Laatste update op 11 november 2019
“PrivacyShield works if you just apply enough lipstick”
~ A. Kamphuis
Verschillende Tweede Kamerleden, onder wie Kees Verhoeven (D66) , zeggen in een reactie op een onderzoek van het AD dat de datahonger van de wereldspelers op internet is doorgeslagen. Mede gezien de verdienmodellen van zogenaamde techgiganten Google en Facebook en grote datahandelaren die lijsten met de meest intieme gegevens verhandelen voor 7 cent per naam, denk ik dat hij gelijk heeft.
Op Twitter stelt Michiel Steltman, directeur van Digitale Infrastructuur NL, een paar aansprekende vragen over dit onderwerp die in essentie gaan over âwat gaat er nu precies mis?â en ik beloofde hem er een blog over.
Die âdatadriftâ is natuurlijk niet van gisteren, alhoewel deze in de laatste tien jaar exponentieel is gegroeid. Verder kennen niet alleen de techgiganten verzamelwoede, ook overheden kunnen er wat van. Hoe erg is hun verzameldrift eigenlijk voor ons? Welke van de twee is schadelijker, is een van de vragen die ik zag langskomen. Ik denk dat het uiteindelijk de praktijken van de techgiganten zijn die ons als individu het meeste kwaad kunnen doen. Ik zal uitleggen waarom.
De verzameldrift is een van de redenen waarom er in Europa is gekozen voor strengere regels voor bescherming van persoonsgegevens. Die regels helpen alleen niet voldoende. Het grootste probleem is dat je (nog steeds) niet die controle over je gegevens hebt zoals je die hoort te hebben. Veel van de datadrift drijft op âtoestemmingâ, maar mensen worden niet goed geĂŻnformeerd over waarvoor ze nu precies toestemming geven en waar hun gegevens precies naartoe gaan. Ze raken dus de grip op hun eigen gegevens kwijt. Naast opzet dan wel te weinig kennis bij organisaties en te weinig handhaving in Europa is het lapmiddel genaamd âPrivacy Shieldâ daar debet aan, terwijl dat âschildâ de bescherming van onze persoonsgegevens in de VS juist moet waarborgen. Die uitwisseling tussen de EU en VS staat centraal in dit verhaal, want ook Europese spelers spelen gegevens door aan de Amerikaanse partijen.
Ik ga hier dus vooral in op de echte giganten als Google en Facebook waarvan hun corebusiness is geld verdienen aan jouw gegevens via advertenties. En juist dat zorgt voor de grootste problemen; datahandelaren betalen graag voor al die informatie. De markt lijkt niet meer te stoppen.
Het verzamelen maken de techbedrijven zichzelf zo makkelijk mogelijk, dat zie je bijvoorbeeld aan de manier waarop keuzes van instellingen worden gepresenteerd. Die maken het voor de gemiddelde gebruiker lastig om de opties voor de bescherming van hun eigen privacy optimaal in te stellen (terwijl dat standaard zo zou moeten zijn ingesteld). Hiervoor worden simpele trucjes gebruikt als het bijna opdringen van een âaccepteerbuttonâ door deze duidelijk en op de meest voor de hand liggende âklikplekâ te tonen, terwijl de afwijs- of instelmogelijkheid slechts lichtgrijs in tekst wordt getoond. Het is een simpele, maar effectieve marketingtruc onder de noemer âGewenst gedrag uitlokkenâ. FrankWatching geeft daar een perfect voorbeeld van:
In het voorbeeld hieronder zie je dat de NPO dit niet eens zo slecht doet, maar toch staat alles standaard aangevinkt en vooral de laatste categorie, waarin je internetgedrag wordt gemonitord voor zaken die niet in een andere categorie vallen, is een interessante. En waarom zou de NPO je advertenties willen tonen? En waarom zou je ĂŒberhaupt advertenties willen zien?
Over die datadrift maak ik mij al langer zorgen en in mijn werk zie ik ook de problemen die de datadrift veroorzaakt. Vaak lukt het organisaties hierdoor niet om AVG-compliant te werken, onder andere omdat er te weinig kennis in huis is om voorzorgsmaatregelen te nemen, die in de eerste plaats helemaal niet nodig zouden moeten zijn. Denk bijvoorbeeld aan de YouTube-video die je op je bedrijfswebsite insluit. Die plaatst trackingcookies als je vergeet de privacymodus in te schakelen in de insluitcode. Tegen wil en dank gaan er dan gegevens over de bezoeker naar Google. Soms staat er dan wel in de cookieverklaring dat men niet verantwoordelijk is voor dit soort third-party-trackingcookies, want de organisatie wil de video wel graag tonen. En als organisaties het al niet snappen, hoe moet de individu het dan wel snappen?
Big data
Dan de vraag van Michiel Steltman of âveelâ data gelijk staat aan âslechtâ. Wat gaat er precies mis, hoe schaadt een techgigant als Google de gebruiker? Het gaat hier inderdaad niet zozeer om de hoeveelheid alleen, maar om de hoeveelheid en de soort informatie in combinatie met de onmogelijkheid van gebruikers om het delen te stoppen. Precies daarom staat âveelâ op dit moment gelijk aan âslechtâ. De hoeveelheid omvat standaard veel verschillende soorten informatie die samen âbig dataâ vormen. Die big data maakt mensen kwetsbaar. Sowieso maken monopolies mensen kwetsbaar. Er is dan weinig keuze.
Alle opties die ten faveure van de eigen inkomsten van de techgigant worden gepresenteerd, lijken altijd uitsluitend voor jouw voordeel te zijn gemaakt. Jij krijgt alleen die dingen te zien die jij belangrijk vindt. De vraag is of dat klopt en of dat inderdaad wenselijk is (bedenk: filterbubbel waarbij je niet meer zelf bepaalt wat je te zien krijgt). De consequenties worden nooit helder uitgelegd. Wij worden geacht ze zelf te snappen. En dat is helaas niet hoe werkt.
De pijn voelen we pas als we met de gevolgen worden geconfronteerd. Dat kan zich uiten in politieke beĂŻnvloeding, manipulatie of bijvoorbeeld in beslissingen die over jou worden genomen, zoals een hogere verzekeringspremie omdat er in je familie een bepaalde erfelijke ziekte voorkomt. De verzekeraar weet dat, zonder dat jij die informatie hebt geleverd, of je er ĂŒberhaupt om heeft gevraagd. De informatie levert ook een uitdaging op: welke gegevens zijn betrouwbaar en actueel? Voor het antwoord op de vraag hoe techgiganten je privacy kunnen schenden, verwijs ik ook graag naar Aral Balkan, die daar, als internationaal bekende activist tegen datadrift, in verschillende blogs veel helderheid over geeft. Hij legt uit dat democratie onder druk staat door âmensen te bezitten, te controleren en te vermarkten.â Hij noemt dit âsurveillance capitalismâ.
Overheden
En hoe zit het met de datahonger van de NSA en de AIVD? Uiteraard gelden er wettelijke regels en is er een toezichthouder. Maar ook over overheden moeten we niet naĂŻef zijn. Zoals Snowden zei:
âI canât in good conscience allow the US government to destroy privacy and basic libertiesâ. Om over de zorgen rondom proportionaliteit, massasurveillance en het correct gebruik van bevoegdheden niet eens te spreken: de recente ontwikkelingen in Turkije en Spanje laten zien dat politieke richtingen in landen kunnen veranderen. Alle data van personen waar overheden over beschikken, kunnen dan ineens tegen je werken, terwijl het verzamelen ervan ooit zo verstandig leek. Het koppelen van informatie waar dat oorspronkelijk niet de bedoeling was (function creep) is ook hier een gevaarlijke factor.
Nederland kent daar voorbeelden van, bijvoorbeeld toen een aantal decennia geleden ons fantastische registratiesysteem de vijand hielp om snel en zoveel mogelijk joden in de kraag te vatten. Daar was de registratie natuurlijk helemaal niet voor bedoeld. Bovendien passen databanken voor reisbewegingen, dna, gezichtsherkenning, vingerafdrukken, enzovoorts, helemaal niet bij privacy als mensenrecht. Het is dus zaak steeds te blijven discussiëren over nadelen en de proportionaliteit van het verzamelen, te evalueren en bij te stellen.
Vrijbrief voor de techgigant
Daar waar overheden in democratische landen in het algemeen nog de intentie hebben om zorgvuldig met je gegevens om te gaan en deze binnen een bepaald tijdsbestek te verwijderen, hebben commerciĂ«le organisaties die intentie helemaal niet. Die willen er geld aan verdienen. Ze hoeven bovendien niet zoveel verantwoording af te leggen als overheden en dat maakt hun verzameldrift gevaarlijker. Ze verwijzen handig simpelweg naar âtoestemmingâ. Mensen hebben âtoestemmingâ gegeven en onder het mom van die verwerkingsgrondslag (de wettelijke geldige reden om iets te mogen verzamelen), verzamelen ze wat ze willen.
Je houdt je hart vast als je bedenkt dat overheden die informatie kunnen verkrijgen door de gegevens van commerciĂ«le partijen op te eisen. Denk je dat dit geen risicoâs oplevert? Bedenk dan nog eens dat overheden een onmiskenbaar onvermogen hebben om de verzamelde gegevens goed te beschermen. Dat zeggen ze soms zĂ©lf: âDe Belastingdienst noemt het technisch onmogelijk om persoonsgegevens goed te beveiligen.â Maar ook de NSA heeft zijn lekken (Snowden, Eternal Blue, Wannacry). Gegevens zijn zelfs daar niet veilig.
Betalen met privacy
Niet iedereen realiseert zich dat je met je privacy betaalt als je daarvoor in ruil producten krijgt. Ik noem het bewust geen âgratisâ diensten, want dat zijn ze (meestal)* niet. Je betaalt zelfs vaak niet alleen met je eigen privacy, maar ook met dat van anderen. Als je bijvoorbeeld WhatsApp gebruikt, deel je al je contacten met Facebook. Zo komen er gegevens van mensen die helemaal geen diensten van Facebook gebruiken, toch bij die organisatie terecht. In die situatie heb je dus niet alle controle over je eigen gegevens.
Richard Serra en Carolat Fay Schoolman maakten daar in1973 al de aansprekende video âTelevision Delivers Peopleâ over – mĂ©t stemmig muziekje. Je kunt de ’televisie’ van toen een-op-een vertalen naar het ‘internet’ van nu. âInternet levert mensen aan een adverteerder.â
Grip
Een van de grootste problemen is de volkomen onduidelijkheid in wat er precies met je gegevens wordt gedaan nadat ze zijn binnengeharkt. Bij welke partijen komt welke informatie terecht en wat doen die partijen ermee? Je kunt je recht op inzage, beperking, verwijderen niet uitoefenen als je niet weet waar welke informatie terechtkomt. Weet jij antwoord op de vraag of een organisatie al je fotoâs uitleest als je toegang geeft tot je opslag, of dat dit beperkt blijft tot de foto die de app moet weergeven?
De hypothetische vraag âWat als je dat gemakkelijk uit kunt zetten?â is dan ook precies waar het om gaat: dat kan namelijk helemaal niet. Dat nog los van het feit dat het andersom hoort te zijn. Je zou het moeten âaanzettenâ, want dan pas kun je spreken van goed geĂŻnformeerd, actief en nadrukkelijk toestemming geven. En dat is dus ook waar overheden hun beschermingstaken op moeten inzetten. Praktisch betekent dit: de toezichthouder voorzien van meer middelen om, zoals Michiel het in mijn beleving terecht noemt, âde toezichtstaak van een buitengewoon complexe wet met vaagheden en conflictenâ op een goede manier te kunnen uitvoeren. Van organisaties die zich op de Europese markt richten, moet de AVG-naleving worden afgedwongen. Daarvoor heb je een krachtige, onafhankelijke toezichthouder nodig. Een organisatie die los van de politieke invloeden kan opereren.
Maar, de Ă©chte oplossing zit âm in iets anders. Namelijk: er als EU voor kiezen om geen lapmiddelen als Safe Harbor (dit strandde) en PrivacyShield (kans op stranden) in te zetten om toch maar de producten te kunnen blijven gebruik van deze giganten â die tot zulke grote monopolies zijn uitgegroeid, dat ze de democratie bedreigen â maar: door haar eigen privacyeisen Ă©cht af te dwingen. âJij wilt op de Europese markt zaken doen? Kom met een compliant product.â (en dat werkt ook: Microsoft gaat bijvoorbeeld aanpassingen doorvoeren in Office 365 op grond van eisen die de Nederlandse overheid stelt).
… Door het stimuleren van Europese alternatieven met open standaarden voor de diensten die Google en Facebook bieden, want als er goede alternatieven zijn, moeten ook de techgiganten meebewegen.
… Door haast te maken met de nieuwe ePrivacyverordening, want die zal een boel verbetering brengen: trackingcookies van third-parties worden dan verplicht opt-in, zonder dat men de toegang mag beperken. En dat is ook op de Europese markt zeer welkom, want wie zit te wachten op 35 trackingcookies van Google als je een pizza bezorgd wilt krijgen in Groningen of een hotel wilt boeken bij een Nederlandse organisatie?
Totdat dit gebeurt, vestig ik mijn hoop op adblockers, cookieblockers, privacyvriendelijke zoekmachines en mensen zoals Max Schrems, die het opneemt voor de gegevensbescherming van de individu. Met zijn activistische vasthoudendheid krijgt hij tot nu toe meer voor elkaar dan de EU en haar toezichthouders.
Voor als je nog verder wilt lezen
Europese Commissie neemt haar rol van grondrechtenbewaker niet serieus (Volkskrant, Tijmen Wisman)
* producten met Creative Commons-licenties zijn vaak gratis (soms onder voorwaarden).