'Veel websites en apps gebruiken dark patterns om gebruikers te manipuleren'
Websites en apps maken op grote schaal gebruik van 'dark patterns' om gebruikers te manipuleren zodat ze meer persoonlijke informatie afstaan dan ze eigenlijk willen of op andere wijze worden beïnvloed om keuzes te maken die financiele gevolgen hebben. Dat melden het Global Privacy Enforcement Network (GPEN), het International Consumer Protection and Enforcement Network (ICPEN) en de Amerikaanse toezichthouder FTC op basis van een analyse (pdf).
Voor de analyse werden meer dan duizend websites en mobiele applicaties bekeken. Bijna 76 procent maakt gebruik van tenminste één dark pattern. Twee derde gebruikte meerdere dark patterns. Dit zijn bijvoorbeeld knoppen, kleuren en teksten waarmee bedrijven gebruikers een bepaalde kant op duwen, bijvoorbeeld om meer persoonsgegevens af te staan of aankopen te doen.
De dark patterns die het vaakst voorkwamen worden omschreven als 'sneaking practices', zoals het verbergen of vertragen van informatie die invloed op de aankoopbeslissing zou hebben, en 'interfacebeïnvloeding', zoals het verbergen van belangrijke informatie of het voorselecteren van opties die informatie op zo'n manier framen dat gebruikers worden gestuurd naar een beslissing die gunstig voor het bedrijf is.
Volgens het GPEN laten de resultaten zien dat misleidende ontwerppatronen zowel privacy als consumentenbescherming raken. De organisatie roept organisaties op om hun platforms zo te ontwerpen, waaronder de bijbehorende privacycommunicatie en -keuzes, dat gebruikers geïnformeerde privacykeuzes maken die overeenkomen met hun voorkeuren.
"Goed ontwerp bestaat uit standaardinstellingen die de beste privacybescherming bieden; het benadrukken van privacyopties; neutrale bewoording en ontwerp om privacykeuzes op een eerlijke en transparante manier te bieden; minder clicks om privacyinformatie te vinden, uit te loggen of een account te verwijderen en 'just-in-time' contextueel relevante toestemmingsopties", zo adviseert het GPEN. "Door gebruikers online ervaringen te bieden die vrij zijn van beïnvloeding, manipulatie en dwang, kunnen organisaties gebruikersvertrouwen opbouwen en privacy een competitief voordeel maken."
Dark patterns zijn inderdaad overdadig aanwezig op menig website.
https://www.edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf
Verplicht leesvoer voor marketeers, die veelal de opdracht aan webdesigners geven om zoveel mogelijk website bezoekers te misleiden. NOYB.eu geeft elke paar maanden opnieuw website-eigenaren aan bij de landelijke autoriteiten waarna de misleidende elementen meestal snel verwijderd worden.
Daarnaast prijkt onder aan de pagina een knop waarbij lijkt of je tussentijds kunt bevestigen dat je het uitschakelen van overbodige cookies per onderdeel opslaat. Niets is minder waar, dit is voor globaal opslaan. Wat je alleen kunt herstellen door handmatig afsluiten plus data verwijderen (of dit dan aan de kant van Spotify ook gebeurt is maar de vraag).
Beste kun je het zelf even testen, als je ziet is het beter begrijpbaar. Maar Spotify voldoet hiermee absoluut niet aan de AVG. Dan komt het latere delen van data/persoonsgegevens met derden, zonder toestemming, nog bij (zie je firewall). En nog andere moreel verwerpelijke zaken.
De wet geldt blijkbaar niet voor iedereen.
Bron: tweakers.net/plan/4186/we-stappen-op-2-juli-over-op-ons-nieuwe-advertentiesysteem.html (openen op eigen risico!)
Wat ik wel zie is dat voor de afwijzing al een hele trits cookies met een expiratiedatum wordt ingesteld, die bij afwijzing van de cookies niet weer worden verwijderd. Wel worden als je alle cookies accepteert een paar cookies extra geplaatst. Alle cookies komen van [www.]domino.nl zelf. Als je alles afwijst zouden er geen cookies met een expiratiedatum moeten overblijven, er zouden alleen cookies zonder zo'n datum moeten zijn, die leven niet langer dan de browsersessie.
Ik sluit helemaal niet uit dat Domino's hier niet bewust dingen fout zit te doen maar dat ze hun website laten ontwikkelen door een partij die hier slordig in is en mogelijk niet controleert wat door hun gebruikte frameworks aan cookie-instellingen hanteren. Dat maakt het niet minder fout, maar er hoeft niet per se doelbewuste kwaadaardigheid achter te zitten.
Helaas zijn veel commerciële partijen bezig met zoveel mogelijk bezoekers krijgen en zoveel mogelijk graaien van die bezoekers. Standaard wijs ik uiteraard alle cookies af, maar daar moet je soms heel wat voor doen inderdaad.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!