Gastpost: Privacy is dood, leve de identiteit!

identity-identiteit-kaart.pngOmdat ik met vakantie ben, blog ik het wat rustiger aan. Ter compensatie publiceer ik een aantal zeer interessante gastposts. Vandaag een intrigerend verhaal van Stas Verberkt over waar het wérkelijk om gaat in het privacydebat.

De status quo rond privacy op internet heeft er toe geleid dat privacy en de bescherming van de persoonlijke levenssfeer dogma’s zijn geworden. Men is er volledig voor (“privacy is een grondrecht”) of heeft het al afgeserveerd (“privacy is dead, get over it”), zonder dat er wordt nagedacht over de diepere noodzaak van dit grondrecht en haar toepassingen. En dat terwijl innovatie en privacy helemaal niet lijnrecht tegenover elkaar hoeven te staan.

Back to basics: het gaat om de identiteit
In het vroege liberalisme werden de vrijheid van gedachten en van persoonlijkheid fundamenteel geacht. Die tweede gaat erom dat mensen in alle vrijheid een identiteit moeten kunnen ontwikkelen. Dat betekent dat je zelf bepaald wat je interessant, leuk of afschuwelijk vindt en daaruit een identiteit opbouwt.

Voor democratieën is de vrijheid om een eigen identiteit te ontplooien van groot belang. Als de meerderheid van de mensen gevormd kan worden naar het goeddunken van de machthebber is er slechts een schijndemocratie en zijn er zeker geen vrije mensen, zelfs als deze mensen ondertussen wel gelukkig zijn zoals in Huxley’s Brave New World.

De bescherming van de persoonlijke levenssfeer is een van de afgeleide rechten van het recht op de vrije ontwikkeling van een identiteit. Als iemand alles van jou weet, wordt je makkelijk beïnvloed. Dat kan gebeuren terwijl je het door hebt, zoals bij afpersing, of onderbewust, zoals bij online advertenties vaak gebeurd.

Juist de vrije ontplooiing van de persoonlijke identiteit is van belang. De persoonlijke levenssfeer biedt een plek waar je jezelf aan het publiek kan onttrekken ” wat de Amerikanen zo mooi als ’the right to be let alone” omschrijven in hun definitie van privacy. Echter, wij zijn juist sociale wezens die onszelf willen tonen en die interactie willen hebben met andere mensen. Dus ja, we willen graag op Facebook zitten, maar we willen niet dat we daardoor in ons zelfbeeld en onze vrijheid worden aangetast.

Hoewel de persoonlijke levenssfeer deel is van de definitie van privacy in Europa, staat de expliciete benadering van “ontplooiing van identiteit” meestal niet centraal. Men focust op internet vooral op de verwerking van persoonsgegevens. De nieuwe Privacyverordening wil hier nóg strengere regels stellen. Maar regels over verwerking van persoonsgegevens moeten geen doel op zich zijn.

Overigens kent de Duitse grondwet dit recht wel. In artikel 2 lid 1 staat namelijk dat iedereen recht heeft op de vrije ontplooiing van zijn persoonlijkheid, zolang de rechten van anderen, de grondwettelijke orde of de “morele wet” niet geschaad worden. Dat laatste is overigens niet zo eng als het klinkt, maar kun je beter interpreteren als “TBS is ook een beperking op de vrije ontwikkeling”.

Het begint met transparantie<br/> Een versterking van de privacy begint met transparantie. Weten wat ze over je weten. Natuurlijk, nu staat de wet bescherming persoonsgegevens al toe om inzage in je persoonsgegevens te krijgen, maar dat gaat vaak zeer bureaucratisch en blijkt in de praktijk nog eens niet te werken ook.

Het moge duidelijk zijn dat niemand zit te wachten op vijf kilo aan papier waarvoor je drie mensen moet inhuren om te kijken of jouw rechten geschaad worden. Liever zie ik een proactief recht op inzage, waarbij ik meteen denk aan een duidelijke visuele weergave van de persoonsgegevens die een partij van mij heeft. In mijn gedachten zie ik al fantastische “identity dashboards” voorbijschieten die direct uit een SciFi film gegrepen zijn. Dan ben je pas in controle over je eigen identiteit.

De echte bedreiging: profilering<br/> Digitale profilering van mensen is de grootste bedreiging voor de vrije identiteit anno 2012. Bij profilering worden grote hoeveelheden data verzameld, met behulp van websites, klantenpasjes en verkoopstatistieken. Deze data kan gebruikt worden om eigenschappen te correleren en mensen te classificeren. Op deze manier weet Google dat jij graag advertenties voor films ziet, maar zou ook een verzekeringsmaatschappij kunnen besluiten jou te weigeren. Dit soort technieken hebben direct effect op personen, zonder dat er ook maar een mens aan te pas hoeft te komen.

Als het om transparantie en profilering gaat, hebben de Duitsers het echt begrepen. In hun Datenschutzgesetz staat namelijk in artikel 34 lid 2 dat mensen het recht hebben op inzage in waarschijnlijkheidsscores, oftewel de statistische resultaten van de profilering, inclusief informatie over de gebruikte datasoorten en een algemene en begrijpbare uitleg over de totstandkoming van deze scores. Vooral dat tweede is een verademing: een bedrijf stuurt niet een statistisch rapport dat nog dikker is dan de stapel aan persoonsgegevens die Facebook van jou heeft, maar volstaat met twee kantjes waarop in begrijpbare termen uitgelegd wordt hoe ze jou geclassificeerd hebben. Bijkomend voordeel: bedrijfsgeheime statistische methoden hoeven ook niet beschermd te worden.

Iets verderop in datzelfde artikel staat vervolgens dat dit recht onverkort geldt als de berekening wordt gemaakt op basis van geanonimiseerde gegevens. Dat is een belangrijke toevoeging, want vaak draaien profileringsprogramma’s op datawarehouses vol met geanonimiseerde data, waardoor de rechten op inzage in de profileringsscores belemmerd konden worden, maar niet onder deze regel: het gaat niet om de invoer, maar om het feit dat die score invloed heeft op mensen van vlees en bloed.

In artikel 20 lid 4 van de nieuwe concept privacyverordening van de Europese Unie staat dat mensen recht hebben op inzage in de voorgestelde effecten van profilering. Hoewel dit een stuk minder gedetailleerd is dan de Duitse variant, lijkt mij dit een stap in de juiste richting. Terecht benoemt professor Hildebrandt dit als het meest revolutionaire recht van het concept.

Op naar een beschermde identiteit<br/> Als het aan mij ligt beschermen we voortaan de ontplooiing van de identiteit en passen we bestaande rechten daarbinnen. Ik vindt het veel belangrijker dat Google geen rare dingen doet met mijn data, dan of ze die wel of niet hebben. Veel liever zie ik proactieve transparantie, dan dat we uit paranoia allerlei bureaucratische procedures moeten opstarten. Verplicht bedrijven te vertellen wat ze weten en vooral wat ze daaruit concluderen.

Stas Verberkt is student MSc Computer Security aan het Kerckhoffs Institute. Hij blogt over informatiebeveiliging en digitaal liberalisme.

11 reacties

  1. Mooi stuk.

    Het is mooi om inzage te kunnen krijgen in de effecten van profilering maar ik mis in dit stuk of het dan ook mogelijk is om hier bezwaar tegen te kunnen maken. En eigenlijk zou het zo moeten zijn dat je het recht hebt om niet mee te doen aan de profileren. Dus niet het leveren van de (anonieme) statistische data en niet geprofileerd mogen worden op basis van de data van anderen….

  2. Daar is de eeuwige dooddoener van de weigerende verzekeraar weer: Als een verzekeraar probeert slechte risico’s in te schatten en te weigeren, dan levert dat voor alle andere klanten een betere premie op, die ook nog de risico’s beter weet te benaderen.

    Correlatie werken. Liefhebber van autoracen? Hogere autopremie. Liefhebber van sigaretten? Hogere zorgpremie. Liefhebber van darkrooms? Geen bloed doneren (om maar eens een andere markt te pakken).

    Nu gaan veel mensen zover om zulke gedragingen gewoon op internet kenbaar te maken (facebook / twitter / zoeken op Google naar ‘bijwerkingen van cocaine’). Mooi voor de markt en een kans om de kosten van dit gedrag ook bij mensen te krijgen. Je kunt het voorkomen (aandacht voor privacy op internet) of je gedrag aanpassen.

    Hoeveel meer bescherming heb je als burger nodig? Dit is eindelijk een stukje vrijheid. Je hoeft niets te kopen bij profilerende bedrijven…

  3. Daar is de eeuwige dooddoener van ik doe niets verkeerd dus ik heb niets te verbergen weer 😉

    Waarom moet ik een hogere premie betalen als ik F1 leuk vind? Waarom is mijn vliegticket duurder als ze weten dat ik naar een begrafenis moet? Waarom kan ik geen ziektekosten verzekering meer afsluiten omdat ik online sigaretten koop? Waarom zijn alle prijzen in de winkels hoger omdat ze weten dat ik 3xmodaal verdien? Waarom wordt er een camera voor mijn deur geplaatst omdat ik kunstmest koop? Waarom wordt ik elke keer op de weg staande gehouden door de politie en wordt mijn auto doorzocht (wederom kunstmest)? Waarom ….?

  4. Privacy is belangrijk voor mij. Ik doe in mijn vrije tijd aan sportschieten en heb daarvoor een vuurwapen (en verlof). Daar wordt je door sommige mensen op aangekeken, alsof ik het niet erg vind als er mensen worden neergeschoten. Daarnaast vind ik het een veilig gevoel dat niemand weet dat ik vuurwapens in huis heb. Het mocht eens mensen op ideeen brengen. Mijn buren denken dat ik hockey en dat bevalt me prima.

    Daarom was ik ook verbaasd toen ik van een clubgenoot hoorde dat bij de jaarlijkse verassingscontrole hij een hele bus agenten op bezoek kreeg. (adspiranten voor hun opleiding). Hij was meteen onderwerp van gesprek, heeft de politie dan geen besef van privacy?

  5. Dat plan van de Identity dashboards moet wat mij betreft nog maar gewoon scifi blijven. Het zou namelijk niet alleen het subject, maar ook de overheid in de gelegenheid stellen om alles van je te weten. In die zin werkt het voorstel averechts. Ook breng ik graag in herinnering dat het recht op privacy in de zin van de bescherming van de persoonlijke levenssfeer, van oorsprong juist in het leven in geroepen om je te beschermen tegen de overheid. Het recht is daarom juist geen afgeleide van het recht op een eigen identiteit.

  6. Een van de dingen die de geschiedenis ons geleerd heeft, is dat mensen die technisch de mogelijkheid hebben om iets te doen, dat uiteindelijk ook zullen gaan doen. Camera’s die alleen voor verkeerstoezicht zouden zijn worden gebruikt om een database van nummerborden op te gaan slaan, gegevens die ergens in een database staan worden ook gebruikt voor andere doeleinden, “want dat is handig”.

    Je kan dan wel zeggen dat bedrijven je gegevens wel mogen hebben maar eerlijk moeten zijn over wat ze er wel of niet mee doen, net als de overheid, maar daar voorkom je het eerste niet mee, als ze die gegevens hebben, gaan ze er mee doen wat ze willen. Juist daarom vind ik dat je nog steeds op moet passen om alles en iedereen maar toestemming te geven dingen op te vragen en op te slaan. De aard van het beestje is niet met regels te onderdrukken, dus je moet de kat gewoon niet op het spek binden.

  7. Dit stuk doet geen recht aan mensen die echt graag een meer afgelegen bestaan leiden. Privacy gaat niet alleen over hoe mensen je behandelen, maar ook over wat ze van je weten ook al handelen ze daar concreet niet op. Dat iedereen alles van iedereen mag weten, zolang ze daar geen misbruik van maken, is echt niet juist. Daarnaast, zoals eerder al aangegeven, is het slechts een kwestie van tijd voordat mensen er wel misbruik van maken. Misschien mag het nu niet, maar later wel. Misschien doen ze het toch, ook al mag het helemaal niet. Dat hou je niet tegen zodra je de controle van jou gegevens weghaalt van de persoon over wie de gegevens spreken.

  8. Wat Willem voorstelt zorgt er voor dat gedrag normaliseert, naar het idee van een panopticum. Als voor elke afwijking betaald dient te worden wordt de ontwikkeling van de persoonlijkheid enorm te niet gedaan. Dit is een typisch geval waarin collectiviteit meer recht doet aan individualisme, dan casino individualisme!

    Kevin, ik kom tot een andere conclusie als na het lezen van de tekst. Hoe ik het interpreteer wil de auteur toe naar het concept dat het individu eigenaar wordt van zijn digitale identiteit. Dat houdt imo in dat je prima als een kluizenaar kan leven aangezien je, je niet met die identiteit gaat begeven op de infrastructuur waar jij je niet prettig bij voelt.

    Het enige wat ik wat ongelukkig geformuleerd vind is: ‘dat Google geen rare dingen doet met mijn data, dan of ze die wel of niet hebben’. Wat mij betreft moet daar bij dat google nu en ook later nooit rare dingen doet met mijn identiteit. Dit concept is technisch gezien iets zwaarder en er volgen dus iets andere safeguards maar al met al ben ik het eens met de strekking van het verhaal!

  9. Mooie post.

    @7: Natuurlijk ben je zelf medeverantwoordelijk voor wat er voor data over je verzameld wordt, maar je hebt het al over toestemming geven en dan ben je eigenlijk al een stap te ver. Die toestemming wordt namelijk überhaupt gevraagd omdat er wetgeving is. Het punt waar je mee begint is erg sterk, als mensen de technische mogelijkheden hebben dan zullen die worden gebruikt. Je kunt dan maar beter wetgeving hebben die dit enigszins in toom houdt.

    Partijen die buiten de wet opereren (criminelen en overheden en dergelijke) houden zich natuurlijk niet aan deze regels, dus je moet zeker nog steeds altijd in de gaten houden wat je aan wie vertelt.

    @6: Die identity dashboards (in wat voor vorm dan ook) hebben de bedrijven en (dus) overheden toch al wel. Je kunt dan maar beter ook zelf weten wat ze van je weten.

    PS. Cory Doctorow heeft een aantal interessante dingen te vertellen over privacy: http://www.youtube.com/watch?v=RAGjNe1YhMA, http://www.youtube.com/watch?v=sg4NyTBR40I

  10. @Ingrind – Casino individualisme vind ik wel een mooie zinsnede. Dan kom je al gauw op politieke stellingnames – want “Ja, ik vind casino individualisme een vorm van vrijheid”. En zelfs een die ik hoger acht dan gedwongen solidariteit.

    Niemand dwingt je producten af te nemen met een uitgebreide mate van risico-differentiatie. Je mag je eigen collectief starten (de meeste verzekeraars in NL zijn trouwens cooperatief) als je het er niet mee eens bent. Gewoon: vrijheid in wat je consumeert.

    Interessant is dan wel dat ik een stukje privacy opgeef om die producten te maken. Daar zit wel een spanning. Al geef je toch zelf de informatie vrij via het web.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.