Data analytics

Stop nou eens met die dubieuze cookiemeldingen [onderzoek & tips]

0

Stel je voor dat de winkelstraten weer open gaan. Enthousiast loop je een winkel binnen, maar bij de deur wordt er om allerlei informatie gevraagd. De medewerker loopt een vragenlijst met je door: “Vind je het goed dat we na afloop van je bezoek bijhouden welke winkels je nog meer bezoekt? En welke producten je bekijkt? Die info geven we dan ook door aan anderen, zodat zij en wij jou persoonlijke aanbiedingen kunnen doen.” Je voelt je hier misschien onprettig bij. Waarom wil die winkel dit? Waarom moet je deze toestemming geven voordat je überhaupt binnen bent? In plaats van naar binnen te stappen, maak je rechtsomkeert. Op zoek naar een winkel die je niet het hemd van het lijf vraagt.

Vind je dit een vreemd of vergezocht voorbeeld?

In de offline wereld komt dit gelukkig inderdaad niet voor. Maar in de online wereld gebeurt dit regelmatig, via cookies. Voor het meten en doorgeven van deze data geef je als bezoeker al dan niet toestemming via cookie-instellingen. In dit artikel onderzoek ik de cookiemeldingen van de 25 grootste e-commercepartijen in Nederland (zie afbeelding 1 voor een overzicht). De top-25 websites zijn bezocht op 19-02 en 22-02 in 2021. Vanwege privacyoverwegingen zijn de bezochte bedrijven die problematische cookie-praktijken in de cookiemelding hadden niet bij naam vermeld.

Slechts twee websites maken géén gebruik van drie veelvoorkomende problematische cookiepraktijken (8%, zie afbeelding 1). Dit waren de desktopversies van de websites van H&M en Nespresso.

88% van de onderzochte websites had minimaal één problematische cookiepraktijk gebruikt. Dit sluit aan bij andere onderzoeken die laten zien dat veel bedrijven zich niet goed aan de cookieregels houden (zie bijvoorbeeld recent onderzoek van de Consumentenbond). Een grootscheeps onderzoek van Nouwens en collega’s (2020) liet bijvoorbeeld zien dat slechts 11,8% van honderden onderzochte cookiemeldingen voldoet aan de GDPR-regels.

Dit kan en moet beter! In dit artikel geef ik daarom ook een voorbeeld van een klantvriendelijke cookiemelding. Daarnaast bespreek ik de gevolgen van zo’n klantvriendelijke cookiemelding voor experimenten (CRO).

Afbeelding met de drie problematische cookiepraktijken.

Afbeelding 1. Drie problematische cookiepraktijken met informatie over hoeveel deze voorkomen bij de websites van de Top 25 e-commercebedrijven (Twinkle, 2020). De websites zijn bezocht op 19-02-2021 (Top 10 bedrijven) en 22-02-2021 (Top 11-25 bedrijven). Één van de onderzochte websites toonde helemaal geen cookiemelding.

Drie problematische cookiepraktijken

Volgens de AVG is het meten van zogeheten ‘tracking- cookies alleen toegestaan als bezoekers ‘ondubbelzinnige’ toestemming hebben gegeven. Zie de website van de Autoriteit persoonsgegevens of de Rijksoverheid voor meer informatie over cookies en wetgeving. In deze blog behandel ik drie praktijken die veel voorkomen maar die niet zijn toegestaan omdat er geen ‘ondubbelzinnige’ toestemming wordt gegeven:

  1. Standaardinstellingen, waarbij alle cookiecategorieën al automatisch zijn aangevinkt. Het weigeren van cookies is daarmee moeilijker dan het accepteren ervan.
  2. Plaatsen van een cookiewall, waarbij bezoekers alleen toegang krijgen tot de website als zij de cookies accepteren.
  3. Passieve toestemming, waarbij wordt uitgegaan van toestemming als mensen doorklikken of swipen, zoals na het tonen van een informatiebalk.

Standaardinstellingen

De meest voorkomende praktijk die ik tegenkwam was een melding waarbij het accepteren van cookies de ‘default’ of standaard is. De kracht van zo’n default is niet te onderschatten. Uit wetenschappelijk onderzoek blijkt bijvoorbeeld dat 82% van de mensen orgaandonor wil zijn als ze zich actief zouden moeten afmelden (een zogenaamd opt-out-systeem), terwijl slechts 42% van de mensen orgaandonor wil zijn als ze zich actief moeten aanmelden (een zogenaamd opt-in-systeem) (Johnson & Goldstein, 2003).

Een veel voorkomend type cookiemelding.

Afbeelding 2. Een veel voorkomend type cookiemelding, waarbij misbruik wordt gemaakt van default-instellingen door het accepteren van cookies te presenteren als de enige keuze. Bedrijfsnaam/logo zijn verwijderd vanwege privacy.

Je kunt je voorstellen dat het presenteren van toestemming als de standaard optie dus verreikende gevolgen heeft voor de hoeveelheid bezoekers die akkoord gaat met de getoonde cookie-instellingen. Overigens is dit natuurlijk precies de reden waarom het tegenwoordig noodzakelijk is dat bezoekers actief instemmen met cookies. De manier waarop deze ‘actieve toestemming’ wordt ingevuld door veel bedrijven is echter niet in overeenstemming met de geest van de AVG, zoals blijkt uit de volgende voorbeelden.

De ‘hidden option’

Het merendeel (80%) van de websites die ik heb onderzocht maakt op de een of andere manier gebruik van default-toestemming. Dit neemt vaak de vorm aan van een knop waarmee je direct toestemming kan geven voor alle soorten cookies. In afbeelding 2 is bijvoorbeeld een specifieke variant van een default te zien, een hidden option, waarbij het accepteren van de cookies wordt gepresenteerd als de enige keuze (Goldstein et al., 2008). Dit maakt inbreuk op de vrije keuze van mensen, want het geeft de indruk dat er geen andere keuze is.

Uit wetenschappelijk onderzoek blijkt bovendien dat de invloed van deze praktijk behoorlijk stevig is. Het niet tonen van een opt-out-knop op de eerste pagina leidt namelijk tot 22-23% meer toestemming (Nouwens et al., 2020).

Geen vrije keuze

Meer algemeen viel mij op dat het weigeren van de toestemming in veruit de meeste gevallen meer moeite en/of tijd kost dan het accepteren van cookies. Ook dit zorgt ervoor dat een keuze minder ‘vrij’ is. Er zijn hierin grofweg twee smaken te onderscheiden.

  1. Het weigeren van de toestemming kan direct in de melding zelf, maar dit is wel lastiger dan het accepteren van de cookies.
  2. Het weigeren kan niet in de melding zelf maar alleen door instellingen te personaliseren.

Smaak 1

In afbeelding 2 zie je een voorbeeld van de eerste ‘smaak’:

  • Het weigeren van toestemming is minder opvallend. Het is geen knop, maar een hyperlink in kleine letters.
  • Weigeren kost meer cognitieve moeite. Je moet namelijk actief lezen en zoeken in de kleine lettertjes.
  • Weigeren kost meer lichamelijke moeite. Je moet precies op een klein stukje klikken, in plaats van op een grote button.
  • Het klikken op een button is gedrag dat we meer gewend zijn en dat om die reden ook makkelijker is.

Al deze verschillen zorgen ervoor dat het weigeren van cookies moeilijker is om uit te voeren dan het accepteren van de automatisch geselecteerde instellingen (Fogg, 2009).

Smaak 2

In afbeelding 3 zie je een voorbeeld van de tweede ‘smaak’ .

  • Bezoekers die cookies willen weigeren moeten hier extra acties uitvoeren die tijd en moeite kosten. Dit zijn wederom dingen die het uitvoeren ervan moeilijker maken voor de bezoeker (Fogg, 2009). Waar het verlenen van toestemming met één druk op de knop geregeld is, kan het weigeren van toestemming alleen door een aantal extra handelingen te voltooien.
  • Bovendien werd op de vervolgpagina, waar je de instellingen kunt aanpassen, wederom veelvuldig gebruik gemaakt van tactieken om het weigeren van toestemming lastiger te maken dan het geven van toestemming.
Voorbeeld van cookies die misleiden.

Afbeelding 3. Een voorbeeld van een problematische cookiemelding waarbij het weigeren van toestemming meer moeite vergt dan het verlenen van toestemming.

Eén onderzochte website maakte het overigens wel heel bont (afbeelding 4). Deze cookiemelding lijkt op het eerste gezicht namelijk keurig. Alleen functionele cookies staan aangevinkt en de rest staan uit. Dit geeft dus de indruk dat de getoonde instellingen worden opgeslagen door op de groene button te klikken.

Niets is minder waar. Door het klikken op de groene button wordt opeens toestemming gegeven voor alle soorten cookies. Wat mij betreft is dit pure misleiding want de bezoeker wordt hier volledig op het verkeerde been gezet. Dit beschouw ik dan ook als een van de meest kwalijke cookiemeldingen die ik heb gezien.

Een misleidende cookiemelding.

Afbeelding 4. Een cookiemelding die de illusie geeft dat door het klikken op de groene knop de getoonde instellingen worden opgeslagen.

Cookiewall en passieve toestemming

Een echte cookiewall, waarbij de website niet te bezoeken is zonder cookies te accepteren, heb ik niet gezien. Wat wel bij 40% van de onderzochte websites voorkwam was een mildere cookiewall, waarbij het niet mogelijk was om de website goed te gebruiken zonder op de cookiemelding te reageren. Bij deze milde cookiewall:

  • verscheen de cookiemelding op de voorgrond.
  • was de website zelf niet (goed) zichtbaar en/of niet klikbaar.
  • was het niet mogelijk om de cookiemelding weg te klikken zonder cookies te accepteren, te weigeren of instellingen aan te passen.

Dit ging veelal hand in hand met het gebruik van de standaardinstellingen die hierboven beschreven staan. Het veelvuldige gebruik van deze milde cookiewall zorgde er in ieder geval voor dat gebruikmaken van passieve toestemming nauwelijks voorkwam.

Er was dan ook slechts één website die gebruikmaakte van passieve consent. Deze website toonde een kleine informatiebalk onderin het scherm, met daarin de melding dat cookies automatisch werden gemeten bij gebruik van de website. Deze melding kon afgesloten worden (waarmee dus automatisch toestemming verleend werd), maar er was geen mogelijkheid om cookies uit te schakelen. Dit was daarmee gelukkig het enige voorbeeld van een cookiemelding die ronduit in tegenspraak is met de huidige wetgeving.

Betere cookiemeldingen: H&M en Nespresso

‘Hoe moet het dan wel?’ Vraag je je nu natuurlijk af. Zoals hierboven al benoemd, waren er slechts twee websites waar geen van de drie problematische cookiepraktijken voorkwamen. In afbeelding 5 zie je de cookiemelding van H&M.

Screenshot van de website van H&M.

Afbeelding 5. Cookiemelding van H&M, verkregen op 19-02-2021.

Positief bij deze cookiemelding is dat toestemming hier duidelijk vrijwillig wordt gegeven. Cookies weigeren is even makkelijk als cookies accepteren. De knoppen zijn even groot, en de actie die je uitvoert is hetzelfde. Ook kun je de website op je desktop gebruiken zonder op de melding te reageren, alhoewel deze nog wel flink wat ruimte inneemt aan de linkerkant van het scherm. Op mobiel is dit overigens effectief een milde cookiewall, omdat de melding vrijwel het hele beeldscherm in beslag neemt.

Bij Nespresso (afbeelding 6) is de melding op desktop nog prettiger omdat deze onderop de pagina staat. Hierdoor kun je de website beter gebruiken zonder op de cookiemelding te reageren. Wederom geldt dit alleen voor desktopgebruikers, want op mobiel is de melding zodanig groot dat vrijwel het hele scherm erdoor in beslag wordt genomen. Ook in deze melding is het even makkelijk om cookies te accepteren als om ze te weigeren, namelijk door middel van één druk op de knop.

Screenshot van de website van Nespresso.

Afbeelding 6. Cookiemelding van Nespresso, verkregen op 22-02-2021.

Best practice

Wat is nou een echt klantvriendelijke cookiemelding? Die is te zien in afbeelding 7. De knoppen voor weigeren en accepteren van cookies hier zijn even groot en even duidelijk. Het is dus net zo makkelijk om cookies te accepteren als te weigeren. De website is goed te gebruiken zonder op de melding te reageren, de melding zit namelijk onderin het scherm en neemt weinig ruimte in beslag.

Bovendien is het mogelijk om de melding weg te klikken. Dan worden ook alleen noodzakelijke cookies opgeslagen. Ook is het in deze melding mogelijk om de instellingen verder te personaliseren. Door hierop te klikken komt er een balkje onderin de melding waarbij je specifieke cookies aan of uit kunt zetten. Dit is dus op dezelfde pagina, met zo min mogelijk extra handelingen mogelijk. Voel je vrij om deze cookiemelding te kopiëren op je eigen website.

voorbeeld van een juiste melding voor het accepteren van cookies.

Afbeelding 7. Voorbeeld van een klantvriendelijke cookiemelding, waarbij weigeren van cookies even makkelijk is als het accepteren. Ook is het mogelijk de website goed te gebruiken zonder op de melding te reageren, en kan de melding makkelijk worden weggeklikt.

Maar… hoe moet ik nu experimenteren?

Natuurlijk is het voor een bedrijf prettig als zoveel mogelijk bezoekers alle cookies accepteren. Dit maakt gericht adverteren mogelijk en makkelijk. Dit zou natuurlijk geen rechtvaardiging mogen zijn voor het gebruik van cookiepraktijken die niet conform wet- en regelgeving zijn.

Experimenteren op je website is overigens goed mogelijk als bezoekers alleen noodzakelijke cookies accepteren. Voor experimenteren zijn namelijk slechts analytische cookies nodig, en die vallen (over het algemeen) onder noodzakelijke cookies. Analytische cookies zijn volgens de website van de rijksoverheid toegestaan, omdat deze nauwelijks gevolgen hebben voor privacy van je bezoekers. Dit betekent dus ook dat er geen negatieve gevolgen zijn voor de bezoekersaantallen in je experimenten als bezoekers alleen de noodzakelijke cookies accepteren.

De meeste websites die experimenteren gebruiken een vendor om deze experimenten te beheren (zoals het aan- en uitzetten en bijhouden wie welke variant gezien heeft). Dit gaat door middel van first-partycookies. Als het goed is, houden deze vendors zich keurig aan de privacyregels. Het kan natuurlijk geen kwaad om even bij jouw vendor te checken welke data wordt opgeslagen tijdens het experimenteren en of er geen gepersonaliseerde data wordt opgeslagen.

Google Analytics

Als je in Google Analytics ook gebruik wil maken van niet-anonieme mogelijkheden zoals remarketing, kun je ervoor kiezen om twee verschillende properties in Google Analytics aan te maken. Eentje is anoniem en zonder remarketing (die gebruik je om te experimenteren) en eentje is niet-anoniem en gebruikt wel remarketing. Deze tweede property laad je pas als cookies worden geaccepteerd. De analyse van experimenten is altijd op geaggregeerde data en vormt dus geen probleem. Er worden immers geen persoonlijke gegevens gebruikt.

Zo makkelijk mogelijk & conform wetgeving

Ondanks dat sommige (aspecten van) cookiemeldingen niet zijn toegestaan, komen deze in de praktijk toch veel voor. Voor dit artikel onderzocht ik de websites van 25 top e-commercebedrijven. Bij slechts 2 van deze websites kwam ik geen problematische cookiemelding tegen.

Bedrijven willen graag veel data verzamelen over hun bezoekers. Desondanks is het belangrijk – en wettelijk verplicht – om hier op de juiste manier mee om te gaan. Elk bedrijf bestaat uiteindelijk bij de gratie van haar klanten. Laten we de klanten dan ook het respect geven dat ze verdienen door zorgvuldig met hen en hun data om te gaan. Maak het je bezoekers net zo makkelijk om cookies te weigeren als te accepteren – elke onnodige klik is er eentje teveel.