Principperne om databeskyttelse gennem design og gennem standardindstillinger blev kodificeret i artikel 25 i forordning (EU) 2016/679. Standardindstillingerne for cookies er på nuværende tidspunkt i de fleste browsere angivet til "accepter alle cookies". Derfor bør leverandører af software, som gør det muligt at hente og fremvise oplysninger fra internettet, være forpligtet til at konfigurere softwaren således, at den giver mulighed for at forhindre tredjeparter i at lagre oplysninger på terminaludstyret, hvilket ofte gengives som "afvis cookies fra tredjeparter". Slutbrugere bør have adgang til et sæt privatlivsindstillinger, der strækker sig fra højere sikkerhed (f.eks. "accepter aldrig cookies") til lavere (f.eks. "accepter altid cookies"), men også har et mellemniveau (f.eks. "afvis cookies fra tredjeparter" eller "accepter kun førstepartscookies"). Disse privatlivsindstillinger bør præsenteres på en let synlig og forståelig måde.