Dark patterns in cookie consent notices
Door Artikel IB2-2023 Jelle Slotman 16 jun 2023
Auteur: Jelle Slotman is Senior Security Consultant bij Sogeti Nederland en onlangs als Master afgestudeerd aan de Hogeschool Utrecht. Hij is te bereiken onder jelle.slotman@tutanota.com. Dit artikel is een excerpt van de master scriptie van de Master of Informatics aan de Hogeschool Utrecht dd. november 2022.
Wie regelmatig surft op het internet wordt doodgegooid met allerlei cookie verzoeken. Waar ‘cookie consent notices’ ooit zijn bedacht om de eindgebruiker te voorzien van zelfbeschikking en transparantie, lijkt het alsof websites alle mogelijkheden aanwenden om het tegenovergestelde te bereiken door het gebruik van ‘dark patterns’. In dit artikel wil ik de lezer meenemen in de door mij uitgevoerde studie en de mogelijke oplossing voor een ethisch ‘cookie consent design’.
Wat zijn cookies en wat is het probleem?
Web services gebruiken cookies voor het volgen van gebruikers met verschillende doeleinden. Cookies zijn kleine bestanden die het volgen van gebruikers mogelijk maakt. Zo kunnen webshops door middel van cookies een digitale winkelwagen of (anonieme) analytics bijhouden over het gebruik van de website. Deze cookies worden functionele of analytische cookies genoemd. De kern van eerder genoemde verwerkingen is dat deze anoniem zijn. Echter, als de gebruiker geïdentificeerd kan worden dan dient deze goedkeuring te geven in lijn met de Privacy richtlijn 2002 (ook wel bekend als de cookiewet) en de Algemene Verordening Gegevensbescherming (AVG).
Dit kan bijvoorbeeld gaan om verwerking voor bepaalde marketing activiteiten of het bijhouden van data om de gebruiker een gepersonaliseerd beeld te geven. Het belangrijkste punt hierbij is dat de website de gebruiker voldoende middelen geeft om op een geïnformeerde wijze een besluit te kunnen maken over de verwerking van persoonsgegevens.
Dit is precies het punt waar het in de praktijk verkeerd gaat. Verschillende studies binnen het praktische en wetenschappelijke domein hebben aangetoond dat veel websites gebruikmaken van verschillende visuele of tekstuele implementaties van het geven van een ‘consent’ om te bereiken dat de eindgebruiker zo snel mogelijk op de ‘accept all cookies’ klikt. Deze implementaties worden ook wel ‘dark patterns’ genoemd. Dark patterns zorgen ervoor dat het gebruikers (nagenoeg) onmogelijk gemaakt wordt om geïnformeerde beslissingen te nemen over het verwerken van persoonsgegevens. Een voorbeeld is te vinden in figuur 1, weergave van de website van gereedschapcentrum.nl (24-01-2023).
Figuur 1, bron: gereedschapscentrum.nl.
Er zijn een paar dingen die de gebruiker bijna dwingen tot accepteren. Als eerste valt op dat het lijkt alsof je de cookies alleen maar kunt accepteren door op de groene button te klikken. Echter, bij het lezen van de tekst blijkt er wel de mogelijkheid om te weigeren, al wordt de gebruiker overduidelijk gestuurd om op de button te klikken en impliciet alle cookies te accepteren. Hoewel dit slechts een klein voorbeeld is, zijn er legio verschillende manieren om gebruikers te beïnvloeden. De irritatie die dit bij mij opwekte heeft er uiteindelijk voor gezorgd dat ik deze patronen (of patterns) ben gaan bestuderen en daarmee verandering hoop te brengen in het huidige klimaat. Dit heb ik gedaan door een lijst criteria op te stellen die zorgen voor een ethisch verantwoorde en GDPR compliant cookie consent notice.
Uitvoering van de studie
De uitgevoerde studie is gebaseerd op de Design Science methodologie van Peffers. Dit is een wetenschappelijke benadering voor het uitwerken van een design artefact en leent zich uitstekend voor het ontwikkelen van de checklist. De in het onderzoek gebruikte methodologie is opgebouwd uit vijf stappen, te weten: het definiëren van het probleem, het definiëren van de oplossing, het ontwikkelen van de oplossing, demonstratie van het artefact en het communiceren van de resultaten.
- Definiëren van het probleem en definiëren van de oplossing
Door middel van literatuurstudie in professionele en wetenschappelijke context is de probleemstelling opgesteld. Uit het onderzoek is gekomen dat er op het moment een disconnect heerst tussen compliance en ethiek. Ethische richtlijnen voor gebruik van dark patterns zijn onvoldoende meegenomen en geven onvoldoende richtlijnen om ‘informed consent’ mogelijk te maken. Om bovenstaand probleem op te lossen zou er een checklist moeten komen die ervoor zorgt dat een cookie consent notice compliant is en dark patterns voorkomt. Door gebruik van het anti-pattern zou een weg naar ethisch cookie consent mogelijk gemaakt moeten worden. - Design en development van de checklist
De basis voor de checklist is een lijst van items uit de AVG guidelines (consent en transparantie) die samen het geheel aan richtlijnen toont. Deze lijst vormde een opsomming van alle vereisten die gesteld worden door de Europese commissie. Vervolgens is er op basis van wetenschappelijk onderzoek een specifieke lijst met dark patterns (tabel 1) gevonden, die van toepassing zijn op consent.
De eerste versie van het model is bereikt door een mapping uit te voeren van de dark patterns op de lijst met compliance criteria. Deze gezamenlijke lijst heeft tot de eerste versie van de checklist geleid.
Tabel 2 toont de checklist items met daarbij het/de relevante dark pattern(s).
Deze eerste checklist is voorgelegd aan een panel van security/privacy specialisten (n=10), waarbij de bruikbaarheid van de items is getoetst en een rangschikking is gemaakt op basis van de belangrijkheid voor cookie consent design. Dit leverde een gevalideerde en gerangschikte lijst op, die aan de hand van een case is voorgelegd aan twee design specialisten.
- Demonstratie
Het doel voor de onderzoeksfase was het demonstreren van het artefact in een praktische situatie (n=2). De demonstratie leverde feedback op ter verbetering van het artefact. Hierbij is voornamelijk gefocust op het opstellen van guidelines ter verduidelijking van de checklist. Verder is aan de hand van feedback discussie op de resultaten gevoerd. - Eindresultaat
Het uitvoeren van de studie heeft geleid tot onderstaande checklist (tabel 3). De guidelines zijn beschreven op basis van de input van de design professionals en de uitkomsten van de Delphi study.
De studie heeft een goede eerste versie geleverd voor de checklist. Met bovenstaande checklist kunnen design professionals een cookie consent notice beschrijven op basis van de criteria. Hoewel er een aantal praktische uitdagingen zijn met betrekking tot het gebruikte jargon en de structuur van de checklist, kan dit artefact als succesvol en bruikbaar bestempeld worden.
Opmerkingen en aanbevelingen
Naast aanpassingen qua structuur en jargon, is een aanbeveling voor vervolgonderzoek om de demonstratiefase uit te voeren met een bredere ‘sample group’. Dit zou ertoe kunnen leiden dat de checklist bruikbaarder wordt voor verschillende doelgroepen. Verder is het vervalmoment van consent een terugkerend thema geweest binnen de studie, waarbij zowel binnen de Delphi studie als bij de demonstratie genoemd werd dat een gegeven consent niet voor altijd zou moeten zijn. Vervolgonderzoek zou kunnen uitwijzen of dit een relevant thema is en op welke wijze het vervalmoment van consent geïmplementeerd kan worden.
Afsluitend is er in de praktijk een ontwikkeling te bemerken als het gaat om cookie consent. Waarbij in de ‘oude’ situatie voornamelijk gebruik werd gemaakt van een doorzichtige implementatie van de ‘bad defaults’ (zie ook de tabel 1 met dark Patterns) is er in het veld te zien dat steeds meer websites gebruikmaken van de ‘legitimate interest’, welke default op aan staat.
Hoewel er voor marketing speciale wetten gelden binnen de AVG, valt hier vooral de niet-transparante wijze op met als doel zo veel mogelijk data te vergaren.
Vervolgonderzoek zou kunnen focussen op hoe groot het huidige probleem van onjuist gebruik van legitiem belang is en voorstellen kunnen doen om de huidige regels duidelijker te kunnen stellen. Dit zorgt voor verbetering van de checklist en zorgt ervoor dat eindgebruikers zonder beïnvloeding keuzes kunnen maken over de verwerking van persoonsgegevens.
Dit artikel verscheen in IB2-2023.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.