De EDPB werpt licht op "duistere patronen" (dark patterns) in de nieuwe richtsnoeren 3/2022

Author info

Wie heeft er nog nooit op een grote groene knop onder de privacy-instellingen geklikt, in de overtuiging dat dit zijn of haar keuzes zou valideren, om zich vervolgens te realiseren dat hij of zij zojuist – tegen alle verwachtingen in – alle standaardinstellingen heeft geaccepteerd? Wie heeft zich bij opeenvolgende bezoeken aan dezelfde website nog nooit voor dezelfde ingewikkelde cookiebanner bevonden? Een cookiebanner die bovendien vaak langer is dan de bezochte pagina. Of wie heeft nog nooit het plan opgegeven om zijn of haar sociale-media-account te verwijderen na de zoveelste stap in dit vervelende proces? Dit is waarschijnlijk iedereen wel eens overkomen, zozeer zelfs dat het een minispelletje heeft geïnspireerd om zo snel mogelijk cookies te weigeren.

Op 14 maart 2022 heeft het Europees Comité voor Gegevensbescherming (kortweg het "EDPB") de 3/2022-richtsnoeren gepubliceerd met betrekking tot duistere patronen op sociale netwerken. Het gaat om de niet-transparante praktijken die gebruikers beïnvloeden of zelfs dwingen bepaalde beslissingen te nemen over hun privacy of rechten.

In deze nieuwe richtsnoeren, waarover momenteel een openbare raadpleging plaatsvindt en die dus nog niet definitief zijn, classificeert en illustreert de EDPB een reeks duistere patronen. Hoewel het fenomeen zich in principe zowel op sociale netwerken alsook op andere platforms en websites kan voordoen, richt de EDPB haar richtsnoeren expliciet tot ontwerpers van sociale netwerken en tot hun gebruikers, zodat zij dergelijke praktijken beter kunnen leren kennen.

Duistere patronen zijn waarschijnlijk in strijd met verschillende bepalingen van de AVG

Deze aanval op dark patterns komt op het kruispunt van de meeste, zo niet alle, basisbeginselen van de AVG. Een gebruikersinterface of gebruikservaring van een sociaal netwerk die de gebruiker aanzet tot een meer invasieve beslissing over zijn of haar persoonsgegevens, kan immers leiden tot:

  • een gebrek aan transparantie (b.v. wanneer de weergegeven verklarende tekst zichzelf tegenspreekt),
  • een gebrekkige toestemming (b.v. wanneer herhaaldelijk om toestemming wordt gevraagd) of onvoldoende intrekbaarheid van de eerder gegeven toestemming (b.v. indien voor die intrekking veel clicks nodig zijn in plaats van de toestemming zelf),
  • een schending van de rechten van de betrokkene (b.v. indien een weblink om een recht uit te oefenen slechts naar algemene informatie leidt),
  • of een schending van het beginsel van gegevensbescherming by design and by default (b.v. als de meest invasieve opties standaard zijn geselecteerd).

Meer in het algemeen zullen duistere patronen, zoals de EDPB meermaals aanhaalt, leiden tot een schending van het billijkheidsbeginsel in de AVG. Dit vormt “een overkoepelend beginsel dat vereist dat persoonsgegevens niet worden verwerkt op een manier die nadelig, discriminerend, onverwacht of misleidend is voor de betrokkene" (vrije vertaling). Ten slotte worden al deze beginselen aangevuld met het verantwoordingsbeginsel, dat de verwerkingsverantwoordelijke verplicht om haar conformiteit met de regels aan te tonen. Tot slot zijn deze nieuwe richtsnoeren doortrokken van het zelfverklaarde doel van de AVG om de bescherming van de persoonsgegevens van de betrokkenen te garanderen door hen centraal te stellen bij het beheer en de effectieve controle van hun persoonsgegevens.

Daarnaast gaat de EDPB ook verder in haar richtlijnen door een parallel te trekken met het consumentenrecht. Zij wijst er op dat het verstrekken van onvolledige informatie ook een inbreuk op het consumentenrecht kan vormen (bijvoorbeeld voor wat betreft misleidende reclame).

Wat zijn de gevolgen voor ontwerpers van sociale netwerken en andere voor de verwerking verantwoordelijken?

Deze ambitieuze richtsnoeren hebben duidelijk “GAFAM” en grote online platforms in het vizier, in lijn met recente interventies van de Europese wetgever, zoals de Data Act of de Digital Services Act Package. De richtlijnen lijken echter een stap verder te gaan dan de voornoemde, in die zin dat zij de beginselen van de AVG niet alleen toepassen op typische, eenmalige verwerkingsactiviteiten (die als "schoolvoorbeelden" kunnen worden beschouwd), maar op een volledig ecosysteem. Dit omvat niet alleen de toestemming voor specifieke activiteiten, maar ook de manier waarop alle privacy-opties worden gepresenteerd - inclusief de publieksinstellingen wanneer de gebruiker inhoud plaatst - en, meer in het algemeen, de hele dagelijkse gebruikerservaring op het sociale netwerk.

Bovendien vereisen de nieuwe richtsnoeren een grotere evenwichtsoefening van de verwerkingsverantwoordelijke. Zo moet de betrokkene bijvoorbeeld vooraf naar behoren worden geïnformeerd, maar tegelijkertijd kan een privacybeleid dat te uitputtend is opgesteld en de betrokkene overstelpt met informatie, worden gekwalificeerd als een Privacy Maze (d.w.z. "privacydoolhof") of een Look over there (d.w.z. "Kijk daar eens"). Beide duistere patronen zijnin strijd met de vereisten inzake transparantie, met name voor wat betreft de beknoptheid en duidelijkheid van de verstrekte informatie. Bovendien moet de toestemming op een specifieke en gedetailleerde manier worden verzameld (en niet worden "gebundeld" met andere diensten of doeleinden), maar moet de verwerkingsverantwoordelijke er toch voor waken dat hij de gebruiker niet overstelpt met opties, anders kan er sprake zijn van een praktijk van Too many options (d.w.z. “Te veel opties bieden). Het is dus een geval-per-geval en soms delicate oefening.

Duistere patronen kunnen zich voordoen in alle stadia van het gebruik van sociale netwerken

De richtsnoeren zijn chronologisch gestructureerd en volgen de "levenscyclus" van een sociaal netwerkaccount.

De duistere patronen en toepasselijke beginselen worden aldus geïllustreerd aan de hand van verschillende praktische toepassingsgevallen (use cases), te beginnen met de registratie op het platform en eindigend met de verwijdering van de account, met inbegrip van de verstrekking van informatie bij het begin van het gebruik, de mededeling van een gegevenslek, de verstrekking van privacy parameters, en ten slotte de uitoefening van rechten door de betrokkene.

Voor elk van deze stappen biedt de EDPB ook een reeks best practices om ontwerpers van sociale netwerken te helpen bij het bereiken van compliance in de ontwikkelingsfase.

De EDPB-classificatie van duistere patronen en de voorbeelden

Laten we tot de kern van de zaak komen: in de 64 bladzijden van de richtsnoeren onderscheidt de EDPB een vijftiental praktijken die duistere patronen vormen, onderverdeeld in zes voor de gelegenheid ontwikkelde hoofdcategorieën. De EDPB maakt ook een onderscheid tussen op inhoud gebaseerde en op interface (vorm) gebaseerde duistere patronen.

De onderstaande tabel bevat alle duistere patronen die door de EDPB zijn geïdentificeerd en gedefinieerd, alsmede de verschillende voorbeelden die daarmee verband houden (voorbeelden die sterk op elkaar lijken, zijn samengevoegd).

Deze classificatie is geenszins perfect waterdicht en is, zoals privacy-deskundigen gewend zijn, eerder een instrument dat per geval moet worden toegepast om risicovolle praktijken te identificeren. Dezelfde praktijk kan dus overeenkomen met verschillende duistere patronen.

Overloading (“Overbelasting”)

"Gebruikers bedelven onder een massa verzoeken, informatie, opties of mogelijkheden om hen ervan te weerhouden verder te gaan en hen bepaalde gegevenspraktijken te doen behouden of aanvaarden." (EDPB - vrije vertaling)

Dit omvat:

Continuous Prompting

(“Ononderbroken Prompting”)

Gebruikers herhaaldelijk vragen om meer gegevens te verstrekken of akkoord te gaan met nieuwe doeleinden, ongeacht de keuze die de gebruiker al heeft gemaakt. Voorbeelden:

  • Voortdurend vragen om een telefoonnummer voor veiligheidsdoeleinden (de EDPB voegt hieraan toe dat verbeterde authenticatie ook op andere manieren kan worden toegepast).
  • Het herhaaldelijk tonen van een stimulerende pop-up waarin gebruikers worden aangemoedigd toegang te geven tot hun contacten of te accepteren om gepersonaliseerde gegevens te krijgen, vooral als dit gebruikers telkens blokkeert.

Privacy Maze

(“Privacy Doolhof”)

Het verkrijgen van informatie of het uitoefenen van de rechten van de betrokkenen verwordt tot een "speurtocht", zodat de gebruikers het waarschijnlijk zullen opgeven. Voorbeelden:

  • In het privacybeleid verwijzen naar de vragen en antwoorden in plaats van rechtstreeks de informatie of de directe link naar de vragen en antwoorden te verstrekken.
  • Het onderverdelen van gerelateerde privacy-instellingen in verschillende menu's en secties.
  • Meerdere keren van een webpagina naar een andere moeten gaan om basisinformatie te vinden, zoals hoe de rechten van de betrokkene kunnen worden uitgeoefend.
  • Gebruikers een gemakkelijke manier bieden om al hun persoonsgegevens te downloaden, maar de link verhullen om alleen toegang te vragen tot specifieke gegevens (zie art. 15(3) AVG en onze blogpost over de nieuwe richtsnoeren inzake het recht van toegang voor meer informatie).
  • De link vermommen om een account te verwijderen aan het einde van een Privacypagina.
  • Gebruik van zelfverzonnen terminologie, waarbij gebruikers de definitie moeten zoeken.

Too many options

(“Te veel opties”)

Te veel keuzemogelijkheden bieden, waardoor gebruikers geen keuze kunnen maken. Voorbeelden:

  • Instellingen met betrekking tot hetzelfde aspect van gegevensbescherming zijn verspreid over meerdere pagina's, waardoor gebruikers met te veel opties worden geconfronteerd.

Skipping (“Overslaan”)

"De interface of gebruikerservaring zo ontwerpen dat de gebruikers de gegevensbeschermingsaspecten geheel of gedeeltelijk vergeten of er niet aan denken." (EDPB - vrije vertaling)

Deceptive Snugness

(“Bedrieglijke behaaglijkheid”)

Standaard worden de meest invasieve functies en opties ingeschakeld in een poging om voordeel te halen uit het standaard effect. Voorbeelden:

  • De instelling "deel deze informatie met iedereen" is voorgeselecteerd in plaats van een meer restrictieve instelling.
  • De instelling "pauzeer deze rekening" is voorgeselecteerd in plaats van "verwijder deze rekening".

Look over there

(“Kijk daar eens”)

Het verstrekken van irrelevante of onnodige informatie om gebruikers af te leiden van hun oorspronkelijke bedoeling. Voorbeelden:

  • In een melding van een gegevenslek vermeldt een verwerkingsverantwoordelijke veel niet-relevante informatie, of stelt hij dat gegevens werden gehasht hoewel dit alleen voor wachtwoorden het geval was.
  • Een verwerkingsverantwoordelijke beschrijft cookies en het verzamelen van toestemming daarvoormet humor, en geeft zo een verkeerd beeld van de mogelijke risico's.
  • Bij het verwijderen van een account wordt de gebruikers voorgesteld een link te volgen om hun gegevens te downloaden, maar zij worden vervolgens niet teruggeleid naar het verwijderingsproces; of de website vraagt naar de reden van vertrek en toont pop-ups met ad-hoc-oplossingen.

Stirring (“Roeren”)

"Het beïnvloeden van de keuze die gebruikers zouden maken door een beroep te doen op hun emoties of met behulp van visuele duwtjes." (EDPB - vrije vertaling)

Emotional Steering

(“Emotionele sturing”)

Geruststellende of negatieve woorden of beelden gebruiken om de emotionele toestand van de gebruiker te beïnvloeden en hem ervan te weerhouden een rationele beslissing te nemen. Voorbeelden:

  • Het gebruik van motiverende taal of uitroeptekens om gebruikers aan te sporen meer gegevens te delen (bv. met een toon die een gevoel van urgentie opwekt of klinkt als een imperatief).
  • Zeggen, wanneer een gebruiker op het punt staat een account te verwijderen, dat zijn vrienden hem zullen missen.

Hidden in plain sight

(“Verborgen in het volle zicht”)

Gebruik van een visuele stijl voor informatie- of gegevensbeschermingscontroles die gebruikers naar minder beperkende opties leidt. Voorbeelden:

  • Het gebruik van een piepklein pictogram dat in een webpagina is verborgen als link naar het privacybeleid.
  • De link om een optie te weigeren is veel minder zichtbaar dan de link om te aanvaarden, of de link waarmee gebruikers een stap kunnen overslaan is zo klein dat zij die niet zullen opmerken en ervan uitgaan dat de stap verplicht is.
  • Gebruikers moeten raden dat een element (bv. een privacy-instelling) aanklikbaar is en dus kan worden gewijzigd.
  • Het is nodig om met de muis op een woord te gaan staan om een relevante link te zien.

Hindering (“Hindering”)

"Het belemmeren of blokkeren van gebruikers in hun proces van het verkrijgen van informatie of het beheren van hun gegevens door de handeling moeilijk of onmogelijk te maken."(EDPB - vrije vertaling) 

Dead End

(“Doodlopend einde”)

Informatie is onmogelijk te vinden omdat een link niet werkt of helemaal niet beschikbaar is. Voorbeelden:

  • De gebruikers wordt meegedeeld dat zij hun keuze te allen tijde kunnen wijzigen door de pagina met het privacybeleid te bezoeken, maar in het beleid wordt niet concreet uitgelegd hoe zij hun toestemming kunnen intrekken.
  • Het privacybeleid bevat, wat bepaalde aspecten betreft, alleen algemene verklaringen dat het mogelijk is om meer informatie te verkrijgen, zonder verdere uitleg.
  • Er gebeurt niets visueels wanneer een vakje om toestemming in te trekken wordt uitgevinkt.
  • Een link om een recht uit te oefenen leidt naar de hoofdprofielpagina.
  • Een privacybeleid vermeldt ontvangers van derden zonder links te verstrekken naar hun respectieve beleid.

Longer than necessary

(“Langer dan nodig”)

Er zijn meer stappen nodig om privacy-schendende opties uit te schakelen dan om ze in te schakelen. Voorbeelden:

  • Gebruikers wordt gevraagd "weet u het zeker?" wanneer zij een scherm overslaan om extra gegevens te delen.
  • Bij het verwijderen van gegevens of een account wordt op de pagina niet alleen om bevestiging gevraagd (wat als een veiligheidsmaatregel kan worden gezien), maar ook om de reden voor het verwijderen.
  • Opt-in voor gerichte reclame vereist slechts één klik, maar opt-out niet.

Misleading information

(“Misleidende informatie”)

Er is een discrepantie tussen de verstrekte informatie en de beschikbare acties. Voorbeelden:

  • Gebruikers verwachten dat een link hen naar een download van een mobiele applicatie zal leiden, maar in plaats daarvan moeten zij hun telefoonnummer invullen om de directe link te ontvangen.
  • Gebruikers klikken op een link om hun toestemming in te trekken, maar worden doorverwezen naar een andere website waarop wordt uitgelegd wat toestemming is.

Fickle (“Instabiliteit”)

"Het ontwerp van de interface is onstabiel en inconsistent, waardoor het voor gebruikers moeilijk is uit te vinden waar de verschillende bedieningselementen zich eigenlijk bevinden en wat de verwerking inhoudt." (EDPB - vrije vertaling)

Lacking hierarchy

(“Ontbreken van hiërarchie”)

Informatie in verband met gegevensbescherming wordt meermaals op verschillende manieren gepresenteerd. Voorbeelden:

  • In een privacybeleid staat het recht om een klacht in te dienen in een ander onderdeel dan de andere rechten.
  • Een privacybeleid van 70 bladzijden bevat geen rubriek of koppen.
  • De publieksparameters voor een bericht worden altijd in een bepaalde volgorde weergegeven, behalve voor één type bericht, waar het omgekeerd is.
  • De pictogrammen voor de privacy-instellingen worden niet consistent weergegeven tussen de desktop- en de mobiele versie van de sociale media.

Decontex-tualising

(“Decontex-tualisering”)

Een gegevensbeschermingsinformatie of -controle bevindt zich op een pagina die uit de context is gehaald. Voorbeelden:

  • Privacy-instellingen moeten worden geopend via de pagina "beveiliging".
  • De link om een account te deactiveren of te verwijderen staat in de rubriek "Uw gegevens" of "Een functie van uw account verwijderen".
  • De knop "opslaan" van de privacy-instellingen is niet voldoende zichtbaar, zodat gebruikers ervan uitgaan dat de instellingen automatisch zijn opgeslagen

Left in the dark (“In het donker achtergelaten”)

"De interface is zo ontworpen dat informatie of controles in verband met gegevensbescherming worden verborgen of dat gebruikers niet zeker weten hoe gegevens worden verwerkt en wat voor controles zij daarover kunnen hebben." (EDPB - vrije vertaling)

Language discontinuity

(“Taal discontinuïteit”)

Informatie in verband met gegevensbescherming wordt niet verstrekt in de officiële taal/talen van het land waar de gebruikers wonen, terwijl de dienst zelf wel in die talen verstrekt wordt. Voorbeelden:

  • In tegenstelling tot de rest van het platform is de informatie over gegevensbescherming ofwel niet beschikbaar in de taal van de gebruiker, ofwel wordt standaard een andere taal weergegeven.

Conflicting information

(“Tegenstrijdige informatie”)

De stukjes informatie spreken elkaar op de een of andere manier tegen. Voorbeelden:

  • Er staat dat de privacy-instellingen kunnen worden gewijzigd vóór het posten en, in de volgende zin, dat de instelling beschikbaar zal zijn na het posten.
  • De voor de verwerking verantwoordelijke verklaart dat er sprake is van een inbreuk in verband met persoonsgegevens, maar verklaart vervolgens dat de inbreuk afkomstig is van een derde partij, en/of verklaart de ernst van de inbreuk in verband met zichzelf in plaats van met de betrokkene.
  • De groene en rode kleuren en/of standen van een toggle-schakelaar voor het wijzigen van een instelling zijn omgekeerd.

Bijkomende aspecten die aandacht verdienen

  • De EDPB bevestigt nogmaals het verbod om de toegang tot een dienst te ontzeggen in geval van weigering van toestemming, en daarmee zijn standpunt over de onwettigheid van cookie walls.
  • Een punt waarover tijdens de openbare raadpleging waarschijnlijk zal worden gediscussieerd, is het verzenden van een code per sms-bericht om veiligheidsredenen. In de richtsnoeren lijkt men terughoudend te staan tegenover deze methode van twee-factorauthenticatie, die momenteel door deskundigen als minder veilig wordt beschouwd dan andere methoden. Sommigen zullen er niettemin op wijzen dat het waarschijnlijk beter is deze optie geactiveerd te hebben dan helemaal geen tweede-factor-authenticatie te hebben. Toch beschouwt de EDPB echter juist het gebruik van deze techniek, en dus het verzamelen en gebruiken van het telefoonnummer (dat "niet zo gemakkelijk verwisselbaar" is), als een mogelijke schending van het minimaliseringsbeginsel, aangezien er alternatieven bestaan. Men kan speculeren dat dit het gevolg is van de vaststelling dat sommige voor verwerking verantwoordelijken om veiligheidsredenen telefoonnummers verzamelen en deze vervolgens voor andere doeleinden gebruiken. In dergelijke gevallen is echter het doelbindingsbeginsel van toepassing, zodat het gebruik voor andere doeleinden in ieder geval verboden zou zijn.

    Overigens is het de vraag of dit punt echt over duistere patronen gaat en of het in deze richtsnoeren thuishoort.

  • Hoewel de EDPB herhaaldelijk verwijst naar, en zelfs aanmoedigt tot, het gebruik van "?"-tekens of pictogrammen die meer informatie geven (wat niet verwonderlijk is, aangezien deze methode van visuele informatie door de AVG wordt bevorderd), benadrukt het dat de tekst die wordt weergegeven bij het klikken of zweven inderdaad meer gedetailleerde informatie moet bevatten en geen overbodige informatie of prompts.
  • Meer in het algemeen heeft de EDPB ervoor gekozen zich alleen te richten op sociale-mediaplatforms en hun gebruikers, hoewel de GDPR-beginselen in kwestie van toepassing zijn op verwerkingsverantwoordelijken in alle sectoren. Is dit een handige eerste stap in een handhavingsstrategie - in welk geval alle andere sectoren en websites uiteindelijk het doelwit zullen zijn - of betekent het dat sociale netwerken een grotere verantwoordelijkheid hebben - en zo ja, op welke basis? Het is waarschijnlijk waar dat sociale netwerken een relatief groot risico voor de privacy vormen, maar sommige platforms in andere sectoren vormen een even groot of zelfs groter risico.

Wil je meer weten?

De richtsnoeren (versie 1.0) zijn in maart 2022 vastgesteld en de openbare raadpleging loopt nog tot 2 mei 2022. Wilt u op de hoogte blijven van dit onderwerp? Volg ons op LinkedIn!

Heeft u een specifieke vraag of wenst u ondersteuning in deze zaak? Wij helpen u graag. Boek een gratis 15-minuten call met Janvier op janvier.lawyer.brussels(voorbehouden voor organisaties).