Volgens een recente studie van de Ruhruniversiteit Bochum en de Universiteit van Michigan zijn de meeste cookiebanners op Europese websites niet privacy-conform. Bovendien tonen de resultaten van de studie aan welke cookiemeldingen websitebezoekers neigen te verwerpen en welke zij neigen te aanvaarden.
Disclaimer
Deze blogpost is geen juridisch advies. In het kader van ons werk als WordPress hoster hebben wij ons zeer intensief beziggehouden met de in de EU geldende voorschriften inzake gegevensbescherming. Wij zijn echter geen advocaten of deskundigen op het gebied van gegevensbescherming. Voor de volledigheid, actualiteit en juistheid van de door ons verstrekte inhoud aanvaarden wij geen aansprakelijkheid.
Er is nog steeds onduidelijkheid over cookies
Sinds 25 mei 2018 is de Europese algemene verordening gegevensbescherming (AVG) in alle lidstaten van de Europese Unie van kracht. Dit betekent dat bij niet-naleving hoge boetes kunnen worden opgelegd. Het doel van de AVG is de persoonsgegevens in alle lidstaten van de EU in gelijke mate te beschermen en de rechten van internetgebruikers te versterken door de gegevensbescherming te standaardiseren.
Aangezien de vereisten van AVG in sommige gevallen verschillend worden geïnterpreteerd, is de huidige juridische situatie met betrekking tot het gebruik van cookies allesbehalve duidelijk. Deze onzekerheid komt tot uiting in de talloze variaties van de cookie-meldingen op Europese websites.
In zijn gastartikel "Cookie Banner - Maar wel op de juiste manier!" vertelt advocaat Mario Steinberg waar je op moet letten bij het implementeren van een cookie opt-in.
De zogenaamde ePrivacy Verordening is bedoeld om AVG in dit opzicht verder te specificeren en aan te vullen. Omdat er nog veel vragen en discussiepunten over de inhoud van de verordening moeten worden opgehelderd, zullen websitebeheerders er waarschijnlijk pas in 2020 mee te maken krijgen. Dit betekent echter niet dat je je er niet nu al op moet voorbereiden!
Daarnaast heeft een uitspraak van het Europese Hof van Justitie (HvJ) op 29 juli 2019 cookie opt-ins tot waarschuwingsplicht verklaard. Deze informatie lijkt echter nog niet alle websitebeheerders te hebben bereikt. Dit blijkt in ieder geval uit een onderzoek dat ik je hieronder wil presenteren.
"*" geeft verplichte velden aan
Studie onderzoekt interactie met cookiebanners
Onderzoekers van de Ruhr-Universität Bochum en de Universiteit van Michigan analyseerden 1.000 cookiemeldingen om na te gaan hoe cookiebanners momenteel in de EU worden toegepast. Als onderdeel van hun studie onderzochten ze de plaatsing van de banners, het aantal keuzes en of gebruikers onder druk werden gezet om in te stemmen ("nudging").
Daarnaast werden over een periode van 4 maanden meer dan 80.000 unieke bezoeken aan een Duitse winkelwebsite onderzocht om te zien hoe gebruikers omgaan met verschillende variaties van cookiemeldingen.
Het doel van de studie is uit te zoeken hoe een cookiebanner kan worden ontworpen die gebruikers motiveert om er op een zinvolle manier mee om te gaan, in plaats van weg te klikken van de aankondiging of de pagina te verlaten.
Een van de bevindingen van het onderzoek is dat er waarschijnlijk zorglijnen op het voorhoofd van veel websitebeheerders en marketingmanagers zullen ontstaan. Want: het toestemmingspercentage voor tracking was het laagst voor wettelijk conforme cookiebanners.
Specifiek onderzoekt de studie de volgende onderzoeksvragen:
- Beïnvloedt de positie van de cookiebanner of een bezoeker toestemming geeft of niet?
- Beïnvloedt het aantal keuzes of vooraf ingevulde selectievakjes ("nudging") de interactie van de gebruiker?
- Heeft de aanwezigheid van een link naar het privacybeleid of de term "cookies" invloed op de beslissing van de gebruiker?
De belangrijkste resultaten samengevat
Plaatsing
Uit de studie bleek dat 58 procent van de cookiebanners onderaan het scherm worden geplaatst en dat 93 procent van de banners de interactie met de website niet blokkeert. Bovendien heeft de positie invloed op de interactie: Cookiebanners in het onderste, linker deel van het scherm krijgen de meeste aandacht.
Opties
86% van de cookiebanners biedt helemaal geen keuze, maar informeert gebruikers alleen dat er cookies worden gebruikt. Bovendien probeert de meerderheid van de banners (57%) gebruikers over te halen om toestemming te geven ("nudging"). Dit gebeurt bijvoorbeeld door de OK knop, die alle vooraf ingevulde cookies bevestigt, visueel te markeren, en door de verdere opties grijs te maken.
Wat is het effect van keuze op interactie? Voor meer complexe keuzes (bijv. verschillende categorieën cookies die actief moeten worden geselecteerd), aanvaarden de meeste websitebezoekers de cookies niet. Als de selectievakjes echter al zijn ingevuld en het ontwerp de toestemming benadrukt, zullen veel gebruikers de standaard (privacy-onvriendelijke) instellingen overnemen. Er is veel interactie bij binaire keuzes (één knop om te accepteren en één knop om alle cookies te weigeren).
Bovendien vonden de onderzoekers dat de term "cookies" in de banner de acceptatie verminderde. Dit suggereert dat gebruikers iets negatiefs of onbetrouwbaars associëren met het woord "cookies". Een alternatieve titel voor de cookiebanner zou dus kunnen zijn "Gebruik van persoonsgegevens" of "Privacy-instellingen".
Tweeënnegentig procent van de onderzochte cookie-kennisgevingen bevat een link naar het privacybeleid, maar slechts een derde (39%) vermeldt het doel van de gegevensverzameling of wie toegang heeft tot de gegevens (21%).
Die Forschergruppe kommt zu dem Schluss, dass nur ein Bruchteil der Nutzer (<0,1%) allen Cookies zustimmt, wenn der Banner alle Forderungen der Datenschutzbehörden regelkonform umsetzt (einzelne Cookie-Kategorien, nicht vorausgefüllt, kein nudging).
Volgens een Facebook-post van advocaat Dr. Thomas Schwenke is het echter nog niet voor de rechter uitgemaakt of de selectievakjes van de afzonderlijke cookiecategorieën vooraf ingevuld mogen worden of niet. Totdat deze vraag in de rechtbank is opgehelderd, zullen de meeste webmasters waarschijnlijk voor de vooringevulde variant kiezen.
Conclusie
Samenvattend blijkt uit de studie dat de plaatsing, de aard van de opt-in-procedure en het ontwerp van de banner de interactie van de websitebezoekers aanzienlijk beïnvloeden. De verschillen in gebruikersinteractie met de banner lagen tussen 5 en 55 procent.
In het algemeen geldt: hoe meer keuzemogelijkheden in een cookiemelding, hoe groter de kans dat gebruikers het gebruik van cookies afwijzen. Als er geen selectievakje is ingevuld voor verschillende mogelijke categorieën cookies (wat volgens de AVG"privacy by default" specificatie het geval zou moeten zijn), zou minder dan 0,1 procent van de bezoekers instemmen met alle cookies.
Wat vind je van de resultaten van het onderzoek? Heb je al een waterdichte cookiemelding of wacht je op de e-privacyverordening? Ik kijk uit naar je commentaar!
Bron: De onderzoeksresultaten worden binnenkort gepubliceerd in een paper getiteld "(Un)informed Consent: Studying GDPR Consent Notices in the Field", waarvan we de voorlopige versie hebben. De auteurs van het artikel zijn Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub en Thorsten Holz. De gebruikte afbeeldingen komen van een Twitter thread van Martin Degeling.
Bijgedragen afbeelding: Nadine Shaabana | Unsplash
