Stop de wildgroei aan dubieuze cookiemeldingen

Een pleidooi voor klantvriendelijke cookiemeldingen

Stel je voor dat de winkelstraten eindelijk weer echt open gaan (daar kijken we in corona-tijd reikhalzend naar uit). Enthousiast over het vooruitzicht om eindelijk weer eens lekker te shoppen ga je de winkelstraat in. Bij het binnenlopen van een winkel wordt echter aan de deur allerlei informatie gevraagd. De medewerker loopt een vragenlijst met je door: “Vind je het goed dat we na afloop van je bezoek bijhouden welke winkels je allemaal nog meer ingaat? En welke producten je allemaal bekijkt? Die info geven we dan ook door aan anderen, zodat zij en wij jou persoonlijke aanbiedingen kunnen doen.” Je voelt je hier misschien onprettig bij. Waarom wil die winkel dit? Waarom moet je deze toestemming geven voordat je überhaupt binnen bent? In plaats van naar binnen te stappen, maak je rechtsomkeert. Je gaat naar een andere winkel waar ze je niet het hemd van het lijf vragen voordat je een stap over de drempel hebt gezet. 

Vind je dit een vreemd of vergezocht voorbeeld? In de offline wereld komt dit gelukkig inderdaad niet voor. Maar in de online wereld gebeurt dit regelmatig, via cookies. Voor het meten en doorgeven van deze data geef je als bezoeker al dan niet toestemming via cookie-instellingen. In deze blog onderzoek ik de cookiemeldingen van de 25 grootste e-commerce partijen in Nederland (zie afbeelding 1 voor een overzicht). Slechts twee van de onderzochte websites maakt géén gebruik van drie veelvoorkomende problematische cookie-praktijken (8%, zie afbeelding 1), dit waren de desktopversies van de websites van H&M en Nespresso. 88% van de onderzochte websites hadden minimaal één problematische cookie-praktijk gebruikt. Dit sluit aan bij andere onderzoeken die laten zien dat veel bedrijven zich niet goed aan de cookie-regels houden (zie bijvoorbeeld recent onderzoek van de Consumentenbond) Een grootscheeps onderzoek van Nouwens en collega’s (2020) liet bijvoorbeeld zien dat slechts 11,8% van honderden onderzochte cookie meldingen voldoet aan de GDPR regels.

Dit kan en moet beter! In deze blog geef ik daarom ook een voorbeeld van een klantvriendelijke cookiemelding en bespreek ik de gevolgen van zo’n klantvriendelijke cookiemelding voor experimenteren (CRO). 

cookiemelding data
Afbeelding 1. Drie problematische cookie-praktijken met informatie over hoeveel deze voorkomen bij de websites van de Top 25 e-commerce bedrijven (Twinkle, 2020). De websites zijn bezocht op 19-02-2021 (Top 10 bedrijven) en 22-02-2021 (Top 11-25 bedrijven). 1 van de onderzochte websites toonde helemaal geen cookiemelding.

Drie problematische cookie-praktijken

Volgens de AVG is het meten van zogeheten “tracking” cookies alleen toegestaan als bezoekers “ondubbelzinnige” toestemming hebben gegeven. Zie de website van de Autoriteit persoonsgegevens of de Rijksoverheid voor meer informatie over cookies en wetgeving. In deze blog behandel ik drie praktijken die veel voorkomen maar die niet zijn toegestaan omdat er geen “ondubbelzinnige”  toestemming wordt gegeven: 

  1. Standaardinstellingen waarbij alle cookie categorieën al automatisch zijn aangevinkt. Het weigeren van cookies is daarmee moeilijker dan het accepteren ervan. 
  2. Plaatsen van een cookiewall waarbij bezoekers alleen toegang krijgen tot de website als zij de cookies accepteren. 
  3. Passieve toestemming waarbij wordt uitgegaan van toestemming als mensen doorklikken of swipen, zoals na het tonen van een informatiebalk. 

Standaardinstellingen

cookiemelding
Afbeelding 2. Een veel voorkomend type cookiemelding, waarbij misbruik wordt gemaakt van default instellingen door het accepteren van cookies te presenteren als de enige keuze. Bedrijfsnaam/logo zijn verwijderd vanwege privacy.

De meest voorkomende praktijk die ik tegenkwam was een melding waarbij het accepteren van cookies de “default”, of de standaard, is. De kracht van zo’n default is niet te onderschatten. Uit wetenschappelijk onderzoek blijkt bijvoorbeeld dat 82% van de mensen orgaandonor wil zijn als ze zich actief zouden moeten afmelden (een zogenaamd “opt-out” systeem), terwijl slechts 42% van de mensen orgaandonor wil zijn als ze zich actief moeten aanmelden (een zogenaamd “opt-in” systeem. Johnson & Goldstein, 2003). Je kunt je voorstellen dat het presenteren van toestemming als de standaard optie dus verreikende gevolgen heeft voor de hoeveelheid bezoekers die akkoord gaat met de getoonde cookie-instellingen. Overigens is dit natuurlijk precies de reden waarom het tegenwoordig noodzakelijk is dat bezoekers actief instemmen met cookies. De manier waarop deze “actieve toestemming” wordt ingevuld door veel bedrijven is echter niet in overeenstemming met de geest van de AVG, zoals zal blijken uit de volgende voorbeelden. 

Het merendeel (80%) van de websites die ik heb onderzocht maakt namelijk op de een of andere manier gebruik van default toestemming. Dit nam vaak de vorm aan van een knop waarmee direct toestemming kon worden gegeven voor alle soorten cookies. In afbeelding 2 is bijvoorbeeld een specifieke variant van een default te zien, namelijk een “hidden option”, waarbij het accepteren van de cookies wordt gepresenteerd als de enige keuze (Goldstein et al., 2008). Dit maakt inbreuk op de vrije keuze van mensen want het geeft de indruk dat er geen andere keuze is. Uit wetenschappelijk onderzoek blijkt bovendien dat de invloed van deze praktijk behoorlijk stevig is. Het niet tonen van een opt-out knop op de eerste pagina leidt namelijk tot 22-23% meer toestemming (Nouwens et al., 2020).

Meer algemeen viel mij op dat het weigeren van de toestemming in veruit de meeste gevallen meer moeite en/of tijd kost dan het accepteren van cookies. Ook dit zorgt ervoor dat een keuze minder “vrij” is. Er zijn hierin grofweg twee smaken te onderscheiden. 

  1. Het weigeren van de toestemming kan direct in de melding zelf, maar dit is wel lastiger dan het accepteren van de cookies.
  2. Het weigeren kan niet in de melding zelf maar alleen door instellingen te personaliseren. 

In afbeelding 2 zie je een voorbeeld van de eerste “smaak”:

  • Het weigeren van toestemming is minder opvallend. Het is geen knop, maar een hyperlink in kleine letters.
  • Weigeren kost meer cognitieve moeite, je moet namelijk actief lezen en zoeken in de kleine lettertjes.
  • Weigeren kost meer lichamelijke moeite. Je moet precies op een klein stukje klikken, in plaats van op een grote button. 
  • Het klikken op een button is gedrag dat we meer gewend zijn en dat om die reden ook makkelijker is.

Al deze verschillen zorgen ervoor dat het weigeren van cookies moeilijker is om uit te voeren dan het accepteren van de automatisch geselecteerde instellingen (Fogg, 2009).

In afbeelding 3 zie je een voorbeeld van de tweede “smaak” . 

  • Bezoekers die cookies willen weigeren moeten hier extra acties uitvoeren die tijd en moeite kosten. Dit zijn wederom dingen die het uitvoeren ervan moeilijker maken voor de bezoeker (Fogg, 2009). Waar het verlenen van toestemming met één druk op de knop geregeld is, kan het weigeren van toestemming alleen door een aantal extra handelingen te voltooien. 
  • Bovendien werd op de vervolgpagina waar de instellingen konden worden aangepast, wederom veelvuldig gebruik gemaakt van tactieken om het weigeren van toestemming lastiger te maken dan het geven van toestemming. 
cookiemelding
Afbeelding 3. Een voorbeeld van een problematische cookiemelding waarbij het weigeren van toestemming meer moeite vergt dan het verlenen van toestemming.

Eén onderzochte website maakte het overigens wel heel bont (afbeelding 4). Deze cookiemelding lijkt op het eerste gezicht namelijk keurig. Alleen functionele cookies staan aangevinkt en de rest staan uit. Dit geeft dus de indruk dat de getoonde instellingen worden opgeslagen door op de groene button te klikken. Niets is minder waar. Door het klikken op de groene button wordt opeens toestemming gegeven voor alle soorten cookies. Wat mij betreft is dit pure misleiding want de bezoeker wordt hier volledig op het verkeerde been gezet. Dit beschouw ik dan ook als een van de meest kwalijke cookiemeldingen die ik heb gezien.

cookiemelding
Afbeelding 4. Een cookiemelding die de illusie geeft dat door het klikken op de groene knop de getoonde instellingen worden opgeslagen. 

Cookiewall en passieve toestemming

Een echte cookiewall, waarbij de website niet te bezoeken is zonder cookies te accepteren, heb ik niet gezien. Wat wel bij 40% van de onderzochte websites voorkwam was een mildere cookiewall, waarbij het niet mogelijk was om de website goed te gebruiken zonder op de cookiemelding te reageren. Bij deze milde cookiewall: 

  • verscheen de cookiemelding op de voorgrond. 
  • was de website zelf niet (goed) zichtbaar en/of niet klikbaar. 
  • was het niet mogelijk om de cookiemelding weg te klikken zonder cookies te accepteren, te weigeren of instellingen aan te passen. 

Dit ging veelal hand in hand met het gebruik van de standaardinstellingen die hierboven beschreven staan. Het veelvuldige gebruik van deze milde cookiewall zorgde er in ieder geval voor dat gebruik maken van passieve toestemming nauwelijks voorkwam. Er was dan ook slechts één website die gebruik maakte van passieve consent. Deze website toonde een kleine informatiebalk onderin het scherm, met daarin de melding dat cookies automatisch werden gemeten bij gebruik van de website. Deze melding kon afgesloten worden (waarmee dus automatisch toestemming verleend werd), maar er was geen mogelijkheid om cookies uit te schakelen. Dit was daarmee gelukkig het enige voorbeeld van een cookiemelding die ronduit in tegenspraak was met de huidige wetgeving. 

Betere cookiemeldingen

Hoe moet het dan wel? Vraag je je nu natuurlijk af. Zoals hierboven al benoemd, waren er slechts twee websites waar geen van de drie problematische cookie-praktijken voorkwamen. In afbeelding 5 zie je de cookiemelding van H&M. 

cookiemelding
Afbeelding 5. Cookiemelding van H&M, verkregen op 19-02-2021. 

Positief bij deze cookiemelding is dat toestemming hier duidelijk vrijwillig wordt gegeven. Cookies weigeren is even makkelijk als cookies accepteren. De knoppen zijn even groot, en de actie die je uitvoert is hetzelfde. Ook kun je de website op je desktop gebruiken zonder op de melding te reageren, alhoewel deze nog wel flink wat ruimte inneemt aan de linkerkant van het scherm. Op mobiel is dit overigens effectief een milde cookiewall, omdat de melding vrijwel het hele beeldscherm in beslag neemt. 

Bij Nespresso (afbeelding 6) is de melding op desktop nog prettiger omdat deze onderop de pagina staat. Hierdoor kun je de website beter gebruiken zonder op de cookiemelding te reageren. Wederom geldt dit alleen voor desktop gebruikers, want op mobiel is de melding zodanig groot dat vrijwel het hele scherm erdoor in beslag wordt genomen. Ook in deze melding is het even makkelijk om cookies te accepteren als om ze te weigeren, namelijk door middel van één druk op de knop.

cookiemelding
Afbeelding 6. Cookiemelding van Nespresso, verkregen op 22-02-2021.

Best practices cookiemeldingen

Wat is nou een echt klantvriendelijke cookiemelding? Die is te zien in afbeelding 7. De knoppen voor weigeren en accepteren van cookies hier zijn even groot en even duidelijk. Het is dus net zo makkelijk om cookies te accepteren als te weigeren. De website is goed te gebruiken zonder op de melding te reageren, de melding zit namelijk onderin het scherm en neemt weinig ruimte in beslag. Bovendien is het mogelijk om de melding weg te klikken, dan worden ook alleen noodzakelijke cookies opgeslagen. Ook is het in deze melding mogelijk om de instellingen verder te personaliseren. Door hierop te klikken komt er een balkje onderin de melding waarbij je specifieke cookies aan of uit kunt zetten. Dit is dus op dezelfde pagina, met zo min mogelijk extra handelingen mogelijk. Voel je vrij om deze cookiemelding te kopiëren op je eigen website (of vraag ‘m bij mij op).

cookiemelding best practice
Afbeelding 7. Voorbeeld van een klantvriendelijke cookiemelding, waarbij weigeren van cookies even makkelijk is als het accepteren. Ook is het mogelijk de website goed te gebruiken zonder op de melding te reageren, en kan de melding makkelijk worden weggeklikt.

Maar… hoe moet ik nou experimenteren?

Natuurlijk is het voor een bedrijf prettig als zoveel mogelijk bezoekers alle cookies accepteren. Dit maakt gericht adverteren mogelijk en makkelijk. Dit zou natuurlijk geen rechtvaardiging mogen zijn voor het gebruik van cookie-praktijken die niet conform wet- en regelgeving zijn. Experimenteren op je website is overigens goed mogelijk als bezoekers alleen noodzakelijke cookies accepteren. Voor experimenteren zijn namelijk slechts analytische cookies nodig, en die vallen (over het algemeen) onder noodzakelijke cookies. Analytische cookies zijn volgens de website van de rijksoverheid toegestaan, omdat deze nauwelijks gevolgen hebben voor privacy van je bezoekers. Dit betekent dus ook dat er geen negatieve gevolgen zijn voor de bezoekersaantallen in je experimenten als bezoekers alleen de noodzakelijke cookies accepteren.

De meeste websites die experimenteren gebruiken een vendor om deze experimenten te beheren (aan- en uitzetten, bijhouden wie welke variant gezien heeft, etc). Dit gaat door middel van first-party cookies. Als het goed is, houden deze vendors zich keurig aan de privacy regels. Het kan natuurlijk geen kwaad om even bij jouw vendor te checken welke data wordt opgeslagen tijdens het experimenteren en of er geen gepersonaliseerde data wordt opgeslagen. 

Als je in Google Analytics ook gebruik wilt maken van niet-anonieme mogelijkheden zoals remarketing, kan je ervoor kiezen om twee verschillende properties in Google Analytics aan te maken. Eentje is anoniem en zonder remarketing (die gebruik je om te experimenteren) en eentje is niet-anoniem en gebruikt wel remarketing. Deze tweede property laad je pas als cookies worden geaccepteerd. De analyse van experimenten is altijd op geaggregeerde data en vormt dus geen probleem; er worden immers geen persoonlijke gegevens gebruikt. 

Conclusie

Ondanks dat sommige (aspecten van) cookiemeldingen niet zijn toegestaan, komen deze in de praktijk toch veel voor. Voor deze blog onderzocht ik de websites van 25 top e-commerce bedrijven. Bij slechts 2 van deze websites kwam ik geen problematische cookiemelding tegen. Bedrijven willen graag veel data verzamelen over hun bezoekers. Desondanks is het belangrijk – en wettelijk verplicht – om hier op de juiste manier mee om te gaan. Elk bedrijf bestaat uiteindelijk bij de gratie van haar klanten. Laten we de klanten dan ook het respect geven dat ze verdienen door zorgvuldig met hen en hun data om te gaan. Maak het je bezoekers net zo makkelijk om cookies te weigeren als te accepteren – elke onnodige klik is er eentje teveel.

Meer informatie over de onderzochte cookiemeldingen en afbeeldingen van de cookiemeldingen zijn bij mij op te vragen. Ik ben ook benieuwd naar jouw ervaringen met dubieuze cookiemeldingen!

Oefenen met cookies

Na het schrijven van deze blog kwam ik op een supercoole game terecht waar je doel is om zo snel mogelijk cookies te weigeren. In deze game wordt alles uit de kast gehaald wat in echte cookiemeldingen ook gebeurt, en het is verdacht moeilijk om er snel doorheen te klikken. Mijn personal best was 30.57 seconden. Wat is die van jou? Probeer het hier.

Referenties

BBP Media. (2020). Twinkle100. Zicht op de Grootste Online Verkopers in Nederland. https://twinkle100.nl/ 

Fogg, B. J. (2009). A behavior model for persuasive design. Persuasive ‘09: Proceedings of the 4th International Conference on Persuasive Technology. https://dl.acm.org/doi/10.1145/1541948.1541999

Goldstein, D. G., Johnson, E. J., Herrmann, A., & Heitmann, M. (2008). Nudge Your Customers Toward Better Choices. Harvard Business Review, 86, 99-106. 

Johnson, E. J. & Goldstein, D. G. (2003). Do Defaults Save Lives? Science, 302, 1338-1339. https://ssrn.com/abstract=1324774 

Nouwens, M., Liccardi, I., Veale, M., Karger, D., & Kagal, L. (2020). Dark Patterns after the GDPR: Scraping Consent Pop-Ups and Demonstrating their Influence. Proceedings of CHI ’20 CHI Conference on Human Factors in Computing Systems. DOI: 10.1145/3313831.3376321

Auteursnoot

De top-25 websites zijn bezocht op 19-02 en 22-02 in 2021. Vanwege privacy overwegingen zijn de bezochte bedrijven die problematische cookie-praktijken in de cookiemelding hadden niet bij naam vermeld.

Ik wil een aantal collega’s bedanken voor hulp bij deze blog. Eva Bussink voor het ontwerpen van de klantvriendelijke cookiemelding en infographic. Hans Nauta voor input over de gevolgen van cookiemeldingen voor experimenteren. Roos van Dam, Joost Baalbergen, Simon Groters en Nienke van der Sar voor het geven van feedback op deze blog.

dr. Florien Cramwinckel - behavioural expert

Florien wist op haar twaalfde al dat ze psychologie wilde studeren, en heeft dan ook zowel een bachelor als een research master diploma in sociale psychologie (beide cum laude). Daarna is ze gepromoveerd in de sociale psychologie op een proefschrift getiteld "The social dynamics of morality". Na afronding van haar PhD heeft ze nog jarenlang in de academische wereld gewerkt als wetenschappelijk onderzoeker en universitair docent. Florien heeft verschillende artikelen gepubliceerd in vooraanstaande wetenschappelijke tijdschriften (InMind), talloze cursussen gegeven, en meerdere prijzen gewonnen (o.a. beste ASW docent). Ze wordt regelmatig gevraagd als spreker voor nationale en internationale events, en heeft dan ook tientallen presentaties gegeven over uiteenlopende onderwerpen en op verschillende podia (zoals een presentatie voor de universiteit van Nederland over 'Waarom vind jij een vegetarier soms zo irritant?'. Sinds begin 2020 werkte ze bij Online Dialogue als senior gedragsexpert. Hier zet ze haar kennis en ervaring in om online klantgedrag te begrijpen, te voorspellen en te beïnvloeden. Ze schrijft artikelen en blogs, geeft en ontwerpt trainingen, ontwerpt testen, doet gedragsonderzoek en maakt gedragsanalyses. Daarnaast drinkt ze liters thee, verliest ze altijd met tafeltennis, houdt ze van hardlopen, boksen en tennissen, en is ze gek op haar roze gezin. In september 2023 ging ze uit dienst.