2023
“Deceptive design patterns” : hoe deze op sociale netwerken te herkennen en te vermijden
De EDPB heeft vandaag de definitieve versie gepubliceerd van zijn richtsnoeren 03/2022 over "deceptive design patterns" op sociale netwerken. Het document geeft een reeks concrete voorbeelden van misleidende interfaces en bevat ook een lijst van toe te passen goede praktijken. Het is zowel bedoeld voor ontwikkelaars van sociale netwerken als hun gebruikers door hen in staat te stellen deze "deceptive design patterns" beter te begrijpen, te herkennen en te vermijden.
De "deceptive design patterns" omvatten praktijken die zijn bedoeld om het gedrag van betrokkenen te beïnvloeden. Het kan gaan om interfaces, gebruikerstrajecten of visuele of taalkundige elementen die zijn ingesteld om de gebruiker ertoe te bewegen onbedoelde, onbewuste of potentieel nadelige beslissingen te nemen op het gebied van gegevensbescherming. Deze praktijken zijn in strijd met verschillende beginselen van de AVG, zoals bijvoorbeeld het beginsel van transparantie, behoorlijkheid van de verwerking, of minimale gegevensverwerking.
De EDPB heeft de in het document geanalyseerde misleidende gebruikersinterfaces in 6 categorieën onderverdeeld:
- Overloading. Dit soort praktijk confronteert de gebruiker met een overvloed aan informatie of verzoeken om hem ertoe aan te zetten meer persoonsgegevens te delen.
- Skipping. De gebruikerspaden en/of interfaces zijn ontworpen om de aandacht van de gebruiker af te leiden van kwesties in verband met gegevensbescherming.
- Stirring. Stirring bestaat erin de keuze van gebruikers te beïnvloeden door in te spelen op hun emoties of visuele stimuli te gebruiken.
- Obstructing. Deze praktijken hebben tot doel de gebruikers te hinderen in het proces van informatieverstrekking of het beheer van hun persoonsgegevens door dit moeilijk of zelfs bijna onmogelijk te maken.
- Fickle. De interface is incoherent ontworpen en onduidelijk, hetgeen het moeilijk maakt om door de verschillende tools voor gegevenscontrole te navigeren of de doeleinden van de verwerking te begrijpen.
- Left in the dark. Deze misleidende interfaces zijn zodanig ontworpen dat zij beschikbare informatie of tools voor gegevenscontrole verbergen, of de gebruikers in onzekerheid laten over hoe hun gegevens worden verwerkt en welke rechten zij hebben om deze zo goed mogelijk te beheren en te beschermen.
Bijlage I van de richtsnoeren bevat de volledige lijst van alle misleidende praktijken die de EDPB in dit document heeft bestudeerd. Bijlage II bevat een reeks goede praktijken die moeten worden toegepast om het gebruikerstraject te vergemakkelijken.
De richtsnoeren 03/2022 van de EDPB gaan uitsluitend in op het gebruik van deze "patterns" in het kader van sociale netwerken, maar de lessen die eruit worden getrokken kunnen ook sleutels tot een beter begrip bieden in contexten waar dezelfde soort praktijken worden toegepast.
Zo heeft de GBA in 2021 bijvoorbeeld (beslissing 19/2021) reeds gewezen op soorten "deceptive patterns", niet op een sociaal netwerk, maar in de manier waarop een telecomoperator de toegang tot het recht op bezwaar tegen commerciële mededelingen organiseerde. De informatie-architectuur op de website van de operator leek op een doolhof door de overvloed aan informatie en aangeboden herhalingen (cf. praktijk van "Privacy maze", een subcategorie van "Overloading"). De operator liet de gebruiker bovendien kiezen tussen vier verschillende privacystelsels, van meest tot minst bescherming biedend. Elk van de vier stelsels bevatte echter commerciële mededelingen, waardoor de aandacht werd afgeleid van het feit dat er in feite een vijfde optie was (voortvloeiend uit de uitoefening van het recht van bezwaar tegen direct marketing) die geen enkele verwerking voor commerciële reclamedoeleinden inhield en die de facto de meest beschermende van allemaal was. Deze praktijk vertoont sterke gelijkenissen met de categorieën "Skipping" en "Left in the dark".
De GBA wijst erop dat de richtsnoeren 03/2022 een niet-uitputtende lijst van misleidende interfaces bevatten. Daarom mag niet worden geconcludeerd dat elke praktijk die niet in het document wordt vermeld automatisch in overeenstemming met de AVG is.
Lees het volledige document op de website van de EDPB.