Sociale media vormen een integraal onderdeel van ons dagelijks leven. Bijgevolg is het een doelwit geworden voor (onethische) bedrijven die psychologische tactieken gebruiken, zogenaamde “dark patterns”, om gebruikers te manipuleren tot beslissingen die misschien niet in hun voordeel zijn. Om dit probleem aan te pakken, heeft de European Data Protection Board (EDPB) guidelines uitgebracht zodat aanbieders van sociale media, ontwerpers en gebruikers het gebruik van dark patterns op sociale media platforms beter kunnen beoordelen én vermijden.
Deze guidelines zijn inmiddels definitief gemaakt door de EDPB. In deze blogpost duiken we dieper in deze nieuwe richtlijnen.
Wat zijn dark patterns op sociale media?
Dark patterns zijn (heimelijke) interfaces die gebruikers actief sturen om beslissingen te nemen die schadelijk kunnen zijn voor hun eigen belangen. Dit kan de vorm aannemen van “overbelasting”, waarbij gebruikers worden gebombardeerd met verzoeken om gegevens achter te laten. Dark patterns kunnen dus worden gebruikt om nietsvermoedende consumenten op allerlei manieren te manipuleren en te misleiden. Volgens een onderzoek van de Europese Commissie en consumentenautoriteiten van 23 EU-landen onder 399 webshops, maakt een alarmerende veertig procent van deze retailers gebruik van manipulatieve dark patterns om hun winst te verhogen.
Rechtmatigheid, behoorlijkheid en transparantie
Voor aanbieders van sociale media is de naleving van de beginselen van artikel 5 van de Algemene Verordening Gegevensbescherming (AVG) essentieel bij het ontwerpen van hun interfaces. Bij het aanmaken van een account bij een sociale media platform is het belangrijk dat gebruikers begrijpen wat er met hun gegevens gebeurt. Sociale media platforms moeten ervoor zorgen dat de privacyverklaringen op een ondubbelzinnige en duidelijke manier aan gebruikers worden gepresenteerd. Voorts is een belangrijk onderdeel van de transparantie-verplichting dat gebruikers worden gewezen op al hun rechten – met name het recht om hun toestemming op elk gewenst moment in te trekken. Kortom, het idee van privacy by design & default dient niet ondermijnd te worden via dark patterns!
Voorbeelden van dark patterns
De EDPB geeft een behoorlijk aantal voorbeelden van dark patterns die niet zijn toegestaan. Bedrijven moeten ervoor waken hun gebruikers te overladen met te veel informatie en hen te overladen met keuzes. Een overvloed aan informatie of opties kan ertoe leiden dat gebruikers meer persoonlijke gegevens invoeren dan nodig is. Ook het ontwerp van de interface mag niet tot verwarring leiden, omdat dit een omgeving creëert waarin het voor de gebruiker moeilijk is te begrijpen waarom zijn gegevens worden verwerkt. Bedrijven moeten er daarom voor waken dat hun processen en ontwerpen duidelijk genoeg zijn, zodat gebruikers de implicaties kunnen begrijpen van de beslissingen die zij nemen.
Best practices
De EDPB geeft in zijn guidelines een aantal best practices voor verschillende user cases.
Shortcuts. Laat gebruikers snel en gemakkelijk toegang krijgen tot informatie of instellingen waarmee ze hun gegevens kunnen beheren.
Bulk options. Een effectieve manier om de gebruikerservaring te vergroten is het clusteren van instellingen met een vergelijkbaar verwerkingsdoel.
Contact information. Zorg voor een duidelijke vermelding van het contactadres van het bedrijf in de privacyverklaring.
Reaching the supervisory authority. Om ervoor te zorgen dat gebruikers volledig op de hoogte zijn van hun rechten en van de manieren waarop zij in geval van een klacht om hulp kunnen zoeken, is het belangrijk om duidelijk de identiteit te vermelden van de toezichthoudende autoriteit. Door een directe link naar de website of specifieke pagina van de toezichthouder op te nemen, kunnen gebruikers snel en gemakkelijk alle nodige informatie over het indienen van een klacht vinden.
Privacy Policy Overview. Een duidelijke en beknopte inhoudsopgave is essentieel voor de leesbaarheid van elke privacyverklaring. Een inhoudsopgave maakt het gebruikers gemakkelijk om door een langere tekst te navigeren en de specifieke passages te vinden waarin zij geïnteresseerd zijn.
Change spotting and comparison. Het is belangrijk om eerdere versies van een privacyverklaring te bewaren en deze gemakkelijk toegankelijk te maken voor gebruikers, zodat zij eventuele wijzigingen kunnen vergelijken en begrijpen.
Coherent wordings. Zorg ervoor dat overal op het platform dezelfde (privacy) bewoordingen worden gebruikt.
Providing definitions. Het gebruik van “jargon” kan het voor gebruikers moeilijk maken om belangrijke informatie over de gegevensverwerking te begrijpen. Zorg er daarom voor dat jargon duidelijk wordt uitgelegd.
Contrasting Data protection elements. Het is belangrijk dat de gebruiker verschillende elementen over gegevensbescherming op een pagina makkelijk kan “herkennen”.
Data Protection Onboarding. Zorg ervoor dat gebruikers net na het aanmaken van een account gemakkelijk hun privacy instellingen en voorkeuren kunnen inzien en wijzigen.
Use of examples. Naast de verplichte informatie over de doeleinden van de gegevensverwerking, kunnen voorbeelden worden gebruikt om een specifieke gegevensverwerking te illustreren.
Sticky navigation. Het raadplegen van een pagina over gegevensbescherming kan gebruiksvriendelijker worden gemaakt met een inhoudsopgave, die voortdurend op het scherm wordt weergegeven.
Back to top. Voeg een “terug naar boven”- knop toe onderaan een pagina.
Notifications. Notificaties zijn een uitstekend middel om gebruikers bewuster te maken van de verwerking van persoonsgegevens.
Explaining consequences. Wanneer gebruikers een gegevensbeschermingscontrole willen activeren of deactiveren, of hun toestemming willen geven of intrekken, dienen ze op een neutrale wijze te worden geïnformeerd over de gevolgen van een dergelijke handeling.
Cross-device consistency. Wanneer het sociale media platform beschikbaar is via verschillende apparaten (zoals computers, smartphones enz.), moeten instellingen en informatie met betrekking tot gegevensbescherming via dezelfde plek en wijze toegankelijk zijn.
Data protection directory. Zorg ervoor dat gebruikers via een toegankelijke pagina zich snel kunnen oriënteren wat de verschillende secties in het menu betreft.
Contextual information. Een privacyverklaring alleen is niet voldoende: toon korte stukjes informatie aan de gebruiker over de gegevensverwerking op de juiste momenten.
Self-explanatory URL. Zorg ervoor dat de privacy pagina’s een logische url hebben.
Exercise of the rights form. Om gebruikers te helpen bij het uitoefenen van hun AVG-rechten, dien je een speciaal formulier te verstrekken die gebruikers helpt hun rechten te begrijpen en die hen begeleidt bij het uitvoeren van dit soort verzoeken.
