"Dark patterns" in cookiebanners

Veel websites maken gebruik van “dark patterns”: designs waarbij gebruikers gemanipuleerd worden tot het maken van bepaalde keuzes. Keuzes die in het voordeel van het bedrijf achter de website uitpakken, maar juist in het nadeel van de gebruiker zelf. Dark patterns zien we vaak terug in cookiebanners, met als doel om zoveel mogelijk gebruikers te laten instemmen met het plaatsen van cookies. De gebruiker krijgt vaak een duidelijke button te zien voor het accepteren van cookies, terwijl de optie om cookies te weigeren vakkundig is verstopt. In deze blog staan we stil bij diverse dark pattern ontwerpen, en leggen we uit waarom het gebruik daarvan vaak geen geldige toestemming oplevert voor het plaatsen van cookies.
 

Hoe vraag ik geldige toestemming voor het plaatsen van cookies?

Bij tracking cookies en bepaalde analytische cookies worden doorgaans persoonsgegevens verwerkt, bijvoorbeeld wanneer er een profiel over de websitegebruiker wordt gebouwd. Wanneer bij het plaatsen of uitlezen van cookies persoonsgegevens worden verwerkt, vereist de Algemene Verordening Gegevensbescherming (AVG) toestemming.

De drempel voor het verkrijgen van geldige toestemming is hoog. Lees ook onze blog hierover. De AVG bepaalt dat toestemming onder andere (i) vrijelijk en (ii) ondubbelzinnig moet worden gegeven. Hoe voldoe je aan deze eisen als je toestemming wil vragen voor het plaatsen van cookies?
 

• Vrijelijk gegeven

Vrijelijk gegeven wil zeggen dat de toestemming niet onder druk mag worden gegeven. Het is dus niet toegestaan om iemand te benadelen als hij of zij geen toestemming geeft. Zo zijn cookie walls, waar toestemming is vereist voor toegang tot de website, al een tijdje verboden. Daarnaast moet er sprake zijn van een ‘echte’ keuze. Ten eerste moet het duidelijk zijn dat de toestemming mag worden geweigerd. Daarnaast moeten de mogelijkheden om cookies te accepteren en weigeren in balans zijn: weigeren mag niet meer moeite kosten dan accepteren.
 

• Ondubbelzinnig

De eis van ondubbelzinnigheid betekent dat er sprake moet zijn van een volstrekt heldere, actieve toestemming. Maar dark patterns zorgen juist voor dubbelzinnigheid: het is moeilijk om te beoordelen of de gebruiker helder en actief toestemming heeft gegeven, of dat de toestemming juist voortkomt uit manipulatie.

Dark patterns onder een vergrootglas

Het gebruik van dark patterns is in de afgelopen jaren binnen de Europese Unie steeds meer onder de aandacht gekomen, onder andere van diverse privacy autoriteiten.  

 De European Data Protection Board (EDPB) heeft naar aanleiding van honderden klachten over cookiebanners bij verschillende autoriteiten, een Cookie Banner Taskforce opgericht. Deze Taskforce heeft als doel om de samenwerking en kennisoverdracht tussen de toezichthoudende autoriteiten te bevorderen, om misleidende cookiebanners op een consistente manier te bestrijden.  

De EDPB heeft recent een rapport gepubliceerd over het uitgevoerde werk van de Taskforce. Dit rapport bevat een aantal  ‘minimumdrempels’ voor het vragen van toestemming voor cookies, die we hieronder kort bespreken. 
 

Meest voorkomende fouten in cookiebanners
 

• Geen “Alles afwijzen” knop bij het eerste scherm

Als er op het eerste scherm een optie is om alle cookies te accepteren, moet er op datzelfde scherm ook een optie zijn om alle cookies af te wijzen.
 

• Het gebruik van vooraf aangevinkte boxjes

Boxjes voor niet-noodzakelijke cookies mogen niet vooraf aangevinkt zijn. Er moet namelijk actief toestemming gegeven worden.
 

• Misleidend “link design”

Het mag niet zo zijn dat de enige manier om cookies af te wijzen, visueel niet opvalt. Er mag dus niet in een onopvallend stuk tekst of buiten de cookiebanner naar gelinkt worden, als de aandacht van de gebruiker daar niet voldoende naar getrokken wordt.
 

• Misleidende “button kleuren” en “button contrast”

Contrast en kleuren mogen er niet voor zorgen dat er onbedoeld toestemming wordt gegeven. Een algemene standaard wat betreft kleuren en contrast is volgens de taskforce niet werkbaar, daarom wordt per geval bekeken wat is toegestaan. Het is in ieder geval niet toegestaan om een minimaal contrast te gebruiken voor de tekst en de knop, waardoor het onleesbaar is voor de gebruiker.
 

• Geen (duidelijke) opt-out functie

De gebruiker mag zijn toestemming op elk moment weer intrekken, en dat moet net zo eenvoudig kunnen als het verlenen van toestemming. Deze optie moet toegankelijk zijn. Bijvoorbeeld door een altijd zichtbaar icoontje, of een link op een zichtbare plek.

Om de dark pattern designs versus de juiste designs duidelijker te maken, hebben we ze weergegeven in onderstaande infographic.
 

Om geldige toestemming te verkrijgen voor het gebruiken van cookies op jouw website, is het dus belangrijk om aandacht te besteden aan het ontwerp van de cookiebanner. Nu je alles weet van het design van een cookiebanner, is het tijd om zelf aan de slag te gaan. Gebruik onze software en creëer in een handomdraai de inhoud van jouw eigen cookiebanner en cookieverklaring!