Dark patterns verboden 2026 — wat mag nog?

TL;DR Sinds 17 februari 2024 verbiedt de DSA voor "online platforms" de zwaarste dark patterns (verkleed verbergen, verwarrende menu's, dwangmatige flows). Voor MKB-websites met cookies + e-commerce gelden de AVG-eisen al sinds 2018, maar handhaving is strenger in 2026. Wat wij niet meer doen: grijze "weiger"-knoppen, automatisch geselecteerde upsell-vinkjes, countdown-timers zonder echte basis, en pre-checked nieuwsbrief-vinkjes.

Wat zijn dark patterns precies?

De term komt van Harry Brignull (2010). Dark patterns zijn UX-keuzes die bewust zijn ontworpen om gebruikers te misleiden naar acties die niet in hun belang zijn. De EU heeft het in 2023 officieel gedefinieerd: "practices that materially distort or impair the ability of the recipient to make autonomous and informed choices".

Niet alle manipulatie is dark. Een prominente "Bel ons"-knop is geen dark pattern. Een verborgen opzegknop wel. Het onderscheid zit in: kan de gebruiker een geïnformeerde keuze maken zonder druk?

Wat is er sinds 2024-2025 wettelijk verboden?

Via de Digital Services Act (sinds 17 feb 2024)

De DSA verbiedt voor online platforms (denk: marktplaatsen, social media, app stores) expliciet:

Visueel prominenter maken van één keuze ten opzichte van andere
Herhaaldelijk vragen om een keuze die de gebruiker al gemaakt heeft
Het moeilijker maken om een dienst te beëindigen dan om hem te starten
Verwarrende of misleidende keuzes voorleggen

Boetes: tot 6% van wereldwijde jaaromzet. Voor MKB: de DSA geldt strikt genomen alleen voor "online platforms" — dat is niet jouw infosite. Maar de Autoriteit Consument & Markt (ACM) trekt vergelijkbare lijnen voor webshops onder de Wet oneerlijke handelspraktijken.

Via de EAA (sinds 28 juni 2025)

De EAA verplicht WCAG 2.2 AA. Veel dark patterns falen automatisch: ze zijn slecht bedienbaar met toetsenbord, hebben slechte contrast of zijn niet schermlezer-vriendelijk. Zie EU Accessibility Act-artikel.

Via de AVG (sinds 2018, handhaving in 2025-2026 verscherpt)

Concreet voor cookies: "weiger" moet net zo prominent zijn als "accepteer". Pre-checked vinkjes voor tracking-cookies zijn altijd al verboden geweest. De Autoriteit Persoonsgegevens deelde in 2024-2025 meerdere boetes uit aan NL-bedrijven die dit overtraden.

10 dark patterns die ik niet meer in MKB-sites zet

Grijze "weiger"-knop op cookie-banner. Beide knoppen even prominent. Punt.
Roach-motel-checkout. Account aanmaken makkelijk, opzeggen verstopt in 4 menu's. Verboden via DSA.
Confirmshaming. "Nee, ik wil niet besparen op mijn rekening" als afwijs-tekst. Manipulatief.
Pre-checked nieuwsbrief-vinkje. Altijd verboden onder AVG, vaak nog steeds aanwezig.
Fake countdown-timers. "Nog 2 min en de korting is weg!" — als de timer reset bij refresh = misleiding.
Fake schaarste. "Nog 3 op voorraad!" zonder echte basis. Bij booking.com zijn hier eerder boetes voor gevallen.
Hidden costs at checkout. "Bezorgkosten" + "service fee" + "verwerkingsfee" die pas op stap 5 zichtbaar worden.
Forced continuity. Gratis proef die automatisch overgaat in betaald, zonder duidelijke melding.
Disguised ads. Advertenties die eruit zien als content of als systeembericht.
Trick questions. Dubbele negatie in formulieren ("Geen toestemming niet ontvangen?").

Wat mag wel?

Persuasion is niet hetzelfde als dark pattern. Het verschil zit in: krijg ik genoeg informatie om te kiezen, en is de keuze omkeerbaar?

Eén CTA-knop prominenter dan secundaire actie (mits beide toegankelijk)
Sociale bewijslast met échte cijfers ("345 klanten in 2025")
Schaarste met échte basis ("12 plekken voor maart")
Korting met duidelijke voorwaarden en einddatum
Upsell-vraag op checkout (niet pre-checked)
Reminder-mails voor verlaten winkelmandjes (max 2, met opt-out)

Waarom ik dit zelf serieus neem (los van wet)

Het is niet alleen wettelijk. Bij DesignCheck Mijdrecht werken we met MKB-klanten die hun klanten kennen — hovenier, schoenmaker, elektricien. Een gemanipuleerde klant is een eenmalige klant. Een goed-geïnformeerde klant komt terug en stuurt anderen. Voor lokaal MKB werkt vertrouwen, niet trucs.

Bovendien: 2 op de 3 NL-consumenten zegt expliciet dark patterns te herkennen en weg te klikken bij sites die ze gebruiken (Consumentenbond, 2024). Voor B2C-MKB is dark UX dus ook commercieel verlies.

Wat kost niet-compliance?

Cijfers uit handhaving 2024-2025:

AP-boete voor pre-checked vinkjes bij verzekeraar: €475.000
Booking.com fake-schaarste-boete (Italië): €3.6M
ACM-boete voor verborgen kosten webshop: €350.000

Voor MKB realistischer: reputatieschade en bekeuringen onder de Wet oneerlijke handelspraktijken (max €900.000, in praktijk vaak €5.000-€50.000).

Hoe weet je of jouw site dark patterns heeft?

Drie tests:

Vraag iemand die je site nooit heeft gezien om "uit te schrijven voor de nieuwsbrief" of "een account te verwijderen". Hoe lang doet die persoon erover?
Klik op je eigen cookie-banner. Zijn "accepteer" en "weiger" visueel gelijkwaardig?
Doe een fake-checkout in je webshop. Op welke stap zie je voor het eerst de totaalprijs inclusief alle fees?

Of vraag de gratis DesignCheck-audit — daarin checken we expliciet op de 10 meest voorkomende dark patterns op MKB-sites. Een refresh om alles in orde te brengen kost €1.995, zie prijzen.

Wat je verliest aan slechte UX

Naast wettelijke risico's verlies je conversie. Bezoekers die zich genaaid voelen klikken weg. De verliescalculator rekent door wat je per maand misloopt door slechte UX en frictie in checkout-flows.

FAQ — dark patterns 2026

Geldt de DSA voor mijn MKB-site?

De DSA zelf alleen voor "online platforms" (markets, social media). Maar de geest ervan + handhaving via ACM/AP geldt voor élke commerciële site. Verstandige aanname: het geldt voor jou.

Mag ik nog een prominente "Koop nu"-knop hebben?

Ja. Eén CTA prominenter dan alternatieven mag, mits alternatieven (terug, info, contact) duidelijk vindbaar blijven. Dark pattern = pas als je de andere keuzes onmogelijk maakt.

Wat met fake reviews?

Sinds 2022 strafbaar onder de Wet oneerlijke handelspraktijken. Echte boetes, vaak via ACM. Ook: niet alleen fake reviews, maar ook "verzonnen klanten" tonen.

Doet DesignCheck audits specifiek op dark patterns?

Ja, onderdeel van de gratis audit. Specifiek voor webshops doen we ook een diepere UX-audit (€450 vast) waarin we de hele checkout-flow doorlopen op manipulatieve patronen.

Hoe handhaving in de praktijk werkt: wat triggert een onderzoek

Een handhavingsactie van de Autoriteit Persoonsgegevens of de ACM begint zelden bij een audit. In de meeste gevallen start hij bij een klacht. Een consument die zich misleid voelt vult een formulier in, en als er drie of meer vergelijkbare klachten binnenkomen bij dezelfde partij, komt het dossier op een prioriteitenlijst. Wat de autoriteit dan doet: een steekproef op de site, screenshots van cookie-banners en checkout-flows, en een vergelijking met sector-genoten. Wie zich opvallend slechter gedraagt dan vergelijkbare aanbieders, krijgt een waarschuwingsbrief. Wie niet reageert, krijgt een formeel onderzoek.

Voor MKB-bedrijven is de praktische les: jouw site hoeft niet perfect te zijn, hij moet alleen niet de meest manipulatieve zijn in jouw sector. Hou hetzelfde niveau aan als je grootste serieuze concurrenten en je staat niet bovenaan een prioriteitenlijst. Doe je een schepje slechter, en heb je tegelijk reviews waarin "ze proberen me te slim af te zijn" terugkomt, dan loop je risico op een handhavingsbrief.

Vier veelvoorkomende grijze zones in 2026

De duidelijke verbods-gevallen zijn niet altijd het lastigste. Vier veelvoorkomende grijze zones waar wij regelmatig discussie over voeren met klanten:

Een. Sociale-bewijslast-pop-ups. Een melding rechtsonder die zegt "Iemand uit Amsterdam heeft net geboekt". Mag in principe als het waar is en als de informatie verifieerbaar is. Wordt dark als de naam en locatie verzonnen zijn of als de timer per sessie reset zonder echte gebeurtenis. Onze regel: alleen tonen als de gegevens uit een echt event-systeem komen, anders weg ermee.

Twee. Exit-intent pop-ups. Een korting tonen wanneer de muis richting de close-knop beweegt. Niet verboden, maar irritant als hij elke sessie verschijnt of als de korting niet geldt wanneer je later terugkomt. Onze regel: maximaal één keer per bezoeker per dertig dagen, en de korting moet ook geldig zijn als je de pop-up wegklikt en later via een andere weg terugkomt.

Drie. Verplichte account-creatie voor checkout. Niet wettelijk verboden, wel slecht voor conversie en op het randje van een dark pattern als gast-checkout bewust verstopt wordt. Voor B2C raden we aan om gast-checkout standaard te tonen en account-creatie als optionele tweede stap aan te bieden.

Vier. Standaard-instellingen die in nadeel van de gebruiker zijn. Een nieuwsbrief-vinkje uit-default is altijd verplicht. Een verzekeringsoptie aan-default in een autoboeking is verboden onder de DSA. Een service-fee aan-default in een evenement-ticketing-flow zit op het randje en wordt steeds vaker beboet.

Maak weiger en accepteer op je cookie-banner visueel exact gelijk
Maak account-opzegging even makkelijk vindbaar als account-creatie
Toon totaalprijs inclusief alle kosten zo vroeg mogelijk in de flow
Vermijd dubbele negaties in formulier-labels
Schakel pre-checked vinkjes uit voor élke optionele toestemming
Toon countdown-timers alleen wanneer de deadline ook echt klopt
Verifieer voorraad-meldingen aan een echte voorraadsysteem-feed
Vraag toestemming opnieuw bij belangrijke wijzigingen — niet bij elke pageview
Vermijd visueel verborgen exit-buttons in modals of pop-ups
Houd e-mail-opt-outs op één-klik in plaats van een meerstap-flow
Test je site jaarlijks op de tien meest voorkomende dark patterns met een externe blik
Documenteer wijzigingen in cookie-banners zodat je bij een AP-onderzoek bewijs hebt
Bied gast-checkout standaard aan en maak account-creatie optioneel
Vermijd misleidende kleur-codering (rood voor accepteer, groen voor weiger)
Zorg dat alle communicatie over abonnementen de jaarprijs en de opzeg-deadline expliciet toont

UX-vertrouwen als groei-strategie

Een transparante interface kost zelden iets in conversie op de korte termijn — en levert systematisch winst op de lange termijn. Klanten die zich respectvol behandeld voelen tijdens hun eerste bezoek komen vaker terug, geven gemiddeld 23% hoger volgordebedrag bij retentie en delen vaker referrals (gegevens uit het Baymard Institute-onderzoek 2024-2025). Voor MKB-bedrijven die op herhaalklanten en mond-tot-mond drijven is dat de belangrijkste KPI.

Voor Keurmeesters speelt dit een centrale rol. Het energielabel-traject heeft een prijspagina die alle kosten direct toont, een formulier dat geen voor-ingevulde upsells bevat en een opzeg-flow die net zo eenvoudig is als de aanmeld-flow. Resultaat: minder retourvragen, minder klachten en een NPS die meetbaar hoger ligt dan sector-gemiddelde.

Wereldwijde context: dezelfde patronen, andere regels

Buiten Europa wordt de wetgeving losser, maar de markt strikter. In de Verenigde Staten heeft de FTC sinds 2023 een "Negative Option Rule" die forced-continuity-patronen aanpakt. Californië, New York en Colorado hebben eigen wetten tegen dark patterns. Australië volgt met de Consumer Data Right. Voor MKB met internationale bezoekers betekent dat: bouw voor de strengste regio waar je actief bent. Een EU-conforme site voldoet meestal vrij naadloos aan de eisen van Californië en Australië, andersom is dat niet waar.

Mag ik een schaarste-melding tonen als er echt een limiet is?

Ja, mits het verifieerbaar is. "Nog twee plekken in mei" mag als je echt twee plekken hebt. "Nog twee bezoekers kijken hier" mag alleen als dat echt zo is op dat moment.

Kan een MKB-bedrijf zelf een audit doen op dark patterns?

Ja. Loop je site door met de tien-puntenlijst uit dit artikel, vraag drie mensen buiten je organisatie om een checkout te doen en tijd op te nemen. Wat opvalt aan friction is meestal dark.

Wat als mijn CMS-template een dark pattern bevat?

Verantwoordelijkheid blijft bij de exploitant. Pas het template aan of vervang de plug-in. Een CMS-leverancier is geen schild bij een AP-onderzoek.

Wat doe je vandaag?

Open je cookie-banner en check of weiger en accepteer visueel exact gelijk zijn
Loop je opzeg-flow door en tijd hem op — vergelijk met je aanmeld-flow
Verwijder alle pre-checked vinkjes voor optionele toestemmingen
Toon totaalprijs inclusief alle kosten zo vroeg mogelijk in je checkout
Vraag drie mensen om je site te gebruiken en noteer waar friction zit

Cookie-banners in 2026: wat een AVG-conforme banner echt nodig heeft

De cookie-banner is voor de meeste MKB-sites de meest zichtbare plek waar dark-pattern-risico zit. Een conforme banner in 2026 voldoet aan vijf concrete eisen. Eén: vóór toestemming worden geen niet-essentiële cookies geplaatst. Niet alleen analytics-cookies maar ook Tag Manager-zelf, fonts.gstatic.com-verzoeken (Google Fonts via subset-loading), en YouTube-iframes mogen pas na consent laden. Twee: weiger en accepteer hebben gelijke visuele weging — zelfde kleur-intensiteit, zelfde positie, zelfde grootte. Drie: per cookie-categorie kan apart toestemming geweigerd of gegeven worden, geen all-or-nothing. Vier: de keuze is voor 12 maanden geldig en wordt daarna opnieuw gevraagd. Vijf: de gebruiker kan zijn keuze later wijzigen via een blijvend zichtbare link (bijvoorbeeld in de footer).

In 2026 zijn er goedkope of gratis libraries die dit correct doen: Cookiebot, Klaro, Cookie Consent (Osano), Cookiehub. Onze keuze hangt af van project: voor statische MKB-sites werkt Cookie Consent met een minimale config; voor WordPress is Cookiebot met Tag Manager-integratie een veilige keuze. Vermijd het zelfschrijven van een cookie-banner — de juridische details schuiven elk jaar op en handhaving wordt strenger.

De relatie tussen dark patterns en SEO: wat Google ervan vindt

Google publiceerde in 2023 een richtlijn over "deceptive practices" die direct raakt aan dark patterns. Sites met een hoog aantal klacht-signalen (terugknop-misbruik, hoge bouncerate na specifieke acties, geforceerde checkout-flows) krijgen een lagere Quality Score in Ads en een lagere Helpful-Content-score voor organisch. In 2025-2026 is dat algoritme verder verfijnd. Wie zijn site clean houdt, scoort meetbaar beter.

Praktisch betekent dat: dark patterns kosten je niet alleen klantvertrouwen, ze kosten je ranking. Een site die zijn checkout met hidden costs prijsverhoogt verliest organisch verkeer over tijd. Een site die cookie-banners conformeert behoudt zijn Core Web Vitals-score. SEO en consumentenbescherming convergeren in 2026 — wat goed is voor de gebruiker is goed voor je vindbaarheid.

UX-audit-frequentie: hoe vaak controleren?

Een dark-pattern-audit hoort minstens jaarlijks plaats te vinden. Voor webshops met groei is halfjaarlijks beter omdat features die snel worden toegevoegd vaak via templates of plug-ins onbedoeld dark-pattern-elementen meeleveren. Een typische audit duurt 3-5 uur en bestaat uit: visuele check van cookie-banner, doorlopen van checkout met fake-data, simulatie van uitschrijving en opzegging, screenshot van elke pop-up, en review van e-mail-opt-out-flow.

Documenteer de audit en bewaar screenshots. Bij een handhavingsbrief van AP of ACM bewijst die documentatie dat je je verantwoordelijkheid serieus hebt genomen. Het verschil tussen een waarschuwing en een formele boete zit vaak in dit soort bewijslast.

Verder lezen

Wij bouwen MKB-sites zonder manipulatieve patronen, omdat herhaalbezoek meer waard is dan een eenmalige geforceerde conversie. Voor Keurmeesters levert dat een NPS op die meetbaar hoger ligt dan sector-gemiddelde. Bekijk de sectoren-pakketten of vraag een gratis audit aan.

Door Lorenzo Ruisi — webdesigner Mijdrecht. Laatst bijgewerkt 16 mei 2026.