Wat zijn dark patterns?

In de Guidelines 3/2022 worden “dark patterns” door het EDPB omschreven als interfaces en gebruikerservaringen die zijn geïmplementeerd op sociale mediaplatforms die gebruikers ertoe brengen onbedoelde, onwillige en mogelijk schadelijke beslissingen te nemen over de verwerking van hun persoonsgegevens. “Dark patterns” hebben dus als doel om gebruikers van de betreffende social media platformen te beïnvloeden, zodat zij niet op een effectieve manier hun persoonlijke data kunnen beschermen. Door deze invloeden kunnen zij geen welbewuste keuzes maken over bescherming van hun privacy. Het wordt dus voor gebruikers moeilijker gemaakt om zich goed te informeren over de privacy opties op een pagina. Een aantal voorbeelden van dark patterns die het EDPB nadrukkelijk benoemd heeft, worden verderop in dit artikel toegelicht.

Dark patterns zijn er in verschillende soorten en smaken

Het EDPB heeft een aantal categorieën van dark patterns opgesomd. Deze zijn ingedeeld naar twee soorten:

  • Content-based patterns – dit zijn de (negatieve) effecten vanwege de tekstuele inhoud. Als gebruiker word je dus concreet een bepaalde kant opgeduwd doordat je overladen wordt met verschillende (tekstuele) opties. Hierdoor ben je als gebruiker geneigd om meer persoonsgegevens achter te laten.
  • Interface-based patterns – dit zijn de (negatieve) effecten van onder meer de user interface en layout. Het ontwerp van een interface wordt dus expres zodanig ingewikkeld opgemaakt, dat een gebruiker niet goed begrijpt waar diens gegevens voor gebruikt gaan worden.

Hieronder volgt een beknopt overzicht van de verschillende categorieën dark patterns, waaronder de verschillende typen dark patterns geschaald worden door de EDPB.

Dark patterns privacy

In het kort houden die verschillende categorieën het volgende in:

  • Overloading – gebruikers overweldigen met een grote hoeveelheid verzoeken, informatie, opties of mogelijkheden om hen ertoe aan te zetten meer gegevens te delen;
  • Skipping – de interface of gebruikerservaring zo ontwerpen dat gebruikers alle of bepaalde aspecten van gegevensbescherming van een beslissing vergeten (of niet in overweging nemen);
  • Stirring – inspelen op de emoties van gebruikers of visuele “duwtjes” geven;
  • Hindering – het belemmeren of blokkeren van gebruikers om geïnformeerd te worden over het gebruik van hun gegevens of om er controle over uit te oefenen door bepaalde acties moeilijk of onmogelijk te maken;
  • Fickle – het ontwerpen van de interface op een inconsistente en onduidelijke manier, wat het moeilijk maakt om door gebruikerscontroles te navigeren of verwerkingsdoeleinden te begrijpen;
  • Left in the dark – de interface zo ontwerpen dat informatie of privacy controles worden verborgen, of dat gebruikers onzeker zijn over hoe hun gegevens worden verwerkt en de controle die ze erover kunnen uitoefenen.

In toekomstige artikelen gaan wij in meer detail in op wat ieder van deze categorieën en typen dark patterns precies inhouden en de aanbevelingen die de EDPB daarbij doet.

Waarom zijn de EDPB Guidelines 3/2022 opgesteld?

Het document is bedoeld voor zowel ontwerpers alsook gebruikers van social media. In deze Richtlijnen wordt het concept van Dark Patterns nader toegelicht door de EDPB en wordt ook uitgelegd welke bepalingen uit de AVG hiermee geschonden worden. De EDPB gaat in haar toelichting uit van de meest simpele route die een social media account vaak doorloopt. Dit is beschreven in 5 “use cases” (gebruikssituaties):

  • Use case 1: Opening a social media account – een social media account openen
  • Use case 2: Staying informed on social media – op social media geïnformeerd blijven
  • Use case 3: Staying protected on social media – op social media (privacy) beveiligd blijven
  • Use case 4: Staying right on social media: data subject rights – de rechten van betrokken op social media
  • Use case 5: So Long and farewell: leaving a social media account – het sluiten van een account

Bij alle 5 soorten use cases kunnen verschillende soorten Dark Patterns toegepast worden. Het EDPB merkt wel op dat de lijst met voorbeelden en soorten die zij noemt niet limitatief is en dat er dus ook nog meer vormen van Dark Patterns kunnen voorkomen.

Wie/wat is EDPB?

De European Data Protection Board (EDPB) is een Europees onafhankelijk orgaan waarin alle nationale privacytoezichthouders uit de EU samenwerken. Het orgaan komt maandelijks bijeen om besluiten te nemen over de consistente toepassing van de AVG in alle lidstaten van de EU. Hiertoe heeft zij de bevoegdheid om aanbevelingen, opinies, guidelines/richtlijnen en best practices op te stellen over alle AVG onderwerpen. Dit helpt organisaties om de voor hen van toepassing zijnde privacy wet- en regelgeving correct te interpreteren en toe te passen.

Wat nu?

De EDPB heeft de richtlijnen beschikbaar gesteld voor consultatie en nodigt een ieder uit om hier feedback op te geven. Dit wil zeggen dat deze guidelines zeker nog niet definitief zijn. Je kunt tot 2 mei input geven via de website van EDPB. Vanuit DMCC houden wij de ontwikkelingen rondom dit onderwerp nauw in de gaten, zodat wij onze klanten goed kunnen adviseren en bijstaan bij hun uitdagingen rondom de social media kanalen. Wilt u meer weten? Dan nodigen wij u uit om contact met ons op te nemen.