How the cookie crumbles: Een onderzoek naar de motivatie van websitebezoekers voor de keuze bij een cookiemelding, gebaseerd op de Protectie Motivatie Theorie.
Master’s Thesis - Graduate School of Communication
Master’s programme Communication Science - Persuasive Communication Renée Meijer - 10747982
Afstudeerbegeleider: Guda van Noort 1 februari 2019
ABSTRACT
Met behulp van de Protectie Motivatie Theorie (PMT) is een communicatie-interventie ontwikkeld om websitebezoekers te motiveren om de controle te nemen over hun
persoonsgegevens bij het maken van een cookiekeuze. De studie had als doel om het relatieve en cumulatieve effect te onderzoeken van twee van de vier PMT-constructen op de intentie van website bezoekers om hun online privacy te beschermen. De interventie werd getest met behulp van een online experiment (N=201), met een tussengroependesign, willekeurige toewijzing aan experimentele condities en zelfbeschermingsintentie als afhankelijke
variabele. De studieresultaten toonden een afwezigheid van zowel een relatief als cumulatief effect. Participanten die niet werden blootgesteld aan PMT-constructen, lieten de hoogste beschermingsintentie zien. Ondanks het gebrek aan effecten draagt dit onderzoek op relevante wijze bij aan de bestaande literatuur. De gemiddelden tonen aan dat het toespelen op
responseffectiviteit effectiever is dan op dreigingsernst, dit komt overheen met voorgaand onderzoek. Het aantal leestekens lijkt van in vloed te zijn geweest. Websitebezoekers hebben baat bij korte teksten. Hoe meer leestekens zij lazen, hoe lager de beschermingsintentie. Beleidsmakers zouden de vereisten van cookiemeldingen kunnen aanscherpen op basis van deze onderzoeksresultaten.
INTRODUCTIE
Tegenwoordig maken online adverteerders veel gebruik van de online persoonsgegevens van consumenten om gericht te adverteren. Online Behavioural Advertising (OBA) is een digitale gerichte advertentievorm die de individuele online gebruikersgegevens van websitebezoekers bijhoudt en verzameld; welke websites ze bezoeken, hoe lang ze daar blijven en wat ze precies doen. Tijdens een websitebezoek worden gemiddeld veertig tracking-cookies geplaatst. Deze tracking-cookies verzamelen informatie over websitebezoekers door hun
digitale gedrag te volgen op verschillende websites (Venkatadri et al., 2018). Met OBA kunnen marketingbedrijven de specifieke interesses en voorkeuren van websitebezoekers voorspellen en als gevolg daarvan hen selectief blootstellen aan reclame die specifiek op hen is gericht (bv. van Bavel, Rodríguez-Priego, Vila & Briggs, 2019; Zuiderveen Borgesius, 2016; Zou, Mhaidli, McCall & Schaub, 2018). Hoewel OBA economische voordelen biedt voor bedrijven en consumenten baat hebben bij advertenties die nuttig en relevant zijn (Chen & Stallaert, 2014), geeft deze advertentievorm aanleiding tot bezorgdheid over de risico’s voor online privacy (van Bavel et al., 2019; Chang, Wong, Libaque-Saenz & Lee, 2018). Het is voor consumenten namelijk onduidelijk welke persoonsgegevens precies worden
verzameld, wie deze gegevens verzamelt, hoe deze gegevens worden opgeslagen en wat ermee gebeurt (Smit, van Noort & Voorveld 2013; Zou et al., 2018).
Eind mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) ingesteld. Deze wet heeft als doel de controle over persoonsgegevens terug te geven aan consumenten. Met de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt voor marketingdoeleinden (Autoriteit Persoonsgegevens, 2018). Dit heeft als doel dat individuen zelf kunnen bepalen welke informatie partijen van hem of haar mogen krijgen, opslaan, verwerken en gebruiken voor verschillende
(marketing)doeleinden.
Het valt om twee redenen te bediscussiëren of websitebezoekers nu daadwerkelijk meer controle hebben over hun persoonsgegevens bij het maken van online privacy keuzes. Ten eerste omdat zij onvoldoende worden geïnformeerd over hetgeen er met hun
persoonsgegevens gebeurt alvorens zij een cookiekeuze maken. Dit is in tegenspraak met de vereisten die de AVG stelt aan bedrijven om rechtsgeldige toestemming te krijgen van de websitebezoeker voor het plaatsen van tracking-cookies. Zo staat in de richtlijnen van de AVG dat de verkregen toestemming van websitebezoekers voor het plaatsen tracking-cookies
‘geïnformeerd’ moet zijn (Groep gegevensbescherming artikel 29, 2018). Bovendien dat het verstrekken van informatie door organisaties aan betrokkenen voorafgaand aan het verkrijgen van hun toestemming noodzakelijk is. Het stelt hen in staat om geïnformeerde beslissingen te nemen, te begrijpen waar zij mee instemmen en bijvoorbeeld hun recht tot intrekking van hun toestemming uit te oefenen. De organisatie achter de website moet de websitebezoekers informeren over de soorten persoonsgegevens die verzameld en verwerkt zullen worden, de redenen hiervan, met welke bedrijven de informatie gedeeld wordt, de bewaartermijn en verdere informatie om de websitebezoekers een eerlijk beeld te geven van hoe hun persoonsgegevens worden gebruikt. Met het oog op deze richtlijn kan de huidige toestemmingsverklaring op websites voor het plaatsen van tracking-cookies voor
marketingdoeleinden discutabel gevonden worden. Wanneer om toestemming wordt gevraagd voor het plaatsen van tracking-cookies is de benodigde informatie om een geïnformeerde keuze te maken vaak niet direct zichtbaar. De informatie is vaak opgenomen in
privacyclausules die nauwelijks worden gelezen (Marotta-Wurgler, 2011; Smit et al., 2014). Websitebezoekers zouden er 600 uur over doen om alle privacyclausules te lezen die zij in één jaar tegenkomen (Tkacik, 2016). De informatie in deze clausules wordt meestal niet op een beknopte, transparante en toegankelijke vorm gecommuniceerd voordat websitebezoekers daadwerkelijk de cookiekeuze moeten maken (Autoriteit Persoonsgegevens, 2018). Hieruit kan worden opgemaakt dat het merendeel van de verkregen toestemmingen van de
websitebezoekers voor het plaatsen van tracking-cookies niet gebaseerd zijn op informatie, zoals wel wordt vereist door de richtlijnen van de AVG (Groep gegevensbescherming artikel 29, 2018).
Ten tweede zijn websitebezoekers zich vaak wel bewust van de dreiging voor de online privacy, maar spannen zij zich zelden in om deze persoonsgegevens actief te beschermen (Zuiderveen Borgesius, Kruikemeier, Boerman, & Helberger, 2017; Gerber,
Gerber & Volkamer, 2018). Ook ervaren zij een hoge mate van dreiging als het gaat om hun online privacy (Boerman, Kruikemeier & Zuiderveen Borgesius, 2018; Zou et al., 2018). De verzameling, gebruik en verspreiding van online persoonsgegevens wordt door consumenten ervaren als een ernstig probleem waarvoor zij vatbaar zijn (Smit et al., 2014), echter wordt de online privacy zelden beschermd (Boerman et al., 2018; Bulgurcu, Cavusoglu & Benbasat, 2010; Reid & van Niekerk, 2016). De consument zou graag meer controle hebben over zijn persoonsgegevens (Smit et al., 2014). Echter, consumenten gaan veelal klakkeloos akkoord wanneer een cookiemelding verschijnt (Kulche, 2014; Zuiderveen Borgesius, 2015).
Op basis van de ontwikkelingen die hierboven beschreven zijn, kan aangenomen worden dat alleen een wetswijziging onvoldoende zal zijn om websitebezoekers
daadwerkelijk de controle terug te geven over hun persoonsgegevens. Het is dan ook van belang om te onderzoeken hoe websitebezoekers gemotiveerd kunnen worden om een
geïnformeerde keuze te maken ten aanzien van cookie-instellingen. Deze studie heeft tot doel om te onderzoeken of een communicatie-interventie hieraan een bijdrage kan leveren. Ten eerste door het tonen van de nodige informatie alvorens websitebezoekers de cookiekeuze maken, zodat zij niet eerst de privacy clausule hoeven te openen en weten hoe zij de controle kunnen nemen over hun persoonsgegevens. Ten tweede door websitebezoekers te motiveren om daadwerkelijk de controle te nemen over hun persoonsgegevens ten aanzien van cookie-instellingen, zodat zij hiermee effectief een bijdrage leveren aan het beschermen van hun online privacy.
Aan de hand van de Protection Motivation Theorie (PMT) heeft deze studie een communicatie-interventie ontwikkeld in de vorm van een cookiemelding die direct zichtbaar is bij het openen van een website. PMT stelt dat mensen gemotiveerd zijn om zichzelf te beschermen tegen een dreiging als zij van mening zijn dat de dreiging ernstig en reëel is, als zij er vertrouwen in hebben dat zij zichzelf kunnen beschermen en het gevoel hebben dat hun
respons effectief is (Rogers, 1975). Het toepassen van PMT is vaak effectief gebleken, bijvoorbeeld in gezondheidscommunicatie (Floyd, Prentice‐ Dunn & Rogers, 2000; Milne, Sheeran & Orbell, 2000) en recentelijk ook bij communicatie om informatiebeveiliging te bevorderen (Sommestad, Karlzén & Hallberg, 2015). Het is dan ook van belang om tevens te onderzoeken of PMT ook effectief ingezet kan worden voor het beschermen van online privacy. Een recente studie in de context van online privacy laat zien dat twee van de vier PMT-constructen voorspellend zijn voor het zelfbeschermingsgedrag ten aanzien van online privacy, namelijk dreigingsernst en responseffectiviteit (Boerman et al., 2018). Daarom heeft dit onderzoek als doel te onderzoeken wat het relatieve en cumulatieve effect is bij het toepassen van deze twee PMT-constructen in een communicatie-interventie, om websitebezoekers te motiveren om daadwerkelijk de controle te nemen over hun
persoonsgegevens ten aanzien van cookie-instellingen. De volgende onderzoeksvraag staat dan ook centraal: Wat is het relatieve en cumulerende effect van motiverende cues op de intentie van consumenten om hun online privacy te beschermen?
Allereerst draagt dit onderzoek op relevante wijze bij aan de bestaande literatuur omdat het de eerste is dat PMT toepast in het domein van online privacy. Deze studie onderzoekt als eerste het effect van twee aspecten van PMT op de motivatie van websitebezoekers om een bewuste keuze te maken ten aanzien van cookie-instellingen. Daarnaast levert dit onderzoek een belangrijke methodologische bijdrage, omdat de studie onderzoekt of een communicatie-interventie in de vorm van een cookiemelding een goed middel is om consumenten te motiveren om de controle te nemen over persoonsgegevens ten aanzien van cookie-instellingen. Tot slot kunnen de uitkomsten van dit onderzoek relevante input bieden voor beleidsoverwegingen (voor zowel overheden als consumentenbonden), wanneer zij websitebezoekers willen motiveren om hun online privacy te beschermen. Tevens bied het onderzoek inzichten voor beleidsmakers over de wijze waarop de vereisten van
cookiemeldingen aangescherpt kunnen worden, zodat zij websitebezoekers daadwerkelijk in staat stellen een geïnformeerde keuze te maken. Mogelijk draagt dit bij aan het beschermen van de online privacy van consumenten.
THEORETISCH KADER
PMT (Rogers, 1975) stelt dat mensen twee soorten reacties vertonen bij een bedreigende situatie: een dreigingsbeoordeling en een beoordeling over het eigen vermogen om tegen die dreiging op te treden. Mensen zijn gemotiveerd om zichzelf te beschermen tegen een dreiging wanneer zij 1) geloven dat de dreiging ernstig en 2) reëel is, wanneer zij 3) er vertrouwen in hebben dat zij zichzelf kunnen beschermen en 4) het gevoel hebben dat deze reactie effectief is.
Tot op heden zijn er geen studies geweest die de toepasbaarheid van PMT op het online privacy domein getoetst hebben. De theorie wordt voornamelijk toegepast in
gezondheidscontexten (Floyd et al., 2000; Milne et al., 2000). Tevens is PMT toegepast op informatie beveiligingsgedrag, zoals bij virusbescherming (Lee & Larsen, 2009),
beveiligingsgedragsintenties van gebruikers van thuiscomputers (Anderson & Agarwal, 2010; Hanus & Wu, 2016) en de naleving van informatiebeveiligingsbeleid door medewerkers (Ifinedo, 2012). Recentelijk zijn PMT-constructen gebruikt om online privacy
beschermingsgedrag te verklaren (Boerman et al., 2018). Dit longitudinale onderzoek onder 1523 respondenten onderzocht of mensen hun online privacy beschermden, welke methoden zij gebruikten en welke constructen dit gedrag verklaarde. Twee van de vier PMT-constructen blijken het beschermingsgedrag te kunnen voorspellen, namelijk de dreigingsernst en de responseffectiviteit van het beschermingsgedrag. De andere PMT-constructen
vatbaarheid en zelfeffectiviteit lijken het online privacy beschermingsgedrag niet te beïnvloeden. De onderzoekers stellen dat, hoe sterker men denkt dat er sprake is van een
online privacy bedreiging, hoe waarschijnlijker het is dat zij zullen proberen hun privacy te beschermen. Bovendien is het niet effectief om het eigen vermogen tot het nemen van
maatregelen toe te speken. Een groter vertrouwen in de effectiviteit van de maatregel lijkt wel effect te hebben op online privacy beschermingsgedrag. Hieruit valt op te maken dat
communicatie om online privacy beschermingsgedrag aan te moedigen zich enerzijds zou moeten focussen op de ernst van het probleem (de gevaren voor online privacy) en anderzijds op de effectiviteit van het uit te voeren beschermingsgedrag.
Dit betekent dat websitebezoekers aan deze twee PMT-constructen moeten worden blootgesteld om hen te motiveren de controle te nemen ten aanzien van hun
cookie-instellingen. De communicatie-interventie in de vorm van een cookiemelding speelt middels cues in op dreigingsernst, door uit te leggen waarom de online privacy van de
websitebezoekers gevaar loopt als zij tracking-cookies accepteren die nodig zijn voor OBA. Daarnaast moet de communicatie-interventie inspelen op responseffectiviteit middels cues die informeert over het beschermingsgedrag dat effectief kan voorkomen dat persoonsgegevens verzameld, opgeslagen en gedeeld worden voor marketingdoeleinden.
Relatieve effecten
Een belangrijk uitgangspunt van PMT is dat individuen zich zorgen moeten maken over de potentiële dreiging om gemotiveerd te raken er iets tegen te doen (Rogers, 1975). Wanneer mensen geloven dat de schending van hun online privacy geen schade veroorzaakt, zullen zij waarschijnlijk geen beschermende maatregelen nemen tegen de negatieve gevolgen van deze schending. Hoe groter en relevanter de dreiging lijkt te zijn, des te groter de kans dat
individuen een positieve houding aannemen ten aanzien van het nemen van beschermende maatregelen. Naast het maken van een inschatting van de dreigingsernst, duidt PMT aan dat mensen tevens de effectiviteit van hun coping-gedrag evalueren. Dit is een inschatting van
individuen of bepaald gedrag tot bepaalde resultaten zal leiden (Rogers, 1975). Mensen moeten geloven dat de reactie effectief is, om gemotiveerd te raken om dit gedrag uit te voeren. Om mensen in te laten zien dat zij een effectieve rol kunnen spelen bij de
bescherming van hun online privacy, is het dus van belang dat zij inzien dat het aanbevolen gedrag effectief is.
Dit uitgangspunt vindt steun in onderzoeken in domeinen waar PMT is toegepast. Twee meta-analyses van studies in het gezondheidsdomein tonen aan dat toespelingen op dreigingsernst en responseffectiviteit daadwerkelijk het beschermingsgedrag stimuleert (Floyd et al., 2000; Milne et al., 2000). De theorie verklaart dat het nemen van beschermende maatregelen een positief gevolg is van het besef van de dreigingsernst van de gezondheid, omdat men moet geloven dat er enige schade is (bijvoorbeeld longkanker voor rokers). Om te besluiten om het aanbevolen gedrag aan te nemen, moet men tevens geloven dat het uitvoeren van de reactie het gevaar daadwerkelijk zal vermijden. Ditzelfde effect wordt ook gevonden in twee recente meta-analyses in het domein van informatiebeveiliging (Mou, Cohen & Kim, 2017; Sommestad et al., 2015). Bijvoorbeeld in een onderzoek naar beveiligingsgedrag (Anderson & Agarwal 2010), informatiebeveiliging (Burns, Posey, Roberts & Lowry, 2017), internetveiligheid (Chen & Zahedi, 2016) en opslag in de cloud (Menard, Gatlin &
Warkentin, 2014). Een recente literatuurreview die de effectgrootten analyseerde van PMT-constructen in de cyberbeveiligingsliteratuur, concludeerde dat alle PMT-PMT-constructen betrouwbare, het zij zwakke tot middelgrote, effectgroottes hadden (Mayer, Kunz & Volkamer, 2017).
Op basis van deze gegevens kan gesuggereerd worden dat soortgelijke effecten ook voor het online privacy domein gelden. Er kan worden verwacht dat het toespelen op dreigingsernst en responseffectiviteit door middel van cues een positief effect heeft op de
beschermingsintentie van websitebezoekers ten aanzien van hun cookie-instellingen. Op basis van deze gegevens wordt in dit onderzoek het volgende verwacht:
H1: Een communicatie-interventie met dreigingsernst-cues (versus geen cues) heeft een positief effect op de intentie van websitebezoekers om hun online privacy te beschermen. H2: Een communicatie-interventie met responseffectiviteit-cues (versus geen cues) heeft een positief effect op de intentie van websitebezoekers om hun online privacy te beschermen.
Hoewel Rogers (1975), de ontwikkelaar van PMT, aanvankelijk veronderstelde dat alle PMT-constructen even belangrijke voorspellers zijn van gedragsintentie, tonen recente studies een nuance hierin aan. Uit twee meta-analyses van de traditionele PMT-literatuur in het gezondheidsdomein, blijkt dat toespelingen effectiviteit constructen grotere effectgroottes hebben dan de constructen van de dreigingsbeoordeling, op zowel gedragsintenties als
feitelijk gedrag (Floyd et al., 2000; Milne et al., 2000). Bij het gebruik van PMT om intentie en gedrag te veranderen, is het manipuleren van coping-evaluatievariabelen effectiever gebleken dan het manipuleren van variabelen voor het beoordelen van bedreigingen (Maddux & Rogers, 1983; Pechmann, Zhao, Goldberg & Reibling, 2003; Prentice-Dunn, Floyd & Flournoy, 2001). Ook wordt deze nuance getoond in onderzoeken in het domein van
informatiebeveiliging. De resultaten van twee meta-analyses (Mou et al., 2017; Sommestad et al., 2015) tonen vergelijkbare resultaten in het gezondheidsdomein.
Coping-beoordelingsconstructen zijn sterkere voorspellers dan constructen van de
dreigingsbeoordeling. Het bleek effectiever om proefpersonen te vertellen hoe zij de kans op een cyberaanval effectief konden verkleinen, dan om hen te informeren over de gevolgen onveilig online gedrag (van Bavel et al., 2019).
Wanneer deze onderzoeksbevindingen worden toegepast op het domein van online privacy dan toont het onderzoek van Boerman et al. (2018) ook deze nuance. Het PMT-construct responseffectiviteit correleert sterker met het beschermingsgedrag dan het PMT-construct
dreigingsernst. Op basis van deze gegevens kan worden verwacht dat het toespelen op responseffectiviteit middels cues effectiever is dan het toespelen op dreigingsernst. Om deze reden wordt in deze studie dan ook het volgende verwacht:
H3: Een communicatie-interventie met responseffectiviteit-cues (versus dreigingsernst-cues) heeft een positief effect op de intentie van websitebezoekers om hun online privacy te beschermen.
Cumulatieve effect
Rogers (1975) voorspelde dat wanneer de vier PMT-constructen zich op een matig tot hoog niveau bevinden, de motivatie van een individu zich ook op een gematigd tot hoog niveau bevindt. Daardoor neemt de kans op gedragsverandering toe. Dus wanneer beide
PMT-constructen als hoog worden ervaren, zal men gemotiveerd zijn zichzelf te beschermen en hun gedrag hierop aan te passen (Rippetoe & Rogers, 1987; Witte, 1992). In de literatuur over gezondheidsgedrag is echter te vinden dat wanneer alleen de dreigingsernst wordt
toegespeeld, mensen defensief reageerden zonder actie te ondernemen. Wanneer zowel de dreiging als coping werden toegespeeld, toonden individuen de grootste gedragsverandering (Witte & Allen, 2000). Een meta-analyse van experimentele studies over beoordelingen van gezondheidsrisico's, toonde aan dat de hoogste effectgroottes werden waargenomen voor gedragsintentie en gedrag als de constructen van de risicobeoordeling en coping-beoordeling gelijktijdig werden verhoogd (Sheeran, Harris & Epton, 2014). Een recent experimenteel onderzoek naar gedrag met betrekking tot het online delen van informatie ter bescherming tegen de dreiging van phishing-aanvallen toont vergelijkbare resultaten (Jansen & van Schaik, 2019). Motiverende communicatie-interventies hebben een groot potentieel om
beveiligingsgedrag te bevorderen, door eindgebruikers bewust te maken van bedreigingen en tegelijkertijd gedragsadvies te geven over hoe deze bedreigingen kunnen worden beperkt. De
studie toont dat gedragsintenties kunnen worden verhoogd door internetgebruikers bewust te maken van bedreigingen en gelijktijdig gedragsadvies te geven over hoe deze te verminderen. Deze onderzoeksgegevens tonen aan dat het cumulatieve effect van de twee PMT-constructen tezamen effectiever zou kunnen zijn dan het relatieve effect.
Een sterk cumulatief effect ten opzichte van het relatieve effect zou verklaard kunnen worden door de verhoogde argumentatiesterkte. Er kan worden verondersteld dat personen betrokken zijn bij het online privacy onderwerp, aangezien het een onderwerp is dat men persoonlijk aangaat en waarover bezorgdheid heerst (Boerman et al., 2018, Zou et al., 2018). Het Elaboration Likelihood Model (ELM) stelt dat mensen met een hoge betrokkenheid de centrale route van informatieverwerking volgen en de getoonde argumenten dan actief verwerken (Petty & Cacioppo, 1984). Verder stellen Petty en Cacioppo (1984) dat het verhogen van het aantal argumenten in een bericht invloed kan hebben op de overtuiging of de feitelijke inhoud van de argumenten nauwkeurig is gelezen. Op basis hiervan kan verwacht worden dat het cumulatieve effect van dreigingsernst en responseffectiviteit-cues in een communicatie-interventie groter is dan van een enkele cue, aangezien de cookiemelding een hoger aantal argumenten bevat en de argumentatie sterker is. Om deze reden en voorgaande onderzoeksresultaten wordt het volgende verwacht:
H4: Het cumulatieve effect van beide cues (dreigingsernst & responseffectiviteit) op de beschermingsintentie is sterker dan het relatieve effect van een enkele cue.
H4a: Het cumulatieve effect van beide cues (dreigingsernst & responseffectiviteit) op de beschermingsintentie is sterker dan het relatieve effect van de dreigingsernst cue op beschermingsintentie.
H4b: Het cumulatieve effect van beide cues (dreigingsernst & responseffectiviteit) op de beschermingsintentie is sterker dan het relatieve effect van responseffectiviteit cue op beschermingsintentie.
METHODE
Design & Participanten
Om de hypotheses te testen is een online experiment uitgevoerd met een tussengroependesign, waarbij participanten willekeurig zijn toegewezen aan een controlegroep of aan één van de drie interventiegroepen (dreigingsernst-conditie, responseffectiviteit-conditie en cumulatieve-conditie). Het betrof 201 respondenten met leeftijd variërend tussen de 19 en 76 (M = 36,50, SD = 16,1). Het merendeel van de respondenten is vrouw, namelijk 62,2%. Het
opleidingsniveau varieerde: 14,9% van de sample is laag opgeleid (niet, middelbare school), 7% MBO, 30,8% HBO en 47,3% heeft WO als hoogst behaalde opleidingsniveau.
Stimulusmateriaal
Voor het online experimentele onderzoek, zijn vier fictieve cookiemeldingen ontwikkeld (zie Bijlage A). Cookiemeldingen zijn gebruikt als onderzoekscontext, omdat consumenten deze meldingen direct te zien krijgen bij het openen van een website en hier een keuze maken met betrekking tot hun online persoonsgegevens. Door het inzetten van de
communicatie-interventie(op basis van PMT) op deze plek, kan getoetst worden of consumenten daadwerkelijk gemotiveerd kunnen worden om de controle te nemen over hun persoonsgegevens bij het maken van een cookiekeuze.
Het ontwerp van het stimulusmateriaal is gebaseerd op de cookiemelding van de NOS. Deze melding is geselecteerd omdat het de informatie overzichtelijk weergeeft en duidelijke actieknoppen bevat ten aanzien van cookie-instellingen. De cookiemelding beschrijft dat de website gebruik maakt van functionele cookies (om de website te kunnen laten functioneren) en analytische cookies (waarmee websitegebruik gemeten kan worden). Deze cookies zullen
geen gebruik maken van persoonsgegevens. Daarnaast wordt gevraagd een keuze te maken over welke andere cookies de websitebezoeker wilt accepteren, waarna de optie wordt gegeven om gepersonaliseerde advertenties (OBA) te ontvangen. De informatie die hierbij gegeven wordt is ten eerste dat de websitebezoeker hiermee gepersonaliseerde advertenties ontvangt die worden afgestemd op zijn of haar internetgedrag. Ten tweede, dat via deze tracking-cookies het internetgedrag van de persoon gevolgd kan worden door
advertentienetwerken.
Om ervoor te zorgen dat het merk NOS en de context hun van de cookiemelding geen invloed zou uitoefenen, is de merknaam uit het materiaal verwijderd en zijn er kleine
aanpassingen gedaan zodat het formulier minder herleidbaar is. Om het stimulusmateriaal van de controleconditie te ontwikkelen, is er informatie toegevoegd aan de cookiemelding, met als doel de websitebezoeker te informeren over hetgeen er met zijn of haar persoonsgegevens gebeurt bij het accepteren van deze trackingcookie. Deze toegevoegde informatie is
normaliter te vinden in de privacy policy van de NOS. Allereerst geeft de informatie aan wat de advertentie netwerken over de websitebezoeker te weten komen en geeft een
waarschuwing dat hiermee hun online privacy risico loopt. Ten tweede dat een bewuste cookiekeuze kan voorkomen dat de websitebezoeker gevolgd wordt en zo haar online privacy beschermt.
Waar de controleconditie louter informeert, tracht het stimulusmateriaal in de experimentele condities, middels cues gebaseerd op PMT, de ervaren ernst en/of respons-effectiviteit te verhogen. De cues zijn gebaseerd op basis van voorgaande literatuur (bijv. van Bavel et al., 2019; Boss, Galletta, Lowry, Moody & Polak et al., 2015; Cathcart & Glendon, 2016; Glendon & Walker, 2013; Leonard, 2008; Milne, Orbell & Sheeran, 2002). Het stimulusmateriaal van de dreigingsernst-conditie, bevatte cues die inspeelden op
het aantal bedrijven waar de websitebezoeker door gevolgd wordt, welke persoonsgegevens er verzameld wordt en de persoonlijke privacy risico’s die de websitebezoeker loopt. De cues in de responseffectiviteit-conditie speelden allereerst in op responseffectiviteit door specifiek te benoemen dat het afwijzen van tracking-cookies een effectieve manier is om te voorkomen dat men gevolgd wordt. Ten tweede werd vermeld dat de persoon hierdoor meer grip heeft op wat adverteerders over hem/haar te weten komen en hiermee hun online privacy wordt
beschermd. Om het cumulatieve effect te kunnen meten, bevatte het stimulusmateriaal in de cumulatieve-conditie een combinatie van beide cues. De cookiemelding bevatte dus zowel de dreigingsernst-cues als de responseffectiviteit-cues.
Pretest
Een pretest werd uitgevoerd om er zeker van te zijn dat de experimentele materialen de beoogde effecten hadden. De pretest groep bevatte veertig deelnemers met een leeftijd van 19 tot en met 66 (M = 34,35, SD = 15,74, 62,5% vrouwelijk), en werden random toegewezen aan de vier condities. De participanten hebben na de pretest niet deelgenomen aan het hoofdonderzoek.
Allereerst zijn participanten blootgesteld aan het stimulusmateriaal en is hen gevraagd een cookiekeuze te maken. Vervolgens werd de manipulatiecheck uitgevoerd middels twee items. Het eerste item mat de ervaren toespeling op ernst middels de stelling: “Het bericht beschrijft overtuigend dat tracking-cookies een ernstige bedreiging vormen voor mijn online privacy.”. Het tweede item mat de ervaren toespeling op responseffectiviteit middels de stelling: “Het bericht beschrijft overtuigend dat het weigeren van tracking-cookies mijn online privacy effectief kan beschermen.”. De items zijn gemeten op een vijfpunts Likertschaal variërend van 'helemaal mee oneens' (1) tot 'helemaal mee eens' (5).
Een ANOVA analyse is uitgevoerd met condities als factor en de responseffectiviteit-schaal als afhankelijke variabele. De responseffectiviteit-conditie (M = 3,00, SD = 1,00, n = 9) en cumulatieve-conditie (M = 3,40, SD = 0,70, n = 10) scoorden zoals verwacht gemiddeld hoger dan in de controleconditie (M = 2,60, SD = 1,50, n = 10) en de ‘ernst conditie’ (M = 2,36, SD = 1,12, n = 11). De verschillen tussen de condities zijn echter niet significant, F (3, 36) = 1,70, p=0,184.
Een ANOVA analyse is uitgevoerd met condities als factor en de dreigingsernst-schaal als afhankelijke variabele. Niet alle participanten die blootgesteld waren aan de
dreigingsernst-cues scoorden hoger op de ernst-schaal, dan de condities zonder
dreigingsernst-cues. De dreigingsernst-conditie scoorde zoals verwacht hoger (M = 3,45, SD = 1,21, n = 11) op de dreigingsernst-schaal dan condities zonder dreigingsernst-cues, namelijk de controleconditie (M = 3,10, SD = 1,45, n = 10) en de responseffectiviteit-conditie (M = 3,33, SD = 1,23, n = 9). De cumulatieve-conditie scoort echter lager (M = 2,90, SD = 0,74, n = 10) op de mate van dreigingsernst, dan de controle en responseffectiviteit-conditie. De
verschillen tussen de condities zijn niet significant, F (3, 36) = 0,45, p=0,772.
De gemiddelden van de pretest toonden aan dat het effect van het stimulusmateriaal in overeenstemming is met de verwachting, maar dat deze verschillen niet significant zijn. Een mogelijke verklaring hiervoor is ten eerste dat er niet nadrukkelijk gevraagd werd om het stimulus materiaal zeer zorgvuldig te lezen. Daarnaast konden participanten direct
doorklikken naar de volgende vraag, en konden op deze wijze het lezen van de cookiemelden overslaan. Om deze redenen is het stimulusmateriaal aangepast door nadrukkelijk te
vermelden dat het stimulusmateriaal zorgvuldig gelezen dient te worden. Tevens is er een timer toegevoegd waardoor het pas na enkele seconden (minimale leestijd) mogelijk is om de vragenlijst te vervolgen. Tenslotte zijn er tekstuele aanpassingen gedaan. De tekst is
persoonlijker gemaakt door meer ‘jij’ en ‘jouw’ te gebruiken. Tevens is de leesbaarheid verbeterd door een lange zin op te splitsen in twee zinnen.
Participanten & Procedure
Voor aanvang van de studie, werden de participanten uitgenodigd via verschillende sociale kanalen zoals Facebook, Instagram, Whatsapp en per e-mail. Participanten geworven via het netwerk van de onderzoeker, middels de sneeuwbalmethode. Participanten is tevens gevraagd de uitnodiging voor het onderzoek binnen hun netwerk te delen. De uitnodiging bevatte een URL die de participant doorstuurde naar het online instrument Qualtrics waarmee het online experiment is afgenomen. Participanten zijn op de ontvangstpagina op de hoogte gesteld van het doel en de duur van het experiment. Daarnaast is hen gevraagd om akkoord te gaan met de informed consent van de Universiteit van Amsterdam, waarin onder andere gewaarborgd is dat de deelname aan het onderzoek op vrijwillige basis is, de anonimiteit gewaarborgd is en dat men op ieder moment het recht heeft om voortijdig de deelname te stoppen. De deelname eindigde wanneer men niet akkoord ging. De participanten hebben geen beloning ontvangen voor hun deelname.
Na akkoord op de voorwaarden van het onderzoek, zijn participanten gevraagd kennisvragen te beantwoorden met betrekkingen tot gerichte advertenties om effecten te kunnen controleren voor deze kennis. Vervolgens werden ze random toegewezen aan een van de vier condities en gevraagd aandachtig het stimulusmateriaal te lezen. Daarna werd
gevraagd een cookiekeuze te maken en werden participanten gevraagd naar hun online privacy beschermingsintentie. Tenslotte is een manipulatiecheck uitgevoerd en gevraagd naar demografische gegevens. Participanten werden afsluitend bedankt voor hun deelname en de mogelijkheid werd geboden om feedback achter te laten.
Meetinstrumenten Beschermingsintentie
De afhankelijke variabele beschermingsintentie, zoals gedefinieerd in deze studie, verwijst naar de motivatie om beschermend gedrag uit te voeren tegen online privacy bedreigingen (van Bavel et al., 2019; Boerman et al., 2018; Zuiderveen Borgesius, 2016). Vier items zijn verkregen uit bestaande instrumenten in gerelateerde PMT-literatuur, met aanpassingen om de items te laten aansluiten bij het beschermingsgedrag in deze studie (cookie-keuze). De
beschermingsintentie van mensen werd gemeten door deelnemers te vragen in hoeverre zij het (on)eens waren (1= geheel oneens, 5= geheel eens) met de volgende uitspraken: “Ik ben van plan mijn online privacy te beschermen tegen bedreigingen van tracking-cookies die mijn online gedrag volgen.”; “Het is waarschijnlijk dat ik mijn online privacy ga beschermen door tracking-cookies te weigeren die mijn online gedrag volgen”; “Mijn intenties om te
voorkomen dat mijn online privacy geschaad wordt, zijn hoog (Ajzen & Fishbein, 1972; Burns et al., 2017); en "Ik ben van plan mijn online privacy in de komende 2 weken te beschermen door tracking-cookies te weigeren die mijn online gedrag volgen." (Blythe & Coventry, 2018; Johnston & Warkentin, 2010). Net als in eerder onderzoek bleek de schaal betrouwbaar en daarom werden de vier items samengevoegd tot een gemiddeld schaal beschermingsintentie (EV = 2,79, R2= 69,83, α= 0,85, M= 3,42, SD= 0,96). Een hogere score op deze variabele representeert een hogere beschermingsintentie. Participanten is tevens gevraagd om na blootstelling aan het stimulusmateriaal een cookiekeuze te maken. Wat inhield dat hen de keuze werd geboden om (1) akkoord of (2) niet akkoord te gaan met het plaatsen van tracking-cookies. De meerderheid van de participanten weigerden het plaatsen van tracking-cookies (74,6%).
Controlevariabelen
Er zijn enkele controlevariabelen gemeten. Het opleidingsniveau van participanten werd gemeten op een schaal van 1 (geen of laag opleidingsniveau) tot 4 (WO opleidingsniveau), geslacht (1 = mannelijk 2 = vrouwelijk) en leeftijd (in jaren). Tevens is het aantal leestekens meegenomen als controlevariabele. De lengte van tekst zou invloed kunnen hebben op de afhankelijke variabelen (Bornstein & D'agostino, 1992). Het stimulusmateriaal van de controleconditie bevatte 268 leestekens, dreigingsernst-conditie 447, responseffectiviteit-conditie 396 en de cumulatieve-responseffectiviteit-conditie bevatte 575 leestekens.
Verder zijn er kennisschalen opgenomen in het onderzoek, om de kennis van de participanten omtrent OBA te achterhalen. De mate waarin participanten kennis hebben over OBA en de manier waarop bedrijven persoonsgegevens kunnen en mogen verzamelen, zou effect kunnen hebben op het te toetsen verband (bv. Boerman et al., 2018; Smit et al., 2014; Tsai et al., 2016). Drie soorten kennis zijn meegenomen in het onderzoek, namelijk kennis over
persoonlijke marketingcommunicatie-praktijken, kennis over institutioneel toezicht en kennis over regelgeving. De schalen zijn gebaseerd op voorgaand onderzoek (Shillair et al., 2015; Strycharz, van Noort, Smit, Helberger, 2018 maart). De kennis is gemeten met ware en
onware items. De antwoorden die participanten goed hadden, zijn gecodeerd met 1 en onjuiste antwoorden zijn gecodeerd 0. De items zijn vervolgens bij elkaar opgeteld. De variabele kennis PMC mat de kennis van participanten omtrent gepersonaliseerde
marketingcommunicatie (M = 1,32, SD = 1,36, min = 0, max = 5), middels vijf uitspraken waarvan er twee correct waren. Van de respondenten heeft 3% alle vragen correct
beantwoord, terwijl 37% van de respondenten geen enkele vraag correct heeft beantwoord. De variabele kennis institutioneel toezicht mat de kennis van participanten omtrent institutioneel toezicht middels vier uitspraken (M = 1,33, SD = 1,49, min = 0, max = 4). Alle uitspraken waren correct. Hierbij had 12% van de respondenten alle vragen correct beantwoord, terwijl
45% alles fout beantwoord had. De variabele kennis regelgeving mat de kennis van participanten omtrent de regelgeving rondom de verzameling, gebruik en het delen van persoonsgegevens middels vier uitspraken. Een van de uitspraken was niet waar.
Respondenten hadden weinig kennis over regelgeving met betrekking tot gepersonaliseerd marketingcommunicatie. Ze scoorden gemiddeld net onder het middelpunt van de schaal (M = 0,93, SD = 1,15, min = 0, max = 4). De helft (49%) van de respondenten had alles fout, 4,5% beantwoorde alle vragen correct.
RESULTATEN
Voorbereidende analyses
De Pearson-correlatie toonde aan dat er geen significant verband bestond tussen de controlevariabele ‘leeftijd’ en afhankelijke variabele beschermingsintentie, r = 0,11, p = 0,119. Enkel ‘kennis over regelgeving’ (r = 0,28, p < 0,001) correleerde met
beschermingsintentie. De overige kennisvariabelen, ‘kennis PMC’ (r = 0,88, p = 0,214) en ‘institutionele kennis’ (r = 0,08, p = 0,261) correleerden niet met de afhankelijke variabele beschermingsintentie. De variabele ‘kennis over regelgeving’ werden vervolgens
meegenomen als controlevariabele in de studie. Uit een onafhankelijke t-test met sekse als groepsvariabele en beschermingsintentie als afhankelijk variabele, bleek dat mannen (M = 3,33, SD = 1,14, n = 76) en vrouwen (M = 3,48, SD = 0,83, n = 125) niet significant verschilden in hun beschermingsintentie, t (199) = -1,05, p = 0,296. Uit een ANOVA met opleidingsniveau als factor en beschermingsintentie als afhankelijke variabele bleek dat opleidingsniveau geen voorspeller is van de beschermingsintentie van participanten, F(3, 197) = 0,64, p = 0,592. Uit een tweede ANOVA met ‘leestekens’ als factor en
beschermingsintentie als afhankelijke variabele, bleek het aantal leestekens geen voorspeller te zijn de beschermingsintentie, F(3, 197) = 2,58, p = 0,055.
Randomisatiechecks
De kenmerken van de participanten waren gelijk verdeeld over de vier experimentele condities. Chikwadraattoetsen toonden een gelijke verdeling over de condities voor het opleidingsniveau (χ2 (6) = 7,34, p = 0,290) en sekse (χ2 (3) = 1,38, p = 0,710). Analyse van variantie toonde dat de leeftijd van participanten niet significant verschilt tussen de vier condities, F(3, 200) = 0,70, p = 0,555. Ook waren er geen significante verschillen tussen de condities met betrekking tot institutionele kennis (F(3, 200) = 1,88, p = 0,135), kennis over marketingcommunicatie (F(3, 200) = 1,92, p = 0,128) en kennis over regelgeving (F(3, 200) = 0,90, p = 0,440). Deze analyses sluiten hiermee uit dat de resultaten van dit onderzoek
beïnvloed worden door sampling bias.
Manipulatiecheck
Uit een t-test met dummy responseffectiviteit (0 = controleconditie & ernst conditie, 1= responseffectiviteit-conditie & cumulatieve-conditie) als factor en responseffectiviteit-schaal als testvariabele, bleek dat de ervaren mate van responseffectiviteit significant hoger was in condities met (M = 3,18, SD = 1,05, n=101) responseffectiviteit-cues, dan condities zonder (M = 2,80, SD = 1,15, n = 100) responseffectiviteit-cues, t (199) = -2,44, p = 0,016, 95% CI [-0,68, -0,07].
Uit een t-test met dummy dreigingsernst (0 = controleconditie & responseffectiviteit-conditie, 1= conditie & cumulatieve-conditie) als factor en schaal als testvariabele bleek dat de ervaren mate van ernst in condities met dreigingsernst-cues hoger was (M = 3,40, SD = 1,16, n = 100), dan condities zonder (M = 3,19, SD = 1,26, n = 101) dreigingsernst-cues. De gemiddelden waren wel in de lijn der verwachting, maar verschilden dus niet significant van elkaar, t(199) = -2,41, p = 0,216.
Hypothese toetsende analyses
Er werd een tweewegs-variantieanalyse uitgevoerd met kennis over regelgeving als covariaat en dummy dreigingsernst en dummy responseffectiviteit als onafhankelijke variabelen en beschermingsintentie van online privacy als afhankelijke variabele. De toets toonde afwezigheid van een hoofdeffect van dreigingsernst-cues op de beschermingsintentie, F(1, 196) = 3,76, p = 0,054. Ook werd er geen hoofdeffect gevonden van responseffectiviteit-cues op beschermingsintentie F(1, 196) = 2,70, p = 0,102. Er werd tevens geen interactie-effect geconstateerd van dreigingsernst-cues en responseffectiviteit-cues op beschermingsintentie, F(1, 196) = 0,04, p = 0,852.
Er is een t-toets uitgevoerd met conditie (1= controle, 2= dreigingsernst) als factor en beschermingsintentie afhankelijke variabele. Participanten in de dreigingsernst-conditie scoorden significant lager (M = 3,16, SD = 0,99, n = 49) op beschermingsintentie dan de controleconditie (M = 3,69, SD = 0,89, n = 49). Dit verschil was significant, t (96) = 2,76, p = 0,007, 95% CI [0,15, 0,90]. De data toont onvoldoende bewijs om hypothese aan te nemen.
Er is een t-toets uitgevoerd met conditie (1 = controle, 2 = responseffectiviteit) als factor en beschermingsintentie als afhankelijke variabele. Participanten in de
responseffectiviteit-conditie scoorden lager op beschermingsintentie (M = 3,46, SD = 0,93, n = 52), dan participanten in de controleconditie (M = 3,69, SD = 0,89, n = 49). Dit verschil was echter niet significant, t (99) = 1,28, p = 0,203. Aan de hand van de data is er onvoldoende bewijs om hypothese 4 aan te nemen.
Er is een t-toets uitgevoerd met conditie (1 = dreigingsernst, 2 = responseffectiviteit) als factor en beschermingsintentie als afhankelijke variabele. Participanten in de
dreigingsernst-conditie scoorden lager op beschermingsintentie (M = 3,38, SD = 0,96, n = 51), dan participanten in de responseffectiviteit-conditie (M = 3,46, SD = 0,93,, n = 52). Dit
lijn met de literatuur, echter is dit verschil niet significant. Hypothese 3 wordt daarom niet ondersteund door de data.
Om de vraag te beantwoorden of het cumulatieve effect van de twee PMT-constructen op beschermingsintentie groter is dan het relatieve effect, zijn verschillende t-toetsen
uitgevoerd. Er is een t-toets uitgevoerd met conditie (1 = dreigingsernst, 2 = cumulatief) als factor en beschermingsintentie als afhankelijke variabele. Participanten in de dreigingsernst-conditie scoorden hoger op beschermingsintentie (M = 3,38, SD = 0,96, n = 51), dan
participanten in de cumulatieve-conditie (M = 3,16, SD = 0,99, n = 49). Dit verschil was niet significant, t (98) = 1,12, p = 0,266. Aan de hand van de data is er onvoldoende bewijs om hypothese 4 aan te nemen.
Er is een t-toets uitgevoerd met conditie (1 = responseffectiviteit, 2 = cumulatief) als factor en beschermingsintentie als afhankelijke variabele. Participanten in de
responseffectiviteit-conditie scoorden hoger op beschermingsintentie (M = 3,46, SD = 0,93, n = 52), dan participanten in de cumulatieve-conditie (M = 3,16, SD = 0,99, n = 49). Dit
verschil was niet significant, t (99) = 1,54, p = 0,128. Hypothese 4b wordt daarom ook niet ondersteund door de data.
Een kruistabel met chikwadraattoets met conditie als onafhankelijk variabele en cookiekeuze als afhankelijke variabele, toont dat de condities niet significant verschillen in hun keuze om wel of niet akkoord te gaan met de trackingcookie, χ2 (3) = 3,19, p = 0,363.
CONCLUSIE & DISCUSSIE
Deze experimentele studie heeft getracht de toepasbaarheid van PMT-constructen (ernst en responseffectiviteit) te toetsen in een communicatie-interventie, om consumenten te
cookiekeuze en hiermee hun privacy beschermen. Consumenten zijn zich vaak wel bewust dat hun online privacy in het geding is, maar zich zelden inspannen om hun persoonsgegevens actief te beschermen. Ook worden websitebezoekers momenteel onvoldoende geïnformeerd alvorens zij een cookiekeuze maken. Dit is niet in lijn met de AVG die stelt dat consumenten een ‘geïnformeerde keuze’ moeten maken. Het verstrekken van informatie voorafgaand aan de cookiekeuze wordt als noodzakelijk gezien om consumenten in staat te stellen
geïnformeerde beslissingen te nemen, te begrijpen waar zij mee instemmen en bijvoorbeeld hun recht tot intrekking van hun toestemming uit te oefenen. Deze studie had dan ook tot doel om te onderzoeken of een communicatie-interventie hieraan een bijdrage kon leveren door enerzijds de nodige informatie te tonen alvorens websitebezoekers de cookiekeuze maken, zodat men niet eerst de privacy clausule hoeft te openen. Anderzijds door websitebezoekers te motiveren om daadwerkelijk de controle te nemen over hun persoonsgegevens bij het maken van een cookiekeuze, zodat zij hiermee effectief een bijdrage leveren aan het beschermen van hun online privacy.
De vier verwachtingen waren dat het relatieve effect van een blootstelling aan dreigingsernst-cues en responseffectiviteit-cues op de beschermingsintentie groter zou zijn dan geen blootstelling aan cues. Daarnaast werd verwacht dat responseffectiviteit-cues een sterker effect zouden hebben op beschermingsintentie, dan dreigingsernst-cues. Tenslotte werd verwacht dat het cumulatieve effect van de twee cues tezamen een sterker effect zou hebben op beschermingsintentie, dan het relatieve effect. De resultaten hebben deze
verwachtingen niet kunnen bevestigen. Het antwoord op de onderzoeksvraag is dan ook dat toepasbaarheid van de twee PMT-constructen, door middel van dreigingsernst-cues en responseffectiviteit-cues in een communicatie-interventie, in deze studie niet succesvol is gebleken. De cues bleken geen significant effect te hebben op de beschermingsintentie van participanten als het gaat om hun online privacy. Ook hadden de toespelingen op
dreigingsernst en responseffectiviteit geen effect op de keuze of participanten al dan niet akkoord gingen met de tracking-cookie. De studieresultaten toonden een afwezigheid van zowel een relatief als cumulatief effect van de cues op beschermingsintentie van participanten als het gaat om hun online privacy. Participanten die niet werden blootgesteld aan cues, lieten de hoogste beschermingsintentie zien. Echter, deze resultaten zijn alleen te betrekken op deze studie, namelijk een tekstuele communicatie-interventie in de vorm van een cookiebericht dat mensen zien bij het openen van een website.
Opmerkelijk is dat de onderzoeksresultaten aantonen dat participanten in de
controleconditie, zonder blootstelling aan cues, het meest gemotiveerd waren om hun online privacy te beschermen. Dit verschil was zelfs significant ten opzichte van de dreigingsernst-conditie. Een eerste mogelijke verklaring hiervoor zou de tekstlengte van de cookiemelding kunnen zijn. Hoe sterker het verschil tussen de gemiddelden op beschermingsintentie, hoe hoger het aantal leestekens was ten opzichte van de controleconditie. Dit vermoeden vindt steun bij de controlevariabele leestekens. Alhoewel het aantal leestekens de
beschermingsintentie niet significant voorspelde, was deze toets wel significant geweest als een betrouwbaarheidsinterval van negentig procent was toegepast. Gesuggereerd kan worden dat het aantal leestekens enige invloed heeft gehad op de onderzoeksresultaten. In
vervolgonderzoek zal dan ook rekening moeten worden gehouden met de tekstlengte van het stimulusmateriaal. Het is raadzaam om het aantal leestekens gelijk te houden tussen de condities. Ook is het raadzaam om tekstueel stimulusmateriaal zo kort mogelijk te houden, aangezien een hoger aantal leestekens de beschermingsintentie lijkt te verlagen.
Ten tweede zou de hoge score op beschermingsintentie in de controleconditie
verklaard kunnen worden aan de hand van de cognitive theory of multimedia learning (Mayer & Moreno, 2003). Er zou sprake geweest kunnen zijn van een cognitieve overload. De theorie stelt namelijk dat mensen afzonderlijke systemen hebben voor het verwerken van beeld en
gesproken tekst. Elk kanaal is beperkt in de hoeveelheid materiaal die tegelijkertijd kan worden verwerkt. Mensen leren beter bij het consumenten van gesproken tekst en beelden dan van geschreven woorden alleen. Dit wordt het "multimedia-principe" genoemd. In het licht van deze studie kan verondersteld worden dat het stimulusmateriaal (de cookiemelding) meer tekst bevatte dan het brein kon verwerken. Dit zou kunnen verklaren waarom de
controleconditie hoger scoorde, gezien participanten in deze conditie minder tekst moesten lezen. Voor vervolgonderzoek is het interessant om de toepasbaarheid van PMT te toetsen in een communicatie-interventie in een andere vorm. De cognitive theory of multimedia learning stelt namelijk dat het bericht effectiever zou zijn wanneer de boodschap geuit wordt via zowel beeld als geluid. Vervolgonderzoek zou de toepasbaarheid van PMT in een informatieve video kunnen toetsen, waarbij zowel geluid als beeld aanwezig is. De interventie zal makkelijker te verwerken zijn, omdat beide kanalen benut worden.
Limitaties
Er zijn enkele kanttekeningen te plaatsen bij de totstandkoming van dit onderzoek. Ten eerste waren er technische problemen met Qualtrics waardoor sommige participanten met een Android-telefoon het stimulusmateriaal niet konden lezen, omdat de tekst niet vergroot kon worden. Participanten die aangaven dat zij hier last van ondervonden, zijn uit de sample verwijderd. Echter, het blijft het onduidelijk of er meer mensen zijn geweest die hier problemen mee hadden en of dit de onderzoeksresultaten heeft beïnvloed.
Een tweede punt is de alertheid van participanten tijdens de studie. Het is aannemelijk dat hun gedrag anders is als zij met een duidelijk doel naar een website gaan. In zo’n situatie wordt hen niet nadrukkelijk gevraagd de cookiemelding te lezen. Vervolgonderzoek zou uit een experiment kunnen bestaan waarbij participanten een opdracht moeten uitvoeren waarbij zij een cookiemelding tegenkomen en zo onbewust een cookiekeuze maken. Voor
onderzoekers zou het interessant zijn om de present bias hierbij te betrekken (Barth & de Jong, 2017). De bias stelt dat mensen meer bezig zijn met het momentum en niet met de gevolgen voor de toekomst. In het geval van een websitebezoek zullen bezoekers meer bezig zijn met de taak die zij willen uitvoeren, dan de gevaren voor hun online privacy. Dit
suggereert dat websitebezoekers om deze reden mogelijk geen doordachte cookiekeuze maken, omdat zij gefocust zijn op de taak die zij moeten uitvoeren. De studieresultaten zouden de huidige plaatsing van cookiemeldingen in twijfel kunnen trekken. Mogelijk is dit niet de juiste plek voor consumenten om een actieve en geïnformeerde cookiekeuze te maken over hun privacy.
Ten derde kan de samenstelling van de sample invloed kunnen hebben gehad op de onderzoeksresultaten. Participanten waren gemiddeld hoog opgeleid, wat mogelijk
veroorzaakt is door de wervingswijze. Participanten zijn geworven middels de
sneeuwbalmethode, waardoor de sample vrij eenzijdig kan zijn. Daarnaast was de spreiding van leeftijd in de sample zeer groot. Wellicht zijn de resultaten anders als de spreiding van de leeftijd kleiner is. Vervolgonderzoek zou hier rekening mee kunnen houden.
Implicaties
Ondanks het gebrek aan effecten draagt dit onderzoek op relevante wijze bij aan de bestaande literatuur, omdat het de eerste is die PMT toepast in het domein van online privacy. Deze studie onderzocht als eerste het effect van twee aspecten van PMT op de motivatie van websitebezoekers om een bewuste keuze te maken ten aanzien van cookie-instellingen. De studieresultaten kunnen het relatieve en cumulatieve effect niet bevestigen. Interessant is echter dat de gemiddelden aantonen dat het toespelen op responseffectiviteit-cues
daadwerkelijk effectiever is dan een toespeling op dreigingsernst-cues, al was het verschil niet significant. Deze resultaten komen overheen met voorgaand onderzoek. Daarnaast levert dit
onderzoek een belangrijke methodologische bijdrage, gezien de studie heeft onderzocht of een communicatie-interventie in de vorm van een cookiemelding een goed middel is om
consumenten te motiveren om de controle te nemen over hun persoonsgegevens bij het maken van een cookiekeuze.
Tot slot kunnen de uitkomsten van dit onderzoek relevante input bieden voor beleidsoverwegingen (voor zowel overheden als consumentenbonden), wanneer zij consumenten willen motiveren om hun online privacy te beschermen. De studie heeft inzichtelijk gemaakt dat het aantal leestekens van belang is bij het ontwikkelen van een interventie in de vorm van een cookiemelding. Websitebezoekers lijken meer baat te hebben bij kortere teksten, als het gaat de motivatie om hun online privacy te beschermen. Het is dan ook raadzaam om de extra informatie die nodig is voor een geïnformeerde cookiekeuze zo kort en bondig mogelijk te tonen in cookiemeldingen. Participanten in deze studie waren het meest gemotiveerd bij 268 leestekens. Dit aantal kan als richtlijn gebruikt worden bij de ontwikkeling van toekomstige cookiemeldingen. Hierbij is het effectief om
responseffectiviteit-cues te gebruiken.
Naast theoretische en praktische implicaties heeft de studie ook belangrijke implicaties voor beleidsmakers. Zij moeten de privacy van consumenten beschermen regelgeving. Echter heeft dit nog niet geleid tot het daadwerkelijk nemen van de controle. Beleidsmakers zouden de vereisten van cookiemeldingen kunnen aanscherpen door te besluiten dat de benodigde informatie om een geïnformeerde cookiekeuze te maken aanwezig moet zijn tijdens het maken van de keuze. En dus niet verscholen blijft in privacyclausules die consumenten niet lezen. Bij het maken van een cookiekeuze zou in één oogopslag te zien moeten zijn welke soorten persoonsgegevens verzameld en verwerkt worden, met welke doeleinden, welke bedrijven toegang hebben tot die informatie en hoe lang deze persoonsgegevens worden
bewaard. Hierbij kunnen zij een maximale hoeveelheid leestekens vereisen, omdat een grotere hoeveelheid leestekens de beschermingsintentie verlaagt.
REFERENTIES
Ajzen, I., & Fishbein, M. (1972). Attitudes and normative beliefs as factors influencing behavioral intentions. Journal of Personality and Social Psychology, 21(1), 1–9. https://doi.org/10.1037/h0031930
Anderson, C. L., & Agarwal, R. (2010). Practicing safe computing: a multimedia empirical examination of home computer user security behavioral intentions. MIS
quarterly, 34(3), 613-643. https://doi.org/10.2307/25750694
Autoriteit Persoonsgegevens. (2018). Rechten van betrokkenen. Geraadpleegd op 9 november 2018, van
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/rechten-van-betrokkenen
Barth, S., & de Jong, M. D. (2017). The privacy paradox - Investigating discrepancies between expressed privacy concerns and actual online behavior - A systematic literature review. Telematics and Informatics, 34(7), 1038-1058. https://doi.org/ 10.1016/j.tele.2017.04.013
Blythe, J. M., & Coventry, L. (2018). Costly but effective: Comparing the factors that
influence employee anti-malware behaviours. Computers in Human Behavior, 87, 87– 97.
Boerman, S. C., Kruikemeier, S., & Zuiderveen Borgesius, F. J. (2018). Exploring motivations for online privacy protection behavior: Insights from panel data. Communication Research, 0093650218800915. https://doi.org/10.1177/ 0093650218800915
Bornstein, R. F., & D'agostino, P. R. (1992). Stimulus recognition and the mere exposure effect. Journal of personality and social psychology, 63(4), 545. https://doi.org/ 10.1037//0022-3514.63.4.545
Boss, S. R., Galletta, D. F., Lowry, P. B., Moody, G. D., & Polak, P. (2015). What do systems users have to fear? using fear appeals to engender threats and fear that motivate
protective security behaviors. MIS Quarterly, 39(4), 837-864. https://doi.org/ 10.25300/misq/2015/39.4.5
Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security
awareness. MIS quarterly, 34(3), 523-548. https://doi.org/10.2307/25750690
Burns, A. J., Posey, C., Roberts, T. L., & Lowry, P. B. (2017). Examining the relationship of organizational insiders' psychological capital with information security threat and coping appraisals. Computers in Human Behavior, 68, 190-209. http://dx.doi.org/ 10.1016/j.chb.2016.11.018.
Cathcart, R. L., & Glendon, A. I. (2016). Judged effectiveness of threat and coping appraisal anti-speeding messages. Accident Analysis & Prevention, 96, 237-248. https://doi.org/ 10.1016/j.aap.2016.08.005
Chang, Y., Wong, S. F., Libaque-Saenz, C. F., & Lee, H. (2018). The role of privacy policy on consumers’ perceived privacy. Government Information Quarterly. https://doi.org/ 10.1016/j.giq.2018.04.002
Chen, J., & Stallaert, J. (2014). An economic analysis of online advertising using behavioral targeting. MIS Quarterly, 38(2), 429-450. https://doi.org/10.25300/misq/2014/38.2.05 Chen, Y., & Zahedi, F. M. (2016). Individuals' internet security perceptions and behaviors:
Polycontextual contrasts between the United States and China. Mis Quarterly, 40(1), 205-222. https://doi.org/10.25300/misq/2016/40.1.09
Floyd, D. L., Prentice‐ Dunn, S., & Rogers, R. W. (2000). A meta‐ analysis of research on protection motivation theory. Journal of applied social psychology, 30(2), 407-429. https://doi.org/10.1111/j.1559-1816.2000.tb02323.x
Gerber, N., Gerber, P., & Volkamer, M. (2018). Explaining the privacy paradox - a systematic review of literature investigating privacy attitude and behavior. Computers & Security, 77(1), 226-261. https://doi.org/10.1016/j.cose.2018.04.002
Groep gegevensbescherming artikel 29. (2018). Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679. (WP259 versie 01). Geraadpleegd op
https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp259_rev_0 .1_nl.pdf
Glendon, A. I., & Walker, B. L. (2013). Can anti-speeding messages based on protection motivation theory influence reported speeding intentions?. Accident Analysis & Prevention, 57, 67-79. https://doi.org/10.1016/j.aap.2013.04.004
Hanus, B., & Wu, Y. A. (2016). Impact of users’ security awareness on desktop security behavior: A protection motivation theory perspective. Information Systems Management, 33(1), 2-16. https://doi.org/10.1080/10580530.2015.1117842 Ifinedo, P. (2012). Understanding information systems security policy compliance: An
integration of the theory of planned behavior and the protection motivation theory. Computers & Security, 31(1), 83-95. https://doi.org/10.1016/j.cose.2011. 10.007
Jansen, J., & van Schaik, P. (2019). The design and evaluation of a theory-based intervention to promote security behaviour against phishing. International Journal of Human-Computer Studies, 123, 40-55. https://doi.org/10.1016/j.ijhcs.2018.10.004
Johnston, A.C., Warkentin, M., 2010. Fear appeals and information security behaviors: An empirical study. MIS Quarterly, 34(3), 549-566. https://doi.org/10.2307/25750691
Kulche, P. (2014, 25 april). Cookiewet heeft bar weinig opgeleverd. Geraadpleegd op 25 december 2018, van https://www.consumentenbond.nl/internet-privacy/cookiewet-heeft-weinig-opgeleverd
Lee, Y., & Larsen, K. R. (2009). Threat or coping appraisal: Determinants of SMB
executives’ decision to adopt anti-malware software. European Journal of Information Systems, 18(2), 177-187. https://doi.org/10.1057/ejis.2009.11
Leonard, T. (2008). Richard H. Thaler, Cass R. Sunstein, Nudge: Improving decisions about health, wealth, and happiness. Constitutional Political Economy, 19(4), 356-360. https://doi.org/10.1007/s10602-008-9056-2
Maddux, J. E., & Rogers, R. W. (1983). Protection motivation and self-efficacy: A revised theory of fear appeals and attitude change. Journal of Experimental Social
Psychology, 19(5), 469–479. https://doi.org/10.1016/0022-1031(83)90023-9
Marotta-Wurgler, F. (2011). Will increased disclosure Help? Evaluating the recommendations of the ALI's" principles of the law of software contracts". The University of Chicago Law Review, 78(1), 165. https://doi.org/10.2139/ssrn.1713860
Mayer, P., Kunz, A., & Volkamer, M. (2017, August). Reliable Behavioural Factors in the Information Security Context. Proceedings of the 12th International Conference on Availability, Reliability and Security (9). https://doi.org/10.1145/3098954.3098986 Mayer, R. E., & Moreno, R. (2003). Nine ways to reduce cognitive load in multimedia
learning. Educational psychologist, 38(1), 43-52. https://doi.org/10.1207/S15326985 EP3801_6
Menard, P., Gatlin, R., & Warkentin, M. (2014). Threat protection and convenience: Antecedents of cloud-based data backup. Journal of Computer Information Systems, 55(1), 83-91. https://doi.org/10.1080/08874417.2014.11645743
Milne, S., Orbell, S., & Sheeran, P. (2002). Combining motivational and volitional interventions to promote exercise participation: Protection motivation theory and implementation intentions. British Journal of Health Psychology, 7(2), 163–184. https://doi.org/10.1348/135910702169420
Milne, S., Sheeran, P., & Orbell, S. (2000). Prediction and intervention in health‐ related behavior: A meta‐ analytic review of protection motivation theory. Journal of Applied Social Psychology, 30(1), 106-143. https://doi.org/10.1111/j.1559-1816.2000.tb02308.x
Mou, J., Cohen, J., & Kim, J.K. 2017. A meta-analytic structural equation modeling test of protection motivation theory in information security literature,” in proceedings of the 38thInternationalConference on Information Systems. doi:10.1002/9781118 957813.ch7
Pechmann, C., Zhao, G., Goldberg, M. E., & Reibling, E. T. (2003). What to convey in antismoking advertisements for adolescents: The use of protection motivation theory to identify effective message themes. Journal of Marketing, 67(2), 1–18.
https://doi.org/10.1509/jmkg.67.2.1.18607
Petty, R. E., & Cacioppo, J. T. (1984). The effects of involvement on responses to argument quantity and quality: Central and peripheral routes to persuasion. Journal of
personality and social psychology, 46(1), 69–81. https://doi.org/10.1037/0022-3514.46.1.69
Prentice-Dunn, S., Floyd, D. L., & Flournoy, J. M. (2001). Effects of persuasive message order on coping with breast cancer information. Health Education Research, 16(1), 81-84. https://doi.org/10.1093/her/16.1.81
Reid, R., van Niekerk, J., 2016. Decoding audience interpretations of awareness campaign messages. Information & Computer Security, 24(2), 177-193.
https://doi.org/10.1108/ics-01-2016-0003
Rippetoe, P. A., & Rogers, R. W. (1987). Effects of components of protection-motivation theory on adaptive and maladaptive coping with a health threat. Journal of personality and social psychology, 52(3), 596–604. https://doi.org/10.1037/0022-3514.52.3.596 Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude
change1. The journal of psychology, 91(1), 93-114. https://doi.org/10.1080/ 00223980.1975.9915803
Sheeran, P., Harris, P. R., & Epton, T. (2014). Does heightening risk appraisals change people’s intentions and behavior? A meta-analysis of experimental studies. Psychological bulletin, 140(2), 511-543. https://doi.org/10.1037/a0033065
Shillair, R., Cotten, S. R., Tsai, H. Y. S., Alhabash, S., LaRose, R., & Rifon, N. J. (2015). Online safety begins with you and me: Convincing internet users to protect
themselves. Computers in Human Behavior, 48, 199-207. https://doi.org/10.1016/ j.chb.2015.01.046
Smit, E. G., van Noort, G., & Voorveld, H. A. (2014). Understanding online behavioural advertising: User knowledge, privacy concerns and online coping behaviour in Europe. Computers in Human Behavior, 32, 15-22. https://doi.org/10.1016/j.chb. 2013.11.008
Sommestad, T., Karlzén, H., & Hallberg, J. (2015). A meta-analysis of studies on protection motivation theory and information security behaviour. International Journal of Information Security and Privacy, 9(1), 26-46. https://doi.org/10.4018/
Strycharz, J., van Noort, G., Smit, E., Helberger, N. (2018, March). Do i have a reason to worry: Knowledge-based affective elements of attitude towards personalized
marketing communication. Paper presented at the Annual Conference of the American Academy of Advertising, New York, USA.
Tkacik, D. (2016, 11 maart). Website Sheds Light on Shortcomings of Privacy Policies - News - Carnegie Mellon University. Geraadpleegd op 12 november 2018, van https://www.cmu.edu/news/stories/archives/2016/march/privacy-policy.html van Bavel, R., Rodríguez-Priego, N., Vila, J., & Briggs, P. (2019). Using protection
motivation theory in the design of nudges to improve online security behavior. International Journal of Human-Computer Studies, 123, 29-39. https://doi.org/10.1016/j.ijhcs.2018.11.003
Venkatadri, G., Andreou, A., Liu, Y., Mislove, A., Gummadi, K. P., Loiseau, P., & Goga, O. (2018). Privacy risks with Facebook’s PII-based targeting: Auditing a data broker’s advertising interface. In IEEE Symposium on Security and Privacy (SP) 221-239. https://doi.org/10.1109/sp.2018.00014
Zou, Y., Mhaidli, A. H., McCall, A., & Schaub, F. (2018). I've got nothing to lose: consumers' risk perceptions and protective actions after the equifax data breach. In Proceedings of the Fourteenth USENIX Conference on Usable Privacy and Security 197-216.
USENIX Association.
Zuiderveen Borgesius, F. Z. (2015). Privacybescherming online kan beter: De mythe van geïnformeerde toestemming. Nederlands Juristenblad, 90(14), 878-883.
Zuiderveen Borgesius, F. Z. (2016). Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new data protection
regulation. Computer Law & Security Review, 32(2), 256-271. https://doi.org/10.1016/ j.clsr.2015.12.013
Zuiderveen Borgesius, F. J. Z., Kruikemeier, S., Boerman, S. C., & Helberger, N. (2017). Tracking walls, take-it-or-leave-it choices, the GDPR, and the e-privacy
regulation. European Data Protection Law Review, 3(3), 353-368. https://doi.org/10.21552/edpl/2017/3/9
Bijlage A. Stimulusmateriaal Controleconditie
Dreigingsernst-conditie
