Wat de EDPB Cookie Banner Taskforce werkelijk is

De taskforce is een coördinatielijchaam, geen toezichthouder op zichzelf. Ze is opgericht op grond van Article 70 van de GDPR, dat de EDPB machtigt om de samenwerking tussen nationale gegevensbeschermingsautoriteiten over kwesties van gemeenschappelijk belang te faciliteren. De aanleiding was een klachtencampagne van noyb — de privacyadvocacygroep van Max Schrems — tegen honderden websites in de EU. Omdat die klachten autoriteiten in vrijwel elke lidstaat raakten, besloot de EDPB een enkel forum te creëren waar DPA's aantekeningen konden vergelijken en een gedeeld analytisch kader konden ontwikkelen. De output van de taskforce heeft de vorm van rapporten die documenteren welke ontwerpkeuzes worden beschouwd als schendingen van toestemmingsvereisten, geordend per categorie.

Die structuur doet er in de praktijk toe. De rapporten zijn niet bindend zoals een verordening of een nationale boete bindend is, maar ze beschrijven de consensuspositie van elke Europese DPA. Wanneer een nationale autoriteit een onderzoek opent, kan zij — en doet dat steeds vaker — de bevindingen van de taskforce aanwijzen als bewijs dat een betwist bannerpatroon al door de bredere regelgevingsgemeenschap als niet-conform is beoordeeld. Voor uitgevers is het praktische effect dat elke banner die de taskforcecriteriae doorstaat verdedigbaar is in de gehele EU. Elke banner die die criteria niet haalt, ligt overal tegelijk bloot.

De zes categorieën waarop de taskforce zich richt

De taskforce groepeert haar bevindingen in zes overlappende probleemgebieden. Elk correspondeert met een ontwerppatroon dat herhaaldelijk opdook in de noyb-klachten en dat de DPA's collectief als overtreding hebben aangemerkt.

1. Geen weigerknop op de eerste laag

De meest aangehaalde bevinding in de rapporten. Als een bezoeker op de initiële banner een knop "Alles accepteren" ziet, maar geen gelijkwaardige knop "Alles weigeren", wordt de keuze niet vrijelijk gegeven. De opties voor accepteren en weigeren moeten met gelijke prominentie op dezelfde laag worden gepresenteerd. Het verstoppen van het weigerpad achter een link "Voorkeuren beheren" is vandaag het meest voorkomende patroon in handhavingsacties.

2. Vooraf aangevinkte selectievakjes

Het vooraf selecteren van toestemming voor een niet-essentiële categorie — zelfs één — maakt het volledige toestemmingsrecord ongeldig op grond van Overweging 32 van de GDPR. De taskforce behandelt dit als een per se-overtreding. Moderne CMP's worden standaard uitgeleverd met dit uitgeschakeld, maar legacy-implementaties en zelfgebouwde banners vinken analyses of marketingcategorieën nog steeds vaak vooraf aan.

3. Misleidend linkontwerp

Het weigerpad "Meer informatie" noemen of het als een tekst-link met weinig contrast stijlen terwijl de acceptatieknop een gekleurd blok met hoog contrast is, creëert een onevenwichtigheid die de taskforce als misleidend ontwerppatroon beschouwt. Het middel is eenvoudig: overeenkomende lettergewicht, kleurcontrast en knopstijl tussen accepteren en weigeren.

4. Cookies ten onrechte als "essentieel" classificeren

Sommige operators hebben geprobeerd de toestemmingsverplichting volledig te omzeilen door analytische, reclame- of sociale-mediacookies te herbenoemen als strikt noodzakelijk. De taskforce was duidelijk: een cookie is essentieel alleen als de website zonder haar niet kan functioneren vanuit het perspectief van de gebruiker. Analytische cookies, A/B-testcookies, reclame- en personalisatiecookies komen niet in aanmerking. Ze foutief labelen is op zichzelf al een overtreding, onafhankelijk van de onderliggende tracking.

5. Geen intrekkingsmechanisme

Toestemming moet even gemakkelijk in te trekken zijn als te verlenen. Een banner die toestemming accepteert met één klik maar gebruikers dwingt een meerstaps instellingenmenu te doorlopen om die in te trekken, slaagt voor deze test niet. De taskforce vraagt specifiek om een persistent besturingselement — doorgaans een zwevend pictogram of voettekstlink — dat de bezoeker terugbrengt naar het oorspronkelijke toestemmingsoppervlak.

6. Bannerontwerp dat de keuze verdoezelt

Dit is de breedste en meest subjectieve categorie. Ze omvat overlays die de pagina-inhoud blokkeren totdat toestemming is verleend, banners waarvan de weigerknop onder de vouw staat, kleurenschema's die het weigerpad vrijwel onzichtbaar maken, en animaties die de aandacht van de keuze afleiden. De rode draad is dat het ontwerp de gebruiker richting acceptatie duwt in plaats van een neutrale keuze te presenteren.

Wat dit betekent voor handhaving

De taskforce legt geen boetes op. Nationale DPA's doen dat. Maar omdat elke Europese autoriteit de analyse van de taskforce heeft ondertekend, is het handhavingsrisico voor deze specifieke patronen nu uniform in de gehele EU. De CNIL in Frankrijk heeft tot nu toe de grootste reeks cookiegerelateerde boetes opgelegd, maar de Italiaanse Garante, de Spaanse AEPD, de Duitse autoriteiten op deelstaatniveau en de Ierse DPC hebben allemaal onderzoeken geopend met verwijzing naar taskforce-conforme redenering. Zelfs de UK ICO, die buiten de EU-regelgevingsperimeter valt, heeft richtsnoeren gepubliceerd die de taskforce-categorieën nauwgezet weerspiegelen.

Wat deze convergentie in de praktijk betekent, is dat uitgevers compliance niet langer land voor land kunnen aanpakken. Een banneraudit moet worden afgezet tegen de taskforce-categorieën als een uniforme checklist. Als de banner op een van de zes faalt, is het risico niet één DPA maar het gehele Europese toezichtsnetwerk.

Een praktische auditchecklist

De snelste manier om een bestaande banner in lijn te brengen, is deze langs de bovenstaande categorieën te lopen en elk punt te beantwoorden met een gedocumenteerd ja of nee. De vragen zijn bewust concreet.

• Evenwicht op de eerste laag. Biedt de initiële banner een expliciete knop "Alles weigeren" of "Doorgaan zonder te accepteren" op hetzelfde oppervlak als "Alles accepteren", met vergelijkbare stijl?
• Standaardstatus. Staan alle schakelaars voor niet-essentiële categorieën standaard uitgeschakeld in de voorkeursweergave?
• Duidelijkheid van de link. Is het weigerpad gelabeld met een werkwoord dat de actie beschrijft (bijv. "Alles weigeren", "Niet-essentieel weigeren"), niet een dubbelzinnige zin als "Meer opties" of "Instellingen"?
• Cookie-classificatie. Heeft u geverifieerd dat elke cookie die als "strikt noodzakelijk" is opgegeven echt vereist is voor het functioneren van de site, niet voor analyses, reclame of gemaksfuncties?
• Toegang tot intrekking. Is er op elke pagina een persistent UI-element dat de toestemmingsbanner opnieuw opent, met niet meer klikken dan nodig was voor de oorspronkelijke acceptatie?
• Geen donkere patronen. Vermijdt de banner kleur-, formaat- of animatiekeuzes die een betekenisvolle visuele onevenwichtigheid creëren tussen accepteren en weigeren?

Een banner die op die checklist zes duidelijke ja's teruggeeft, is verdedigbaar bij de huidige taskforce-conforme handhaving. Een banner die zelfs maar één nee teruggeeft, moet worden behandeld als een verbeteringsproject in plaats van een onderhoudstaak.

Waar de taskforce naartoe gaat

De gepubliceerde rapporten behandelen de patronen die de oorspronkelijke golf van klachten veroorzaakten. Het doorlopende werk van de taskforce — zichtbaar via de periodieke updates die door de EDPB worden uitgebracht — begeeft zich nu op moeilijker, minder uitgekristalliseerd terrein. Drie gebieden zullen naar verwachting de volgende ronde richtsnoeren bepalen.

Betalen-of-toestemmen-modellen

De beslissing van verschillende grote Europese uitgevers om bezoekers een binaire keuze aan te bieden tussen het betalen van een abonnement en instemmen met tracking heeft expliciete aandacht getrokken. De EDPB heeft in 2024 een opinie uitgebracht waarin wordt betwijfeld of een dergelijke keuze als vrijelijk gegeven kan worden beschouwd wanneer het alternatief een betaalmuur is. Van de taskforce wordt verwacht dat zij gecoördineerde criteria publiceert voor wanneer betalen of toestemmen is toegestaan en wanneer het in dwang overgaat.

Toestemmingsvermoeidheid en granulariteit

Zeer granulaire toestemmingsoppervlakken per leverancier, zoals die gegenereerd door de IAB TCF, zijn bekritiseerd als zijnde producenten van toestemmingsvermoeidheid en uiteindelijk niet "geïnformeerd" in de zin van de GDPR. Toekomstige taskforce-richtsnoeren zullen waarschijnlijk aansturen op besturingselementen op categorieniveau in plaats van leveranciersniveau op de eerste laag, waarbij openbaarmaking op leveranciersniveau beschikbaar maar niet vereist is voor een initiële geldige toestemming.

Mobiele en connected-TV-oppervlakken

Het meeste vroege taskforcewerk richtte zich op webbanner. Toestemmingsstromen in mobiele apps en connected-TV-interfaces hebben andere ontwerpbeperkingen en zijn nog niet het onderwerp geweest van gedetailleerde bevindingen. Uitgevers die op die oppervlakken actief zijn, moeten gecoördineerde richtsnoeren verwachten binnen de komende 12 tot 18 maanden, en mogen niet aannemen dat een conform webbannerpatroon automatisch van toepassing is.

Alles samenbrengen

De taskforce heeft iets gedaan wat de GDPR alleen niet kon: ze heeft een enkele, operationele interpretatie opgeleverd van hoe toestemming er in de praktijk in de hele Europese Unie uitziet. Voor uitgevers is de les dat het tijdperk van jurisdictieshoppen of vertrouwen op laks nationaal handhaving voorbij is. De juiste reactie is de categorieën van de taskforce te beschouwen als een bindende interne standaard, bestaande banners hieraan te auditen, en de infrastructuur voor toestemmingsbeheer zo in te stellen dat de categorieën op platformniveau worden gehandhaafd in plaats van overgelaten aan implementatie per pagina. Een moderne CMP die netjes is gekoppeld aan de zes categorieën — gebalanceerde knoppen op de eerste laag, standaard-uitgeschakelde schakelaars, helder geformuleerde weigerlabels, nauwkeurige cookieclassificatie, persistent toegankelijke intrekking en neutraal ontwerp — transformeert een blootgestelde compliancepositie in een verdedigbare in elke Europese markt tegelijkertijd.