UX Privasi: Kerangka Desain Sadar Privasi

Diterbitkan: 2022-03-10
Ringkasan cepat Seri artikel ini adalah tentang pola desain yang berhubungan dengan privasi. Kami akan mengeksplorasi beberapa cara terhormat untuk mendekati privasi dan pengumpulan data, dan bagaimana menangani permintaan izin cookie yang terkenal, pemberitahuan push yang mengganggu, permintaan izin yang luar biasa, pelacakan pihak ketiga yang berbahaya, dan pengalaman offboarding.
  • Bagian 1: Kekhawatiran Privasi Dan Privasi Dalam Formulir Web
  • Bagian 2: Pengalaman Persetujuan Cookie yang Lebih Baik
  • Bagian 3: Notifikasi Lebih Baik UX Dan Permintaan Izin
  • Bagian 4: Kerangka Desain Sadar Privasi

Kami telah menjelajahi pendekatan untuk permintaan izin cookie, permintaan izin, dan UX notifikasi yang lebih baik, tetapi bagaimana mereka cocok dengan strategi desain keseluruhan saat kami membuat keputusan desain di alat desain kami?

Dalam artikelnya “Apa arti GDPR untuk UX?”, Claire Barrett, seorang desainer UX dan UI di Mubaloo di Bristol, Inggris, telah membagikan seperangkat pedoman UX yang sangat praktis dan dapat ditindaklanjuti yang telah diikuti oleh agensi desain sehubungan dengan GDPR . Meskipun pedoman ini secara khusus menargetkan GDPR, pedoman ini berlaku untuk lingkup yang lebih luas dari interaksi ramah pengguna dan sadar privasi, dan oleh karena itu dapat berlaku untuk semua jenis proyek :

  1. Pengguna harus secara aktif memilih agar data mereka dikumpulkan dan digunakan.
  2. Pengguna harus memberikan persetujuan untuk setiap jenis aktivitas pemrosesan data.
  3. Pengguna harus memiliki hak untuk dengan mudah menarik persetujuan mereka kapan saja.
  4. Pengguna harus dapat memeriksa setiap organisasi dan semua pihak ketiga yang akan menangani data.
  5. Persetujuan tidak sama dengan menyetujui syarat dan ketentuan, jadi keduanya tidak boleh digabungkan; mereka terpisah, dan harus memiliki bentuk yang terpisah.
  6. Meskipun meminta persetujuan pada waktu yang tepat adalah baik, akan lebih baik lagi jika Anda menjelaskan dengan jelas mengapa persetujuan akan bermanfaat bagi pengalaman mereka .
Lebih banyak setelah melompat! Lanjutkan membaca di bawah ini

Salah satu hal menarik yang direkomendasikan Claire dalam artikelnya adalah fokus pada pengumpulan data “tepat waktu” (disebutkan di bagian 3 seri ini); yaitu, jelaskan mengapa data diperlukan, dan bagaimana data itu akan dan tidak akan digunakan — tetapi hanya jika aplikasi atau situs web benar-benar membutuhkannya. Jelas, ini dapat dilakukan dengan menyertakan ikon "info" di sebelah bagian informasi yang lebih pribadi yang dikumpulkan, dan menunjukkan tooltip dengan manfaat dan alasan di balik pengumpulan data berdasarkan permintaan.

Penjelasan 'tepat waktu'
Penjelasan 'tepat waktu' dengan tooltip info dalam formulir. (Sumber gambar: Claire Barrett) (Pratinjau besar)

Banyak aplikasi seluler memerlukan akses ke lokasi, foto, dan bahkan kamera selama penginstalan, yang bukan merupakan sesuatu yang sebagian besar pelanggan akan dengan senang hati menyetujuinya. Cara yang lebih efektif untuk mendapatkan izin adalah dengan menjelaskan perlunya data pada titik pengumpulan dengan menggunakan perintah "tepat waktu", sehingga pengguna dapat memberikan persetujuan hanya jika mereka memahami tujuannya, seperti yang telah kami lakukan terlihat dengan izin sebelumnya dalam seri ini.

Perintah 'tepat waktu'
Perintah 'Just-in-time', meminta akses ke lokasi hanya jika benar-benar diperlukan. (Sumber gambar: Claire Barrett) (Pratinjau besar)

Penjelasan juga harus memberi tahu pelanggan cara menarik persetujuan jika berlaku, dan memberikan tautan ke kebijakan privasi. Ini telah menjadi masalah keluhan yang berkelanjutan selama bertahun-tahun, karena kebijakan privasi yang panjang yang ditulis dalam bahasa hukum yang sangat tidak jelas hampir tidak mungkin untuk dipahami tanpa sesi tinjauan khusus. (Faktanya, sebuah studi tahun 2008 menunjukkan bahwa rata-rata orang membutuhkan sekitar 244 jam per tahun untuk membaca semua kebijakan privasi untuk situs yang mereka gunakan, yang berarti sekitar 40 menit per hari .)

Alih-alih menampilkan kebijakan privasi sebagai dinding teks yang berbelit-belit, kebijakan itu dapat dipotong dan dikelompokkan ke dalam bagian yang diberi label dengan jelas dan teks yang dapat diperluas, dioptimalkan untuk pemindaian, penempatan, dan pemahaman.

Tindakan kebijakan terpisah
Tindakan kebijakan terpisah, disajikan sebagai akordeon. Dioptimalkan untuk pemindaian dan pemahaman yang mudah. (Sumber gambar: Claire Barrett) (Pratinjau besar)

Setelah persetujuan diberikan, pelanggan harus memiliki kendali penuh atas data mereka; yaitu, kemampuan untuk menelusuri, mengubah, dan menghapus data apa pun yang disimpan aplikasi kami. Itu berarti pengaturan data di aplikasi seluler kami perlu memberikan opsi terperinci untuk mencabut persetujuan, dan memilih keluar dari preferensi pemasaran, serta opsi untuk mengunduh dan menghapus data apa pun tanpa berkeliaran di sekitar labirin yang berbelit-belit dari bagian bantuan dan panel pengaturan yang ambigu.

menu 'pengaturan data'
Pelanggan harus memiliki kendali penuh atas data mereka, jadi menu 'pengaturan data' kami harus menyediakan opsi terperinci untuk mencabut persetujuan, menyisih dari preferensi, dan mengunduh/atau menghapus semua data. (Sumber gambar: Claire Barrett) (Pratinjau besar)

Masalah utama dengan keputusan desain yang sadar privasi adalah sulitnya menilai dampak pengumpulan data dan semua tantangan antarmuka yang ditimbulkannya pada desain dan pengembangan. Menjadi rendah hati dan halus bukan hanya soal rasa hormat, tetapi juga tentang mengurangi utang teknis dan menghindari pertempuran hukum di kemudian hari. Untuk itu, panduan umum berikut juga dapat membantu.

Simpan Data Sesedikit Mungkin

Jika Anda memilih untuk menyimpan data kartu kredit, Anda harus terbuka tentang langkah-langkah keamanan yang Anda ambil untuk menyimpannya secara rahasia. Semakin sedikit data yang Anda perlukan dan simpan, semakin sedikit dampak yang akan ditimbulkan oleh potensi pelanggaran.

Perlakukan Data Pribadi dengan Baik

Tidak semua data dibuat sama. Ketika pengguna memberikan informasi pribadi, bedakan antara strata data yang berbeda, karena informasi pribadi mungkin lebih sensitif daripada informasi publik. Perlakukan data pribadi dengan baik, dan jangan pernah mempublikasikannya secara default. Misalnya, saat pengguna melengkapi profilnya, berikan opsi untuk meninjau semua masukan sebelum memublikasikannya. Bersikaplah rendah hati, dan selalu minta izin terlebih dahulu ; secara proaktif melindungi pengguna dan tidak menyimpan data sensitif. Itu mungkin membantu mencegah situasi tidak nyaman di telepon.

Ini tidak hanya berlaku untuk prosedur penyimpanan dan penerbitan data pengguna di server Anda, tetapi juga dalam hal pemulihan kata sandi atau penggunaan data pelanggan untuk segala jenis kemitraan afiliasi. Faktanya, menyerahkan email pelanggan kepada orang lain tanpa persetujuan eksplisit adalah pelanggaran kepercayaan dan privasi, dan sering kali menyebabkan email ditandai sebagai spam karena pelanggan tiba-tiba dihadapkan dengan merek asing yang tidak mereka percayai. Faktanya, yang terakhir hampir seperti mekanisme pertahanan terhadap situs web rakus yang terus-menerus mengumpulkan email dengan imbalan barang gratis, akses ke video, dan penawaran freemium.

Jelaskan Sejak Awal Jenis Data Pengguna Yang Akan Diterima Pihak Ketiga

Saat memberikan opsi untuk masuk sosial, jelaskan secara spesifik tentang apa yang akan terjadi pada data pengguna dan izin apa yang akan dimiliki pihak ketiga. Biasanya catatan halus muncul saat login sosial diminta, tetapi sebaiknya langsung jelaskan secara eksplisit tentang bagaimana data akan diperlakukan, dan khususnya apa yang tidak akan terjadi pada data pengguna.

Adalah umum untuk melihat interaksi pengguna terhenti setelah pelanggan dipaksa untuk menghubungkan akun baru mereka dengan yang sudah ada, atau ketika mereka didorong untuk menggunakan profil sosial mereka untuk membuat kemajuan dengan aplikasi. Itu tidak pernah merupakan langkah mudah untuk diambil, dan memerlukan beberapa penjelasan dan jaminan bahwa mencabut akses itu mudah.

Siapkan Data Pelanggan Untuk Ekspor

Bukan hal sepele untuk mendapatkan gambaran lengkap dari data yang terkumpul, apalagi jika melibatkan pihak ketiga. Pastikan bahwa setiap kali data pribadi dikumpulkan, itu terstruktur dengan cara yang dioptimalkan untuk ekspor dan penghapusan nanti. Poin bonus jika itu juga dapat dicerna oleh pengguna akhir, sehingga mereka dapat menemukan potongan-potongan yang mereka butuhkan setelah mereka tertarik pada sesuatu yang sangat spesifik. Itu juga berarti melacak jenis data apa yang dikumpulkan dan ke mana aliran data, karena kami dapat menggunakan struktur ini nanti untuk memberikan kontrol terperinci atas pengaturan data dan preferensi privasi di UI kami.

Anda mungkin pernah mendengar tentang beberapa perusahaan ramah yang membuat pengimporan data pribadi menjadi sangat mulus, namun mengekspor data pengguna sangat sulit, atau hampir tidak mungkin. Tidak mengherankan, praktik ini tidak diterima dengan baik oleh pelanggan; dan terutama pada saat mereka berpikir untuk menghapus akun mereka, penguncian yang meluas seperti itu akan menyebabkan keluhan dukungan pelanggan, panggilan pusat panggilan, dan ledakan kemarahan di saluran sosial. Itu bukan fitur menyenangkan yang akan membuat mereka tetap setia dalam jangka panjang.

Sementara beberapa perusahaan dapat menyalahkan publik karena ukurannya yang besar, bagi banyak perusahaan kecil dan menengah, reputasi adalah aset paling berharga yang mereka miliki , jadi sebaiknya jangan bertaruh dengannya. Anda bahkan dapat berpikir untuk bermitra dengan layanan serupa dan membuat data pengguna mudah dibawa-bawa dan dapat ditransfer ke masing-masing layanan, sambil mengharapkan fitur yang sama juga didukung oleh mitra.

Membuatnya Sulit Menutup Atau Menghapus Akun Gagal Dalam Jangka Panjang

Perusahaan raksasa telah unggul dalam mempersulit pelanggan untuk menutup atau menghapus akun mereka. Dan teknik ini bekerja ketika bergerak menjauh sangat sulit — itulah yang terjadi pada Amazon dan Facebook.

Namun, jika Anda mengerjakan situs web yang relatif kecil yang berusaha untuk mendapatkan pelanggan setianya, Anda mungkin tidak dapat melakukannya dengan sukses, setidaknya tidak dalam jangka panjang. Dampak keseluruhannya bahkan lebih berbahaya jika Anda mempersulit pembatalan pembayaran berulang, seperti yang sering terjadi pada langganan. (Faktanya, itulah mengapa langganan juga sulit untuk dijual — bukan hanya komitmen terhadap pembayaran bulanan, melainkan kesulitan membatalkan langganan di lain waktu tanpa biaya tambahan karena pembatalan awal.)

Faktanya, sama seperti desainer yang semakin pandai menyembunyikan pengaturan profil terkenal untuk menghapus akun, demikian juga pelanggan dalam menemukan cara untuk menavigasi melalui labirin , sering kali didukung oleh kebijaksanaan tak terbatas dari tutorial yang mudah ditemukan di blog. Jika tidak demikian, pelanggan menggunakan alat yang mereka tahu bekerja paling baik: menolak layanan yang tidak menunjukkan rasa hormat terhadap niat mereka — biasanya dengan menandai email sebagai spam, memblokir pemberitahuan, dan mengurangi penggunaan layanan. Itu tidak terjadi dalam semalam; tetapi perlahan dan bertahap, dan seperti yang ditunjukkan oleh wawancara, pelanggan ini dijamin tidak akan merekomendasikan layanan tersebut kepada teman atau kolega mereka.

Anehnya, sebaliknya ketika sangat mudah untuk menutup akun. Sama seperti notifikasi, mungkin ada alasan bagus mengapa pengguna memilih untuk pindah, dan seringkali itu tidak ada hubungannya dengan kualitas layanan sama sekali. Mencoba meyakinkan pelanggan untuk tetap tinggal, dengan gambaran rinci tentang semua manfaat luar biasa yang Anda berikan, mungkin mencapai target yang salah: terutama dalam pengaturan perusahaan, keputusan sudah dibuat, jadi orang yang menutup akun benar-benar bisa' t berbuat banyak tentang mengubah arah.

contoh pembatalan akun dan penghentian langganan di majalah smashing
Dengan Smashing Membership, kami mencoba menjelaskan apa yang terjadi pada data dengan cara yang jelas, dan memberikan opsi untuk membiarkan Anggota mengekspor data mereka tanpa trik tersembunyi. (Pratinjau besar)

Untuk Keanggotaan Smashing, kami telah mencoba untuk menjaga suara tetap hormat dan rendah hati, sementara juga menunjukkan sedikit kepribadian kami selama offboarding. Kami menjelaskan apa yang terjadi pada data dan kapan akan dihapus secara permanen (tujuh hari), memberikan opsi untuk memulihkan paket, mengizinkan pelanggan mengekspor pesanan mereka, dan menjamin tidak ada pembagian data dengan pihak ketiga. Mengejutkan melihat bahwa sejumlah besar orang yang membatalkan langganan Keanggotaan mereka, akhirnya merekomendasikannya kepada teman dan kolega mereka, karena mereka merasa ada beberapa nilai di dalamnya meskipun mereka tidak menggunakannya untuk diri mereka sendiri.

Tunda Mengimpor Kontak Hingga Pengguna Merasa Nyaman Dengan Layanan

Tentu saja, banyak dari aplikasi kami tidak terlalu berguna tanpa mengintegrasikan lingkaran sosial pengguna, jadi tampaknya masuk akal untuk meminta pelanggan mengundang teman mereka agar tidak merasa kesepian atau ditinggalkan sejak dini. Namun, sebelum melakukannya, pikirkan cara untuk mendorong pelanggan menggunakan layanan untuk sementara waktu dan menunda mengimpor kontak hingga pengguna lebih cenderung untuk melakukannya. Secara default, banyak pelanggan akan memblokir permintaan awal karena mereka belum mengembangkan kepercayaan untuk aplikasi tersebut.

Simpan Data Pengguna Untuk Waktu Terbatas Setelah Penutupan Akun

Kesalahan terjadi, dan itu berlaku untuk kesalahan ketukan yang tidak disengaja seperti halnya menghapus semua data pribadi setelah hari yang sangat buruk. Jadi, sementara kami perlu memberikan opsi untuk mengunduh dan menghapus data, kami juga menyediakan opsi untuk memulihkan akun dalam waktu singkat. Itu berarti bahwa data akan disimpan setelah akun dihapus, tetapi akan dihapus secara permanen setelah masa tenggang berlalu. Biasanya, 7–14 hari sudah lebih dari cukup.

Namun, Anda juga dapat memberikan opsi kepada pengguna untuk meminta penghapusan data segera melalui permintaan email, atau bahkan dengan mengklik tombol. Haruskah pengguna diberitahu tentang penghapusan file mereka? Mungkin. Keputusan akhir mungkin akan bergantung pada seberapa sensitif data tersebut: semakin sensitif data tersebut, semakin besar kemungkinan pengguna ingin mengetahui bahwa data tersebut hilang untuk selamanya. Pengecualian adalah data anonim: sebagian besar waktu, pelanggan tidak akan peduli sama sekali.

Berikan Ringkasan yang Ramah Pengguna Tentang Perubahan Kebijakan Privasi

Tidak ada yang diatur, sehingga kebijakan privasi dan pengaturan privasi default Anda mungkin perlu disesuaikan karena fitur personalisasi baru atau perubahan skrip pelacakan. Kapan pun ini terjadi, alih-alih menyoroti pentingnya privasi dalam teks yang panjang, berikan ringkasan perubahan yang jelas dan ramah pengguna. Anda dapat menyusun ringkasan dengan menyoroti bagaimana hal-hal dulu dan bagaimana mereka berbeda sekarang. Jangan lupa untuk menerjemahkan bahasa legal menjadi sesuatu yang lebih dapat dibaca manusia, menjelaskan apa arti perubahan sebenarnya bagi pengguna.

Terus terang, sebagian besar pengguna tampaknya tidak terlalu peduli dengan perubahan kebijakan privasi. Setelah aliran pemberitahuan pembaruan kebijakan yang tidak pernah berakhir pada tahun 2018, reaksi default biasanya adalah persetujuan langsung. Begitu mereka melihat sesuatu yang terkait dengan kebijakan privasi di baris subjek atau badan email, mereka segera menerima perubahan bahkan sebelum menggulir ke bagian bawah email. Namun, semakin pribadi data yang disimpan, semakin banyak waktu yang dihabiskan untuk meninjau perubahan, yang seringkali sangat membingungkan dan tidak jelas.

kebijakan privasi medium.com
Mikrokopi selalu menjadi inti dari Medium.com. Kebijakan privasi yang dirancang dengan baik dan terstruktur dengan baik dengan ringkasan yang jelas tentang perubahan kebijakan privasi. (Sumber gambar: Email Design BeeFree) (Pratinjau besar)
kebijakan privasi mailchimp
MailChimp, dengan ringkasan singkat tentang perubahan kebijakan privasinya. (Pratinjau besar)

Catatan : Orang-orang di Really Good Emails telah mengumpulkan beberapa contoh bagus desain email yang terkait dengan GDPR jika Anda mencari lebih banyak inspirasi tentang cara membagikan perubahan kebijakan privasi dengan pengguna dan pelanggan Anda.

Siapkan Strategi Komunikasi Jika Terjadi Pelanggaran

Tidak ada yang menginginkan malapetaka setelah data pengguna dikompromikan. Dalam situasi seperti itu, sangat penting untuk memiliki strategi komunikasi yang jelas dan kuat. Siapkan penjelasan jika ada beberapa data pengguna yang disusupi. Mandy Brown menerbitkan artikel fantastis, "Latihan Kebakaran: Strategi Komunikasi dalam Krisis", di A List Apart, menjelaskan cara menyiapkannya, dan beberapa hal yang perlu dipertimbangkan saat melakukannya.

Privasi Berdasarkan Desain

Mungkin terdengar seperti mengunjungi situs web adalah aktivitas yang cukup biasa, dan pengguna harus merasa nyaman dan terbiasa dengan fitur-fitur seperti login sosial, mengimpor kontak, dan permintaan cookie. Seperti yang telah kita lihat dalam seri ini, ada banyak pertimbangan privasi non-sepele, dan lebih sering daripada tidak, pelanggan memiliki kekhawatiran, keraguan, dan kekhawatiran tentang berbagi data pribadi mereka.

Tentu saja, cakupan seri ini dapat diperluas lebih jauh, dan kami bahkan belum melihat pemulihan kata sandi, desain pengaturan privasi dalam aplikasi, jendela dan pop-up obrolan mengambang, pertimbangan kinerja dan aksesibilitas, atau merancang pengalaman privasi untuk pengguna yang paling rentan — anak-anak, orang tua, dan mereka yang kurang beruntung. Namun, titik kritis saat membuat keputusan desain seputar privasi selalu sama: kita perlu menemukan keseimbangan antara persyaratan bisnis yang ketat dan desain yang terhormat yang membantu pengguna mengontrol data mereka dan melacaknya, alih-alih mengumpulkan semua informasi yang kami dapat dan mengunci pelanggan ke dalam layanan kami.

Peta jalan yang baik untuk menemukan keseimbangan itu adalah dengan mengadopsi kerangka kerja praktik terbaik yang mengutamakan privasi, yang dikenal sebagai Privacy by Design (PbD). Muncul di Kanada pada 1990-an, ini tentang mengantisipasi, mengelola, dan mencegah masalah privasi sebelum satu baris kode ditulis. Dengan diberlakukannya kebijakan perlindungan data UE, privasi berdasarkan desain dan perlindungan data telah menjadi default di semua penggunaan dan aplikasi. Dan itu berarti banyak prinsipnya dapat diterapkan untuk memastikan kepatuhan GDPR dan UX privasi yang lebih baik dari situs web atau aplikasi Anda.

Intinya, kerangka kerja mengharapkan privasi menjadi pengaturan default, dan tindakan proaktif (bukan reaktif ) yang akan disematkan ke dalam desain pada tahap awal dan sepanjang siklus hidup produk. Ini mendorong penawaran opsi privasi terperinci kepada pengguna, default privasi yang terhormat, pemberitahuan informasi privasi terperinci, opsi ramah pengguna, dan pemberitahuan perubahan yang jelas. Dengan demikian, ini bekerja dengan baik dengan pedoman yang telah kami uraikan dalam seri ini.

Saya sangat merekomendasikan membaca salah satu artikel Heather Burns, “Cara Melindungi Pengguna Anda Dengan Privasi Berdasarkan Kerangka Desain,” di mana ia memberikan panduan terperinci untuk menerapkan kerangka kerja Privasi menurut Desain dalam layanan digital.

Di mana untuk memulai, lalu? Perubahan besar dimulai dari langkah kecil. Sertakan privasi dalam penelitian dan ide awal selama tahap desain, dan putuskan default, pengaturan privasi, dan titik kontak sensitif, mulai dari mengisi formulir web hingga orientasi dan offboarding. Minimalkan jumlah data yang dikumpulkan jika memungkinkan , dan lacak data apa yang mungkin dikumpulkan oleh pihak ketiga. Jika Anda dapat menganonimkan data pribadi, itu juga bonus.

Setiap kali pengguna mengirimkan informasi pribadi mereka, pantau bagaimana pertanyaan dibingkai dan bagaimana data dikumpulkan. Tampilkan pemberitahuan dan permintaan izin tepat pada waktunya, ketika Anda hampir yakin bahwa pelanggan akan menerimanya. Dan pada akhirnya, beri tahu pengguna dalam ringkasan yang mudah dipahami tentang perubahan kebijakan privasi, dan permudah untuk mengekspor dan menghapus data, atau menutup akun.

Dan yang paling penting: lain kali Anda berpikir untuk menambahkan kotak centang saja, atau menyediakan opsi biner, pikirkan tentang dunia kabur dan non-biner yang indah yang kita tinggali. Seringkali ada lebih dari dua opsi yang tersedia, jadi selalu berikan jalan keluar, tidak peduli seberapa jelas pilihan mungkin muncul. Pelanggan Anda akan menghargainya.