Laatste update op 11 november 2019

“PrivacyShield works if you just apply enough lipstick”
~ A. Kamphuis

Tweet Kees Verhoeven

Verschillende Tweede Kamerleden, onder wie Kees Verhoeven (D66) , zeggen in een reactie op een onderzoek van het AD dat de datahonger van de wereldspelers op internet is doorgeslagen. Mede gezien de verdienmodellen van zogenaamde techgiganten Google en Facebook en grote datahandelaren die lijsten met de meest intieme gegevens verhandelen voor 7 cent per naam, denk ik dat hij gelijk heeft.

Op Twitter stelt Michiel Steltman, directeur van Digitale Infrastructuur NL, een paar aansprekende vragen over dit onderwerp die in essentie gaan over ‘wat gaat er nu precies mis?’ en ik beloofde hem er een blog over.

Die ‘datadrift’ is natuurlijk niet van gisteren, alhoewel deze in de laatste tien jaar exponentieel is gegroeid. Verder kennen niet alleen de techgiganten verzamelwoede, ook overheden kunnen er wat van. Hoe erg is hun verzameldrift eigenlijk voor ons? Welke van de twee is schadelijker, is een van de vragen die ik zag langskomen. Ik denk dat het uiteindelijk de praktijken van de techgiganten zijn die ons als individu het meeste kwaad kunnen doen. Ik zal uitleggen waarom.

De verzameldrift is een van de redenen waarom er in Europa is gekozen voor strengere regels voor bescherming van persoonsgegevens. Die regels helpen alleen niet voldoende. Het grootste probleem is dat je (nog steeds) niet die controle over je gegevens hebt  zoals je die hoort te hebben. Veel van de datadrift drijft op ‘toestemming’, maar mensen worden niet goed geïnformeerd over waarvoor ze nu precies toestemming geven en waar hun gegevens precies naartoe gaan. Ze raken dus de grip op hun eigen gegevens kwijt. Naast opzet dan wel te weinig kennis bij organisaties en te weinig handhaving in Europa is het lapmiddel genaamd  ‘Privacy Shield’ daar debet aan, terwijl dat “schild” de bescherming van onze persoonsgegevens in de VS juist moet waarborgen. Die uitwisseling tussen de EU en VS staat centraal in dit verhaal, want ook Europese spelers spelen gegevens door aan de Amerikaanse partijen.

Ik ga hier dus vooral in op de echte giganten als Google en Facebook waarvan hun corebusiness is geld verdienen aan jouw gegevens via advertenties. En juist dat zorgt voor de grootste problemen; datahandelaren betalen graag voor al die informatie. De markt lijkt niet meer te stoppen.

Het verzamelen maken de techbedrijven zichzelf zo makkelijk mogelijk, dat zie je bijvoorbeeld aan de manier waarop keuzes van instellingen worden gepresenteerd. Die maken het voor de gemiddelde gebruiker lastig om de opties voor de bescherming van hun eigen privacy optimaal in te stellen (terwijl dat standaard zo zou moeten zijn ingesteld). Hiervoor worden simpele trucjes gebruikt als het bijna opdringen van een ‘accepteerbutton’ door deze duidelijk en op de meest voor de hand liggende “klikplek” te tonen, terwijl de afwijs- of instelmogelijkheid slechts lichtgrijs in tekst wordt getoond. Het is een simpele, maar effectieve marketingtruc onder de noemer ‘Gewenst gedrag uitlokken’. FrankWatching geeft daar een perfect voorbeeld van:

cookie-instellingen Frank Watching
cookie-instellingen Frank Watching

In het voorbeeld hieronder zie je dat de NPO dit niet eens zo slecht doet, maar toch staat alles standaard aangevinkt en vooral de laatste categorie, waarin je internetgedrag wordt gemonitord voor zaken die niet in een andere categorie vallen, is een interessante. En waarom zou de NPO je advertenties willen tonen? En waarom zou je überhaupt advertenties willen zien?

Over die datadrift maak ik mij al langer zorgen en in mijn werk zie ik ook de problemen die de datadrift veroorzaakt. Vaak lukt het organisaties hierdoor niet om AVG-compliant te werken, onder andere omdat er te weinig kennis in huis is om voorzorgsmaatregelen te nemen, die in de eerste plaats helemaal niet nodig zouden moeten zijn. Denk bijvoorbeeld aan de YouTube-video die je op je bedrijfswebsite insluit. Die plaatst trackingcookies als je vergeet de privacymodus in te schakelen in de insluitcode. Tegen wil en dank gaan er dan gegevens over de bezoeker naar Google. Soms staat er dan wel in de cookieverklaring dat men niet verantwoordelijk is voor dit soort third-party-trackingcookies, want de organisatie wil de video wel graag tonen. En als organisaties het al niet snappen, hoe moet de individu het dan wel snappen?

Big data

Dan de vraag van Michiel Steltman of ‘veel’ data gelijk staat aan ‘slecht’. Wat gaat er precies mis, hoe schaadt een techgigant als Google de gebruiker? Het gaat hier inderdaad niet zozeer om de hoeveelheid alleen, maar om de hoeveelheid en de soort informatie in combinatie met de onmogelijkheid van gebruikers om het delen te stoppen. Precies daarom staat ‘veel’ op dit moment gelijk aan ‘slecht’. De hoeveelheid omvat standaard veel verschillende soorten informatie die samen ‘big data’ vormen. Die big data maakt mensen kwetsbaar. Sowieso maken monopolies mensen kwetsbaar. Er is dan weinig keuze.

Alle opties die ten faveure van de eigen inkomsten van de techgigant worden gepresenteerd, lijken altijd uitsluitend voor jouw voordeel te zijn gemaakt. Jij krijgt alleen die dingen te zien die jij belangrijk vindt. De vraag is of dat klopt en of dat inderdaad wenselijk is (bedenk: filterbubbel waarbij je niet meer zelf bepaalt wat je te zien krijgt). De consequenties worden nooit helder uitgelegd. Wij worden geacht ze zelf te snappen. En dat is helaas niet hoe werkt.

De pijn voelen we pas als we met de gevolgen worden geconfronteerd. Dat kan zich uiten in politieke beïnvloeding, manipulatie of bijvoorbeeld in beslissingen die over jou worden genomen, zoals een hogere verzekeringspremie omdat er in je familie een bepaalde erfelijke ziekte  voorkomt. De verzekeraar weet  dat, zonder dat jij die informatie hebt geleverd, of je er überhaupt om heeft gevraagd. De informatie levert ook een uitdaging op: welke gegevens zijn  betrouwbaar en actueel?  Voor het antwoord op de vraag hoe techgiganten je privacy kunnen schenden, verwijs ik ook graag naar Aral Balkan, die daar, als internationaal bekende activist tegen datadrift, in verschillende blogs veel helderheid over geeft. Hij legt uit dat democratie onder druk staat door “mensen te bezitten, te controleren en te vermarkten.” Hij noemt dit ‘surveillance capitalism’.

Overheden

En hoe zit het met de datahonger van de NSA en de AIVD? Uiteraard gelden er wettelijke regels en is er een toezichthouder. Maar ook over overheden moeten we niet naïef zijn. Zoals Snowden zei:
I can’t in good conscience allow the US government to destroy privacy and basic liberties”. Om over de zorgen rondom proportionaliteit, massasurveillance en het correct gebruik van bevoegdheden niet eens te spreken: de recente ontwikkelingen in Turkije en Spanje laten zien dat politieke richtingen in landen kunnen veranderen. Alle data van personen waar overheden over beschikken, kunnen dan ineens tegen je werken, terwijl het verzamelen ervan ooit zo verstandig leek. Het koppelen van informatie waar dat oorspronkelijk niet de bedoeling was (function creep) is ook hier een gevaarlijke factor.

Nederland kent daar voorbeelden van, bijvoorbeeld toen een aantal decennia geleden ons fantastische registratiesysteem de vijand hielp om snel en zoveel mogelijk joden in de kraag te vatten. Daar was de registratie natuurlijk helemaal niet voor bedoeld. Bovendien passen databanken voor reisbewegingen, dna, gezichtsherkenning, vingerafdrukken, enzovoorts, helemaal niet bij privacy als mensenrecht. Het is dus zaak steeds te blijven discussiëren over nadelen en de proportionaliteit van het verzamelen, te evalueren en bij te stellen.

Vrijbrief voor de techgigant

Daar waar overheden in democratische landen in het algemeen nog de intentie hebben om zorgvuldig met je gegevens om te gaan en deze binnen een bepaald tijdsbestek te verwijderen, hebben commerciële organisaties die intentie helemaal niet. Die willen er geld aan verdienen. Ze hoeven bovendien niet zoveel verantwoording af te leggen als overheden en dat maakt hun verzameldrift gevaarlijker. Ze verwijzen handig simpelweg naar ‘toestemming’. Mensen hebben ‘toestemming’ gegeven en onder het mom van die verwerkingsgrondslag (de wettelijke geldige reden om iets te mogen verzamelen), verzamelen ze wat ze willen.

Je houdt je hart vast als je bedenkt dat overheden die informatie kunnen verkrijgen door de gegevens van commerciële partijen op te eisen. Denk je dat dit geen risico’s oplevert? Bedenk dan nog eens dat overheden een onmiskenbaar onvermogen hebben om de verzamelde gegevens goed te beschermen. Dat zeggen ze  soms zélf: “De Belastingdienst noemt het technisch onmogelijk om persoonsgegevens goed te beveiligen.” Maar ook de NSA heeft zijn lekken (Snowden, Eternal Blue, Wannacry). Gegevens zijn zelfs daar niet veilig.

Betalen met privacy

Niet iedereen realiseert zich dat je met je privacy betaalt als je daarvoor in ruil producten krijgt. Ik noem het bewust geen ‘gratis’ diensten, want dat zijn ze (meestal)* niet. Je betaalt zelfs vaak niet alleen met je eigen privacy, maar ook met dat van anderen. Als je bijvoorbeeld WhatsApp gebruikt, deel je al je contacten met Facebook. Zo komen er gegevens van mensen die helemaal geen diensten van Facebook gebruiken, toch bij die organisatie terecht. In die situatie heb je dus niet alle controle over je eigen gegevens.

Richard Serra en Carolat Fay Schoolman maakten daar in1973 al de aansprekende video ‘Television Delivers People’ over – mét stemmig muziekje. Je kunt de ‘televisie’ van toen een-op-een vertalen naar het ‘internet’ van nu. “Internet levert mensen aan een adverteerder.”

Grip

Een van de grootste problemen is de volkomen onduidelijkheid in wat er precies met je gegevens wordt gedaan nadat ze zijn binnengeharkt. Bij welke partijen komt welke informatie terecht en wat doen die partijen ermee? Je kunt je recht op inzage, beperking, verwijderen niet uitoefenen als je niet weet waar welke informatie terechtkomt. Weet jij antwoord op de vraag of een organisatie al je foto’s uitleest als je toegang geeft tot je opslag, of dat dit beperkt blijft tot de foto die de app moet weergeven?

De hypothetische vraag ‘Wat als je dat gemakkelijk uit kunt zetten?’ is dan ook precies waar het om gaat: dat kan namelijk helemaal niet. Dat nog los van het feit dat het andersom hoort te zijn. Je zou het moeten ‘aanzetten’, want dan pas kun je spreken van goed geïnformeerd, actief en nadrukkelijk toestemming geven. En dat is dus ook waar overheden hun beschermingstaken op moeten inzetten. Praktisch betekent dit: de toezichthouder voorzien van meer middelen om, zoals Michiel het in mijn beleving terecht noemt, “de toezichtstaak van een buitengewoon complexe wet met vaagheden en conflicten” op een goede manier te kunnen uitvoeren. Van organisaties die zich op de Europese markt richten, moet de AVG-naleving worden afgedwongen. Daarvoor heb je een krachtige, onafhankelijke toezichthouder nodig. Een organisatie die los van de politieke invloeden kan opereren.

Maar, de échte oplossing zit ‘m in iets anders. Namelijk: er als EU voor kiezen om geen lapmiddelen als Safe Harbor (dit strandde) en PrivacyShield (kans op stranden) in te zetten om toch maar de producten te kunnen blijven gebruik van deze giganten – die tot zulke grote monopolies zijn uitgegroeid, dat ze de democratie bedreigen – maar: door haar eigen privacyeisen écht af te dwingen. “Jij wilt op de Europese markt zaken doen? Kom met een compliant product.” (en dat werkt ook: Microsoft gaat bijvoorbeeld aanpassingen doorvoeren in Office 365 op grond van eisen die de Nederlandse overheid stelt).

… Door het stimuleren van Europese alternatieven met open standaarden voor de diensten die Google en Facebook bieden, want als er goede alternatieven zijn, moeten ook de techgiganten meebewegen.
… Door haast te maken met de nieuwe ePrivacyverordening, want die zal een boel verbetering brengen: trackingcookies van third-parties worden dan verplicht opt-in, zonder dat men de toegang mag beperken. En dat is ook op de Europese markt zeer welkom, want wie zit te wachten op 35 trackingcookies van Google als je een pizza bezorgd wilt krijgen in Groningen of een hotel wilt boeken bij een Nederlandse organisatie?

Totdat dit gebeurt, vestig ik mijn hoop op adblockers, cookieblockers, privacyvriendelijke zoekmachines en mensen zoals Max Schrems, die het opneemt voor de gegevensbescherming van de individu. Met zijn activistische vasthoudendheid krijgt hij tot nu toe meer voor elkaar dan de EU en haar toezichthouders.

Voor als je nog verder wilt lezen

Europese Commissie neemt haar rol van grondrechtenbewaker niet serieus (Volkskrant, Tijmen Wisman)

* producten met Creative Commons-licenties zijn vaak gratis (soms onder voorwaarden).

Categorieën: nieuws