Dark patterns: de duistere tegenhanger van privacy by design

De term ‘dark patterns’ zegt u waarschijnlijk niet zoveel. Ook voor ons als privacyjuristen is dit vaak niet direct iets dat naar voren springt in de advisering. Toch volgt het herkennen en voorkomen van het gebruik hiervan uit verschillende vereisten uit de Algemene verordening gegevensbescherming (‘AVG’). De European Data Protection Board (‘EDPB’) heeft daarom afgelopen maart richtlijnen gepubliceerd over wat dark patterns zijn, en hoe ze voorkomen kunnen worden. In deze blog praten we u bij.

Wat zijn dark patterns?

De EDPB geeft aanbevelingen over hoe u dark patterns kunt herkennen en voorkomen. ‘Dark patterns’ zijn daarin interfaces en gebruikerservaringen die ervoor zorgen dat gebruikers onbedoelde, ongewilde en mogelijk schadelijke beslissingen nemen in het kader van de verwerking van hun persoonsgegevens. Ze zijn bedoeld om het gedrag van de gebruiker te beïnvloeden, waardoor betrokkenen mogelijk worden verhinderd om hun rechten effectief uit te oefenen. De EDPB onderscheidt verschillende categorieën dark patterns:

  • Overloading: hierbij worden gebruikers overladen met verzoeken, informatie, opties of mogelijkheden, om hen aan te zetten om (tegen hun verwachtingen in) meer gegevens te delen. Denk hierbij bijvoorbeeld aan herhaalde pop-ups, of het bieden van (veel) te veel opties.
  • Skipping: dit houdt in dat de interface zo wordt ontworpen dat gebruikers bepaalde gegevensbeschermingsaspecten vergeten of hier niet aan denken.
  • Stirring: door een beroep te doen op de emotie van de gebruiker of door visuele duwtjes (‘nudging’) wordt de keuze die de gebruiker zou maken beïnvloedt.
  • Hindering: gebruikers worden verhinderd om informatie te verkrijgen of om hun persoonsgegevens te beheren.
  • Fickle: de interface is opzettelijk onduidelijk/inconsistent ontworpen, waardoor het moeilijker is om controle uit te oefenen over persoonsgegevens.
  • Left in the dark: hierbij wordt de interface zodanig ontworpen dat deze informatie of opties verbergt, zodat de betrokkene niet weet hoe zijn/haar persoonsgegevens worden verwerkt.

De richtlijnen gaan specifiek over dark patterns in social media interfaces, maar eigenlijk komen dergelijke methodes in webdesign in het algemeen terug. Denk bijvoorbeeld aan een cookiebanner die 129348109318 opties biedt om cookies wel of niet te accepteren, al dan niet met extra opties voor een zogenaamd ‘gerechtvaardigd belang’. Om zo snel mogelijk op de website terecht te komen klikt u, tegen uw zin en beter weten in, dan toch maar op ‘alles accepteren’. Een andere mogelijkheid is dat u niet te veel opties aantreft, maar duidelijk wordt gestuurd om op een bepaalde knop te klikken: bijvoorbeeld een grote ‘ALLES ACCEPTEREN’-knop in caps lock en felroze/-groen/-rood, terwijl de ‘alles weigeren’ of ‘zelf instellen’ knop verscholen is in de lopende tekst, of ergens minuscuul in een hoekje te vinden is. Ook het onnodig ingewikkeld maken om toestemming in te trekken of om bijvoorbeeld een account bij een webshop te verwijderen, is een dark pattern.

Dark patterns en de AVG

Maar de AVG zegt toch helemaal niet dat dat niet mag? Dat klopt, deze term zult u niet teruglezen in de AVG. Toch volgt uit verschillende vereisten dat dark patterns niet de gewenste werkwijze zijn. Denk bijvoorbeeld aan toestemming: die moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Hierbij is geen ruimte om de betrokkene voor de gek te houden of om vakjes vooraf aan te vinken. Denk ook bijvoorbeeld aan transparantie, één van de kernprincipes: betrokkenen moeten helder, in begrijpelijke taal worden geïnformeerd over de gegevensverwerking. Dus niet met vage bewoordingen, links die nergens naartoe leiden, of met bizar veel informatie in juridisch jargon.

Ook de toezichthouders vinden dit belangrijk. De Belgische toezichthouder heeft afgelopen mei bijvoorbeeld een boete van €50.000 opgelegd aan Roularta voor het gebruik van cookies in strijd met de AVG. De informatieverstrekking voldeed niet, verschillende toestemmingsvakjes waren vooraf aangevinkt, en toestemming kon niet gemakkelijk worden ingetrokken.  

‘Gegevensbescherming by design’ in plaats van ‘deception by design’

De principes van gegevensbescherming by design en gegevensbescherming by default komen wel terug in de AVG. Kort gezegd, dient u te waarborgen dat gegevensbescherming in het gehele ontwikkelproces wordt meegenomen, en dat standaard de meest privacy vriendelijke optie aanstaat. Dit zorgt er niet alleen voor dat u compliant bent, maar vergroot ook het vertrouwen van de klant. Geen enkele klant vindt het namelijk leuk om voor de gek gehouden te worden.


Meer lezen over dit onderwerp? Lees verder:

Terug naar overzicht