Dark Patterns i cookiebannere: hva er ulovlig, hva er risikabelt, og hvordan holde seg compliant
Regulatorer over hele Europa sjekker ikke lenger bare om du har et cookiebanner — de sjekker hvordan det oppfører seg. Dark patterns — villedende designvalg som manipulerer brukere til å gi samtykke de ikke hadde til hensikt — har blitt det viktigste håndhevingsmålet for databeskyttelsesmyndigheter i 2025–2026. Bøter er reelle, de vokser, og de rammer bedrifter av alle størrelser.
Hva er dark patterns i cookiesamtykke?
Et dark pattern er ethvert designvalg som styrer brukere mot å samtykke, når et nøytralt design ville ført dem til å avslå eller ta et genuint fritt valg. European Data Protection Board (EDPB) publiserte bindende retningslinjer i 2023 som definerer spesifikke dark pattern-kategorier. Dette er ikke anbefalinger — de har lovkraft i alle EU-medlemsstater.
De 7 vanligste dark patterns (og hvorfor de er ulovlige)
1. Skjult avvisningsknapp
Å gjøre "Godta alle" til en fremtredende grønn knapp mens "Avvis" er en liten grå tekstlenke begravet i et andre lag. Flere datatilsyn har erklært dette ugyldig. CNIL bøtela et stort teknologiselskap med €60 millioner delvis for denne praksisen.
2. Forhåndsavkryssede bokser
Laste inn samtykkebanneret med alle cookiekategorier allerede avkrysset. CJEU fastslo i Planet49-saken (2019) at forhåndsavkryssede bokser ikke utgjør gyldig samtykke. Dette er etablert rett.
3. Cookie-murer
Å blokkere tilgang til nettstedet fullstendig inntil brukeren samtykker. EDPB-retningslinjene fastslår at samtykke ikke er gitt fritt hvis tilgang til tjenesten er betinget av det. De fleste EU-datatilsyn har bekreftet dette standpunktet.
4. Forvirrende språk
Bruk av juridisk sjargong, doble negativer eller bevisst komplisert ordlyd for å forvirre brukere. «Ved å ikke melde seg ut av ikke-nødvendige informasjonskapsler, samtykker du til...» er et dark pattern. Klart, enkelt språk er påkrevd.
5. Emosjonell manipulasjon
Å skape skyldfølelse hos brukere med fraser som «Jeg bryr meg ikke om min opplevelse» for avvisningsalternativet, eller bruke triste ikoner og advarselsfarger på avvisningsknappen. Regulatorer har spesifikt påpekt dette.
6. Asymmetrisk innsats
Ett klikk for å godta, fem klikk for å avslå. Hvis det å nekte samtykke krever navigering gjennom flere skjermer, brytervalg og bekreftelsesdialoger mens godkjenning er en enkelt knapp, er dette et dark pattern.
7. Gjentatt forespørsel
Å vise samtykkebanneret igjen til brukere som allerede har avslått, i håp om at de til slutt vil klikke godta av utmattelse. Når en bruker har tatt et valg, må det valget respekteres til de aktivt endrer det.
Reelle bøter for dark patterns
- CNIL (Frankrike): €60M og €40M bøter mot store teknologiselskaper for samtykkebannere der avvisning var vanskeligere enn godkjenning
- Italiensk datatilsyn: €20M bot for forhåndsavkryssede samtykkebokser og cookie-murer
- Spansk AEPD: €2,5M bot for manipulativt cookiebanner-design
- Belgisk datatilsyn: Fastslo at IAB Europes originale TCF-implementering involverte dark patterns
- Østerriksk DSB: Flere avgjørelser mot asymmetriske samtykkedesign
Slik reviderer du banneret ditt for dark patterns
Kjør denne sjekklisten mot ditt nåværende samtykkebanner:
- Godta- og Avvis-knappene er like store, har samme fargeprominens og krever samme antall klikk
- Ingen bokser er forhåndsavkrysset — alle cookiekategorier starter som fravelgt
- Nettstedet er tilgjengelig uten samtykke (ingen cookie-mur)
- Språket er enkelt, klart og på besøkendes eget språk
- Ingen skuldladede tekster eller emosjonell manipulasjon på avvisningsalternativet
- Tidligere valg huskes — banneret vises ikke på nytt for brukere som har avslått
- Et «Administrer preferanser»-alternativ finnes ved siden av Godta og Avvis
- Å trekke tilbake samtykke er like enkelt som å gi det
FlexyConsent: Designet uten dark patterns
FlexyConsent er bygget med regulatorisk etterlevelse som standard. Like knapper, ingen forhåndsavkryssede bokser, ingen cookie-murer, klart språk på 43+ språk, og automatisk respekt for tidligere valg. Som Google Certified CMP registrert hos IAB Europe følger FlexyConsent den strengeste tolkningen av EDPB-retningslinjene — slik at du aldri trenger å bekymre deg for dark pattern-håndhevelse.