Een pleidooi voor klantvriendelijke cookiemeldingen
Stel je voor dat de winkelstraten eindelijk weer echt open gaan (daar kijken we in corona-tijd reikhalzend naar uit). Enthousiast over het vooruitzicht om eindelijk weer eens lekker te shoppen ga je de winkelstraat in. Bij het binnenlopen van een winkel wordt echter aan de deur allerlei informatie gevraagd. De medewerker loopt een vragenlijst met je door: “Vind je het goed dat we na afloop van je bezoek bijhouden welke winkels je allemaal nog meer ingaat? En welke producten je allemaal bekijkt? Die info geven we dan ook door aan anderen, zodat zij en wij jou persoonlijke aanbiedingen kunnen doen.” Je voelt je hier misschien onprettig bij. Waarom wil die winkel dit? Waarom moet je deze toestemming geven voordat je überhaupt binnen bent? In plaats van naar binnen te stappen, maak je rechtsomkeert. Je gaat naar een andere winkel waar ze je niet het hemd van het lijf vragen voordat je een stap over de drempel hebt gezet.
Vind je dit een vreemd of vergezocht voorbeeld? In de offline wereld komt dit gelukkig inderdaad niet voor. Maar in de online wereld gebeurt dit regelmatig, via cookies. Voor het meten en doorgeven van deze data geef je als bezoeker al dan niet toestemming via cookie-instellingen. In deze blog onderzoek ik de cookiemeldingen van de 25 grootste e-commerce partijen in Nederland (zie afbeelding 1 voor een overzicht). Slechts twee van de onderzochte websites maakt géén gebruik van drie veelvoorkomende problematische cookie-praktijken (8%, zie afbeelding 1), dit waren de desktopversies van de websites van H&M en Nespresso. 88% van de onderzochte websites hadden minimaal één problematische cookie-praktijk gebruikt. Dit sluit aan bij andere onderzoeken die laten zien dat veel bedrijven zich niet goed aan de cookie-regels houden (zie bijvoorbeeld recent onderzoek van de Consumentenbond) Een grootscheeps onderzoek van Nouwens en collega’s (2020) liet bijvoorbeeld zien dat slechts 11,8% van honderden onderzochte cookie meldingen voldoet aan de GDPR regels.
Dit kan en moet beter! In deze blog geef ik daarom ook een voorbeeld van een klantvriendelijke cookiemelding en bespreek ik de gevolgen van zo’n klantvriendelijke cookiemelding voor experimenteren (CRO).
Drie problematische cookie-praktijken
Volgens de AVG is het meten van zogeheten “tracking” cookies alleen toegestaan als bezoekers “ondubbelzinnige” toestemming hebben gegeven. Zie de website van de Autoriteit persoonsgegevens of de Rijksoverheid voor meer informatie over cookies en wetgeving. In deze blog behandel ik drie praktijken die veel voorkomen maar die niet zijn toegestaan omdat er geen “ondubbelzinnige” toestemming wordt gegeven:
- Standaardinstellingen waarbij alle cookie categorieën al automatisch zijn aangevinkt. Het weigeren van cookies is daarmee moeilijker dan het accepteren ervan.
- Plaatsen van een cookiewall waarbij bezoekers alleen toegang krijgen tot de website als zij de cookies accepteren.
- Passieve toestemming waarbij wordt uitgegaan van toestemming als mensen doorklikken of swipen, zoals na het tonen van een informatiebalk.
Standaardinstellingen
De meest voorkomende praktijk die ik tegenkwam was een melding waarbij het accepteren van cookies de “default”, of de standaard, is. De kracht van zo’n default is niet te onderschatten. Uit wetenschappelijk onderzoek blijkt bijvoorbeeld dat 82% van de mensen orgaandonor wil zijn als ze zich actief zouden moeten afmelden (een zogenaamd “opt-out” systeem), terwijl slechts 42% van de mensen orgaandonor wil zijn als ze zich actief moeten aanmelden (een zogenaamd “opt-in” systeem. Johnson & Goldstein, 2003). Je kunt je voorstellen dat het presenteren van toestemming als de standaard optie dus verreikende gevolgen heeft voor de hoeveelheid bezoekers die akkoord gaat met de getoonde cookie-instellingen. Overigens is dit natuurlijk precies de reden waarom het tegenwoordig noodzakelijk is dat bezoekers actief instemmen met cookies. De manier waarop deze “actieve toestemming” wordt ingevuld door veel bedrijven is echter niet in overeenstemming met de geest van de AVG, zoals zal blijken uit de volgende voorbeelden.
Het merendeel (80%) van de websites die ik heb onderzocht maakt namelijk op de een of andere manier gebruik van default toestemming. Dit nam vaak de vorm aan van een knop waarmee direct toestemming kon worden gegeven voor alle soorten cookies. In afbeelding 2 is bijvoorbeeld een specifieke variant van een default te zien, namelijk een “hidden option”, waarbij het accepteren van de cookies wordt gepresenteerd als de enige keuze (Goldstein et al., 2008). Dit maakt inbreuk op de vrije keuze van mensen want het geeft de indruk dat er geen andere keuze is. Uit wetenschappelijk onderzoek blijkt bovendien dat de invloed van deze praktijk behoorlijk stevig is. Het niet tonen van een opt-out knop op de eerste pagina leidt namelijk tot 22-23% meer toestemming (Nouwens et al., 2020).
Meer algemeen viel mij op dat het weigeren van de toestemming in veruit de meeste gevallen meer moeite en/of tijd kost dan het accepteren van cookies. Ook dit zorgt ervoor dat een keuze minder “vrij” is. Er zijn hierin grofweg twee smaken te onderscheiden.
- Het weigeren van de toestemming kan direct in de melding zelf, maar dit is wel lastiger dan het accepteren van de cookies.
- Het weigeren kan niet in de melding zelf maar alleen door instellingen te personaliseren.
In afbeelding 2 zie je een voorbeeld van de eerste “smaak”:
- Het weigeren van toestemming is minder opvallend. Het is geen knop, maar een hyperlink in kleine letters.
- Weigeren kost meer cognitieve moeite, je moet namelijk actief lezen en zoeken in de kleine lettertjes.
- Weigeren kost meer lichamelijke moeite. Je moet precies op een klein stukje klikken, in plaats van op een grote button.
- Het klikken op een button is gedrag dat we meer gewend zijn en dat om die reden ook makkelijker is.
Al deze verschillen zorgen ervoor dat het weigeren van cookies moeilijker is om uit te voeren dan het accepteren van de automatisch geselecteerde instellingen (Fogg, 2009).
In afbeelding 3 zie je een voorbeeld van de tweede “smaak” .
- Bezoekers die cookies willen weigeren moeten hier extra acties uitvoeren die tijd en moeite kosten. Dit zijn wederom dingen die het uitvoeren ervan moeilijker maken voor de bezoeker (Fogg, 2009). Waar het verlenen van toestemming met één druk op de knop geregeld is, kan het weigeren van toestemming alleen door een aantal extra handelingen te voltooien.
- Bovendien werd op de vervolgpagina waar de instellingen konden worden aangepast, wederom veelvuldig gebruik gemaakt van tactieken om het weigeren van toestemming lastiger te maken dan het geven van toestemming.
Eén onderzochte website maakte het overigens wel heel bont (afbeelding 4). Deze cookiemelding lijkt op het eerste gezicht namelijk keurig. Alleen functionele cookies staan aangevinkt en de rest staan uit. Dit geeft dus de indruk dat de getoonde instellingen worden opgeslagen door op de groene button te klikken. Niets is minder waar. Door het klikken op de groene button wordt opeens toestemming gegeven voor alle soorten cookies. Wat mij betreft is dit pure misleiding want de bezoeker wordt hier volledig op het verkeerde been gezet. Dit beschouw ik dan ook als een van de meest kwalijke cookiemeldingen die ik heb gezien.
Cookiewall en passieve toestemming
Een echte cookiewall, waarbij de website niet te bezoeken is zonder cookies te accepteren, heb ik niet gezien. Wat wel bij 40% van de onderzochte websites voorkwam was een mildere cookiewall, waarbij het niet mogelijk was om de website goed te gebruiken zonder op de cookiemelding te reageren. Bij deze milde cookiewall:
- verscheen de cookiemelding op de voorgrond.
- was de website zelf niet (goed) zichtbaar en/of niet klikbaar.
- was het niet mogelijk om de cookiemelding weg te klikken zonder cookies te accepteren, te weigeren of instellingen aan te passen.
Dit ging veelal hand in hand met het gebruik van de standaardinstellingen die hierboven beschreven staan. Het veelvuldige gebruik van deze milde cookiewall zorgde er in ieder geval voor dat gebruik maken van passieve toestemming nauwelijks voorkwam. Er was dan ook slechts één website die gebruik maakte van passieve consent. Deze website toonde een kleine informatiebalk onderin het scherm, met daarin de melding dat cookies automatisch werden gemeten bij gebruik van de website. Deze melding kon afgesloten worden (waarmee dus automatisch toestemming verleend werd), maar er was geen mogelijkheid om cookies uit te schakelen. Dit was daarmee gelukkig het enige voorbeeld van een cookiemelding die ronduit in tegenspraak was met de huidige wetgeving.
Betere cookiemeldingen
Hoe moet het dan wel? Vraag je je nu natuurlijk af. Zoals hierboven al benoemd, waren er slechts twee websites waar geen van de drie problematische cookie-praktijken voorkwamen. In afbeelding 5 zie je de cookiemelding van H&M.
Positief bij deze cookiemelding is dat toestemming hier duidelijk vrijwillig wordt gegeven. Cookies weigeren is even makkelijk als cookies accepteren. De knoppen zijn even groot, en de actie die je uitvoert is hetzelfde. Ook kun je de website op je desktop gebruiken zonder op de melding te reageren, alhoewel deze nog wel flink wat ruimte inneemt aan de linkerkant van het scherm. Op mobiel is dit overigens effectief een milde cookiewall, omdat de melding vrijwel het hele beeldscherm in beslag neemt.
Bij Nespresso (afbeelding 6) is de melding op desktop nog prettiger omdat deze onderop de pagina staat. Hierdoor kun je de website beter gebruiken zonder op de cookiemelding te reageren. Wederom geldt dit alleen voor desktop gebruikers, want op mobiel is de melding zodanig groot dat vrijwel het hele scherm erdoor in beslag wordt genomen. Ook in deze melding is het even makkelijk om cookies te accepteren als om ze te weigeren, namelijk door middel van één druk op de knop.
Best practices cookiemeldingen
Wat is nou een echt klantvriendelijke cookiemelding? Die is te zien in afbeelding 7. De knoppen voor weigeren en accepteren van cookies hier zijn even groot en even duidelijk. Het is dus net zo makkelijk om cookies te accepteren als te weigeren. De website is goed te gebruiken zonder op de melding te reageren, de melding zit namelijk onderin het scherm en neemt weinig ruimte in beslag. Bovendien is het mogelijk om de melding weg te klikken, dan worden ook alleen noodzakelijke cookies opgeslagen. Ook is het in deze melding mogelijk om de instellingen verder te personaliseren. Door hierop te klikken komt er een balkje onderin de melding waarbij je specifieke cookies aan of uit kunt zetten. Dit is dus op dezelfde pagina, met zo min mogelijk extra handelingen mogelijk. Voel je vrij om deze cookiemelding te kopiëren op je eigen website (of vraag ‘m bij mij op).
Maar… hoe moet ik nou experimenteren?
Natuurlijk is het voor een bedrijf prettig als zoveel mogelijk bezoekers alle cookies accepteren. Dit maakt gericht adverteren mogelijk en makkelijk. Dit zou natuurlijk geen rechtvaardiging mogen zijn voor het gebruik van cookie-praktijken die niet conform wet- en regelgeving zijn. Experimenteren op je website is overigens goed mogelijk als bezoekers alleen noodzakelijke cookies accepteren. Voor experimenteren zijn namelijk slechts analytische cookies nodig, en die vallen (over het algemeen) onder noodzakelijke cookies. Analytische cookies zijn volgens de website van de rijksoverheid toegestaan, omdat deze nauwelijks gevolgen hebben voor privacy van je bezoekers. Dit betekent dus ook dat er geen negatieve gevolgen zijn voor de bezoekersaantallen in je experimenten als bezoekers alleen de noodzakelijke cookies accepteren.
De meeste websites die experimenteren gebruiken een vendor om deze experimenten te beheren (aan- en uitzetten, bijhouden wie welke variant gezien heeft, etc). Dit gaat door middel van first-party cookies. Als het goed is, houden deze vendors zich keurig aan de privacy regels. Het kan natuurlijk geen kwaad om even bij jouw vendor te checken welke data wordt opgeslagen tijdens het experimenteren en of er geen gepersonaliseerde data wordt opgeslagen.
Als je in Google Analytics ook gebruik wilt maken van niet-anonieme mogelijkheden zoals remarketing, kan je ervoor kiezen om twee verschillende properties in Google Analytics aan te maken. Eentje is anoniem en zonder remarketing (die gebruik je om te experimenteren) en eentje is niet-anoniem en gebruikt wel remarketing. Deze tweede property laad je pas als cookies worden geaccepteerd. De analyse van experimenten is altijd op geaggregeerde data en vormt dus geen probleem; er worden immers geen persoonlijke gegevens gebruikt.
Conclusie
Ondanks dat sommige (aspecten van) cookiemeldingen niet zijn toegestaan, komen deze in de praktijk toch veel voor. Voor deze blog onderzocht ik de websites van 25 top e-commerce bedrijven. Bij slechts 2 van deze websites kwam ik geen problematische cookiemelding tegen. Bedrijven willen graag veel data verzamelen over hun bezoekers. Desondanks is het belangrijk – en wettelijk verplicht – om hier op de juiste manier mee om te gaan. Elk bedrijf bestaat uiteindelijk bij de gratie van haar klanten. Laten we de klanten dan ook het respect geven dat ze verdienen door zorgvuldig met hen en hun data om te gaan. Maak het je bezoekers net zo makkelijk om cookies te weigeren als te accepteren – elke onnodige klik is er eentje teveel.
Meer informatie over de onderzochte cookiemeldingen en afbeeldingen van de cookiemeldingen zijn bij mij op te vragen. Ik ben ook benieuwd naar jouw ervaringen met dubieuze cookiemeldingen!
Oefenen met cookies
Na het schrijven van deze blog kwam ik op een supercoole game terecht waar je doel is om zo snel mogelijk cookies te weigeren. In deze game wordt alles uit de kast gehaald wat in echte cookiemeldingen ook gebeurt, en het is verdacht moeilijk om er snel doorheen te klikken. Mijn personal best was 30.57 seconden. Wat is die van jou? Probeer het hier.
Referenties
BBP Media. (2020). Twinkle100. Zicht op de Grootste Online Verkopers in Nederland. https://twinkle100.nl/
Fogg, B. J. (2009). A behavior model for persuasive design. Persuasive ‘09: Proceedings of the 4th International Conference on Persuasive Technology. https://dl.acm.org/doi/10.1145/1541948.1541999
Goldstein, D. G., Johnson, E. J., Herrmann, A., & Heitmann, M. (2008). Nudge Your Customers Toward Better Choices. Harvard Business Review, 86, 99-106.
Johnson, E. J. & Goldstein, D. G. (2003). Do Defaults Save Lives? Science, 302, 1338-1339. https://ssrn.com/abstract=1324774
Nouwens, M., Liccardi, I., Veale, M., Karger, D., & Kagal, L. (2020). Dark Patterns after the GDPR: Scraping Consent Pop-Ups and Demonstrating their Influence. Proceedings of CHI ’20 CHI Conference on Human Factors in Computing Systems. DOI: 10.1145/3313831.3376321
Auteursnoot
De top-25 websites zijn bezocht op 19-02 en 22-02 in 2021. Vanwege privacy overwegingen zijn de bezochte bedrijven die problematische cookie-praktijken in de cookiemelding hadden niet bij naam vermeld.
Ik wil een aantal collega’s bedanken voor hulp bij deze blog. Eva Bussink voor het ontwerpen van de klantvriendelijke cookiemelding en infographic. Hans Nauta voor input over de gevolgen van cookiemeldingen voor experimenteren. Roos van Dam, Joost Baalbergen, Simon Groters en Nienke van der Sar voor het geven van feedback op deze blog.