Omdat ik met vakantie ben, blog ik het wat rustiger aan. Ter compensatie publiceer ik een aantal zeer interessante gastposts. Vandaag een intrigerend verhaal van Stas Verberkt over waar het wérkelijk om gaat in het privacydebat.
De status quo rond privacy op internet heeft er toe geleid dat privacy en de bescherming van de persoonlijke levenssfeer dogma’s zijn geworden. Men is er volledig voor (“privacy is een grondrecht”) of heeft het al afgeserveerd (“privacy is dead, get over it”), zonder dat er wordt nagedacht over de diepere noodzaak van dit grondrecht en haar toepassingen. En dat terwijl innovatie en privacy helemaal niet lijnrecht tegenover elkaar hoeven te staan.
Back to basics: het gaat om de identiteit
In het vroege liberalisme werden de vrijheid van gedachten en van persoonlijkheid fundamenteel geacht. Die tweede gaat erom dat mensen in alle vrijheid een identiteit moeten kunnen ontwikkelen. Dat betekent dat je zelf bepaald wat je interessant, leuk of afschuwelijk vindt en daaruit een identiteit opbouwt.
Voor democratieën is de vrijheid om een eigen identiteit te ontplooien van groot belang. Als de meerderheid van de mensen gevormd kan worden naar het goeddunken van de machthebber is er slechts een schijndemocratie en zijn er zeker geen vrije mensen, zelfs als deze mensen ondertussen wel gelukkig zijn zoals in Huxley’s Brave New World.
De bescherming van de persoonlijke levenssfeer is een van de afgeleide rechten van het recht op de vrije ontwikkeling van een identiteit. Als iemand alles van jou weet, wordt je makkelijk beïnvloed. Dat kan gebeuren terwijl je het door hebt, zoals bij afpersing, of onderbewust, zoals bij online advertenties vaak gebeurd.
Juist de vrije ontplooiing van de persoonlijke identiteit is van belang. De persoonlijke levenssfeer biedt een plek waar je jezelf aan het publiek kan onttrekken ” wat de Amerikanen zo mooi als ’the right to be let alone” omschrijven in hun definitie van privacy. Echter, wij zijn juist sociale wezens die onszelf willen tonen en die interactie willen hebben met andere mensen. Dus ja, we willen graag op Facebook zitten, maar we willen niet dat we daardoor in ons zelfbeeld en onze vrijheid worden aangetast.
Hoewel de persoonlijke levenssfeer deel is van de definitie van privacy in Europa, staat de expliciete benadering van “ontplooiing van identiteit” meestal niet centraal. Men focust op internet vooral op de verwerking van persoonsgegevens. De nieuwe Privacyverordening wil hier nóg strengere regels stellen. Maar regels over verwerking van persoonsgegevens moeten geen doel op zich zijn.
Overigens kent de Duitse grondwet dit recht wel. In artikel 2 lid 1 staat namelijk dat iedereen recht heeft op de vrije ontplooiing van zijn persoonlijkheid, zolang de rechten van anderen, de grondwettelijke orde of de “morele wet” niet geschaad worden. Dat laatste is overigens niet zo eng als het klinkt, maar kun je beter interpreteren als “TBS is ook een beperking op de vrije ontwikkeling”.
Het begint met transparantie<br/>
Een versterking van de privacy begint met transparantie. Weten wat ze over je weten. Natuurlijk, nu staat de wet bescherming persoonsgegevens al toe om inzage in je persoonsgegevens te krijgen, maar dat gaat vaak zeer bureaucratisch en blijkt in de praktijk nog eens niet te werken ook.
Het moge duidelijk zijn dat niemand zit te wachten op vijf kilo aan papier waarvoor je drie mensen moet inhuren om te kijken of jouw rechten geschaad worden. Liever zie ik een proactief recht op inzage, waarbij ik meteen denk aan een duidelijke visuele weergave van de persoonsgegevens die een partij van mij heeft. In mijn gedachten zie ik al fantastische “identity dashboards” voorbijschieten die direct uit een SciFi film gegrepen zijn. Dan ben je pas in controle over je eigen identiteit.
De echte bedreiging: profilering<br/>
Digitale profilering van mensen is de grootste bedreiging voor de vrije identiteit anno 2012. Bij profilering worden grote hoeveelheden data verzameld, met behulp van websites, klantenpasjes en verkoopstatistieken. Deze data kan gebruikt worden om eigenschappen te correleren en mensen te classificeren. Op deze manier weet Google dat jij graag advertenties voor films ziet, maar zou ook een verzekeringsmaatschappij kunnen besluiten jou te weigeren. Dit soort technieken hebben direct effect op personen, zonder dat er ook maar een mens aan te pas hoeft te komen.
Als het om transparantie en profilering gaat, hebben de Duitsers het echt begrepen. In hun Datenschutzgesetz staat namelijk in artikel 34 lid 2 dat mensen het recht hebben op inzage in waarschijnlijkheidsscores, oftewel de statistische resultaten van de profilering, inclusief informatie over de gebruikte datasoorten en een algemene en begrijpbare uitleg over de totstandkoming van deze scores. Vooral dat tweede is een verademing: een bedrijf stuurt niet een statistisch rapport dat nog dikker is dan de stapel aan persoonsgegevens die Facebook van jou heeft, maar volstaat met twee kantjes waarop in begrijpbare termen uitgelegd wordt hoe ze jou geclassificeerd hebben. Bijkomend voordeel: bedrijfsgeheime statistische methoden hoeven ook niet beschermd te worden.
Iets verderop in datzelfde artikel staat vervolgens dat dit recht onverkort geldt als de berekening wordt gemaakt op basis van geanonimiseerde gegevens. Dat is een belangrijke toevoeging, want vaak draaien profileringsprogramma’s op datawarehouses vol met geanonimiseerde data, waardoor de rechten op inzage in de profileringsscores belemmerd konden worden, maar niet onder deze regel: het gaat niet om de invoer, maar om het feit dat die score invloed heeft op mensen van vlees en bloed.
In artikel 20 lid 4 van de nieuwe concept privacyverordening van de Europese Unie staat dat mensen recht hebben op inzage in de voorgestelde effecten van profilering. Hoewel dit een stuk minder gedetailleerd is dan de Duitse variant, lijkt mij dit een stap in de juiste richting. Terecht benoemt professor Hildebrandt dit als het meest revolutionaire recht van het concept.
Op naar een beschermde identiteit<br/>
Als het aan mij ligt beschermen we voortaan de ontplooiing van de identiteit en passen we bestaande rechten daarbinnen. Ik vindt het veel belangrijker dat Google geen rare dingen doet met mijn data, dan of ze die wel of niet hebben. Veel liever zie ik proactieve transparantie, dan dat we uit paranoia allerlei bureaucratische procedures moeten opstarten. Verplicht bedrijven te vertellen wat ze weten en vooral wat ze daaruit concluderen.
Stas Verberkt is student MSc Computer Security aan het Kerckhoffs Institute. Hij blogt over informatiebeveiliging en digitaal liberalisme.