“Dark patterns” versus privacy

11.05.2023

Dagelijkse verleidingen

Wie kent het niet? Na het werk nog een korte stop bij de supermarkt om voor het avondeten de pasta te halen die uw partner (weer…) was vergeten te kopen. Maar wat blijkt als u naar buiten loopt? Uw tas is zwaar gevuld met allerlei lekkers. De supermarkt wist u weer succesvol te verleiden om allerlei dingen te kopen die u (eigenlijk) niet nodig had. De pasta bent u helaas vergeten. Maar maakt niet uit, u had toch net bij die vriendelijke dame een XXL portie versbereide sushi gekocht. Pasta doen jullie een andere keer wel.

Een goede marketingstrategie kan zonder beïnvloedingsstrategieën nauwelijks bestaan. Dat is niets nieuws en consumenten worden elke dag meermaals met dit soort tactieken geconfronteerd.

Koopverleidingen op internet

Dergelijke strategieën worden niet alleen in fysieke winkels toegepast maar ook op internet. Veel webshops en andere dienstverleners proberen hun producten met behulp van diverse (vaak zeer creatieve) beïnvloedingsstrategieën aan de man te brengen. Wellicht heb jij ook wel eens de druk gevoeld toen je naast een product de mededeling zag staan dat er nog maar een paar stuks over zijn of dat de door jou gekozen hotelkamer nog maar 1 keer op deze website beschikbaar was. Snel kiezen dus!

Online verleiding is tot op bepaalde hoogte toegestaan, maar het mag geen misleiding worden. Om dit te voorkomen en om bedrijven in de e-commerce een hulpmiddel aan de hand te geven, heeft de Autoriteit Consument en Markt (ACM) de leidraad “Bescherming Online Consument” opgesteld. In de leidraad is uiteengezet waar de grens tussen verleiden en misleiden in online omgevingen ligt. Klanten dienen niet misleid of onder druk te worden gezet: zij moeten een goede en eerlijke keuze kunnen maken. De ACM controleert of bedrijven zich aan de regels houden.

Verleiding om meer persoonsgegevens af te staan

Tegenwoordig verdienen bedrijven niet enkel geld met producten of diensten die zij verkopen of aanbieden, maar vooral ook met het verzamelen van persoonsgegevens van hun klanten (bijv. social media gebruikers). Hierbij maken bedrijven eveneens gebruik van beïnvloedingsstrategieën, maar dan met als doel te bewerkstelligen dat hun klanten (onbewust) zoveel mogelijk persoonsgegevens afstaan. Deze beïnvloedingsstrategieën worden ook wel “dark patterns” genoemd, wat letterlijk vertaald “donkere patronen” betekent.

Dark patterns kunnen verschillende vormen aannemen en komen bijvoorbeeld terug in het ontwerp van een interface of gebruikservaringen. Gebruikers worden via knoppen, kleuren en teksten een bepaalde kant op geduwd met als doel de gebruikers te bewegen tot het nemen van onbedoelde, ongewilde en mogelijk schadelijke beslissingen over de verwerking van hun persoonsgegevens. Bedrijven wensen door het gebruik van dark patterns het gedrag van de gebruiker te beïnvloeden op een voor hen gunstige manier, namelijk doordat de gebruiker zoveel mogelijk persoonsgegevens afstaat. Het gevaar hiervan is dat de gebruiker verhinderd wordt zijn privacy rechten effectief uit te oefenen, terwijl in het privacyrecht een vrijelijke en bewuste keuze ten aanzien van persoonsgegevens nou juist centraal staat.

Richtsnoeren EDPB

De Europese privacy toezichthouders, verenigd in de European Data Protection Board (EDPB), hebben onlangs richtsnoeren over ‘dark patterns’ in sociale media platforms. De richtsnoeren zijn voornamelijk bedoeld voor ontwerpers van sociale media platforms: het is de bedoeling om deze erbij te helpen het gebruik van ‘dark patterns’ achterwege te laten en te vervangen door meer privacy-vriendelijke alternatieven.

Daarnaast geven de richtsnoeren gebruikers van dergelijke platforms inzicht in dark patterns en leren gebruikers deze (hopelijk) beter te herkennen. De EDPB omschrijft verschillende categorieën dark patterns:

  • “overloading”: gebruikers worden overladen met een lawine aan informatie, vragen, verzoeken, opties of mogelijkheden om hen ertoe aan te zetten meer persoonsgegevens te delen of onbedoeld persoonsgegevens te laten verwerken tegen de verwachtingen van de gebruiker in;
  • “skipping”: interface of gebruikerspad wordt zo ontworpen dat gebruikers vergeten of niet nadenken over alle of sommige gegevensbeschermingsaspecten;
  • “stirring”: de keuze die gebruikers zouden maken wordt beïnvloed door een beroep te doen op hun emoties of het gebruik van visuele aansporingen;
  • “obstructing”: gebruikers worden gehinderd of geblokkeerd in hun proces van informatie of het beheer van hun eigen persoonsgegevens wordt bemoeilijkt of zelfs onmogelijk gemaakt;
  • “fickle”: het ontwerp van de interface is inconsistent en onduidelijk, waardoor het voor de gebruiker moeilijk wordt om door de verschillende privacy informatiedocumenten heen te klikken dan wel te achterhalen voor welk doel zijn persoonsgegevens worden verwerkt;
  • “left in the dark”: een interface is zodanig ontworpen dat informatie over de gegevensverwerking nauwelijks vindbaar is en voor de gebruikers onduidelijk is of en hoe hij zijn privacy rechten kan uitoefenen.

Toetsing aan de AVG

Of een dark pattern in strijd is met privacyrecht dient per geval te worden beoordeeld. Daarbij wordt onder andere getoetst aan de algemene gegevensbeschermingsbeginselen zoals neergelegd in de AVG, bijvoorbeeld de rechtmatigheid van de verwerking, het beginsel van dataminimalisatie, transparantie, rechtmatigheid, doelbinding et cetera.

Daarnaast gelden de uitgangspunten van ‘privacy by design’ en ‘privacy by default’. Dat betekent dat de beginselen van gegevensbescherming in het gehele ontwikkelproces (van bijvoorbeeld een social media platform) moeten worden meegenomen en dat de meest privacy-vriendelijke instelling de standaardinstelling moet zijn. Het doel van beide uitgangspunten is om de gebruiker in staat te stellen om over zoveel mogelijk autonomie met betrekking tot het gebruik van zijn persoonsgegevens te beschikken.

Het voert in het kader van dit artikel te ver om de omvangrijke richtsnoeren van de EDPB in detail te bespreken. Het is in elk geval positief dat de EDPB door haar richtsnoeren bij zowel ontwikkelaars van social media platforms als ook bij gebruikers daarvan meer bewustwording creëert over de negatieve gevolgen van dark patterns voor de bescherming van persoonsgegevens.

Hier is de link naar de Engelstalige tekst van de richtsnoeren.

Beware of dark patterns

Indien u als gebruiker vaker op social media platforms bent te vinden: wees u dan bewust van dergelijke beïnvloedingsstrategieën en probeer deze zoveel mogelijk te herkennen en hen het hoofd te bieden door een bewuste keuze te maken over welke persoonsgegevens u wel en welke u niet wilt delen met de ontwikkelaar van het platform.

Deze bijdrage werd geschreven door Kim Deckers. Mocht u naar aanleiding hiervan vragen hebben, bel (043 328 4162) of mail haar (k.deckers@paulussen.nl). Dat kan uiteraard ook indien u nog andere vragen hebt over de regelgeving rondom privacy.

Nieuws Overzicht