Blog

Dark Pattern Design: wat mag wel en wat mag niet?

Computerworld (de website voor IT-management) vroeg mijn uitleg over de juridische (on)mogelijkheden voor gebruik van dark patterns design. Dark Pattern Design is een interfaceontwerp dat erop is gebouwd om mensen een bepaalde kant op te sturen en ze iets te laten doen in het voordeel van de uitbater van een site of applicatie. Denk daarbij aan het installeren van een toolbar of het inschrijven voor een nieuwsbrief.

Dark pattern design en de wet

Computerworld kaart terecht aan dat het gebruik van dark pattern design niet zonder meer is toegestaan. De Wet op de oneerlijke handelspraktijken verbiedt bijvoorbeeld het toevoegen van aanvullende producten bij een bestelling tenzij je die toevoeging uitvinkt.

Dark Pattern Design

Ook een reeds aangevinkte ‘opt-in’ voor het ontvangen van nieuwsbrieven is niet toegestaan, onder meer in het licht van de Telecommunicatiewet. Maar wat ervan te denken als erachter plots de tekst “do not opt me out” staat? Het lijkt heel vernuftig bedacht, maar toegestaan is het niet.

Computerworld vroeg mij of de Algemene Verordening Gegevensbescherming een einde maakt aan dergelijke vormen van Dark Pattern Design.

Toestemming

Immers, onder de AVG zijn er strikte vereisten gesteld waaraan een geldige “toestemming” moet voldoen. Toestemming is één van de rechtsgronden op grond waarvan persoonsgegevens mogen worden verwerkt. Toestemming moet vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek zijn.

Vrijelijk gegeven betekent dat de toestemming niet onder druk mag worden gegeven. Iemand benadelen als hij of zij geen toestemming geeft is dus niet toegestaan. Ook machtsverhoudingen spelen een rol. Een werkgever kan een werknemer niet om toestemming vragen, omdat de werknemer die vraag moeilijk kan weigeren.

Ondubbelzinnig betekent dat met de toestemming sprake is van een duidelijke actieve handeling. Het moet helder zijn dat de toestemming is verleend. Dat kan digitaal, schriftelijk, of mondeling (hoewel dat laatste is af te raden vanwege de bewijslast). Vooraf aangevinkte vakjes zijn niet toegestaan. Ook dubbelzinnige verklaringen als “do not opt me out” voldoen hier niet aan.

De toestemming moet ook geïnformeerd zijn. Dat betekent dat de betrokkene informatie moet hebben gekregen over de identiteit van de organisatie, het doel van elke verwerking waarvoor toestemming wordt gevraagd, welke persoonsgegevens de organisatie verzamelt en gebruikt, en het recht dat de betrokkene de toestemming ook weer in kan trekken. Deze informatie moet in een toegankelijke vorm worden aangeboden. Het moet ook begrijpelijk zijn, zodat iemand een weloverwogen keuze kan maken. Dat betekent bijvoorbeeld ook dat de informatie in een duidelijke en eenvoudige taal moet worden verstrekt.

Ten slotte moet de toestemming specifiek zijn. Dat heeft als gevolg dat de toestemming steeds moet gelden voor een specifieke verwerking en een specifiek doel. Als de organisatie voor een verwerking meerdere doeleinden heeft, dan moet de betrokkene daarover geïnformeerd worden en moet de betrokkene voor ieder afzonderlijke doel afzonderlijke toestemming geven. Het doel mag dus niet gaandeweg veranderen.

AVG en Dark Pattern Design

Maken deze vereisten dan een einde aan dark pattern design trucs? Dat vroeg Computerworld mij:

De AVG zou een einde moeten maken aan dit soort trucs. “Maar de AVG is toepasbaar in zoverre er persoonsgegevens worden verwerkt”, benadrukt Wouter Dammers, advocaat bij LAWFOX. Dat betekent overigens niet dat ons voorbeeld van toestemming voor crapware volgens de wet door de beugel kan. “In Nederland heb je ook nog te maken met de cookiewet, onderdeel van de Telecommunicatiewet. Daarin is het een vereiste dat een gebruiker toestemming verleent voor de installatie van ongevraagde software.”

Dat staat overigens te veranderen, merkt de advocaat op, hoewel nog niet duidelijk is op welke termijn. “Er wordt nog gesteggeld over de Europese Verordening e-privacy, maar in tegenstelling tot de eerdere Richtlijn (waar de Telecommunicatiewet deels op is gebaseerd) is dit een overkoepelende Verordening.” Net zoals de GDPR (AVG) de Nederlandse Wbp verving, zal deze e-privacy Verordening de Nederlandse wetgeving overstijgen. Het is dan ook interessant om tegen die tijd te zien welke bepalingen veranderen en wat daarvan de gevolgen zijn.

Toch sluit ik het stuk af met de stelling dat Dark Pattern Design zeker nog relevant is. Meer weten? Lees het stuk dan verder op Computerworld of neem contact met me op.

Gerelateerde berichten