Donkere patronen: wat je altijd al wilde weten, maar bang was om te vragen...

Legal Watch nr. 45 – maart 2022.

Deze moeilijk te vertalen Engelse term komt in veel publicaties over informatietechnologie voor. 

Verwant aan "nudging", dat erop gericht is om internetgebruikers op subtiele wijze aan te zetten tot gewenst gedrag, streven "dark patterns" hetzelfde doel na via het ontwerp van webinterfaces.

Op 14 maart heeft de Europese Raad voor Gegevensbescherming richtlijnen aangenomen met betrekking tot 'donkere patronen' in de interfaces van socialemediaplatforms. 

Het document, dat ter consultatie voorgelegd wordt, is bedoeld voor gebruikers om hen te helpen deze technieken te identificeren. Ook biedt het ontwerpers tips om naleving van de AVG te vergemakkelijken. 

Het document somt in wat lijkt op een inventarisatie in Prévert-stijl verschillende praktijken op: 

• Informatie-overload confronteert de gebruiker met een lawine aan gegevens en opties (bijvoorbeeld een eindeloze lijst met cookie-ontvangers) en verleidt hem/haar ertoe meer informatie te delen dan hij/zij wil. 

• Overslaan de gebruiker ertoe aanzet om te vergeten bepaalde gebruiksvoorwaarden voor zijn gegevens te controleren, bijvoorbeeld door zijn aandacht ergens anders op te vestigen.

• Roeren beïnvloedt de keuzes van gebruikers door in te spelen op hun emoties (bijvoorbeeld om hen aan te moedigen zich niet af te melden van een sociaal netwerk)

• Obstructie (belemmering) verhindert dat internetgebruikers via niet-functionele links hun keuzes maken en informatie verstrekken die langer is dan noodzakelijk of misleidend.

• Ontwerpinconsistentie (onregelmatig) zal het lastig maken om te navigeren door controletools, via een decontextualiseerde of niet-hiërarchische presentatie van informatie.

• Ten slotte kan het ontwerp de internetgebruiker in het ongewisse laten, door het gebruik van tegenstrijdige, dubbelzinnige informatie (verschillende gekleurde knoppen die standaard zijn in- of uitgeschakeld) of door een discontinuïteit in de gebruikte talen (overschakelen van Frans naar Engels).

Men zou bijna ontzag hebben voor dergelijke technieken en verbeeldingskracht, als deze praktijken niet illegaal waren omdat ze in strijd zijn met het loyaliteitsbeginsel zoals vastgelegd in artikel 5(1)(a) van de AVG, en met de beginselen van transparantie, minimale gegevensverwerking, verantwoordingsplicht, doel en geldigheid van de toestemming.

De EDPB-richtlijnen bevatten voorbeelden voor elk type techniek en advies om de keuze voor gebruikers te vereenvoudigen. 

Goede praktijken zijn onder meer: 

• Snelkoppelingen gebruiken om snelle acties mogelijk te maken (bijvoorbeeld het afmelden van een account).

• Het gebruik van banners of pop-ups bij een verandering of een bijzonder risico (bijvoorbeeld een inbreuk op de beveiliging).

• Het gebruik van eenvoudige en consistente taal.

• Een lijst met definities.

• Het gebruik van voorbeelden.

• Uitleg van de gevolgen van de verschillende voorgestelde opties.

• De systematische weergave van de sitemap en een “terug”-knop waarmee de gebruiker zijn navigatie kan hervatten.

Opgemerkt dient te worden dat de beslissingen van de CNIL van januari vorig jaar tegen Google en Facebook, waarbij deze bedrijven respectievelijk een boete van 150 en 60 miljoen euro kregen, het gebruik van dark patterns bij het gebruik van cookies bestraffen: de interfaces boden een eenvoudige optie om cookies te activeren, met één klik, terwijl er meerdere handelingen nodig waren om alle cookies te weigeren. 

Hoewel de aandacht van toezichthoudende autoriteiten tot nu toe gericht was op cookies, staat nu een breder scala aan praktijken op het spel. De rol van interfaceontwerpers wordt steeds belangrijker.

En ook

Frankrijk:

De afdeling cybercrime van het Openbaar Ministerie van Parijs is een gerechtelijk onderzoek gestart naar een grootschalige lek van medische gegevens. 

Het datalek zou ongeveer 500.000 personen hebben getroffen en afkomstig zijn van ongeveer dertig medisch-biologische laboratoria. ANSSI en CNIL voeren ook onderzoek uit, in samenwerking met de uitgever van de beheersoftware die door de laboratoria wordt gebruikt.

Een ander groot datalek was voor het Nationaal Fonds voor Ziektekostenverzekeringen aanleiding om op 17 maart een verklaring uit te brengen waarin stond dat de accounts van minstens 19 zorgprofessionals op het Amelipro-portaal waren gehackt.  

Door deze cyberaanval zijn de identificatiegegevens en burgerservicenummers van ongeveer 500.000 verzekerden getroffen.

Ook in de gezondheidszorg werd het gedeelde medisch dossier (DMP) in januari 2022 geïntegreerd in de digitale gezondheidsruimte (ENS, of “Mijn gezondheidsruimte”).  

De CNIL herinnert er op haar website aan hoe deze twee systemen werken en wat de rechten zijn van de betrokken personen.

Op 28 juni 2022 organiseert de CNIL in Parijs de eerste editie van de Privacy Research Day., een internationale conferentie gewijd aan onderzoek op het gebied van privacy en bescherming van persoonsgegevens.

Europa: 

Er is een overeenkomst in zicht tussen Europa en de Verenigde Staten over de overdracht van persoonsgegevens. 

Ursula Von der Leyen en Joe Biden maakten op 25 maart bekend dat ze een politieke overeenkomst over dit onderwerp hadden gesloten. Europees Commissaris voor Justitie Didier Reynders verduidelijkte deze aankondiging door te zeggen dat het ging om een overeenkomst over de "principes" van een toekomstige transatlantische overeenkomst. 

Het nieuwe wettelijk kader zou de opvolger zijn van de "Safe Harbour Principles" en het "Privacy Shield", die beide door het Europees Hof van Justitie achterhaald waren verklaard omdat ze niet voldeden aan de Europese beginselen inzake gegevensbescherming. 

Het voorstel van de Europese Commissie om de Covid-certificaatverordening (EUDCC) te verlengen, ligt op de helling van de gegevensbeschermingsautoriteiten. 

De EDPS en de EDPB hebben bedenkingen geuit over het ontbreken van een effectbeoordeling voorafgaand aan de voorstellen van de Commissie om deze certificaten met één jaar te verlengen.  

Het Comité en de Europese Toezichthouder voor gegevensbescherming hebben echter erkend dat de uitbreiding van de soorten geaccepteerde tests en de vermelding van het aantal toegediende doses in het certificaat geen wezenlijke wijziging van de huidige bepalingen met zich meebrengen.

Medio maart dienden werknemers van Amazon een massaal verzoek in om toegang te krijgen tot gegevens die het bedrijf over hen bewaart, om zo de omstandigheden van toezicht op hun werkplekken te kunnen verifiëren.  

De aanvragers uit Duitsland, het Verenigd Koninkrijk, Italië, Polen en Slowakije deden hun verzoek op grond van artikel 15 van de AVG in samenwerking met de Global Workers' Union (UNI) en de NGO NOYB.  

Naast de richtlijnen over ‘donkere patronen’ in sociale media, Het Europees Comité voor gegevensbescherming heeft tijdens zijn plenaire vergadering van 14 maart richtsnoeren aangenomen over de toepassing van artikel 60 van de AVG met betrekking tot de samenwerking tussen gegevensbeschermingsautoriteiten. 

Dit document is bedoeld om de toepassing van de bepalingen van het éénloketsysteem te verbeteren. 

Het systeem voorziet in een contactpersoon voor in de Europese Unie gevestigde bedrijven, op basis van hun hoofdvestigingsplaats, en in een procedure voor samenwerking met alle andere autoriteiten die betrokken zijn bij klachten of geannexeerde vestigingen in hun land. 

De Italiaanse Autoriteit voor gegevensbescherming legde Clearview IA op 10 februari een boete op van € 20.000.000. voor het gebruik van biometrische herkenningssystemen op openbare internetbronnen in strijd met de AVG. De rechtbank heeft de verwijdering van de gegevens bevolen. De Britse Autoriteit Persoonsgegevens legde op 28 februari een boete van € 117.000 op aan een advocatenkantoor. wegens schending van de artikelen 5(1)(f) en 32 van de AVG en in het bijzonder wegens het niet implementeren van passende beveiligingsmaatregelen. 

Spanje heeft op 17 februari een gedragscode goedgekeurd betreffende gegevensbescherming in het kader van klinische proeven en geneesmiddelenbewaking.

De Ierse Autoriteit Gegevensbescherming legde Meta (voorheen Facebook) op 15 maart een boete van € 17 miljoen op vanwege verschillende beveiligingsinbreuken. : de toezichthoudende autoriteit was van oordeel dat het bedrijf niet de vereiste technische en organisatorische maatregelen had genomen om de veiligheid van de gegevens te waarborgen. 

Het besluit dat is genomen na een samenwerkingsprocedure met de andere Europese toezichthoudende autoriteiten die bij de zaak betrokken zijn (art. 60 AVG).

In Duitsland heeft de Autoriteit Persoonsgegevens in Bremen op 3 maart een vastgoedbeheerder (Brebau GmbH) een boete van € 1.900.000 opgelegd wegens het onrechtmatig verwerken van gevoelige gegevens. betreffende ruim 9.500 kandidaat-huurders. 

Onder de verwerkte gegevens bevonden zich huidskleur, religie, seksuele geaardheid, gezondheidstoestand, kapsel en lichaamsgeur.

Internationaal : 

In een schikkingsbeschikking van 4 maart, De Federal Trade Commission van de Verenigde Staten eist dat WW International (Weight Watchers) algoritmes of modellen voor kunstmatige intelligentie vernietigt die zijn ontworpen met behulp van de persoonlijke gegevens van minderjarigen. zonder voorafgaande toestemming van de ouders. 

Het bedrijf kreeg bovendien een boete van 1,5 miljoen dollar en moest de illegaal verzamelde gegevens vernietigen. 

Dit is de derde keer dat de FTC in een schikkingsbevel de vernietiging van een algoritme voor kunstmatige intelligentie eist.  

DE Sri Lanka heeft op 19 maart 2022 een wet aangenomen betreffende de bescherming van persoonsgegevens.

Nokia, dat aankondigde dat het zijn activiteiten in Rusland stopzette vanwege de oorlog in Oekraïne, wordt ervan beschuldigd een telecommunicatiesysteem achter te hebben gelaten waarmee de Russische bevolking kon worden geobserveerd. 

Volgens interne documenten die door de New York Times zijn vrijgegeven, levert Nokia al meer dan vijf jaar apparatuur en diensten aan Rusland om het Russische bewakingssysteem SORM (System for Operative Investigative Activities) te verbinden met de grootste Russische telecommunicatiedienst, MTS.

Anne Christine Lacoste  Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.