De beginselen van gegevensbescherming door ontwerp en door standaardinstellingen werden vastgelegd in artikel 25 van Verordening (EU) 2016/679. Momenteel is de standaardinstelling voor cookies in de meest voorkomende browsers het "aanvaarden van alle cookies". Daarom moeten aanbieders van software voor het opvragen en het weergeven van informatie op het internet ertoe verplicht worden de software zo te configureren dat de optie wordt geboden om derden te verhinderen informatie in de eindapparatuur op te slaan; dit wordt vaak aangeboden als "cookies van derden verwerpen". Aan eindgebruikers moet een reeks privacyopties worden geboden, variërend van hogere (bijvoorbeeld "nooit cookies accepteren”) tot lagere privacy (bijvoorbeeld "altijd cookies accepteren") met een tussenniveau (bijvoorbeeld "cookies van derden verwerpen" of "alleen first party cookies accepteren"). Deze privacyinstellingen moeten op een duidelijk zichtbare en begrijpelijke wijze worden gepresenteerd.