Abstract
Digital services, offering great convenience and utility, have become integral and crucial companions to our daily lives, so much so that it is perhaps hard to imagine our life without them anymore. However, we sometimes use these services without fully understanding their implications on, among other things, our privacy. Consider, for example, the cookie banners that have become a common feature on every website accessible in the European Union. These cookie banners are technolegal artifacts, software programs designed and functioning per the publisher’s Terms of Service and regulated by law. They are supposed to help users maintain the privacy of their browsing data, and to give them more control over how their personal data is processed. And yet, these banners are rarely read, oft ignored and have even become a source of annoyance for many. In such a context, how can we really enable and assist users in exercising effective control over their personal data? This interdisciplinary dissertation addresses this question by studying and designing user-focused Privacy Enhancing Tools, software that assists users in negotiating, monitoring and enforcing their privacy preferences. This dissertation contains six chapters, in which insights from law, economics, and software development are brought together to answer one central design question: How can we design and validate Privacy Enhancing Tool(s) that empower(s) users in exercising legal control over their cookie data? Chapter 1 introduces the scope and methodology of the research. Chapter 2 identifies a Typology of the Control Tasks a user is required to perform to exercise control over their personal data, drawing from a comparative analysis of data and consumer protection law. Chapter 3 identifies Barriers, such as transactions costs and behavioural biases, users face in performing these tasks in practice, and draws from them Objectives that Privacy Enhancing Tools should aim to achieve. Chapter 4 identifies a Taxonomy of the Privacy Enhancing Functionalities offered by academic and non-academic Privacy Tools that assist users in performing these Tasks, and evaluates how comprehensive their coverage is. Chapter 5 then designs, tests and validates mock-ups of a Privacy Tool that implements an as-yet untested functionality, and evaluates its impact on users’ privacy perceptions through an experiment. Chapter 6 concludes.
-
Digitale diensten zijn een integraal onderdeel geworden van ons dagelijks leven als moderne consumenten. Deze diensten bieden veel gemak en nut, maar we gaan vaak akkoord met hun algemene voorwaarden of servicevoorwaarden zonder volledig te begrijpen wat ze betekenen voor onder andere onze privacy. Cookiebanners, waarmee elke internetgebruiker in de Europese Unie inmiddels waarschijnlijk bekend is, zijn een typisch voorbeeld van deze kwestie. Deze cookiebanners zijn technisch-juridische objecten, softwareprogramma's die zijn ontworpen en functioneren volgens de servicevoorwaarden van de uitgever en die door de wet worden gereguleerd. Hoewel deze banners bedoeld zijn om gebruikers te helpen de privacy van hun surfgegevens te waarborgen, blijkt uit onderzoek dat ze dat niet effectief doen.
En waarom is dat zo? Privacy is een concept met vele facetten en is het onderwerp geweest van uitgebreid onderzoek in vele disciplines, die zich op verschillende manieren met deze vraag bezighouden en verschillende antwoorden geven. Een groot deel van de literatuur, zelfs over de disciplines heen, is het erover eens dat de traditionele benadering van kennisgeving en toestemming niet werkt. Van gebruikers kan niet worden verwacht dat ze alle privacyverklaringen, die vol staan met juridisch jargon, die ze regelmatig onder ogen krijgen, lezen en er met kennis van zaken toestemming voor geven. Veel van de traditionele literatuur is echter gericht op het verkrijgen van theoretische inzichten binnen discipline-centrische perspectieven. Het richt zich ook vaak op de selectie en communicatie van cookievoorkeuren, met uitsluiting van andere praktische aspecten van het beheer van onze persoonlijke gegevens, zoals het controleren op schendingen en het afdwingen van onze voorkeuren.
In dit proefschrift sluit ik me aan bij deze academische en regelgevende discussie vanuit het perspectief dat privacy een inherent intersectioneel probleem is en daarom bestudeerd moet worden vanuit een interdisciplinair, gebruikersgericht perspectief. Oplossingen voor deze problemen moeten ook intersectioneel worden ontworpen, omdat ze vaak verschillende zones van effectiviteit hebben. Marktinterventies, bijvoorbeeld, kunnen de marktdynamiek veranderen zodat het economisch onaantrekkelijk wordt om de privacyvoorkeuren van gebruikers te schenden, maar ze kunnen er niet voor zorgen dat schendingen gemakkelijker op te sporen zijn of dat gebruikers niet akkoord gaan met bedrieglijke voorwaarden. Om het ideaal van informationele zelfbeschikking in de praktijk te realiseren, moeten gebruikers worden geholpen bij het uitoefenen van die controle, met name door het ontwerp en de ontwikkeling van gebruikersgerichte privacyinstrumenten waarvan het ontwerp intersectioneel en holistisch is en waarin inzichten uit de juridische en economische literatuur samen met technische literatuur zijn verwerkt.
Privacy Tools maken al enige tijd deel uit van de academische literatuur en de praktijk over privacy en worden ook wel privacy assistenten, privacy wizards, web privacy beschermingstechnieken, gegevensbescherming en toestemmende communicatiemechanismen genoemd, enzovoort. Veel van het onderzoek over dit onderwerp blijft echter verspreid over verschillende disciplines en mist een intersectioneel kader, en de Tools zelf kwijnen weg zonder te worden toegepast. Ik richt me daarom extra op het gebruik van ontwerpwetenschap om bruikbare ontwerpkennis en -principes te genereren die disciplineoverschrijdend gebruikt kunnen worden door academici, juristen, regelgevers en ontwikkelaars bij het samenwerken en ontwerpen van interventies die gebruikers helpen controle te krijgen over hun persoonlijke gegevens.
In hoofdstuk 2 onderzoek ik de regelgeving op het gebied van gegevensbescherming en consumentenrecht die van toepassing is op cookiegegevens in Nederland om overeenkomsten te identificeren in wat ze van betrokkenen en consumenten eisen. Dit hoofdstuk laat zien hoe de cookiebanner functioneert als een 'digitaal bemiddelde standaardovereenkomst', een type digitale overeenkomst dat mogelijkheden biedt om typische standaardovereenkomsten te verbeteren, omdat ze dezelfde voordelen kunnen bieden aan de opstellende partij als standaardovereenkomsten, maar toch zo ontworpen kunnen worden dat ze meer keuzemogelijkheden bieden aan de niet-opstellende partij. De implementatie ervan vereist echter zorgvuldigheid, omdat ze nog steeds een aanzienlijke inspanning van gebruikers vergen om ze effectief te beheren. Daarom gebruik ik deze analyse ook als leidraad voor een op doelmodellering gebaseerd requirements engineering proces, waarbij ik een typologie van controletaken creëer die gebruikers kunnen kiezen om uit te voeren om wettelijke controle over hun persoonlijke gegevens uit te oefenen. Deze typologie laat zien hoe het uitoefenen van controle over hun persoonlijke gegevens vereist dat gebruikers drie categorieën taken uitvoeren, namelijk onderhandelen, controleren en betwisten/beëindigen, met betrekking tot elke cookiebanner die ze tegenkomen. Elk van deze taken vraagt waarschijnlijk een aanzienlijke inspanning van de gebruiker.
In hoofdstuk 3 neem ik deze typologie als basis en identificeer ik de belemmeringen die gebruikers ondervinden bij het uitvoeren van deze taken in de praktijk. Op basis van theorie uit de rechts- en economische wetenschappen en literatuur over digitaal bemiddelde standaardovereenkomsten in het algemeen en cookiebanners in het bijzonder, identificeer ik 15 transactiekosten en gedragsvooroordelen die gebruikers ervan weerhouden om de controletaken effectief uit te voeren. In deze analyse bevestig ik dat de privacyliteratuur zich meer richt op de Barriers to Negotiation- taken die gebruikers moeten uitvoeren, maar minder op de Barriers to Monitoring en Dispute/Terminate taken die ook cruciaal zijn om aan te pakken. Deze specificatie van Barrières stelt me ook in staat om 14 Doelstellingen en ontwerpprincipes af te leiden die de ontwikkeling van Privacy Tools kunnen leiden, en om de stand van de techniek te evalueren om te zien hoeveel van deze Doelstellingen al zijn bestudeerd en geïmplementeerd.
In hoofdstuk 4 bekijk ik de meest recente Privacy Tools die beschikbaar zijn op het gebied van cookie-toestemmingsbeheer om vast te stellen in hoeverre ze al voldoen aan de eisen van deze Doelstellingen en ontwerpprincipes. Gezien het ontbreken van een intersectioneel raamwerk om deze analyse mogelijk te maken, maak ik eerst een taxonomie van privacyverbeterende functionaliteiten die worden aangeboden door privacytools voor cookie-toestemmingsbeheer. De taxonomie is een interdisciplinair raamwerk dat helpt bij het begrijpen van en communiceren over de problemen waarmee gebruikers te maken hebben (d.w.z. de barrières) in de context van beschikbare oplossingen, en begrijpen wat er van hen wordt verlangd dat momenteel ontbreekt. Mijn analyse laat zien dat er momenteel een gat zit in het onderzoek naar en de ontwikkeling van Privacy Tools die uitgebreide hulp bieden bij de controletaken, vooral Tools die Monitoring of Dispute/Terminate functionaliteiten bieden, en vooral intersectionele Tools die een brug slaan tussen wettelijke rechten en technische toegang.
Tot slot ontwerp en evalueer ik in hoofdstuk 5 twee proefversies van een privacyhulpmiddel dat een van de functionaliteiten implementeert die in het vorige hoofdstuk als hiaat zijn geïdentificeerd, en evalueer ik empirisch de invloed ervan op de beoordeling van privacyrisico's door gebruikers. Specifiek kies ik voor het ontwerpen en testen van een mock-up voor een Remote
Audit of Enforcement tool die gebruik maakt van TrustMarks en leent van het ontwerp van beveiligingswaarschuwingen op websites om gebruikers te waarschuwen wanneer ze websites bezoeken die mogelijk niet voldoen aan de GDPR. Mijn onderzoek toont aan dat een van de twee prototypes die ik test, gebruikmakend van empirische modellen gebaseerd op de Communication Privacy Management theorie, een significante impact heeft op de beoordeling van privacyrisico's door gebruikers, wat suggereert dat het verder onderzocht moet worden. Dit hoofdstuk laat daarom ook zien hoe de taxonomie van privacyverbeterende functionaliteiten kan worden gebruikt in samenwerking met bestaand privacyonderzoek om de ontwikkeling van nieuwe privacytools te begeleiden en valideert het algehele model dat in dit proefschrift wordt voorgesteld. Tot slot toont dit hoofdstuk samen met de andere ook het potentieel van de design science methodologie voor techno-juridische literatuur.
-
Digitale diensten zijn een integraal onderdeel geworden van ons dagelijks leven als moderne consumenten. Deze diensten bieden veel gemak en nut, maar we gaan vaak akkoord met hun algemene voorwaarden of servicevoorwaarden zonder volledig te begrijpen wat ze betekenen voor onder andere onze privacy. Cookiebanners, waarmee elke internetgebruiker in de Europese Unie inmiddels waarschijnlijk bekend is, zijn een typisch voorbeeld van deze kwestie. Deze cookiebanners zijn technisch-juridische objecten, softwareprogramma's die zijn ontworpen en functioneren volgens de servicevoorwaarden van de uitgever en die door de wet worden gereguleerd. Hoewel deze banners bedoeld zijn om gebruikers te helpen de privacy van hun surfgegevens te waarborgen, blijkt uit onderzoek dat ze dat niet effectief doen.
En waarom is dat zo? Privacy is een concept met vele facetten en is het onderwerp geweest van uitgebreid onderzoek in vele disciplines, die zich op verschillende manieren met deze vraag bezighouden en verschillende antwoorden geven. Een groot deel van de literatuur, zelfs over de disciplines heen, is het erover eens dat de traditionele benadering van kennisgeving en toestemming niet werkt. Van gebruikers kan niet worden verwacht dat ze alle privacyverklaringen, die vol staan met juridisch jargon, die ze regelmatig onder ogen krijgen, lezen en er met kennis van zaken toestemming voor geven. Veel van de traditionele literatuur is echter gericht op het verkrijgen van theoretische inzichten binnen discipline-centrische perspectieven. Het richt zich ook vaak op de selectie en communicatie van cookievoorkeuren, met uitsluiting van andere praktische aspecten van het beheer van onze persoonlijke gegevens, zoals het controleren op schendingen en het afdwingen van onze voorkeuren.
In dit proefschrift sluit ik me aan bij deze academische en regelgevende discussie vanuit het perspectief dat privacy een inherent intersectioneel probleem is en daarom bestudeerd moet worden vanuit een interdisciplinair, gebruikersgericht perspectief. Oplossingen voor deze problemen moeten ook intersectioneel worden ontworpen, omdat ze vaak verschillende zones van effectiviteit hebben. Marktinterventies, bijvoorbeeld, kunnen de marktdynamiek veranderen zodat het economisch onaantrekkelijk wordt om de privacyvoorkeuren van gebruikers te schenden, maar ze kunnen er niet voor zorgen dat schendingen gemakkelijker op te sporen zijn of dat gebruikers niet akkoord gaan met bedrieglijke voorwaarden. Om het ideaal van informationele zelfbeschikking in de praktijk te realiseren, moeten gebruikers worden geholpen bij het uitoefenen van die controle, met name door het ontwerp en de ontwikkeling van gebruikersgerichte privacyinstrumenten waarvan het ontwerp intersectioneel en holistisch is en waarin inzichten uit de juridische en economische literatuur samen met technische literatuur zijn verwerkt.
Privacy Tools maken al enige tijd deel uit van de academische literatuur en de praktijk over privacy en worden ook wel privacy assistenten, privacy wizards, web privacy beschermingstechnieken, gegevensbescherming en toestemmende communicatiemechanismen genoemd, enzovoort. Veel van het onderzoek over dit onderwerp blijft echter verspreid over verschillende disciplines en mist een intersectioneel kader, en de Tools zelf kwijnen weg zonder te worden toegepast. Ik richt me daarom extra op het gebruik van ontwerpwetenschap om bruikbare ontwerpkennis en -principes te genereren die disciplineoverschrijdend gebruikt kunnen worden door academici, juristen, regelgevers en ontwikkelaars bij het samenwerken en ontwerpen van interventies die gebruikers helpen controle te krijgen over hun persoonlijke gegevens.
In hoofdstuk 2 onderzoek ik de regelgeving op het gebied van gegevensbescherming en consumentenrecht die van toepassing is op cookiegegevens in Nederland om overeenkomsten te identificeren in wat ze van betrokkenen en consumenten eisen. Dit hoofdstuk laat zien hoe de cookiebanner functioneert als een 'digitaal bemiddelde standaardovereenkomst', een type digitale overeenkomst dat mogelijkheden biedt om typische standaardovereenkomsten te verbeteren, omdat ze dezelfde voordelen kunnen bieden aan de opstellende partij als standaardovereenkomsten, maar toch zo ontworpen kunnen worden dat ze meer keuzemogelijkheden bieden aan de niet-opstellende partij. De implementatie ervan vereist echter zorgvuldigheid, omdat ze nog steeds een aanzienlijke inspanning van gebruikers vergen om ze effectief te beheren. Daarom gebruik ik deze analyse ook als leidraad voor een op doelmodellering gebaseerd requirements engineering proces, waarbij ik een typologie van controletaken creëer die gebruikers kunnen kiezen om uit te voeren om wettelijke controle over hun persoonlijke gegevens uit te oefenen. Deze typologie laat zien hoe het uitoefenen van controle over hun persoonlijke gegevens vereist dat gebruikers drie categorieën taken uitvoeren, namelijk onderhandelen, controleren en betwisten/beëindigen, met betrekking tot elke cookiebanner die ze tegenkomen. Elk van deze taken vraagt waarschijnlijk een aanzienlijke inspanning van de gebruiker.
In hoofdstuk 3 neem ik deze typologie als basis en identificeer ik de belemmeringen die gebruikers ondervinden bij het uitvoeren van deze taken in de praktijk. Op basis van theorie uit de rechts- en economische wetenschappen en literatuur over digitaal bemiddelde standaardovereenkomsten in het algemeen en cookiebanners in het bijzonder, identificeer ik 15 transactiekosten en gedragsvooroordelen die gebruikers ervan weerhouden om de controletaken effectief uit te voeren. In deze analyse bevestig ik dat de privacyliteratuur zich meer richt op de Barriers to Negotiation- taken die gebruikers moeten uitvoeren, maar minder op de Barriers to Monitoring en Dispute/Terminate taken die ook cruciaal zijn om aan te pakken. Deze specificatie van Barrières stelt me ook in staat om 14 Doelstellingen en ontwerpprincipes af te leiden die de ontwikkeling van Privacy Tools kunnen leiden, en om de stand van de techniek te evalueren om te zien hoeveel van deze Doelstellingen al zijn bestudeerd en geïmplementeerd.
In hoofdstuk 4 bekijk ik de meest recente Privacy Tools die beschikbaar zijn op het gebied van cookie-toestemmingsbeheer om vast te stellen in hoeverre ze al voldoen aan de eisen van deze Doelstellingen en ontwerpprincipes. Gezien het ontbreken van een intersectioneel raamwerk om deze analyse mogelijk te maken, maak ik eerst een taxonomie van privacyverbeterende functionaliteiten die worden aangeboden door privacytools voor cookie-toestemmingsbeheer. De taxonomie is een interdisciplinair raamwerk dat helpt bij het begrijpen van en communiceren over de problemen waarmee gebruikers te maken hebben (d.w.z. de barrières) in de context van beschikbare oplossingen, en begrijpen wat er van hen wordt verlangd dat momenteel ontbreekt. Mijn analyse laat zien dat er momenteel een gat zit in het onderzoek naar en de ontwikkeling van Privacy Tools die uitgebreide hulp bieden bij de controletaken, vooral Tools die Monitoring of Dispute/Terminate functionaliteiten bieden, en vooral intersectionele Tools die een brug slaan tussen wettelijke rechten en technische toegang.
Tot slot ontwerp en evalueer ik in hoofdstuk 5 twee proefversies van een privacyhulpmiddel dat een van de functionaliteiten implementeert die in het vorige hoofdstuk als hiaat zijn geïdentificeerd, en evalueer ik empirisch de invloed ervan op de beoordeling van privacyrisico's door gebruikers. Specifiek kies ik voor het ontwerpen en testen van een mock-up voor een Remote
Audit of Enforcement tool die gebruik maakt van TrustMarks en leent van het ontwerp van beveiligingswaarschuwingen op websites om gebruikers te waarschuwen wanneer ze websites bezoeken die mogelijk niet voldoen aan de GDPR. Mijn onderzoek toont aan dat een van de twee prototypes die ik test, gebruikmakend van empirische modellen gebaseerd op de Communication Privacy Management theorie, een significante impact heeft op de beoordeling van privacyrisico's door gebruikers, wat suggereert dat het verder onderzocht moet worden. Dit hoofdstuk laat daarom ook zien hoe de taxonomie van privacyverbeterende functionaliteiten kan worden gebruikt in samenwerking met bestaand privacyonderzoek om de ontwikkeling van nieuwe privacytools te begeleiden en valideert het algehele model dat in dit proefschrift wordt voorgesteld. Tot slot toont dit hoofdstuk samen met de andere ook het potentieel van de design science methodologie voor techno-juridische literatuur.
| Original language | English |
|---|---|
| Qualification | Doctor of Philosophy |
| Awarding Institution |
|
| Supervisors/Advisors |
|
| Award date | 31 May 2024 |
| Place of Publication | Tilburg |
| Publisher | |
| Print ISBNs | 978 90 5668 740 3 |
| DOIs | |
| Publication status | Published - 2024 |