Cookiebanner dark patterns: welke trucs zijn verboden in België?
Steven | TrustYourWebsite · 20 april 2026 · Laatst bijgewerkt: april 2026
Sinds 2024 behandelen Europese toezichthouders cookiebannerdesign niet meer als een kwestie van smaak. De CNIL legde op 3 september 2025 boetes op van 325 miljoen euro aan Google en 150 miljoen euro aan Shein voor cookiebanner-overtredingen. In België legde de GBA Mediahuis een dwangsom op van 25.000 euro per dag per site voor vier perswebsites. RTL Belgium kreeg in beslissing 131/2024 eveneens een tik. Dit artikel brengt twaalf dark patterns in kaart, gerangschikt op toezichthouderconsensus, en koppelt ze aan wat de EDPB als verboden, ontraden of best practice kwalificeert.
Voor de specifieke GBA-regels rond cookiebanners in België, zie het aparte artikel over de cookiebanner GBA-regels.
Gebruikt jouw cookiebanner dark patterns?
Onze scanner klikt op 'alles weigeren' en controleert daarna of trackers toch doordraaien.
De EDPB-taxonomie: zes categorieen
Het European Data Protection Board publiceerde in 2022 de Guidelines 03/2022 (versie 2.0, 14 februari 2023) met een taxonomie van zes categorieen dark patterns. De Cookie Banner Taskforce (rapport 18 januari 2023) paste deze specifiek toe op cookiebanners.
Overloading betekent het overstelpen van de gebruiker met informatie, verzoeken of opties om vermoeidheid te veroorzaken. Bij cookiebanners vertaalt zich dat in eindeloze lijsten van individuele cookies waarvoor de gebruiker per stuk toestemming moet geven, terwijl "alles accepteren" in een klik kan.
Skipping is het ontwerpen van de interface zodat de gebruiker de keuze overslaat. Een banner die automatisch verdwijnt na een paar seconden en dat als toestemming registreert, valt hieronder.
Stirring speelt in op emoties of gebruikt visuele nudging. De klassieke groene "accepteer"-knop naast het grijze "weigeren"-linkje is het bekendste voorbeeld.
Hindering maakt het moeilijker om een privacyvriendelijke keuze te maken dan de standaardkeuze. Drie klikken om te weigeren, een klik om te accepteren.
Fickle betekent inconsistent ontwerp: de uitleg over cookies zegt het een, de daadwerkelijke verwerking doet iets anders.
Left in the dark houdt informatie achter of presenteert het op een verwarrende manier. Marketingcookies als "functioneel" bestempelen valt hieronder.
De twaalf patronen, gerangschikt op consensus
| Patroon | EDPB-categorie | Consensus | Leidende handhaving |
|---|---|---|---|
| 1. Trackers laden voor toestemming | Fickle | Unaniem | Yahoo EUR 10M, Google EUR 325M |
| 2. Pre-ticked checkboxes | Skipping | Unaniem | Planet49 (C-673/17) |
| 3. Geen reject-all op eerste laag | Hindering | Meerderheid | GBA Mediahuis 113/2024, CNIL |
| 4. Asymmetrisch knopdesign | Stirring | Unaniem | GBA groen/grijs, CNIL dec. 2024 |
| 5. Meer klikken om te weigeren dan te accepteren | Hindering | Unaniem | Google EUR 150M (2021) |
| 6. Marketingcookies als "functioneel" classificeren | Left in the dark | Unaniem | Taskforce par. 3.5 |
| 7. Gerechtvaardigd belang voor advertentiecookies | Left in the dark | Unaniem | Taskforce par. 3.6, GBA Mediahuis |
| 8. Toestemming door "verder browsen" | Skipping | Unaniem | CNIL 2020-091 par. 27 |
| 9. Ontbrekende of asymmetrische intrekkingsmogelijkheid | Fickle | Unaniem | AVG art. 7(3) |
| 10. Cookiewall zonder betaald alternatief | Hindering | Meerderheid verboden | CNIL Delib. 2023-010 |
| 11. Ambigue of emotionele formulering | Stirring | Meerderheid | CNIL dec. 2024 formele aanmaningen |
| 12. Banner opnieuw tonen na weigering | Overloading | Meerderheid | CNIL zes-maanden norm |
Trackers voor toestemming is het zwaarst gesanctioneerde patroon. De CNIL beboette Yahoo voor 10 miljoen euro in 2023 en Google voor 325 miljoen euro in 2025 omdat trackers al actief waren voordat de bezoeker een keuze had gemaakt.
Pre-ticked checkboxes zijn sinds het Planet49-arrest (HvJEU C-673/17) ondubbelzinnig verboden. Toestemming vereist een actieve handeling. Vooraf aangevinkte vakjes zijn geen toestemming.
Geen reject-all op de eerste laag is een meerderheidstandpunt, geen unanieme positie. De EDPB Cookie Banner Taskforce noemt dit expliciet als punt waarover niet alle toezichthouders het eens zijn. De GBA bevestigde de verplichting in de Mediahuis-beslissing 113/2024. De CNIL verplicht het eveneens. De epistemische eerlijkheid is dat dit geen abstract-unanieme eis is.
Asymmetrisch knopdesign is unaniem problematisch. Er is geen vaste WCAG-drempel in de EDPB-tekst, maar kleurverschil, elementtype (link vs. knop), lettergrootte en positie worden herhaaldelijk als bewijs gebruikt.
Gerechtvaardigd belang voor advertentie- en trackingcookies is unaniem verboden. De Taskforce stelt in paragraaf 3.6 dat gerechtvaardigd belang geen geldige grondslag is voor het plaatsen van niet-functionele cookies. De GBA bevestigde dit in de Mediahuis-beslissing.
Cookiewall zonder betaald alternatief is door de meerderheid verboden. De CNIL hanteert het standpunt dat een cookiewall alleen is toegestaan als er een redelijk betaald alternatief is. Niet alle toezichthouders delen dit standpunt.
België: GBA-handhaving en de IAB Europe-saga
De GBA is de meest actieve Belgische toezichthouder op cookiebanners. Drie zaken bepalen het landschap.
Mediahuis (beslissing 113/2024, 6 september 2024). De GBA legde een dwangsom op van 25.000 euro per dag per site voor vier perswebsites (waaronder De Standaard en Het Nieuwsblad). De overtredingen: geen reject-knop op de eerste laag, asymmetrisch knopdesign en het gebruik van gerechtvaardigd belang voor advertentiecookies. Dit is de zwaarste cookiebannersanctie in België tot nu toe.
RTL Belgium (beslissing 131/2024). Ook RTL Belgium werd aangepakt voor vergelijkbare dark patterns in de cookiebanner. De beslissing bevestigt dat de GBA systematisch handhaaft, niet alleen tegen Vlaamse media.
IAB Europe en het Transparency & Consent Framework (TCF). De GBA nam in beslissing 21/2022 het standpunt in dat IAB Europe medeverantwoordelijke is voor de verwerking via het TCF. IAB Europe ging in beroep. Het Hof van Justitie oordeelde in C-604/22 (7 maart 2024) dat de TC-string persoonsgegevens is en dat IAB Europe als medeverantwoordelijke kan worden aangemerkt. Het Brusselse Marktenhof bevestigde op 14 mei 2025 de kernbeslissing van de GBA. IAB Europe heeft het TCF inmiddels bijgewerkt naar versie 2.2, maar deze versie is nog niet getoetst door een toezichthouder. Als je site een CMP gebruikt dat op het TCF draait, is het verstandig om te volgen hoe dit zich ontwikkelt.
Wat de scanner daadwerkelijk test
De scanner van TrustYourWebsite heeft een uniek kenmerk dat direct aansluit bij het zwaarst gesanctioneerde patroon: na het klikken op "alles weigeren" controleert de scanner het netwerkverkeer opnieuw op doorlopende trackers. Specifiek detecteren we of Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag of Criteo na een reject-actie toch nog data versturen. Dit komt overeen met de kernbevinding in de CNIL Yahoo-zaak (10 miljoen euro).
Daarnaast detecteert de scanner asymmetrisch knopdesign (CSS contrast-ratio, elementtype a vs. button, font-weight), de aanwezigheid van een reject-knop op de eerste laag, pre-ticked checkboxes, cookiewalls, ontbrekende intrekkingsmogelijkheid en het gebruik van gerechtvaardigd belang voor advertentiecookies.
Alle bevindingen zijn technische signalen, geen juridische verdicts. De scanner kan vaststellen dat een tracker actief is na reject. De scanner kan niet beoordelen of de juridische grondslag voor die tracker klopt.
Verboden, ontraden of best practice
Verboden (expliciete DPA/rechterlijke uitspraken): pre-ticked checkboxes, trackers voor toestemming, doorlopende trackers na reject, gerechtvaardigd belang voor marketingcookies, toestemming door verder browsen, ontbrekende intrekkingsmogelijkheid.
Meerderheidconsensus, niet abstract-unaniem: reject-all op de eerste laag. De Taskforce merkt dit specifiek op als punt waarover de meningen verdeeld zijn. De GBA volgt het meerderheidsstandpunt, maar de epistemische eerlijkheid vereist dat we dit vermelden.
Per geval: knopkleur, grootte en contrast. Er is geen vaste WCAG-drempel in de EDPB-tekst. De parameters worden wel herhaaldelijk als bewijs gebruikt.
Best practice: persistent intrekkingsicoon (klein icoontje linksonder of rechtsonder dat altijd zichtbaar is), 6-maanden verversing van toestemming, gelaagde transparantie.
De machinerie is in werking
Dark-pattern handhaving heeft een grens overschreden. In 2024 was de vraag of toezichthouders zouden optreden. In 2026 is de vraag hoe snel ze kunnen opschalen. De GBA Mediahuis-dwangsom van 25.000 euro per dag per site toont dat passiviteit een prijskaartje heeft. De Google-boete van 325 miljoen euro laat zien wat er gebeurt als je het probleem lang genoeg negeert.
Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Scan je site gratisWebsite-handleidingen
Identificatiegegevens op je website in Belgie: WER-verplichtingen
De verplichte identificatiegegevens voor Belgische websites. WER Boek XII Art. XII.6, KBO-nummer, tweetalige verplichting en FOD Economie-toezicht.
EAA toegankelijkheidswet voor webshops in Belgie
De EAA is afdwingbaar sinds 28 juni 2025 in Belgie. Belgische Toegankelijkheidswet 2023, FOD Economie-toezicht en micro-onderneming vrijstelling.