Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

European Data Protection Board

View source

Nov 21, 2025 edpb-guidelines-misleidende-ontwerppatronen Source

Content

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

Versie 2.0

Vastgesteld op 14 februari 2023

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	14 februari 2023	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	14 maart 2022	Vaststelling van de richtsnoeren voor openbare raadpleging

SAMENVATTING

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, functionarissen voor gegevensbescherming en beleidsmakers. Het is belangrijk op te merken dat de lijst met misleidende ontwerppatronen en beste praktijken, evenals de praktijkvoorbeelden, niet uitputtend zijn. Aanbieders van sociale media blijven verantwoordelijk en aansprakelijk voor het waarborgen van de naleving van de AVG op hun platforms.

Misleidende ontwerppatronen in interfaces van socialemediaplatforms

In de context van deze richtsnoeren worden 'misleidende ontwerppatronen' beschouwd als interfaces en gebruikersreizen op socialemediaplatforms die gebruikers pogen te beïnvloeden om onbedoelde, ongewenste en potentieel schadelijke beslissingen te nemen, vaak een beslissing die in strijd is met de belangen van de gebruikers en in het voordeel van de belangen van de socialemediaplatforms, met betrekking tot de verwerking van hun persoonsgegevens. Misleidende ontwerppatronen hebben tot doel het gedrag van gebruikers te beïnvloeden en kunnen hun vermogen om hun persoonsgegevens effectief te beschermen en bewuste keuzes te maken, belemmeren. Gegevensbeschermingsautoriteiten zijn verantwoordelijk voor het bestraffen van het gebruik van misleidende ontwerppatronen als deze een inbreuk vormen op de vereisten van de AVG. De misleidende ontwerppatronen die in deze richtsnoeren worden behandeld, kunnen in de volgende categorieën worden onderverdeeld:

overladen : gebruikers worden geconfronteerd met een stortvloed aan of een grote hoeveelheid verzoeken, informatie, opties of mogelijkheden, om hen ertoe aan te zetten meer gegevens te delen of onbedoeld de verwerking van persoonsgegevens toe te staan waar de betrokkene dat niet verwacht.

De volgende drie soorten misleidende ontwerppatronen vallen in deze categorie: aanhoudend prompten , privacydoolhof en overdaad aan opties

overslaan : het dusdanig ontwerpen van de interface of gebruikersreis dat gebruikers alle of sommige aspecten van gegevensbescherming vergeten of er niet over nadenken. De volgende twee soorten misleidende ontwerppatronen vallen in deze categorie: misleidend gemak en kijk daar
inspelen op emoties : de keuze die gebruikers zouden maken, beïnvloeden door een beroep te doen op hun emoties of door ze visueel te 'porren'.

De volgende twee soorten misleidende ontwerppatronen vallen in deze categorie: emotioneel sturen en in het zicht verborgen

obstructie : het belemmeren of tegenhouden van gebruikers bij het vinden van informatie of het beheren van hun gegevens door de actie moeilijk of onmogelijk te maken.

De volgende drie soorten misleidende ontwerppatronen vallen in deze categorie: doodlopende weg , langer dan nodig en misleidende handeling

grilligheid : het ontwerp van de interface is niet consistent en niet duidelijk, waardoor het voor de gebruiker moeilijk is om door de verschillende besturingselementen voor gegevensbescherming te navigeren en het doel van de verwerking te begrijpen. De volgende vier soorten misleidende ontwerppatronen vallen in deze categorie: ontbreken
van hiërarchie , decontextualisering , inconsistente interface en taaldiscontinuïteit
onduidelijkheid : een interface is zo ontworpen dat informatie of besturingselementen voor gegevensbescherming verborgen zijn of dat het gebruikers niet duidelijk is hoe hun gegevens worden verwerkt en in hoeverre zij hun rechten in dat verband zouden kunnen uitoefenen. De volgende twee soorten misleidende ontwerppatronen vallen in deze categorie: tegenstrijdige informatie en onduidelijke bewoordingen of informatie

Relevante AVG-bepalingen betreffende de beoordeling van misleidende ontwerppatronen

Met betrekking tot de naleving van de regels inzake gegevensbescherming voor gebruikersinterfaces van online-applicaties binnen de sector sociale media, zijn de toepasselijke beginselen inzake gegevensbescherming uiteengezet in artikel 5 AVG. Het in artikel 5, lid 1, punt a), AVG neergelegde beginsel van behoorlijke verwerking dient als uitgangspunt om te beoordelen of een ontwerppatroon daadwerkelijk een 'misleidend ontwerppatroon' vormt. Verdere beginselen die een rol spelen bij deze beoordeling zijn die van transparantie, minimale gegevensverwerking en verantwoordingsplicht op grond van artikel 5, lid 1, punten a) en c), en lid 2, AVG, evenals, in sommige gevallen, doelbinding op grond van artikel 5, lid 1, punt b), AVG. In andere gevallen is de juridische beoordeling ook gebaseerd op toestemmingsvoorwaarden op grond van artikel 4, lid 11, en artikel 7, AVG of andere specifieke verplichtingen, zoals artikel 12, AVG. Uiteraard moet in het kader van de rechten van betrokkenen ook rekening worden gehouden met het derde hoofdstuk van de AVG. Tot slot spelen de vereisten van gegevensbescherming door ontwerp en door standaardinstellingen uit hoofde van artikel 25, AVG een cruciale rol, omdat het toepassen ervan voordat een interfaceontwerp wordt gelanceerd, aanbieders van sociale media in de eerste plaats zou helpen misleidende ontwerppatronen te vermijden.

Voorbeelden van misleidende ontwerppatronen in praktijkvoorbeelden betreffende de levenscyclus van een account op sociale media

De bepalingen van de AVG zijn van toepassing op het gehele proces van de verwerking van persoonsgegevens als onderdeel van de werking van socialemediaplatforms, d.w.z. op de gehele levenscyclus van een gebruikersaccount. De EDPB geeft concrete voorbeelden van soorten misleidende ontwerppatronen voor de volgende verschillende praktijkvoorbeelden binnen deze levenscyclus: de aanmelding, oftewel het registratieproces; de praktijkvoorbeelden voor informatie, met betrekking tot de privacyverklaring, gezamenlijke verantwoordelijkheid voor de verwerking en communicatie over gegevenslekken; de toestemming en het gegevensbeschermingsbeheer; de uitoefening van rechten van betrokkenen tijdens het gebruik van sociale media; en tot slot het verwijderen van een account op sociale media. Het verband met de AVG-bepalingen wordt op twee manieren uitgelegd: ten eerste legt elk praktijkvoorbeeld in meer detail uit welke van de bovengenoemde AVG-bepalingen bijzonder relevant zijn. Ten tweede wordt in de tekst rond de voorbeelden van misleidende ontwerppatronen uitgelegd hoe deze inbreuk maken op de AVG.

Aanbevelingen voor beste praktijken

Naast de voorbeelden van misleidende ontwerppatronen worden in de richtsnoeren ook beste praktijken gepresenteerd aan het einde van elk praktijkvoorbeeld, evenals in bijlage II bij deze richtsnoeren. Deze bevatten specifieke aanbevelingen voor het ontwerpen van gebruikersinterfaces die de effectieve uitvoering van de AVG vergemakkelijken.

Checklist van categorieën misleidende ontwerppatronen

Een checklist met categorieën misleidende ontwerppatronen is te vinden in bijlage I bij deze richtsnoeren. Hierin wordt een overzicht gegeven van de bovengenoemde categorieën en de soorten misleidende ontwerppatronen, en ook een lijst met voorbeelden voor elk patroon dat in de praktijkvoorbeelden wordt genoemd. Sommige lezers kunnen het nuttig vinden om de checklist als uitgangspunt te gebruiken bij het lezen van deze richtsnoeren.

Inhoudsopgave

	Toepassingsgebied ...........................................................................................................................9	Toepassingsgebied ...........................................................................................................................9
	Toepasselijke beginselen - waarmee moet rekening worden gehouden?..................................13	Toepasselijke beginselen - waarmee moet rekening worden gehouden?..................................13
2.1	Verantwoordingsplicht...........................................................................................................14
2.2	Transparantie .........................................................................................................................14
2.3	Gegevensbescherming door ontwerp en door standaardinstellingen..................................15
3	De levenscyclus van een account op sociale media: de beginselen in de praktijk........................17	De levenscyclus van een account op sociale media: de beginselen in de praktijk........................17
3.1	Een account op sociale media aanmaken..............................................................................17
Praktijkvoorbeeld 1: een account registreren ...............................................................................17	Praktijkvoorbeeld 1: een account registreren ...............................................................................17
3.2	Geïnformeerd blijven op sociale media.................................................................................30
	Praktijkvoorbeeld 2a: een gelaagde privacyverklaring..................................................................30
Praktijkvoorbeeld 2b: het verstrekken van informatie over gezamenlijke verwerkingsverantwoordelijkheid aan de betrokkene, artikel 26, lid 2, AVG...............................37	Praktijkvoorbeeld 2b: het verstrekken van informatie over gezamenlijke verwerkingsverantwoordelijkheid aan de betrokkene, artikel 26, lid 2, AVG...............................37
Praktijkvoorbeeld 2c: mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene.....................................................................................................................................39	Praktijkvoorbeeld 2c: mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene.....................................................................................................................................39
3.3	Beschermd blijven op sociale media......................................................................................42
Praktijkvoorbeeld 3a: toestemming beheren bij het gebruik van een socialemediaplatform......42	Praktijkvoorbeeld 3a: toestemming beheren bij het gebruik van een socialemediaplatform......42
Praktijkvoorbeeld 3b: instellingen voor gegevensbescherming beheren .....................................50	Praktijkvoorbeeld 3b: instellingen voor gegevensbescherming beheren .....................................50
3.4	Beroep doen op rechten op sociale media: rechten van betrokkenen.................................58
Praktijkvoorbeeld 4: de juiste functies aanbieden voor het uitoefenen van de rechten van betrokkenen...................................................................................................................................58	Praktijkvoorbeeld 4: de juiste functies aanbieden voor het uitoefenen van de rechten van betrokkenen...................................................................................................................................58
3.5 Tot nooit weerziens: een account van sociale media verwijderen .......................................68	3.5 Tot nooit weerziens: een account van sociale media verwijderen .......................................68
Praktijkvoorbeeld 5: het account pauzeren/alle persoonsgegevens wissen ................................68	Praktijkvoorbeeld 5: het account pauzeren/alle persoonsgegevens wissen ................................68
4	Bijlage I: Lijst van categorieën misleidende ontwerppatronen en soorten...................................77	Bijlage I: Lijst van categorieën misleidende ontwerppatronen en soorten...................................77
4.1	Overladen ...............................................................................................................................77
4.1.1 4.1.2	Aanhoudend prompten ..................................................................................................77 Privacydoolhof ................................................................................................................78
4.1.3
4.2	Overdaad aan opties .......................................................................................................78
	Overslaan ................................................................................................................................78	Overslaan ................................................................................................................................78
4.2.1	Misleidend gemak ..........................................................................................................78
4.2.2	Kijk daar ..........................................................................................................................79
4.3	Inspelen op emoties: ..............................................................................................................79	Inspelen op emoties: ..............................................................................................................79
4.3.1	Emotioneel sturen ..........................................................................................................79
4.3.2	In het zicht verborgen ....................................................................................................80
4.4	Obstructie ...............................................................................................................................80
4.4.1	Doodlopende weg ..........................................................................................................80

4.4.2	Langer dan nodig ............................................................................................................81
4.4.3	Misleidende handelingen ...............................................................................................81
4.5	Grilligheid ...............................................................................................................................81
4.5.1	Ontbreken van hiërarchie ...............................................................................................81
4.5.2	Decontextualisering ........................................................................................................82
4.5.3	Inconsistente interface ...................................................................................................82
4.5.4	Taaldiscontinuïteit ..........................................................................................................82
4.6	Onduidelijkheid ......................................................................................................................83
4.6.1	Tegenstrijdige informatie ...............................................................................................83
4.6.2	Onduidelijke bewoordingen of informatie .....................................................................83

Bijlage II: Beste praktijken .............................................................................................................. 85

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en met name bijlage XI en Protocol nr. 37, gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 TOEPASSINGSGEBIED

Het doel van deze richtsnoeren is om aanbevelingen en richtlijnen te geven voor het ontwerp van de interfaces van socialemediaplatforms. Voor de toepassing van deze richtsnoeren wordt onder sociale media verstaan: onlineplatforms die de ontwikkeling mogelijk maken van netwerken en gemeenschappen van gebruikers voor het delen van informatie en inhoud 2 . De richtsnoeren kunnen worden gebruikt in de ontwerpfase van een gebruikersinterface, om vanaf het begin de uitvoering van misleidende ontwerppatronen 3 te voorkomen, of voor een bestaande dienst, om de conformiteit van de interface te evalueren. Ze zijn gericht op aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, die verantwoordelijk zijn voor het ontwerp en de werking van socialemediaplatforms. In dit verband willen de richtsnoeren de verplichtingen in herinnering brengen die voortvloeien uit de AVG, met een speciale verwijzing naar de beginselen van rechtmatigheid, behoorlijkheid, transparantie, doelbinding en minimale gegevensverwerking bij het ontwerpen van gebruikersinterfaces en de presentatie van de inhoud van hun webdiensten en apps. De hiervoor genoemde beginselen moeten op een zinvolle manier worden uitgevoerd en vormen vanuit technisch oogpunt vereisten voor het ontwerp van software en diensten, waaronder gebruikersinterfaces. Er wordt een diepgaande studie gemaakt van het vereiste van de AVG wanneer dit wordt toegepast op gebruikersinterfaces en de presentatie van inhoud, en er zal worden verduidelijkt wat moet wo rden beschouwd als een 'misleidend ontwerppatroon': een manier om inhoud te ontwerpen en te presenteren die deze vereisten substantieel schendt, terwijl het lijkt alsof deze er formeel aan voldoet. Deze richtsnoeren zijn ook geschikt voor het vergroten van het bewustzijn van gebruikers over hun rechten en de risico's die mogelijk voortvloeien uit het delen van te veel gegevens of het ongecontroleerd delen van hun gegevens. Deze richtsnoeren zijn ook bedoeld om

11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_nl_0.pdf.

3 Voor versie 2.0 van deze richtsnoeren gebruikt de EDPB de meer inclusieve en beschrijvende term 'misleidend ontwerppatroon' in plaats van 'donker patroon'.

gebruikers te leren hoe ze 'misleidende patronen' (zoals hierna gedefinieerd) kunnen herkennen en hoe ze ermee om kunnen gaan, om hun privacy op een bewuste manier te beschermen. Als onderdeel van de analyse is de levenscyclus van een account op sociale media onderzocht aan de hand van vijf praktijkvoorbeelden: 'Een account op sociale media openen' (praktijkvoorbeeld 1), 'Geïnformeerd blijven op sociale media' (praktijkvoorbeeld 2), 'Beschermd blijven op sociale media' (praktijkvoorbeeld 3), 'Beroep doen op rechten op sociale media: de rechten van betrokkenen' (praktijkvoorbeeld 4) en 'Tot nooit weerziens: een account van sociale media verwijderen' (praktijkvoorbeeld 5).
In deze richtsnoeren verwijst de term 'gebruikersinterface' naar de middelen waarmee mensen kunnen communiceren via socialemediaplatforms. Het document richt zich op grafische gebruikersinterfaces (bv. de interfaces zoals die worden gebruikt op een computer of smartphone), maar sommige opmerkingen kunnen ook van toepassing zijn op spraakgestuurde interfaces (bv. zoals gebruikt voor slimme luidsprekers) of op gebaren gebaseerde interfaces (bv. zoals gebruikt in virtual reality). De term 'gebruikersreis' verw ijst naar de reeks acties of de stappen die gebruikers moeten doorlopen om hun doel te bereiken, wat op sociale netwerken dingen kunnen zijn zoals door hun feed bladeren, een bericht delen, hun voorkeuren instellen enz. De term 'gebruikerservaring' verwijs t naar de algehele ervaring die gebruikers hebben met socialemediaplatforms, waaronder het waargenomen nut, het gebruiksgemak en de efficiëntie van de interactie. Het ontwerpen van gebruikersinterfaces en gebruikerservaringen is de afgelopen tien jaar voortdurend in ontwikkeling geweest. Meer recent is gekozen voor universele, gepersonaliseerde en zogenaamd naadloze gebruikersinteracties en ervaringen: de perfecte interface moet zeer persoonlijk, gebruiksvriendelijk en multimodaal zijn 4 . Hoewel deze trends het gebruiksgemak van digitale diensten kunnen vergroten, kunnen ze op een dusdanige manier worden gebruikt dat ze voornamelijk gebruikersgedrag bevorderen dat indruist tegen de geest van de AVG 5 . Dit is vooral relevant in de context van de aandachtseconomie, waar aandacht van de gebruiker als een product wordt beschouwd. In die gevallen kunnen de wettelijk toegestane limieten van de AVG worden overschreden en worden het ontwerp van de interface en het ontwerp van de gebruikerservaring die tot dergelijke gevallen leiden hieronder beschreven als een 'misleidend ontwerppatroon'.
In de context van deze richtsnoeren worden 'misleidende ontwerppatronen' beschouwd als interfaces en gebruikersreizen op socialemediaplatforms die gebruikers pogen te beïnvloeden om onbedoelde, respectievelijk ongewenste en/of potentieel schadelijke beslissingen te nemen, vaak een beslissing die in strijd is met de belangen van de gebruikers en in het voordeel van de belangen van de socialemediaplatforms met betrekking tot hun persoonsgegevens. Misleidende ontwerppatronen hebben tot doel het gedrag van gebruikers te beïnvloeden, meestal op basis van cognitieve vooroordelen, en kunnen hun vermogen belemmeren om 'hun persoonsgegevens effectief te beschermen en bewuste keuzes te maken' 6 , bijvoorbeeld door hen niet in staat te stellen 'geïnformeerde en vrij toestemming te geven' 7 . Dit kan worden uitgebuit via verschillende aspecten van het ontwerp, zoals de kleurkeuzes van interfaces en de plaatsing van de inhoud. Omgekeerd kan,

CNIL, Shaping Choices in the Digital World , 2019. blz. 10.

CNIL, Shaping Choices in the Digital World , 2019. blz. 27.

door stimulansen en gebruiksvriendelijke ontwerpen te bieden, de realisatie van de AVG worden ondersteund.

Misleidende ontwerppatronen leiden niet noodzakelijkerwijs alleen tot een schending van de regelgeving betreffende gegevensbescherming. Misleidende ontwerppatronen kunnen bijvoorbeeld ook in strijd zijn met de regelgeving betreffende consumentenbescherming. De grenzen tussen inbreuken waartegen gegevensbeschermingsautoriteiten kunnen optreden en inbreuken waartegen nationale consumentenbeschermings-, mededingings- of andere autoriteiten kunnen optreden, kunnen elkaar overlappen 8 . Uit hoofde van de AVG zijn gegevensbeschermingsautoriteiten verantwoordelijk voor het bestraffen van het gebruik van misleidende ontwerppatronen als deze de normen voor gegevensbescherming en dus de AVG daadwerkelijk schenden. Inbreuken op de AVGvereisten moeten van geval tot geval worden beoordeeld. Alleen misleidende ontwerppatronen die binnen dit regelgevingsmandaat zouden kunnen vallen, vallen onder deze richtsnoeren. Om deze reden worden in de richtsnoeren, naast voorbeelden van misleidende ontwerppatronen, ook beste praktijken gepresenteerd die kunnen worden gebruikt om gebruikersinterfaces te ontwerpen die de effectieve uitvoering van de AVG vergemakkelijken. Dergelijke beste praktijken kunnen een eerste stap zijn naar een gestandaardiseerde manier voor gebruikers om hun gegevens effectief te controleren en hun rechten uit te oefenen.
De misleidende ontwerppatronen 9 die in deze richtsnoeren worden behandeld, zijn het resultaat van een interdisciplinaire analyse van bestaande interfaces en kunnen worden onderverdeeld in de volgende categorieën:

overladen: gebruikers worden geconfronteerd met een stortvloed aan of een grote hoeveelheid verzoeken, informatie, opties of mogelijkheden, om hen ertoe aan te zetten meer gegevens te delen of onbedoeld de verwerking van persoonsgegevens toe te staan waar de betrokkene dat niet verwacht.

overslaan: het dusdanig ontwerpen van de interface of gebruikersreis dat gebruikers alle of sommige aspecten van gegevensbescherming vergeten of er niet over nadenken.

inspelen op emoties: de keuze die gebruikers zouden maken beïnvloeden door een beroep te doen op hun emoties of door ze visueel te 'porren'.

obstructie: het belemmeren of tegenhouden van gebruikers bij het vinden van informatie of het beheren van hun gegevens door de actie moeilijk of onmogelijk te maken.

grilligheid: het ontwerp van de interface is niet consistent en niet duidelijk, waardoor het voor de gebruiker moeilijk is om door de verschillende besturingselementen voor gegevensbescherming te navigeren en het doel van de verwerking te begrijpen.

9 Categorieën misleidende ontwerppatronen en soorten misleidende ontwerppatronen binnen deze categorieën worden vetgedrukt en cursief weergegeven in de tekst van de richtsnoeren. Een gedetailleerd overzicht is opgenomen in de bijlage.

onduidelijkheid: een interface is zo ontworpen dat informatie of besturingselementen voor gegevensbescherming verborgen blijven of dat het gebruikers niet duidelijk is hoe hun gegevens worden verwerkt en in hoeverre zij hun rechten in dat verband zouden kunnen uitoefenen.

Misleidende ontwerppatronen kunnen niet alleen op basis van hun effect op het gedrag van gebruikers worden getypeerd, maar ook worden onderverdeeld in op inhoud en op interface gebaseerde patronen, om meer specifiek in te gaan op aspecten van de gebruikersinterface of gebruikersreis. Op inhoud gebaseerde patronen betreffen de feitelijke inhoud en dus ook de formulering en context van de zinnen en informatiecomponenten. Daarnaast zijn er componenten die een directe invloed hebben op de perceptie van deze factoren. Deze op interfaces gebaseerde patronen zijn gerelateerd aan de manieren om de inhoud weer te geven, er doorheen te navigeren of ermee te communiceren.
Het is essentieel om in gedachten te houden dat misleidende ontwerppatronen extra zorgen oproepen met betrekking tot de mogelijke impact op kinderen 10 die zich aanmelden bij het socialemediaplatform, en ook andere kwetsbare groepen mensen, zoals ouderen, personen met een visuele beperking of mensen die niet zo digitaal geletterd als anderen. Kwetsbare groepen zoals oudere gebruikers zijn vaak niet alleen minder goed in het herkennen van manipulatieve ontwerppraktijken, maar zijn zich er ook minder van bewust dat hun digitale gedrag kan worden beïnvloed. De AVG vereist extra waarborgen wanneer de verwerking betrekking heeft op persoonsgegevens van kinderen, omdat deze groep zich mogelijk minder bewust is van de risico's en gevolgen met betrekking tot hun rechten op het gebied van gegevensverwerking 11 . In overweging 58 wordt uitdrukkelijk gesteld dat wanneer de verwerking betrekking heeft op een kind, alle informatie moet worden verstrekt in duidelijke en eenvoudige taal die kinderen gemakkelijk kunnen begrijpen. Bovendien noemt de AVG expliciet de verwerking van persoonsgegevens, met name de gegevens van kinderen, als een van de situaties waarin een qua waarschijnlijkheid en ernst uiteenlopend risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade 12 .
Het bovenstaande in gedachten houdend, moet worden gerealiseerd dat misleidende ontwerppatronen niet uniek zijn voor socialemediaplatforms. Tijdens de openbare raadpleging over deze richtsnoeren werden sterke meningen over deze kwestie geuit. In veel andere gevallen waarin gebruikers communiceren met producten en diensten op basis van of in verband met gegevensverwerkingsactiviteiten, zijn interfaces aanwezig. Dit kunnen websites zijn, of cookiebanners 13 , onlinewinkels, videogames, mobiele applicaties en microbetalingen enz. Hoewel de hieronder beschreven misleidende ontwerppatronen mogelijk niet in exact dezelfde vorm aanwezig zijn, kunnen variaties daarop nog steeds inbreuk maken op de rechten van betrokkenen of consumenten. Niettemin richten deze richtsnoeren zich uitsluitend op misleidende ontwerppatronen

11 AVG, overweging 38.

11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_nl_0.pdf.

op socialemediaplatforms, aangezien de invloed van deze platforms op het dagelijks leven van mensen en naties alsmaar toeneemt, wat duidelijk naar voren komt in eerdere EDPB-documenten 14 .

2 TOEPASSELIJKE BEGINSELEN -WAARMEE MOET REKENING WORDEN GEHOUDEN?

Met betrekking tot de naleving van de regels inzake gegevensbescherming voor gebruikersinterfaces van online-applicaties binnen de sector sociale media, zijn de toepasselijke beginselen inzake gegevensbescherming uiteengezet in artikel 5 AVG. Het in artikel 5, lid 1, punt a), AVG neergelegde beginsel van behoorlijke verwerking dient als uitgangspunt om te beoordelen of er sprake is van een misleidend ontwerppatroon. Zoals de EDPB al zei, is behoorlijkheid een overkoepelend beginsel op grond waarvan persoonsgegevens niet mogen worden verwerkt op een manier die nadelig, onwettig discriminerend, onverwacht of misleidend is voor de betrokkene 15 . Als de interface onvoldoende of misleidende informatie voor gebruikers bevat en voldoet aan de kenmerken van misleidende ontwerppatronen, kan deze worden geclassificeerd als onbehoorlijke verwerking. Het behoorlijkheidsprincipe heeft een overkoepelende functie en alle misleidende ontwerppatronen zouden hier niet aan voldoen, ongeacht of andere gegevensbeschermingsbeginselen worden nageleefd.
Naast deze fundamentele bepaling van de behoorlijkheid van de verwerking, zijn de beginselen van verantwoordingsplicht, transparantie en de verplichting van gegevensbescherming door ontwerp zoals vermeld in artikel 25 AVG ook relevant met betrekking tot het ontwerpkader en kunnen misleidende ontwerppatronen inbreuk maken op die bepalingen. Het is echter ook mogelijk dat de juridische beoordeling van misleidende ontwerppatronen kan worden gebaseerd op de elementen van algemene definities zoals artikel 4, lid 11, AVG, de definitie van toestemming of andere specifieke verplichtingen, zoals artikel 12, AVG. In artikel 12, lid 1, eerste zin, AVG wordt vereist dat verwerkingsverantwoordelijken passende maatregelen nemen om alle communicatie met betrekking tot de rechten van betrokkenen, evenals alle informatie, in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te verstrekken. Zoals uit overweging 39, derde zin, over het transparantiebeginsel blijkt, is dit vereiste echter niet beperkt tot kennisgevingen inzake gegevensbescherming 16 of de rechten van betrokkenen 17 , maar is het van toepassing op alle informatie en communicatie met betrekking tot de verwerking van persoonsgegevens. De vijfde zin van de overweging verduidelijkt ook dat natuurlijke personen bewust moeten worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen.

14 Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media, EDPB, Verklaring 2/2019 over het gebruik van persoonsgegevens in de loop van politieke campagnes

https://www.edpb.europa.eu/sites/default/files/files/file1/edpb-2019-03-13-statement-on-elections\_nl.pdf.

16 Dit wordt behandeld in deel 3.2. -praktijkvoorbeeld 2a van deze richtsnoeren.

17 Dit wordt behandeld in praktijkvoorbeelden 4 en 5, oftewel delen 3.4 en 3.5 van deze richtsnoeren.

Vastgesteld 13

Voor het ontwerpen van gebruikersinterfaces van onlineapplicaties is het ook belangrijk om rekening te houden met het beginsel van doelbinding op grond van artikel 5, lid 1, punt b), AVG, evenals het beginsel van minimale gegevensverwerking op grond van artikel 5, lid 1, punt c), AVG. In ieder geval, om de naleving van de gegevensbescherming te waarborgen, wordt de verwerkingsverantwoordelijken nadrukkelijk geadviseerd om de naleving van alle gegevensbeschermingsbeginselen uit hoofde van de AVG dubbel te controleren.

2.1 Verantwoordingsplicht

Het verantwoordingsbeginsel moet worden weerspiegeld in het ontwerp van elke gebruikersinterface.
In artikel 5, lid 2, AVG is bepaald dat een verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de AVG-beginselen die worden beschreven in artikel 5, lid 1, AVG en moet kunnen aantonen dat hij die beginselen naleeft. Daarom hangt dit beginsel nauw samen met de hierboven genoemde relevante beginselen. Verantwoording kan bestaan uit elementen die aantonen dat de aanbieder van sociale media voldoet aan de AVG. De gebruikersinterface en de gebruikersreis kunnen worden gebruikt als een documentatietool, om aan te tonen dat gebruikers tijdens hun acties op het socialemediaplatform informatie over gegevensbescherming hebben gelezen en in aanmerking hebben genomen, vrij hun toestemming hebben gegeven, gemakkelijk hun rechten hebben kunnen uitoefenen enz. Kwalitatieve en kwantitatieve gebruikersonderzoeksmethoden, zoals A/B-tests, het volgen van de oogbewegingen of gebruikersinterviews, en de resultaten en analyse daarvan kunnen ook worden gebruikt om het aantonen van naleving te ondersteunen. Het is belangrijk op te merken dat bij dergelijke onderzoeksmethoden vaak ook persoonsgegevens worden verwerkt, en deze verwerking daarom in overeenstemming moet zijn met de AVG. Als gebruikers bijvoorbeeld een vakje moeten aanvinken of op een van de verschillende opties voor gegevensbescherming moeten klikken, kunnen schermafbeeldingen van de interfaces dienen om te laten zien hoe de gebruikers door de informatie over gegevensbescherming navigeren en om uit te leggen hoe gebruikers een weloverwogen beslissing nemen. Resultaten van gebruikersonderzoek voor deze interface zouden aanvullende elementen opleveren die aangeven waarom de interface optimaal presteert wat het bereiken van een informatief doel betreft.
Op het gebied van gebruikersinterfaces zijn dergelijke dossierelementen te vinden in de openbaarmaking van bepaalde overeenkomsten en vooral wanneer bewijsmateriaal, bijvoorbeeld van het geven van toestemming of een leesbevestiging, wordt verkregen.

2.2 Transparantie

Het transparantiebeginsel in artikel 5, lid 1, punt a), AVG overlapt voor een groot deel met de algemene verantwoordingsplicht. Hoewel verwerkingsverantwoordelijken bepaalde gevoelige bedrijfsinformatie jegens derden moeten beschermen, kan het toegankelijk of registreerbaar maken van documentatie over de verwerking helpen om verantwoording af te leggen: er kan bijvoorbeeld een leesbevestiging worden verkregen voor een tekst die de verwerkingsverantwoordelijke volgens het transparantiebeginsel ter beschikking moet stellen. Dit kan altijd tegelijkertijd dienen om de transparantie jegens de betrokkenen te waarborgen.
Alle gegevensbeschermingsbeginselen die zijn uiteengezet in artikel 5, AVG, zijn verder gespecificeerd in de AVG. In artikel 5, lid 1, punt a), AVG is bepaald dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene transparant is. In de richtsnoeren inzake transparantie worden de elementen van transparantie zoals vastgelegd in artikel 12, AVG gespecificeerd, d.w.z. de noodzaak om de informatie te verstrekken in een 'beknopte, transparante, begrijpelijke en

gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal' 18 . Deze richtsnoeren bieden ook richtlijnen voor het voldoen aan de informatieverplichtingen op grond van de artikelen 13 en 14, AVG met betrekking tot aanbieders van sociale media.

Bovendien bevatten de tekst van de gegevensbeschermingsbeginselen van artikel 5, lid 1, punt a), AVG en andere bijzondere wettelijke bepalingen binnen de verordening veel meer details over het transparantiebeginsel, die gekoppeld zijn aan specifieke rechtsbeginselen, zoals de bijzondere transparantievereisten in artikel 7, AVG voor het verkrijgen van toestemming.

2.3 Gegevensbescherming door ontwerp en door standaardinstellingen

In artikel 25, lid 1, AVG wordt gespecificeerd dat verwerkingsverantwoordelijken passende technische en organisatorische maatregelen moeten nemen, die zijn ontworpen om de gegevensbeschermingsbeginselen uit te voeren, terwijl in artikel 25, lid 2, AVG wordt verduidelijkt dat dergelijke maatregelen ook moeten worden uitgevoerd om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek verwerkingsdoel. In het kader van de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen, zijn er enkele belangrijke elementen waarmee verwerkingsverantwoordelijken en verwerkers rekening moeten houden bij het uitvoeren van gegevensbescherming door ontwerp met betrekking tot een socialemediaplatform. Een daarvan is dat met betrekking tot het behoorlijkheidsbeginsel de informatie en opties voor gegevensverwerking op een objectieve en neutrale manier moeten worden aangeboden, waarbij misleidende of manipulatieve taal of ontwerp moet worden vermeden 19 . In de Richtsnoeren worden onder andere elementen van de beginselen voor gegevensbescherming door ontwerp en door standaardinstellingen geïdentificeerd die nog relevanter worden met betrekking tot misleidende ontwerppatronen 20 :
autonomie -betrokkenen krijgen de hoogst mogelijke mate van autonomie om te bepalen hoe hun persoonsgegevens worden gebruikt of verwerkt en in welke mate en onder welke voorwaarden dat gebeurt;
interactie -betrokkenen kunnen communiceren met de verwerkingsverantwoordelijke en hun rechten uitoefenen ten aanzien van de door deze verwerkingsverantwoordelijke verwerkte persoonsgegevens;
verwachtingen -de verwerking komt overeen met de redelijke verwachtingen van de betrokkenen;
keuze van de consument -de verwerkingsverantwoordelijke mag zijn gebruikers niet op onbehoorlijke wijze 'vasthouden'. Wanneer een dienst die persoonsgegevens verwerkt, door eigendomsrechten is beschermd, kan er sprake zijn van onbehoorlijk vasthouden als de betrokkenen hun recht van gegevensoverdraagbaarheid niet goed kunnen uitoefenen overeenkomstig artikel 20, AVG;
machtsevenwicht -machtsevenwicht is een belangrijke doelstelling voor de relatie tussen verwerkingsverantwoordelijke en betrokkene. Machtsverschillen moeten worden vermeden.

Vastgesteld 15 20 Uittreksel -voor de volledige lijst, zie de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen (EDPB), punt 70.

Wanneer dit niet mogelijk is, moeten zij worden erkend en moeten er passende tegenmaatregelen worden genomen;

geen misleiding -informatie over en opties voor gegevensverwerking worden op een objectieve en neutrale manier aangeleverd, zonder misleidende of manipulerende bewoordingen of vormgevingen;
eerlijk -de verwerkingsverantwoordelijke stelt informatie beschikbaar over de manier waarop hij persoonsgegevens verwerkt, doet wat hij belooft en misleidt de betrokkenen niet.
Naleving van gegevensbescherming door ontwerp en door standaardinstellingen is belangrijk bij het beoordelen van misleidende ontwerppatronen, omdat dit in de eerste plaats zou resulteren in het vermijden ervan. Het toetsen van de diensten en bijbehorende interfaces van een aanbieder aan de elementen die beginselen voor gegevensbescherming door ontwerp en door standaardinstellingen omvatten, zoals hierboven genoemd, zal inderdaad helpen om aspecten van de dienst die een misleidend ontwerppatroon zouden vormen, te identificeren voordat de dienst wordt gelanceerd. Als er bijvoorbeeld informatie over gegevensbescherming wordt verstrekt zonder het beginsel 'geen misleiding' te volgen, is dit waarschijnlijk een misleidend ontwerppatroon van de soort in het zicht verborgen of emotioneel sturen , die beide verder worden uitgewerkt in praktijkvoorbeeld 1.

3 DE LEVENSCYCLUS VAN EEN ACCOUNT OP SOCIALE MEDIA: DE BEGINSELEN IN DE PRAKTIJK

De AVG is van toepassing op het gehele proces van de verwerking van persoonsgegevens via geautomatiseerde middelen 21 . In het geval van verwerking van persoonsgegevens als onderdeel van de werking van socialemediaplatforms houdt dit in dat de AVG en de beginselen ervan op de gehele levenscyclus van een gebruikersaccount van toepassing zijn.

3.1 Een account op sociale media aanmaken

Praktijkvoorbeeld 1: een account registreren

a. Beschrijving van de context

De eerste stap die gebruikers moeten zetten om toegang te krijgen tot een socialemediaplatform, is zich aanmelden door een account aan te maken. Als onderdeel van dit registratieproces wordt gebruikers gevraagd om hun persoonsgegevens te verstrekken, zoals voor- en achternaam, emailadres of soms telefoonnummer. Gebruikers moeten worden geïnformeerd over de verwerking van hun persoonsgegevens en meestal wordt hen gevraagd om te bevestigen dat ze de privacyverklaring hebben gelezen en akkoord gaan met de gebruiksvoorwaarden van het socialemediaplatform. Deze informatie moet in duidelijke en eenvoudige taal worden verstrekt, zodat gebruikers deze gemakkelijk kunnen begrijpen en weten waar zij mee instemmen.
In deze eerste fase van het aanmeldingsproces moeten gebruikers begrijpen waarvoor ze zich precies aanmelden, in die zin dat het doel van de overeenkomst tussen het socialemediaplatform en de gebruikers zo duidelijk en eenvoudig mogelijk moet worden beschreven.
Daarom moeten aanbieders van sociale media op een effectieve manier rekening houden met gegevensbescherming door ontwerp, om de rechten en vrijheden van betrokkenen te beschermen 22 .

b. Toepasselijke wettelijke bepalingen

Aanbieders van sociale media moeten ervoor zorgen dat ze de beginselen van artikel 5, AVG correct uitvoeren bij het ontwerpen van hun interfaces. Hoewel transparantie jegens de betrokkenen altijd essentieel is, is dit vooral het geval in het stadium van het aanmaken van een account bij een socialemediaplatform. Vanwege hun positie als verwerkingsverantwoordelijke of verwerker moeten socialemediaplatforms de informatie aan gebruikers bij het aanmelden op een efficiënte en bondige wijze verstrekken, evenals duidelijk onderscheiden van andere niet-privacygerelateerde informatie 23 . Een deel van de transparantieverplichtingen van de verwerkingsverantwoordelijken is om gebruikers te informeren over hun rechten, waaronder dat ze te allen tijde hun toestemming kunnen intrekken als toestemming de toepasselijke rechtsgrondslag is 24 .

i. Toestemming verleend in de fase van het aanmeldingsproces

21 Zie artikel 2, lid 1, AVG.

Zoals wordt vermeld in artikel 4, lid 11, en artikel 7, AVG, en is verduidelijkt in overweging 32, moet, als toestemming is gekozen als rechtsgrondslag, dit 'elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting [zijn] waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt'. Aan al deze toestemmingsvereisten moet cumulatief worden voldaan om als geldig te worden beschouwd.
Voor aanbieders van sociale media die om toestemming van gebruikers vragen voor verschillende verwerkingsdoeleinden, bieden de Richtsnoeren 05/2020 van de EDPB inzake toestemming waardevolle richtlijnen voor het verzamelen van toestemming 25 . Sociale mediaplatforms mogen voorwaarden, zoals het vermogen van betrokkenen om hun vrije toestemming te geven, niet omzeilen door middel van grafische ontwerpen of bewoordingen die voorkomen dat betrokkenen hun wil kunnen uitoefenen. In dat verband wordt in artikel 7, lid 2, AVG, gesteld dat 'het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig [wordt] gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aang elegenheden'. Gebruikers van socialemediaplatforms kunnen toestemming geven voor advertenties of speciale soorten analyses tijdens het aanmeldingsproces en in een later stadium via de instellingen voor gegevensbescherming. In ieder geval, zoals overweging 32, AVG onderstreept, moet toestemming altijd worden gegeven door een duidelijke bevestigende handeling, zodat standaard aangevinkte selectievakjes of inactiviteit van de gebruikers niet wordt gezien als het geven van toestemming 26 .
Zoals al benadrukt in de EDPB-richtsnoeren inzake toestemming, moeten gebruikers worden voorzien van minimale informatie om aan de drempel van 'geïnformeerde' toestemming te voldoen 27 . Als dit niet het geval is, kan de toestemming die tijdens het aanmeldingsproces is verkregen, niet als geldig worden beschouwd uit hoofde van de AVG, waardoor de verwerking onrechtmatig wordt.
Gebruikers wordt gevraagd om toestemming te geven voor verschillende soorten doeleinden (bv. verdere verwerking van persoonsgegevens). De toestemming is niet specifiek en daarom niet geldig wanneer gebruikers niet ook op een duidelijke manier worden voorzien van de informatie over waarmee zij instemmen 28 . Zoals in artikel 7, lid 2, AVG is bepaald, moet toestemming zodanig worden gevraagd dat er een duidelijk onderscheid is met andere informatie, ongeacht hoe de informatie aan de betrokkene wordt gepresenteerd. Met name wanneer langs elektronische weg toestemming wordt gevraagd, mag deze toestemming niet in de algemene gebruiksvoorwaarden worden opgenomen 29 . Aangezien een toenemend aantal gebruikers socialemediaplatforms bezoekt met behulp van de interface van hun smartphone om zich aan te melden bij het platform, moeten aanbieders van sociale media speciale aandacht besteden aan de manier waarop de toestemming wordt gevraagd, om ervoor te zorgen dat deze toestemming duidelijk herkenbaar is. Gebruikers mogen niet worden geconfronteerd met een overmatige hoeveelheid informatie die ertoe leidt dat ze dergelijke informatie overslaan. Wanneer gebruikers 'moeten' bevestigen dat zij het volledige privacybeleid hebben gelezen en akkoord gaan met de algemene gebruiksvoorwaarden van de aanbieder van sociale media,

https://edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines\_202005\_consent\_nl.pdf.

29 Richtsnoeren inzake transparantie, punt 8.

inclusief alle verwerkingshandelingen, om een account te kunnen aanmaken, kan dit worden beschouwd als gedwongen toestemming voor speciale voorwaarden die daar worden genoemd. Als het weigeren van toestemming leidt tot een weigering van de dienst, kan deze toestemming niet als vrij gegeven, gedetailleerd en specifiek worden beschouwd, zoals de AVG vereist. Toestemming die wordt 'gebundeld' met de aanvaarding van de algemene gebruiksvoorwaarden van een aanbieder van sociale media, wordt niet beschouwd als 'vrijelijk verleend' 30 . Dit is ook het geval wanneer de verwerkingsverantwoordelijke de levering van een contract of een dienst 'koppelt' aan het toestemmingsverzoek, zodat deze persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering van het contract door de verwerkingsverantwoordelijke.

Hoewel toestemming moet worden uitgedrukt door een actieve handeling door de gebruikers, moet gebrek aan toestemming worden beschouwd als de standaardstatus, totdat toestemming is gegeven. De uitdrukking van de weigering van de gebruikers mag daarom geen handeling van hun kant vereisen of moet mogelijk zijn door middel van een handeling die even eenvoudig is als de handeling om toestemming uit te drukken 31 .

ii. Toestemming intrekken -artikel 7, lid 3, AVG

In overeenstemming met artikel 7, lid 3, eerste zin, AVG kunnen gebruikers van socialemediaplatforms hun toestemming te allen tijde intrekken. Alvorens hun toestemming te verlenen, moeten gebruikers ook op de hoogte worden gebracht van het recht om deze toestemming in te trekken, zoals vereist bij artikel 7, lid 3, derde zin, AVG. In het bijzonder moeten verwerkingsverantwoordelijken aantonen dat gebruikers de mogelijkheid hebben om het verlenen van toestemming te weigeren of om de toestemming in te trekken zonder nadelige gevolgen. Gebruikers van socialemediaplatforms die met één klik toestemming geven voor de verwerking van hun persoonsgegevens, bijvoorbeeld door een vakje aan te vinken, moeten hun toestemming op een even eenvoudige manier kunnen intrekken 32 . Dit benadrukt dat toestemming een omkeerbare beslissing moet zijn, zodat de betrokkene een zekere mate van controle behoudt met betrekking tot de respectieve verwerking 33 . Het eenvoudig intrekken van toestemming is een voorwaarde voor geldige toestemming op grond van artikel 7, lid 3, vierde zin, AVG en moet mogelijk zijn zonder het niveau van de dienst te verlagen 34 . Toestemming kan bijvoorbeeld niet als geldig worden beschouwd uit hoofde van de AVG wanneer toestemming wordt verkregen door slechts één muisklik, swipe of toetsaanslag, maar het intrekken ervan meer stappen kost 35 , moeilijker te doen is of meer tijd kost.

c. Misleidende ontwerppatronen

Verschillende AVG-bepalingen hebben betrekking op het aanmeldingsproces. Daarom zijn er een aantal misleidende ontwerppatronen die kunnen optreden wanneer aanbieders van sociale media de AVG niet op passende wijze uitvoeren.

Zie overweging 42, vijfde zin, AVG.

33 Richtsnoeren 05/2020 inzake toestemming, punt 10.

34 Richtsnoeren 05/2020 inzake toestemming, punt 114.

i. Op inhoud gebaseerde patronen

Overladen -Aanhoudend prompten (bijlage I, checklist 4.1.1)

Het misleidend ontwerppatroon Aanhoudend prompten treedt op wanneer gebruikers worden gedwongen om meer persoonsgegevens te verstrekken dan nodig is voor de doeleinden van de verwerking of om in te stemmen met een ander gebruik van hun gegevens, door herhaaldelijk te vragen om aanvullende gegevens te verstrekken of om in te stemmen met een doeleinde van verwerking. Deze vorm van aanhoudend prompten kan op één of meerdere apparaten plaatsvinden. Gebruikers zullen uiteindelijk waarschijnlijk toegeven, omdat ze moe worden van het feit dat ze het verzoek moeten weigeren elke keer dat ze het platform gebruiken.

Example 1:

Variant A: In de eerste stap van het aanmeldingsproces moeten gebruikers kiezen tussen verschillende opties voor hun registratie. Ze kunnen een e-mailadres of een telefoonnummer opgeven. Wanneer gebruikers het e-mailadres kiezen, probeert de aanbieder van de sociale media nog steeds gebruikers te overtuigen om het telefoonnummer op te geven, door te verklaren dat het zal worden gebruikt voor accountbeveiliging, zonder alternatieven te bieden voor de gegevens die door de gebruikers kunnen worden of al zijn verstrekt. Concreet verschijnen er tijdens het aanmeldingsproces verschillende vensters met een veld voor het telefoonnummer, samen met de uitleg 'Dit [telefoonnummer] wordt gebruikt voor accountbeveiliging'. Hoewel gebruikers het venster kunnen sluiten, worden ze overladen en geven ze het uiteindelijk op en vullen ze toch hun telefoonnummer in.

Variant B: Een andere aanbieder van sociale media vraagt gebruikers herhaaldelijk om hun telefoonnummer op te geven telkens wanneer ze zich aanmelden bij hun account, ondanks het feit dat gebruikers eerder weigerden dit te verstrekken, of dit nu tijdens het aanmeldingsproces was of de laatste keer dat ze zich aanmeldden.

Het bovenstaande voorbeeld illustreert de situatie waarin gebruikers voortdurend wordt gevraagd om specifieke persoonsgegevens te verstrekken, zoals hun telefoonnummer. Terwijl in variant A van het voorbeeld deze vorm van aanhoudend prompten meerdere keren wordt gedaan tijdens het aanmeldingsproces, laat variant B zien dat gebruikers ook met dit misleidende ontwerppatroon kunnen worden geconfronteerd wanneer ze zich al hebben geregistreerd. Om dit misleidende ontwerppatroon te voorkomen, is het belangrijk om vooral rekening te houden met de beginselen van minimale gegevensverwerking op grond van artikel 5, lid 1, punt c), AVG en, in gevallen zoals beschreven in voorbeeld 1, variant A, ook met het beginsel van doelbinding op grond van artikel 5, lid 1, punt b ), AVG. Wanneer aanbieders van sociale media verklaren dat ze het telefoonnummer 'voor accountbeveiliging' zullen gebruiken, mogen ze het telefoonnummer alleen voor genoemde beveiligingsdoeleinden verwerken en mogen ze het telefoonnummer niet verder verwerken op een manier die verder gaat dan dit oorspronkelijke doel.
Om aan het beginsel van minimale gegevensverwerking te voldoen, zijn sociale media-aanbieders verplicht om geen aanvullende gegevens te vragen, zoals het telefoonnummer, wanneer de gegevens die de gebruiker tijdens het aanmeldingsproces al heeft verstrekt, voldoende zijn. Om bijvoorbeeld de

accountbeveiliging te waarborgen, is verbeterde authenticatie ook mogelijk zonder het telefoonnummer te gebruiken, door eenvoudigweg een code naar het e-mailaccount van de gebruiker te sturen, of op verschillende andere manieren.

Aanbieders van sociale netwerken moeten daarom beveiligingsmiddelen toepassen die door gebruikers gemakkelijker opnieuw kunnen worden opgestart. De aanbieder van sociale media kan gebruikers bijvoorbeeld een authenticatienummer sturen via een extra communicatiekanaal, zoals een beveiligingsapp, die gebruikers eerder op hun mobiele telefoon hebben geïnstalleerd, maar zonder dat ze het mobiele telefoonnummer van de gebruikers nodig hebben. Gebruikersauthenticatie via een emailadres is ook minder indringend dan via een telefoonnummer, omdat gebruikers eenvoudig een nieuw e-mailadres specifiek voor het aanmeldingsproces kunnen aanmaken en dat e-mailadres voornamelijk kunnen gebruiken in verband met het sociale netwerk. Een telefoonnummer is echter niet zo gemakkelijk uitwisselbaar, aangezien het zeer onwaarschijnlijk is dat gebruikers alleen voor de authenticatie een nieuwe simkaart kopen of een nieuw telefoonabonnement afsluiten.
Men moet in gedachten houden dat als het doel van een dergelijk verzoek is om te bewijzen dat gebruikers legitiem in het bezit zijn van het apparaat dat wordt gebruikt om in te loggen op het sociale netwerk, dit doel op verschillende manieren kan worden bereikt, waarbij een telefoonnummer er slechts één is. Een telefoonnummer kan dus slechts één relevante en vrijwillige optie voor gebruikers vormen. Tot slot moeten gebruikers beslissen of ze zich op deze manier willen authenticeren. Met name voor een eenmalige verificatie zijn de telefoonnummers van gebruikers niet nodig, omdat het emailadres tijdens het registratieproces het reguliere contactmiddel met gebruikers is.
De praktijk die wordt geïllustreerd in voorbeeld 1, variant A, kan gebruikers misleiden en ertoe leiden dat ze ongewild dergelijke informatie verstrekken, in de overtuiging dat dit nodig is om hun account te activeren of te beschermen. In werkelijkheid hebben gebruikers echter nooit een alternatief aangeboden gekregen (bv. gebruik van een e-mailadres voor accountactivering en beveiligingsdoeleinden). In voorbeeld 1, variant B, worden gebruikers niet geïnformeerd over een doel van de verwerking. Deze variant is echter nog steeds een vorm van het misleidende ontwerppatroon aanhoudend prompten , omdat de aanbieder van sociale media het feit negeert dat gebruikers eerder hebben geweigerd hun telefoonnummer te verstrekken en ernaar blijft vragen. Wanneer gebruikers de indruk krijgen dat ze dit herhaalde verzoek alleen kunnen vermijden door hun gegevens in te voeren, zullen ze waarschijnlijk toegeven.
In het volgende voorbeeld worden gebruikers herhaaldelijk aangemoedigd om het socialemediaplatform toegang te geven tot hun contacten:

Example 2: een socialemediaplatform gebruikt een informatie- of vraagtekenpictogram om gebruikers aan te moedigen de 'optionele' handeling uit te voeren waar op dat moment om wordt gevraagd. In plaats van alleen informatie te verstrekken aan gebruikers die verwachten dat ze hulp krijgen als ze op deze knoppen klikken, vraagt het platform gebruikers echter om het importeren van de contactgegevens van hun e-mailaccount te accepteren door herhaaldelijk een popupvenster te tonen met de tekst ' Aan de slag '.

Met name in de fase van het aanmeldingsproces kan dit aanhoudend prompten gebruikers beïnvloeden om het verzoek van het platform te accepteren om uiteindelijk hun registratie te voltooien. Het effect van dit misleidende ontwerppatroon wordt versterkt in combinatie met motiverend taalgebruik, zoals in dit voorbeeld, wat een extra gevoel van urgentie geeft.
De beïnvloedende effecten van de bewoording en visuele vormgeving worden verderop behandeld, bij het misleidende ontwerppatroon emotioneel sturen 36 .

Obstructie -Misleidende handeling (bijlage I, checklist 4.4.3)

Een ander voorbeeld van een situatie waarin aanbieders van sociale media zonder dat dit noodzakelijk is om het telefoonnummer van de gebruiker vragen, is het gebruik van de platformapp:

Example 3: wanneer gebruikers zich via een desktopbrowser registreren op een socialemediaplatform, worden ze uitgenodigd om ook de mobiele app van het platform te gebruiken. Tijdens een volgende stap in het aanmeldingsproces worden gebruikers uitgenodigd om de app te ontdekken. Wanneer ze op het pictogram klikken en verwachten te worden doorverwezen naar een app-store, wordt in plaats daarvan gevraagd om een telefoonnummer, zodat ze een sms-bericht kunnen ontvangen met de link naar de app.

Uitleggen aan gebruikers dat ze een telefoonnummer moeten verstrekken om een link te ontvangen voor het downloaden van de app, is om een aantal redenen een misleidende handeling : allereerst zijn er verschillende manieren voor gebruikers om een app te gebruiken, bijvoorbeeld door een QR-code te scannen, op een link te klikken of door de app te downloaden uit de app-store. Ten tweede laten deze alternatieven zien dat er geen verplichte reden is voor de aanbieder van het sociale platform om het telefoonnummer van de gebruikers te vragen. Wanneer gebruikers het aanmeldingsproces hebben voltooid, moeten ze hun inloggegevens (d.w.z. meestal e-mailadres en wachtwoord) kunnen gebruiken om in te loggen, ongeacht het apparaat dat ze gebruiken, of ze nu een desktop- of mobiele browser of een app gebruiken. Dit wordt nog meer benadrukt door het feit dat gebruikers in plaats van een smartphone de app soms op hun tablet willen installeren, waar geen telefoonnummer aan gekoppeld is.

Inspelen op emoties -Emotioneel sturen (bijlage I, checklist 4.3.1)

Met emotioneel sturen worden misleidende ontwerppatronen, bewoordingen of visuele elementen (zoals stijl, kleuren, afbeeldingen of andere) bedoeld die op een manier worden gebruikt die informatie op een zeer positieve manier aan gebruikers overbrengt, waardoor gebruikers zich goed, veilig of speciaal voelen, of juist op een zeer negatieve manier, waardoor gebruikers zich angstig, schuldig of gestraft voelen. De manier waarop de informatie aan gebruikers wordt gepresenteerd, beïnvloedt hun emotionele toestand op een manier die hen er waarschijnlijk toe brengt iets te doen dat tegen hun eigen belangen op het gebied van gegevensbescherming indruist. De effecten van dergelijke praktijken kunnen nog effectiever zijn als ze gebaseerd zijn op gegevens die door het platform zijn verzameld. Beslissingen beïnvloeden door vooringenomen informatie aan personen te verstrekken, kan over het algemeen worden beschouwd als een onbehoorlijke praktijk die in strijd is met het beginsel van behoorlijkheid van de verwerking, zoals vastgelegd in artikel 5, lid 1, punt a), AVG. Dit fenomeen kan gedurende de hele gebruikersreis binnen een socialemediaplatform voorkomen. In de fase van het aanmeldingsproces kan het sturende effect echter bijzonder sterk zijn, gezien de grote hoeveelheid informatie waarmee gebruikers worden overladen, naast de stappen die zij moeten doorlopen om de registratie te voltooien.

Vastgesteld

In het licht van het bovenstaande kan emotioneel sturen in de fase van de registratie bij een socialemediaplatform een nog grotere impact hebben op kinderen, ouderen en andere groepen (d.w.z. zij verstrekken meer persoonsgegevens omdat zij minder goed begrijpen welke verwerkingsactiviteiten er plaatsvinden), gezien hun kwetsbare aard als betrokkenen 37 . Wanneer socialemediaplatformdiensten gericht zijn op kinderen of andere kwetsbare betrokkenen, moeten zij ervoor zorgen dat de gebruikte taal, inclusief de toon en stijl, voor hen geschikt is, zodat de kwetsbare gebruikers, als ontvangers van het bericht, de verstrekte informatie gemakkelijk kunnen begrijpen 38 . Gezien de kwetsbaarheid van kinderen, ouderen en andere betrokkenen, kunnen misleidende ontwerppatronen deze gebruikers beïnvloeden om meer informatie te delen, omdat 'dwingende' bewoordingen hen kunnen overhalen om dit te doen, bijvoorbeeld om populair te lijken onder leeftijdsgenoten of omdat ze geloven dat het verstrekken van de gegevens verplicht is.
Wanneer gebruikers van socialemediaplatforms wordt gevraagd om hun gegevens snel te geven, hebben ze geen tijd om de informatie die ze krijgen te 'verwerken' en dus echt te begrijpen, om op basis daarvan een bewuste beslissing te nemen. Motiverend taalgebruik door socialemediaplatforms kan gebruikers aanmoedigen om vervolgens meer gegevens te verstrekken dan nodig is, wanneer ze het gevoel hebben dat wat door het socialemediaplatform wordt voorgesteld, is wat de meeste gebruikers doen en dus de 'juiste manier' is om verder te gaan.

Example 4: Het socialemediaplatform vraagt gebruikers om hun locatie te delen door te vermelden: 'Hé, voel je je wat alleen hier? Deel je gegevens en maak zo contact met anderen om de wereld mooier te maken! Deel je locatiegegevens! Laat je inspireren door de plekken en mensen in jouw buurt!'

Tijdens het aanmeldingsproces is het doel van de gebruikers om de registratie te voltooien om het socialemediaplatform te kunnen gebruiken. Misleidende ontwerppatronen zoals emotioneel sturen hebben in deze context een groter effect. Dit effect lijkt sterker te zijn halverwege of tegen het einde van het aanmeldingsproces, in vergelijking met het begin, omdat gebruikers meestal haastig alle noodzakelijke stappen willen voltooien, of gevoeliger zijn voor een gevoel van urgentie. In deze context zullen gebruikers eerder toestemmen om allerlei gegevens in te voeren die worden gevraagd, zonder de tijd te nemen om zich af te vragen of dat eigenlijk wel moet. In die zin kan het motiverende taalgebruik van de aanbieder van sociale media van invloed zijn op de onmiddellijke beslissing van gebruikers, evenals de combinatie van motiverend taalgebruik met andere vormen om ergens de nadruk op te leggen, zoals het gebruik van uitroeptekens, zoals in het onderstaande voorbeeld.

Example 5:

persoonsgegevens te delen dan eigenlijk nodig is, door gebruikers te vragen om zichzelf te beschrijven: 'Vertel ons over je geweldige zelf! maken, dus vertel ons meer!'

Een aanbieder van sociale media spoort gebruikers aan om meer Wij kunnen niet wachten om kennis met je te

Met deze praktijk ontvangen socialemediaplatforms een gedetailleerder profiel van hun gebruikers. Afhankelijk van het geval is het echter mogelijk dat het verstrekken van meer persoonsgegevens, bijvoorbeeld met betrekking tot de persoonlijkheid van gebruikers, niet noodzakelijk is voor het gebruik van de dienst zelf en daarom in strijd is met het beginsel van minimale gegevensverwerking overeenkomstig artikel 5, lid 1, punt c), AVG. Zoals geïllustreerd in voorbeeld 5, gaan dergelijke technieken niet uit van de vrije wil van gebruikers om hun gegevens te verstrekken, maar geeft het dwingende taalgebruik de gebruikers het gevoel dat het verplicht is om een beschrijving van zichzelf

37 Zie ook hoger, punt 7.

te verstrekken, omdat ze al tijd in de registratie hebben gestoken en deze willen voltooien. Wanneer gebruikers zich registreren voor een account, zullen ze minder snel de tijd nemen om na te denken over de beschrijving die ze geven of zelfs of ze die überhaupt willen toevoegen. Dit is met name het geval wanneer de gebruikte taal een gevoel van urgentie creëert of als er een noodzaak in doorklinkt. Als gebruikers deze verplichting voelen, zelfs als het verstrekken van de gegevens in werkelijkheid niet verplicht is, kan dit van invloed zijn op hun 'vrije wil'. Het betekent ook dat de informatie die door het socialemediaplatform is verstrekt, onduidelijk was.

Example 6: In het deel van het aanmeldingsproces waar gebruikers wordt gevraagd om hun foto te uploaden, is een '?' -knop weergegeven. Als daarop wordt geklikt, wordt het volgende bericht weergegeven: 'U hoeft niet eerst naar de kapper te gaan . Kies gewoon een foto die representatief is voor u.'

Zelfs als de zinnen in voorbeeld 6 bedoeld zijn om gebruikers te motiveren en het proces voor hen schijnbaar te vereenvoudigen (d.w.z. er is geen officiële foto nodig om zich aan te melden), kunnen dergelijke praktijken van invloed zijn op de uiteindelijke beslissing van gebruikers die aanvankelijk besloten om geen foto voor hun account te delen. Vraagtekens worden gebruikt voor vragen en als dit pictogram wordt gebruikt, kunnen gebruikers nuttige informatie verwachten wanneer ze erop klikken. Wanneer niet aan deze verwachting wordt voldaan en gebruikers in plaats daarvan opnieuw wordt gevraagd om een handeling uit te voeren waarover ze eerder aarzelden, zou de toestemming die is verkregen zonder gebruikers te informeren over de verwerking van hun foto niet geldig zijn, omdat niet wordt voldaan aan de vereisten van 'geïnformeerde' en 'vrijelijk verleende' toestemming op grond van artikel 7, AVG in samenhang met artikel 4, lid 11, AVG. De emotiefactor heeft dus een sterke invloed op de legitimiteit van de toestemming.

Obstructie -Langer dan nodig (bijlage I, checklist 4.4.2)

Wanneer gebruikers proberen een besturingselement met betrekking tot gegevensbescherming te activeren, maar gebruikers tijdens de gebruikersreis meerdere stappen moeten doorlopen in vergelijking met het aantal stappen dat nodig is voor het activeren van opties waar meer persoonsgegevens moeten worden verstrekt, wordt dit beschouwd als het misleidende ontwerppatroon langer dan nodig . Dit patroon zal gebruikers waarschijnlijk ontmoedigen om de besturingselementen voor gegevensbescherming te activeren. Tijdens het aanmeldingsproces kan dit zich vertalen in de weergave van een extra vakje of een pop-upvenster waarin gebruikers worden gevraagd hun beslissing te bevestigen wanneer ze een beperkende optie kiezen (bv. om hun profiel privé te houden). Hieronder staat nog een voorbeeld waarin het aanmeldingsproces langer dan nodig is.

Example 7: Tijdens het aanmeldingsproces krijgen gebruikers die op de knoppen met 'Overslaan' klikken om te voorkomen dat ze bepaalde gegevens invoeren, een pop -upvenster te zien met de vraag 'Weet u het zeker?' Door hun beslissing in twijfel te trekken en ze er daarom aan te laten twijfelen, moedigt de aanbieder van sociale media gebruikers aan om te overwegen om deze gegevens toch te delen, zoals hun geslacht, hun lijst met contactpersonen of hun foto. Gebruikers die ervoor kiezen om de gegevens rechtstreeks in te voeren, zien daarentegen geen bericht waarin wordt gevraagd om hun keuze te heroverwegen.

Vastgesteld 24 Hier kan het vragen van gebruikers om bevestiging dat ze geen gegevensveld willen invullen, ervoor zorgen dat ze terugkomen op hun oorspronkelijke beslissing en de gevraagde gegevens toch invoeren. Dit beïnvloedt met name gebruikers die niet bekend zijn met de functies van het socialemediaplatform. Dit misleidende ontwerppatroon, langer dan nodig , probeert de beslissingen van gebruikers te beïnvloeden door ze op te houden en hun initiële keuze in twijfel te trekken, en zorgt ervoor dat het aanmeldingsproces onnodig langer duurt, wat een schending vormt van het behoorlijkheidsbeginsel op grond van artikel 5, lid 1, punt a), AVG. Het voorbeeld laat zien dat het misleidende ontwerppatroon gebruikers ertoe kan aanzetten (meer) persoonsgegevens te delen dan ze aanvankelijk van plan waren. Het beschrijft een onevenwicht in de behandeling van gebruikers die meteen persoonsgegevens geven en degenen die dat niet doen: alleen degenen die weigeren hun gegevens te delen, krijgen de vraag hun keuze te bevestigen, terwijl gebruikers die hun gegevens wel invulden, niet wordt gevraagd hun keuze te bevestigen. Dit vormt een schending van het behoorlijkheidsbeginsel op grond van artikel 5, lid 1, punt a), AVG met betrekking tot gebruikers die deze persoonsgegevens niet openbaar willen maken.

ii. Op een interface gebaseerde patronen

Inspelen op emoties -In het zicht verborgen (bijlage I, checklist 4.3.2)

Op grond van het transparantiebeginsel moeten betrokkenen op een duidelijke manier worden voorzien van informatie om hen in staat te stellen te begrijpen hoe hun persoonsgegevens worden verwerkt en hoe zij deze kunnen controleren. Bovendien moet deze informatie gemakkelijk herkenbaar zijn voor de betrokkenen. Informatie met betrekking tot gegevensbescherming, met name links, wordt echter vaak op een zodanige manier weergegeven dat gebruikers deze gemakkelijk over het hoofd zien. Dergelijke praktijken, ook wel in het zicht verborgen genoemd, gebruiken een visuele stijl voor besturingselementen voor informatie of gegevensbescherming die gebruikers wegleiden van de uitgebreidere opties voor gegevensbescherming naar de minder beperkende en dus meer invasieve opties.
Het gebruik van een kleine lettergrootte of een kleur die niet voldoende contrasteert om de tekst voldoende leesbaar te maken (bv. een vage grijze tekst op een witte achtergrond) kan gebruikers negatief beïnvloeden, omdat de tekst minder goed zichtbaar is en gebruikers deze over het hoofd zien of moeilijk kunnen lezen. Dit is vooral het geval wanneer één of meer in het oog springende elementen naast de verplichte informatie over gegevensbescherming worden geplaatst. Deze interfacetechnieken misleiden gebruikers en maken het herkennen van informatie over gegevensbescherming lastiger en tijdrovender, omdat het meer tijd en oplettendheid vergt om de relevante informatie te vinden.

Example 8: Onmiddellijk na het voltooien van de registratie hebben gebruikers alleen toegang tot informatie over gegevensbescherming door het algemene menu van het socialemediaplatform te openen en door alle menuopties te bladeren naar een link 'instellingen voor privacy en gegevensbeheer'. Als ze op deze pagina komen, is de link naar het privacybeleid op het eerste gezicht niet zichtbaar. Gebruikers moeten in een hoek van de pagina een klein pictogram zien dat naar het privacybeleid verwijst, wat betekent dat gebruikers nauwelijks kunnen zien waar de informatie over het gegevensbeschermingsbeleid zich bevindt.

Het is belangrijk op te merken dat zelfs wanneer aanbieders van sociale media alle informatie beschikbaar stellen die op grond van de artikelen 13 en 14, AVG aan betrokkenen moet worden verstrekt, de manier waarop deze informatie wordt gepresenteerd nog steeds in strijd kan zijn met de

overkoepelende vereisten inzake transparantie op grond van artikel 12, lid 1, AVG. In het geval van in het zicht verborgen informatie, die daarom waarschijnlijk over het hoofd wordt gezien, leidt dit tot verwarring of desoriëntatie en kan dit niet als begrijpelijk en gemakkelijk toegankelijk worden beschouwd, wat in strijd is met artikel 12, lid 1, AVG.

Hoewel het bovenstaande een voorbeeld is van een misleidend ontwerppatroon na voltooiing van het aanmeldingsproces, komt dit patroon ook al voor tijdens het aanmeldingsproces, zoals te zien is in het onderstaande voorbeeld, dat de misleidende ontwerppatronen in het zicht verborgen en misleidend gemak combineert.

Overslaan -Misleidend gemak (bijlage I, checklist 4.2.1)

Aanbieders van sociale media moeten ook rekening houden met het beginsel van gegevensbescherming door standaardinstellingen. Wanneer de gegevensinstellingen vooraf zijn geselecteerd, geldt voor gebruikers een specifiek gegevensbeschermingsniveau, dat als standaard is ingesteld door de aanbieder, in plaats van door de gebruikers zelf. Bovendien krijgen gebruikers niet altijd onmiddellijk de mogelijkheid om de instellingen te wijzigen en hun gegevens beter te beschermen. Naleving van de AVG betekent overigens niet dat alle opties er precies hetzelfde moeten uitzien. Als aanbieders van sociale media echter een van de opties benadrukken en daarmee de aandacht van de gebruikers erop vestigen, moet dit de meest beperkende optie zijn met betrekking tot persoonsgegevens, om onder meer te voldoen aan het beginsel van minimale gegevensverwerking op grond van artikel 5, lid 1, punt c), AVG.
Wanneer de meest gegevensinvasieve functies en opties standaard zijn ingeschakeld, is dit patroon een voorbeeld van misleidend gemak . Vanwege het standaardeffect dat personen ertoe aanzet om een vooraf geselecteerde optie te behouden, is het onwaarschijnlijk dat gebruikers deze zullen wijzigen, zelfs als ze de mogelijkheid krijgen. Deze praktijk wordt vaak toegepast in aanmeldingsprocessen, zoals geïllustreerd in voorbeeld 9, omdat het een effectieve manier is om gegevensinvasieve opties te activeren die gebruikers anders waarschijnlijk zouden weigeren. Dergelijke misleidende ontwerppatronen zijn in strijd met het beginsel van gegevensbescherming door standaardinstellingen van artikel 25, lid 2, AVG, vooral wanneer ze van invloed zijn op het verzamelen van persoonsgegevens, de omvang van de verwerking, de opslagperiode en de toegankelijkheid van gegevens 39 .

Sign-up

Just one more step to join your friends!

Share it with no one

Example 9: In dit voorbeeld worden gebruikers, wanneer zij hun geboortedatum invoeren, uitgenodigd om te kiezen met wie ze deze informatie willen delen. Hoewel er minder invasieve opties beschikbaar zijn, is de optie 'Share it with everyone' ('delen met iedereen') st andaard geselecteerd, wat betekent dat iedereen, d.w.z. geregistreerde gebruikers en alle internetgebruikers, de geboortedatum van de gebruikers kunnen zien.

Voorbeeld 9 laat het patroon misleidend gemak zien: hier is niet de optie die het hoogste niveau van gegevensbescherming biedt, standaard geselecteerd en daarom geactiveerd. Bovendien dwingt het standaardeffect van dit patroon gebruikers om de al geselecteerde optie te behouden, d.w.z. om in dit stadium niet de tijd te nemen om de andere opties te overwegen of om terug te gaan om de instelling in een later stadium te wijzigen. Het patroon in het zicht verborgen wordt ook in deze interface gebruikt. Het invoeren van iemands geboortedatum is inderdaad niet verplicht, omdat gebruikers deze stap in het aanmeldingsproces kunnen overslaan door te klikken op de link 'Skip this step and sign up' ( 'Sla deze stap over en meld u aan') die beschikbaar is onder de knop 'Join the network!' ( 'Word lid van het netwerk!' ). Het feit dat het veld voor de geboortedatum en de bevestigingsknop zo prominent zichtbaar zijn, zal gebruikers waarschijnlijk aanmoedigen om hun geboortedatum in te vullen en met het sociale netwerk te delen, omdat ze de mogelijkheid om deze informatie niet te delen, niet opmerken. Dit effect zou nog sterker zijn als er geanimeerde cirkels worden gebruikt naast het veld en de knop, die sterk de aandacht van gebruikers trekken.
Het respecteren van het gegevensbeschermingsbeginsels door ontwerp en door standaardinstellingen betekent niet dat alle aangeboden opties er precies hetzelfde uit moeten zien. Als de verwerkingsverantwoordelijken echter besluiten om de ene optie prominenter weer te geven dan andere, moet de gemarkeerde optie de meest beperkende zijn met betrekking tot gegevensverwerking.
Naast het stimuleren van gebruikers om een optie te behouden die niet noodzakelijkerwijs overeenkomt met hun voorkeuren, vragen aanbieders van sociale media gebruikers mogelijk niet om hun instellingen voor gegevensbescherming te verifiëren of aan te passen aan hun voorkeuren na het voltooien van het aanmeldingsproces. Bovendien kan het wijzigen van deze standaardinstellingen verschillende stappen vereisen. Wanneer gebruikers op geen enkele manier wordt gevraagd om hun instellingen voor gegevensbescherming te verifiëren of te wijzigen, of niet op een duidelijke manier worden doorverwezen naar gerelateerde informatie, hangt hun niveau van gegevensbescherming af van hun eigen initiatief. Om de controle van gebruikers over hun gegevens te vergemakkelijken, kunnen zogenaamde privacydashboards worden gebruikt, die zijn ontworpen om dergelijke inspanningen te centraliseren en te vergemakkelijken.
Het is belangrijk om in gedachten te houden dat het ontbreken van gegevensbescherming door ontwerp en door standaardinstellingen, in combinatie met het bovengenoemde standaardeffect, schadelijke gevolgen kan hebben voor betrokkenen, waaronder voor hun cyberveiligheid. Het openbaar weergeven van persoonsgegevens, zoals de geboortedatum, die wordt gebruikt voor verificatieprocessen door andere onlinediensten, kan het voor criminelen gemakkelijker maken om toegang te krijgen tot de winkel-, bank- en andere accounts van gebruikers. Een ander schadelijk gevolg betreft de contactmogelijkheden op het socialemediaplatform: als de standaardoptie voor het verzenden van contactverzoeken of berichten naar gebruikers is ingesteld op 'iedereen', verhoogt dit het risico op cybergrooming en fraude, vooral voor kwetsbare groepen.
Tot slot, wanneer misleidend gemak wordt toegepast op het verzamelen van toestemming, wat zou neerkomen op het feit dat gebruikers standaard toestemming geven, bijvoorbeeld door een vooraf aangevinkt vakje te gebruiken of inactiviteit als goedkeuring te beschouwen, wordt niet voldaan aan de voorwaarden voor toestemming die zijn vastgelegd in artikel 4, lid 11, AVG en wordt de verwerking als onrechtmatig beschouwd op grond van artikel 5, lid 1, punt a), en artikel 6, lid 1, punt a), AVG.

Obstructie -Doodlopende weg (bijlage I, checklist 4.4.1)

Het is belangrijk om erop te wijzen dat de fase van het aanmeldingsproces een bepalend moment is om gebruikers te informeren. Als gebruikers op zoek zijn naar informatie en deze niet kunnen vinden omdat er geen verwijslink beschikbaar is of deze niet werkt, wordt dit beschouwd als het patroon doodlopende weg , omdat gebruikers het gewenste doel niet kunnen bereiken.

Example 10: Gebruikers krijgen geen links naar informatie over gegevensbescherming zodra ze met het aanmeldingsproces zijn begonnen. Gebruikers kunnen deze informatie niet vinden, omdat deze nergens in de aanmeldingsinterface wordt verstrekt, zelfs niet in de voettekst.

In de praktijk betekent dit dat gebruikers alleen de optie hebben om de registratie af te breken en terug kunnen gaan naar de startpagina als deze een link naar de privacyverklaring bevat, of om de registratie te voltooien en dan in te loggen op het socialemediaplatform, omdat ze alleen dan toegang te hebben tot informatie over gegevensbescherming. Dit is in strijd met het beginsel van transparantie en gemakkelijke toegang tot informatie die aan betrokkenen moet worden verstrekt, zoals vereist in

artikel 12, lid 1, AVG. Ook wordt hier niet voldaan aan de vereisten van artikel 13, leden 1 en 2, AVG, omdat er geen informatie wordt verstrekt en toegankelijk is op het moment dat persoonsgegevens worden verkregen.

Het patroon doodlopende weg kan ook op een andere manier optreden wanneer gebruikers tijdens het aanmeldingsproces een handeling of een optie krijgen aangeboden op het gebied van gegevensbescherming die ze later tijdens het gebruik van de dienst niet meer kunnen terugvinden.

Example 11: Tijdens het aanmeldingsproces kunnen gebruikers toestemming geven voor de verwerking van hun persoonsgegevens voor advertentiedoeleinden en worden ze geïnformeerd dat ze hun keuze kunnen wijzigen wanneer ze maar willen door, zodra ze zijn geregistreerd op de sociale media, naar het privacybeleid te gaan. Zodra gebruikers het registratieproces hebben voltooid en naar het privacybeleid gaan, vinden ze echter geen middelen of aanwijzingen om hun toestemming voor deze verwerking in te trekken.

In dit specifieke voorbeeld is er voor gebruikers geen manier om hun toestemming na aanmelding weer in te trekken. Hier maakt het misleidende ontwerppatroon doodlopende weg inbreuk op het recht van de betrokkenen om de toestemming op elk moment in te trekken, op een even gemakkelijke manier als het geven van toestemming, op grond van artikel 7, lid 3, eerste en vierde zin, AVG.
Tot slot is het verwijzen van gebruikers naar een link die hen zogenaamd naar pagina's over gegevensbescherming leidt, zoals instellingen of informatie over gegevensbescherming, ook een voorbeeld van een doodlopende weg als de link niet werkt en er geen alternatieve links beschikbaar zijn die gebruikers zouden helpen vinden wat ze zoeken. Op deze manier kunnen gebruikers niet zoeken naar de relevante informatie, terwijl er ook geen uitleg wordt gegeven, zoals de reden waarom dit gebeurt (bv. technische problemen). In een dergelijk geval doen zich dezelfde problemen voor met betrekking tot transparantie en gemakkelijke toegang tot informatie als beschreven in punt 58.

d. Beste praktijken

Om gebruikersinterfaces te ontwerpen die de effectieve uitvoering van de AVG vergemakkelijken, beveelt de EDPB aan om de volgende beste praktijken voor het aanmeldingsproces uit te voeren:

snelkoppelingen: links naar informatie, handelingen of instellingen die gebruikers praktisch kunnen helpen om hun gegevens en hun gegevensbeschermingsinstellingen te beheren, moeten beschikbaar zijn waar zij worden geconfronteerd met gerelateerde informatie of een gerelateerde ervaring (bv. links die doorverwijzen naar de relevante delen van het privacybeleid).

contactgegevens: het contactadres van het bedrijf dat verzoeken om gegevensbescherming afhandelt, moet duidelijk worden vermeld in het privacybeleid. Het adres moet worden gepubliceerd op een plek waar gebruikers dit zouden verwachten, zoals een rubriek over de identiteit van de verwerkingsverantwoordelijke, een rubriek met betrekking tot rechten of een rubriek met gegevens van contactpersonen.

contact met de toezichthoudende autoriteit: het vermelden van de specifieke identiteit van de toezichthoudende autoriteit en het opnemen van een link naar de website van die autoriteit of de specifieke webpagina met betrekking tot het indienen van een klacht. Deze informatie moet worden gepubliceerd op een plek waar gebruikers dit zouden verwachten, zoals een rubriek met betrekking tot rechten.

overzicht privacybeleid: aan het begin van of boven aan het privacybeleid moet een (inklapbare) inhoudsopgave worden toegevoegd, met kopjes en onderkopjes die de verschillende passages in de

privacyverklaring weergeven. De titels van de afzonderlijke passages leiden gebruikers duidelijk naar de exacte inhoud en stellen hen in staat om snel de rubriek waarnaar ze op zoek zijn, te vinden en daarheen te navigeren.

wijzigingen herkennen en vergelijken: wanneer er wijzigingen worden aangebracht in de privacyverklaring, moeten de eerdere versies toegankelijk worden gemaakt met de publicatiedatum en met de wijzigingen gemarkeerd.

coherente bewoording: op de hele website moeten dezelfde bewoordingen en definities worden gebruikt voor dezelfde gegevensbescherming. De bewoording die in het privacybeleid wordt gebruikt, moet overeenkomen met de bewoording die op de rest van het platform wordt gebruikt.

definities bieden: bij het gebruik van onbekende of technische woorden of jargon, helpt het verstrekken van een definitie in gewone taal gebruikers de informatie die hen wordt verstrekt, te begrijpen. De definitie kan direct in de tekst worden gegeven, wanneer gebruikers met de muis over het woord bewegen, en kan ook beschikbaar worden gemaakt in de vorm van een woordenlijst.

contrasterende gegevensbeschermingselementen: gegevensbeschermingsgerelateerde elementen of handelingen moeten visueel opvallen in een interface die niet direct aan het onderwerp is gewijd. Wanneer bijvoorbeeld een openbaar bericht op het platform wordt geplaatst, moeten de besturingselementen voor het koppelen van de bijbehorende locatie direct beschikbaar en duidelijk zichtbaar zijn.

informatie over gegevensbescherming voor nieuwe gebruikers: vlak na het aanmaken van een account moet de informatie over gegevensbescherming zijn opgenomen in de stappen om de gebruiker te laten kennismaken met de aanbieder van de sociale media, zodat gebruikers hun voorkeuren eenvoudig kunnen ontdekken en instellen. Een mogelijkheid hiervoor is om gebruikers uit te nodigen hun voorkeuren voor gegevensbescherming in te stellen nadat ze hun eerste vriend hebben toegevoegd of hun eerste bericht hebben geplaatst.

gebruik van voorbeelden: naast de verplichte informatie die duidelijk en nauwkeurig het doel van de verwerking aangeeft, kunnen voorbeelden worden gebruikt om een specifieke gegevensverwerking te illustreren, om deze tastbaarder te maken voor gebruikers.

contextuele informatie: in aanvulling op een volledige beschrijving van het privacybeleid moeten korte stukjes informatie worden gedeeld op een moment dat dit de gebruiker het beste uitkomt, om deze continu specifiek te informeren over hoe zijn gegevens worden verwerkt.

3.2 Geïnformeerd blijven op sociale media

Praktijkvoorbeeld 2a: een gelaagde privacyverklaring

a. Beschrijving van de context

Zoals reeds benadrukt in de richtsnoeren inzake transparantie, is het transparantiebeginsel zeer nauw verbonden met het beginsel van behoorlijke verwerking van persoonsgegevens 40 . Informatie over de verwerking van persoonsgegevens zorgt er echter ook voor dat verwerkingsverantwoordelijken gaan nadenken over hun eigen handelen, maakt de gegevensverwerking begrijpelijker voor betrokkenen en stelt betrokkenen uiteindelijk in staat om controle over hun gegevens te hebben, vooral door hun rechten uit te oefenen. De daaruit voortvloeiende gelijke positie van de betrokkenen leidt tot een behoorlijk systeem van verwerking van persoonsgegevens. Meer informatie betekent echter niet

40 Richtsnoeren inzake transparantie, blz. 4 en 5.

noodzakelijkerwijs betere informatie. Te veel irrelevante of verwarrende informatie kan belangrijke inhoud verdoezelen of de kans verkleinen om deze inhoud te vinden is. Daarom is op dit gebied het juiste evenwicht tussen inhoud en begrijpelijke presentatie cruciaal. Als dit evenwicht niet wordt bereikt, kunnen er misleidende ontwerppatronen ontstaan.

b. Toepasselijke wettelijke bepalingen

De zojuist geschetste relaties worden duidelijk op grond van artikel 5, AVG. Transparantie en behoorlijkheid worden al systematisch naast elkaar genoemd in artikel 5, lid 1, punt a), AVG, aangezien de ene component de andere bepaalt. Dat er niet alleen sprake moet zijn van externe maar ook van interne transparantie, blijkt ook uit de verantwoordingsplicht in artikel 5, lid 2, AVG. Het belangrijkste onderdeel van interne transparantie is het vereiste om een register van de verwerkingsactiviteiten bij te houden op grond van artikel 30, AVG. Voor externe transparantie kunnen aanbieders van sociale media onder andere een gelaagde privacyverklaring aan gebruikers verstrekken 41 . Deze behoefte aan begrijpbaarheid en behoorlijke verwerking resulteert ook in de vereisten van artikel 12, lid 1, AVG, waarin staat dat alle informatie als bedoeld in de artikelen 13 en 14, AVG moet worden verstrekt in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal. Bijgevolg moet de informatieve inhoud zonder belemmeringen beschikbaar worden gesteld. Als niet aan de vereisten van artikel 12, AVG wordt voldaan, is er geen geldige informatie in de zin van de artikelen 13 en 14, AVG. Verwerkingsverantwoordelijken en verwerkers kunnen dus verantwoordelijk worden gehouden voor een effectieve controle, wat leidt tot een effectieve toepassing van de AVG-vereisten in de praktijk.

c. Misleidende ontwerppatronen

i. Op inhoud gebaseerde patronen

Met betrekking tot dit praktijkvoorbeeld vinden op inhoud gebaseerde patronen hun grenzen in artikel 12, lid 1, AVG, dat met betrekking tot de verstrekte informatie een nauwkeurige en begrijpelijke vorm vereist, evenals duidelijke en eenvoudige taal.

Onduidelijkheid -Tegenstrijdige informatie (bijlage I, checklist 4.6.2)

Een van de meest voor de hand liggende gevallen waarin dit kan gebeuren, is wanneer er tegenstrijdige informatie wordt gegeven, waardoor gebruikers niet zeker weten wat ze moeten doen en wat de gevolgen van hun handelingen zijn, en dat ze dan dus ofwel niets doen ofwel de standaardinstellingen behouden.
Inbreuken op dit gebied, zoals de schending van artikel 12, lid 1, AVG, kunnen worden versterkt door andere effecten zoals emotioneel sturen . Motiverende teksten, afbeeldingen en kleuren, evenals aantrekkelijke reclame zijn in beginsel toegestaan. Ze zullen echter waarschijnlijk het effect van misleidende ontwerppatronen, waaronder onbehoorlijke verwerking in de zin van artikel 5, lid 1, punt a), AVG, vergroten.

Vastgesteld 41 Zie praktijkvoorbeeld 2a in deel 3.2.

Sharing your information more exciting your experience will be! And at any time you can set your preference

on the visibility of the information you share on our platform.

For example, you can decide if you want to share your geolocation or who will be

able to read your posts.

If you change the publicity of your information once it is posted online, you will lose visibility and some people might not be able to see it anymore.

Example 12: In dit voorbeeld geeft de informatie met betrekking tot het delen van gegevens een zeer positief beeld van de verwerking, door de voordelen van het delen van zoveel mogelijk gegevens te benadrukken. Gekoppeld aan de afbeelding, een foto van een schattige kat die met een bal speelt, kan emotioneel sturen gebruikers de illusie van veiligheid en behaaglijkheid geven met betrekking tot de mogelijke risico's van het delen van bepaalde informatie op het platform. Aan de andere kant is de informatie die wordt gegeven over hoe de gebruikers de manier waarop hun gegevens worden gepubliceerd, niet duidelijk. Eerst wordt gezegd dat gebruikers hun voorkeuren voor delen kunnen instellen wanneer ze maar willen. In de laatste zin staat echter dat dit niet mogelijk is als er eenmaal iets op het platform is geplaatst. Deze tegenstrijdige informatie maakt gebruikers onzeker over hoe ze de manier waarop hun gegevens worden gepubliceerd, kunnen controleren.

Grilligheid -Ontbreken van hiërarchie (bijlage I, checklist 4.5.1)

Vergelijkbare effecten als bij tegenstrijdige informatie en emotioneel sturen kunnen optreden als de presentatie van de informatie geen intern systeem of hiërarchie volgt. Het ontbreken van hiërarchie wat betreft de informatie met betrekking tot gegevensbescherming komt voor wanneer deze informatie meerdere keren wordt weergegeven en op verschillende manieren wordt gepresenteerd. Gebruikers zullen waarschijnlijk in de war raken door deze redundantie en niet in staat zijn om volledig te begrijpen hoe hun gegevens worden verwerkt en hoe ze er controle over kunnen uitoefenen. Een dergelijke indeling maakt informatie moeilijk te begrijpen, omdat het complete plaatje niet gemakkelijk zichtbaar is. In gevallen zoals beschreven in het volgende voorbeeld, schendt dit de vereisten van begrijpelijkheid en toegankelijkheid op grond van artikel 12, lid 1, AVG.

Example 13: Informatie met betrekking tot de rechten van betrokkenen staat verspreid over de privacyverklaring. Hoewel verschillende rechten van betrokkenen worden uitgelegd in de rubriek 'Uw opties' , worden het recht om een klacht in te dienen en het exacte contactadres pas vermeld na een paar andere rubrieken en lagen die verwijzen naar andere onderwerpen. In de privacyverklaring worden daarom contactgegevens deels weggelaten op plekken waar deze wenselijk en passend zou zijn.

Het ontbreken van hiërarchie kan zich ook voordoen wanneer de gegeven informatie zodanig is gestructureerd dat het voor gebruikers moeilijk is om zich te oriënteren, zoals in het volgende voorbeeld.

Example 14: Het privacybeleid is niet verdeeld in verschillende rubrieken, met koppen en inhoud. Het document bestaat uit meer dan 70 bladzijden. Er is echter geen navigatiemenu

aan de zijkant of bovenkant om gebruikers gemakkelijk toegang te geven tot de rubriek waarnaar zij op zoek zijn. De uitleg van de zelf gecreëerde term ' creatiegegevens ' is te vinden in een voetnoot op blz. 67.

Onduidelijkheid -Onduidelijke bewoordingen of informatie (bijlage I, checklist 4.6.3)

Zelfs als de woordkeuze niet openlijk tegenstrijdig is, kunnen er problemen ontstaan bij het geven van informatie aan gebruikers door het gebruik van dubbelzinnige en vage termen. Met dergelijke informatie zullen gebruikers waarschijnlijk niet zeker weten hoe gegevens worden verwerkt of hoe ze enige controle over de gegevens kunnen uitoefenen. Als kan worden aangenomen dat de gemiddelde gebruiker de echte boodschap van de informatie zonder specifieke kennis niet begrijpt, wordt niet voldaan aan de voorwaarden van artikel 12, lid 1, AVG. Bijgevolg kan het gebruik van onduidelijke bewoordingen of informatie in strijd zijn met het behoorlijkheidsbeginsel van artikel 5, lid 1, punt a), AVG, aangezien informatie niet als transparant kan worden beschouwd, waardoor betrokkenen de verwerking van hun persoonsgegevens niet kunnen begrijpen en hun rechten niet kunnen uitoefenen.

Example 15: Een privacyverklaring beschrijft een deel van een verwerking op een vage en onnauwkeurige manier, zoals in deze zin: 'Uw gegevens zouden kunnen worden gebruikt om onze diensten te verbeteren.' Bovendien is het recht op toegang tot persoonsgegevens van toepassing op de verwerking op grond van artikel 15, lid 1, AVG, maar dit wordt zo benoemd dat het voor gebruikers niet duidelijk is waartoe zij toegang hebben: 'U kunt een deel van uw informatie in uw account bekijken en controleren wat u op het platform hebt geplaatst.'

In dit voorbeeld zorgt het gebruik van de voorwaardelijke wijs ( 'zouden kunnen worden gebruikt' ) ervoor dat gebruikers niet zeker weten of hun gegevens voor de verwerking zullen worden gebruikt of niet. De term 'diensten' is waarschijnlijk te algemeen om als 'duidelijk' te worden beschouwd. Daarnaast is onduidelijk hoe gegevens worden verwerkt ter verbetering van de diensten. De EDPB herinnert eraan dat het gebruik van de voorwaardelijke wijs of vage bewoordingen geen 'dui delijke en eenvoudige taal' vormt z oals vereist door artikel 12, lid 1, eerste zin, AVG, en dit woordgebruik alleen is toegestaan als de verwerkingsverantwoordelijken kunnen aantonen dat dit de behoorlijkheid van de verwerking niet ondermijnt 42 .

Grilligheid -Taaldiscontinuïteit (bijlage I, checklist 4.5.4)

Wanneer onlinediensten worden aangeboden en die gericht zijn aan inwoners van bepaalde lidstaten, moeten de kennisgevingen inzake gegevensbescherming ook in deze talen worden aangeboden 43 . In deze context is het belangrijk dat de keuze voor een bepaalde taal ook handmatig kan worden gewijzigd en de inhoud continu zonder onderbrekingen in die taal wordt aangeboden. Als niet aan deze criteria wordt voldaan, worden betrokkenen geconfronteerd met een taaldiscontinuïteit , wat ertoe leidt dat zij informatie met betrekking tot gegevensbescherming niet kunnen begrijpen. Gebruikers kunnen dit misleidende ontwerppatroon tegenkomen wanneer informatie over gegevensbescherming niet wordt verstrekt in de officiële talen van het land waar zij wonen, terwijl de dienst wel in die taal wordt aangeboden. Als gebruikers de taal waarin informatie over gegevensbescherming wordt gegeven, niet beheersen, zullen zij deze niet gemakkelijk kunnen lezen en zijn zij daarom niet op de

hoogte van hoe hun persoonsgegevens worden verwerkt. Het is belangrijk op te merken dat taaldiscontinuïteit gebruikers in verwarring kan brengen en een omgeving met instellingen kan opleveren waarvan ze niet begrijpen hoe ze er gebruik van moeten maken. Dit misleidende ontwerppatroon kan verschillende vormen hebben, zoals in deze richtsnoeren zal worden getoond.

Example 16:

Variant A: Het socialemediaplatform is beschikbaar in het Kroatisch als de keuzetaal van de gebruiker (of in het Spaans als de taal van het land waar deze zich bevindt), terwijl alle of bepaalde informatie over gegevensbescherming alleen in het Engels beschikbaar is.

Variant B: Telkens wanneer gebruikers bepaalde pagina's oproepen, zoals de helppagina, schakelen deze automatisch over naar de taal van het land waarin de gebruikers zich bevinden, zelfs als zij eerder een andere taal hebben geselecteerd.

Variant A illustreert een situatie waarin er geen informatie beschikbaar is in een taal die de betrokkene blijkbaar beheerst. Dit betekent dat de betrokkene de informatie niet kan lezen en bijgevolg niet begrijpt hoe persoonsgegevens worden verwerkt. De informatie kan niet als begrijpelijk worden beschouwd als vereist in artikel 12, lid 1, AVG. Vanwege het ontbreken van informatie over gegevensbescherming in een taal die de betrokkene begrijpt, kan er niet van worden uitgegaan dat de informatie die vereist is op grond van artikel 13, respectievelijk 14, AVG aan de betrokkene is verstrekt.
Variant B beschrijft een situatie waarin informatiepagina's over gegevensbescherming standaard worden gepresenteerd in de taal van het land van verblijf van de gebruikers, ook als deze duidelijk een andere taalkeuze hebben gemaakt. Dit betekent dat gebruikers hun taalvoorkeur steeds weer moeten instellen wanneer ze een informatiepagina over gegevensbescherming openen. Dit kan worden beschouwd als een onbehoorlijke praktijk jegens de betrokkenen en kan bijdragen aan een schending van het behoorlijkheidsbeginsel van artikel 5, lid 1, punt a), AVG.

ii. Op een interface gebaseerde patronen

In sommige gevallen maken aanbieders van sociale media gebruik van specifieke praktijken om hun instellingen voor gegevensbescherming te presenteren. Tijdens het aanmeldingsproces krijgen gebruikers te maken met veel informatie en verschillende instellingen met betrekking tot gegevensbescherming. Om ervoor te zorgen dat gebruikers hun weg naar deze instellingen kunnen vinden en op elk moment wijzigingen kunnen aanbrengen tijdens het gebruik van het platform, moeten de instellingen gemakkelijk toegankelijk zijn en worden gekoppeld aan relevante informatie, zodat gebruikers een weloverwogen beslissing kunnen nemen. Het element 'gemakkelijk toegankelijk' betekent dat betrokkenen de informatie niet hoeven op te zoeken. Met betrekking tot het privacybeleid heeft de Groep Gegevensbescherming artikel 29 al verklaard dat plaatsing of kleurenschema's die een tekst of link minder opvallend maken, of moeilijk te vinden op een webpagina, niet als gemakkelijk toegankelijk worden beschouwd 44 .

Vastgesteld 44 Richtsnoeren inzake transparantie, punt 11.

Overladen -Privacydoolhof (bijlage I, checklist 4.1.2)

Volgens de Richtsnoeren inzake transparantie moet de privacyverklaring gemakkelijk toegankelijk zijn, d.w.z. via één klik op een website 45 . Het gebruik van de gelaagde benadering kan helpen om de privacyverklaring duidelijker te presenteren in de zin van artikel 12, lid 1, AVG 46 . Dit mag er echter niet toe leiden dat de uitoefening van belangrijke functies of rechten onnodig wordt bemoeilijkt door het verstrekken van een complex privacybeleid bestaande uit ontelbare lagen, wat zou resulteren in het misleidende ontwerppatroon privacydoolhof . Dit patroon komt overeen met een besturingselement voor informatie of gegevensbescherming dat bijzonder moeilijk te vinden is, omdat gebruikers veel pagina's moeten doorworstelen zonder dat er een uitgebreid en uitputtend overzicht beschikbaar is. Hierdoor zullen gebruikers waarschijnlijk de relevante informatie/instelling over het hoofd zien of het zoeken ernaar uiteindelijk opgeven. Een gelaagde weergave is bedoeld om de leesbaarheid te vergemakkelijken en informatie te geven over hoe de rechten van betrokkenen kunnen worden uitgeoefend, niet om dit moeilijker te maken. Centraal staat dat ervoor moet worden gezorgd dat gebruikers de uitleg gemakkelijk kunnen volgen.
In dat opzicht is er geen uniforme benadering van wat het beste is voor gebruikers; dit is afhankelijk van veel criteria, zoals het soort gebruikers op het platform of het algemene soort ontwerp van de app. Waar mogelijk moet de toegepaste gelaagde benadering worden getest met gebruikers om hun feedback te krijgen en de effectiviteit ervan te kunnen beoordelen. Om deze reden kan geen concreet aantal worden gekwantificeerd voor het maximaal toegestane aantal informatielagen. Er moet dus altijd geval per geval worden bepaald of er te veel lagen worden gebruikt en er dus sprake is van misleidende ontwerppatronen. Hoe meer lagen, hoe meer kan worden aangenomen dat gebruikers worden ontmoedigd of misleid. Een groot aantal lagen is alleen geschikt voor speciale individuele gevallen waarin het niet eenvoudig is om de complexe informatie volledig te verstrekken. Tegelijkertijd mag de gelaagde aanpak niet worden misbruikt om informatie in diepere lagen te verbergen of door onnodige lagen toe te voegen.
Dit moet echter anders worden beoordeeld als het gaat om de uitoefening van de rechten van de gebruikers. De AVG vereist dat deze rechten altijd kunnen worden uitgeoefend. Dit raamwerk bepaalt de presentatie van informatie over gerelateerde functies en het uitoefenen van rechten. Wanneer gebruikers hun rechten willen uitoefenen, moet het aantal stappen zo laag mogelijk zijn. Als gevolg hiervan moeten gebruikers de functie die hen in staat stelt om hun rechten uit te oefenen, zo snel mogelijk kunnen vinden. In de meeste gevallen zou het moeten navigeren door een groot aantal informatielagen voordat gebruikers hun rechten daadwerkelijk kunnen uitoefenen via functies, hen kunnen ontmoedigen om deze rechten uit te oefenen. Als een groot aantal stappen nodig is, moet de aanbieder van sociale media kunnen aantonen welk voordeel dit heeft voor de gebruikers als betrokkenen uit hoofde van de AVG. Naast de uitleg van de rechten van betrokkenen in de privacyverklaring, zoals vereist door artikel 13, lid 2, punten b), c) en d), AVG, moet het uitoefenen van rechten ook onafhankelijk van deze informatie toegankelijk zijn. Gebruikers moeten bijvoorbeeld ook hun rechten als betrokkenen kunnen uitoefenen via het menu van het platform.

Example 17: Op zijn platform stelt de aanbieder van sociale media een document beschikbaar met de naam 'nuttig advies' dat ook belangrijke informatie bevat over de uitoefening van de rechten van betrokkenen. Het privacybeleid bevat echter geen link of andere hint naar dit document. In plaats daarvan vermeldt het dat er meer details te vinden zijn in het Q&A-

gedeelte van de website. Gebruikers die informatie over hun rechten in het privacybeleid verwachten, zullen deze uitleg daar dus niet vinden en zullen verder moeten klikken en het Q&A-gedeelte moeten doorzoeken.

Dit is een duidelijk voorbeeld van het patroon privacydoolhof dat de toegang tot verdere informatie over de rechten van de betrokkene, en in het bijzonder over hoe deze kunnen worden uitgeoefend, moeilijker vindbaar maakt dan zou moeten, in strijd met artikel 12, lid 2, AVG. Als het privacybeleid onvolledig is, is dit bovendien in strijd met artikel 13, lid 2, punten b) tot en met d), respectievelijk artikel 14, lid 2, punten c) tot en met e), AVG. Terwijl meer gedetailleerde informatie of het directe middel om de rechten uit te oefenen met één klik vindbaar kan zijn van waar die in het privacybeleid worden genoemd, moeten gebruikers in dit voorbeeld inderdaad naar de Q&A doorklikken en daar op zoek gaan om het document 'Nuttig advies' te vinden.
Het is belangrijk op te merken dat zich nog sterkere effecten kunnen voortdoen dan die veroorzaakt door te veel lagen 47 wanneer niet alleen meerdere apparaten, maar ook verschillende apps van hetzelfde sociale mediaplatform worden gebruikt, zoals speciale berichtenapps. Gebruikers die dat soort secundaire apps gebruiken, zouden grotere obstakels ondervinden en inspanningen moeten verrichten om in de browserversie of de primaire app informatie over gegevensbescherming te vinden. In een dergelijke situatie, waarbij niet alleen meerdere apparaten maar ook meerdere apps betrokken zijn, moet de relevante informatie altijd direct toegankelijk zijn, ongeacht hoe gebruikers het platform gebruiken.

Obstructie -Doodlopende weg (bijlage I, checklist 4.4.1)

Schendingen van de wettelijke vereisten kunnen zich ook voordoen wanneer informatie over gegevensbescherming die vereist is door de AVG beschikbaar wordt gesteld wanneer verdere handelingen vereist zijn, zoals het klikken op een link of een knop. Met name navigatie-elementen die de gebruiker de verkeerde kant op sturen of een inconsistent ontworpen interface waardoor functies niet meer effectief zijn, kunnen niet als behoorlijk worden beschouwd op grond van artikel 5, lid 1, punt a), AVG, omdat gebruikers worden misleid wanneer ze proberen bepaalde informatie te bereiken of hun voorkeuren voor gegevensbescherming in te stellen. Een doodlopende weg , een situatie waarin gebruikers het moeten stellen zonder functies om hun rechten uit te oefenen, moet daarom in ieder geval worden vermeden en is ook rechtstreeks in strijd met artikel 12, lid 2, AVG, waarin wordt gesteld dat de verwerkingsverantwoordelijke de uitoefening van rechten moet vergemakkelijken.

Example 18: In zijn privacybeleid biedt een aanbieder van sociale media veel hyperlinks naar pagina's met meer informatie over specifieke onderwerpen. Er zijn echter verschillende delen in het privacybeleid die alleen algemene verklaringen bevatten die stellen dat het mogelijk is om toegang te krijgen tot meer informatie, zonder aan te geven waar of hoe.

Het privacybeleid wordt over het algemeen gezien als het document dat alle informatie over gegevensbeschermingsaangelegenheden centraliseert, in overeenstemming met de verplichtingen die zijn vastgelegd in de artikelen 12 tot en met 14 AVG. Daarom is het noodzakelijk om ook te zorgen voor doorverwijzingen naar alle relevante plaatsen op het sociale mediaplatform waar gebruikers hun gegevens kunnen beheren of hun rechten kunnen uitoefenen. In voorbeeld 18 wordt dit slechts gedeeltelijk gedaan, omdat voor sommige elementen links naar verdere informatie worden verstrekt, maar voor andere niet. Voor deze laatste kan het patroon doodlopende weg resulteren in een schending van artikel 12, lid 1, AVG, omdat sommige gegevensbeschermingsinformatie moeilijk

47 Zie hoger, punten 81 en 82.

toegankelijk is, of van artikel 12, lid 2, AVG, omdat het uitoefenen van de rechten niet wordt vergemakkelijkt.

d. Beste praktijken

Permanente navigatie: tijdens het raadplegen van een pagina over gegevensbescherming kan de inhoudsopgave constant op het scherm worden weergegeven, zodat gebruikers altijd weten waar ze zich op de pagina bevinden en snel door de inhoud kunnen bladeren met behulp van ankerlinks.

Naar boven springen: het toevoegen van een 'Naar boven' -knop onderaan de pagina, of als een permanent element onderin het venster, maakt het voor gebruikers makkelijker om door een pagina te navigeren.

Snelkoppelingen: zie praktijkvoorbeeld 1 voor de definitie (blz. 22). (bv. geef in het privacybeleid voor alle informatie over gegevensbescherming links die rechtstreeks doorverwijzen naar de betreffende gegevensbeschermingspagina's op het socialemediaplatform) .

Contactgegevens:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Contact met de toezichthoudende autoriteit:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Overzicht privacybeleid:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Wijzigingen herkennen en vergelijken:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Coherente bewoording:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Praktijkvoorbeeld 2b: het verstrekken van informatie over gezamenlijke verwerkingsverantwoordelijkheid aan de betrokkene, artikel 26, lid 2, AVG

a. Beschrijving van de context en relevante wettelijke bepalingen

De tweede zin van artikel 26, lid 2, AVG voorziet in aanvullende transparantiebepalingen in het specifieke geval van gezamenlijke verwerkingsverantwoordelijkheid 48 . Deze zorgen ervoor dat de wezenlijke inhoud van de regeling over gezamenlijke verwerkingsverantwoordelijkheid ter beschikking wordt gesteld aan de betrokkenen 49 . In de Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG beveelt de EDPB aan dat de wezenlijke inhoud ten minste alle elementen van de in de artikelen 13 en 14 bedoelde informatie omvat die reeds toegankelijk moeten zijn voor de betrokkene, en dat voor ieder element in de regeling wordt gespecificeerd welke gezamenlijke verwerkingsverantwoordelijke verantwoordelijk is voor het

https://www.edpb.europa.eu/system/files/2023-

10/edpb_guidelines_202007_controllerprocessor_final_nl.pdf.

Vastgesteld

waarborgen van de naleving ervan 50 . In de wezenlijke inhoud van de regeling moet ook het contactpunt worden vermeld, indien aangewezen. Het is aan de gezamenlijke verwerkingsverantwoordelijken om te beslissen hoe de wezenlijke inhoud van de regeling op de meest doeltreffende wijze beschikbaar kan worden gesteld aan de betrokkenen 51 .

b. Misleidende ontwerppatronen

Example 19: Met betrekking tot misleidende ontwerppatronen ligt de uitdaging voor verwerkingsverantwoordelijken in deze situatie erin om deze informatie zodanig in het onlinesysteem te integreren dat deze gemakkelijk kan worden waargenomen en niet aan duidelijkheid en begrijpelijkheid inboet, ook al wordt in artikel 12, lid 1, eerste zin, AVG niet rechtstreeks verwezen naar artikel 26, lid 2, tweede zin, AVG. Vanwege de gegevensbeschermingsbeginselen van behoorlijkheid, transparantie en verantwoordingsplicht op grond van artikel 5, lid 1, punt a), en lid 2, AVG, vloeien echter vergelijkbare vereisten voort uit de gezamenlijke verantwoordelijkheid. Wanneer gezamenlijke verantwoordelijken in een privacyverklaring informatie verstrekken over de wezenlijke inhoud van de regeling, moet dit ook op een duidelijke en transparante manier gebeuren. De verwerking kan daarom niet langer als behoorlijk worden beoordeeld als de informatie erover moeilijk te begrijpen is omdat er geen links worden verstrekt of de informatie over verschillende informatiegebieden is verspreid. Het misleidende ontwerppatroon privacydoolhof 52 kan nog meer verwarring opleveren dan een privacyverklaring in het algemeen, omdat gebruikers mogen verwachten dat de informatie volgens artikel 26, lid 2, tweede zin, AVG als één geheel wordt verstrekt. Een aanbieder van sociale media verwijst in het pri vacybeleid steeds naar 'creatiegegevens' en gebruikt het begrip persoonsgegevens niet. Pas op pagina 90 bevat de gelaagde privacyverklaring de uitleg dat 'creatiegegevens de persoonsgegevens van de gebruikers kunnen bevatten'. In de wezenlijke inhoud van de overeenkomst voor gezamenlijke verwerkingsverantwoordelijk die aan de betrokkenen wordt verstrekt, wordt ook de term 'creatiegegevens' gebruikt, zonder verdere uitleg. De andere gezamenlijke verwerkingsverantwoordelijke (B) heeft een definitie van persoonsgegevens in zijn eigen privacybeleid opgenomen. In het deel van het privacybeleid over gezamenlijke verwerkingsverantwoordelijkheid met de aanbieder van sociale media, geeft B echter alleen een link naar de overeenkomst die door de aanbieder van sociale media is verstrekt, zonder verdere uitleg.

De toelichtingen op grond van artikel 26, lid 2, tweede zin, AVG zijn moeilijker te begrijpen wanneer ze niet langer coherent zijn. Dit incoherentie-effect wordt versterkt wanneer socialemediaplatforms zelfgecreëerde terminologie gebruiken die gebruikers gewoonlijk niet associëren met de verwerking van persoonsgegevens, zoals weergegeven in voorbeeld 19. In het voorbeeld schenden beide gezamenlijke verwerkingsverantwoordelijken artikel 26, lid 2, tweede zin, AVG, evenals artikel 5, lid 1, punt a), AVG, omdat de informatie die wordt verstrekt over de gezamenlijke verwerkingsverantwoordelijkheid onduidelijk is en daarom niet transparant voor de betrokkenen.

51 Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, EDPB, punt 181.

Vastgesteld 38 52 Zie boven, praktijkvoorbeeld 2a, voorbeeld 17 in deze richtsnoeren.

Praktijkvoorbeeld 2c: mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

a. Beschrijving van de context en relevante wettelijke bepalingen

Om een inbreuk in verband met persoonsgegevens te kunnen identificeren en aanpakken, moet een verwerkingsverantwoordelijke die inbreuk wel kunnen herkennen 53 . Volgens artikel 4, lid 12, AVG, is een 'inbreuk in verband met persoonsgegevens' een 'inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de onge oorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens'. Als het gaat om verwerkingsverantwoordelijken voor sociale media, kunnen deze inbreuken in verband met persoonsgegevens op verschillende manieren plaatsvinden. Bijvoorbeeld als een aanvaller erin slaagt om toegang te krijgen tot persoonsgegevens en chatberichten van gebruikers. Ook kan bijvoorbeeld een app vanwege een programmeerfout tevens toegang krijgen tot persoonsgegevens die niet onder de door de gebruikers verleende toestemming vallen. Een ander voorbeeld zou zijn dat gebruikers foto's delen onder de instelling 'Delen met mijn beste vrienden', maar dat hun foto's in plaats daarvan beschikbaar worden gemaakt voor een bredere groep mensen. Een laatste voorbeeld is een bug waardoor een socialemediaplatform bij het delen van realtimevideo's de inhoud blijft streamen, terwijl gebruikers eerder op een knop hadden gedrukt om de opname te stoppen.
Als zich een inbreuk in verband met persoonsgegevens voordoet, stelt een verwerkingsverantwoordelijke in elk geval de bevoegde toezichthoudende autoriteit in kennis overeenkomstig artikel 33, AVG, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, stelt de verwerkingsverantwoordelijke over het algemeen de betrokkenen onverwijld in kennis van de inbreuk in verband met persoonsgegevens, overeenkomstig artikel 34, leden 1 en 2, AVG. In dit geval moet de verwerkingsverantwoordelijke de betrokkenen zonder onnodige vertraging informeren. Deze informatie moet in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens beschrijven, aangezien artikel 12, AVG ook van toepassing is. Bovendien moet deze informatie ten minste informatie en maatregelen bevatten zoals (zie ook artikel 33, lid 3, punten b) tot en met d) in samenhang met artikel 34, lid 2, AVG):

de naam en de contactgegevens van de functionaris voor gegevensbescherming, indien beschikbaar, of een ander contactpunt waar meer informatie kan worden verkregen;
een beschrijving van de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; en
een beschrijving van de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige gevolgen ervan te beperken 54 .

Dergelijke communicatie over inbreuken in verband met persoonsgegevens op grond van artikel 34, AVG kan ook misleidende ontwerppatronen bevatten. Bijvoorbeeld als de respectieve verwerkingsverantwoordelijke alle nodige informatie aan de betrokkenen verstrekt om hen te

informeren over de omvang van de inbreuk in verband met persoonsgegevens, maar hen ook ongespecificeerde en irrelevante informatie verstrekt en de implicaties en voorzorgsmaatregelen die de verwerkingsverantwoordelijke heeft genomen of voorstelt te nemen. Deze deels irrelevante informatie kan misleidend zijn en gebruikers die door de inbreuk worden getroffen, begrijpen de implicaties van de inbreuk mogelijk niet volledig of onderschatten de (potentiële) effecten.

b. Misleidende ontwerppatronen

Om enkele negatieve voorbeelden te geven, kunnen wanpraktijken bij kennisgevingen van inbreuken in verband met persoonsgegevens, die inbreuk maken op artikel 34 AVG in samenhang met artikel 12 AVG, zich als volgt voordoen:

i. Op inhoud gebaseerde patronen

Onduidelijkheid -Tegenstrijdige informatie (bijlage I, checklist 4.6.2)

Example 20:

De verwerkingsverantwoordelijke verwijst alleen naar handelingen van een derde partij, geeft aan dat de inbreuk in verband met persoonsgegevens is veroorzaakt door een derde partij (bv. een verwerker) en dat er dus geen inbreuk op de beveiliging heeft plaatsgevonden. De verwerkingsverantwoordelijke benadrukt ook enkele goede praktijken die niets te maken hebben met de daadwerkelijke inbreuk.
De verwerkingsverantwoordelijke verklaart de ernst van de inbreuk in verband met persoonsgegevens in relatie tot zichzelf of tot een verwerker, in plaats van in relatie tot de betrokkene.

Onduidelijkheid -Onduidelijke bewoordingen of informatie (bijlage I, checklist 4.6.3)

Als het gaat om de taal van de communicatie over de inbreuk aan de betrokkene, is het van cruciaal belang dat de verwerkingsverantwoordelijken in gedachten houden dat de meeste ontvangers niet vertrouwd zullen zijn met specifieke, misschien technische of juridische taal met betrekking tot gegevensbescherming.

Example 21: door een inbreuk in verband met persoonsgegevens op een socialemediaplatform waren verschillende sets gezondheidsgegevens per ongeluk toegankelijk voor onbevoegde gebruikers. De aanbieder van sociale media informeert gebruikers alleen dat 'bijzondere categorieën persoonsgegevens' per ongeluk openbaar zijn gemaakt.

Dit wordt beschouwd als onduidelijke bewoordingen , omdat de gemiddelde gebruiker de term 'bijzondere categorieën persoonsgegevens' niet begrijpt en daarom niet weet dat zijn gezondheidsgegevens zijn gelekt. Dit komt door het feit dat 'bijzonder' in het algemene taalgebruik een heel andere betekenis heeft dan 'bijzonder' in het beperkte taalgebruik met betrekking tot de AVG. De gemiddelde gebruiker weet niet dat krachtens artikel 9, lid 1, AVG, 'bijzondere categorieën persoonsgegevens' betrekking hebben op persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel

gedrag of seksuele gerichtheid. De aanduiding 'bijzondere categorieën persoonsgegevens' vormt dus een misleidend ontwerppatroon in dit scenario; gebruikers worden misleid omdat verdere uitleg achterwege blijft. Dit is een voorbeeld van een situatie waarin een verwerkingsverantwoordelijke probeert betrokkenen te informeren over de inbreuk, maar niet volledig voldoet aan zijn verplichting om de inbreuk in verband met persoonsgegevens mee te delen overeenkomstig artikel 34 AVG, omdat de ernst van het incident door de gemiddelde lezer zal worden onderschat. De korte informatie in het voorbeeld is ook niet begrijpelijk, zoals vereist door artikel 34 in samenhang met artikel 12, lid 1, eerste zin, AVG.

Een ander voorbeeld van onduidelijke bewoordingen is het volgende:

Example 22: de verwerkingsverantwoordelijke verstrekt alleen vage details bij het identificeren van de betrokken categorieën persoonsgegevens, bv. de verwerkingsverantwoordelijke verwijst naar documenten die door gebruikers zijn ingediend zonder te specificeren welke categorieën persoonsgegevens deze documenten bevatten en hoe gevoelig ze waren.

Het is belangrijk op te merken dat dit misleidende ontwerppatroon in alle delen van de kennisgeving van een inbreuk in verband met persoonsgegevens kan voorkomen. Terwijl de twee bovengenoemde voorbeelden betrekking hebben op onduidelijke bewoordingen over de getroffen gegevenscategorieën, toont het volgende voorbeeld aan dat de categorie getroffen betrokkenen ook onduidelijk kan zijn:

Example 23: bij het melden van de inbreuk specificeert de verwerkingsverantwoordelijke de categorie van de betrokken betrokkenen onvoldoende, bv. de verwerkingsverantwoordelijke vermeldt alleen dat de betrokken betrokkenen studenten waren, maar de verwerkingsverantwoordelijke specificeert niet of de betrokkenen minderjarig zijn of tot een kwetsbare groep behoren.

Tot slot kan de ernst van het incident ook worden onderschat wanneer onduidelijke informatie op dezelfde manier wordt gegeven als in het onderstaande voorbeeld:

Example 24: een verwerkingsverantwoordelijke verklaart dat persoonsgegevens via andere bronnen openbaar zijn gemaakt wanneer hij de inbreuk meldt aan de toezichthoudende autoriteit en aan de betrokkene. Daarom is de betrokkene van mening dat er geen sprake was van een inbreuk op de beveiliging.

ii. Op een interface gebaseerde patronen

Negatieve voorbeelden van een melding van een inbreuk in verband met persoonsgegevens, in strijd met artikel 34, AVG in samenhang met artikel 12, AVG, kunnen ook op interfaces gebaseerde misleidende ontwerppatronen zijn, zoals in het volgende geval:

Overslaan -Kijk daar (bijlage I, checklist 4.2.2)

Example 25:

de verwerkingsverantwoordelijke gebruikt in zijn rapportage teksten die veel niet-relevante informatie bevatten en laat de relevante details weg.
bij inbreuken op de beveiliging waarbij toegangsgegevens en andere soorten gegevens zijn getroffen, verklaart de verwerkingsverantwoordelijke dat de gegevens zijn gecodeerd of gehasht, terwijl dit alleen het geval is voor wachtwoorden.
In dit geval, zelfs als de relevante details in het rapport staan, zullen betrokkenen dit waarschijnlijk niet opmerken doordat ze worden overladen met irrelevante informatie.

c. Beste praktijken

Kennisgevingen: kennisgevingen kunnen worden gebruikt om gebruikers bewust te maken van aspecten, wijzigingen of risico's met betrekking tot de verwerking van persoonsgegevens (bv. wanneer een inbreuk in verband met persoonsgegevens heeft plaatsgevonden) . Deze kennisgevingen kunnen op verschillende manieren worden gedaan, zoals via inboxberichten, een pop-upvenster, een vaste banner boven aan de webpagina enz.

Gevolgen uitleggen: wanneer gebruikers een besturingselement voor gegevensbescherming willen activeren of deactiveren, of hun toestemming willen geven of intrekken, moeten zij op een neutrale manier worden geïnformeerd over de gevolgen van een dergelijke handeling.

Snelkoppelingen: zie praktijkvoorbeeld 1 voor de definitie (blz. 22) ( bv. geef gebruikers een link om hun wachtwoord opnieuw in te stellen ).

Coherente bewoording: zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden: zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden: zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

3.3 Beschermd blijven op sociale media

Praktijkvoorbeeld 3a: toestemming beheren bij het gebruik van een socialemediaplatform

a. Beschrijving van de context en relevante wettelijke bepalingen

Gebruikers van socialemediaplatforms moeten hun respectieve toestemming geven tijdens verschillende onderdelen van gegevensverwerkingsactiviteiten, bijvoorbeeld voordat ze gepersonaliseerde advertenties ontvangen. Zoals al uiteengezet in de EDPB-richtsnoeren betreffende de targeting van gebruikers van sociale media, is toestemming slechts een passende rechtsgrondslag als een betrokkene controle en een echte keuze wordt geboden55. Bovendien moet volgens artikel 4, lid 11, AVG toestemming een specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn56. Het is belangrijk om te benadrukken dat de vereisten voor geldige toestemming krachtens de AVG geen extra verplichting vormen, maar voorwaarden zijn voor de rechtmatige verwerking van de persoonsgegevens van gebruikers. Bovendien is Richtlijn 2002/58/EG (e-privacyrichtlijn) van toepassing op onlinemarketingof onlinetrackingmethoden. De voorwaarden voor geldige toestemming krachtens de e-privacyrichtlijn zijn echter identiek aan de bepalingen met betrekking tot toestemming in de AVG57.

Gezien het verantwoordingsbeginsel van artikel 5, lid 2, AVG en de noodzaak voor de verwerkingsverantwoordelijke om aan te tonen dat de betrokkenen hebben ingestemd met de verwerking van hun persoonsgegevens op grond van artikel 7, lid 1, AVG, is het van cruciaal belang dat de aanbieder van sociale media kan aantonen dat hij de toestemming van gebruikers naar behoren heeft verzameld. Het kan een hele uitdaging zijn om te bewijzen dat aan deze voorwaarde is voldaan, bijvoorbeeld als gebruikers geacht worden toestemming te hebben gegeven door cookies te accepteren. Bovendien zijn betrokkenen zich er misschien niet altijd van bewust dat ze toestemming geven terwijl ze snel op een gemarkeerde knop of op vooraf ingestelde opties klikken. Niettemin, zoals artikel 7, lid 1, AVG benadrukt, rust de bewijslast dat gebruikers vrijelijk toestemming hebben verleend bij de verwerkingsverantwoordelijke.

b. Misleidende ontwerppatronen

i. Op inhoud gebaseerde patronen

Naast de op inhoud gebaseerde patronen die eerder zijn uitgelegd en die van toepassing kunnen zijn op de informatie met betrekking tot een verzoek om toestemming 58 , zijn er nog twee mogelijke op inhoud gebaseerde misleidende ontwerppatronen met betrekking tot toestemming.

Tegenstrijdige informatie -Onduidelijkheid (bijlage I, checklist 4.6.2)

Example 26: de interface maakt gebruik van een tuimelschakelaar om gebruikers in staat te stellen toestemming te geven of die in te trekken. Door de manier waarop de schakelaar is ontworpen, is het echter niet duidelijk in welke positie deze zich bevindt en of gebruikers toestemming hebben gegeven of niet. De positie van de schakelaar komt inderdaad niet overeen met de kleur. Als de schakelaar naar rechts is geschoven, wat meestal wordt geassocieerd met de activering van de functie ('ingeschakeld'), is de kleur van de schakelaar rood, wat meestal betekent dat een functie is uitgeschakeld. Omgekeerd geldt dat als de schakelaar naar links is geschoven, wat meestal betekent dat de functie is uitgeschakeld, de achtergrondkleur van de schakelaar groen is, wat normaal gesproken wordt geassocieerd met een geactiveerde optie.

Het geven van tegenstrijdige informatie bij het verzamelen van toestemming maakt de informatie onduidelijk en onbegrijpelijk. Het bovenstaande voorbeeld illustreert een situatie waarin de visuele informatie dubbelzinnig is. Inderdaad, als gebruikers worden geconfronteerd met dergelijke schakelaars, zullen zij niet zeker weten of ze hun toestemming hebben gegeven of niet. Wanneer

https://www.edpb.europa.eu/sites/default/files/files/file1/201905\_edpb\_opinion\_eprivacydir\_gdpr\_interplay _nl.pdf.

Vastgesteld 43 58 Zie praktijkvoorbeeld 1, punten 32 tot en met 49, of de voorbeeldnummers vermeld in de bijlage onder UC1.

visuele indicatoren op een dergelijke manier worden gecombineerd of worden gepresenteerd in kleuren die in tegenspraak lijken met de werkelijke instelling (zie voorbeeld 26, met slechts één voorbeeld van verwarrende tuimelschakelaars), kan deze toestemming niet worden beschouwd als ondubbelzinnig gegeven, op grond van artikel 7, lid 2, AVG, in samenhang met artikel 4, lid 11, AVG. Tegenstrijdige informatie kan ook middels tekst worden gegeven, zoals hieronder weergegeven.

Example 27: de aanbieder van sociale media verstrekt tegenstrijdige informatie aan gebruikers: hoewel de informatie eerst beweert dat contacten niet zonder toestemming worden geïmporteerd, wordt in een pop-upvenster tegelijkertijd uitgelegd hoe contacten toch worden geïmporteerd.

Obstructie -Misleidende handeling (bijlage I, checklist 4.4.3)

Naast het verstrekken van tegenstrijdige informatie kunnen verwerkingsverantwoordelijken ook informatie geven die gebruikers misleidt door niet aan hun verwachtingen te voldoen. Een misleidende handeling komt voor wanneer er een discrepantie is tussen informatie en handelingen die beschikbaar zijn voor gebruikers en deze discrepantie hen ertoe aanzet iets te doen wat ze niet van plan zijn. Het verschil tussen wat gebruikers verwachten en wat ze krijgen, zal hen waarschijnlijk ontmoedigen om verder te gaan.

Example 28: gebruikers bladeren door hun feed op sociale media. Daarbij krijgen ze advertenties te zien. Geïntrigeerd door één advertentie en nieuwsgierig naar de redenen waarom deze aan hen wordt getoond, klikken ze op het vraagteken in de rechterbenedenhoek van de advertentie. Hierna opent een pop-upvenster waarin wordt uitgelegd waarom gebruikers deze specifieke advertentie te zien krijgen en worden de targetingcriteria weergegeven. Ook worden de gebruikers geïnformeerd dat ze hun toestemming voor gerichte advertenties kunnen intrekken en wordt een link gegeven om dit te doen. Wanneer gebruikers op deze link klikken, worden ze doorgestuurd naar een geheel andere website met een algemene uitleg over wat toestemming is en hoe ze deze kunnen beheren.

Het bovenstaande geval is een voorbeeld van inhoud die niet beantwoordt aan de verwachtingen van gebruikers. Wanneer gebruikers op de link klikken, verwachten ze inderdaad dat ze worden doorgestuurd naar een pagina waar ze hun toestemming rechtstreeks kunnen intrekken. De pagina die ze in plaats daarvan krijgen, staat hen niet toe om dit te doen en vermeldt niet de specifieke manier hoe ze hun toestemming kunnen intrekken op het socialemediaplatform. Deze kloof tussen wat gebruikers verwachten te vinden en wat ze daadwerkelijk vinden, zal hen waarschijnlijk verwarren en hen onzeker maken over wat ze nu moeten doen. In het ergste geval zouden ze kunnen gaan denken dat ze hun toestemming niet kunnen intrekken. Een dergelijke misleidende handeling kan niet als transparant worden beschouwd zoals vereist in artikel 12, lid 1, AVG. Bovendien kan deze praktijk, door intrekking te vergelijken met de manier waarop toestemming wordt verzameld, inbreuk maken op artikel 7, lid 3, AVG als het intrekken van de toestemming moeilijker blijkt te zijn dan het geven ervan.
Wanneer aanbieders van sociale media gebruikers informeren dat een handeling van hun kant bepaalde gevolgen kan hebben en de handeling daadwerkelijk tot een ander resultaat leidt, is dit een misleidende handeling , zoals in het volgende voorbeeld wordt getoond.

Example 29: in het deel van het socialemediaaccount waar gebruikers hun gedachten, foto's enz. kunnen delen, wordt hen gevraagd om te bevestigen dat ze deze inhoud willen delen zodra ze deze hebben getypt of geüpload. Gebruikers kunnen kiezen tussen een knop met 'Ja, graag' en een andere met 'Nee, bedankt' . Zodra gebruikers echter besluiten om de inhoud niet met anderen te delen, door op de tweede knop te klikken, wordt de inhoud op hun socialemedia-account gepubliceerd.

Net als in het vorige voorbeeld is deze informatie niet transparant en neemt ze de keuze van de gebruiker weg. Hoewel gebruikers snel zouden kunnen opmerken dat de inhoud is gepubliceerd en ze deze weer kunnen verwijderen, werden er ondanks hun weigering gegevens verwerkt en beschikbaar gesteld aan anderen. Een erger voorbeeld is wanneer de verwerking niet merkbaar is voor gebruikers of alleen met moeite of als zij kennis hebben van informatietechnologie, omdat deze plaatsvindt op de achtergrond van het socialemediaplatform.

ii. Op een interface gebaseerde patronen

Afgezien van de twee genoemde misleidende ontwerppatronen, zijn in dit praktijkvoorbeeld vooral de op interfaces gebaseerde patronen relevant.

Overslaan -Kijk daar (bijlage I, checklist 4.2.2)

Wanneer een handeling of informatie met betrekking tot gegevensbescherming 'concurreert' met een ander element dat al dan niet verband houdt met gegevensbescherming, zullen gebruikers, als ze voor die andere optie kiezen, de andere waarschijnlijk vergeten, zelfs als het hun primaire bedoeling was die te kiezen. Dit is een kijk daar -patroon, dat van geval tot geval moet worden beoordeeld.

Example 30: in een cookiebanner op het socialemediaplatform staat: 'Voor de lekkerste cookies heb je alleen boter, suiker en bloem nodig. Bekijk hier ons favoriete recept [link]. Wij gebruiken ook cookies. Lees hier meer over in ons cookiebeleid [link].', waarbij een 'OK' -knop is geplaatst.

Humor mag niet worden gebruikt om de potentiële risico's verkeerd voor te stellen en de feitelijke informatie nietig te maken. In dit voorbeeld kunnen gebruikers in de verleiding komen om alleen op de eerste link te klikken, het recept te bekijken en vervo lgens op de 'OK' -knop te klikken. Afgezien van het feit dat gebruikers hier geen middel krijgen om hun toestemming te geven, is dit een voorbeeld van een situatie waarin de toestemming mogelijk niet geïnformeerd wordt gegeven. Door op 'OK' te klikken, denken gebruikers misschien dat ze een grappig bericht over geurige cookies negeren en denken ze niet aan de technische betekenis van de term 'cookies'. Dit zou een geval zijn van niet -geïnformeerde toestemming in de zin van artikel 7, lid 2, AVG, in samenhang met artikel 4, lid 11, AVG.
Artikel 7, lid 2, AVG stelt verder dat een verzoek om toestemming duidelijk te onderscheiden moet zijn van andere aangelegenheden. Daarom is het noodzakelijk dat de informatie over gegevensbescherming niet wordt overschaduwd door andere contexten. In dit voorbeeld kan het woordgrapje over eetbare 'cookies' de context van gegevensbescherming overschaduwen. Om informatie duidelijk te kunnen onderscheiden, moeten gebruikers de relevante informatie om geldige toestemming te geven vooraf krijgen, en mag deze niet in het zicht verborgen zijn, en niet worden vermengd met andere aangelegenheden of betekenissen. Er mag geen verwarring bestaan tussen informatie over gegevensbescherming en andere soorten inhoud. Anders kunnen gebruikers worden

afgeleid van de echte gevolgen van de verwerking van hun persoonsgegevens. Bij het uitvoeren van deze voorwaarden moeten ontwerpers wat ruimte krijgen om de informatie aantrekkelijk weer te geven.

Obstructie -Doodlopende weg (bijlage I, checklist 4.4.1)

Verwarring of afleiding is niet het enige effect dat misleidende ontwerppatronen kunnen veroorzaken als het gaat om toestemming. In het bijzonder kan het doodlopende weg -patroon op verschillende manieren de toestemmingsvoorwaarden doorkruisen die zijn vastgesteld in artikel 7, AVG, in samenhang met artikel 4, lid 11, AVG.

Example 31: gebruikers willen de toestemmingen die zij aan het socialemediaplatform geven, kunnen beheren. Zij moeten een pagina kunnen vinden in de instellingen met betrekking tot die specifieke handelingen waar zij het delen van hun persoonsgegevens voor onderzoeksdoeleinden kunnen uitschakelen. Wanneer gebruikers het vakje aanvinken om deze optie uit te schakelen, gebeurt er niets op interfaceniveau en krijgen zij de indruk dat de toestemming niet kan worden ingetrokken.

In dit specifieke voorbeeld kan het doodlopende weg -patroon inbreuk maken op artikel 7, lid 3, AVG, omdat de gebruikers hun toestemming voor de verwerking van hun persoonsgegevens voor onderzoeksdoeleinden kennelijk niet kunnen intrekken, omdat het middel om dit te doen blijkbaar niet werkt. Als de handeling van de gebruikers niet goed binnen het systeem wordt geregistreerd, kan een inbreuk op artikel 7, lid 3, AVG worden vastgesteld. Als de keuze daadwerkelijk in het systeem is geregistreerd, kan het feit dat de interface de handeling van de gebruikers niet weerspiegelt, worden beschouwd als niet in overeenstemming met het behoorlijkheidsbeginsel van artikel 5, lid 1, punt a), AVG. Wanneer een interface de middelen lijkt te bieden om de toestemming goed te beheren, door gebruikers de mogelijkheid te bieden hun toestemming te geven of een eerder gegeven toestemming in te trekken, maar er geen visueel effect zichtbaar is wanneer de gebruiker dit middel gebruikt, is dit misleidend voor de gebruiker en zorgt het voor verwarring en zelfs frustratie. Een dergelijke verschil tussen de staat waarin het systeem zich bevindt en de informatie die door de interface wordt getoond, moet worden vermeden, omdat dit gebruikers in het algemeen kan hinderen bij het beheren van de eigen persoonsgegevens.
Bij veel verwerkingsactiviteiten zijn meerdere partijen betrokken, d.w.z. een andere (gezamenlijke) verwerkingsverantwoordelijke of een andere verwerker, naast de verwerkingsverantwoordelijke of verwerker met wie de betrokkene rechtstreeks contact heeft.

Example 32: een aanbieder van sociale media werkt samen met derden voor de verwerking van de persoonsgegevens van zijn gebruikers. In het privacybeleid neemt de aanbieder de lijst op van die derden, zonder echter een link naar het privacybeleid van die entiteiten te verstrekken; de gebruikers wordt alleen verteld dat ze de websites van derden kunnen bezoeken als ze informatie willen over hoe deze entiteiten gegevens verwerken en als ze hun rechten willen uitoefenen.

Dit voorbeeld van het doodlopende weg -patroon laat zien hoe de toegang tot informatie over de betreffende verwerking voor gebruikers wordt bemoeilijkt. Aangezien zij waarschijnlijk niet alle relevante informatie over de verwerking krijgen, kan worden gesteld dat een dergelijke praktijk in strijd is met de vereisten van artikel 12, lid 1, AVG dat de informatie gemakkelijk toegankelijk moet zijn. Als een dergelijke praktijk wordt toegepast voor informatie die wordt verstrekt om toestemming te

verkrijgen, kan deze in strijd zijn met de vereisten van geïnformeerde toestemming, zoals vermeld in artikel 7, lid 2, in samenhang met artikel 4, lid 11, AVG, omdat de informatie te moeilijk te vinden zou zijn, waardoor de betrokkenen zich niet volledig bewust zijn van de gevolgen van hun keuze.

Obstructie -Langer dan nodig (bijlage I, checklist 4.4.2)

Artikel 7, lid 3, AVG stelt dat het intrekken van toestemming net zo eenvoudig moet zijn als het geven van toestemming. De Richtsnoeren 05/2020 inzake toestemming op grond van Verordening 2016/679 gaan hier verder op in door te stellen dat het intrekken van toestemming op dezelfde manier mogelijk moet zijn als het verlenen ervan. Dit houdt in dat dezelfde interface wordt gebruikt, maar impliceert ook dat de mechanismen om toestemming in te trekken, gemakkelijk toegankelijk moeten zijn, bijvoorbeeld via een link die of een pictogram dat tijdens het gebruik van het socialemediaplatform altijd beschikbaar is.

Example 33: een aanbieder van sociale media biedt geen directe opt-out voor de verwerking van gerichte advertenties, hoewel de toestemming (opt-in) slechts één klik vereist.

De tijd die nodig is of het aantal klikken dat nodig is om de toestemming in te trekken, kan worden gebruikt als middel om te beoordelen of deze optie effectief gemakkelijk te gebruiken is. Het toepassen van het misleidende ontwerppatroon langer dan nodig gedurende de gebruikersreis om toestemming in te trekken, zoals te zien is in voorbeeld 33, druist in tegen deze beginselen en schendt daarmee artikel 7, lid 3, AVG.

Overladen -Privacydoolhof (bijlage I, checklist 4.1.2)

Zoals benadrukt in de Richtlijnen 05/2020 inzake toestemming, moet informatie over de verwerking op basis van toestemming aan de betrokkenen worden verstrekt om hen in staat te stellen een weloverwogen beslissing te nemen 59 . Zonder deze toestemming kan deze niet als geldig worden beschouwd. In dezelfde richtsnoeren worden manieren uitgewerkt om informatie te verstrekken, waarbij wordt gespecificeerd dat hiervoor gelaagde informatie kan worden gebruikt. Zoals echter wordt aangetoond in praktijkvoorbeeld 2a 60 , moeten aanbieders van sociale media ervoor zorgen dat ze het misleidende ontwerppatroon privacydoolhof vermijden wanneer ze informatie met betrekking tot een toestemmingsverzoek op een gelaagde manier verstrekken. Als bepaalde informatie te moeilijk te vinden is omdat betrokkenen door verschillende pagina's of documenten moeten scrollen, kan de toestemming die is verzameld door dergelijke informatie te verstrekken niet als geïnformeerd gegeven worden beschouwd, in strijd met artikel 7, AVG, in samenhang met artikel 4, lid 11, AVG. In het verlengde daarvan zou dit betekenen dat de toestemming ongeldig is en dat de aanbieder van sociale media artikel 6, AVG zou schenden.

Example 34: informatie om toestemming in te trekken is beschikbaar via een link die alleen toegankelijk is door elke rubriek binnen hun account en alle informatie te controleren die betrekking heeft op de advertenties die op hun socialemedia-feed worden weergegeven.

Zoals in het hierboven beschreven scenario kan het misleidende ontwerppatroon privacydoolhof ook een probleem opleveren zodra de toestemming is verzameld, omdat niet aan de voorwaarde van

59 Richtsnoeren 05/2020 inzake toestemming, punten 62 tot en met 64.

60 Zie hoger, punten 79 en 81.

artikel 7, lid 3, vierde zin, AVG wordt voldaan, waarin staat dat het intrekken van de toestemming net zo eenvoudig moet zijn als het geven ervan. Dit is met name te wijten aan het feit dat het proces van het intrekken van toestemming uit meer stappen bestaat dan de bevestigende handeling van het geven van toestemming. Aangezien de verstrekte informatie ook niet gemakkelijk toegankelijk is voor de betrokkene, omdat deze verspreid staat over verschillende rubrieken van de pagina, wordt het beginsel zoals vastgelegd in artikel 12, lid 1, AVG geschonden.

Overladen -Aanhoudend prompten (bijlage I, checklist 4.1.1)

Aanhoudend prompten , wanneer dit wordt gebruikt bij gebruikers die niet hebben ingestemd met de verwerking van hun persoonsgegevens voor een specifiek doeleinde, creëert een belemmering in het regelmatige gebruik van de sociale media. Bij deze praktijk heeft het weigeren van toestemming, en bijgevolg het intrekken ervan, nadelige gevolgen voor gebruikers. Dit is in strijd met de voorwaarde van vrijelijk verleende toestemming op grond van artikel 7 in samenhang met artikel 4, lid 11, AVG, waarin wordt gesteld dat toestemming elke vrijelijk verleende wilsuiting van de betrokkenen is, waarmee zij instemmen met de verwerking van persoonsgegevens die op hen betrekking hebben. In overweging 42, vijfde zin, AVG wordt verder gesteld dat toestemming niet als vrijelijk verleend kan worden beschouwd als gebruikers geen echte of vrije keuze hebben. Dit wordt ook ondersteund door de EDPB-richtsnoeren inzake toestemming, waarin wordt beschreven dat de toestemming niet geldig is als de betrokkenen geen echte keuze hebben of zich gedwongen voelen om in te stemmen door een element dat ongepaste druk of invloed op hen uitoefent, waardoor ze hun vrije wil niet kunnen uitoefenen 61 . Aangezien aanhoudend prompten een dergelijke druk kan veroorzaken, schendt dit het beginsel van vrijelijk verleende toestemming. Aangezien het bovendien onwaarschijnlijk is dat de aanbieder van sociale media, zodra gebruikers hun toestemming hebben gegeven, regelmatig (bv. elke keer dat ze opnieuw inloggen op hun account) de mogelijkheid biedt om hun toestemming in te trekken, kan dit misleidende ontwerppatroon inbreuk maken op artikel 7, lid 3, vierde zin, AVG, waarin staat dat het net zo gemakkelijk moet zijn om een toestemming in te trekken als deze te geven ('spiegeleffect').

Vastgesteld 48 61 Richtsnoeren 05/2020 inzake toestemming, punten 13 en 14.

Timeline of the user interactions

Opening the application

Browsing the feed

Interacting with a post O

Closing the application

Opening the application O

Posting a message

Browsing the feed

Example 35: wanneer gebruikers in dit voorbeeld hun account aanmaken, wordt hen gevraagd of ze accepteren dat hun gegevens worden verwerkt om gepersonaliseerde advertenties te krijgen. In het geval dat gebruikers niet instemmen met dit gebruik van hun gegevens, zien ze regelmatig -tijdens het gebruik van het sociale netwerk -het bovenstaande promptvenster met de vraag of ze gepersonaliseerde advertenties willen zien. Dit venster hindert hen in hun gebruik van het sociale netwerk. Dit aanhoudend prompten is vermoeiend voor gebruikers en leidt ertoe dat zij waarschijnlijk op een gegeven moment toch instemmen met gepersonaliseerde advertenties. Bovendien wordt in deze interface ook het in het zicht verborgen -patroon 62 gebruikt, omdat de handeling om advertenties te accepteren veel zichtbaarder is dan de optie om ze te weigeren.

Vastgesteld 62 Zie punt 49, of deel 4.3.2 van de bijlage.

MySocialNetwork

Bovendien kan het zijn dat de verwerkingsverantwoordelijke hiermee inbreuk maakt op het behoorlijkheidsbeginsel in de zin van artikel 5, lid 1, punt a), AVG. Aangezien de gebruikers in het bovenstaande voorbeeld niet met een duidelijke handeling hebben ingestemd met de verwerking van hun persoonsgegevens voor gerichte advertenties bij het aanmaken van hun account, is het herhaaldelijk prompten, waarbij een duidelijke weigering in twijfel wordt getrokken, belastend. Deze duidelijke handeling van de gebruikers tijdens het registratieproces wordt nu voortdurend in twijfel getrokken. De opzettelijke verslechtering van de gebruikerservaring verhoogt de kans aanzienlijk dat gebruikers gerichte advertenties op een bepaald moment zullen accepteren, om te voorkomen dat ze bij het inloggen op hun account en het gebruik van het socialemediaplatform telkens opnieuw dezelfde vraag krijgen. In dit geval heeft het niet verlenen van toestemming een directe invloed op de kwaliteit van de aan de gebruikers verleende dienst en op de uitvoering van het contract.

c. Beste praktijken

Consistentie tussen apparaten: wanneer het socialemediaplatform beschikbaar is op verschillende apparaten (bv. computer, smartphone enz.), moeten de instellingen en informatie met betrekking tot gegevensbescherming zich in de verschillende versies op dezelfde plek bevinden en toegankelijk zijn via dezelfde navigatie- en interface-elementen (menu, pictogrammen enz.).

Wijzigingen herkennen en vergelijken:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Coherente bewoording:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Permanente navigatie:

zie praktijkvoorbeeld 2a voor de definitie (blz. 28).

Naar boven springen:

zie praktijkvoorbeeld 2a voor de definitie (blz. 28).

Kennisgevingen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Gevolgen uitleggen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Praktijkvoorbeeld 3b: instellingen voor gegevensbescherming beheren

a. Beschrijving van de context

Na het voltooien van het aanmeldingsproces en gedurende de gehele periode dat ze hun socialemediaaccount gebruiken, moeten gebruikers hun instellingen voor gegevensbescherming kunnen aanpassen.
Ongeacht of gebruikers voorkennis hebben van gegevensbescherming in het algemeen en de AVG in het bijzonder, en of ze aandacht hebben voor welke persoonsgegevens ze al dan niet willen delen en aan anderen willen laten zien, hebben alle gebruikers recht op transparante informatie over hun mogelijkheden tijdens het gebruik van sociale media.
Vastgesteld 50 Gebruikers delen veel persoonsgegevens op socialemediaplatforms. Ze worden door de socialemediaplatforms vaak aangemoedigd om regelmatig meer te delen. Hoewel gebruikers misschien momenten in hun leven willen delen, willen deelnemen aan een discussie over een bepaald onderwerp of, om professionele of persoonlijke redenen, hun netwerk willen uitbreiden, moeten ze

ook de middelen krijgen om te bepalen wie welke delen van hun persoonsgegevens kan zien. Eén manier om te voorkomen dat meer stappen moeten worden genomen om deze instellingen te wijzigen, is door een privacydashboard te ontwerpen waarmee instellingen kunnen worden gecentraliseerd en gebruikers makkelijker hun gegevens kunnen beheren.

b. Toepasselijke wettelijke bepalingen

Zoals hierboven vermeld 63 , bepaalt artikel 5, lid 1, punt a), AVG als een van de belangrijkste beginselen met betrekking tot de verwerking van persoonsgegevens dat persoonsgegevens rechtmatig, behoorlijk en, met name cruciaal in dit verband, op transparante wijze worden verwerkt ten aanzien van de betrokkene ('rechtmatigheid, behoorlijkheid en transparantie'). Volgens het verantwoordingsbeginsel uit hoofde van artikel 5, lid 2, AVG zijn de verwerkingsverantwoordelijken verplicht om aan te tonen welke maatregelen zij nemen om hun verwerkingsactiviteiten niet alleen rechtmatig en behoorlijk, maar ook transparant te maken. Bovendien zijn de beginselen van minimale gegevensverwerking op grond van artikel 5, lid 1, punt c), en gegevensbescherming door ontwerp en standaardinstellingen op grond van artikel 25, AVG relevant in dit praktijkvoorbeeld.

c. Misleidende ontwerppatronen

i. Op inhoud gebaseerde patronen

Het eerste probleem waarmee gebruikers in deze context worden geconfronteerd, is het vinden van de instellingen die te maken hebben met gegevensbescherming. Gebruikers kunnen de gegevensbeschermingsverklaring lezen en vervolgens besluiten om wijzigingen aan te brengen met betrekking tot de verwerking van hun persoonsgegevens. Ze kunnen dit ook willen doen zonder de verklaring te hebben gelezen, tijdens hun gewone gebruik van de sociale media, bijvoorbeeld wanneer ze beseffen dat informatie die op een socialemediaplatform is geplaatst (bv. een foto van het gezin op het strand) wordt gedeeld met een ongewenste groep mensen (bv. collega's). In ieder geval vereist het transparantiebeginsel dat de opties voor de instellingen gemakkelijk toegankelijk zijn en op een begrijpelijke manier beschikbaar zijn. Dit is mogelijk door de gegevens- en privacy-instellingen op één plaats te centraliseren met behulp van een logische URL, zoals [sociaalnetwerk.com]/gegevensinstellingen.
Er zijn verschillende ontwerppatronen met betrekking tot dit probleem die het voor gebruikers moeilijk maken om deze instellingen te vinden. Ontwerpers van socialemediaplatforms moeten er daarom op letten dat ze deze misleidende ontwerppatronen vermijden.

Overladen -Overdaad aan opties (bijlage I, checklist 4.1.3)

Instellingen voor gegevensbescherming moeten gemakkelijk toegankelijk en logisch geordend zijn. Instellingen met betrekking tot hetzelfde aspect van gegevensbescherming moeten bij voorkeur op een enkele en prominente locatie worden geplaatst. Anders moeten gebruikers te veel pagina's controleren en beoordelen, waardoor ze worden overladen met instellingen om hun voorkeuren voor gegevensbescherming aan te geven. Als gebruikers worden geconfronteerd met te veel opties om uit te kiezen, kan het inderdaad gebeuren dat ze geen keuze kunnen maken, of sommige instellingen over het hoofd zien, waardoor ze het uiteindelijk opgeven of instellingen voor hun gegevensbeschermingsvoorkeuren over het hoofd zien. Dit is in strijd met de beginselen van

Vastgesteld 63 Zie hoger, punten 1, 9, 10, en 14 tot en met 16.

transparantie en behoorlijkheid. Het kan met name inbreuk maken op artikel 12, lid 1, AVG, omdat het een specifiek besturingselement met betrekking tot gegevensbescherming moeilijk bereikbaar maakt omdat deze over meerdere pagina's is verspreid of het vers chil tussen de verschillende opties voor gebruikers onduidelijk is.

Example 36: gebruikers weten waarschijnlijk niet wat ze moeten doen als het menu van een socialemediaplatform meerdere tabbladen bevat over gegevensbescherming: 'gegevensbescherming', 'veiligheid', 'inhoud', 'privacy', 'uw voorkeuren' .

In dit voorbeeld geven de titels van de tabbladen niet duidelijk aan welke inhoud gebruikers op de bijbehorende pagina kunnen verwachten, of dat ze allemaal betrekking hebben op gegevensbescherming, vooral wanneer een van de tabbladen specifiek deze naam draagt. Dit kan als risico hebben dat gebruikers worden gehinderd om wijzigingen door te voeren. Als zij bijvoorbeeld het aantal personen dat de foto's die zij hebben geüpload kan zien, willen beperken of uitbreiden, kunnen de namen van de tabbladen ertoe l eiden dat ze op 'veiligheid' klikken, omdat gebruikers denken dat er veiligheidsrisico's verbonden zijn aan het openbaar zichtbaar maken van hun gegevens; 'inhoud', omdat gebruikers de zichtbaarheid van hun bericht willen instellen; of 'privacy', omdat dit specifieke begrip rechtstreeks verband houdt met wat mensen met anderen willen delen. Dit betekent dat deze titels niet duidelijk genoeg zijn met betrekking tot de handeling die gebruikers willen uitvoeren. Met name de termen 'gegevensbescherming' en 'privacy' worden vaak als synoniemen gebruikt en zijn daarom vooral verwarrend als ze als verschillende rubrieken worden gepresenteerd.

Onduidelijkheid -Tegenstrijdige informatie (bijlage I, checklist 4.6.2)

Zoals al beschreven in voorbeeld 12 en verder geïllustreerd in het volgende voorbeeld, kunnen gebruikers ook tegenstrijdige informatie krijgen in het kader van de instellingen voor gegevensbescherming.

Example 37: gebruiker X schakelt het gebruik van locatiegegevens voor advertentiedoeleinden uit. Nadat hij op de schakelaar heeft geklikt die dit toestaat, verschijnt er een bericht met de tekst 'Wij hebben weergave van uw locatie uitgeschakeld, maar uw locatie wordt nog steeds gebruikt' .

Overladen -Privacydoolhof (bijlage I, checklist 4.1.2)

Wanneer gebruikers een instelling voor gegevensbescherming wijzigen, vereist het behoorlijkheidsbeginsel ook dat aanbieders van sociale media gebruikers informeren over andere, vergelijkbare instellingen. Als dergelijke instellingen verspreid zijn over verschillende, niet-gekoppelde pagina's van het socialemediaplatform, zien gebruiker s waarschijnlijk één of meer middelen om een aspect van hun persoonlijke gegevens te beheren over het hoofd. Gebruikers verwachten verwante instellingen bij elkaar te vinden.

Example 38: verwante onderwerpen, zoals de instellingen voor het delen van gegevens door de aanbieder van sociale media met derden en omgekeerd, worden niet op dezelfde plek of dicht bij elkaar beschikbaar gesteld, maar eerder op verschillende tabbladen van het instellingenmenu.

groter aantal stappen gebruikers ontmoedigen om de wijziging af te ronden of ertoe leiden dat ze delen ervan over het hoofd zien, vooral als ze meerdere wijzigingen willen doorvoeren. Het op een dergelijke manier belemmeren van de wilsuiting van gebruikers schendt het behoorlijkheidsbeginsel in artikel 5, lid 1, punt a), AVG. Bovendien hangt het wijzigen van de instellingen nauw samen met de uitoefening van de rechten van betrokkenen 64 . Het wijzigen van een gegevensgerelateerde instelling, zoals het corrigeren van de eigen naam of het verwijderen van het jaar van afstuderen, kan worden beschouwd als een uitoefening van het recht op rectificatie, respectievelijk het recht op verwijdering, voor deze specifieke gegevens. Het aantal benodigde stappen moet daarom zo klein mogelijk zijn. Hoewel het kan variëren, belemmert een buitensporig aantal stappen de gebruikers en wordt daarom het behoorlijkheidsbeginsel geschonden, evenals artikel 12, leden 1 en 2, AVG.

Grilligheid -Taaldiscontinuïteit (bijlage I, checklist 4.5.4)

Met betrekking tot transparante informatie moeten ontwerpers van socialemediaplatforms ook voorzichtig zijn en de op inhoud gebaseerde misleidende ontwerppatronen proberen te vermijden die worden vermeld in praktijkvoorbeeld 2a, zoals taaldiscontinuïteit . Het niet beschikbaar maken van de instellingenpagina's (of delen daarvan) in de taal die gebruikers hebben gekozen voor het socialemediaplatform, maakt het moeilijker voor hen om te begrijpen wat ze kunnen veranderen en dus om hun voorkeuren in te stellen.

Grilligheid -Inconsistente interface (bijlage I, checklist 4.5.3)

In deze context doet zich een ander probleem voor wanneer socialemediaplatforms gebruikers gegevensbeschermingsvriendelijke opties bieden, maar hen er niet op een duidelijke manier over informeren. Dit kan het geval zijn wanneer het socialemediaplatform plotseling afwijkt van het gebruikelijke ontwerppatroon. Een dergelijke inconsistente interface treedt op wanneer een interface niet consistent is in verschillende contexten of niet overeenkomt met de verwachtingen van gebruikers. Deze verschillen kunnen ertoe leiden dat gebruikers niet de gewenste controles of informatie kunnen vinden of uit gewoonte een element van de interface gebruiken, ook al maken ze hiermee een keuze voor gegevensbescherming die ze eigenlijk niet willen.

Example 39: overal op het socialemediaplatform worden negen van de tien opties voor gegevensbeschermingsinstellingen in de volgende volgorde gepresenteerd:

de meest beperkende optie (d.w.z. de minste gegevens delen met anderen);
de beperkte optie, maar niet zo beperkend als de eerste;
de minst beperkende optie (d.w.z. de meeste gegevens delen met anderen).

Gebruikers van dit platform zijn eraan gewend dat hun gegevensbeschermingsinstellingen in deze volgorde worden gepresenteerd. Deze volgorde wordt echter niet toegepast bij de laatste instelling, waarbij de keuze van de zichtbaarheid van de verjaardagen van gebruikers in de volgende volgorde wordt weergegeven:

-Laat de hele datum van mijn verjaardag zien: 15 januari 1929 (= minst beperkende optie)
-Laat alleen de dag en maand zien: 15 januari (= beperkte optie, maar niet de meest beperkende)

Vastgesteld 53 64 Zie verder, praktijkvoorbeelden 4 en 5, oftewel delen 3.4 en 3.5 van deze richtsnoeren.

-Laat mijn verjaardag niet aan anderen zien (= meest beperkende optie).

In het voorbeeld staan de drie opties voor de laatste instelling in een andere volgorde dan bij de vorige instellingen. Gebruikers die eerder hun andere instellingen hebben gewijzigd, zullen waarschijnlijk de 'gebruikelijke' volgorde van instellingen één tot negen verwachten. Bij de laatste instelling zijn ze zo gewend aan deze volgorde dat ze instinctief de eerste optie kiezen, ervan uitgaande dat dit de meest beperkende moet zijn. De opties van één instelling voor gegevensbescherming zodanig anders indelen dan de andere op hetzelfde socialemediaplatform is een inconsistente interface , omdat deze speelt met wat gebruikers gewend zijn en met hun verwachtingen. Dit kan tot verwarring leiden of gebruikers de indruk geven dat ze de gewenste keuze hebben gemaakt, terwijl dit in werkelijkheid niet het geval is.

ii. Op een interface gebaseerde patronen

Het tweede probleem dat men tegenkomt in het kader van instellingen voor gegevensbescherming is dat de instellingen inbreuk kunnen maken op het beginsel van gegevensbescherming door de standaardinstellingen. Artikel 25, lid 1, AVG vereist dat verwerkingsverantwoordelijken passende maatregelen nemen om de beginselen van gegevensbescherming uit te voeren, zoals minimale gegevensverwerking (artikel 5, lid 1, punt c), AVG). Deze bepalingen worden niet gerespecteerd wanneer de instellingen voor het delen van persoonsgegevens vooraf zijn ingesteld op een van de meer invasieve opties in plaats van de minst invasieve.

Overslaan -Misleidend gemak (bijlage I, checklist 4.2.1)

Example 40: tussen de opties voor gegevenszichtbaarheid 'zichtbaar voor mij' , 'voor mijn beste vrienden''voor al mijn contacten' , en 'openbaar' , is de middelste optie 'voor al mijn contacten' vooraf ingesteld. Dit betekent dat alle gebruikers die in de lijst met contacten staan, de bijdragen kunnen zien, evenals alle informatie die is ingevoerd voor aanmelding bij het socialemediaplatform, zoals het e-mailadres of de geboortedatum.

Aanbieders van sociale media kunnen aanvoeren dat de minst invasieve instelling zou indruisen tegen het doel van het gebruiken van een bepaald socialemediaplatform door gebruikers, bijvoorbeeld om door onbekende mensen te worden gevonden om nieuwe vrienden, een relatie of een baan te vinden. Hoewel dit voor sommige specifieke instellingen waar kan zijn, moeten aanbieders van sociale media er rekening mee houden dat het feit dat gebruikers bepaalde gegevens naar het netwerk uploaden, geen toestemming inhoudt om deze gegevens met anderen te delen 65 . Wanneer aanbieders van sociale media geen gegevensbescherming door standaardinstellingen bieden, moeten zij ervoor zorgen dat zij gebruikers hier goed over informeren. Dit betekent dat gebruikers moeten weten wat de standaardinstelling is, dat er minder invasieve opties beschikbaar zijn en waar op het platform ze die wijzigingen kunnen doorvoeren. In het gegeven voorbeeld betekent dit dat wanneer de optie 'voor mijn beste vrienden' vooraf is ingesteld voor bijdragen die gebruikers actief op het socialemediaplatform plaatsen, ze informatie moeten krijgen over waar ze deze instelling kunnen wijzigen. Het vooraf instellen van de zichtbaarheid op 'voor al mijn contacten' (of zelfs 'openbaar' ) is een voorbeeld van misleidend gemak , vooral wanneer deze wordt toegepast op gegevens die de aanbieder van sociale media van gebruikers nodig heeft om een account aan te maken, zoals het e-

mailadres of hun geboortedatum. Zoals beschreven in praktijkvoorbeeld 1, punt 55, is deze praktijk in strijd met artikel 25, lid 2, AVG.

MySocialNetwork

Inspelen op emoties -In het zicht verborgen (bijlage I, checklist 4.3.2)

De misleidende ontwerppatronen in het zicht verborgen en misleidend gemak kunnen gemakkelijk worden gecombineerd als het gaat om de selectie van gegevensbeschermingsgerelateerde opties, zoals geïllustreerd in voorbeeld 9 voor het aanmeldingsproces, en hieronder, wanneer gebruikers hun voorkeuren voor gegevensbescherming willen wijzigen tijdens het gebruik van de sociale media.

POSTS

Set who can see what you're posting on the social network.

All my friends O

NETWORK

Set who can see your contacts and friends.

All my friends

GEOLOCATION

Set who can see your location data.

All my friends

PROFILE INFORMATION

Set who can see the information you've entered in your profile, such as your

birthdate.

All my friends

ACTIVITIES

Set who can see your reaction to other's

Everyone on MySocialNetwork

All my friends

Example 41: in dit voorbeeld moeten gebruikers, wanneer zij de zichtbaarheid van hun gegevens willen beheren, naar het tabblad 'Your privacy preference' ( 'Privacyvoorkeuren' ) gaan. De informatie waarvoor ze hun voorkeur kunnen instellen, staat daar vermeld. Door de manier waarop die informatie wordt weergegeven, is echter niet duidelijk hoe de instellingen moeten worden gewijzigd. Gebruikers moeten inderdaad op de huidige zichtbaarheidsoptie klikken om toegang te krijgen tot een vervolgkeuzemenu, waaruit ze dan de gewenste optie kunnen selecteren.

Vastgesteld 56 Hoewel het wijzigen van iemands voorkeuren beschikbaar is op dit tabblad, is het in het zicht verborgen , omdat het vervolgkeuzemenu niet direct zichtbaar is voor gebruikers; die moeten immers raden dat als ze op de huidige optie klikken, een nieuw menu zal openen. De gebruikelijke visuele aanwijzing (onderstreepte tekst, pijl-omlaag) over de mogelijkheid van interactie en het openen van het vervolgkeuzemenu ontbreekt inderdaad. Deze specifieke praktijk is onbehoorlijk voor gebruikers en kan bijdragen aan een algemene niet-naleving van het behoorlijkheidsbeginsel van artikel 5, lid 1,

punt a), AVG. Bovendien, als de opties standaard vooraf waren geselecteerd, zou er ook sprake zijn van het misleidende ontwerppatroon misleidend gemak , zoals hierboven beschreven in punt 128.

Grilligheid -Decontextualisering (bijlage I, checklist 4.5.2)

Van decontextualisering is sprake wanneer gegevensbeschermingsgerelateerde informatie of instellingen zich op een pagina bevinden die deel uitmaakt van een andere context, zodat gebruikers die waarschijnlijk niet zullen vinden, omdat ze die niet intuïtief op die specifieke pagina zouden gaan zoeken.

Example 42: de instellingen voor gegevensbescherming zijn moeilijk te vinden in het gebruikersaccount, omdat er op het hoogste niveau geen menuhoofdstuk is met een titel of kop die gebruikers in de juiste richting zou sturen. Gebruikers moeten onder andere submenu's z oeken, zoals 'veiligheid' .

In dit voorbeeld worden gebruikers niet naar de instellingen voor gegevensbescherming geleid omdat er geen nuttige en duidelijke termen worden gebruikt om aan te geven waar deze zich op het socialemediaplatform bevinden. De term 'veiligheid' dekt namelijk slechts een fractie van wat kan worden verwacht bij instellingen voor gegevensbescherming. Het is daarom niet intuïtief voor gebruikers om naar dit menu te navigeren om dergelijke instellingen te vinden. Dit gebrek aan transparantie maakt de toegang tot informatie moeilijker dan zou moeten en kan worden beschouwd als een inbreuk op artikel 12, lid 1, AVG, en mogelijk artikel 12, lid 2, AVG als die instellingen betrekking hebben op de uitoefening van een recht.

Example 43: het wijzigen van de instelling wordt belemmerd omdat in de desktopversie van het socialemediaplatform de knop 'opslaan' voor het vastleggen van wijzigingen niet zichtbaar is bij alle opties, maar alleen boven aan het submenu. Gebruikers zullen hem waarschijnlijk over het hoofd zien en ten onrechte aannemen dat hun instellingen automatisch worden opgeslagen, waardoor ze naar een andere pagina gaan zonder op de knop 'opslaan' te klikken. Dit probleem doet zich niet voor in de app en mobiele versies. Daarom creëert het extra verwarring voor gebruikers die van de mobiele versie/app naar de desktopversie overstappen en kan dit hen doen aannemen dat ze hun instellingen alleen in de mobiele versie of de app kunnen wijzigen.

Zodra gebruikers de instellingen voor gegevensbescherming hebben gevonden en hun keuzes hebben ingesteld, mogen ze hier geen hinder bij ondervinden. Zodra gebruikers een wijziging hebben aangebracht, moet de manier om deze op te slaan duidelijk zijn, of dit nu gebeurt zodra gebruikers een instelling aanpassen of door op een specifiek element van de interface te klikken, zoals een knop 'opslaan' , om de wijziging te bevestigen. Bovendien vereist het behoorlijkheidsbeginsel op grond van artikel 5, lid 1, punt a), AVG dat aanbieders van sociale media consistent zijn op het hele platform, met name op verschillende apparaten. Dat is niet het geval wanneer de interface een misleidend ontwerppatroon gebruikt, zoals beschreven in de bovenstaande voorbeelden.

d. Beste praktijken

Register voor gegevensbescherming: om gemakkelijk door de verschillende rubrieken van het menu te navigeren, moeten gebruikers een gemakkelijk toegankelijke pagina krijgen aangeboden, van waaruit alle gegevensbeschermingsgerelateerde handelingen (bv. instellingen) en informatie toegankelijk zijn. Deze pagina kan zich in het hoofdmenu van de aanbieder van sociale media bevinden, of in het gebruikersaccount, het privacybeleid enz.

Bulkopties: dit houdt in dat opties die hetzelfde verwerkingsdoel hebben bij elkaar worden geplaatst, zodat gebruikers ze gemakkelijker kunnen wijzigen, terwijl ze nog steeds de mogelijkheid hebben om gedetailleerdere wijzigingen door te voeren. Als socialemediaplatforms bulkopties aanbieden, mogen deze geen onverwachte of niet-gerelateerde elementen bevatten (bv. elementen met andere doeleinden). Als voor de verwerking toestemming vereist is, moeten de bulkopties in overeenstemming zijn met de EDPB-richtsnoeren inzake toestemming, met name de punten 42 tot en met 44.

Snelkoppelingen: zie praktijkvoorbeeld 1 voor de definitie (blz. 22) (bv. wanneer gebruikers worden geïnformeerd over een aspect van de verwerking, worden ze uitgenodigd om hun voorkeuren voor gerelateerde gegevens in te stellen op de bijbehorende instellingen-/dashboardpagina).

Logische URL: de pagina's met betrekking tot instellingen voor gegevensbescherming of informatie moeten een webadres gebruiken dat de inhoud ervan duidelijk weergeeft. Een pagina die het beheer van gegevensbescherming centraliseert, kan bijvoorbeeld een URL hebben als [sociaalnetwerk.com]/gegevensinstellingen.

Coherente bewoording:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Permanente navigatie:

zie praktijkvoorbeeld 2a voor de definitie (blz. 28).

Kennisgevingen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Gevolgen uitleggen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Consistentie tussen apparaten:

zie praktijkvoorbeeld 3a voor de definitie (blz. 39).

3.4 Beroep doen op rechten op sociale media: rechten van betrokkenen Praktijkvoorbeeld 4: de juiste functies aanbieden voor het uitoefenen van de rechten van betrokkenen

a. Beschrijving van de context

Het gebruik van een socialemediaplatform betekent dat gebruik wordt gemaakt van de functies ervan in overeenstemming met de doeleinden die door de aanbieder van de sociale media worden aangegeven. Dit betekent ook dat gebruikers hun gegevensbeschermingsrechten moeten kunnen uitoefenen. Dat zijn belangrijke elementen van gegevensbescherming en het beheren van de eigen informatie, ongeacht of gegevens rechtstreeks en bewust door betrokkenen worden verstrekt, door betrokkenen worden verstrekt op grond van het gebruik van de dienst of het apparaat, of worden afgeleid uit de analyse van door de betrokkene verstrekte gegevens 66 . Door de enorme hoeveelheid persoonsgegevens die op het platform aanwezig is, moeten gebruikers hun gegevens op een duidelijke en intuïtieve manier kunnen beheren met behulp van de rechten die de AVG biedt. De EDPB heeft deze

begrippen in verschillende richtsnoeren toegelicht 67 . Het uitoefenen van rechten moet mogelijk zijn vanaf het eerste tot het laatste gebruik van het platform, en in sommige gevallen zelfs nadat gebruikers hebben besloten het platform te verlaten en de verwerkingsverantwoordelijke hun gegevens nog niet heeft verwijderd. Niet-gebruikers van het platform moeten ook in staat worden gesteld om de rechten van betrokkenen met betrekking tot de verwerking van hun gegevens uit te oefenen. Natuurlijk zijn in sommige gevallen niet alle rechten van de betrokkene beschikbaar, afhankelijk van de rechtsgrondslag voor de verwerking van de gegevens. De aanbieder van sociale media moet daarom ook duidelijk uitleggen waarom bepaalde rechten niet van toepassing zijn en waarom sommige beperkt kunnen zijn. Zoals hierboven en in vorige hoofdstukken vermeld, moet het gebruik van rechten uitvoerbaar worden gemaakt. Automatisering en andere functionaliteiten van socialemediaplatforms moeten worden gebruikt om de uitoefening van rechten te vergemakkelijken.

b. Toepasselijke wettelijke bepalingen

De AVG beschrijft zeven verschillende rechten die betrokkenen onder bepaalde voorwaarden (bv. rechtsgrondslag van de verwerking enz.) kunnen uitoefenen. Artikel 15, AVG geeft betrokkenen het recht om te weten of persoonsgegevens over hen worden verwerkt en deze in te zien, d.w.z. om meer informatie over hun verwerking te verkrijgen en om een kopie van die gegevens te ontvangen. Artikel 16, AVG beschrijft het recht op rectificatie, waardoor betrokkenen de persoonsgegevens die de verwerkingsverantwoordelijke verwerkt, kunnen bijwerken. Het recht op wissing op grond van artikel 17, AVG stelt betrokkenen in staat om persoonsgegevens die op hen betrekking hebben, te laten verwijderen. Het recht op beperking van de verwerking op grond van artikel 18, AVG geeft de betrokkenen de mogelijkheid om de verwerking van hun persoonsgegevens tijdelijk te stoppen. In artikel 20, AVG wordt het recht op overdraagbaarheid van gegevens geïntroduceerd, waardoor betrokkenen hun persoonsgegevens kunnen ontvangen en doorgeven aan een andere verwerkingsverantwoordelijke 68 . Betrokkenen hebben ook het recht om in bepaalde gevallen bezwaar te maken tegen de verwerking van hun gegevens, zoals vastgelegd in artikel 21, AVG. Tot slot geeft artikel 22, AVG betrokkenen het recht om niet te worden onderworpen aan een beslissing die uitsluitend is gebaseerd op geautomatiseerde verwerking 69 .
De EDPB benadrukt dat niet al deze rechten van toepassing zijn op elk socialemediaplatform, afhankelijk van de rechtsgrondslag en doeleinden van de verwerking van persoonsgegevens en de soorten geleverde diensten. De verschillen moeten door de verwerkingsverantwoordelijke worden uitgelegd in overeenstemming met artikel 12, AVG. Dit betekent dat de informatie over de toepasselijke rechten beknopt en duidelijk moet zijn voor gebruikers, inclusief waarom bepaalde rechten niet van toepassing zijn. Een dergelijke uitleg kan de hoeveelheid communicatie met gebruikers beperken wanneer ze sommige rechten proberen uit te oefenen. Het uitoefenen van een recht moet gemakkelijk en toegankelijk zijn in overeenstemming met artikel 12, lid 2, en de reactie moet zonder onnodige vertraging worden gegeven, zoals vereist door artikel 12, lid 3, AVG. Evenzo

moet het socialemediaplatform uitleggen waarom aan bepaalde verzoeken niet kan worden voldaan en de gebruiker informeren over de mogelijkheid om een klacht in te dienen bij een aangewezen toezichthoudende autoriteit, overeenkomstig artikel 12, lid 4, AVG. De volgende misleidende ontwerppatronen zijn dus mogelijk niet van toepassing op alle hierboven genoemde rechten. Het recht op wissing wordt in het volgende hoofdstuk uitvoerig besproken.

c. Misleidende ontwerppatronen

i. Op inhoud gebaseerde patronen

Obstructie -Doodlopende weg (bijlage I, checklist 4.4.1)

Het misleidend ontwerppatroon doodlopende weg kan rechtstreeks het gemak van toegang tot de uitoefening van de rechten beïnvloeden. wanneer links naar de middelen om een recht uit te oefenen niet werken of er geen duidelijke uitleg is over hoe een recht kan worden uitgeoefend, zijn gebruikers niet in staat om dit recht naar behoren uit te oefenen, wat in strijd is met artikel 12, lid 2, AVG.

Example 44: Gebruikers klikken op 'mijn recht van inzage uitoefenen' in de privacyverklaring, maar worden in plaats daarvan doorgestuurd naar hun profiel, dat geen functies biedt met betrekking tot het uitoefenen van dit recht.

Het bovengenoemde voorbeeld van een misleidend ontwerppatroon schetst de noodzaak om gebruikers een duidelijke en intuïtieve manier te bieden om hun rechten uit te oefenen in overeenstemming met artikel 12, leden 1 en 2, AVG, omdat ze deze anders misschien niet zouden kunnen uitoefenen. Het is niet genoeg om aan gebruikers te bevestigen dat zij rechten als betrokkenen hebben zoals vereist op grond van artikel 12, lid 1, AVG (inclusief de communicatiemethode) en met name op grond van artikel 13, lid 2, punt b), en artikel 14, lid 2, punt c), AVG. Gebruikers moeten deze rechten ook gemakkelijk kunnen uitoefenen, bij voorkeur op een manier die is ingebed in de interface van het platform, bijvoorbeeld via een speciaal formulier. Dit zou ook de gebruikerservaring met een platform positiever maken, gezien het feit dat de aanbieder de moeite heeft genomen om zich aan te passen aan de verwachtingen van gebruikers dat hun persoonsgegevens rechtmatig worden verwerkt en dat ze controle over hun gegevens hebben door het uitoefenen van rechten te combineren met andere functionaliteiten van de dienst. Wanneer de dienst van een socialemediaplatform tweerichtingscommunicatie tussen gebruikers mogelijk maakt, evenals tussen de verwerkingsverantwoordelijke en gebruikers, is er geen reden voor de verwerkingsverantwoordelijke om zijn communicatiekanaal te beperken voor het faciliteren van verzoeken van betrokkenen om een afzonderlijk communicatiemiddel, zoals e-mail. Tegelijkertijd mogen betrokkenen niet worden gedwongen om naar het platform te komen om met de verwerkingsverantwoordelijke te communiceren 70 . Bovendien mogen verwerkingsverantwoordelijken dit recht van de betrokkene op het recht om gegevens te kopiëren niet beperken, maar moeten ze er in plaats daarvan voor zorgen dat ze ook de in artikel 15, lid 1, AVG genoemde informatie verstrekken aan gebruikers die om inzage in hun gegevens vragen 71 .

Grilligheid -Taaldiscontinuïteit (bijlage I, checklist 4.5.4)

Vastgesteld 60 71 Zie de Richtsnoeren 01/2022, EDPB, punten 131, 142 en 145.

Example 45: bij het klikken op een link met betrekking tot het uitoefenen van de rechten van betrokkenen, wordt de volgende informatie niet verstrekt in de officiële taal (talen) van het land van de gebruiker, terwijl de dienst wel in die taal is. In plaats daarvan worden gebruikers doorgestuurd naar een pagina in het Engels.

Rekening houdend met het transparantiebeginsel van artikel 5, lid 1, punt a), en artikel 12, lid 1, AVG, moeten gebruikers alle informatie over hun rechten op een duidelijke en eenvoudige, begrijpelijke manier ontvangen. Dit moet ook verband houden met de locatie van gebruikers en de taal die wordt gebruikt in dat land of rechtsgebied waarin de dienst wordt aangeboden. Het feit dat gebruikers bevestigen dat ze op enigerlei wijze een vreemde taal beheersen, ontslaat de verwerkingsverantwoordelijke niet van zijn verplichtingen. Hetzelfde geldt wanneer een dergelijke kennis en begrip van andere talen door de gebruikers kan worden afgeleid uit hun activiteiten. De informatie moet relevant en nuttig zijn voor gebruikers die hun rechten uitoefenen.

Onduidelijkheid -Onduidelijke bewoordingen of informatie (bijlage I, checklist 4.6.3)

In het kader van de rechten van betrokkenen kunnen gebruikers ook worden geconfronteerd met het misleidende ontwerppatroon onduidelijke bewoordingen of informatie , zoals weergegeven in het volgende voorbeeld.

Example 46: het socialemediaplatform vermeldt niet expliciet dat gebruikers in de EU het recht hebben om een klacht in te dienen bij een toezichthoudende autoriteit, maar vermeldt alleen dat er in sommige -zonder te vermelden welke -landen gegevensbeschermingsautoriteiten zijn waarmee de aanbieder van sociale media samenwerkt met betrekking tot klachten.

Aanbieders van sociale media moeten ook opletten dat ze het misleidend ontwerppatroon onduidelijke bewoordingen of informatie vermijden als ze betrokkenen informeren over hun rechten. Het geven van informatie aan gebruikers op een manier die hen onzeker maakt over hoe hun gegevens zullen worden verwerkt of hoe ze enige controle over hun gegevens hebben en dus hoe ze hun rechten kunnen uitoefenen, schendt het transparantiebeginsel. Bovendien is een vage bewoording geen beknopte taal, zoals vereist uit hoofde van artikel 12, lid 1, AVG en kan het ervoor zorgen dat de aan de betrokkene verstrekte informatie onvolledig is, wat als een schending van artikel 13, AVG kan worden beschouwd. In het bovengenoemde voorbeeld is ook sprake van een inbreuk op artikel 13, lid 2, punt d), AVG, dat van verwerkingsverantwoordelijken verlangt dat zij betrokkenen informatie verstrekken over hun recht om een klacht in te dienen bij een toezichthoudende autoriteit. Bijgevolg is dit ook in strijd met artikel 12, lid 2, AVG, omdat de aanbieder van sociale media de uitoefening van het recht om een klacht in te dienen niet faciliteert.

ii. Op een interface gebaseerde patronen

Overladen -Privacydoolhof (bijlage I, checklist 4.1.2)

Zoals eerder beschreven in praktijkvoorbeeld 3b, mag het aantal stappen dat nodig is om de relevante informatie over gegevensbescherming te ontvangen, niet buitensporig zijn, en dat geldt ook voor het

REDIRECTION

CONTENT AND ACTIONS

aantal stappen om de rechten van de betrokkene te kunnen uitoefenen 72 . Gebruikers moeten dus altijd de locatie voor de uitoefening van rechten snel kunnen bereiken, ongeacht hun startpunt en waar het socialemediaplatform deze functie aanbiedt. Aanbieders van sociale media moeten daarom goed nadenken over de verschillende situaties waarin gebruikers hun rechten willen uitoefenen en de toegang tot de plaats waar ze dit kunnen doen dienovereenkomstig ontwerpen. Dit betekent dat er verschillende routes kunnen worden gecreëerd en aangeboden op een socialemediaplatform om de rechten van betrokkenen uit te oefenen. Elke route moet echter de toegang tot de uitoefening van de rechten vergemakkelijken en andere routes niet hinderen. Zo niet, dan zou het worden beschouwd als het misleidende ontwerppatroon privacydoolhof , zoals geïllustreerd in de voorbeelden 47 en 48, wat in strijd is met artikel 12, lid 2, AVG.

Example 47: hier is informatie met betrekking tot gegevensbeschermingsrechten te vinden op ten minste vier pagina's. Hoewel het privacybeleid informatie geeft over alle rechten, verwijst het niet door naar de relevante pagina's voor elk van die rechten. Omgekeerd, wanneer gebruikers hun account bezoeken, vinden ze daar geen informatie over enkele van de rechten die ze kunnen uitoefenen. Dit privacydoolhof dwingt gebruikers om zich door vele pagina's te worstelen om te vinden waar ze elk recht kunnen uitoefenen en, afhankelijk wat ze onderweg tegenkomen, zijn ze mogelijk niet op de hoogte van alle rechten die ze hebben.

Vastgesteld 72 Zie boven, punt 123.

Landing page

List of results

Information on right of access

How to access your data

= 4

Information on right to erasure

How to delete your data

USER ACCOUNT

Landing page

PRIVACY DASHBOARD

Landing page

Example 48: in dit voorbeeld willen gebruikers sommige van hun persoonsgegevens bijwerken, maar vinden ze geen manier om dit in hun account te doen. Ze klikken op een link (1) die hen doorstuurt naar de pagina 'Q&A', waar ze hun vraag intypen (2). Er verschijnen verschillende resultaten (3), sommige met betrekking tot het recht op inzage en wissing. Nadat ze alle resultaten hebben bekeken, klikken ze op de link (4) op de pagina 'How to access your data' ('Inzage in uw gegevens'). Ze worden doorgestuurd naar het privacybeleid (5). Daar vinden ze informatie over de andere rechten. Na het lezen van deze informatie klikken ze op de link (6) die is gekoppeld aan het uitoefenen van het recht op rectificatie, waar ze worden doorgestuurd naar het gebruikersaccount (7). Ontevreden gaan ze terug naar het privacybeleid en klikken ze op een algemene link 'Send us a request' ('Stuur ons een verzoek') (8). Dit brengt de gebruikers bij hun privacydashboard (9). Aangezien geen van de beschikbare opties lijkt te voldoen aan hun behoefte, gaan gebruikers uiteindelijk naar de pagina 'Exercise of other rights' ('Andere rechten uitoefenen') (10), waar ze eindelijk een contactadres vinden.
Beide voorbeelden illustreren bijzonder lange en vermoeiende routes om rechten uit te oefenen. Wanneer de middelen om verschillende rechten uit te oefenen zich niet op dezelfde plek bevinden, maar er een pagina met alle rechten van betrokkenen beschikbaar is, moet deze laatste de gebruiker naar die verschillende plekken doorsturen, niet slechts naar één of een deel ervan, zoals geïllustreerd

Q&A

Landing page

How we process your data

in voorbeeld 47. Het andere voorbeeld toont een reis waarbij gebruikers geen manieren vinden om gemakkelijk het specifieke recht uit te oefenen dat ze wensen, namelijk het recht op rectificatie, omdat de plek waar dit recht gewoonlijk wordt uitgeoefend, namelijk het gebruikersaccount, geen manier biedt om dit te doen. Als ze op zoek gaan naar een andere manier om dit recht uit te oefenen, kunnen ze geen specifiek corresponderend recht vinden en moeten ze zich wenden tot een algemene methode in het privacydashboard.

Wanneer er verschillende routes voor het uitoefenen van een recht zijn ontworpen, moet het voor gebruikers altijd gemakkelijk zijn om een overzicht van de rechten van betrokkenen te vinden. Het privacybeleid moet duidelijk zijn en kan dienen als een van de toegangspoorten tot pagina's waar gebruikers hun rechten kunnen uitoefenen. Dit document moet informatie bevatten over alle rechten die van toepassing zijn. Als een van de rechten niet beschikbaar zou zijn vanwege wettelijke of technische beperkingen, moet dit ook worden uitgelegd, zodat gebruikers goed worden geïnformeerd. Inzicht in de beperkingen van verwerkingen, hetzij vanwege hun grondslag, hetzij vanwege waarborgen die door verwerkingsverantwoordelijken zijn vastgesteld, is niet alleen nuttig voor gebruikers. Het beperkt ook de gevallen waarin een aanbieder van sociale media moet uitleggen waarom hij niet kan voldoen aan een verzoek van gebruikers om rechten van betrokkenen uit te oefenen.

Inspelen op emoties -In het zicht verborgen (bijlage I, checklist 4.3.2)

Het vermogen van gebruikers om de plek te bereiken waar ze hun recht kunnen uitoefenen, kan ook worden aangetast door gerelateerde informatie of links nauwelijks zichtbaar te maken met behulp van het misleidend ontwerppatroon in het zicht verborgen .

Example 49: onder het kopje 'Recht op inzage' in het privacybeleid wordt uitgelegd dat gebruikers het recht hebben om informatie te verkrijgen op grond van artikel 15, lid 1, AVG. Hier wordt echter alleen de mogelijkheid vermeldt dat gebruikers een kopie van hun persoonsgegevens kunnen ontvangen. Er is geen directe link zichtbaar om de kopiecomponent van het recht op inzage op grond van artikel 15, lid 3, AVG uit te oefenen. In plaats daarvan zijn de eerste drie woorden van 'U kunt een kopie van uw persoonsgegevens kri jgen' lichtjes onderstreept. Als de gebruiker met de muis over deze woorden beweegt, wordt een klein venster weergegeven met een link naar de instellingen.

In aanvulling op het vorige deel moeten alle manieren die door de verwerkingsverantwoordelijke worden geboden om rechten uit te oefenen gemakkelijk toegankelijk zijn. Deze regel kan niet vaak genoeg worden benadrukt. Een handeling van de verwerkingsverantwoordelijke zoals hierboven beschreven, kan alleen worden gezien als een poging om het uitoefenen van rechten door gebruikers te belemmeren, wat in strijd is met artikel 12, lid 2, AVG. Verwerkingsverantwoordelijken mogen, wat hun redenen ook zijn, een dergelijk verzoek niet belemmeren. Bij nader onderzoek door een toezichthoudende autoriteit in een specifiek geval kan dit worden gezien als een bijdrage aan een inbreuk op de AVG, die leidt tot sancties voor de verwerkingsverantwoordelijke.

Grilligheid -Inconsistente interface (bijlage I, checklist 4.5.3)

Example 50: het socialemediaplatform is in verschillende versies te gebruiken (desktop, app, mobiele browser). In elke versie worden de instellingen (die leiden tot inzage/bezwaar enz.)

weergegeven met een ander symbool, waardoor gebruikers die tussen versies schakelen, in de war raken.

Geconfronteerd met interfaces op verschillende apparaten die dezelfde informatie weergeven via verschillende visuele elementen, zullen gebruikers waarschijnlijk meer tijd nodig hebben of moeite hebben om bedieningselementen te vinden die ze op een ander apparaat gebruiken. In het bovenstaande voorbeeld komt dit door het gebruik van verschillende symbolen of pictogrammen om gebruikers naar de instellingen te leiden. Het op een dergelijke manier verwarren van gebruikers kan worden beschouwd als strijdig met het faciliteren van de rechten van betrokkenen, zoals vermeld in artikel 12, lid 2, AVG.

Obstructie -Langer dan nodig (bijlage I, checklist 4.4.2)

Tot slot kan elke poging om het uitoefenen van een recht langer dan nodig te laten duren, worden beschouwd als strijdig met de AVG.

Example 51: wanneer gebruikers ervoor kiezen om de naam en plaats van hun middelbare school of de verwijzing naar een evenement dat ze hebben bijgewoond en gedeeld te verwijderen, verschijnt er een tweede venster met de vraag om die keuze te bevestigen ( 'Wilt u dit echt doen? Waarom wilt u dit doen?' ).

Net als het aantal lagen in een privacybeleid (praktijkvoorbeeld 2a) en het aantal stappen om een instelling te bereiken of te wijzigen (praktijkvoorbeeld 3b), mag het aantal stappen of klikken dat gebruikers moeten nemen om een recht uit te oefenen niet buitensporig zijn. Dit hangt natuurlijk af van de complexiteit van de activiteiten die door de verwerkingsverantwoordelijke worden uitgevoerd, rekening houdend met de specifieke context. Het zou echter onredelijk zijn om van gebruikers te eisen dat ze een groot aantal onnodige stappen doorlopen om hun recht uit te oefenen. Gebruikers mogen zich bijvoorbeeld niet ontmoedigd raken door aanvullende vragen, zoals of ze dit recht echt willen uitoefenen of wat de redenen voor een dergelijk verzoek zijn. In de meeste gevallen moeten ze gewoon hun recht kunnen uitoefenen, zonder dat hun motivatie in twijfel wordt getrokken. Dergelijke praktijken, die in het bovenstaande voorbeeld worden geïllustreerd, kunnen als strijdig met artikel 12, lid 2, AVG worden beschouwd, aangezien de verwerkingsverantwoordelijke het uitoefenen van de rechten met onnodige stappen belemmert. Dit sluit uiteraard niet uit dat de verwerkingsverantwoordelijke feedback krijgt door achteraf aanvullende vragen te stellen met als doel de dienstverlening te verbeteren. Door deze vraag achteraf te stellen, zou het beantwoorden ervan uitsluitend afhangen van de vrije wil van de gebruikers, en kan dit niet worden verward met een vereiste om een recht uit te oefenen.

d. Beste praktijken

Formulier om rechten uit te oefenen: om gebruikers te faciliteren bij het uitoefenen van hun AVGrechten, kan een speciaal formulier worden aangeboden dat gebruikers helpt begrijpen wat hun rechten zijn en dat hen helpt bij het uitvoeren van dit soort verzoeken.

Snelkoppelingen: zie praktijkvoorbeeld 1 voor de definitie (blz. 22) (bv. geef een link voor het verwijderen van een account in het gebruikersaccount ).

Coherente bewoording:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Permanente navigatie:

zie praktijkvoorbeeld 2a voor de definitie (blz. 28).

Gevolgen uitleggen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Consistentie tussen apparaten:

zie praktijkvoorbeeld 3a voor de definitie (blz. 39).

zie praktijkvoorbeeld 3b voor de definitie (blz. 45).

Relatie besturingselementen voor gegevensbescherming: zie praktijkvoorbeeld 3b voor de definitie (blz. 45).

3.5 Tot nooit weerziens: een account van sociale media verwijderen Praktijkvoorbeeld 5: het account pauzeren/alle persoonsgegevens wissen

a. Beschrijving van de context en relevante wettelijke bepalingen

Het einde van de levenscyclus van een account beschrijft de situatie waarin gebruikers besluiten het sociale netwerk te verlaten. In deze situatie besluiten gebruikers meestal om het socialemediaplatform permanent te verlaten. Er is echter vaak ook de mogelijkheid om het account slechts tijdelijk uit te schakelen en de dienst te pauzeren. De juridische gevolgen van beide beslissingen verschillen en worden hieronder beschreven.

i. Permanente verwijdering van een account

De beslissing om het socialemediaplatform permanent te verlaten, gaat gepaard met het recht op wissing in artikel 17, lid 1, punt a), AVG. In deze context wordt het woord 'verwijdering' vaker gebruikt dan wissing.
Het woord 'wissing' wordt niet wettelijk gedefinieerd in artikel 17 AVG en wordt alleen genoemd als een vorm van verwerking in artikel 4, lid 2, AVG. Wissing kan in het algemeen worden opgevat als een (feitelijke) onmogelijkheid om de informatie over een betrokkene die eerder in de te wissen gegevens was opgenomen, waar te nemen. Na het wissen mag het voor niemand meer mogelijk zijn om de betreffende informatie zonder onevenredige inspanning waar te nemen.
Anonimisering is een andere manier om de relatie met een persoon permanent te verwijderen. Met andere woorden, het gebruik van anonimiseringstechnieken is bedoeld om ervoor te zorgen dat de betrokkene niet langer kan worden geïdentificeerd. Anonimisering betekent ook dat de beginselen van het gegevensbeschermingsrecht -zoals het beginsel van doelbinding -niet langer van toepassing zijn (zie overweging 26, vierde en vijfde zin).
Volgens artikel 12, lid 2, AVG, moet de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22 faciliteren. Volgens dit vereiste mogen er geen inhoudelijke of formele hindernissen worden opgeworpen bij het uitoefenen van de rechten van betrokkenen. Als het uitoefenen van het recht op gegevenswissing daarom zonder werkelijke reden wordt bemoeilijkt, vormt dit een schending van de AVG. Hoewel er een geldige reden is voor aanbieders van sociale media om de gevolgen, zoals van het verwijderen van alle persoonsgegevens, objectief uit te leggen en betrokkenen te vragen deze keuze te bevestigen 73 , moeten ook in dit geval onnodige hindernissen worden vermeden. Hieruit volgt bijvoorbeeld dat elke respijtperiode tussen een verwijderingsverzoek van een gebruiker en de daadwerkelijke verwijdering van het account evenredig moet zijn. Een dergelijke periode mag dus niet buitensporig lang zijn, rekening houdend met de noodzakelijke technische redenen waarom onmiddellijke verwijdering vertraagd kan zijn, evenals een korte periode om gebruikers (opnieuw) te laten nadenken over het verwijderen van hun account zodra ze het accountverwijderingsproces hebben geactiveerd. Hoewel de vrije wil van gebruikers om van gedachten te veranderen moet worden gerespecteerd, mogen aanbieders van sociale media niet proberen om een dergelijke verandering van gedachten teweeg te brengen door gebruikers aan te moedigen om terug te komen, wat ook een belemmering zou vormen voor het recht van gebruikers op verwijdering. Tijdens de respijtperiode kan het verwijderingsproces in sommige gevallen worden onderbroken, bijvoorbeeld wanneer de gebruiker opnieuw inlogt. Als de verwijdering niet kan worden voltooid, moet de gebruiker worden geïnformeerd en geïnstrueerd over hoe de verwijdering moet worden voltooid.

Vastgesteld 68 73 In tegenstelling tot de andere rechten van betrokkenen, zie punt 154.

De beslissing om het socialemediaplatform te verlaten, resulteert in de gevolgen van wissing, zoals vermeld in artikel 17, lid 1, AVG. Als een betrokkene verzoekt om verwijdering van het betreffende account, moet de verwerkingsverantwoordelijke van een socialemediaplatform de gegevens verwijderen. Desalniettemin kunnen sommige gegevens gedurende een bepaalde periode door het socialemediaplatform worden bewaard, als artikel 17, lid 3, AVG van toepassing is. De in artikel 17, lid 3, AVG genoemde uitzonderingen moeten strikt worden geïnterpreteerd en zijn alleen van toepassing in de gevallen die expliciet in dit deel van de bepaling worden genoemd. Elke uitzondering waarop een verwerkingsverantwoordelijke zich op grond van artikel 17, lid 3, AVG en de respectieve bewaring van gegevens beroept, moet door de verwerkingsverantwoordelijke worden gerechtvaardigd, bijvoorbeeld dat de nationale wetgeving vereist dat de verwerkingsverantwoordelijke informatie met betrekking tot de betrokkene opslaat om dwingende redenen van algemeen belang, voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie of om fiscale redenen. Het spreekt voor zich dat dergelijke bewaarde gegevens alleen intern door de aanbieder van de sociale media mogen worden opgeslagen en niet openbaar zichtbaar mogen zijn voor andere gebruikers. Op geen enkele manier stelt een vrijstelling op grond van artikel 17, lid 3, AVG de aanbieder van de sociale media echter in staat om het account van de betrokkene langer te blijven beheren dan door de gebruiker is bedoeld na het verzoek om verwijdering.
Ongeacht een verzoek om het account te verwijderen, mag, als gebruiker zijn toestemming intrekt op grond van artikel 7, lid 3, AVG, de verwerking van de op toestemming gebaseerde verstrekte gegevens op grond van artikel 6, lid 1, punt a), AVG niet langer plaatsvinden. In dit geval kunnen andere verwerkingen waarbij de aanbieder van de sociale media zich op andere rechtsgronden op grond van artikel 6, lid 1, AVG beroept, onder bepaalde omstandigheden nog steeds plaatsvinden.
Als een gebruikers echter een verzoek indient om zijn account te verwijderen, mag er geen verdere verwerking plaatsvinden, ongeacht de onderliggende rechtsgrondslag, tenzij een van de uitzonderingen die limitatief worden vermeld in artikel 17, lid 3, AVG van toepassing is. In deze context is het belangrijk om in gedachten te houden dat de bewaarperiode beperkt is tot de bovengenoemde opslagbeperking.
Overeenkomstig artikel 25, lid 1, AVG neemt de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om de beginselen van gegevensbescherming in de praktijk te brengen. Volgens de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen, kunnen technische en organisatorische maatregelen in brede zin worden opgevat als elke methode of elk middel dat een verwerkingsverantwoordelijke kan gebruiken bij de verwerking. Passend houdt in dat de maatregelen geschikt moeten zijn om het beoogde doel te bereiken, d.w.z. dat ze de gegevensbeschermingsbeginselen effectief moeten uitvoeren. Het vereiste van passendheid hangt dus nauw samen met het vereiste van doeltreffendheid 74 .

ii. Een account pauzeren

Als alternatief kan gebruikers de mogelijkheid worden geboden om hun account tijdelijk te deactiveren, waardoor gebruikers de sociale media voor een bepaalde periode kunnen verlaten zonder hun account permanent te verwijderen. In dit geval wordt het account tijdelijk gedeactiveerd en worden het profiel, de foto's, opmerkingen en reacties verborgen totdat gebruikers hun account opnieuw activeren, bijvoorbeeld door opnieuw in te loggen. Het belangrijkste verschil met wissing is dat de persoonsgegevens bij het sociale netwerk bewaard blijven en dat het account opnieuw kan worden geactiveerd door gebruikers zonder zich opnieuw te registreren.
Gebruikers die het proces starten om hun account te verwijderen, merken misschien dat de optie om het account te pauzeren in plaats van te verwijderen, vooraf is geselecteerd. Hoewel het nuttig kan zijn voor gebruikers die hun account nog niet permanent willen verwijderen om deze pauzeoptie te krijgen, mogen aanbieders van sociale media dergelijke afkoelingsperioden niet opleggen aan gebruikers, vooral niet door middel van voorselectie. Door de mogelijkheid van deactivering aan te bieden, wekt de aanbieder van sociale media de redelijke verwachtingen van gebruikers dat hun persoonsgegevens niet op dezelfde manier zullen worden verwerkt als tijdens het actieve gebruik van het account en dat de aanbieder van sociale media de verwerking van persoonsgegevens gedurende deze periode tot een strikt noodzakelijk niveau reduceert. Gebruikers mogen verwachten dat hun gegevens niet of niet volledig worden verwerkt voor specifieke doeleinden, bijvoorbeeld door hun profiel te verbeteren met bezoeken aan websites van derden die passende targetingof trackingmethoden gebruiken. Naast het op een transparante manier informeren van gebruikers over de gevolgen van het pauzeren van hun account, moet elke verwerking van gegevens die tijdens deze pauze plaatsvindt, gebaseerd zijn op een geldige rechtsgrondslag.
Met betrekking tot gegevensverwerking op basis van toestemming volgens artikel 6, lid 1, punt a), AVG, moet de aanbieder van sociale media er rekening mee houden dat gebruikers verwachten dat de toestemming die ze geven tijdens de registratie of daarna, alleen betrekking heeft op gegevensverwerking tijdens hun actieve gebruik van het account. De EDPB erkent dat de duur van de toestemming afhankelijk is van de context, het toepassingsgebied van de initiële toestemming en de verwachtingen van de betrokkene 75 . Hoewel in de AVG geen specifieke termijn wordt gesteld aan de geldigheidsduur van de toestemming, zal de geldigheid afhangen van de context, het toepassingsgebied van de oorspronkelijke toestemming en de verwachtingen van de betrokkene 76 . Wanneer de verwerkingsactiviteiten veranderen of sterk evolueren, is de oorspronkelijke toestemming niet meer geldig 77 . De EDPB adviseert als een beste praktijk om met passende tussenpozen opnieuw om toestemming te vragen 78 . Ook hier helpt het verstrekken van alle informatie om ervoor te zorgen dat de betrokkene goed geïnformeerd blijft over hoe zijn gegevens worden gebruikt, en hoe hij zijn rechten kan uitoefenen 79 . Als dit het geval is, moet opnieuw toestemming worden verkregen 80 en moet aan alle bijbehorende vereisten worden voldaan.
De redelijke verwachtingen van de betrokkene moeten ook in aanmerking worden genomen wanneer artikel 6, lid 1, punt f), AVG van toepassing is (zie overweging 47). Het is met name nodig zorgvuldig te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel plaatsvindt. Gebruikers verwachten echter

75 Richtsnoeren 5/2020 inzake toestemming, punt 110.

76 Richtsnoeren 5/2020 inzake toestemming, punt 110.

77 Richtsnoeren 5/2020 inzake toestemming, punt 110.

78 Richtsnoeren 5/2020 inzake toestemming, punt 111.

79 Richtsnoeren 5/2020 inzake toestemming, punt 111.

redelijkerwijs dat op het moment van deactivering alleen noodzakelijke gegevensverwerking zal plaatsvinden. Bovendien kan de aanbieder van sociale media alleen een beroep doen op het gerechtvaardigd belang als aan alle stappen van de toetsing van het gerechtvaardigd belang, inclusief de belangenafweging, is voldaan. De vraag of het belang of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, moet per geval worden beoordeeld.

Aangezien ook de contractuele verplichtingen voor een groot deel worden opgeschort tijdens de deactivering, zijn gegevensverwerkingshandelingen slechts in beperkte mate noodzakelijk op grond van artikel 6, lid 1, punt b), AVG. Alleen de opslag van gebruikersgegevens tot de uiteindelijke beslissing over reactivering of verwijdering kan als noodzakelijk worden beschouwd.
Gezien het feit dat alle eerdere vormen van gegevensverwerking betrekking hadden op een actief account, moet aanvullende informatie over de verwerking tijdens de deactivering worden verstrekt als deze niet is opgenomen in de algemene informatie op grond van de artikelen 13 en 14 AVG. Dit volgt uit de beginselen van transparantie en behoorlijkheid op grond van artikel 5, lid 1, punt a), AVG en doelbinding op grond van artikel 5, lid 1, punt b), AVG. Bij de gegevensverwerking na deactivering moet de betrokkene voldoende worden geïnformeerd. Daarom moet de aanbieder van sociale media de gebruikers tijdens de pauze uitgebreid informeren over de feitelijke verwerking en de doeleinden ervan en, indien nodig, nieuwe toestemming verkrijgen.

b. Misleidende ontwerppatronen

i. Op inhoud gebaseerde patronen

Overladen -Privacydoolhof (bijlage I, checklist 4.1.2)

Dit geval betreft het misleidende ontwerppatroon privacydoolhof . Daarvan is sprake wanneer gebruikers worden overladen met een grote hoeveelheid informatie, verspreid over verschillende plaatsen, om te voorkomen dat ze hun account verwijderen, zoals het onderstaande voorbeeld laat zien. Hoewel enige aanvullende informatie vóór deze stap heel wenselijk is, zoals de aanwijzing dat gebruikers toegang hebben tot hun gegevens voordat deze worden verwijderd, is algemene nietgerelateerde informatie niet langer cruciaal. Gebruikers mogen geen onnodige vertraging oplopen bij het nemen van deze stap.

Example 52: gebruikers zijn op zoek naar het recht op wissing. Ze moeten naar hun accountinstellingen navigeren, een submenu openen met de titel 'privacy' en helemaal naar beneden scrollen om een link te vinden om het account te verwijderen.

Inspelen op emoties -Emotioneel sturen (bijlage I, checklist 4.3.1)

Example 53: op het hoogste informatieniveau wordt informatie gegeven aan gebruikers die alleen de negatieve, ontmoedigende gevolgen van het verwijderen van hun account benadrukt (bv. 'je bent alles voor altijd kwijt' of 'je vrienden zullen je vergeten' ).

Hoewel spijt over het beëindigen van de contractuele relatie sociaal passend lijkt en daarom moeilijk in juridische termen te vatten is, vormt een uitgebreide beschrijving van de zogenaamd negatieve gevolgen als gebruikers hun account wissen, een belemmering voor hun beslissing als het proces wordt doorlopen zoals in het bovenstaande voorbeeld, waarin wordt ingespeeld op de angst om iets te missen (fear of missing out, 'FOMO'), waardoor de keuze om het eigen account te verwijderen als iets bijzonder negatiefs wordt gezien. Een dergelijke vorm van emotioneel sturen , waarbij wordt gedreigd

dat gebruikers er alleen voor komen te staan als ze hun account verwijderen, vormt een inbreuk op de verplichting om de uitoefening van de rechten van betrokkenen op grond van artikel 12, lid 2, AVG te vergemakkelijken, evenals op het behoorlijkheidsbeginsel op grond van artikel 5, lid 1, punt a), AVG.

Onduidelijkheid -Onduidelijke bewoordingen of informatie (bijlage I, checklist 4.6.3)

In het kader van het verwijderen van een account op sociale media kunnen gebruikers ook worden geconfronteerd met het misleidende ontwerppatroon onduidelijke bewoordingen of informatie , zoals weergegeven in het volgende voorbeeld.

Example 54: wanneer gebruikers hun account verwijderen, worden ze niet geïnformeerd over de bewaarperiode van hun gegevens nadat het account is verwijderd. Erger nog, op geen enkel moment in het hele verwijderingsproces worden gebruikers geïnformeerd over het feit dat 'sommige persoonsgegevens' mogelijk worden bewaard, zelfs na het verwijderen van een account. Ze moeten zelf op zoek gaan naar die informatie, die in verschillende beschikbare informatiebronnen te vinden is.

Example 55: gebruikers kunnen hun account alleen verwijderen via links met de titel 'Tot ziens' of 'Deactiveren' die beschikbaar zijn in hun account.

In deze voorbeelden geeft de formulering die voor de links wordt gebruikt niet duidelijk aan dat gebruikers worden doorgestuurd naar het proces om het account te verwijderen. In plaats daarvan zullen gebruikers waarschijnlijk aan andere functies denken, zoals uitloggen tot het volgende gebruik of het deactiveren van hun account. Als zodanig kan dit worden geïnterpreteerd als een inbreuk op artikel 12, lid 2, AVG, waarin staat dat verwerkingsverantwoordelijken de uitoefening van de rechten van betrokkenen moeten vergemakkelijken. Door verwarring te creëren over de verwachtingen van gebruikers in verband met de link, vergemakkelijkt het socialemediaplatform de uitoefening van het recht op verwijdering niet volledig. Het gebruik van dergelijke onduidelijke bewoordingen in een andere context kan inbreuk maken op AVG-bepalingen zoals artikel 7, AVG en bij uitbreiding artikel 17, lid 1, punt b), AVG.

ii. Op een interface gebaseerde patronen

Overslaan -Misleidend gemak (bijlage I, checklist 4.2.1)

Example 56: tijdens het verwijderen van hun account kunnen gebruikers kiezen uit twee opties: hun account verwijderen of pauzeren. Standaard is de optie pauzeren geselecteerd.

De eerste optie om het account te verwijderen resulteert in het verwijderen van alle persoonsgegevens van gebruikers, wat betekent dat het socialemediaplatform niet langer in het bezit is van deze gegevens, behalve de gegevens die vallen onder de tijdelijke uitzondering van artikel 17, lid 3, AVG. Daarentegen worden bij de tweede optie, het account pauzeren, alle persoonsgegevens bewaard en mogelijk verwerkt door de aanbieder van sociale media. Dit brengt noodzakelijkerwijs meer risico's met zich mee voor de betrokkene, bijvoorbeeld als er een inbreuk in verband met persoonsgegevens plaatsvindt en gegevens die nog steeds door de aanbieder van sociale media worden bewaard, worden geopend, gedupliceerd, overgedragen of anderszins worden verwerkt. De standaardselectie van de pauzeoptie zal gebruikers waarschijnlijk aanzetten om deze te selecteren in plaats van hun account te verwijderen, wat oorspronkelijk de bedoeling was. Daarom kan de in dit voorbeeld beschreven praktijk worden beschouwd als een inbreuk op artikel 12, lid 2, AVG, aangezien deze in dit geval de uitoefening

van het recht op wissing niet vergemakkelijkt en zelfs probeert gebruikers ervan te weerhouden dit recht uit te oefenen.

Overslaan -Kijk daar (bijlage I, checklist 4.2.2)

Gebruikers een manier bieden om hun gegevens te downloaden wanneer zij aangeven dat ze hun account willen verwijderen, kan een relevante optie zijn. Zodra hun account is verwijderd, worden hun persoonsgegevens na een bepaalde periode gewist. Dit betekent dat als zij geen kopie van hun persoonsgegevens krijgen, zij deze volledig zullen verliezen. De presentatie van deze optie kan echter een misleidend ontwerppatroon vormen, zoals in het volgende voorbeeld.

Example 57: nadat gebruikers op 'Mijn account verwijderen' hebben geklikt, krijgen ze de optie om hun gegevens te downloaden, wat wordt uitgevoerd als het recht op overdraagbaarheid, voordat ze het account verwijderen. Wanneer gebruikers hierop klikken om hun informatie te downloaden, worden ze omgeleid naar een pagina met downloadinformatie. Zodra gebruikers echter hebben gekozen wat ze willen downloaden en hoe ze hun gegevens willen downloaden, worden ze niet doorgestuurd naar het verwijderingsproces.

In het bovenstaande voorbeeld kan worden overwogen dat de manier waarop de downloadoptie wordt aangeboden, de uitoefening van het recht op wissing in verband met de verwijdering van het account niet vergemakkelijkt. Inderdaad, zodra gebruikers hun gegevens hebben gedownload, worden ze niet teruggebracht naar het verwijderingsproces. Om hiernaartoe terug te keren, moeten ze meerdere keren klikken. Het op zodanige wijze belemmeren van de uitoefening van een recht is in strijd met artikel 12, lid 2, AVG. Bovendien is het aanbieden van een manier om gemakkelijk het verwijderingsproces te bereiken na het downloaden van de eigen persoonsgegevens een eenvoudige uit te voeren functie. In dat verband kan worden geoordeeld dat de verplichting om passende technische en organisatorische maatregelen te treffen in artikel 25, lid 1, AVG niet wordt nageleefd, aangezien gebruikers hun rechten niet effectief kunnen uitoefenen.

Obstructie -Langer dan nodig (bijlage I, checklist 4.4.2)

Zoals beschreven in praktijkvoorbeeld 4, kunnen alle irrelevante stappen die worden toegevoegd aan het uitoefenen van een recht, in strijd zijn met bepalingen van de AVG, en met name artikel 12, lid 2. Dit is van toepassing op het moment waarop gebruikers hun account willen verwijderen, omdat dit het recht op wissing in verband met een dergelijk verzoek zou verstoren.

Is this a goodbye?

We're so sad to see you go! Are you sure you don't want to change your mind? Think about all your

friends that will miss you : (

Let's stay

Delete my account

That's sad, but we respect your choice

Let us know what we can do better in the future!

Answer required

You've not entered your answer (min 250 car.) |

Delete my account

Example 58: in dit voorbeeld zien gebruikers eerst een tekstvak ter bevestiging dat hun account wordt gewist nadat ze op de bijbehorende link of knop in hun account hebben geklikt. Hoewel dit tekstvak enige vorm van emotioneel sturen bevat, kan deze stap worden gezien als een beveiligingsmaatregel om ervoor te zorgen dat gebruikers hun account niet verwijderen na een verkeerde klik in hun account. Wanneer gebruikers echter op de knop 'Delete my account' ('Mijn account verwijderen') kl ikken, krijgen ze een tweede tekstvak te zien, waarin wordt gevraagd om toe te lichten waarom ze het account willen verwijderen. Zolang ze niets in het vak invoeren, kunnen ze hun account niet verwijderen, omdat de knop die aan die handeling is gekoppeld, inactief en grijs is. Deze praktijk maakt dat het wissen van een account langer duurt dan nodig , vooral omdat de vraag waarom zij een account willen verlaten, gebruikers extra moeite en tijd kost en beantwoording niet verplicht zou moeten zijn om het eigen account te verwijderen.

Zoals eerder is opgemerkt, zouden gebruikers bij het uitoefenen van een recht geen vragen hoeven te beantwoorden die geen verband houden met het uitoefenen van het recht zelf. Het moeten verantwoorden van een keuze of uitleggen hoe het socialemediaplatform kan verbeteren, valt hier niet onder. In het geïllustreerde voorbeeld wordt dit probleem versterkt omdat betrokkenen een antwoord moeten schrijven in plaats van een keuze te maken uit een lijst met opties, wat het proces nog lastiger maakt omdat een dergelijke reactie vereist dat ze zelf een antwoord formuleren. Een

dergelijk mechanisme kan sommige gebruikers uitsluiten van het uitoefenen van hun rechten als ze zich niet genoeg op hun gemak voelen om een antwoord op te stellen.

Dit betekent echter niet dat een lijst met mogelijke antwoorden een acceptabele stap is om toe te voegen aan het proces om het eigen account te verwijderen. Dit geldt vooral als deze antwoorden verband houden met verdere stappen en handelingen die gebruikers nog moeten uitvoeren, zoals te zien is in het onderstaande voorbeeld.

Example 59: de aanbieder van sociale media verplicht gebruikers om een vraag te beantwoorden over hun redenen om hun account te willen wissen, door een van de antwoorden uit een uitklapmenu te selecteren. Het lijkt alsof gebruikers door het beantwoorden van deze vraag (schijnbaar) de handeling bereiken die ze willen uitvoeren, namelijk het account verwijderen. Zodra een antwoord is geselecteerd, verschijnt er een pop-upvenster, waarin gebruikers een manier wordt aangereikt om het probleem op te lossen dat in hun antwoord wordt genoemd. Dit vraag-antwoordproces vertraagt het accountverwijderingsproces voor gebruikers.

Naast het feit dat het wissen van het account langer duurt, is een kijk daar -mechanisme bedoeld om gebruikers af te leiden van het verwijderen van hun account, door een oplossing te bieden die inspeelt op hun reden om het socialemediaplatform te verlaten. Op deze wijze worden de betrokkenen gehinderd bij de uitoefening van het recht op gegevenswissing en ontmoedigd om hun recht uit te oefenen.

Grilligheid -Decontextualisering (bijlage I, checklist 4.5.2)

Tot slot doet het misleidend ontwerppatroon decontextualisering zich ook voor wanneer gebruikers hun account willen verwijderen.

Example 60: op het socialemediaplatform XY is de link om het account te deactiveren of te verwijderen te vinden op het tabblad 'Uw gegevens op XY' .

Over het algemeen moeten de begrippen die worden gebruikt om een pagina of deel van het socialemediaplatform dat is gewijd aan gegevensbeschermingsaangelegenheden te benoemen, duidelijk het soort informatie of besturingselement weerspiegelen dat daar te vinden is. Het is onwaarschijnlijk dat de gemiddelde gebruiker de handelingen om zijn account te verwijderen of te deactiveren, koppelt aan gegevensbeheer. In het vorige voorbeeld zouden gebruikers de functionaliteit voor het verwijderen van hun account nie t verwachten op een pagina met de naam 'Uw gegevens op XY', wat verwijst naar het inzien en mogelijk wijzigen van persoonsgegevens. In plaats daarvan zoeken ze een pagina genaamd 'Algemeen' of 'Mijn account verwijderen'. Vanuit het oogpunt van gebruikers worden de opties daarom in een context geplaatst die buiten de gezochte context ligt en niet overeenkomt met de verwachtingen van de gebruiker.

Example 61: het daadwerkelijke tabblad om een account te wissen is te vinden onder 'een functie van uw account verwijderen' .

In dit voorbeeld kunnen gebruikers de titel van de rubriek ten onrechte interpreteren als de plek waar afzonderlijke functies kunnen worden aangepast. Gebruikers verwachten daarom niet dat de optie om
het hele account te verwijderen daar te vinden is. Dat maakt het moeilijk voor gebruikers om de juiste link te vinden om het hele account te wissen.
Het misleidend ontwerppatroon decontextualisering , zoals geïllustreerd in de twee bovenstaande voorbeelden, kan worden beschouwd als een schending van artikel 12, lid 2, AVG, aangezien het voor gebruikers moeilijk is om de juiste plaats te vinden waar ze hun recht op wissing kunnen uitoefenen.

c. Beste praktijken

Coherente bewoording:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Definities bieden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gebruik van voorbeelden:

zie praktijkvoorbeeld 1 voor de definitie (blz. 22).

Gevolgen uitleggen:

zie praktijkvoorbeeld 2c voor de definitie (blz. 32).

Consistentie tussen apparaten:

zie praktijkvoorbeeld 3a voor de definitie (blz. 39).

Voor het Europees Comité voor gegevensbescherming De voorzitter

(Andrea JELINEK)

4 BIJLAGE I: LIJST VAN CATEGORIEËN MISLEIDENDE ONTWERPPATRONEN EN SOORTEN

De volgende lijst geeft een overzicht van categorieën misleidende ontwerppatronen en de soorten misleidende ontwerppatronen binnen elke categorie. Ook wordt vermeld op welke AVG-bepalingen de soorten misleidende ontwerppatronen met name betrekking hebben. De lezer moet in overweging nemen dat, zoals hierboven genoemd, het in artikel 5, lid 1, punt a), AVG neergelegde beginsel van behoorlijke verwerking dient als uitgangspunt om te beoordelen of er sprake is van misleidende ontwerppatronen. Het behoorlijkheidsbeginsel heeft een overkoepelende functie en alle misleidende ontwerppatronen zouden hier niet aan voldoen, ongeacht of andere gegevensbeschermingsbeginselen worden nageleefd 81 .

Voor elk patroon bevat de lijst ook het aantal voorbeelden en het bijbehorende praktijkvoorbeeld (use case, 'UC') om lezers te helpen ze snel te vinden.

Het is belangrijk op te merken dat deze lijst niet uitputtend is en dat misleidende ontwerppatronen daarom ook kunnen voorkomen in praktijkvoorbeelden die in de tekst van de richtsnoeren geen voorbeeld bevatten voor deze soort misleidende ontwerppatroon.

4.1 Overladen

Gebruikers overladen met een grote hoeveelheid verzoeken, informatie, opties of mogelijkheden, om hen ervan te weerhouden verder te gaan en hen bepaalde gegevenspraktijken te laten behouden of accepteren.

4.1.1 Aanhoudend prompten 82

Gebruikers worden gedwongen om meer persoonsgegevens te verstrekken dan nodig is voor de doeleinden van de verwerking of om in te stemmen met een ander gebruik van hun gegevens, door herhaaldelijk te vragen om aanvullende gegevens te verstrekken of om in te stemmen met een nieuw doeleinde van verwerking. Deze vorm van aanhoudend prompten kan op één of meerdere apparaten plaatsvinden. Gebruikers zullen uiteindelijk waarschijnlijk toegeven, omdat ze moe worden van het feit dat ze het verzoek elke keer dat ze het platform gebruiken, moeten weigeren, wat het gebruik ervan hindert.

Betrokken AVG-bepalingen:

-doelbinding: artikel 5, lid 1, punt b);
-vrijelijk verleende toestemming: artikel 7 , in samenhang met artikel 4, lid 11;
-specifieke toestemming: artikel 7, lid 2.

Voorbeelden: UC 1, voorbeelden 1 en 2; UC 3a, voorbeeld 34 (illustratie).

81 Zie boven, punt 9 van deze richtsnoeren.

82 Dit patroon is nauw verwant aan een soort patroon dat 'nagging' (zeuren) wordt genoemd en dat in de academische literatuur wordt gevonden.

4.1.2 Privacydoolhof

Wanneer gebruikers bepaalde informatie zoeken of een specifiek besturingselement willen gebruiken of een recht als betrokkene willen uitoefenen, is het bijzonder moeilijk, omdat ze door te veel pagina's moeten navigeren om de relevante informatie of het re levante besturingselement te vinden, zonder dat er een uitgebreid en uitputtend overzicht beschikbaar is. Gebruikers zullen waarschijnlijk het zoeken opgeven of de relevante informatie of het relevante besturingselement over het hoofd zien.

Betrokken AVG-bepalingen:

-transparantiebeginsel: artikel 5, lid 1, punt a) en transparante informatie: artikel 12, lid 1;
-behoorlijkheidsbeginsel: artikel 5, lid 1, punt a);
-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-eenvoudige toegang tot rechten: artikel 12, lid 2;
-geïnformeerde toestemming: artikel 7, in samenhang met artikel 4, lid 11.

Voorbeelden: UC 2a, voorbeeld 17; UC 3a, voorbeeld 33; UC 3b, voorbeeld 37; UC 4, voorbeelden 47 (illustratie) en 48 (illustratie); UC 5, voorbeeld 51.

4.1.3 Overdaad aan opties

Gebruikers worden (te) veel opties geboden om uit te kiezen. Door dit grote aantal opties kunnen gebruikers geen keuze maken of zien ze sommige instellingen over het hoofd, vooral als er geen informatie beschikbaar is. Dit kan ertoe leiden dat ze uiteindelijk het aanpassen van voorkeursinstellingen of het uitoefenen van rechten op het gebied van gegevensbescherming opgeven of informatie over het hoofd zien.

Betrokken AVG-bepalingen:

-beginselen van transparantie en behoorlijkheid: artikel 5, lid 1, punt a);
-transparante informatie: artikel 12, lid 1.

Voorbeeld:

UC 3b, voorbeeld 35.

4.2 Overslaan

Het dusdanig ontwerpen van de interface of gebruikersreis dat gebruikers alle of sommige aspecten van gegevensbescherming vergeten of er niet over nadenken.

4.2.1 Misleidend gemak

Standaard zijn de meest invasieve gegevensfuncties en -opties ingeschakeld. Vanwege het standaardeffect dat personen ertoe aanzet om een vooraf geselecteerde optie te behouden, is het onwaarschijnlijk dat gebruikers deze zullen wijzigen, zelfs als ze de mogelijkheid krijgen.

Betrokken AVG-bepalingen:

-gegevensbescherming door ontwerp en door standaardinstellingen : artikel 25, lid 1;
-toestemming: artikel 4, lid 11, en artikel 6 (illegale praktijk om standaard een verwerking op basis van toestemming te activeren).

Voorbeelden: UC 1, voorbeeld 9; UC 3b, voorbeelden 39 en 40 (illustratie); UC 5, voorbeeld 55.

4.2.2 Kijk daar

Een handeling of informatie met betrekking tot gegevensbescherming moet concurreren met een ander element dat al dan niet gerelateerd is aan gegevensbescherming. Wanneer gebruikers deze afleidende optie kiezen, zullen ze de andere waarschijnlijk vergeten, zelfs als dat hun primaire bedoeling was.

Betrokken AVG-bepalingen:

-beginselen van transparantie en behoorlijkheid: artikel 5, lid 1, punt a);
-transparante informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2.

Voorbeelden: UC 2c, voorbeeld 25; UC 3a, voorbeeld 29; UC 5, voorbeelden 56 en 58.

4.3 Inspelen op emoties:

De keuze die gebruikers zouden maken beïnvloeden door een beroep te doen op hun emoties of door ze visueel te 'porren'.

4.3.1 Emotioneel sturen 83

Bewoordingen of visuele elementen (zoals stijl, kleuren, afbeeldingen of andere) worden op een manier gebruikt die informatie op een zeer positieve manier aan gebruikers overbrengt, waardoor gebruikers zich goed, veilig of speciaal voelen, of juist op een zeer negatieve manier, waardoor gebruikers zich angstig, schuldig of gestraft voelen. Het op een dergelijke manier beïnvloeden van de emotionele toestand van gebruikers zal er waarschijnlijk toe leiden dat ze een handeling uitvoeren die in strijd is met hun belangen op het gebied van gegevensbescherming.

Betrokken AVG-bepalingen:

-beginselen van transparantie en behoorlijkheid: artikel 5, lid 1, punt a);
-transparante informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2;

Vastgesteld 79 83 Dit patroon hangt nauw samen met een soort patroon genaamd 'spelen met emoties' dat onder meer te vinden is in verslagen van intergouvernementele organisaties zoals de Europese Commissie, directoraatgeneraal Justitie en Consumentenzaken, Lupiáñez-Villanueva, F., Boluda, A., Bogliacino, F., et al., Behavioural study on unfair commercial practices in the digital environment: dark patterns and manipulative personalisation: final report , Bureau voor publicaties van de Europese Unie, 2022, https://data.europa.eu/doi/10.2838/859030 en OESO (2022), 'Dark commercial patterns', Documents de travail de l'OCDE sur l'économie numérique , nr. 336, Éditions OCDE, Parijs, https://doi.org/10.1787/44f5e846-en.

-toestemming van kinderen: artikel 8;
-geïnformeerde toestemming: artikel 7, in samenhang met artikel 4, lid 11.

Voorbeelden: UC 1, voorbeelden 4, 5 en 6; UC 5, voorbeeld 52.

4.3.2 In het zicht verborgen

Een visuele stijl of techniek gebruiken voor besturingselementen voor informatie of gegevensbescherming die gebruikers aanzetten te kiezen voor minder beperkende en dus meer invasieve opties.

Betrokken AVG-bepalingen:

-behoorlijkheidsbeginsel: artikel 5, lid 1, punt a);
-vrijelijk verleende toestemming: artikel 7, in samenhang met artikel 4, lid 11;
-duidelijke informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2.

Voorbeelden: UC 1, voorbeeld 8; UC 3a, voorbeeld 34 (illustratie); UC 3b, voorbeeld 40 (illustratie); UC 4, voorbeeld 48.

4.4 Obstructie 84

Het belemmeren of tegenhouden van gebruikers bij het vinden van informatie of het beheren van hun gegevens door de actie moeilijk of onmogelijk te maken.

4.4.1 Doodlopende weg

Als gebruikers op zoek gaan naar informatie of een besturingselement, vinden ze dit uiteindelijk niet omdat een link niet werkt of helemaal niet beschikbaar is. Gebruikers kunnen die taak niet uitvoeren.

Betrokken AVG-bepalingen:

-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-rechten uitoefenen : artikel 12, lid 2;
-gegevensbescherming door ontwerp en door standaardinstellingen : artikel 25, lid 1.

Voorbeelden: UC 1, voorbeelden 10 en 11; UC 2a, voorbeeld 18; UC 3a, voorbeeld 30 en 31; UC 4, voorbeeld 43.

4.4.2 Langer dan nodig

Wanneer gebruikers proberen een besturingselement met betrekking tot gegevensbescherming te activeren, maar gebruikers tijdens de gebruikersreis meerdere stappen moeten doorlopen in vergelijking met het aantal stappen dat nodig is voor het activeren van opties waar meer persoonsgegevens moeten worden verstrekt. Dit zal hen waarschijnlijk ontmoedigen om een dergelijk besturingselement te activeren.

Betrokken AVG-bepalingen:

-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-rechten uitoefenen : artikel 12, lid 2;
-recht van bezwaar : artikel 21, lid 1;
-intrekken van toestemming: artikel 7, lid 3;
-gegevensbescherming door ontwerp (en door standaardinstellingen ): artikel 25, lid 1.

Voorbeelden: UC 1, voorbeeld 7; UC 3a, voorbeeld 32; UC 4, voorbeeld 50; UC 5, voorbeelden 57 (illustratie) en 58.

4.4.3 Misleidende handelingen

Een discrepantie tussen informatie en handelingen die beschikbaar zijn voor gebruikers, die hen ertoe aanzet iets te doen wat ze niet van plan zijn. Het verschil tussen wat gebruikers verwachten en wat ze krijgen, zal hen waarschijnlijk ontmoedigen om verder te gaan.

Betrokken AVG-bepalingen:

-transparante informatie: artikel 12, lid 1;
-behoorlijke verwerking: artikel 5, lid 1, punt a);
-geïnformeerde toestemming: artikel 7, lid 2, in samenhang met artikel 4, lid 11.

Voorbeelden:

UC 1, voorbeeld 3; UC 3a, voorbeeld 28.

4.5 Grilligheid

Het ontwerp van de interface is onstabiel en inconsistent, waardoor het voor gebruikers moeilijk is om de aard van de verwerking te achterhalen, om een juiste keuze te maken met betrekking tot hun gegevens en om te achterhalen waar de verschillende besturingselementen zich bevinden.

4.5.1 Ontbreken van hiërarchie

In de informatie met betrekking tot gegevensbescherming ontbreekt hiërarchie, waardoor deze informatie meerdere keren wordt weergegeven en op verschillende manieren wordt gepresenteerd. Gebruikers zullen waarschijnlijk in de war raken door deze redundantie en niet in staat zijn om volledig te begrijpen hoe hun gegevens worden verwerkt en hoe ze er controle over kunnen uitoefenen.

Betrokken AVG-bepalingen:

-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2.

Voorbeelden:

UC 2a, voorbeelden 13 en 14.

4.5.2 Decontextualisering

Besturingselementen voor informatie of gegevensbescherming bevinden zich op een pagina die buiten de context ligt. Gebruikers kunnen de informatie of het besturingselement waarschijnlijk niet vinden, omdat het niet intuïtief zou zijn om ernaar te zoeken op deze specifieke pagina.

Betrokken AVG-bepalingen:

-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-transparante informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2.

Voorbeelden:

UC 3b, voorbeelden 41 en 42; UC 5, voorbeelden 59 en 60.

4.5.3 Inconsistente interface

Een interface is niet consistent in verschillende contexten (bv. een menu met betrekking tot gegevensbescherming geeft verschillende elementen weer op het mobiele toestel en op de desktop) of met de verwachtingen van gebruikers (bv. een optie waarvan de locatie is omgewisseld met die van een andere optie). Deze verschillen kunnen ertoe leiden dat gebruikers niet de gewenste besturingselementen of informatie kunnen vinden of uit gewoonte een element van de interface gebruiken, ook al maken ze hiermee een keuze voor gegevensbescherming die ze eigenlijk niet willen.

Betrokken AVG-bepalingen:

-eenvoudig toegankelijke informatie: artikel 12, lid 1;
-rechten uitoefenen: artikel 12, lid 2.

Voorbeelden:

UC 3b, voorbeeld 39; UC 4, voorbeeld 50.

4.5.4 Taaldiscontinuïteit

Informatie met betrekking tot gegevensbescherming wordt niet verstrekt in de officiële taal (talen) van het land waar de gebruikers wonen, terwijl dat voor de dienst wel het geval is. Als gebruikers de taal waarin informatie over gegevensbescherming wordt gegeven, niet beheersen, zullen ze deze niet gemakkelijk kunnen lezen en daarom waarschijnlijk niet op de hoogte zijn van hoe gegevens worden verwerkt.

Betrokken AVG-bepalingen:

-behoorlijke verwerking: artikel 5, lid 1, punt a);
-begrijpelijke informatie : artikel 12, lid 1, artikel 13 en artikel 14;
-gebruik van duidelijke en eenvoudige taal voor de informatie: artikel 12, lid 1, artikel 13 en artikel 14.

Voorbeelden: UC 2a, voorbeeld 16; UC 3a, voorbeelden 26 (illustratie) en 27; UC 4, voorbeeld 44.

4.6 Onduidelijkheid

De interface is zo ontworpen dat besturingselementen voor informatie of gegevensbescherming verborgen zijn of dat het gebruikers niet duidelijk is hoe hun gegevens worden verwerkt en in hoeverre zij hier controle over hebben.

4.6.1 Tegenstrijdige informatie

Het verstrekken van stukjes informatie aan gebruikers die elkaar op een of andere manier tegenspreken. Gebruikers weten waarschijnlijk niet zeker wat ze moeten doen en wat de gevolgen van hun handelen zijn; daarom zullen ze waarschijnlijk niets doen en gewoon de standaardinstellingen behouden.

Betrokken AVG-bepalingen:

-behoorlijke verwerking: artikel 5, lid 1, punt a);
-transparante informatie: artikel 12, lid 1;
-geïnformeerde toestemming: artikel 7, lid 2, in samenhang met artikel 4, lid 11.

Voorbeelden: UC 2a, voorbeeld 12; UC 2c, voorbeeld 20; UC 3b, voorbeeld 36.

4.6.2 Onduidelijke bewoordingen of informatie

Het gebruik van onduidelijke en vage begrippen bij het verstrekken van informatie aan gebruikers. De gebruikers zullen waarschijnlijk niet zeker weten hoe gegevens worden verwerkt of hoe ze enige controle over hun persoonsgegevens kunnen uitoefenen.

Betrokken AVG-bepalingen:

-behoorlijke verwerking: artikel 5, lid 1, punt a);
-transparante informatie: artikel 12, lid 1;
-gebruik van duidelijke en eenvoudige taal voor de informatie: artikel 12, lid 1;
-geïnformeerde toestemming: artikel 7, lid 2, in samenhang met artikel 4, lid 11;
-onvolledige informatie : artikel 13 .
-specifieke bepalingen afhankelijk van het specifieke praktijkvoorbeeld, bijvoorbeeld artikel 34 voor UC 2c.

Voorbeelden: UC 2a, voorbeeld 15; UC 2c, voorbeelden 21, 22, 23 en 24; UC 4, voorbeeld 45; UC 5, voorbeelden 53 en 54.

LIFECYCLE

UC3. Staying protected

UC 1. Creating an account

UC2. Getting informed

UC4. Exercising one's right

Nº.

034

033

035

039

,40

025

°34

018

041

039050

016

026 014

°20 036

025

030

032

028

010

DECEPTIVE DESIGN

OVERVIEW

GDPR PROVISIONS

All deceptive design go against the fairness principle

5 BIJLAGE II: BESTE PRAKTIJKEN

De volgende lijst geeft een overzicht van de beste praktijken zoals die worden beschreven in de richtsnoeren, aan het einde van elk praktijkvoorbeeld. Deze kunnen worden gebruikt voor het ontwerpen van gebruikersinterfaces die de effectieve uitvoering van de AVG vergemakkelijken. Dergelijke beste praktijken kunnen een eerste stap zijn naar een gestandaardiseerde manier voor gebruikers om hun gegevens effectief te controleren en hun rechten uit te oefenen.

Snelkoppelingen: links naar informatie, handelingen of instellingen die gebruikers praktisch kunnen helpen om hun gegevens en hun gegevensbeschermingsinstellingen te beheren, moeten beschikbaar zijn waar zij worden geconfronteerd met gerelateerde informatie of een gerelateerde ervaring ( bv. links die doorverwijzen naar de relevante delen van het privacybeleid ; bv. geef in het privacybeleid voor alle informatie over gegevensbescherming links die rechtstreeks doorverwijzen naar de betreffende gegevensbeschermingspagina's op het socialemediaplatform; geef gebruikers een link om hun wachtwoord opnieuw in te stellen; wanneer gebruikers worden geïnformeerd over een aspect van de verwerking, worden ze uitgenodigd om hun voorkeuren voor gerelateerde gegevens in te stellen op de bijbehorende instellingen-/dashboardpagina; geef een link naar het verwijderen van het account in het gebruikersaccount) .

Contactgegevens: het contactadres van het bedrijf dat verzoeken om gegevensbescherming afhandelt, moet duidelijk worden vermeld in het privacybeleid. Het adres moet worden gepubliceerd op een plek waar gebruikers dit zouden verwachten, zoals een rubriek over de identiteit van de verwerkingsverantwoordelijke, een rubriek met betrekking tot rechten of een rubriek met gegevens van contactpersonen.

Contact met de toezichthoudende autoriteit: het vermelden van de specifieke identiteit van de toezichthoudende autoriteit en het opnemen van een link naar de website van die autoriteit of de specifieke webpagina met betrekking tot het indienen van een klacht. Deze informatie moet worden gepubliceerd op een plek waar gebruikers dit zouden verwachten, zoals een rubriek met betrekking tot rechten.

Overzicht privacybeleid: aan het begin van of boven aan het privacybeleid moet een (inklapbare) inhoudsopgave worden toegevoegd, met kopjes en onderkopjes die de verschillende passages in de privacyverklaring weergeven. De titels van de afzonderlijke passages leiden gebruikers duidelijk naar de exacte inhoud en stellen hen in staat om snel de rubriek waarnaar ze op zoek zijn, te vinden en daarheen te navigeren.

Wijzigingen herkennen en vergelijken: wanneer er wijzigingen worden aangebracht in de privacyverklaring, moeten de eerdere versies toegankelijk worden gemaakt met de publicatiedatum en met de wijzigingen gemarkeerd.

Coherente bewoording: op de hele website moeten dezelfde bewoordingen en definities worden gebruikt voor dezelfde gegevensbescherming. De bewoording die in het privacybeleid wordt gebruikt, moet overeenkomen met de bewoording die op de rest van het platform wordt gebruikt.

Definities bieden: bij het gebruik van onbekende of technische woorden of jargon, helpt het verstrekken van een definitie in gewone taal gebruikers de informatie die hen wordt verstrekt, te begrijpen. De definitie kan direct in de tekst worden gegeven, wanneer gebruikers met de muis over het woord bewegen, en kan ook beschikbaar worden gemaakt in de vorm van een woordenlijst.

Contrasterende gegevensbeschermingselementen: gegevensbeschermingsgerelateerde elementen of handelingen moeten visueel opvallen in een interface die niet direct aan het onderwerp is gewijd. Wanneer bijvoorbeeld een openbaar bericht op het platform wordt geplaatst, moeten de besturingselementen voor het koppelen van de bijbehorende locatie direct beschikbaar en duidelijk zichtbaar zijn.

Informatie over gegevensbescherming voor nieuwe gebruikers: vlak na het aanmaken van een account moet de informatie over gegevensbescherming zijn opgenomen in de stappen om de gebruiker te laten kennismaken met de aanbieder van de sociale media, zodat gebruikers hun voorkeuren eenvoudig kunnen ontdekken en instellen. Een mogelijkheid hiervoor is om gebruikers uit te nodigen hun voorkeuren voor gegevensbescherming in te stellen nadat ze hun eerste vriend hebben toegevoegd of hun eerste bericht hebben geplaatst.

Gebruik van voorbeelden: naast de verplichte informatie die duidelijk en nauwkeurig het doel van de verwerking aangeeft, kunnen voorbeelden worden gebruikt om een specifieke gegevensverwerking te illustreren, om deze tastbaarder te maken voor gebruikers.

pagina kan zich in het hoofdmenu van de aanbieder van sociale media bevinden, of in het gebruikersaccount, het privacybeleid enz.

Contextuele informatie: in aanvulling op een volledige beschrijving van het privacybeleid moeten korte stukjes informatie worden gedeeld op een moment dat dit de gebruiker het beste uitkomt, om deze continu specifiek te informeren over hoe zijn gegevens worden verwerkt.

Footnotes

Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER'.
Definitie identiek aan de Richtsnoeren 08/2020 betreffende de targeting van gebruikers van sociale media, EDPB, punt 1, zie voetnoot 1 aldaar voor een meer gedetailleerde beschrijving; beschikbaar op https://www.edpb.europa.eu/system/files/2021-
Voor meer details, zie CNIL, IP Report No. 6: Shaping Choices in the Digital World , 2019. blz. 9 https://www.cnil.fr/sites/default/files/atoms/files/cnil\_ip\_report\_06\_shaping\_choices\_in\_the\_digital\_world.p df.
Zie Noorse Consumentenraad, Deceived by design : How tech companies use dark patterns to discourage us from exercising our rights to privacy , blz. 10 https://storage02.forbrukerradet.no/media/2018/06/2018-0627-deceived-by-design-final.pdf, maar ook CNIL, Shaping Choices in the Digital World, blz. 30.
In dit verband verduidelijkt artikel 25, lid 2, van Verordening (EU) 2022/2065 van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) dat het verbod op het misleiden of manipuleren van ontwerpen van onlineinterfaces krachtens artikel 25, lid 1, niet van toepassing is op praktijken die vallen onder Richtlijn 2005/29/EG (richtlijn oneerlijke handelspraktijken) of de AVG. Ook biedt de mededeling van de Commissie van de EU (2021/C 526/01) richtsnoeren met betrekking tot de uitlegging en toepassing van de richtlijn oneerlijke handelspraktijken, inclusief over 'dark patterns' (donkere patronen), in punt 4.2.7.
Zie ook overweging 81, vierde zin, van Verordening (EU) 2022/2065 (digitaledienstenverordening).
AVG, overweging 75; zie ook: EDPB, Richtsnoeren 08/2020 betreffende de targeting van gebruikers van sociale media, punt 16 https://www.edpb.europa.eu/system/files/2021-
In reactie op een reeks klachten ontvangen van NOYB heeft een taskforce van de EDPB standpunten uitgewisseld over een aantal ontwerpelementen in cookiebanners. De gemeenschappelijke noemer die de toezichthoudende autoriteiten zijn overeengekomen in hun interpretatie van het toepasselijke meerlagige wettelijke kader, is samengevat in een 'Verslag van de werkzaamheden van de Cookie Banner Taskforce' van 17 januari 2023, beschikbaar op https://edpb.europa.eu/system/files/202301/edpb\_20230118\_report\_cookie\_banner\_taskforce\_en.pdf.
Zie de Richtsnoeren 4/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen, EDPB, versie 2.0, vastgesteld op 20.10.2020, blz. 20; https://edpb.europa.eu/our-worktools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and\_nl.
Richtsnoeren inzake transparantie overeenkomstig Verordening 2016/679, Groep Gegevensbescherming artikel 29, onderschreven door de EDPB, https://privacy-web.nl/wpcontent/uploads/po\_assets/712036.pdf.
Zie de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen (EDPB), blz. 20, punt 70.
Zie de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen.
Zie de Richtsnoeren inzake transparantie, punt 8.
Zie de Richtsnoeren inzake transparantie, punt 30 en blz. 45.
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679, EDPB, versie 1.1, vastgesteld op 4 mei 2020,
Zie Hof van Justitie van de Europese Unie, arrest van 1 oktober 2019, Verbraucherzentrale Bundesverband e.V./Planet 49 GmbH, zaak C-673/17, punten 62 en 63.
Richtsnoeren 05/2020 inzake toestemming, punt 64; zie ook praktijkvoorbeeld 3a in deel 3.3. van deze richtsnoeren.
Zie de Richtsnoeren 05/2020 inzake toestemming, punt 68.
Zie de Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media, punt 57.
Zie de Richtsnoeren inzake transparantie, punten 113 en volgende.
Zie de Richtsnoeren 05/2020 inzake toestemming, punt 114.
Zie punt 43 en volgende in praktijkvoorbeeld 1, alsmede het overzicht van voorbeelden in de checklist in de bijlage.
Zie de Richtsnoeren inzake transparantie, punt 18.
Zie ook punt 446 van het bindend besluit van de Ierse gegevensbeschermingsautoriteit betreffende Instagram (Meta Platforms Ireland Limited) naar aanleiding van het bindende geschillenbeslechtingsbesluit van de EDPB van 28 juli 2022, https://www.edpb.europa.eu/system/files/202302/edpb\_bindingdecision\_20222\_ie\_sa\_instagramchildusers\_nl.pdf.
Zie de Richtsnoeren inzake transparantie, punt 12, met inbegrip van de 'Voorbeelden van ontoereikend taalgebruik', en punt 13.
Zie de Richtsnoeren inzake transparantie, punt 13 en voetnoot 15.
Zie de Richtsnoeren inzake transparantie, bv. in punt 11.
Voor details over de gelaagde benadering in een digitale omgeving, zie de Richtsnoeren inzake transparantie, punten 35 tot en met 37.
Voor de definitie van gezamenlijke verwerkingsverantwoordelijkheid, zie artikel 4, lid 7, in samenhang met artikel 26, lid 1, eerste zin, AVG, evenals de Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG van de EDPB, vastgesteld op 7 juli 2021, versie 2.1, punten 46 tot en met 49, beschikbaar op
Zie de Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, EDPB, punt 179.
Zie de Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, EDPB, punt 180, ook voor de volgende zin.
Zie ook Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, EDPB, vastgesteld op 14 december 2021, versie 2.0, punt 4, beschikbaar op https://www.edpb.europa.eu/system/files/2022-09/edpb\_guidelines\_012021\_pdbnotification\_adopted\_nl.pdf
Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, Groep Gegevensbescherming artikel 29, onderschreven door de EDPB, blz. 23, https://ec.europa.eu/newsroom/article29/items/612052/nl.
Richtsnoeren 08/2020 betreffende de targeting van gebruikers van sociale media, punt 51. 56 Zie ook de punten 25 tot en met 29 hoger.
Zie artikel 2, punt f), van Richtlijn 2002/58/EG, en Advies 5/2019 over de wisselwerking tussen de eprivacyrichtlijn en de algemene verordening gegevensbescherming, met name wat betreft de taken en bevoegdheden van gegevensbeschermingsautoriteiten, EDPB, vastgesteld op 12 maart 2019, punt 14,
Bijvoorbeeld hun geboortedatum, zie punt 58.
Zie de Richtlijnen inzake het recht op gegevensoverdraagbaarheid krachtens Verordening 2016/679, Groep Gegevensbescherming artikel 29, WP242, versie 01, blz. 10,
Richtlijnen inzake het recht op gegevensoverdraagbaarheid en Richtsnoeren 5/2019 betreffende de criteria voor het recht om vergeten te worden in de zoekmachinezaken krachtens de AVG (deel 1), EDPB, versie vastgesteld na openbare raadpleging, https://www.edpb.europa.eu/sites/default/files/files/file1/edpb\_guidelines\_201905\_rtbfsearchengines\_afterp ublicconsultation_nl.pdf.
Dit recht wordt verder uitgewerkt in de Richtlijnen inzake het recht op gegevensoverdraagbaarheid. 69 Zie ook de Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening 2016/679, Groep Gegevensbescherming artikel 29, WP251, versie 01, blz. 19 en volgende, https://ec.europa.eu/newsroom/article29/items/612053/nl.
Zie de Richtsnoeren 01/2022 over de rechten van betrokkenen -Recht van inzage, EDPB, punt 136, versie 1.0, https://www.edpb.europa.eu/system/files/202404/edpb\_guidelines\_202201\_data\_subject\_rights\_access\_v2\_nl.pdf.
Zie de Richtsnoeren 04/2019 inzake artikel 25 -Gegevensbescherming door ontwerp en door standaardinstellingen, EDPB, blz. 6, punt 8.
Zie de Richtsnoeren 5/2020 inzake toestemming, punt 110.
Deze categorie is nauw verwant aan de strategie genaamd 'Obstructie', zoals gedefinieerd en beschreven in Gray Colin M., Kou Yubo, Battles Bryan, Hoggatt Joseph, en Toombs Austin L. (2018), The Dark (Patterns) Side of UX Design . In: Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (Montreal QC, Canada) (CHI '18). ACM, New York, NY, USA, artikel 534, 14 blz. https://doi.org/10.1145/3173574.3174108.