De tijd van oppervlakkige cookiebanners is voorbij.[i] In 2024 en 2025 hebben Europese privacytoezichthouders de handhaving aanzienlijk geïntensiveerd, waarbij de focus niet langer ligt op de aanwezigheid van een banner, maar op de eerlijkheid en transparantie van het toestemmingsproces.[ii] Misleidende ontwerppraktijken, bekend als 'dark patterns', worden actief beboet, wat een nieuw tijdperk van verantwoordelijkheid voor bedrijven zou moeten inluiden.[iii]

De intensivering van handhaving door Europese Toezichthouders

Europese data protection authorities (DPA's) zijn overgestapt van waarschuwingen naar concrete sancties. Recente acties illustreren deze trend:

• Nederlandse Autoriteit Persoonsgegevens (AP): In april 2025 waarschuwde de AP 50 organisaties, waaronder online retailers en mediabedrijven, voor misleidende cookiebanners en het onrechtmatig plaatsen van tracking cookies. Dit volgde op boetes in 2024 voor A.S. Watson (€600.000) voor het plaatsen van tracking cookies vóór het verkrijgen van toestemming op gezondheidsgerelateerde webpagina's, en Coolblue (€40.000) voor het aannemen van standaardtoestemming en het gebruik van vooraf aangevinkte vakjes.[iv]

• Zweedse Integritetsskyddsmyndigheten (IMY): In april 2025 bekritiseerde de IMY drie grote bedrijven, waaronder ATG, Aller Media AB en Warner Music Sweden AB, voor het gebruik van 'dark patterns'. Specifieke overtredingen waren onder meer "Accepteren"-knoppen die visueel prominenter waren dan de "Weigeren"-optie, het vereisen van meerdere stappen om te weigeren versus één klik om te accepteren, en het gebruik van vooraf aangevinkte vakjes.[v]

• Franse Commission Nationale de l’Informatique et des Libertés (CNIL): De CNIL heeft een geschiedenis van het opleggen van aanzienlijke boetes voor cookie-overtredingen, zoals €35 miljoen voor Amazon en €150 miljoen voor Google. In december 2024 stuurde de CNIL een formele kennisgeving naar diverse website-uitgevers over het gebruik van 'dark patterns', met een deadline van één maand om hun banners aan te passen.[vi]

Wetenschappelijk bewijs: De impact van ontwerpkeuzes

Recente peer-reviewed studies bevestigen de bevindingen van de toezichthouders en kwantificeren de impact van ontwerpkeuzes op het gedrag van gebruikers. Een studie gepubliceerd in 2024 in de Proceedings of the 33rd USENIX Security Symposium toonde aan dat het ontwerp van de banner een aanzienlijk en blijvend effect heeft op de toestemmingsbeslissingen van gebruikers, zelfs bij toekomstige neutrale banners.[vii]

Een andere studie in Computers in Human Behavior analyseerde de effectiviteit van verschillende 'dark patterns' en concludeerde dat twee dimensies een significante invloed hebben[viii]:

1. Visuele Presentatie: De grootste impact werd waargenomen wanneer de optie om te weigeren als een link werd gepresenteerd in plaats van een knopCookie disclaimers: Dark patterns and lack of transparency. Het visueel benadrukken van de "Accepteren"-knop had ook een significant effect, wat bevestigt dat gebruikers neigen naar de standaardoptieCookie disclaimers:[ix]

2. Labeling: De tekst op de "Weigeren"-knop of -link beïnvloedde de acceptatiegraad, wat suggereert dat de bewoording de perceptie van de gevolgen beïnvloedtCookie disclaimers:[x]

Opvallend is dat de begeleidende tekst in de banner (bijvoorbeeld over de voordelen van het accepteren van cookies) geen significant effect had op de beslissingen van gebruikers, wat eerdere onderzoeken bevestigt dat deze tekst vaak niet wordt gelezen of genegeerdCookie disclaimers: Dark patterns and lack of transparency.

Checklist voor een compliant Cookiebanner anno 2025

Op basis van de recente handhavingsacties en wetenschappelijke inzichten, moet een compliant cookiebanner voldoen aan de volgende eisen:[xi]

• Gelijke prominentie: "Accepteren"- en "Weigeren"-opties moeten met gelijke visuele nadruk worden gepresenteerd op de eerste laag van de banner. Kleur, grootte en plaatsing mogen gebruikers niet in de richting van acceptatie duwenWhat are dark patterns in cookie banners?.

• Gelijke toegankelijkheid: Het moet even gemakkelijk zijn om toestemming te weigeren als om deze te geven. Weigeren mag niet meer klikken of stappen vereisen dan accepterenWhat are dark patterns in cookie banners?.

• Geen vooraf aangevinkte vakjes: Toestemming moet een actieve, bevestigende handeling zijn. Vakjes voor niet-essentiële cookies moeten standaard uitgeschakeld zijnWhat are dark patterns in cookie banners?.

• Duidelijke en begrijpelijke informatie: Gebruikers moeten in duidelijke taal worden geïnformeerd over het doel van de cookies, de categorieën, de ontvangers van de data en de bewaartermijnenSwedish DPA targets dark patterns in cookie banners.

• Eenvoudige mogelijkheid tot intrekking: Gebruikers moeten hun toestemming net zo gemakkelijk kunnen intrekken als ze die hebben gegeven, via een persistent en toegankelijk mechanismeSwedish DPA targets dark patterns in cookie banners.

Conclusie

De tolerantie voor manipulatieve cookiebanners is verdwenen. Toezichthouders, gewapend met duidelijke richtlijnen en ondersteund door wetenschappelijk onderzoek, zijn actief op zoek naar overtreders en leggen aanzienlijke boetes op. Voor bedrijven is het essentieel om hun cookie-toestemmingsmechanismen kritisch te evalueren en te zorgen dat deze niet alleen voldoen aan de letter, maar ook aan de geest van de AVG: het faciliteren van een vrije, specifieke, geïnformeerde en ondubbelzinnige keuze voor de gebruiker.

Bronvermelding

[i] https://www.hoganlovells.com/en/publications/dutch-dpa-intensifies-cookie-enforcement-key-takeaways-

[ii] https://secureprivacy.ai/blog/gdpr-cookie-consent-requirements-2025

[iii] https://cookie-script.com/guides/is-your-cookie-consent-still-valid-in-2025

[iv] https://www.hoganlovells.com/en/publications/dutch-dpa-intensifies-cookie-enforcement-key-takeaways-

[v] https://cookieinformation.com/resources/blog/blog-swedish-dpa-imy-dark-patterns-april-2025/

[vi] https://www.lewissilkin.com/insights/2025/02/04/cnil-cracks-down-on-dark-patterns-in-cookie-banners-102jv0a

[vii] https://www.usenix.org/system/files/usenixsecurity24-bielova.pdf

[viii] https://doi.org/10.1016/j.cose.2023.103507

[ix] Idem viii

[x] Idem viii

[xi] https://cookieinformation.com/resources/blog/what-are-dark-patterns-in-cookie-banners/