What is the Cost of Non-Compliancy to GDPR?

No Trick or Treat but Digital Tricks and Traps: About Dark Patterns in Cookie Banners.
Charlotte Bourguignon

Geen Trick or Treat maar Digitale Tricks en Traps.

Over Dark Patterns in Cookie Banners.

cookies

Geschreven door: Charlotte Bourguignon

Nu Halloween voor de deur staat is het heel geschikt om ook na te denken over andere donkere dingen, zoals Dark Patterns in marketing. De grootste GDPR-boete (General Data Protection Regulation) tot nu toe, een sanctie van € 746 miljoen tegen Amazon, werd uitgevaardigd omdat ze hun gebruikers ertoe aanzette om standaard akkoord te gaan met cookies en de opt-out te moeilijk te maken. Dit type nudging is een goed voorbeeld van een donker patroon.

 

Over het algemeen worden dark patterns gebruikt om technieken te beschrijven die de keuze van de consument kunnen beïnvloeden in de richting die u wilt. Deze patterns bieden een gebruikersinterface die is ontworpen om de gebruikers te misleiden om acties te ondernemen die niet noodzakelijkerwijs in hun belang zijn, of die ze niet zouden hebben genomen als hun toestemming niet was gemanipuleerd. Vooral in Privacy zijn dark patterns een probleem omdat ze niet alleen twijfelachtig zijn in termen van ethiek, maar ze gaan zeker ook in tegen de GDPR.

Wat zijn koekjes, zo niet eetbaar?

Volgens het cookiebeleid van Google zijn cookies “kleine stukjes tekst die naar uw browser worden gestuurd door een website die u bezoekt. Ze helpen die website informatie over uw bezoek te onthouden, wat het zowel gemakkelijker kan maken om de site opnieuw te bezoeken, als de site nuttiger voor u te maken. ” Sommige cookies kunnen echter ook informatie over u opslaan, en net daarom is de toestemming van de gebruiker noodzakelijk onder de GDPR. En dit is waar het interessant wordt…

 

Veel websites gebruiken dark patterns om hun bezoekers ertoe aan te zetten cookies te accepteren.  Het is onmogelijk om geldige GDPR-toestemming te geven aan een cookiebanner als de afwijzingsknop niet bestaat of bijna onzichtbaar is. Dit is een uitstekend voorbeeld van een dark pattern omdat het heel eenduidig is, maar dit is niet altijd het geval. Dark patterns maken gebruik van de menselijke psychologie om mensen een duwtje in de rug te geven. Ze kunnen uiterst effectief zijn, omdat de meeste gebruikers zich er niet eens van bewust zijn dat ze worden ‘begeleid’.

GDPR en cookies

De GDPR verbiedt dark patterns niet expliciet, maar eist wel dat toestemming vrijwillig wordt gegeven als het gaat om het opslaan en verwerken van (persoons)gegevens. Overweging 32 van de GDPR luidt als volgt:

“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinig met de verwerking van zijn persoonsgegevens instemt.”

Als de gebruiker cookies niet vrijelijk kan accepteren of weigeren en het ontwerp de gebruiker opzettelijk misleidt, gaat dit in tegen de GDPR en kunt u een boete krijgen. Schokkend genoeg toonde een Duits onderzoek uit 2019 aan dat meer dan 57,4% van de populaire websites in Europa mensen aanspoort om toestemming te geven voor hun cookiebanners. Dit laat zien dat er nog veel werk aan de winkel is.

Hoe cookiebanners op de juiste manier te gebruiken.

Naarmate toezichthouders strenger worden en mensen zich meer bewust worden van de waarde van hun persoonlijke gegevens, worden marketeers gedwongen om slimme manieren te ontwerpen om mensen ertoe aan te zetten cookies te accepteren. Waar originaliteit prima is, zijn dark patterns dat niet. Hier zijn enkele do’s en don’ts wanneer u uw cookiebanner ontwerpt.

1. Zorg in de eerste plaats dat je een cookiebanner hebt.

Deze lijkt misschien voor de hand liggend, maar een cookiebanner is een wettelijke vereiste als uw website cookies gebruikt (of dit nu first-party cookies of third-party cookies zijn).  Bovendien vereist de GDPR dat u aan uw bezoekers bekendmaakt wat voor soort informatie u van hen verzamelt, wat u met deze gegevens doet en wat de rechten van de bezoeker zijn met betrekking tot deze cookies. Deze informatie moet worden vermeld in uw cookiebeleid, in duidelijke en beknopte taal. Helemaal geen cookiebanner hebben is de grootste fout die een websitehost kan maken.

2. Voeg een know “weigeren” toe aan de banner.

We weten dat u zoveel mogelijk gegevens van uw websitebezoekers wilt verzamelen, maar de betrokkene moet zelf kunnen kiezen of hij die gegevens wil delen of niet. In plaats van de weigerknop weg te laten, schrijf slimme teksten die de aandacht trekken, maar toch ook ruimte laten voor de bezoeker om zelf te beslissen of ze de cookies willen accepteren of niet. Eerder dit jaar ontving Google een boete van maar liefst €150 miljoen van de Franse SA (de CNIL) omdat ze het weigeren van hun cookies onnodig verwarrend en moeilijk maakten voor hun gebruikers. We moeten er geen kanttekening bij maken dat ze nu wél een “alles weigeren” -knop aan hun cookiebanner hebben toegevoegd.

3. Gebruik geen misleidende link in plaats van een afwijzingsknop.

Deze hangt nauw samen met het vorige punt. Sommige websites voegen een “afwijzingsknop” toe in de vorm van een lange link. Bijvoorbeeld “klik hier om uw opties te zien” of nog erger, een link “instellingen”. Op deze manier is het voor gebruikers niet duidelijk of ze de cookies via deze link kunnen weigeren, waardoor ze automatisch op accepteren klikken.

4. Wees voorzichtig met manipulerende kleuren.

De GDPR verbiedt het niet expliciet om kleuren op uw knoppen te gebruiken in cookiebanners, maar wees voorzichtig wanneer ze opzettelijk worden gebruikt om klikgedrag te manipuleren. Deze psychologische nudging-techniek werd in het verleden door de Deense SA (het Datatilsynet) als illegaal geacht. In 2021 ontdekte Datatilsynet dat een Deens bedrijf haar gebruikers misleidde door felle kleuren te gebruiken in de cookiebanner.

5. Blijf uit de buurt van vooral geselecteerde opties.

Volgens onderzoek in 2020 gebruikt 46,5% van de populaire Europese websites een preselectie om consumenten naar privacy-onvriendelijke instellingen te sturen in hun cookie-toestemmingskennisgeving. Het handmatig uitvinken van alle vakjes is belastend voor de gebruiker.  Standaard moeten dus alleen noodzakelijke cookies worden aangevinkt, de andere moeten optioneel zijn (vandaar “een leeg selectievakje”) voor de bezoeker. Het HvJ-EU (Jof van Justitie van de Europese Unie) heeft in haar zaak tegen het Duitse loterijbedrijf Planet49 bevolen dat vooraf aangevinkte vakjes in cookie-toestemmingsbanners niet als ‘toestemming’ worden beschouwd.

Uiteindelijk is het installeren van een cookiebanner op uw website niet iets om bang voor te zijn, maar iets om bewust van te zijn. Gebruik geen dark patterns om het gedrag van mensen te sturen, maar gebruik in plaats daarvan duidelijke en aantrekkelijke teksten om de aandacht van uw bezoeker te trekken. U kunt zich afvragen of alle cookies die op uw website worden gebruikt, echt nodig zijn om onze prestaties te volgen. Zoals gewoonlijk is minder meer, vooral als het gaat om koekjes (eetbaar of niet). 😉

Hi! How can we help? 

Questions, remarks, feedback or compliments? The fastest way to reach us is through the form below.




    For urgent matters, you can contact us via 02 310 39 63.