De European Data Protection Board (EDPB) heeft nieuwe richtlijnen vastgesteld om dark patterns op sociale media te herkennen. Daarnaast heeft de koepelorganisaties regels op papier gezet over de samenwerking tussen Europese toezichthouders. Iedereen die opmerkingen of suggesties heeft, kan deze tot en met 2 mei doorgeven aan de EDPB.
Dat meldt de Autoriteit Persoonsgegevens in een persbericht. De nieuwe regels zijn vastgesteld tijdens de vergadering van de EDPB op maandag 14 maart.
Dark patterns herkennen
Als je de term dark patterns hoort, denk je misschien aan het dark web, het afgesloten deel van het internet. Niets is minder waar. Dark patterns zijn patronen in de user interface om gebruikers ertoe aan te zetten een keuze te maken die ze eigenlijk niet willen maken. Denk bijvoorbeeld aan de optie ‘accepteer alle cookies of je krijgt geen toegang tot de website’. Als je benieuwd bent wat een site te bieden heeft, zul je geneigd zijn om hiermee in te stemmen.
Bezoekers overladen met privacyinformatie en opties, is een ander voorbeeld van een dark pattern. Dat geldt ook voor het weglaten van relevante informatie over het privacybeleid, of het onduidelijk ontwerpen van de interface met het doel om meer persoonsgegevens te verzamelen en verwerken.
Europese wetgeving verbiedt dit soort ‘keuzes’ en praktijken, maar de werkelijkheid is dat het geregeld toch gebeurt. Om daar iets aan te doen heeft de EDPB, een onafhankelijk Europees orgaan waarin alle nationale privacytoezichthouders van de EU zijn vertegenwoordigd, een document opgesteld: de Guidelines on Dark Patterns in Social Media Platform Interfaces: How to Recognise and Avoid them. Daarin geeft de organisatie praktische aanbevelingen aan ontwerpers en gebruikers van sociale media om dit soort patronen te herkennen en vermijden.
Als je vragen, opmerkingen of suggesties hebt, kun je deze tot en met 2 mei doorgeven aan de EDPB.
Zo werkt het eenloketsysteem
Tevens heeft de EDPB richtlijnen opgesteld om de samenwerking tussen meerdere nationale privacywaakhonden te bevorderen en verbeteren. Dat wordt geregeld in artikel 60 van de Algemene Verordening Gegevensbescherming (AVG).
Artikel 60 vormt de basis van het zogeheten one stop shop mechanisme, ook wel het eenloketmechanisme genoemd. Dat houdt in dat de nationale toezichthouder van het land waar het hoofdkantoor van een bedrijf waartegen een privacyklacht loopt, handhavend mag optreden. De AVG noemt deze partij de ‘leidende toezichthoudende autoriteit’.
De AVG regelt verder dat de leidende toezichthouder zijn collega’s uit andere Europese lidstaten om hulp mag vragen. Het Spaanse recruitmentbureau Michael Page dat een boete van bijna een kwart miljoen euro kreeg van de AEPD nadat een Nederlander een klacht had ingediend bij de Autoriteit Persoonsgegevens, is een voorbeeld van hoe een boete door nauwe samenwerking tot stand komt. Op dezelfde manier kreeg het Spaanse Hotel Marins Playa recentelijk een boete van 30.000 euro.
Nieuwe richtlijnen voor artikel 60 AVG
De nieuwe richtlijnen over artikel 60 zijn vastgelegd in het document Guidelines on the Application of Article 60 GDPR. De richtlijnen zijn primair bedoeld voor de Europese toezichthouders, maar ook voor organisaties en andere betrokkenen kunnen ze relevant zijn. Ze geven inzicht in hoe de samenwerking op Europees niveau is geregeld.
Omdat de richtlijnen oorspronkelijk bedoeld zijn voor toezichthouders, is het niet mogelijk om op het voorstel te reageren.
