In het verleden zag je veel tekstuele trucjes om je per ongeluk in te schrijven voor nieuwsbrieven of het installeren van software. Je kent het wel, de zinnen waar je lang over moet nadenken om uit te vogelen wat ze betekenen, de juridische terminologie waarvan het voor de normale sterveling lastig is om te grokken wat ze betekenen en meer van dat soort trucs van twijfelachtig allooi.

Dark Pattern Design gaat een stapje verder dan alleen het tekstuele ontwerp en gaat om gebruikersinterfaces die ervoor zorgen dat je kiest voor dingen die je eigenlijk niet zou willen. De Algemene Verordening Gegevensverwerking (AVG) heeft een einde gemaakt aan veel van dit soort ongein als er persoonsgegevens worden verwerkt, een ander deel wordt afgevangen door de Nederlandse Telecommunicatiewet, maar er blijven ontwerpen uitrollen die de grenzen van het toelaatbare opzoeken.

Gebundelde software en opt-in opt-outs

Wellicht het bekendste voorbeeld dat we ongetwijfeld allemaal wel eens zijn tegengekomen: het installeren van meegeleverde software. In het installatieproces van het programma staat dan aangevinkt dat je ook deze fantastische toolbar of plug-in wilt en als je even niet oplet, zit je met een AskJeeves of andere nutteloze troep die je weer moet verwijderen. Het ooit zo grote SourceForge verslikte zich een paar jaar terug in deze wanpraktijken, met het bundelen van adware in gehoste software.

Een ander voorbeeld dat je soms ziet bij webwinkels, is dat je een product koopt en er automatisch een accessoire wordt toegevoegd aan je winkelmandje. Hier zien we dat netjes als optionele items waar je voor moet klikken om ze toe te voegen, maar vooral buitenlandse webwinkels hebben er een handje van het item toe te voegen, op te tellen bij je totaalbedrag en je in de afrekenpagina de optie geven om hem weer uit te vinken. Dat mag in Nederland niet volgens de wet op oneerlijke handelspraktijken, maar het is wel iets om in het achterhoofd te houden wanneer je rondsnuffelt bij internationale webshops.

Een wel heel geniepig voorbeeld van Dark Pattern Design dat we vorig jaar zagen was een gedeselecteerde opt-out om e-mails te ontvangen, die samen werd gepresenteerd met vinkjes voor het accepteren van de voorwaarden en het privacybeleid. Zette je een vinkje, dan opte je zelfs in, want er staat "do not opt me out" achter het vakje. Op die manier hebben de ontwerpers de mensen die blind vinkjes zetten om maar verder te kunnen, maar ook de gebruikers die denken een opt-out te doen voor het ontvangen van e-mails.

Het voorbeeld via Reddit.

Dark Patterns en de Nederlandse wet

De AVG zou een einde moeten maken aan dit soort trucs. "Maar de AVG is toepasbaar in zoverre er persoonsgegevens worden verwerkt", benadrukt Wouter Dammers, advocaat bij LAWFOX. Dat betekent overigens niet dat ons voorbeeld van toestemming voor crapware volgens de wet door de beugel kan. "In Nederland heb je ook nog te maken met de cookiewet, onderdeel van de Telecommunicatiewet. Daarin is het een vereiste dat een gebruiker toestemming verleent voor de installatie van ongevraagde software."

Dat staat overigens te veranderen, merkt de advocaat op, hoewel nog niet duidelijk is op welke termijn. "Er wordt nog gesteggeld over de Europese Verordening e-privacy, maar in tegenstelling tot de eerdere Richtlijn (waar de Telecommunicatiewet deels op is gebaseerd) is dit een overkoepelende Verordening." Net zoals de GDPR (AVG) de Nederlandse Wbp verving, zal deze e-privacy Verordening de Nederlandse wetgeving overstijgen. Het is dan ook interessant om tegen die tijd te zien welke bepalingen veranderen en wat daarvan de gevolgen zijn.

Nieuwsbrieven en Dark Pattern Design

De AVG is wel van toepassing op het moment dat je je inschrijft voor een nieuwsbrief. Het voorbeeld van "do not opt me out" van hierboven is dan ook tegen de Europese Verordening. Op het moment dat je je inschrijft met een persoonsgegeven (bijvoorbeeld naam of e-mailadres) moet buiten kijf staan dat dit je intentie is.

De Verordening (PDF via Autoriteit Persoonsgegevens) schrijft dan ook voor: "Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schrif­telijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt." [Vetgedrukt door redactie.]

Vrijelijk betekent dat toestemming niet afhangt van druk met een "want anders" consequentie. Laten we zeggen als je zou moeten instemmen met gegevensverzameling omdat je anders geen whitepaper ontvangt.Specifiek in deze context houdt in dat de toestemming niet gebundeld is in een hoop andere voorwaarden. Het kan niet meer gebeuren dat de gegevensverwerking is opgenomen in een algemene ToS die je maar dient te accepteren; privacy wordt apart behandeld en daar dien je een aanvullende actie voor te ondernemen. Op die manier is het fnuikende voorbeeld van hierboven dus wél goed bezig, omdat ToS en privacybeleid apart worden behandeld.

Geïnformeerd houdt in dat je als consument ziet waarom deze gegevens nodig zijn en met wie deze al dan niet worden gedeeld. Je moet als gebruiker in theorie de impact kunnen begrijpen van het delen van gegevens en je keuze om al dan niet te delen dus kunnen inschatten. Ondubbelzinnig is vooral in de context van Dark Pattern UX van belang: je moet duidelijk zien wat je doet. Geen vooraf aangevinkte vakjes, "ik wil niet geen reclame ontvangen" of andere dubbelzinnigheid.

De kracht van default

Diverse Consent Management Platforms (CMP) lijken de grenzen af te tasten van de diverse privacywetgevingen die geïnformeerde toestemming bestieren. Een CMP ken je ongetwijfeld van de melding op sites die je bezoekt die veelal begint met "we stellen uw privacy op prijs" gevolgd door een serie opties voordat je verder gaat op de sites. Zodra er een cookie wordt geplaatst, is de Telecommunicatiewet van toepassing en als er gegevens worden opgeslagen, loop je al snel tegen de AVG aan.

Om een CMP-melding goed door te nemen en keuzes te maken, ben je wel enige minuten zoet op sommige sites. Daar rekenen veel aanbieders op door de optie om alles maar te accepteren en vlug verder te gaan groot en groen te maken, terwijl de optie om bijvoorbeeld trackers en cookies te beheren een kleinere link daaronder wordt weergegeven (zoals we zien bij een niet nader te noemen grote Vlaamse site).

Dark Pattern Design blijft bestaan

Dit zie je in de praktijk vaker terug: het ontwerp is zo gemaakt dat het omslachtig is om je instellingen te beheren, terwijl het heel simpel is om alles te accepteren. Het hele design is erop gericht om gebruikers zoveel mogelijk onder druk te zetten om de keuze te maken die voor de website het beste is en in te spelen op de gemakzucht van de gemiddelde gebruiker. Denk aan grote groene knoppen om privacyvoorwaarden te accepteren en een rode om ze te verwerpen. Of een melding die het laat lijken alsof je een keuze moet maken omdat anders de site niet goed werkt (wat ook niet meer zou moeten mogen). Of een submenu met overweldigend veel opties die het een hele klus maken ze door te nemen tegenover een simpel menu om alles te accepteren.

Al deze designs zijn erop gericht om gebruikers de default te laten accepteren ("Got it!" zie je vaak terug) en diverse privacy- en technologiewetten veranderen die designinsteek niet, maar maken overtuigende, genuanceerde designtrucs alleen maar belangrijker. "Dark Pattern Design is zeker nog relevant", zegt Dammers van LAWFOX dan ook.