Skip to main content

Dark Patterns bij Cookietoestemming

Een dark pattern is een gebruikersinterface-ontwerp dat gebruikers manipuleert om keuzes te maken die ze anders niet zouden maken. In de context van cookietoestemming sturen dark patterns gebruikers richting het accepteren van alle cookies — niet door heldere informatie en een oprechte keuze, maar door visuele manipulatie, verwarrende bewoordingen en bewuste drempels.

Dark patterns bij cookietoestemming zijn niet alleen slecht ontwerp — ze vormen een juridisch risico. Toezichthouders voor gegevensbescherming in de hele EU hebben aanzienlijke boetes opgelegd specifiek voor manipulatieve toestemmingsinterfaces, en het toezicht wordt steeds strenger.

Waarom Dark Patterns Toestemming Ongeldig Maken

Onder de GDPR moet toestemming:

  • Vrijelijk gegeven zijn (artikel 4, lid 11) — de gebruiker moet een oprechte keuze hebben, zonder druk of manipulatie.
  • Specifiek zijn — toestemming moet worden gegeven voor elk afzonderlijk doel.
  • Geïnformeerd zijn — de gebruiker moet begrijpen waar hij mee instemt.
  • Ondubbelzinnig zijn — gegeven door een duidelijke, bevestigende handeling.

Dark patterns ondermijnen "vrijelijk gegeven" en "geïnformeerd" al door hun ontwerp. Als de weigeroptie verborgen, visueel geminimaliseerd of achter meerdere klikken verstopt is, is de toestemming van de gebruiker niet vrijelijk gegeven. Als de bewoordingen verwarrend of misleidend zijn, is de gebruiker niet geïnformeerd. In beide gevallen is de toestemming juridisch ongeldig — en elke cookie die op basis van die toestemming wordt geplaatst, vormt een overtreding.

De EU Cookie Pledge

In november 2023 lanceerde de Europese Commissie de Cookie Pledge — een vrijwillige verbintenis voor bedrijven om eerlijke cookiepraktijken te hanteren. Hoewel niet juridisch bindend, geeft de Cookie Pledge de verwachtingen van de Commissie weer en schetst hij de richting van toekomstige regelgeving.

Belangrijkste principes van de Cookie Pledge:

  • Cookies weigeren moet even eenvoudig zijn als ze accepteren — qua aantal klikken, visuele presentatie en cognitieve inspanning.
  • Geen manipulatieve ontwerpelementen die gebruikers richting acceptatie sturen.
  • Heldere, eenvoudige taal die gebruikers in één oogopslag begrijpen.
  • Geen cookiewalls die de toegang tot content blokkeren.
  • Eenvoudig intrekken van toestemming op elk moment.

Onder de bedrijven die de Cookie Pledge hebben ondertekend, bevinden zich verschillende grote merken. Hoewel het initiatief vrijwillig is, hebben toezichthouders voor gegevensbescherming expliciet naar de principes van de Pledge verwezen in handhavingsbesluiten.

EDPB-Richtsnoeren over Dark Patterns

De European Data Protection Board (EDPB) publiceerde Richtsnoeren 03/2022 over dark patterns in de interfaces van socialemediaplatforms, die op grote schaal ook op cookietoestemmingsinterfaces zijn toegepast. De richtsnoeren onderscheiden zes categorieën dark patterns:

  1. Overloading — gebruikers overladen met overmatige informatie of verzoeken, wat leidt tot besluitvormingsmoeheid.
  2. Skipping — interfaces ontwerpen die opties overslaan of vooraf selecteren zonder actieve betrokkenheid van de gebruiker.
  3. Stirring — emotionele taal of visuele signalen gebruiken om gebruikers richting een bepaalde keuze te sturen.
  4. Hindering — het uitoefenen van rechten bemoeilijken (bijv. de weigerknop vinden, instellingen benaderen, toestemming intrekken).
  5. Fickle — inconsistent ontwerp dat gebruikers in verwarring brengt over waar ze zich bevinden en wat hun keuzes betekenen.
  6. Left in the dark — informatie verbergen, dubbelzinnige taal gebruiken of onvolledige context bieden.

Nationale toezichthouders voor gegevensbescherming hebben deze categorieën gebruikt als kader bij het beoordelen van cookiebanners tijdens handhavingsprocedures.

Veelvoorkomende Dark Patterns met Voorbeelden

Vooraf Aangevinkte Vakjes

Vakjes voor cookiecategorieën tonen die al zijn aangevinkt, waardoor de gebruiker ze actief moet uitvinken om toestemming te weigeren. Dit werd expliciet ongeldig verklaard door het Hof van Justitie van de Europese Unie in de zaak Planet49 (C-673/17, oktober 2019). Het Hof oordeelde dat vooraf aangevinkte vakjes geen "actieve wilsuiting" van toestemming vormen.

Ondanks deze ondubbelzinnige uitspraak blijven veel websites vooraf aangevinkte voorkeurspanelen gebruiken, met name voor categorieën als "analytics" of "functioneel". Elk van deze implementaties levert ongeldige toestemming op.

Geen Weigerknop

Alleen "Alles accepteren" en "Voorkeuren beheren" tonen op de eerste laag, zonder optie om te weigeren. De gebruiker moet op "Voorkeuren beheren" klikken, een secundair paneel doorlopen, alle categorieën deselecteren en vervolgens op "Opslaan" klikken — doorgaans drie tot vijf klikken om te weigeren, tegenover één klik om te accepteren.

De CNIL (de Franse toezichthouder voor gegevensbescherming) is bijzonder streng geweest in de handhaving tegen dit patroon. In haar handhavingsacties van januari 2022 tegen Google (150 miljoen euro) en Facebook (60 miljoen euro) noemde de CNIL specifiek het ontbreken van een eenvoudig weigermechanisme op de eerste laag als een overtreding.

Visuele Manipulatie

De "Accepteren"-knop visueel dominant maken terwijl de "Weigeren"-optie wordt geminimaliseerd. Veelgebruikte technieken zijn:

  • Een grote, felgekleurde "Alles accepteren"-knop naast een kleine, grijze of transparante "Weigeren"-optie.
  • "Accepteren" als een gevulde knop met hoog contrast, terwijl "Weigeren" een tekstlink of ghost-button is.
  • "Accepteren" in het visuele focuspad van de gebruiker (midden, rechts uitgelijnd of primaire positie), terwijl "Weigeren" op een minder prominente plek staat.
  • Groen gebruiken voor "Accepteren" (signaal voor veilig/ga door) en rood of grijs voor "Weigeren" (signaal voor gevaar/stop/uitgeschakeld).

Het principe is eenvoudig: als een redelijke gebruiker de accepteeroptie zou opvatten als de "standaard" of "aanbevolen" actie, puur op basis van het visuele ontwerp, dan gebruikt de banner een dark pattern.

Verwarrende Taal en "Gerechtvaardigd Belang"

Sommige toestemmingsinterfaces presenteren bepaalde trackingdoeleinden als gebaseerd op "gerechtvaardigd belang" in plaats van toestemming, waarbij deze doeleinden vooraf zijn ingeschakeld en opt-out in plaats van opt-in vereisen. Dit is onder de GDPR technisch toegestaan voor echte gerechtvaardigde belangen, maar wordt op grote schaal misbruikt.

Wanneer een cookiebanner tientallen advertentieleveranciers onder "gerechtvaardigd belang" vermeldt met piepkleine schuifknoppen, is het praktische gevolg dat de meeste gebruikers niet begrijpen wat ze zien en geen actie ondernemen — met tracking als standaard tot gevolg. Verschillende toezichthouders voor gegevensbescherming, waaronder de Belgische GBA, hebben deze praktijk aangevochten met het argument dat gerechtvaardigd belang niet de rechtsgrond kan zijn voor advertentietracking.

Overmatig Veel Klikken om te Weigeren

De asymmetrie in inspanning is misschien wel het meest wijdverbreide dark pattern:

Actie Benodigde klikken
Alle cookies accepteren 1 klik
Alle cookies weigeren (dark pattern) 3-7 klikken (instellingen openen, elke categorie deselecteren, opslaan, eventueel bevestigen)
Alle cookies weigeren (conform) 1 klik ("Alles weigeren"-knop op de eerste laag)

De toestemmingsrichtsnoeren van de EDPB zijn expliciet: "Het intrekken van toestemming moet even eenvoudig zijn als het geven ervan." Bij uitbreiding zou het weigeren van toestemming niet meer inspanning mogen vergen dan het verlenen ervan.

Cookiewalls

Een cookiewall blokkeert de toegang tot de website volledig tenzij de gebruiker cookies accepteert. De pagina-inhoud gaat schuil achter een overlay, en de enige manier om verder te gaan is op "Accepteren" te klikken.

De EDPB heeft in haar Richtsnoeren 05/2020 gesteld dat cookiewalls over het algemeen geen vrijelijk gegeven toestemming opleveren, omdat de gebruiker geen oprechte keuze krijgt — het is "toestemmen of vertrekken". Sommige jurisdicties staan een genuanceerde variant toe (de Nederlandse Autoriteit Persoonsgegevens heeft bijvoorbeeld aangegeven dat cookiewalls acceptabel kunnen zijn als de gebruiker een oprecht gelijkwaardig alternatief heeft), maar de veiligere positie is om ze volledig te vermijden.

Overladen met Informatie

Sommige banners presenteren pagina's vol met dichte juridische tekst, tientallen leveranciersschuifknoppen en complexe categoriehiërarchieën — niet om te informeren, maar om te overweldigen. Geconfronteerd met een muur van tekst en 150 individuele leveranciersschuifknoppen, klikken de meeste gebruikers simpelweg op "Alles accepteren" uit vermoeidheid. Dit is het "overloading"-dark pattern dat de EDPB heeft geïdentificeerd: uitputtende informatie gebruiken om zinvolle betrokkenheid te verhinderen.

De oplossing is een gelaagde aanpak: beknopte, heldere informatie op de eerste laag, met gedetailleerde informatie beschikbaar maar niet verplicht om te doorlopen.

Emotionele Manipulatie

Schuldopwekkende of emotioneel geladen taal gebruiken om toestemmingskeuzes te sturen:

  • "Nee bedankt, een gepersonaliseerde ervaring interesseert me niet"
  • "Ik zie liever irrelevante advertenties"
  • "Doorgaan met een verminderde ervaring"
  • Verdrietige emoji of afkeurende afbeeldingen gebruiken wanneer de gebruiker richting weigeren neigt

Deze "confirmshaming"-technieken geven de gebruiker het gevoel dat het weigeren van cookies een slechte of asociale keuze is. De bewoordingen moeten neutraal en informatief zijn, niet emotioneel.

Praktijkvoorbeelden van Handhaving

Toezichthouders voor gegevensbescherming zijn overgestapt van richtlijnen naar handhaving. Hieronder staan opvallende zaken waarin dark patterns bij cookietoestemming tot forse boetes leidden:

CNIL vs. Google (150 miljoen euro) — januari 2022

De CNIL constateerde dat google.fr geen mechanisme bood om cookies even eenvoudig te weigeren als te accepteren. Cookies accepteren vereiste één klik; weigeren vereiste het doorlopen van meerdere schermen. De boete ging gepaard met een bevel om binnen drie maanden een "Alles weigeren"-knop op de eerste laag te plaatsen.

CNIL vs. Facebook (60 miljoen euro) — januari 2022

Dezelfde handhavingsactie. De cookiebanner van Facebook op facebook.com ontbeerde een weigeroptie op de eerste laag. Gebruikers moesten door de instellingen navigeren om cookies te weigeren. De CNIL legde de boete op en gelastte herstel.

CNIL vs. Microsoft (60 miljoen euro) — december 2022

De CNIL constateerde dat bing.com advertentiecookies plaatste zonder passende toestemming en dat de cookiebanner geen even eenvoudige manier bood om cookies te weigeren.

CNIL vs. TikTok (5 miljoen euro) — december 2022

De cookiebanner van TikTok vereiste meerdere handelingen om cookies te weigeren. De CNIL constateerde dat dit in strijd was met de eis van even toegankelijke toestemmings- en weigermechanismen.

De Italiaanse Garante vs. Diverse Bedrijven — 2023

De Italiaanse toezichthouder voor gegevensbescherming voerde controlerondes uit gericht op dark patterns in cookiebanners, en gaf waarschuwingen en boetes aan meerdere bedrijven wegens het gebruik van manipulatieve accepteer-/weigerknopontwerpen.

Hoe Ontwerp je Ethische Toestemmingsinterfaces

Het ontwerpen van een ethische cookietoestemmingsinterface gaat niet alleen over het vermijden van boetes — het gaat over respect voor je gebruikers en het opbouwen van vertrouwen. Dit zijn de principes:

  1. Gelijke prominentie. De accepteer- en weigeropties moeten visueel identiek zijn in grootte, kleurintensiteit en plaatsing. Als "Accepteren" een gevulde blauwe knop is, moet "Weigeren" ook een gevulde knop van gelijke grootte zijn.
  2. Gelijke inspanning. Cookies weigeren moet hetzelfde aantal klikken vergen als ze accepteren. Eén klik om te accepteren betekent één klik om te weigeren.
  3. Heldere taal. Gebruik eenvoudige, neutrale bewoordingen. "Alles accepteren" en "Alles weigeren" — niet "Accepteren" en "Meer informatie".
  4. Geen standaardinstellingen. Alle niet-essentiële cookiecategorieën moeten standaard uitgeschakeld zijn. Geen vooraf aangevinkte vakjes, geen vooraf ingeschakelde gerechtvaardigde belangen.
  5. Eerlijke informatie. Beschrijf wat cookies doen in feitelijke termen. Geen eufemismen, geen bangmakerij, geen emotionele manipulatie.
  6. Toegankelijke instellingen. Het voorkeurspaneel moet eenvoudig te navigeren zijn, met heldere categorieën en beknopte beschrijvingen.
  7. Eenvoudig intrekken. Een blijvend zichtbaar instellingenpictogram of -link moet op elke pagina beschikbaar zijn, zodat gebruikers hun voorkeuren op elk moment kunnen wijzigen.

Checklist: Is Mijn Banner Vrij van Dark Patterns?

Gebruik deze checklist om je huidige cookiebanner te controleren:

  1. Is er een "Alles weigeren"-knop op de eerste laag van de banner?
  2. Heeft de weigerknop dezelfde grootte als de accepteerknop?
  3. Heeft de weigerknop dezelfde visuele stijl als de accepteerknop (beide gevuld, beide met omlijning, enz.)?
  4. Vereist het weigeren van cookies hetzelfde aantal klikken als het accepteren ervan?
  5. Zijn alle niet-essentiële cookiecategorieën standaard uitgeschakeld in het voorkeurspaneel?
  6. Zijn de bewoordingen neutraal en feitelijk (geen schuldgevoelens, geen emotionele manipulatie)?
  7. Kan de gebruiker de content van de site benaderen zonder cookies te accepteren (geen cookiewall)?
  8. Kan de gebruiker zijn voorkeuren op elk moment wijzigen via een zichtbare link of pictogram?
  9. Is de doelbeschrijving specifiek (niet slechts "je ervaring verbeteren")?
  10. Worden er geen cookies geplaatst voordat de gebruiker een keuze maakt?

Als je op een van deze vragen "nee" hebt geantwoord, bevat je banner mogelijk dark patterns die je blootstellen aan risico's op het gebied van regelgeving.

De toestemmingsbanner van Passiro is vanaf de grond opgebouwd om vrij te zijn van dark patterns en voldoet standaard aan elk criterium op deze checklist. Ontdek hoe Passiro je kan helpen bij het implementeren van ethische, conforme cookietoestemming.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis