Mørke mønstre i cookie-samtykke
Et mørkt mønster («dark pattern») er en brukergrensesnittdesign som manipulerer brukere til å ta valg de ellers ikke ville tatt. I forbindelse med cookie-samtykke styrer mørke mønstre brukerne mot å godta alle informasjonskapsler – ikke gjennom tydelig informasjon og reelle valg, men gjennom visuell manipulasjon, forvirrende språk og bevisst friksjon.
Mørke mønstre i cookie-samtykke er ikke bare dårlig design – de er et juridisk ansvar. Datatilsynsmyndigheter over hele EU har utstedt betydelige bøter spesifikt for manipulerende samtykkegrensesnitt, og det regulatoriske søkelyset intensiveres.
Hvorfor mørke mønstre ugyldiggjør samtykke
I henhold til GDPR må samtykke være:
- Frivillig gitt (artikkel 4(11)) – brukeren må ha et reelt valg, uten press eller manipulasjon.
- Spesifikt – samtykke må gis for hvert enkelt formål.
- Informert – brukeren må forstå hva de samtykker til.
- Utvetydig – gitt gjennom en klar, bekreftende handling.
Mørke mønstre undergraver «frivillig gitt» og «informert» ved design. Hvis avslagsalternativet er skjult, visuelt nedtonet eller begravd bak flere klikk, ble brukerens samtykke ikke gitt frivillig. Hvis språket er forvirrende eller villedende, ble brukeren ikke informert. I begge tilfeller er samtykket juridisk ugyldig – og hver informasjonskapsel som settes på grunnlag av dette samtykket, er et brudd.
EUs Cookie Pledge
I november 2023 lanserte Europakommisjonen Cookie Pledge – en frivillig forpliktelse for selskaper til å innføre rettferdig cookie-praksis. Selv om den ikke er juridisk bindende, signaliserer Cookie Pledge Kommisjonens forventninger og varsler den regulatoriske retningen.
Sentrale prinsipper i Cookie Pledge:
- Å avslå informasjonskapsler må være like enkelt som å godta dem – med hensyn til antall klikk, visuell presentasjon og kognitiv innsats.
- Ingen manipulerende designelementer som styrer brukere mot å godta.
- Tydelig, enkelt språk som brukere kan forstå med det samme.
- Ingen cookie-vegger som blokkerer tilgang til innhold.
- Enkel tilbaketrekking av samtykke når som helst.
Selskaper som signerte Cookie Pledge inkluderer flere store merkevarer. Selv om initiativet er frivillig, har datatilsynsmyndigheter eksplisitt vist til prinsippene i Pledge i håndhevingsavgjørelser.
EDPBs retningslinjer om mørke mønstre
Det europeiske personvernrådet (EDPB) publiserte Retningslinjer 03/2022 om mørke mønstre i grensesnitt på sosiale medieplattformer, som også har blitt bredt anvendt på cookie-samtykkegrensesnitt. Retningslinjene identifiserer seks kategorier av mørke mønstre:
- Overbelastning – å bombardere brukere med overdreven informasjon eller forespørsler, som fører til beslutningstretthet.
- Overhopping – å utforme grensesnitt som hopper over eller forhåndsvelger alternativer uten brukerens aktive engasjement.
- Påvirkning – å bruke følelsesladet språk eller visuelle signaler for å styre brukere mot et bestemt valg.
- Hindring – å gjøre det vanskelig å utøve rettigheter (f.eks. finne avslagsknappen, få tilgang til innstillinger, trekke tilbake samtykke).
- Ustabilitet – inkonsekvent design som forvirrer brukere om hvor de er og hva valgene deres betyr.
- Etterlatt i mørket – å skjule informasjon, bruke tvetydig språk eller gi ufullstendig kontekst.
Nasjonale datatilsynsmyndigheter har brukt disse kategoriene som et rammeverk når de vurderer cookie-bannere under håndhevingssaker.
Vanlige mørke mønstre med eksempler
Forhåndsavkryssede avkrysningsbokser
Å presentere avkrysningsbokser for cookie-kategorier som allerede er avkrysset, slik at brukeren aktivt må fjerne krysset for å avslå samtykke. Dette ble uttrykkelig kjent ugyldig av EU-domstolen i Planet49-saken (C-673/17, oktober 2019). Domstolen slo fast at forhåndsavkryssede bokser ikke utgjør en «aktiv indikasjon» på samtykke.
Til tross for denne utvetydige avgjørelsen fortsetter mange nettsteder å bruke forhåndsavkryssede innstillingspaneler, spesielt for «analyse»- eller «funksjonelle» kategorier. Hver av disse implementeringene produserer ugyldig samtykke.
Ingen avslagsknapp
Å vise bare «Godta alle» og «Administrer innstillinger» på det første nivået, uten mulighet til å avslå. Brukeren må klikke på «Administrer innstillinger», navigere i et sekundært panel, fjerne alle kategorier og deretter klikke på «Lagre» – vanligvis tre til fem klikk for å avslå, mot ett klikk for å godta.
CNIL (Frankrikes datatilsynsmyndighet) har vært spesielt aggressiv med å håndheve dette mønsteret. I sine håndhevingsaksjoner i januar 2022 mot Google (150 millioner euro) og Facebook (60 millioner euro) siterte CNIL spesifikt fraværet av en enkel avslagsmekanisme på det første nivået som et brudd.
Visuell manipulasjon
Å gjøre «Godta»-knappen visuelt dominerende mens «Avslå»-alternativet nedtones. Vanlige teknikker inkluderer:
- En stor, sterkt farget «Godta alle»-knapp ved siden av et lite, grått eller gjennomsiktig «Avslå»-alternativ.
- «Godta» som en fylt knapp med høy kontrast, mens «Avslå» er en tekstlenke eller en tom («ghost») knapp.
- «Godta» i brukerens visuelle fokusbane (sentrert, høyrejustert eller i primærposisjon), mens «Avslå» plasseres på et mindre fremtredende sted.
- Å bruke grønt for «Godta» (signaliserer trygghet/gå) og rødt eller grått for «Avslå» (signaliserer fare/stopp/deaktivert).
Prinsippet er enkelt: hvis en rimelig bruker ville oppfatte godta-alternativet som «standard»- eller «anbefalt» handling utelukkende basert på visuell design, bruker banneret et mørkt mønster.
Forvirrende språk og «berettiget interesse»
Noen samtykkegrensesnitt presenterer visse sporingsformål som basert på «berettiget interesse» i stedet for samtykke, med disse formålene forhåndsaktivert og som krever fravalg («opt-out») i stedet for tilvalg («opt-in»). Dette er teknisk sett tillatt under GDPR for genuine berettigede interesser, men det misbrukes i utstrakt grad.
Når et cookie-banner lister opp dusinvis av annonseleverandører under «berettiget interesse» med bittesmå brytere, er den praktiske effekten at de fleste brukere ikke forstår hva de ser og ikke tar noen handling – noe som resulterer i sporing som standard. Flere datatilsynsmyndigheter, inkludert det belgiske APD, har utfordret denne praksisen og argumentert for at berettiget interesse ikke kan være rettsgrunnlaget for annonsesporing.
For mange klikk for å avslå
Asymmetrien i innsats er kanskje det mest utbredte mørke mønsteret:
| Handling | Klikk som kreves |
|---|---|
| Godta alle informasjonskapsler | 1 klikk |
| Avslå alle informasjonskapsler (mørkt mønster) | 3–7 klikk (åpne innstillinger, fjern hver kategori, lagre, muligens bekrefte) |
| Avslå alle informasjonskapsler (regelrett) | 1 klikk («Avslå alle»-knapp på første nivå) |
EDPBs samtykkeretningslinjer er tydelige: «Å trekke tilbake samtykke bør være like enkelt som å gi det.» I forlengelsen av dette bør det ikke kreve mer innsats å avslå samtykke enn å gi det.
Cookie-vegger
En cookie-vegg blokkerer tilgang til nettstedet fullstendig med mindre brukeren godtar informasjonskapsler. Sideinnholdet er skjult bak et overlegg, og den eneste måten å fortsette på er å klikke på «Godta».
EDPB har uttalt i sine Retningslinjer 05/2020 at cookie-vegger generelt ikke gir frivillig gitt samtykke, fordi brukeren ikke får et reelt valg – det er «samtykk eller forlat». Enkelte jurisdiksjoner tillater en nyansert versjon (det nederlandske datatilsynet har for eksempel indikert at cookie-vegger kan være akseptable dersom brukeren har et reelt likeverdig alternativ), men den tryggere posisjonen er å unngå dem helt.
Overbelastning med informasjon
Noen bannere presenterer sider med tett juridisk tekst, dusinvis av leverandørbrytere og komplekse kategorihierarkier – ikke for å informere, men for å overvelde. Stilt overfor en vegg av tekst og 150 individuelle leverandørbrytere klikker de fleste brukere ganske enkelt på «Godta alle» av utmattelse. Dette er «overbelastnings»-mønsteret som EDPB har identifisert: å bruke uttømmende informasjon for å hindre meningsfullt engasjement.
Løsningen er en lagdelt tilnærming: kort, tydelig informasjon på det første nivået, med detaljert informasjon tilgjengelig, men ikke obligatorisk å navigere gjennom.
Emosjonell manipulasjon
Å bruke skyldbelagt eller følelsesladet språk for å styre samtykkevalg:
- «Nei takk, jeg bryr meg ikke om en personlig opplevelse»
- «Jeg foretrekker å se irrelevante annonser»
- «Fortsett med en forringet opplevelse»
- Å bruke triste emoji eller misbilligende bilder når brukeren beveger seg mot avslag
Disse «confirmshaming»-teknikkene får brukeren til å føle at det å avslå informasjonskapsler er et dårlig eller usosialt valg. Språket bør være nøytralt og informativt, ikke emosjonelt.
Reelle håndhevingseksempler
Datatilsynsmyndigheter har gått fra veiledning til håndheving. Her er bemerkelsesverdige saker der mørke mønstre i cookie-samtykke førte til betydelige bøter:
CNIL mot Google (150 millioner euro) – januar 2022
CNIL fant at google.fr ikke tilbød en mekanisme for å avslå informasjonskapsler like enkelt som å godta dem. Å godta informasjonskapsler krevde ett klikk; å avslå krevde navigering gjennom flere skjermer. Boten ble ledsaget av et pålegg om å tilby en «Avslå alle»-knapp på det første nivået innen tre måneder.
CNIL mot Facebook (60 millioner euro) – januar 2022
Samme håndhevingsaksjon. Facebooks cookie-banner på facebook.com manglet et avslagsalternativ på første nivå. Brukere måtte navigere gjennom innstillinger for å avslå informasjonskapsler. CNIL ila boten og påla utbedring.
CNIL mot Microsoft (60 millioner euro) – desember 2022
CNIL fant at bing.com plasserte annonseinformasjonskapsler uten korrekt samtykke, og at cookie-banneret ikke ga en like enkel måte å avslå informasjonskapsler på.
CNIL mot TikTok (5 millioner euro) – desember 2022
TikToks cookie-banner krevde flere handlinger for å avslå informasjonskapsler. CNIL fant at dette brøt kravet om like tilgjengelige samtykke- og avslagsmekanismer.
Italienske Garante mot ulike selskaper – 2023
Den italienske datatilsynsmyndigheten gjennomførte kontroller rettet mot mørke mønstre i cookie-bannere, og utstedte advarsler og bøter til flere selskaper for bruk av manipulerende godta/avslå-knappedesign.
Hvordan utforme etiske samtykkegrensesnitt
Å utforme et etisk cookie-samtykkegrensesnitt handler ikke bare om å unngå bøter – det handler om å respektere brukerne dine og bygge tillit. Her er prinsippene:
- Lik fremtreden. Godta- og avslå-alternativene må være visuelt identiske i størrelse, fargevekt og plassering. Hvis «Godta» er en fylt blå knapp, må «Avslå» også være en fylt knapp av samme størrelse.
- Lik innsats. Å avslå informasjonskapsler må kreve samme antall klikk som å godta dem. Ett klikk for å godta betyr ett klikk for å avslå.
- Tydelig språk. Bruk enkelt, nøytralt språk. «Godta alle» og «Avslå alle» – ikke «Godta» og «Les mer».
- Ingen standardvalg. Alle ikke-nødvendige cookie-kategorier må være avslått som standard. Ingen forhåndsavkryssede bokser, ingen forhåndsaktiverte berettigede interesser.
- Ærlig informasjon. Beskriv hva informasjonskapsler gjør i saklige termer. Ingen eufemismer, ingen skremselstaktikk, ingen emosjonell manipulasjon.
- Tilgjengelige innstillinger. Innstillingspanelet bør være enkelt å navigere i, med tydelige kategorier og konsise beskrivelser.
- Enkel tilbaketrekking. Et vedvarende innstillingsikon eller en lenke må være tilgjengelig på hver side, slik at brukere kan endre innstillingene sine når som helst.
Sjekkliste: Er banneret mitt fritt for mørke mønstre?
Bruk denne sjekklisten til å revidere ditt nåværende cookie-banner:
- Finnes det en «Avslå alle»-knapp på det første nivået av banneret?
- Er avslagsknappen samme størrelse som godta-knappen?
- Har avslagsknappen samme visuelle stil som godta-knappen (begge fylte, begge med kontur osv.)?
- Krever det å avslå informasjonskapsler samme antall klikk som å godta dem?
- Er alle ikke-nødvendige cookie-kategorier avslått som standard i innstillingspanelet?
- Er språket nøytralt og saklig (ingen skyldbelegging, ingen emosjonell manipulasjon)?
- Kan brukeren få tilgang til nettstedets innhold uten å godta informasjonskapsler (ingen cookie-vegg)?
- Kan brukeren endre innstillingene sine når som helst via en synlig lenke eller et ikon?
- Er formålsbeskrivelsen spesifikk (ikke bare «forbedre opplevelsen din»)?
- Settes ingen informasjonskapsler før brukeren tar et valg?
Hvis du svarte «nei» på noen av disse spørsmålene, kan banneret ditt inneholde mørke mønstre som utsetter deg for regulatorisk risiko.
Passiros samtykkebanner er utformet fra grunnen av til å være fritt for mørke mønstre, og oppfyller hvert kriterium på denne sjekklisten som standard. Se hvordan Passiro kan hjelpe deg med å implementere etisk, regelrett cookie-samtykke.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis