Dark patterns in cookiebanners: wat is illegaal, wat is riskant en hoe blijft u compliant
Europese toezichthouders controleren niet meer alleen of u een cookiebanner heeft — ze controleren hoe deze zich gedraagt. Dark patterns — misleidende ontwerpkeuzes die gebruikers manipuleren om toestemming te geven die ze niet van plan waren te geven — zijn het voornaamste handhavingsdoel geworden voor gegevensbeschermingsautoriteiten in 2025-2026. Boetes zijn reëel, ze groeien en treffen bedrijven van elke omvang.
Wat zijn dark patterns bij cookietoestemming?
Een dark pattern is elke ontwerpkeuze die gebruikers richting toestemming duwt wanneer een neutraal ontwerp hen ertoe zou brengen te weigeren of een echte vrije keuze te maken. De Europese Gegevensbeschermingsraad (EDPB) heeft in 2023 bindende richtlijnen uitgevaardigd die specifieke dark pattern-categorieën definiëren. Dit zijn geen suggesties — ze hebben rechtskracht in alle EU-lidstaten.
De 7 meest voorkomende dark patterns (en waarom ze illegaal zijn)
1. Verborgen weigerknop
"Alles accepteren" is een prominente groene knop terwijl "Weigeren" een kleine grijze tekstlink is die verborgen is in een tweede laag. Meerdere toezichthouders hebben dit ongeldig verklaard. CNIL heeft een groot technologiebedrijf beboet met €60 miljoen, deels vanwege deze praktijk.
2. Vooraf aangevinkte vakjes
De toestemmingsbanner laadt met alle cookiecategorieën al aangevinkt. Het CJEU oordeelde in de Planet49-zaak (2019) dat vooraf aangevinkte vakjes geen geldige toestemming vormen. Dit is vaststaand recht.
3. Cookie walls
Toegang tot de website volledig blokkeren totdat de gebruiker toestemming geeft. De EDPB-richtlijnen stellen dat toestemming niet vrijelijk wordt gegeven als de toegang tot de dienst ervan afhankelijk is. De meeste EU-toezichthouders hebben dit standpunt bevestigd.
4. Verwarrend taalgebruik
Gebruik van juridisch jargon, dubbele ontkenningen of opzettelijk complexe bewoordingen om gebruikers te verwarren. "Door niet af te melden voor niet-essentiële cookies, gaat u akkoord met..." is een dark pattern. Helder, begrijpelijk taalgebruik is vereist.
5. Emotionele manipulatie
Gebruikers schuldig laten voelen met zinnen als "Ik geef niet om mijn ervaring" voor de weigeroptie, of verdrietige pictogrammen en waarschuwingskleuren op de weigerknop gebruiken. Toezichthouders hebben dit uitdrukkelijk aangekaart.
6. Asymmetrische inspanning
Één klik om te accepteren, vijf klikken om te weigeren. Als het weigeren van toestemming vereist dat u door meerdere schermen, schakelaars en bevestigingsdialoogvensters moet navigeren terwijl accepteren één knop is, is dit een dark pattern.
7. Herhaalde verzoeken
De toestemmingsbanner opnieuw tonen aan gebruikers die al geweigerd hebben, in de hoop dat ze uiteindelijk uit vermoeidheid op accepteren klikken. Zodra een gebruiker een keuze heeft gemaakt, moet die keuze worden gerespecteerd totdat ze deze actief wijzigen.
Echte boetes voor dark patterns
- CNIL (Frankrijk): boetes van €60M en €40M tegen grote technologiebedrijven voor toestemmingsbanners waarbij weigeren moeilijker was dan accepteren
- Italiaanse toezichthouder: boete van €20M voor vooraf aangevinkte toestemmingsvakjes en cookie walls
- Spaanse AEPD: boete van €2,5M voor manipulatief cookiebanner-ontwerp
- Belgische toezichthouder: oordeelde dat de oorspronkelijke TCF-implementatie van IAB Europe dark patterns bevatte
- Oostenrijkse DSB: meerdere uitspraken tegen asymmetrische toestemmingsontwerpen
Hoe u uw banner controleert op dark patterns
Voer deze checklist uit op uw huidige toestemmingsbanner:
- Accepteer- en weigerknopen hebben dezelfde grootte, kleurprominentie en aantal klikken
- Geen vakjes zijn vooraf aangevinkt — alle toestemmingscategorieën beginnen als uitgeschakeld
- De website is toegankelijk zonder toestemming te geven (geen cookie wall)
- De taal is eenvoudig, duidelijk en in de taal van de bezoeker
- Geen schuldgevoelens opwekkende tekst of emotionele manipulatie bij de weigeroptie
- Eerdere keuzes worden onthouden — banner verschijnt niet opnieuw voor gebruikers die geweigerd hebben
- Er bestaat een optie "Voorkeuren beheren" naast Accepteren en Weigeren
- Toestemming intrekken is even gemakkelijk als het geven ervan
FlexyConsent: dark pattern-vrij door ontwerp
FlexyConsent is gebouwd met naleving van regelgeving als standaard. Gelijke knoppen, geen vooraf aangevinkte vakjes, geen cookie walls, eenvoudige taal in 43+ talen en automatisch respect voor eerdere keuzes. Als Google Certified CMP geregistreerd bij IAB Europe, volgt FlexyConsent de strengste interpretatie van de EDPB-richtlijnen — zodat u nooit hoeft te vrezen voor handhaving van dark patterns.