Lees de kleine lettertjes. En zelfs dat helpt misschien niet. Uit een nieuw rapport blijkt dat enkele van de grootste online platforms ter wereld – waaronder Google, Meta, Amazon en TikTok – het voor mensen erg moeilijk maken om zich af te melden voor het verzamelen en gebruiken van hun gegevens.
In haar rapport zegt Veel succes met het afmelden – Manipulatieve ontwerppatronen in opt-out-processende groep voor digitale privacy en belangenbehartiging Elektronisch privacy-informatiecentrum onderzocht de opt-outprocedures voor 38 grote bedrijven die klantgegevens verzamelen.
Veel van deze bedrijven gebruiken ‘donkere patronen’ in hun opt-out-processen, zo bleek uit het onderzoek. Die term verwijst naar het opzettelijk misleiden, begeleiden of onder druk zetten van consumenten om toe te staan dat hun gegevens worden verzameld, gedeeld en verkocht via misleidende of verwarrende methoden op bedrijfswebsites en -apps.
Te veel bedrijven ontzeggen hun klanten de echte keuze over het gebruik van hun persoonlijke gegevens, aldus EPIC Counsel Caroline Kraczon zei in een verklaring. “Voor individuen die te maken hebben met verhoogde risico’s, waaronder stalking, doxxing of gerichte intimidatie, kunnen deze barrières ernstige gevolgen hebben voor de veiligheid in de echte wereld”, aldus Kraczon.
Gevraagd door CNET om commentaar, wees een woordvoerder van Meta op de openbare privacyvoorwaarden van het bedrijf. “Zoals we expliciet zeggen in onze Privacybeleidwe verkopen uw gegevens aan niemand en dat zullen we ook nooit doen.” Dat beleid zegt echter dat Meta wel klantgegevens deelt met andere bedrijven en dat “bepaalde informatie nodig is om onze producten te laten werken. Andere informatie is optioneel, maar zonder deze informatie kan de kwaliteit van uw ervaring worden beïnvloed.”
Vertegenwoordigers van Google en OpenAI, beide genoemd in het EPIC-rapport, reageerden niet onmiddellijk op verzoeken om commentaar.
Lees meer: Een gids voor diensten voor gegevensverwijdering: moet u betalen voor privacy?
In het rapport werd gewezen op de reële gevolgen van het feit dat persoonlijke informatie op grote schaal online beschikbaar is als gevolg van het kopen, verkopen en delen van gegevens door makelaars en andere bedrijven. Vance Boelter, de man beschuldigd van de moord van Minnesota-wetgever Melissa Hortman en haar man Mark vorig jaar gebruikten ‘people search’-datamakelaars om erachter te komen waar ze woonden.
“Decennia lang hebben personen die misbruik maken ook technologieën en gegevens gebruikt om andere mensen te lokaliseren, op te sporen en lastig te vallen, te intimideren, aan te vallen en zelfs te vermoorden, waarbij vooral vrouwen, gekleurde vrouwen en LHBTQ+-mensen worden getroffen”, aldus het rapport.
Er zijn 20 staten – inclusief Californië, Texas en Florida – die wetten hebben die bedrijven verplichten klanten te laten afzien van het verzamelen van gegevens. gebruikt, gedeeld en verkocht.
Maar misleidende opt-out-processen belemmeren die wetgeving, zo blijkt uit de EPIC-studie. Onderzoekers hebben acht patronen geïdentificeerd die bedrijven gebruiken om het moeilijk te maken om zich af te melden, zoals het niet opnemen van een opt-out-link op de startpagina, het verplichten van klanten om verschillende formulieren in te vullen, het gebruiken van verwarrende en/of misleidende taal en het vereisen dat klanten inloggen of betalen voor een abonnement voordat ze zich afmelden.
Uit het rapport bleek dat Meta, Google, TikTok, OpenAI, Whitepages en Tinder – van de vijftien bedrijven – “hun opt-outformulier niet duidelijk linkten vanaf de startpagina.” TransUnion, een van de “grote drie” kredietbureaus, dwingt klanten om verschillende formulieren in te dienen om zich af te melden, net als mensenzoeksites Whitepages en Spokeo.
EPIC ontdekte ook dat Whitepages — maandelijks door meer dan 30 miljoen mensen gebruikt — vereist dat mensen de URL’s opgeven van profielen die hun informatie bevatten. Eerlijk genoeg, maar misschien moet u betalen voor een Whitepages-abonnement om die rapporten te zien. EPIC zei ook dat Whitepages sommige pagina’s achter een betaalmuur verbergt.
Spokeo omschrijft zichzelf als “een marktleider in het respecteren van de privacyvoorkeuren van consumenten.” Echter, de opt-outpagina stelt ook dat “uw informatie in de toekomst zonder voorafgaande kennisgeving opnieuw op Spokeo kan verschijnen” en dat mensen de site moeten blijven controleren voor het geval er nieuwe vermeldingen verschijnen.
Spokeo COO en mede-oprichter Harrison Tang vertelde CNET dat, ook al verzamelt zijn site openbaar beschikbare informatie uit verschillende bronnen, consumenten “controle moeten hebben over hun gegevens”.
Tang zei dat Spokeo “zijn best doet om de privacyvoorkeur van elke consument te onthouden, zodat, als Spokeo in de toekomst openbare informatie over de consument ontvangt, deze niet automatisch opnieuw verschijnt of beschikbaar is voor verkoop.”
Uit het onderzoek is gebleken dat bij sommige bedrijven het selectievakje ‘opt-in’ standaard is aangevinkt op hun opt-outpagina’s, waaronder de taxibedrijven Uber en Lyft en datingapps Grindr en Bumble, dus ‘consumenten moeten op het schakel- of selectievakje klikken om zich af te melden.’
Kraczon van EPIC vertelde CNET dat er tools zijn die consumenten nu kunnen gebruiken om te voorkomen dat bedrijven hun gegevens gebruiken. Eén daarvan heet de Wereldwijde privacycontrole – een verzoek om niet te verkopen of te delen – dat “een opt-out-signaal verzendt naar elke site die u bezoekt terwijl u op internet surft.” Kraczon zei dat twaalf staten bedrijven verplichten om universele opt-out-voorkeurssignalen te respecteren.
Kraczon zei dat mensen in Californië “een verwijderingsverzoek kunnen indienen” bij de nieuwe versie van de staat Platform voor het verwijderen van verzoeken en opt-out“waarmee Californiërs één signaal kunnen sturen naar alle datamakelaars die in de staat actief zijn, om hun informatie te verwijderen en te stoppen met de verkoop ervan.”
Justin Sherman, de academicus van EPIC en auteur van het rapport, zei dat bedrijven de privacyrechten en het vertrouwen van het publiek aantasten met misleidende opt-out-processen.
“Manipulatief ontwerp hoort niet thuis bij het naleven van de privacy”, zei Sherman in een verklaring. “Bedrijven moeten deze barrières wegnemen, en toezichthouders moeten de handhaving intensiveren om ervoor te zorgen dat consumenten op zinvolle wijze controle kunnen uitoefenen op de manier waarop hun persoonlijke gegevens worden verzameld, verkocht en gedeeld.”
