Cookiebanners zijn zo vormgegeven dat ze consumenten eigenlijk misleiden

Sinds de lente van 2018 krijg je een leuk extraatje als je binnen de EU op het internet gaat: cookiemeldingen. Ineens werden we aan de lopende band gevraagd of we ermee akkoord gaan dat er bij ieder bezoek aan een website informatie wordt verzameld, of je nou op Funda door onbetaalbare woningen scrolt of op een kookblog de ingrediëntenlijst van shakshuka probeert te zoeken. 

Even voor wie het niet meer helemaal weet: cookies zijn bestandjes die je computer downloadt wanneer je een website bezoekt. Ze bevatten informatie over jou en je computer, die door de server aan de andere kant van de verbinding kunnen worden gelezen en gebruikt worden om je online activiteit bij te houden.

Je hebt first-party-cookies, die door website-eigenaren zelf worden geplaatst om bijvoorbeeld je gebruikersnaam te onthouden, en third-party-cookies, die andere bedrijven op de site plaatsen om je gepersonaliseerde advertenties voor te schotelen. Er zijn ook nog andere manieren om je surfgedrag bij te houden, maar we houden het nu even bij cookies of trackers.

We hebben deze cookiemeldingen te danken aan de Algemene verordening gegevensbescherming (AVG), de Europese wetgeving voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties. Dankzij de AVG heeft iedereen het recht om geïnformeerd te worden over de persoonlijke informatie die er over je verzameld wordt, en om daar al dan niet mee akkoord te gaan. Bedrijven moeten ook uit kunnen leggen waarom ze gegevens verzamelen en van tevoren toestemming vragen, tenzij de website niet kan functioneren zonder die data. Dat gaat bijvoorbeeld om sites waarop je je favoriete producten kunt opslaan.

Daar zijn al die cookiemeldingen voor bedoeld: je kunt ermee aangeven of je akkoord gaat met het verzamelen van niet-essentiële persoonlijke gegevens. Volgens de AVG moet die toestemming “vrijwillig worden gegeven” en “specifiek, geïnformeerd en ondubbelzinnig” zijn, en het dus niet al te ingewikkeld zijn om gewoon ja of nee te zeggen. Maar mocht je ooit hebben geprobeerd om niet-essentiële cookies te weigeren, dan weet je dat het eigenlijk niet zo simpel is.

Ik besloot het systeem eens te testen. Gedurende drie willekeurig gekozen werkdagen nam ik mijn scherm op tijdens kantooruren, en weigerde ik alle niet-essentiële cookies die ik tegenkwam. Daarna keek ik terug om te zien hoe makkelijk dat was. Ik timede met een stopwatch hoelang het duurde voordat ik een pop-upbericht snel door kon lezen en niet-essentiële cookies kon weigeren. Ik heb ook geteld hoe vaak ik heb geklikt, en hoe vaak ik zeker wist dat ik de cookies echt had geweigerd of het proces na een tijdje toch maar had opgegeven.

In deze drie dagen heb ik 76 websites bezocht: 32 op de eerste dag, 30 op de tweede en 14 op de derde, wat een beetje een slome dag was. Vanwege mijn baan bij VICE heb ik veel nieuwssites bezocht, maar moest ik ook informatie zoeken over voetbal, festivals en tuinieren – best een aardige mix, dus eigenlijk.

Op de eerste dag heb ik 14,38 minuten gespendeerd aan het weigeren van cookies. Het venster dat ik het snelst weg had geklikt kostte me 2,6 seconden, en de melding waar ik het langst over deed was pas na 5 minuten weg – want toen zat ik op een dood spoor en gaf ik het op. Op de tweede dag deed ik er 13 minuten over, en op de derde dag iets meer dan 9 minuten.

Dat klinkt misschien niet ontzettend veel, maar Nielsen Norman Group – een bedrijf dat onderzoek doet naar gebruikerservaring – schat in dat mensen gemiddeld minder dan een minuut op een website doorbrengen. Daarom vinden mensen het vaak te veel moeite om een paar seconden het pop-upberichtje te lezen en vinken ze gewoon ‘alles accepteren’ aan om er maar van af te zijn.

De interessantste vondst van mijn kleine experiment was niet dat ik erachter kwam hoe onwaarschijnlijk lang ik erover deed om de cookiemeldingen te verwerken, maar dat ik er nog niet eens de helft van de keren daadwerkelijk in slaagde om de cookies te weigeren – slechts in 46 procent van de gevallen, om precies te zijn. Bij dertien websites ontbrak de keuzemogelijkheid om geen toestemming te geven, of was dat zo ingewikkeld en tijdrovend dat ik het uiteindelijk maar gewoon opgaf.

In twee gevallen zou ik, als ik zou weigeren, geen toegang meer hebben tot het leeuwendeel van de content. Bij Healthline en Medical News Today, die deel uitmaken van dezelfde groep, kon ik terecht op de “advertentievrije en trackingvrije versie” van hun websites, waar ik ineens maar tien artikelen kon aanklikken.

Bij 26 websites (34 procent van het totaal) wist ik niet helemaal zeker of ik de cookies echt had uitgevinkt. Bij de helft kwam dit doordat er überhaupt geen cookiebanner was, en bij tien sites zag ik hem gewoon niet, ondanks dat ik er echt actief naar op zoek was gegaan. Je zou kunnen zeggen dat het mijn schuld is dat ik die banners heb gemist, maar er zit een reden achter: acht van de tien banners bevonden zich onderaan het interface en zeven daarvan bestonden uit één regel tekst die helemaal opging in de rest van de site.

Dit worden ook wel ‘dark patterns’ genoemd, of “designpatronen die je verleiden om iets te doen wat je anders niet had gedaan,” aldus Harry Brignull, een deskundige op het gebied van gebruikerservaring, die deze term in 2010 introduceerde. Brignull vertelt me via Zoom dat er meerdere soorten dark patterns zijn, maar dat ze meestal bepaalde opties aantrekkelijker maken.

“Dark patterns gaan uit van bekende designprincipes en keren die dan om,” zegt hij. “Het is opzettelijk slecht design: allemaal dingen die een designer normaal gesproken juist zou vermijden.”

In dit geval waren de cookiebanners zo moeilijk te zien dat ik vergat om überhaupt een keuze te maken. Het lijkt er zelfs op dat de meeste internetgebruikers deze delen van het scherm negeren en überhaupt niks met de banners doen. Volgens een onderzoek uit 2020 noteerde 32,5 procent van de websites al dat bezoekers toestemming hadden gegeven voordat ze die keuze hadden kunnen maken – bijvoorbeeld wanneer ze de site net geopend hadden. Uit het paper bleek ook dat maar 11,8 procent van de sites aan alle eisen van de AVG voldeed.

“Ik wil benadrukken dat de AVG niet verantwoordelijk is voor die pop-ups,” zegt Midas Nouwens, universitair docent aan de Universiteit van Aarhus in Denemarken en hoofdonderzoeker van de laatstgenoemde studie. “De AVG heeft regels opgesteld om op de juiste manier toestemming te verkrijgen. Het zijn de adverteerders die deze vervolgens interpreteren en de pop-upberichten maken.”

Adverteerders spelen een complexe rol in online tracking. De meeste bedrijven investeren nu vooral in gepersonaliseerde advertenties – waarbij ze erachter willen komen wie je bent en wat je leuk vindt – omdat dat het rendabelst is. Maar daarnaast is er ook nog contextueel adverteren, waarbij je advertenties krijgt op basis van wat je op een bepaald moment bekijkt.

Om gepersonaliseerde advertenties te kunnen laten maken, moeten diensten als Google AdSense informatie verzamelen over jou en je surfgedrag op verschillende websites. “Veel website-eigenaren weten ook niet wat voor gegevens ze eigenlijk verzamelen,” zegt Nouwens. “Het zijn gewoon pakketjes bezoekersinzichten die gratis worden weggegeven, of een gratis plugin in ruil voor de gegevens.”

Voor een rapport uit 2020 van The Markup werden 80.000 websites gescand, en bij 69 procent daarvan werden trackers van Google Analytics aangetroffen. Google Analytics biedt gratis informatie over de prestaties van websites, die kleine website-eigenaren zich normaal gesproken niet kunnen veroorloven. Maar het cookiebeleid van Google geeft techgiganten dan ook toegang tot de gegevens die trackers bij elkaar hebben gesprokkeld. Dat geldt ook voor andere dure sites met bijvoorbeeld commentsecties of deelknoppen voor social media, die vaak ‘gratis’ worden aangeboden door bedrijven, in ruil voor de hostingtrackers van de site.

Na de introductie van de AVG zaten website-eigenaren in de mangel: door de nieuwe regelgeving werden ze verplicht om gebruikers toestemming te vragen, maar veel van hen wisten niet eens welke trackers ze op hun site hadden, laat staan hoe ze daar toestemming voor moesten vragen. In april 2018, een maand voordat de AVG van kracht zou gaan, kwam de Europese tak van het Interactive Advertising Bureau (IAB Europa) met een raamwerk: het Transparency and Consent Framework (TCF). Het doel was “om de digitale advertentie-industrie te helpen de Europese regels omtrent gegevensbescherming en privacy te interpreteren en na te leven.”

Dankzij dit raamwerk kwam er een standaard manier om toestemming te vragen, via specifieke coderegels. Ook betekende het de komst van zogeheten consentmanagement-platforms (CMP's), zoals Quantcast, OneTrust en Cookiebot. CMP's zijn diensten die websites scannen op cookies en aanpasbare cookiebanners samenstellen, waarmee de website-eigenaar min of meer de wet na kan leven. Daarom zien dat soort pop-ups er vaak hetzelfde uit.

“CMP's bedienen twee markten,” legt Nouwens uit. In theorie is het hun voornaamste doel om op vrijwillige en geïnformeerde basis toestemming te krijgen van gebruikers, maar hun klanten – website-eigenaren – hebben er ook belang bij om zoveel mogelijk gegevens te verzamelen en deze door te verkopen aan adverteerders. “CMP’s zijn erbij gebaat om te zeggen: ‘Als je onze technologie gebruikt, gaat 90 procent van de gebruikers ja zeggen en zul je de impact van de wet niet merken,’” zegt Nouwens. “En dus gebruiken ze dark patterns.”

IAB Europa is geen neutrale partij – het vertegenwoordigt belangrijke spelers in de online advertentie-industrie, waaronder Google en Facebook Atlas (de advertentiedienst van het bedrijf). Volgens Corporate Europe, een ngo die lobby’s in de gaten houdt, heeft IAB Europa jarenlang actief campagne gevoerd tegen beperkingen op trackingtechnologie. Lobby Facts, een vergelijkbaar platform, heeft vastgesteld dat er tussen 2014 en 2020 zeventien ontmoetingen hebben plaatsgevonden tussen vertegenwoordigers van IAB Europa en de EU. Ze beschuldigen IAB Europa er ook van om alleen al in 2019 tussen de 300.000 en 399.000 euro aan lobbykosten te hebben uitgegeven.

Een ander punt waarop het fout gaat heet ‘gerechtvaardigd belang’. “De AVG staat zes manieren toe om op een legale manier gegevens te verkrijgen,” zegt Nataliia Bielova, wetenschapper aan het nationaal onderzoeksinstituut voor digitale wetenschap en technologie (Inria) in Frankrijk. “Eén manier is door toestemming van de gebruiker te krijgen, een andere is voor noodgevallen – zoals wanneer diegene met levensgevaar in het ziekenhuis is beland. En weer een andere wordt ‘gerechtvaardigd belang’ genoemd.”

Gerechtvaardigd belang is een principe dat bedrijven toestaat om gegevens te verkrijgen zonder jouw toestemming, als ze kunnen rechtvaardigen waarom dit nodig is, dat het een minimale impact heeft op je privacy en redelijkerwijs verwacht mag worden dat die gegevens anders ook wel worden verwerkt. Het mag in beperkte mate worden gebruikt en moet altijd worden afgewogen tegen je individuele belangen.

Het probleem is alleen dat het IAB-raamwerk adverteerders toestaat om zelf te kiezen op welke manier ze je gegevens verwerken, of dat nou via directe toestemming of met het gerechtvaardigd belang is. “In het eerste geval moet je expliciet ja zeggen, maar in het tweede geval niet – je kunt alleen je bezwaar aangeven,” zegt Cristiana Santos, een universitair docent aan de Universiteit van Utrecht die zich heeft gespecialiseerd in privacy en gegevensbescherming. “Dat is heel verwarrend voor gebruikers, omdat ze het verschil niet begrijpen.”

Het ziet er in de praktijk als volgt uit: je krijgt een pop-upvenster met een aantal opties die je uit kunt vinken. Maar als je deze instellingen accepteert zoals ze zijn, krijg je de voorgeselecteerde opties die bedrijven zien als ‘gerechtvaardigd belang’ daarna nooit te zien.

Zelf had ik ook een paar banners die vrij tricky waren, zoals die van gezondheidswebsite WebMD. De eerste banner brengt je naar een rijtje tabbladen waarin je kunt lezen welke informatie er precies wordt bijgehouden. Bij de eerste zes van de veertien gaat het om strikt noodzakelijke cookies, of opties die automatisch zijn uitgeschakeld. Maar bij het zevende tabblad, dat betrekking heeft op gepersonaliseerde advertenties, moet je negen keer op ‘bezwaar tegen gerechtvaardigd belang’ klikken om te voorkomen dat je gegevens worden doorgegeven aan adverteerders. Bij banners met andere formats zou je op ‘alles weigeren’ kunnen klikken, maar dat is niet per se van toepassing op bezwaren tegen gerechtvaardigd belang.

Santos en Bielova, die voor een aantal multidisciplinaire onderzoeken hebben samengewerkt, ontdekten onlangs dat banners juridisch gezien toestemming zouden moeten vragen voor de meeste doeleinden die in het IAB-raamwerk worden genoemd, maar in werkelijkheid vaak uitgaan van gerechtvaardigd belang. Over het algemeen is het volgens Bielova “uiterst zeldzaam” dat deze banners volledig voldoen aan de wet. En toch gebruiken veel websites banners op basis van dit raamwerk – op de lijst van IAB Europa staan 76 CMP’s die elk banners maken voor honderden of zelfs honderdduizenden sites.

“Een van de belangrijkste kritiekpunten op de AVG is dat er een enorm gebrek aan handhaving is, met name wat betreft de cookiebanners,” zegt Nouwens. Momenteel kun je schendingen melden bij de landelijke toezichthouders, in Nederland de Autoriteit Persoonsgegevens (AP). In sommige gevallen kun je ook een beroep doen op consumentenorganisaties, of ngo’s zoals het European Center for Digital Rights.

Het probleem is dat de meeste mensen niet precies weten wanneer hun privacy wordt geschonden, en je niet kunt verwachten dat ze ieder probleem aankaarten als ze niet weten hoe ze dat moeten doen. En toezichthouders kunnen niet iedere klacht tegelijk behandelen, en handhaven vooral in de vorm van boetes. Zeker als je bedenkt hoe groot het probleem is, is het een log proces. En daar komt nog eens bij dat uit een rapport uit 2019 van het Europees Comité voor gegevensbescherming bleek dat de meeste toezichthouders 30 tot 50 procent ondergefinancierd waren.

Maar er kan meer worden gedaan. “Ik denk dat we in dit soort regelgeving eisen moeten opnemen waarmee we deze technologieën kunnen monitoren,” zegt Nouwens. Als het IAB toestemming kan codificeren, moet het ook mogelijk zijn om een mechanisme te coderen waarmee de wet systematisch kan worden gehandhaafd.

En eigenlijk hebben we die pop-upvensters helemaal niet eens nodig. “Het zit nu op deze manier in elkaar omdat adverteerders dat zo hebben bedacht,” zegt Nouwens. Het Europees Parlement, de Europese Raad en de Europese Commissie bespreken momenteel een aantal aanvullende maatregelen op de AVG: de e-privacyverordening. Daarin is onder andere voorgesteld om cookievoorkeuren die je in je browser instelt te beschouwen als wettelijke toestemming, zodat gebruikers hun voorkeuren voortaan maar één keer hoeven aan te geven.

Daar hebben de adverteerders niet bepaald zin in. “Het wordt steeds weggelobbyd,” zegt Nouwens. Ze hebben er baat bij om gebruikers steeds opnieuw om toestemming te vragen, want met het huidige systeem kunnen ze zelf bepalen hoe de pop-ups eruitzien.

“Uiteindelijk denk ik niet dat gebruikers meer controle krijgen als ze zelf elke dag dat soort beslissingen moeten nemen,” zegt Nouwens. “We hebben het er net drie kwartier over gehad, en zelf weet ik ook niet alles. Dus het idee dat je een weloverwogen beslissing kunt nemen is erg misplaatst.”

Als je je zorgen maakt over de hoeveelheid gegevens die van je worden verzameld, kun je een paar dingen doen. Met de Blacklight-tool van The Markup kun je bijvoorbeeld controleren welke gegevens een specifieke website van je bijhoudt, en je kunt ook kiezen voor veiligere browsers, zoals Tor of Brave. Nouwens noemt ook nog de browser-extensie Consent-O-Matic, waarmee je – op basis van voorkeuren die je van tevoren aan kunt geven – automatisch antwoord geeft op pop-upberichten.

En mocht dat nog niet ver genoeg gaan, dan kun je ook je handen uit de mouwen steken door contact te leggen met de Europese Unie: hier staan de contactgegevens van leden van het Europees Parlement, en hier kan je petities starten over Europees beleid. Want lobbyen, dat kunnen we zelf natuurlijk ook.

Dit artikel verscheen oorspronkelijk bij VICE UK.
Volg VICE België en VICE Nederland ook op Instagram.