Den 9. august 2022 sendte privatlivsorganisationen NOYB (None Of Your Business) yderligere 226 officielle klager til europæiske virksomheder.
Også denne gang var klagerne rettet mod brugen af dark patterns i cookiebannere.
Det er tredje gang, NOYB fylder de europæiske databeskyttelsesmyndigheders indbakker med klager, der omhandler ulovlig brug af metoder til at indsamle cookiesamtykke.
Men hvad er dark patterns? Og hvordan bruges de i cookiebannere til at narre og “nudge” brugere til at give samtykke.
I denne artikel viser jeg dig, hvilken type cookiebannerdesign, der er lovlige – og hvilke der ikke er.
Lad os se nærmere på:
Også denne gang var klagerne rettet mod brugen af dark patterns i cookiebannere.
Det er tredje gang, NOYB fylder de europæiske databeskyttelsesmyndigheders indbakker med klager, der omhandler ulovlig brug af metoder til at indsamle cookiesamtykke.
Men hvad er dark patterns? Og hvordan bruges de i cookiebannere til at narre og “nudge” brugere til at give samtykke.
I denne artikel viser jeg dig, hvilken type cookiebannerdesign, der er lovlige – og hvilke der ikke er.
Lad os se nærmere på:
- Hvad er dark patterns?
- Hvordan bliver dark patterns brugt i cookiebannere til at narre brugere til at give samtykke til cookies.
- Hvordan kan dy bruge design, farver og tekst til at øge dine samtykkerater? Helt lovligt!
Er der ulovlige dark patterns i din hjemmesides cookiebanner? Måske uden du ved det?
Det kan vi tjekke. Helt gratis.
Det kan vi tjekke. Helt gratis.
Hvad er Dark Patterns?
Dark Patterns er hjemmesiders brug af designelementer og brugergrænseflader designet til at vildlede dig eller påvirke dine handlinger.
Et af de mere populære eksempler er Roach Motel.
Forestil dig, at du gerne vil afmelde dig en mailingliste. Du leder efter en afmeld-knap. Men den er svært at finde. Måske er den meget lille eller gemt et sted, du ikke tænker på at kigge.
Eller måske vil du slette din Amazon-konto. Det er muligt, ja. Men vejen er lang og snoet, fyldt med forhindringer og gemt dybt inde i Amazons utal af undersider. Let at komme ind, svært at komme ud.
Når du møder designs som disse, er det meget sandsynligt, at virksomheden aktivt forsøger at forhindre dig i at gøre det du ønsker: i dette tilfælde at afmelde dig en service.
Men dark patterns er også tricks, virksomheder bruger til at få dig til at gøre ting, de gerne vil have; for eksempel at købe en bestemt version af et produkt eller at acceptere cookies.
Udtrykket ‘Dark Patterns’ blev første gang brugt af Harry Brignull i 2010. Det var oprindeligt beregnet til at definere design- og marketingteknikker, der bevidst havde til formål at få brugeren til at gøre noget specifikt, noget de måske ikke havde tænkt sig at gøre.
Et af de mere populære eksempler er Roach Motel.
Forestil dig, at du gerne vil afmelde dig en mailingliste. Du leder efter en afmeld-knap. Men den er svært at finde. Måske er den meget lille eller gemt et sted, du ikke tænker på at kigge.
Eller måske vil du slette din Amazon-konto. Det er muligt, ja. Men vejen er lang og snoet, fyldt med forhindringer og gemt dybt inde i Amazons utal af undersider. Let at komme ind, svært at komme ud.
Når du møder designs som disse, er det meget sandsynligt, at virksomheden aktivt forsøger at forhindre dig i at gøre det du ønsker: i dette tilfælde at afmelde dig en service.
Men dark patterns er også tricks, virksomheder bruger til at få dig til at gøre ting, de gerne vil have; for eksempel at købe en bestemt version af et produkt eller at acceptere cookies.
Udtrykket ‘Dark Patterns’ blev første gang brugt af Harry Brignull i 2010. Det var oprindeligt beregnet til at definere design- og marketingteknikker, der bevidst havde til formål at få brugeren til at gøre noget specifikt, noget de måske ikke havde tænkt sig at gøre.
Vildledende designmønstre (også kendt som "Dark Patterns") er tricks, hjemmesider bruger til at få dig til at gøre ting, som du ikke have tænkt dig at gøre: fx at købe ting eller tilmelde dig noget.
Disse er tricks designet til at udnytte menneskelig adfærd, så hjemmesiden opnår det ønskede resultat: salget, tilmeldingen, op-salget.
Og du bliver udsat for disse mønstre hver eneste dag.
Et sted, hvor du ser mange Dark Patterns, er cookiebannere. Det går også under navnet “nudging”, det at skubbe brugere til at give samtykke til cookies.
Men hvordan fungerer Dark Patterns?
Lad os tage et kig på Dark Patterns i cookiebannere.
Og du bliver udsat for disse mønstre hver eneste dag.
Et sted, hvor du ser mange Dark Patterns, er cookiebannere. Det går også under navnet “nudging”, det at skubbe brugere til at give samtykke til cookies.
Men hvordan fungerer Dark Patterns?
Lad os tage et kig på Dark Patterns i cookiebannere.
Hvad er Dark Patterns i cookiebannere?
Dark Patterns i cookiebannere er meget udbredt og de kan i sidste ende forhindre brugerne i at give gyldigt GDPR-samtykke til cookies.
Dark Patterns har ét formål: at sørge for at så mange som muligt takker ja til cookies.
Det gør hjemmesider ved at gøre det svært at afvise samtykke til cookies.
Brugen af Dark Patterns kan derfor forhindre brugeren i at give “et frit givet, informeret, specifikt og utvetydigt samtykke” (GDPR, betragtning 32).
Lad os se på forskellige typer Dark Patterns, der bliver brugt i cookiebannere og hvorfor de ikke kan betragtes som gyldigt samtykke.
Dark Patterns har ét formål: at sørge for at så mange som muligt takker ja til cookies.
Det gør hjemmesider ved at gøre det svært at afvise samtykke til cookies.
Brugen af Dark Patterns kan derfor forhindre brugeren i at give “et frit givet, informeret, specifikt og utvetydigt samtykke” (GDPR, betragtning 32).
Lad os se på forskellige typer Dark Patterns, der bliver brugt i cookiebannere og hvorfor de ikke kan betragtes som gyldigt samtykke.
Typer af Dark Patterns i cookiebannere
Mellem 2021 og 2022 har den østrigske privatlivsaktivistorganisation NOYB indgivet mere end 1000 officielle klager til europæiske databeskyttelsesmyndigheder over virksomheders brug af Dark Patterns i cookiebannere.
Her er nogle af deres definitioner på Dark Patterns og nudging:
Her er nogle af deres definitioner på Dark Patterns og nudging:
1) Ingen afvis-knap i cookiebanneret
De fleste cookiebannere bruger stadig kun én knap: “Accepter”.
I disse bannere har brugerne ikke mulighed for at afvise cookies. Virksomhederne antager blot, at hvis du bruger deres hjemmeside, accepterer du cookies og indsamling af personlige data.
Dette design betragtes ikke som gyldigt samtykke i henhold til GDPR. Brugeren har ingen mulighed for at afvise cookies; derfor er samtykket ikke frit givet.
For at samtykke kan være gyldigt, skal cookiebanneret indeholde en afvis-knap på første side af banneret.
I disse bannere har brugerne ikke mulighed for at afvise cookies. Virksomhederne antager blot, at hvis du bruger deres hjemmeside, accepterer du cookies og indsamling af personlige data.
Dette design betragtes ikke som gyldigt samtykke i henhold til GDPR. Brugeren har ingen mulighed for at afvise cookies; derfor er samtykket ikke frit givet.
For at samtykke kan være gyldigt, skal cookiebanneret indeholde en afvis-knap på første side af banneret.
2) Forudfyldte afkrydsningsfelter
Samtykket skal være specifikt. Derfor skal cookiebannere inkludere afkrydsningsfelter eller tjekbokse i deres design, så brugeren selv kan vælge at give samtykke til funktionelle, statistiske eller marketingcookies.
Disse afkrydsningsfelter må ikke være udfyldte på forhånd.
Samtykke i GDPR er opt-in – noget brugeren vælger at give.
Brug af forudafkrydsede felter til forskellige cookietyper blev dømt i strid med GDPR af EU-Domstolen i oktober 2019.
Disse afkrydsningsfelter må ikke være udfyldte på forhånd.
Samtykke i GDPR er opt-in – noget brugeren vælger at give.
Brug af forudafkrydsede felter til forskellige cookietyper blev dømt i strid med GDPR af EU-Domstolen i oktober 2019.
3) Link til indstillinger i stedet for en afvis-knap
En anden almindelig måde er knappen “indstillinger”. Mange cookiebannere viser typisk en “indstillinger”-knap i stedet for en afvis-knap.
Klik på “indstillinger” og du bliver vist en ny side i cookiebanneret, hvor du højst sandsynligt kan afvise samtykke.
Men det er et af de Dark Patterns, der kræver flere klik for at afvise cookies.
Og folk der browser rundt på nettet har typisk tendens til at vælge den vej med mindst modstand og vælger oftest at klikke færrest mulig gange.
Klik på “indstillinger” og du bliver vist en ny side i cookiebanneret, hvor du højst sandsynligt kan afvise samtykke.
Men det er et af de Dark Patterns, der kræver flere klik for at afvise cookies.
Og folk der browser rundt på nettet har typisk tendens til at vælge den vej med mindst modstand og vælger oftest at klikke færrest mulig gange.
4) Vildledende kontrastfarver (i knapper)
Selv om farvedesign ikke er nævnt i hverken ePrivacy (cookieloven) eller GDPR, er kontrastfarver meget udbredt i cookiebannere.
Dette er en nudgingteknik, som ikke direkte er ulovlig, men nogle Datatilsyn – som fx det danske Datatilsynet – vil mene, at hvis kontrastfarver bliver brugt intentionelt til at vildlede, så er det ulovligt.
5) Henvise til Legitim Interesse
Brug af Legitim Interesse er et andet almindeligt Dark Pattern, der findes på mange hjemmesider, der bruger Consent Management Platforms.
Det du ser, er et cookiebanner, der på én side spøger om samtykke til cookies. Uanset om du accepterer eller afviser, så henviser banneret til en anden side, hvor hjemmesiden hævder at have Legitim Interesse til at sætte cookies.
Altså uden dit samtykke.
Og måske kan du gøre indsigelse mod deres Legitime Interesse. Men det skal du ofte gøre for hver af deres samarbejdspartnere. Og der kan være flere hundrede.
Så det kræver ét klik at samtykke til cookies og måske flere hundrede at afvise og gøre indsigelse mod legitim interesse.
Og så har de fleste jo glemt, hvorfor de kom ind på hjemmesiden.
Link: Hvad er legitim interesse?
Det du ser, er et cookiebanner, der på én side spøger om samtykke til cookies. Uanset om du accepterer eller afviser, så henviser banneret til en anden side, hvor hjemmesiden hævder at have Legitim Interesse til at sætte cookies.
Altså uden dit samtykke.
Og måske kan du gøre indsigelse mod deres Legitime Interesse. Men det skal du ofte gøre for hver af deres samarbejdspartnere. Og der kan være flere hundrede.
Så det kræver ét klik at samtykke til cookies og måske flere hundrede at afvise og gøre indsigelse mod legitim interesse.
Og så har de fleste jo glemt, hvorfor de kom ind på hjemmesiden.
Link: Hvad er legitim interesse?
6) Marketingcookies som strengt nødvendige cookies
Nogle vil påstå, at marketingcookies er strengt nødvendige for deres virksomhed. Og det er forståeligt nok.
Men for privacylove som GDPR bliver det meste data som cookies indsamler i dag, betragtet som personlige data.
Og den data kræver samtykke.
Værktøjer som Google Analytics, Facebooks Pixel eller LinkedIns indsigtstag (og mange flere) er ikke nødvendige for, at hjemmesider fungerer. Og de indsamler personlige oplysninger om brugere. Derfor skal du indhente samtykke til at bruge dem.
Men for privacylove som GDPR bliver det meste data som cookies indsamler i dag, betragtet som personlige data.
Og den data kræver samtykke.
Værktøjer som Google Analytics, Facebooks Pixel eller LinkedIns indsigtstag (og mange flere) er ikke nødvendige for, at hjemmesider fungerer. Og de indsamler personlige oplysninger om brugere. Derfor skal du indhente samtykke til at bruge dem.
7) Ikke let at trække samtykke tilbage
Nogle hjemmesider gør det også svært for deres besøgende at ændre eller trække deres samtykke tilbage. Dette er et klassisk eksempel på et dark pattern. Vi så dette mønster i eksemplet med Amazon og deres Kafkaske proces for at slette sin konto.
Gør det tilstrækkelig svært at udføre en handling, og brugeren opgiver højst sandsynligt.
Gør det tilstrækkelig svært at udføre en handling, og brugeren opgiver højst sandsynligt.
Hvorfor er Dark Patterns så effektive i cookiebannere
Menneskelig psykologi!
Dark Pattern taktikker kan være meget effektive. Og for det meste lægger vi ikke engang mærke til dem.
Disse taktikker er ofte anvendt i cookiebannere.
Forestil dig, at du går ind på en hjemmeside. Det første du ser er cookiebanneret. Med et enkelt klik på den pulserende grønne knap kan du acceptere alle cookies.
Du kan også vælge at klikke på “indstillinger” og læse hvad der føles som en roman om hjemmesidens brug af cookies. Måske skal du fravælge forudafkrydsede felter, før du endelig kan afvise at give samtykke til cookies.
Hvad gør du?
Du kom efter hjemmesidens indhold. Og du vil gerne se det indhold så hurtigt som muligt. Helst før du mister interessen eller glemmer, hvorfor du kom ind på siden.
Du vælger sandsynligvis bare at acceptere for at få banneret til at gå væk.
Mange cookiebannere spiller på netop det. Ét klik for at se indholdet, mange klik for at afvise cookies.
Det er grunden til, at privacylove som GDPR, som californiske CCPA og mange andre, giver meget klare definitioner på, hvad samtykke egentligt er.
Et samtykke er et spørgsmål om et ‘ja’ eller et ‘nej’. Og det skal være lige så nemt at afvise cookies, som det er at acceptere.
Men hvad siger GDPR egentlig om Dark Patterns?
Dark Pattern taktikker kan være meget effektive. Og for det meste lægger vi ikke engang mærke til dem.
Disse taktikker er ofte anvendt i cookiebannere.
Forestil dig, at du går ind på en hjemmeside. Det første du ser er cookiebanneret. Med et enkelt klik på den pulserende grønne knap kan du acceptere alle cookies.
Du kan også vælge at klikke på “indstillinger” og læse hvad der føles som en roman om hjemmesidens brug af cookies. Måske skal du fravælge forudafkrydsede felter, før du endelig kan afvise at give samtykke til cookies.
Hvad gør du?
Du kom efter hjemmesidens indhold. Og du vil gerne se det indhold så hurtigt som muligt. Helst før du mister interessen eller glemmer, hvorfor du kom ind på siden.
Du vælger sandsynligvis bare at acceptere for at få banneret til at gå væk.
Mange cookiebannere spiller på netop det. Ét klik for at se indholdet, mange klik for at afvise cookies.
Det er grunden til, at privacylove som GDPR, som californiske CCPA og mange andre, giver meget klare definitioner på, hvad samtykke egentligt er.
Et samtykke er et spørgsmål om et ‘ja’ eller et ‘nej’. Og det skal være lige så nemt at afvise cookies, som det er at acceptere.
Men hvad siger GDPR egentlig om Dark Patterns?
GDPR, nudging og Dark Patterns
Hvad siger GDPR egentligt om Dark Patterns?
Ikke rigtig noget.
Men GDPR handler rigtig meget om, hvad et samtykke er. Og af den grund bliver mange Dark Pattern-teknikker ulovlige.
Dark Patterns i cookiebannere har nemlig ofte negativ indflydelse på brugernes privacy.
Og dermed er de i konflikt med privacylove som den europæiske GDPR, californiske CCPA og mange andre.
Specielt GDPR og CCPA er nogle af de strengeste privacylovgivninger i verden, når det kommer til lovmæssig behandling af personlige oplysninger.
Langt det meste data, som cookies indsamler, falder under GDPR og CCPAs lovgivning. Og når den data personlig, skal hjemmesiden spørge om samtykke til at indsamle og behandle den data.
Mange af de Dark Patterns og nudging-teknikker, vi så ovenfor, er derfor i konflikt med GDPRs definition af gyldigt samtykke.
Ikke rigtig noget.
Men GDPR handler rigtig meget om, hvad et samtykke er. Og af den grund bliver mange Dark Pattern-teknikker ulovlige.
Dark Patterns i cookiebannere har nemlig ofte negativ indflydelse på brugernes privacy.
Og dermed er de i konflikt med privacylove som den europæiske GDPR, californiske CCPA og mange andre.
Specielt GDPR og CCPA er nogle af de strengeste privacylovgivninger i verden, når det kommer til lovmæssig behandling af personlige oplysninger.
Langt det meste data, som cookies indsamler, falder under GDPR og CCPAs lovgivning. Og når den data personlig, skal hjemmesiden spørge om samtykke til at indsamle og behandle den data.
Mange af de Dark Patterns og nudging-teknikker, vi så ovenfor, er derfor i konflikt med GDPRs definition af gyldigt samtykke.
Samtykke som defineret i GDPR
“Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles.
(..)
Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke.”
Når designet med vilje er lavet for at forvirre og vildlede, kan brugeren ikke frit vælge at acceptere eller afvise cookies.
Og ny forskning viser, at Dark Patterns er meget udbredt i Europa.
I 2019 kiggede tyske forskere på 1000 af de mest populære europæiske hjemmesider. Her så de, at 57.4% brugte nudging til at presse de besøgende til at give samtykke til cookies.
Og i 2020 undersøgte danske og amerikanske forskere effekten af Dark Patterns i årene efter GDPR. Dark Patterns og implicit samtykke blev fundet overalt. Faktisk opfyldte kun 11,8 % af de mest populære hjemmesider i Storbritannien minimumskravene for GDPR-samtykke.
For at understøtte disse resultater, fandt franske forskere, at 47% af hjemmesiderne i deres studie “nudgede” de besøgende til at acceptere forskellige cookietyper ved at bruge forudafkrydsede felter. 7% af siderne gav slet ikke brugerne mulighed for at afvise cookies.
Denne udbredte brug af Dark Patterns har naturligvis også fået de europæiske datatilsyn til at spærre øjnene op.
Vi har set det franske CNIL uddele store bøder til Google, Facebook og Amazon for manipulerende cookiesamtykkedesign og svært forståelige privatlivspolitikker.
Men meget af opmærksomheden kan tilskrives NOYB. Organisationen har indgivet knap 1000 officielle klager til datatilsyn i Europa omkring virksomheders ulovlige brug af Dark Patterns.
Det NOYB klager over, er den måde store europæiske hjemmesider bruger Dark Patterns til at forvirre besøgende til at give samtykke til cookies. Den mest almindelige metode er ikke at vise en afvis-knap i det første lag af cookiebanneret. Brugerne skal derfor klikke “mere end én gang” for at afvise cookies, men kun ét klik for at acceptere.
Og ny forskning viser, at Dark Patterns er meget udbredt i Europa.
I 2019 kiggede tyske forskere på 1000 af de mest populære europæiske hjemmesider. Her så de, at 57.4% brugte nudging til at presse de besøgende til at give samtykke til cookies.
Og i 2020 undersøgte danske og amerikanske forskere effekten af Dark Patterns i årene efter GDPR. Dark Patterns og implicit samtykke blev fundet overalt. Faktisk opfyldte kun 11,8 % af de mest populære hjemmesider i Storbritannien minimumskravene for GDPR-samtykke.
For at understøtte disse resultater, fandt franske forskere, at 47% af hjemmesiderne i deres studie “nudgede” de besøgende til at acceptere forskellige cookietyper ved at bruge forudafkrydsede felter. 7% af siderne gav slet ikke brugerne mulighed for at afvise cookies.
Denne udbredte brug af Dark Patterns har naturligvis også fået de europæiske datatilsyn til at spærre øjnene op.
Vi har set det franske CNIL uddele store bøder til Google, Facebook og Amazon for manipulerende cookiesamtykkedesign og svært forståelige privatlivspolitikker.
Men meget af opmærksomheden kan tilskrives NOYB. Organisationen har indgivet knap 1000 officielle klager til datatilsyn i Europa omkring virksomheders ulovlige brug af Dark Patterns.
Det NOYB klager over, er den måde store europæiske hjemmesider bruger Dark Patterns til at forvirre besøgende til at give samtykke til cookies. Den mest almindelige metode er ikke at vise en afvis-knap i det første lag af cookiebanneret. Brugerne skal derfor klikke “mere end én gang” for at afvise cookies, men kun ét klik for at acceptere.
Hvordan optimerer du dine samtykkerater uden at bruge Dark Patterns?
Når du bruger cookies på din hjemmeside, er det vigtigt at du indsamler et gyldigt samtykke fra dine besøgende.
På den måde respekterer du deres privacy og du overholder databeskyttelseslove som GDPR og cookiebekendtgørelsen.
På den måde respekterer du deres privacy og du overholder databeskyttelseslove som GDPR og cookiebekendtgørelsen.
Tjekliste til at indsamle
gyldigt samtykke til cookies
- Informer dine besøgende om de cookies du bruger og hvilken data de indsamler
- Giv dine besøgende mulighed for nemt at afvise cookies (afvis-knap ved siden af accepter-knap).
- Lad dine besøgende vælge hvilke cookieformål de vil acceptere/afvise (tjekbokse).
- Sørg for disse tjekbokse/felter ikke er forudafkrydsede.
- Brug ligevægtige farver og kontraster til accept- og afvis-knap.
- Gem dine besøgendes samtykke i 5 år.
Cookie Information kan hjælpe dig med alt dette!
Vil du vide hvordan?
Vil du vide hvordan?
Men hvordan kan du optimere dit banner til at indsamle samtykker?
Et af de spørgsmål, vi får meget her på Cookie Information er:
“Kan jeg bruge forskellige farver i mine “accepter/afvis”-knapper?”
Vi vil sige ja, men træd varsomt.
I 2021 kritiserede Datatilsynet en dansk virksomhed for at bruge vildledende farvedesign i deres cookiebanner.
Virksomhedens “afvis”-knap havde en orange skrifttype på en hvid baggrund (på et hvidt cookiebanner), hvorimod acceptknappen havde en hvid skrifttype på en orange baggrund.
Datatilsynet mente, at designet forvirrede brugerne, fordi det ene valg var mere fremtrædende end det andet.
For at gøre det endnu mere forvirrende hed “afvis”-knappen faktisk “accepter” (altså til indstillingerne), men for at acceptere cookies, var besøgende nødt til at “acceptere alle”. Forvirret? Jeg var.
Men!
Sidste gang jeg spurgte Datatilsynet, ønskede de ikke at kommentere på farvevalg i cookiebannere.
Men i deres seneste cookievejledning fra 2020 gør Datatilsynet selv brug af kontrastfarver til at acceptere og afvise cookies.
Så…
“Kan jeg bruge forskellige farver i mine “accepter/afvis”-knapper?”
Vi vil sige ja, men træd varsomt.
I 2021 kritiserede Datatilsynet en dansk virksomhed for at bruge vildledende farvedesign i deres cookiebanner.
Virksomhedens “afvis”-knap havde en orange skrifttype på en hvid baggrund (på et hvidt cookiebanner), hvorimod acceptknappen havde en hvid skrifttype på en orange baggrund.
Datatilsynet mente, at designet forvirrede brugerne, fordi det ene valg var mere fremtrædende end det andet.
For at gøre det endnu mere forvirrende hed “afvis”-knappen faktisk “accepter” (altså til indstillingerne), men for at acceptere cookies, var besøgende nødt til at “acceptere alle”. Forvirret? Jeg var.
Men!
Sidste gang jeg spurgte Datatilsynet, ønskede de ikke at kommentere på farvevalg i cookiebannere.
Men i deres seneste cookievejledning fra 2020 gør Datatilsynet selv brug af kontrastfarver til at acceptere og afvise cookies.
Så…
Hvad kan vi så udlede af det?
Hvis du ønsker at implementere dine virksomhedsfarver i dit cookiebanner eller hvis du vil give din acceptknap en grøn farve og afvisningsknappen en rød farve, så ser det ud til at være ok med retningslinjerne.
*Ansvarsfraskrivelse: Hver sag, som Datatilsynet undersøger, er baseret på deres fortolkning af cookiebanneret og lovgivningen.
Hvis du ønsker at implementere dine virksomhedsfarver i dit cookiebanner eller hvis du vil give din acceptknap en grøn farve og afvisningsknappen en rød farve, så ser det ud til at være ok med retningslinjerne.
*Ansvarsfraskrivelse: Hver sag, som Datatilsynet undersøger, er baseret på deres fortolkning af cookiebanneret og lovgivningen.
Hvordan får jeg et cookiebanner der overholder cookieloven og GDPR?
Cookie Information er en førende europæisk udbyder af cookiebannere der overholder GDPR. Og har en gennemsnit høj samtykkerate!
Hvordan?
Fordi:
Hvordan?
Fordi:
- Dit cookiebanner overholder informationspligten. Alle informationer om cookies er dér.
- Vi tester hele tiden designs, tekster, knapper og placering. Vi rådgiver dig til at få de højeste samtykkerater.
- Du er altid up to date med seneste lovgivning eller bøder.
Typer af Dark Patterns
Dark Patterns kan se meget forskelligt ud. Her er de mest brugte designs.
Trick-spørgsmål
Du er i gang med at udfylde en formular. Du svarer på et spørgsmål, der narrer dig til at tro, at det spørger om én ting, men når du læser det omhyggeligt, spørger det om noget andet.
Snige varer/ydelser i kurven
Når du forsøger at købe noget, tilføjer hjemmesiden nogle gange ekstra varer til din ordre gennem fravalgsknapper eller afkrydsningsfelter på tidligere sider.
Roach motel
Du har nemt ved at oprette en konto eller tilmelde dig et nyhedsbrev, men derefter svært at annullere kontoen eller afmelde nyhedsbrevet.
Privacy Zuckering
Du bliver snydt til offentligt at dele flere oplysninger om dig selv, end du havde tænkt dig. Opkaldt efter Mark Zuckerberg, CEO Facebook.
Svært at sammenligne priser
Hjemmesiden gør det svært at sammenligne prisen på en vare med en anden, så du ved måske ikke, om du betaler en fair pris.
Nudging (misdirection)
Designet henleder din opmærksomhed på én ting, så du ikke lægger mærke til en anden.
Skjulte omkostninger
Når du når det sidste trin i betalingsprocessen, kan du blive overrasket over at opdage nogle uventede gebyrer som leveringsgebyrer, skatter osv.
Bait and Switch
Du forsøger at gøre én ting og desværre sker der en anden, uønsket ting i stedet for.
Confirmshaming
Det at presse brugeren til at vælge noget, hvor muligheden fora at afslå er formuleret på en måde, så brugeren skammer sig over at overholde reglerne.
Skjulte annoncer
Annoncer, der ligner andre former for indhold, som fx venners opslag, for at få dig til at klikke på dem.
Tvunget kontinuitet (forced continuity)
Når en gratis prøveperiode slutter og dit kreditkort begynder at blive debiteret uden varsel. Nogle gange bliver det endnu værre ved at det er svært at opsige medlemskabet.
Friend spam
Et service kan bede om tilladelse til at tilgå din e-mail eller sociale medier og begynder derefter at spamme alle dine kontakter. Samtidig hævder de, at det er fra dig.
Harry Brignull, vildledende design
Du er i gang med at udfylde en formular. Du svarer på et spørgsmål, der narrer dig til at tro, at det spørger om én ting, men når du læser det omhyggeligt, spørger det om noget andet.
Snige varer/ydelser i kurven
Når du forsøger at købe noget, tilføjer hjemmesiden nogle gange ekstra varer til din ordre gennem fravalgsknapper eller afkrydsningsfelter på tidligere sider.
Roach motel
Du har nemt ved at oprette en konto eller tilmelde dig et nyhedsbrev, men derefter svært at annullere kontoen eller afmelde nyhedsbrevet.
Privacy Zuckering
Du bliver snydt til offentligt at dele flere oplysninger om dig selv, end du havde tænkt dig. Opkaldt efter Mark Zuckerberg, CEO Facebook.
Svært at sammenligne priser
Hjemmesiden gør det svært at sammenligne prisen på en vare med en anden, så du ved måske ikke, om du betaler en fair pris.
Nudging (misdirection)
Designet henleder din opmærksomhed på én ting, så du ikke lægger mærke til en anden.
Skjulte omkostninger
Når du når det sidste trin i betalingsprocessen, kan du blive overrasket over at opdage nogle uventede gebyrer som leveringsgebyrer, skatter osv.
Bait and Switch
Du forsøger at gøre én ting og desværre sker der en anden, uønsket ting i stedet for.
Confirmshaming
Det at presse brugeren til at vælge noget, hvor muligheden fora at afslå er formuleret på en måde, så brugeren skammer sig over at overholde reglerne.
Skjulte annoncer
Annoncer, der ligner andre former for indhold, som fx venners opslag, for at få dig til at klikke på dem.
Tvunget kontinuitet (forced continuity)
Når en gratis prøveperiode slutter og dit kreditkort begynder at blive debiteret uden varsel. Nogle gange bliver det endnu værre ved at det er svært at opsige medlemskabet.
Friend spam
Et service kan bede om tilladelse til at tilgå din e-mail eller sociale medier og begynder derefter at spamme alle dine kontakter. Samtidig hævder de, at det er fra dig.
Harry Brignull, vildledende design
FAQ om nudging, Dark Patterns og cookiesamtykke.
“Kan jeg bruge en grøn knap i mit cookiebanner?”
Vi får mange spørgsmål om, hvad du må og ikke må i dit cookiebanner. Hvad er lovligt og hvad er ikke.
Her er de spørgsmål vi får flest af om Dark Patterns og brug af farver, tekster, knapper og meget mere.
Vi får mange spørgsmål om, hvad du må og ikke må i dit cookiebanner. Hvad er lovligt og hvad er ikke.
Her er de spørgsmål vi får flest af om Dark Patterns og brug af farver, tekster, knapper og meget mere.
For at samtykke er gyldigt i henhold til GDPR, skal samtykke gives frit, informeret, specifikt og utvetydigt.
Det betyder, at samtykke er:
Når det kommer til cookiebannere, fortolker de fleste europæiske datatilsyn GDPR som:
Lær mere om, hvad cookiesamtykke under GDPR er.
Link: Cookie-samtykke under GDPR
Det betyder, at samtykke er:
- et spørgsmål om ja og nej (frit givet).
- baseret på oplysninger om, hvad du giver samtykke til (informeret).
- givet specifikt til hvert databehandlingsformål som funktionelle, statistiske og marketingcookies (specifikke).
- klart beskrevet, så brugeren ikke er i tvivl om, at han/hun giver samtykke (utvetydigt).
Når det kommer til cookiebannere, fortolker de fleste europæiske datatilsyn GDPR som:
- brugeren skal kunne afvise samtykke (afvis-knap i cookie-banneret).
- samtykke må ikke være underforstået/implicit. Scrolle, swipe eller blot at bruge siden betragtes ikke som gyldigt samtykke.
- afkrydsningsfelter skal bruges til at indsamle specifikt samtykke og må ikke være afkrydset som standard.
Lær mere om, hvad cookiesamtykke under GDPR er.
Link: Cookie-samtykke under GDPR
Ja, du kan bruge to forskellige farver til “Accepter” og “Afvis”.
Der er intet i hverken ePrivacy-direktivet eller GDPR, der specifikt siger, at du ikke kan bruge en grøn Accepter- eller rød Afvis-knapfarve.
Så længe dit design ikke bedrager eller narrer dine besøgende til at give samtykke (Accepter) ved at bruge lav kontrast mellem tekst og baggrundsfarve i knappen(fx grå på hvid eller noget, der er svært at læse).
For nylig (2021) kritiserede Datatilsynet officielt en virksomhed for at bruge orange skriftfarve på en hvid baggrund (knap), der blandede sig med bannerets hvide baggrund. ‘Accepter cookies’-knappen havde derimod en høj kontrast: hvid på orange baggrund.
Ifølge Datatilsynets seneste cookievejledning (side 17) er det gyldigt at bruge forskellige farver i Accepter og Afvis knapper, så længe designet er gennemsigtigt og begge knapper har samme vægt.
Der er intet i hverken ePrivacy-direktivet eller GDPR, der specifikt siger, at du ikke kan bruge en grøn Accepter- eller rød Afvis-knapfarve.
Så længe dit design ikke bedrager eller narrer dine besøgende til at give samtykke (Accepter) ved at bruge lav kontrast mellem tekst og baggrundsfarve i knappen(fx grå på hvid eller noget, der er svært at læse).
For nylig (2021) kritiserede Datatilsynet officielt en virksomhed for at bruge orange skriftfarve på en hvid baggrund (knap), der blandede sig med bannerets hvide baggrund. ‘Accepter cookies’-knappen havde derimod en høj kontrast: hvid på orange baggrund.
Ifølge Datatilsynets seneste cookievejledning (side 17) er det gyldigt at bruge forskellige farver i Accepter og Afvis knapper, så længe designet er gennemsigtigt og begge knapper har samme vægt.
Der er ingen specifikke regler for størrelse på knapper (buttons) i Cookieloven eller GDPR. Men de fleste europæiske datatilsyn fremhæver i deres retningslinjer for cookies, at accepter- og afvis-knapper bør have samme vægt (størrelse).
Du må derfor ikke forsøge at skjule afvis-knappen ved at gøre den væsentligt mindre end accept-knappen. Det ville være et Dark Pattern.
Du må derfor ikke forsøge at skjule afvis-knappen ved at gøre den væsentligt mindre end accept-knappen. Det ville være et Dark Pattern.
Ja! Og den skal placeres i cookiebannerets “første lag” (første side). Og helst lige ved siden af “Accepter”-knappen og ikke skjult bag “Indstillinger”, “Præferencer” eller “Detaljer”.
Men forskellige europæiske datatilsyn har forskellige meninger om dette, så tjek venligst din nationale cookievejledning.
Link: Nationale og Internationale cookieregler
Men forskellige europæiske datatilsyn har forskellige meninger om dette, så tjek venligst din nationale cookievejledning.
Link: Nationale og Internationale cookieregler
Selvfølgelig!
Om du skriver “Accepter”, “Accepter alle”, “OK” eller noget andet er helt op til dig. Så længe det er tydeligt for dine besøgende, hvad de vælger.
“Accepter” og “Afvis” er de mest almindelige formuleringer i bannere der overholder GDPR.
Hvis du skriver “Accepter” (for at acceptere forudbestemte indstillinger) og “Accepter alle” (for at acceptere alle cookies), kan det være forvirrende over for dine besøgende, hvad de egentligt siger ja eller nej til. Er det bevidst, er det et Dark Pattern.
Om du skriver “Accepter”, “Accepter alle”, “OK” eller noget andet er helt op til dig. Så længe det er tydeligt for dine besøgende, hvad de vælger.
“Accepter” og “Afvis” er de mest almindelige formuleringer i bannere der overholder GDPR.
Hvis du skriver “Accepter” (for at acceptere forudbestemte indstillinger) og “Accepter alle” (for at acceptere alle cookies), kan det være forvirrende over for dine besøgende, hvad de egentligt siger ja eller nej til. Er det bevidst, er det et Dark Pattern.
Nej.
I 2019 afsagde EU-Domstolen dom mod det tyske lotteri-websted Planet49 og deres samtykkepraksis. Retten udtalte, at det ikke var lovligt at “forhåndsvælge” afkrydsningsfelterne for specifikke cookieformål (funktionel, statistik, markedsføring). De besøgende skal selv tilvælge disse cookieformål, ikke fravælge dem.
Dit cookiebanner skal indeholde afkrydsningsfelter (da specifikt samtykke er nødvendigt for hvert cookieformål), og disse felter skal som standard ikke være forudafkrydsede.
I 2019 afsagde EU-Domstolen dom mod det tyske lotteri-websted Planet49 og deres samtykkepraksis. Retten udtalte, at det ikke var lovligt at “forhåndsvælge” afkrydsningsfelterne for specifikke cookieformål (funktionel, statistik, markedsføring). De besøgende skal selv tilvælge disse cookieformål, ikke fravælge dem.
Dit cookiebanner skal indeholde afkrydsningsfelter (da specifikt samtykke er nødvendigt for hvert cookieformål), og disse felter skal som standard ikke være forudafkrydsede.
Samtykke skal være informeret. Derfor skal dit cookiebanner som minimum indeholde oplysninger om:
Om du skriver: “Vi bruger cookies” eller “Du kontrollerer dine data” er ligegyldigt (men A/B test det).
Det vigtige er, at du er tydelig om dataindsamling og databehandling. Og at din tekst er skrevet i et enkelt og letforståeligt sprog.
En god Consent Management Platform vil automatisk lave en cookiepolitik til din hjemmeside baseret på scanning efter cookies. Disse data vil også fremgå i dit cookiebanner.
- Din brug af cookies.
- Hvilken cookie du bruger.
- Hvilke data de indsamler.
- Hvem ejer de forskellige cookies.
- Hvor lang tid bliver cookies gemt (lifetime).
- Hvordan brugere accepterer/afviser og trækker samtykke tilbage.
Om du skriver: “Vi bruger cookies” eller “Du kontrollerer dine data” er ligegyldigt (men A/B test det).
Det vigtige er, at du er tydelig om dataindsamling og databehandling. Og at din tekst er skrevet i et enkelt og letforståeligt sprog.
En god Consent Management Platform vil automatisk lave en cookiepolitik til din hjemmeside baseret på scanning efter cookies. Disse data vil også fremgå i dit cookiebanner.
Ja, du skal bede om samtykke. Med hensyn til cookies er Legitime Interesse (GDPR) ikke et alternativ til samtykke.
Vi ser cookiebannere, der bruger legitim interesse som deres lovlige grundlag for at bruge cookies, men samtykke er altid påkrævet i henhold til det europæiske ePrivacy Direktiv og Cookieloven.
Legitim interesse kan bruges, når du har en legitim grund til at behandle en persons personoplysninger, fx navn og adresse på en pizzalevering (kan ikke levere pizzaen uden adresse).
Men brug altid samtykke, når det drejer sig om data, dine besøgende skal give dig tilladelse til at bruge (IP-adresse, enheds-ID). Et DeviceID er ikke påkrævet for at din hjemmeside til at fungere.
Link: Legitim interesse og cookies forklaret på 5 minutter
Vi ser cookiebannere, der bruger legitim interesse som deres lovlige grundlag for at bruge cookies, men samtykke er altid påkrævet i henhold til det europæiske ePrivacy Direktiv og Cookieloven.
Legitim interesse kan bruges, når du har en legitim grund til at behandle en persons personoplysninger, fx navn og adresse på en pizzalevering (kan ikke levere pizzaen uden adresse).
Men brug altid samtykke, når det drejer sig om data, dine besøgende skal give dig tilladelse til at bruge (IP-adresse, enheds-ID). Et DeviceID er ikke påkrævet for at din hjemmeside til at fungere.
Link: Legitim interesse og cookies forklaret på 5 minutter
Cookie Information anbefaler ikke brugen af IABs Transparency and Consent Framework (TCF) i øjeblikket. I januar 2022 erklærede den belgiske datatilsyn TCF i strid med GDPR. Sagen er stadig i gang. Cookie Informations samtykkeløsning er ikke afhængig af TCF, men overholder GDPR.
For din virksomhed, ja!
For at din hjemmeside kan fungere, nej.
Google Analytics’ cookies (_ga) kan ikke betragtes som en strengt nødvendig cookie.
Google Analytics’ cookies kræver samtykke, fordi de stadig indsamler og behandler mange personlige oplysninger om dine besøgende. I henhold til GDPR skal du have gyldigt samtykke til at indsamle disse data.
Men jeg indsamler ingen data!
Men det gør Google! Det gør Facebook. Det gør Amazon.
Sådan fungerer det!
Du bruger Google Analytics. Google Analytics sætter cookies gennem din hjemmeside, så du kan se, hvor mange der besøger din side, hvilke sider de læser og hvordan de konverterer/køber.
Google indsamler en masse data for at give dig disse metrics. IP-adresse, geolocation, DeviceID osv. Dette er persondata under GDPR. Også selvom du aldrig ser data eller kan identificere nogen personer.
Men du er dataansvarlig under GDPR og derfor er ansvaret for at indsamle samtykke dit.
Link: Sådan bruger Google cookies
For at din hjemmeside kan fungere, nej.
Google Analytics’ cookies (_ga) kan ikke betragtes som en strengt nødvendig cookie.
Google Analytics’ cookies kræver samtykke, fordi de stadig indsamler og behandler mange personlige oplysninger om dine besøgende. I henhold til GDPR skal du have gyldigt samtykke til at indsamle disse data.
Men jeg indsamler ingen data!
Men det gør Google! Det gør Facebook. Det gør Amazon.
Sådan fungerer det!
Du bruger Google Analytics. Google Analytics sætter cookies gennem din hjemmeside, så du kan se, hvor mange der besøger din side, hvilke sider de læser og hvordan de konverterer/køber.
Google indsamler en masse data for at give dig disse metrics. IP-adresse, geolocation, DeviceID osv. Dette er persondata under GDPR. Også selvom du aldrig ser data eller kan identificere nogen personer.
Men du er dataansvarlig under GDPR og derfor er ansvaret for at indsamle samtykke dit.
Link: Sådan bruger Google cookies
Ja. Vi opfordrer dig til at teste tekst og knapper i dit banner. I vores løsning kan du lave A/B test over tid ved at lave én ændring ad gangen og se resultaterne efter et par dage.
Tag i betragtning at andre faktorer kan have indflydelse på dine resultater, såsom tid, lande, sæson osv.
Tag i betragtning at andre faktorer kan have indflydelse på dine resultater, såsom tid, lande, sæson osv.
