Samenvatting

De EDPB beschouwt dark patterns als interfaces en gebruikservaringen die gebruikers ertoe aanzetten keuzes te maken over de verwerking van hun persoonsgegevens die ze eigenlijk niet willen en die mogelijk schadelijke gevolgen kunnen hebben. Dark patterns hebben als doel het gedrag van gebruikers te beïnvloeden en hun vermogen te belemmeren om bewuste keuzes te maken omtrent de bescherming van hun persoonsgegevens. Dit kan zich manifesteren in verschillende aspecten van het ontwerp zoals de kleur van een interface en de plaatsing van de inhoud. Het is de verantwoordelijkheid van gegevensbeschermingsautoriteiten om het gebruik van deze dark patterns te sanctioneren.

De EDPB verdeelt de dark patterns die ze behandelt in de volgende categorieën:

• Overbelading (overloading): gebruikers worden geconfronteerd met een grote hoeveelheid verzoeken, informatie, opties of mogelijkheden om hen ertoe aan te zetten meer gegevens te delen of onbedoeld de verwerking van persoonsgegevens toe te staan, zonder dat de betrokkene zich hieraan verwacht.
• Overslaan (skipping): de interface of de gebruikerservaring is zodanig ontworpen dat gebruikers alle of sommige aspecten van gegevensbescherming vergeten of er niet aan denken
• Prikkelen (Stirring) beïnvloedt de keuze van gebruikers door een beroep te doen op hun emoties of door visuele duwtjes (nudges)
• Hinderen (Hindering) betekent het belemmeren of blokkeren van gebruikers in hun proces om geïnformeerd te worden of hun gegevens te beheren door de handeling moeilijk of onmogelijk te maken
• Wispelturig (Fickle) betekent dat het ontwerp van de interface inconsistent en onduidelijk is, waardoor het voor de gebruiker moeilijk is om door de verschillende controle-instrumenten voor gegevensbescherming te navigeren en om het doel van de verwerking te begrijpen

Relevante bepalingen in de AVG

De toepasselijke beginselen liggen vervat in artikel 5 AVG, waarbij het beginsel van behoorlijkheid als uitgangspunt dient om te beoordelen of een bepaalde ‘pattern’ ook daadwerkelijk een ‘dark pattern’ is. Andere beginselen die bij deze beoordeling een rol spelen zijn transparantie, minimale gegevensverwerking en verantwoordingsplicht en in sommige gevallen zal ook doelbinding van toepassing zijn. In andere gevallen is de juridische beoordeling ook gebaseerd op voorwaarden voor toestemming of andere specifieke verplichtingen, zoals transparantie. Het is duidelijk dat in het kader van de rechten van de betrokkenen het derde hoofdstuk van de AVG ook in aanmerking moet worden genomen. Ten slotte is er een cruciale rol gegevensbescherming door ontwerp en door standaardinstellingen, aangezien de juiste toepassing van deze concepten dark patterns onmogelijk maakt.

Voorbeelden van dark patterns in de levenscyclus van een sociale media account

De bepalingen van de AVG zijn van toepassing op de hele levenscyclus van een sociale media account. De EDPB geeft verschillende voorbeelden van dark patterns binnen elk stadium, namelijk het registratieproces; de verstrekte informatie met betrekking tot privacy, gezamenlijke verwerkingsverantwoordelijken, de communicatie rond datalekken; de uitoefening van de rechten van de betrokkene; en tenslotte het sluiten van de sociale media account.

De verbanden met de AVG worden op twee manieren toegelicht, ten eerste wordt voor elk voorbeeld meer in detail uitgelegd welke AVG-bepalingen relevant zijn. Ten tweede wordt uitgelegd hoe het specifieke dark pattern inbreuk maakt op de AVG.

Best practices en checklist

Na elk voorbeeld worden er een aantal best practices voorgesteld. Deze bevatten specifieke aanbevelingen om gebruiksinterfaces te ontwerpen die de effectieve implementatie van de GDPR vergemakkelijken. In de bijlage is een checklist van dark patterns opgenomen. Deze bevat een overzicht van de bovengenoemde categorieën, samen met een lijst van de voorbeelden van dark patterns die in de richtsnoeren voorkomen.