Duitse autoriteit treedt hard op tegen cookiebanners

Image of Carlo Cilento

Gepubliceerd op 23 feb 2024 en bijgewerkt op 13 feb 2025 door Carlo Cilento

Op 9 februari publiceerde de gegevensbeschermingsautoriteit van Beieren een persbericht (alleen in het Duits) over de resultaten van een grootschalig, deels geautomatiseerd onderzoek naar cookies. De autoriteit vermoedt dat minstens 350 websites en 15 apps de EU-wetgeving overtreden en cookies plaatsen zonder toestemming.

Hoewel het onderzoek slechts voorlopig is, zijn er enkele belangrijke aspecten die het bespreken waard zijn.

  1. Waarom is dit onderzoek belangrijk?
  2. Wat was er mis met de cookiebanners?
  3. Zijn misleidende cookiebanners legaal?
  4. Waarom zie ik nog steeds een heleboel misleidende cookiebanners?
  5. Het grotere plaatje
  6. Slotopmerkingen

Waarom is dit onderzoek belangrijk?

Het persbericht benadrukt twee belangrijke punten. Ten eerste vereist de autoriteit een "alles weigeren"-optie bij de eerste hefboom van de cookiebanner - iets waar het Europees Comité voor gegevensbescherming ook op aandringt. Ten tweede gebruikte de autoriteit geautomatiseerde hulpmiddelen voor grootschalig onderzoek en wil ze het gebruik ervan in de toekomst verder onderzoeken.

Laten we beginnen bij de cookiebanners. Welke problemen heeft de autoriteit gevonden en hoe kun je die op je eigen website voorkomen?

Wat was er mis met de cookiebanners?

Volgens de autoriteit boden de meeste cookiebanners geen optie "alles weigeren" in de eerste laag. Dit lijkt misschien een onbelangrijk punt, maar dat is het niet, en hier is waarom.

Laat me je iets vragen: wanneer was de laatste keer dat je het moeilijk of verwarrend vond om cookies van een website te accepteren? Het antwoord is waarschijnlijk nooit. Cookies weigeren is meestal vervelend, verwarrend en vervelend. En toch is het accepteren van cookies heel eenvoudig.

Dat is de bedoeling. De EU-wetgeving vereist toestemming voor cookies (met kleine uitzonderingen die niet echt van toepassing zijn op web analytics). Websites kunnen je niet volgen zonder je toestemming, dus doen ze er alles aan om het weigeren van cookies zo moeilijk en vervelend mogelijk te maken.

Meestal bevindt de optie "cookies weigeren" zich op een dieper niveau van de cookiebanner en is deze begraven tussen andere nutteloze, verwarrende opties. Dit maakt van de cookiebanner een vervelende puzzel: of je neemt de tijd om hem op te lossen, of je accepteert alle cookies en gaat verder met je leven. Er zijn andere trucs in de gereedschapskist van de cookiebanner, maar de belangrijkste is het verbergen van de optie "alles weigeren" in een tweede laag.

De truc werkt. Veel gebruikers zijn simpelweg niet digitaal onderlegd genoeg om de opzettelijk verwarrende taal en lay-out van cookiebanners te doorgronden. We hebben het hier over miljoenen mensen die systematisch in het ootje worden genomen door websites die zich niet aan de regels houden! Zelfs beter uitgeruste gebruikers geven vaak toe aan vermoeidheid omdat het spelen van het domme cookie-minigame voor elke afzonderlijke website vervelend en tijdrovend is.

Zijn misleidende cookiebanners legaal?

Nee. Als ik op de knop "alles accepteren" klik omdat ik niet de tijd/het geduld/digitale geletterdheid heb om uit te zoeken hoe ik een misleidende cookie-pop-up moet "oplossen", heb ik geen vrije toestemming gegeven en is mijn toestemming dus volledig betekenisloos onder de GDPR.

Dit is ook het standpunt van de European Data Protection Board (de EU-instelling die privacyautoriteiten samenbrengt). Een recent EDPB-document dringt erop aan dat cookiepop-ups het gemakkelijk moeten maken om toestemming te weigeren, door in de eerste laag een "alles weigeren"-optie te presenteren. En hoewel dit geen unaniem standpunt is, is het wel het standpunt van de overgrote meerderheid van privacywaakhonden in heel Europa, en de Beierse autoriteit verwijst er uitdrukkelijk naar in haar persbericht.

In de praktijk betekent dit dat de Europese autoriteiten echt een hekel hebben aan misleidende cookiebanners. Niet alleen het begraven van de "weiger"-knop in de tweede laag, maar ook de hele trucendoos.

Waarom zie ik nog steeds een heleboel misleidende cookiebanners?

De Beierse autoriteit heeft niet echt iets nieuws gezegd. We hebben deze regels voor cookietoestemming al tientallen jaren - ze zijn ouder dan de GDPR zelf.

Handhaving is het probleem. Veel privacyautoriteiten in Europa doen goed werk, maar budget- en personeelsbeperkingen verhinderen hen om meer te doen. Ze zijn niet in staat om achter elke website aan te gaan die een niet-conforme cookiebanner gebruikt.

Daarom is het gebruik van geautomatiseerde tools belangrijk. Door een eerste fase van het werk te automatiseren, kunnen autoriteiten de wet effectiever handhaven en bedrijven bedreigen met grootschalige onderzoeken zoals dat in Beieren is gestart.

Dit is de eerste keer dat een Europese privacy-autoriteit software gebruikt om een deel van het feitenonderzoek te automatiseren, maar de strategie is niet helemaal nieuw in de privacy-wereld: privacy-ngo noyb gebruikte soortgelijke tools met succes voor grootschalige rechtszaken tegen niet-naleving van de cookiewet, ondanks een bescheiden personeelsbezetting en technische middelen.

Waar het op neerkomt: geautomatiseerde hulpmiddelen zijn geen vervanging voor goede financiering, maar ze kunnen desalniettemin een grote hulp zijn. Ze zijn een zeer interessant hulpmiddel en we hopen dat overheden een voorbeeld nemen aan Beieren en het gebruik ervan zullen onderzoeken.

(En laten we duidelijk zijn: niemand krijgt een boete omdat de computer dat zegt! De autoriteit heeft alleen het "domste" deel van het werk geautomatiseerd. Boetes kunnen alleen worden opgelegd na menselijk onderzoek van elk geval, en websites zullen in staat zijn om zichzelf te verdedigen in een goede juridische procedure)

Het grotere plaatje

Al deze discussie over het ontwerp van pop-ups lijkt misschien muggenzifterij, maar dat is het niet. Het misleidende ontwerp van cookiebanners is het symptoom van een breder probleem.

Bedrijven willen graag gebruikers volgen, maar gebruikers willen niet gevolgd worden. 96% van de iPhone-gebruikers koos ervoor om geen gegevens van derden te verzamelen zodra Apple hen de mogelijkheid daartoe gaf. En in 2022 gebruikte 35% van de internetgebruikers wereldwijd een advertentieblokker, ondanks het feit dat advertentieblokkering geen ingebouwde functie van standaardbrowsers is.

Omdat gebruikers het niet leuk vinden om gevolgd te worden, moet de advertentie-industrie zich beroepen op een fictie van toestemming terwijl ze alle mogelijke trucs gebruikt om toestemming af te dwingen. Deze fictie speelt een cruciale rol in hoe de ad-tech industrie het gebruik van invasieve en schadelijke tracking tools legitimeert in een wereld die zich steeds meer zorgen maakt over privacy.

We zien deze strategie ook in andere scenario's. Google beweert dat Android-gebruikers er op de een of andere manier allemaal mee hebben ingestemd dat ze worden gevolgd via hun advertentie-ID's, ondanks het feit dat hen dat in eerste instantie nooit is gevraagd. En Meta beweert dat het je "vrij" staat om toestemming te geven om geprofileerd te worden - het alternatief is €250 per jaar betalen.

Maar de GDPR maakt deze fictie moeilijk vol te houden. Dit is de reden waarom toezichthouders Meta al een tijdje het leven zuur maken over haar bedrijfsmodel en waarom rechtszaken tegen het misbruik van Google Analytics en soortgelijke tracking tools steeds succesvoller worden op Europees niveau (bijvoorbeeld de recente en potentieel spelveranderende overwinning tegen ad tech gigant Criteo).

Slotopmerkingen

Stap voor stap komt er eindelijk beweging in de strijd tegen online toezicht. De regels omzeilen is nog steeds mogelijk, maar wordt met de dag riskanter.

Als je er zeker van wilt zijn dat je cookiebanner compliant is, bekijk dan onze blog over dit onderwerp. Maar vergis u niet: het ontwerp van een cookiebanner die aan de regels voldoet, verlaagt de opt-in ratio aanzienlijk. Daarom overtreden zoveel websites de duidelijke regels die we hebben!

Er is dus een fundamentele afweging voor cookie-gebaseerde analytics. Je kunt goede opt-in rates hebben, of naleving.

We hebben Simple Analytics gebouwd zodat je niet hoeft te kiezen. We geven je alle inzichten die je nodig hebt over de prestaties van je website zonder cookies te gebruiken en zonder ook maar één stukje persoonlijke gegevens te verzamelen. Onze software is licht en gemakkelijk te leren, met een intuïtieve gebruikersinterface en een handige AI-assistent.

Als dit je aanspreekt, probeer ons dan gerust uit!