Mbo-brede cookiescans

ICTRecht voerde de eerste scan uit in 2025 en heeft deze in januari 2026 herhaald. De resultaten laten zien dat vrijwel alle mbo-instellingen verbeterstappen kunnen zetten. Daarmee is de cookiescan geen theoretische exercitie, maar een praktische nulmeting én verbetermoment voor de sector.

Waarom een cookiescan nodig is

Vrijwel iedere mbo-website maakt gebruik van cookies. Soms uitsluitend voor functionele doeleinden, maar vaak ook voor statistiek, sociale-media-integraties of marketingtoepassingen. Zodra er meer dan strikt noodzakelijke cookies worden geplaatst, gelden wettelijke eisen op grond van artikel 11.7a van de Telecommunicatiewet en – wanneer persoonsgegevens worden verwerkt – de Algemene verordening gegevensbescherming (AVG).

Dat betekent onder meer dat voor tracking- en marketingcookies vooraf toestemming nodig is. Die toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Ook moet weigeren net zo eenvoudig zijn als accepteren en moet helder worden uitgelegd welke cookies worden geplaatst en met welk doel. In de praktijk blijkt dat cookiebanners hier regelmatig tekortschieten, bijvoorbeeld doordat zij bezoekers subtiel sturen richting ‘accepteren’.

Wat levert de cookiescan scholen op?

De cookiescan geeft instellingen concreet inzicht in hun juridische en technische situatie. Het rapport bevat praktische aanbevelingen waarmee ze direct verbeteringen kunnen doorvoeren. Daarmee verkleinen scholen het risico op overtreding van wetgeving, versterken ze het vertrouwen van studenten en medewerkers en tonen ze aan dat ze privacy en digitale zorgvuldigheid serieus nemen.

Ook geeft de scan meer grip op externe tools en leveranciers die via de website cookies plaatsen. Dat draagt bij aan bredere digitale weerbaarheid en governance.

Wat als dit niet op orde is?

Toezicht op cookiegebruik is geen papieren werkelijkheid. De Autoriteit Persoonsgegevens kan handhaven en boetes opleggen wanneer geen geldige toestemming wordt gevraagd of wanneer informatievoorziening tekortschiet. In 2023 kreeg Kruidvat een aanzienlijke boete omdat de cookiebanner geen gelijkwaardige mogelijkheid bood om cookies te weigeren. Dit benadrukt dat onjuiste inrichting financiële en reputatierisico’s met zich meebrengt.

Voor mbo-instellingen betekent dit dat nalatigheid kan leiden tot onderzoek door de toezichthouder, sancties en negatieve publiciteit. Dat raakt direct aan het vertrouwen in de instelling als betrouwbare publieke organisatie.

Programma Cyberveiligheid mbo faciliteert

Het programma Cyberveiligheid mbo neemt hierin een faciliterende en verbindende rol. Door de cookiescan mbo-breed te organiseren, krijgen we een gezamenlijk beeld van de stand van zaken in onze sector. Ook kunnen we instellingen ondersteunen bij het zetten van verbeterstappen. We vertalen complexe juridische eisen naar praktische handelingsperspectieven en helpen instellingen zo om structureel te werken aan een veilige en zorgvuldige digitale omgeving.

De cookiescan is daarmee geen losstaande actie, maar onderdeel van een bredere aanpak om de digitale weerbaarheid van het mbo duurzaam te versterken. We roepen scholen daarom op om de aanbevelingen voor hun eigen organisatie zorgvuldig door te nemen en waar nodig ook andere domeinen – zoals aparte opleidings- of campagnesites – te controleren. Juist daar ontstaan vaak onbedoeld risico’s.