Een overgrote meerderheid van de Europese webgebruikers kiest ervoor hun privacy te beschermen door tracking cookies te weigeren. Dat wil zeggen als zij daartoe een eerlijke en oprechte keuze zouden krijgen, slechts 0,1 procent kiest ervoor om alle cookie-categorieën in te schakelen.
Dat blijkt uit een gezamenlijk onderzoek van academici aan de Duitse Ruhr-Universiteit Bochum en de Universiteit van Michigan in de VS genaamd (Un)informed Consent: Studying GDPR Consent Notices in the Field.
Het onderzoek richt zich op de manier waarop Europese consumenten omgaan met de toestemmingsmechanismen voor cookies. Deze hebben zich in grote aantallen verspreid sinds de Europese General Data Protection Regulation (GDPR) mei vorig jaar van kracht werd. Het rapport brengt een allesbehalve vleiend licht op de wijdverbreide manipulatie van een systeem, dat geacht wordt de consumentenrechten te beschermen, aldus TechCrunch.
Beïnvloeden privacykeuzes
De GDPR legt strenge boetes op voor wie de regels niet naleeft. Dat heeft als gevolg dat veel websites disclaimers implementeerden waarop ze aangeven hoe ze met data van bezoekers omgaan. Die pop-ups nemen heel wat verschillende vormen aan. In het onderzoek wordt gekeken naar hoe consumenten omgaan met die verschillende ontwerpen van pop-ups van cookies. De wetenschappers kijken verder naar hoe verschillende ontwerpkeuzes de privacykeuzes van mensen kunnen beïnvloeden. Bovendien suggereert het onderzoek dat internetgebruikers een zekere mate van verwarring ondervinden over hoe cookies werken.
De onderzoekers verzamelden informatie aan de hand van 5.000 cookiemeldingen van toonaangevende websites, allen voorzien van verschillende mechanismen voor toestemming. Daarbij werkten ze gedurende vier maanden samen met een Duitse e-commerce website. Ze onderzochten hoe meer dan 82.000 unieke bezoekers van de site interactie hadden met verschillende cookie-toestemmingsontwerpen. De onderzoekers hadden de kans om de pop-ups bewust te tweaken. Ze wilden op deze manier achterhalen hoe verschillende standaardinstellingen en ontwerpkeuzes de privacy-keuzes van individuen beïnvloedden.
Nutteloze bevestigingsknop
Zo bleek dat het merendeel van cookietoestemmingen onderaan het beeldscherm staat (58 procent). Ruim 93 procent daarvan blokkeert de interactie met de website niet en in 86 procent van de gevallen is sprake van een nutteloze bevestigingsknop.
Ruim 57 procent van de websites geeft gebruikers een duwtje in de richting van toestemming. Dat doen ze door bijvoorbeeld een donker patroon te gebruiken, zoals de knop ‘Akkoord’ met een kleur te markeren. Ondanks dat bijna alle cookiemeldingen (92 procent) een link naar het privacybeleid van de site bevatten, vermeldt slechts 39 procent het specifieke doel van de gegevensverzameling. Ook wie toegang heeft tot de gegevens (21 procent) wordt onvoldoende vermeld.
‘Niet conform Europese privacywetgeving’
“Gezien de wettelijke vereisten voor expliciete, geïnformeerde toestemming, is het duidelijk dat de overgrote meerderheid van kennisgevingen voor cookies niet voldoet aan de Europese privacywetgeving. Onze resultaten tonen aan, dat een redelijk aantal gebruikers bereid is om de interactie met cookie-notificaties aan te gaan. Het gaat vooral om mensen die voor de opt-out willen kiezen, of juist niet voor de opt-in willen gaan. Helaas respecteren de huidige implementaties dit niet altijd en biedt de grote meerderheid van de pop-ups geen zinvolle keuze”, aldus de onderzoekers.
Volgens de onderzoekers blijkt ook dat hoe meer keuzes in een cookiemelding worden aangeboden, hoe groter de kans is dat bezoekers het gebruik van cookies weigeren. “De resultaten laten zien dat duwtjes en voorselectie een grote impact hebben op beslissingen van gebruikers, wat eerder werk bevestigt. Het laat ook zien dat de GDPR-vereiste van privacy als standaard moet worden gehandhaafd om ervoor te zorgen dat kennisgevingen expliciete toestemming verzamelen.”
“Onze resultaten tonen aan dat slechts 0,1 procent van de gebruikers effectief toestemming zou geven voor het gebruik van data door derden wanneer de vereisten van de GDPR correct worden geïmplementeerd”, concluderen de onderzoekers.
Gerelateerd: Duitsland vaardigt richtlijn uit voor veilige congifuratie webbrowser