Dark patterns i cookiebanners — vilka knep är otillåtna?
Dark patterns — eller "deceptive design patterns" som EU:s dataskyddsmyndigheter kallar dem — är designval som styr besökaren mot ett ja i stället för att låta hen välja fritt. I cookiebanners är de vanliga: kategorier som redan är ikryssade, samtycken som inte går att ångra, avvisa-knappar som hamnar utanför mobilskärmen. Problemet är inte bara etiskt. Ett samtycke som styrts eller lurats fram är inte frivilligt — och ett ofrivilligt samtycke är ogiltigt. Här går vi igenom knepen, var gränsen går och hur du testar din egen banner.
Vad säger lagen?
GDPR definierar samtycke som frivilligt, specifikt, informerat och otvetydigt (artikel 4.11), och artikel 7 lägger till kvalitetskraven — bland annat att det ska vara lika lätt att återkalla ett samtycke som att ge det (artikel 7.3). Varje dark pattern angriper något av de kraven: förval undergräver otvetydigheten, en omöjlig återkallelse bryter mot artikel 7.3, och en avvisa-knapp som inte går att nå gör valet ofrivilligt.
EU-domstolen satte ner foten i Planet49-domen (C-673/17, 2019): förikryssade rutor är inte giltigt samtycke. Och EDPB — de europeiska dataskyddsmyndigheternas samarbetsorgan — beskriver i riktlinjerna 03/2022 hela familjen av mönster som lurar eller styr användare: förval, visuell styrning, gömda alternativ och en krångligare väg för nej än för ja.
Två av de mest omdiskuterade knepen — en avvisa-knapp som göms bakom menyer eller tonas ner jämfört med acceptera, och cookie walls som tvingar fram ett ja — granskar vi som egna kontroller och beskriver på en egen sida. Här fokuserar vi på tre andra knep som är minst lika vanliga: förikryssade kategorier, samtycken som inte går att ångra och avvisa-knappar som försvinner på mobilen.
Förikryssade kategorier — valet är redan gjort
Det äldsta knepet är också det tydligast underkända: bannern öppnas med statistik- och marknadsföringskategorierna redan ikryssade, och besökaren som klickar "Spara mina val" tror sig ha gjort ett aktivt val — fast kryssen var satta i förväg.
Det var exakt den konstruktionen EU-domstolen underkände i Planet49: ett giltigt samtycke kräver en aktiv handling från besökaren, och en ruta som någon annan kryssat i säger ingenting om vad besökaren faktiskt ville. Strikt nödvändiga cookies behöver inget samtycke och får vara förvalda — men alla icke-nödvändiga kategorier måste börja avkryssade.
Samtycket som inte går att ångra
Artikel 7.3 är tydlig: det ska vara lika lätt att återkalla ett samtycke som att ge det. I praktiken ser det ofta annorlunda ut. Bannern visas en gång, besökaren klickar acceptera, bannern försvinner — och med den hela möjligheten att ändra sig. Inget kugghjul i hörnet, ingen länk i sidfoten, ingen inställningssida att hitta tillbaka till.
Då är samtycket lätt att ge men i praktiken omöjligt att återkalla — raka motsatsen till vad lagen kräver. Besökaren ska inte behöva rensa webbläsarens cookies eller gissa sig fram för att ta tillbaka ett val som gjordes med ett klick.
Avvisa-knappen som försvinner på mobilen
En banner som designats och testats på en stor datorskärm kan se helt annorlunda ut på en mobil. När innehållet inte får plats klipps det nedersta bort — och det som hamnar under vikningen är påfallande ofta just avvisa-knappen. Mobilbesökaren ser en text och en stor acceptera-knapp; att det fanns ett nej-alternativ framgår aldrig.
Att knappen tekniskt finns i koden hjälper inte. För besökaren som aldrig kan se eller nå den finns inget verkligt val — samma frivillighetsproblem som en gömd knapp på desktop. Och felet upptäcks sällan, eftersom den som byggde bannern testade den på sin egen datorskärm.
Så testar CompliantHQ det här
Alla tre kontrollerna är deterministiska — skannern mäter vad bannern faktiskt gör, inte vad cookiepolicyn påstår. Förikryssade icke-nödvändiga kategorier upptäcks och flaggas direkt i banner-granskningen.
Skannern kontrollerar också att det är lika lätt att ångra ett samtycke i efterhand som det var att ge det — finns det ingen rimlig väg tillbaka efter ett acceptera flaggas det.
Och eftersom mobilen inte är desktop laddar skannern bannern i mobilvy och kontrollerar att avvisa-knappen är nåbar — inte bortskuren eller gömd under vikningen. Alla tre kontrollerna ingår redan i provperioden.
Så åtgärdar du
- Låt alla icke-nödvändiga kategorier vara avkryssade när bannern öppnas — bara strikt nödvändiga cookies får vara förvalda.
- Skapa en permanent väg tillbaka till valet: en länk i sidfoten eller en flytande ikon som öppnar cookie-inställningarna igen, när som helst.
- Behandla ett återkallat samtycke som ett nej — spårningen ska upphöra, inte bara inställningen ändras.
- Testa bannern i riktiga mobilmått, inte bara i ett krympt webbläsarfönster. Både acceptera och avvisa ska synas och gå att trycka på utan att scrolla.
- Gå igenom bannern mot EDPB:s mönsterlista: inga förval, ingen visuell styrning mot ja, inga gömda alternativ, ingen längre väg för nej än för ja.
Det här ingår i granskningen
- Att inga icke-nödvändiga kategorier är förikryssade i bannern.
- Att det är lika lätt att ångra sitt samtycke i efterhand som det var att ge det.
- Att avvisa-knappen är nåbar även på en mobilskärm — inte bortskuren eller gömd under vikningen.
Vanliga frågor
Är förikryssade rutor i cookiebannern tillåtna?
Nej. EU-domstolen slog fast i Planet49-domen (C-673/17) att förikryssade rutor inte är giltigt samtycke — besökaren måste göra ett aktivt val. Endast strikt nödvändiga cookies, som inte kräver samtycke, får vara förvalda.
Måste besökaren kunna ångra sitt samtycke i efterhand?
Ja. Enligt GDPR artikel 7.3 ska det vara lika lätt att återkalla ett samtycke som att ge det. En permanent ingång — till exempel en sidfotslänk som öppnar inställningarna igen — är det enklaste sättet att uppfylla kravet.
Vad är en dark pattern i en cookiebanner?
Ett designknep som lurar eller styr besökaren mot ett ja: förikryssade val, visuell styrning, gömda alternativ eller en krångligare väg för nej än för ja. EDPB beskriver mönstren i riktlinjerna 03/2022 — och ett samtycke som styrts fram på det sättet riskerar att vara ogiltigt.
Min banner fungerar på datorn — räcker det?
Nej. En banner som ser korrekt ut på desktop kan klippa bort avvisa-knappen på en mobilskärm, och då har mobilbesökarna inget verkligt val. Testa i mobilvy — det gör vår skanner automatiskt.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.