'Wáár heb ik juist toestemming voor gegeven?'

'Regelmatig hebben bezoekers van websites geen idee welke persoonsdata zij hebben gedeeld en voor welke doeleinden zij toestemming hebben gegeven', schrijven onderzoekers Ine Van Zeeland en Natasja Van Buggenhout (beide imec-SMIT-VUB). Ze pleiten ervoor om de datageletterdheid van mediagebruikers te verhogen.

Dit artikel verscheen eerder op knack.be. Auteurs: Onderzoekers aan imec-SMIT-VUB Natasja Van Buggenhout en Ine Van Zeeland.  

Een Duitse rechtbank bepaalde op 26 januari 2021 dat 'dark patterns' in cookieverzoeken niet toegestaan zijn.'Dark patterns' zijn misleidend design van opties voor consumenten of websitebezoekers. Het doel daarvan is om gebruikers te misleiden tot dingen die niet in hun voordeel zijn. Dit gebeurt dikwijls in verzoeken om cookies te accepteren: de 'oké'-knop is groot en groen, terwijl ergens in lichtgrijs de optie 'afwijzen' moet worden gezocht. Websitebezoekers hebben regelmatig geen idee welke persoonsdata zij hebben gedeeld en voor welke doeleinden zij toestemming hebben gegeven.

Wáár heb ik juist toestemming voor gegeven?

Op dezelfde dag dat de Duitse rechtbank 'dark patterns' afwees, kondigde de Noorse gegevensbeschermingsautoriteit een boete aan van bijna 10 miljoen euro voor de dating-app Grindr. Het was voor gebruikers niet eenvoudig te vinden hoe zij hergebruik van hun persoonsgegevens door derden ('third parties') konden beperken. De verkregen toestemming was niet geldig volgens de toezichthouder. Gebruikers moeten immers vrij toestemming geven en goed begrijpen waarmee zij akkoord gaan, volgens de Algemene Verordening Gegevensbescherming (AVG). (In het Engels: General Data Protection Regulation(GDPR))

Fair deal?

'Dark patterns' zijn problematisch: toestemming is niet geldig als de persoon die toestemming geeft, wordt misleid. Deze kwestie kwam ook aan de orde in ons recente onderzoek naar de waarde van persoonsgegevensverwerking in de Vlaamse mediasector. Belangrijke onderzoeksvragen waren, onder meer:

  • Wat is de waarde van persoonsdata delen en wat zijn de voordelen van personalisatie voor mediagebruikers?
  • Is persoonsdata delen met een mediaorganisatie in ruil voor een gepersonaliseerd aanbod een eerlijke 'waarde-uitwisseling'?
  • Is de uitleg over wat er met de data gebeurt duidelijk? Kan de Vlaamse mediasector hierover afspraken maken (sectorbreed)?
  • Is persoonsdata delen in ruil voor 'gratis', gepersonaliseerde mediadiensten een vorm van 'betalen'? Kunnen/moeten mediaorganisaties dit communiceren naar mediagebruikers?

Het onderzoek was een expertbevraging: Vlaamse mediaprofessionals, academische experts en vertegenwoordigers van toezichthouders en kenniscentra gingen (anoniem) in drie rondes met elkaar in discussie. Een speciaal onderdeel was gewijd aan 'dark patterns' in cookieverzoeken.

'Dark patterns' in Vlaamse media

Media-experts evalueerden tijdens de tweede studieronde een voorbeeld van een cookieverzoek door te klikken op elementen die zij als misleidend of manipulatief ervoeren (Figuur 1). In het bijzonder werd aangegeven dat 'opt-out' (voorkeuren 'uitklikken') meer manipulatief is dan 'opt-in' (voorkeuren 'aanklikken'). Een grote knop met een duim in een 'positieve', groene kleur is ook misleidend als standaardoptie om gegevens te delen. Bovendien mag de uitleg over persoonsgegevensverwerking niet onder de 'Opslaan'-knop staan.

Figuur 1: Misleidende elementen in een cookieverzoek (hittemap), VUBFiguur 1: Misleidende elementen in een cookieverzoek (hittemap) © VUB

Een expert merkte op: "Als 99% van de gebruikers meteen 'accepteren' klikt, waarom moeten we dan de knop voor acceptatie van alle cookies gelijk maken aan de knop voor aangepaste voorkeuren qua gebruikerservaring?" 

Het expertpanel van de derde studieronde reageerde hierop. Enkelen experts reageerden op deze opmerking, die zijn paradoxaal vonden, of een 'self-fulfilling prophecy': "De reden van die 99% is misschien net omdat de andere knop niet opgemerkt wordt." Anderen beklemtoonden cookie-ergernis of -moeheid bij mediagebruikers: 'Bij veel producten (apps) heb je onvoldoende keuze. Je kan de app alleen gebruiken als je allerlei dingen toestaat die je eigenlijk niet wil.'

Om misleiding te voorkomen, moeten gebruikers 'zelf de keuze kunnen maken en ook bewust gemaakt worden dat er een alternatief is voor het meteen accepteren van alle cookies'. Alle experts waren het eens met de aanbeveling dat taalgebruik in het cookieverzoek helder, juist en volledig moet zijn. Er moet uitgebreid worden uitgelegd met welke partijen de cookiedata worden gedeeld, welke data worden verzameld en gelinkt aan de dataverwerkingsdoeleinden. 

De meningen waren meer verdeeld wat betreft de weergave van het cookieverzoek. Ruim de helft van de respondenten waren het eens dat opties voor (al dan niet) accepteren van cookies uniform moeten worden weergegeven, met alle opties in dezelfde kleuren, knoppen, etc. Een dataexpert bij een private mediaorganisatie was het helemaal oneens met deze stelling, maar beschreef niet waarom. Minder dan de helft van de respondenten ging akkoord met de aanbeveling dat de standaardkeuze ('default') altijd het weigeren van cookies moet zijn.

Duidelijke toestemmingsverzoeken in 2021

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft aangegeven bijzonder geïnteresseerd te zijn in 'dark patterns' en het probleem dit jaar extra aandacht te zullen schenken. We kunnen bijgevolg nog meer nationaal nieuws en mogelijk ook Europese berichtgeving verwachten. Communicatie moet helder, concreet en beknopt zijn bij het vragen van toestemming. Het is interessant om te onderzoeken wat verschillende gebruikersdoelgroepen als 'transparante' communicatie ervaren.

De Duitse rechtbank en Noorse toezichthouder geven het al aan: websitebezoekers en appgebruikers misleiden over wat er met persoonsdata gebeurt, is niet in orde. Het draagt evenmin bij aan het ver-/wantrouwen dat mediagebruikers hebben in aanbieders van dergelijke diensten. Dienstverlening wordt steeds vaker digitaal en mensen worden meer geconfronteerd met twijfelachtige gegevensbeschermingspraktijken. Het wantrouwen van gebruikers stijgt ten aanzien van persoonsgegevensverwerking. Het draagvlak voor onbetrouwbaar gegevensgebruik neemt af. 

Op 28 januari, de internationale Data Privacy Day, bekritiseerde Tim Cook (CEO van Apple) op een van 's werelds grootste privacyconferenties in Brussel het presenteren van 'keuzes die geen keuzes' zijn. Hij ijverde voor het vergroten van de keuzevrijheid en het vertrouwen van mediagebruikers.

 

'We moeten samen een universeel, humanistisch antwoord sturen naar zij die het recht opeisen om onze privé-informatie te gebruiken, over wat niet mag en niet wordt getolereerd. [...] Het is tijd voor wereldwijde wetten en nieuwe, internationale overeenkomsten die de principes van gegevensminimalisatie, gebruikerskennis, toegang en gegevensbeveiliging over de hele wereld verankeren.' 

Open daarom in 2021 het perspectief. Verhoog datageletterdheid van mediagebruikers, in het bijzonder over de waarde van persoonsdata. Communiceer openlijk over het gebruik van persoonsgegevens. Probeer niemand in de val te lokken om meer informatie te delen dan gewenst.