-uitspraak (volkstelling) van het Federale Constitutionele Hof in 1983 vestigde informationele zelfbeschikking als grondrecht decennia voor het bestaan van de GDPR. Dit schiep een maatschappelijke verwachting rond gegevensbescherming die zowel bedrijfsgedrag als consumentenverwachtingen beïnvloedt op manieren die moeilijk te kwantificeren maar duidelijk weerspiegeld zijn in de gegevens.
Oostenrijk: vroege post-Schrems II handhaving
De Oostenrijkse DSB (Datenschutzbehorde) trok internationale aandacht door een van de eerste handhavingsbeslissingen uit te vaardigen in het kielzog van Schrems II, waarin werd vastgesteld dat het gebruik van Google Analytics door een website de GDPR schond omdat de gegevensoverdrachten naar de VS onvoldoende waarborgen hadden. Deze beslissing -- later gevolgd door de Franse CNIL en de Italiaanse Garante -- stuurde een duidelijk signaal naar Oostenrijkse websitebeheerders dat toestemming en tracking actieve handhavingsprioriteiten waren.
Het hoog-risicopercentage van 20,9% van Oostenrijk, het laagste in ons onderzoek, suggereert dat dit signaal werd ontvangen. Wanneer een DPA door specifieke, gepubliceerde beslissingen aantoont dat toestemmingsschendingen zullen worden vervolgd, reageert het nalevingspercentage. Oostenrijk is een van de duidelijkste voorbeelden in onze gegevens van een correlatie tussen handhaving en meetbare gedragsverandering, hoewel andere factoren -- marktstructuur, culturele houdingen -- waarschijnlijk ook bijdragen.
Niveau 2: Het Noordse Middenveld -- Zweden, Finland, Denemarken
Zweden (33,4%), Finland (40,3%) en Denemarken (42,1%) bezetten een middenband die beter is dan het EU-gemiddelde maar significant achterloopt op de Duits-Oostenrijkse koplopers.
De Noordse landen delen sterke culturele waarden rond privacy en institutioneel vertrouwen, maar hun DPA's hebben over het algemeen een minder agressieve handhavingshouding aangenomen specifiek rond toestemming. De Zweedse IMY (Integritetsskyddsmyndigheten) heeft opmerkelijke beslissingen uitgevaardigd -- waaronder een significante boete aan Google voor schendingen van het recht op vergetelheid -- maar haar toestemmingsspecifieke handhaving is beperkter geweest. De Finse tietosuojavaltuutettu en het Deense Datatilsynet hebben zich vergelijkbaar gericht op datalekmelding en sectorrichtlijnen in plaats van brede cookietoestemmingscampagnes.
Het hoog-risicopercentage van 33,4% van Zweden is desondanks aanzienlijk beter dan het West-Europese gemiddelde, wat suggereert dat culturele houdingen ten opzichte van privacy gedeeltelijk kunnen compenseren voor minder frequente handhaving. Noordse internetgebruikers zijn over het algemeen privacybewuster, wat marktdruk kan creëren voor betere toestemmingsimplementaties zelfs bij gebrek aan regelgevingsdruk.
De bannerdetectiepercentages zijn hier instructief. Denemarken toont een bannerdetectiepercentage van 57,0% -- het hoogste voor elk land waarvoor we dit gegeven hebben -- en Finland toont 54,6%. Dit betekent dat Noordse sites eerder geneigd zijn een toestemmingsbanner te implementeren, ook al is de implementatie achter die banner niet altijd volledig conform. Het suggereert bewustzijn van de verplichting zelfs waar de uitvoering tekortschiet.
Niveau 3: West-Europa -- Frankrijk, Nederland, België, Spanje, Italië
Vijf West-Europese landen clusteren strak tussen 42,1% en 44,6% hoog risico: België (42,1%), Nederland (43,5%), Frankrijk (44,1%), Spanje (44,1%) en Italië (44,6%). Dit cluster zit dicht bij het EU-gemiddelde van 41% en kan een nalevingsbasislijn vertegenwoordigen -- het niveau dat u krijgt wanneer handhaving bestaat maar niet frequent of gericht genoeg is om de naald substantieel te bewegen.
Frankrijk: de paradox van spraakmakende handhaving
Frankrijk is opmerkelijk omdat de CNIL waarschijnlijk de meest internationaal zichtbare DPA in Europa is. Ze heeft recordboetes opgelegd aan Google (150 miljoen euro voor toestemmingsschendingen in 2022), Amazon (35 miljoen euro) en Microsoft (60 miljoen euro). Ze publiceerde gedetailleerde richtlijnen over cookies en toestemming in 2020 en gaf Franse websites een overgangsperiode van zes maanden om te voldoen. Ze voerde gecoördineerde handhavingsgolven uit gericht op sites die geen weigeropties hadden geïmplementeerd.
Toch zit Frankrijk op 44,1% hoog risico -- precies gemiddeld voor West-Europa. Hoe kan de actiefste handhaver slechts gemiddelde naleving produceren?
Het antwoord ligt waarschijnlijk in de structuur van het Franse web. Frankrijk heeft een grote, diverse digitale economie met honderdduizenden websites beheerd door kleine en middelgrote bedrijven, lokale overheidsentiteiten en organisaties die mogelijk het handhavingsnieuws van de CNIL niet nauwlettend volgen. De spraakmakende acties van de CNIL tegen technologiereuzen genereren internationale koppen maar veranderen mogelijk niet het gedrag van de duizenden kleine bedrijfssites die standaard WordPress-installaties gebruiken met ongeconfigureerde toestemmingsplugins. Handhaving die de kop van de distributie richt, beweegt niet noodzakelijkerwijs de staart.
Dit is een belangrijk inzicht voor alle DPA's: krantenkoppen-boetes ontmoedigen grote bedrijven maar verschuiven mogelijk niet het totale nalevingspercentage, dat wordt gedomineerd door de lange staart van kleine en middelgrote sites. Brede gedragsverandering vereist ofwel massahandhaving (onpraktisch met huidige DPA-middelen) of hulpmiddelen die naleving de standaard maken in plaats van de uitzondering.
Nederland: laag bannerpercentage, matig risico
Nederland toont een interessant patroon: een hoog-risicopercentage van 43,5% (matig) maar slechts een bannerdetectiepercentage van 40,3% -- het laagste onder landen waarvoor we dit gegeven hebben. Dit betekent dat Nederlandse sites minder geneigd zijn een toestemmingsbanner te implementeren, maar onder degenen die dat wel doen, de implementatiekwaliteit iets beter kan zijn. Het kan ook een Nederlands webecosysteem weerspiegelen dat veel sites met minimale tracking omvat (geen banner nodig) naast sites die zwaar tracken zonder zich om een banner te bekommeren.
De Nederlandse AP (Autoriteit Persoonsgegevens) is actief geweest op GDPR-handhaving in het algemeen maar heeft minder toestemmingsspecifieke beslissingen uitgevaardigd in vergelijking met de Duitse DPA's of de CNIL. De handhavingsprioriteiten van de AP hebben zich gericht op overheidsgegevensverwerking, gezondheidsgegevens en grootschalige surveillance, waarbij toestemmingsschendingen relatief minder aandacht kregen.
Niveau 4: Oost- en Zuid-Europa -- Griekenland, Polen, Roemenië, Tsjechië, Hongarije
De onderkant van de ranking wordt gedomineerd door Centraal- en Oost-Europese landen, met hoog-risicopercentages variërend van 52,5% (Griekenland) tot 58,8% (Hongarije). In deze landen vertoont meer dan de helft van de gescande websites een hoog-risico nalevingsprofiel.
| Land | Hoog risico % | Gem. risicoscore |
|---|---|---|
| Griekenland | 52,5% | 54,9 |
| Polen | 53,3% | 56,1 |
| Roemenië | 53,9% | 56,2 |
| Tsjechië | 55,1% | 59,0 |
| Hongarije | 58,8% | 60,1 |
De gemeenschappelijke draad is niet een gebrek aan wettelijke verplichting -- de GDPR is identiek van toepassing -- maar een patroon van ondergefinancierde DPA's met minder handhavingsacties specifiek gericht op toestemming. De Hongaarse NAIH, de Poolse UODO, de Roemeense ANSPDCP en de Tsjechische UOOU hebben allemaal hun beperkte handhavingsbudgetten gericht op gebieden zoals datalekmelding, verzoeken om toegang van betrokkenen en spraakmakende klachten in plaats van proactieve cookietoestemmingsaudits.
Dit is rationeel gedrag voor ondergefinancierde toezichthouders. Wanneer u een klein team hebt en een grote economie om te superviseren, geeft u prioriteit aan klachten boven proactieve handhaving, en klachten over cookietoestemming zijn relatief zeldzaam vergeleken met klachten over datalekken of weigeringen van toegangsverzoeken. Het resultaat is dat toestemmingsschendingen grotendeels onbestraft blijven en websitebeheerders geen betekenisvol handhavingsrisico lopen.
Deze gegevens reflecteren niet op de competentie of toewijding van deze DPA's. Verschillende Centraal- en Oost-Europese DPA's werken met personeel-bevolkingsverhoudingen die een fractie zijn van wat Duitse deelstaat-DPA's genieten. De Hongaarse NAIH houdt bijvoorbeeld toezicht op een land van 10 miljoen mensen. De Beierse BayLDA, die toezicht houdt op een bevolking van vergelijkbare omvang binnen één Duitse deelstaat, heeft historisch meer middelen en een gerichter mandaat gehad.
De conclusie is structureel: uniforme regelgeving zonder uniforme handhaving produceert niet-uniforme naleving. Dit is een belangrijke bevinding in de gegevens op landniveau.
De Handhavingscorrelatie
Als u de handhavingsintensiteit van DPA's uitzet tegen nalevingspercentages (in verhalende vorm, aangezien we hier geen grafiek publiceren), is de relatie duidelijk waarneembaar. De landen met de meeste handhavingsacties specifiek gericht op toestemming -- Duitsland, Oostenrijk -- hebben de laagste hoog-risicopercentages. Landen met spraakmakende maar geconcentreerde handhaving (Frankrijk) tonen gemiddelde naleving. Landen met minimale toestemmingsspecifieke handhaving tonen de hoogste schendingspercentages.
Deze correlatie bewijst geen causaliteit -- culturele factoren, marktstructuur en de volwassenheid van de lokale technologiesector spelen allemaal een rol. Maar de sterkte van het patroon over 25 landen is moeilijk te verklaren zonder handhaving als primaire aandrijver.
Enkele opmerkelijke handhavingsacties die de naald lijken te hebben bewogen:
- Duitsland (2020-2022): Meerdere deelstaat-DPA's voerden gecoördineerde cookietoestemmingsaudits uit, stuurden formele brieven naar honderden websites. De BayLDA publiceerde een FAQ over toestemming die een de facto nalevingsstandaard werd.
- Oostenrijk (2022): De Google Analytics-beslissing van de DSB werd breed behandeld in Oostenrijkse tech- en zakenmedia, wat een zichtbare golf van GA-naar-Matomo-migraties uitlokte.
- Frankrijk (2021-2022): De cookiehandhavingsgolf van de CNIL richtte zich op meer dan 100 websites voor niet-conforme toestemmingsimplementaties, hoewel het effect geconcentreerd lijkt onder grotere beheerders.
- Italië (2022): De Garante vaardigde bijgewerkte cookierichtlijnen uit die nalevingsactiviteit stimuleerden onder grotere Italiaanse websites, hoewel het hoog-risicopercentage van 44,6% suggereert dat het effect niet breed propageerde.
Bannerdetectiepercentages per Land
Het bannerdetectiepercentage -- het percentage sites waar onze scanner een toestemmingsmechanisme identificeerde -- varieert aanzienlijk per land:
| Land | Bannerdetectie |
|---|---|
| Denemarken | 57,0% |
| Finland | 54,6% |
| Duitsland | 46,1% |
| Nederland | 40,3% |
Denemarken leidt met 57,0%, wat suggereert dat Deense websites het meest geneigd zijn enige vorm van toestemmingsmechanisme te implementeren, ook al is hun totale nalevingskwaliteit (42,1% hoog risico) middelmatig. Het 46,1% van Duitsland is lager dan men zou verwachten gezien het lage schendingspercentage, maar is consistent: Duitse sites die tracken doen dit eerder met goede toestemming, terwijl Duitse sites die niet tracken redelijkerwijs zonder banner kunnen werken.
Het 40,3% van Nederland is het laagste cijfer dat we hebben, wat aansluit bij het hierboven genoemde Nederlandse patroon: over het geheel minder banners, maar niet noodzakelijkerwijs slechtere naleving onder degenen die ze implementeren.
Deze percentages weerspiegelen ook de methodologische werkelijkheid. Een site die geen niet-essentiële cookies instelt en geen trackingdomeinen van derden contacteert, heeft oprecht geen toestemmingsbanner nodig onder de ePrivacy-uitzondering voor strikt noodzakelijke cookies. Enige variatie in bannerpercentages is daarom verwacht en legitiem.
Wat Dit Betekent voor Grensoverschrijdende Bedrijven
Als u een website of digitale dienst beheert die gebruikers in meerdere EU-landen bedient, hebben deze gegevens directe praktische implicaties.
Uw nalevingsrisico wordt bepaald door uw markt met de sterkste handhaving. Als uw site Duitse gebruikers bedient, wordt de lat effectief gezet door de verwachtingen van Duitse DPA's, ongeacht waar uw bedrijf is gevestigd. Onder het one-stop-shopmechanisme van de GDPR kan uw leidende toezichthoudende autoriteit in uw thuisland zijn, maar elke DPA kan actie ondernemen op klachten van haar eigen inwoners. Een Hongaarse website die Duitse bezoekers bedient kan onder controle komen van Duitse DPA's. Benchmarken tegen het gemiddelde van uw eigen land is onvoldoende. Als u een Poolse websitebeheerder bent en 53,3% van uw vakgenoten hoog risico is, betekent "gemiddeld" zijn dat u nog steeds niet-conform bent naar de letter van de GDPR. De verordening past haar eisen niet aan per land. Alleen de handhavingskans varieert -- en handhavingstrends gaan in één richting. DPA's die toestemming nog niet hebben geprioriteerd, zullen dat waarschijnlijk wel doen naarmate de coördinatie op Europees niveau toeneemt. Het EDPB dringt aan op convergentie. De cookiespecifieke richtlijnen, taskforceactiviteiten en consistentieadviezen van het European Data Protection Board zijn ontworpen om de handhavingskloof tussen lidstaten te verkleinen. Het rapport van de EDPB-taskforce over toestemmingsbanners in 2023 identificeerde veelvoorkomende schendingen en riep op tot gecoördineerde handhaving, en verschillende voorheen minder actieve DPA's hebben in reactie hierop toegenomen aandacht voor toestemming gesignaleerd. Lage handhaving in een bepaalde markt blijft waarschijnlijk niet voor onbepaalde tijd de status quo.Het GDPR-Harmonisatieprobleem
De gegevens op landniveau in dit onderzoek zijn in sommige opzichten een uitdaging voor het harmonisatiedoel van de GDPR. De verordening zou één standaard in de hele EU moeten creëren, ter vervanging van het lappendeken van nationale gegevensbeschermingswetten. Wat betreft de wettekst is dit gelukt. Wat betreft de nalevingswerkelijkheid nog niet.
Een website in Oostenrijk heeft drie keer minder kans om hoog risico te zijn dan een website in Hongarije. Een Franse gebruiker die op "Weigeren" klikt heeft hetzelfde faalpercentage van 80,4% als een Poolse gebruiker. De toestemmingsbanner verschijnt eerder in Denemarken dan in Nederland. Geen van deze verschillen heeft een wettelijke basis -- het zijn allemaal gevolgen van differentiële handhaving.
Dit roept een moeilijke vraag op: kan een regelgevend kader dat afhankelijk is van nationale handhavingsautoriteiten, met zeer verschillende middelen en prioriteiten, uniforme bescherming bieden? De gegevens suggereren dat het huidige antwoord nee is. De kloof tussen Duitsland/Oostenrijk en Hongarije/Tsjechië wordt niet kleiner -- en zal niet kleiner worden zonder een significante herbalancering van DPA-middelen of een verschuiving naar handhaving op EU-niveau voor veelvoorkomende, technisch meetbare schendingen zoals tracking voor toestemming.
Cookietoestemming is, ironisch genoeg, een van de gemakkelijkst op schaal te verifiëren GDPR-verplichtingen. In tegenstelling tot het beoordelen van de rechtmatigheid van een gegevensverwerkingsactiviteit of de toereikendheid van een privacy-effectbeoordeling, is het controleren of een website trackingcookies instelt voor toestemming een objectieve, automatiseerbare meting. Als de EU geen handhavingsconvergentie kan bereiken op deze meest meetbare schending, zijn de vooruitzichten voor convergentie op moeilijkere vragen somber.
Methodologische Opmerking
Websiteselectie werd getrokken uit de Tranco Top 1M-lijst, gefilterd op landassociatie. Landtoewijzing gebruikte landcode-TLD's als primair signaal, aangevuld met registratie- en hostinggegevens waar TLD's dubbelzinnig waren (bijv. `.com`-domeinen). Sites met onduidelijke landaffiliatie werden uitgesloten van de analyse op landniveau maar opgenomen in de EU-brede totaalcijfers.
Elke site werd gescand met identieke criteria: gedrag voor toestemming, bannerdetectie, weigerstroom-testen (waar een weigerknop werd geïdentificeerd), cookie-levensduuranalyse en toegankelijkheidsevaluatie. De scanner maakte geen aanpassingen voor land van herkomst -- een Hongaarse site werd beoordeeld met dezelfde methodologie en drempels als een Duitse.
Steekproefgrootten variëren per land, als weerspiegeling van de verdeling van EU-websites in de Tranco-lijst. Landen met grotere digitale economieën (Duitsland, Frankrijk, Nederland) dragen meer sites bij. Alle percentages zijn berekend tegen de steekproef per land, niet het EU-brede totaal.
Zie waar uw website staat. Voer een gratis scan uit op gdprprivacymonitor.eu om dezelfde nalevingsbeoordeling te krijgen die we op elke site in dit onderzoek hebben toegepast -- met volledig bewijs, risicoscoring en uitvoerbare bevindingen.
Controleer uw website
Voer een gratis AVG-compliancescan uit — geen registratie vereist.
Scan uw website gratis