Het vastleggen van bewegingen op internet vindt meestal plaats met een IP-nummer. Dat is analoog aan het nummerbord van auto's op de weg: de eigenaar is niet herkenbaar noch traceerbaar anders dan voor overheidsinstanties met bevoegdheden. Waar we rijden is niet bekend, behalve na te hard rijden. Op internet bewegen pc's en hun adressen zich steeds minder ongezien. En zodra een partij toegang heeft tot het kentekenregister van internet, ofwel op andere wijze het IP-nummer kan koppelen aan persoonlijke data, is privacy in het geding. Dus ging ook de discussie in De Balie voor een belangrijk deel over de betekenis van data vastgelegd aan de hand van IP-nummers.
De problemen beginnen dus al bij de principiële duiding: is een IP-adres een persoonsgegeven of zegt het alleen iets over een computer en niet over de eigenaar en eventuele familieleden?
Grote bedrijven vinden privacyregels niet van toepassing op IP-adressen, omdat dit geen persoonsgegevens zouden zijn. Onzin, vindt het CBP. IP-adressen zijn wel degelijk persoonsgegevens, zei het nieuwe collegelid Madeleine McLaggan-van Roon tijdens het debat in De Balie:
"Ze hoeven niet direct naar personen te verwijzen, herleidbaarheid is ook al voldoende. IP-adressen zijn uiteindelijk te koppelen aan personen. Er is geen gedragscode. Bedrijven zoeken de grenzen op. Consumenten moeten maar achteraf protesteren als hun gegevens worden misbruikt", sprak McLaggan-van Roon in Amsterdam.
Fleischer van Google bestreed ook niet langer dat IP-adressen in de meeste gevallen beschouwd kunnen worden als persoonsgegevens. In de Privacy Faq legt Google ook uit wat het bij die IP-adressen nog meer opslaat. Ze zijn gekoppeld aan zoektermen, het type browser, de taal, de datum en tijd van de zoekopdracht en een of meerdere cookies waarmee een specifieke computer is te herkennen.
Slechte uitleg door bedrijven
Hoe lang slaat Google dit op? Fleischer verzwijgt het antwoord. Dat doet het ergste vermoeden voor het CBP die spreekt van 'datapakhuizen' met onbeperkte opslagtermijn. McLaggan-van Roon laakt dit gebrek aan transparantie. Ze ergert zich aan veel te vage, algemene formuleringen in algemene voorwaarden en privacyverklaringen die de gebruiker meestal geen fluit zeggen. Als voorbeeld gaf ze een privacyverklaring van Microsoft:
"Op een aantal MSN- en Windows Live-sites wordt door Microsoft om persoonlijke gegevens gevraagd, zoals je e-mailadres, je naam, je privé-adres en -telefoonnummer of je zakelijke adres en telefoonnummer. We kunnen ook demografische gegevens verzamelen, zoals postcode, leeftijd, geslacht, voorkeuren, interesses en favorieten. Gegevens die door MSN en Windows Live zijn verzameld, kunnen worden gecombineerd met gegevens die van andere Microsoft-services en andere bedrijven zijn verkregen."
Ook leggen bedrijven als Microsoft gebruikers niet voldoende uit wat op zichzelf al niet-transparante technieken als cookies, webbeacons en webbugs nou eigenlijk over hen vastleggen. Door die slechte uitleg voldoen ze volgens McLannan niet aan de wettelijke informatieplicht: "Het ontbreekt aan minimale privacywaarborgen."
Inzagerecht handhaven
Die zouden volgens haar onder meer moeten zijn dat internetters recht op inzage, correctie of verwijdering van persoonsgegevens krijgen. En dit is de kern van het streven van het CBP: grip op privacy voor de burger.
Google voldoet niet aan de (uitleg van) de Nederlandse privacyregels die inzage in alle geregistreerde gegevens voorschrijft. Peter Fleischer van Google zegde tijdens de bijeenkomst min of meer toe dat Google met een systeem komt waarbij geregistreerde Google-gebruikers gegevens zullen kunnen beheren. Welke data? Dat is ongewis.
Hij noemde het adres privacy.google.com, maar dat werkt nog niet. Maar zo'n inzagefunctie vormt volgens hem ook weer een groot beveiligingsprobleem. De privacyinzage wordt daarom niet beschikbaar via één ingang, maar per verschillende Google-dienst.
'Korter opslaan gegevens'
McLaggan bepleitte een korte opslagtermijn van gegevens tot wettelijke plichten, om hergebruik en koppelingen zo veel mogelijk te voorkomen voor commercie en overheden.
Dat dat een reële dreiging is, bleek vorig jaar toen de Amerikaanse regering een grote hoeveelheid data opvroeg bij de grote zoekmachines om te gebruiken voor het voeren van een rechtszaak om verplichte webfilters voor jeugdigen te kunnen voorschrijven. Google bood verzet, andere partijen niet.
Zoekgedrag slaan ze op, met alle risico's van dien. Volgens de Britse informaticus Ian Brown, tevens activist voor Privacy International, is het lekken van zoekdata door AOL een goed voorbeeld van de negatieve gevolgen van massaopslag. "Geef toe, wie van jullie zou het leuk vinden als alle, maar dan ook echt alle, zoekvragen die je ooit hebt ingetypt openbaar zouden worden?" vroeg hij retorisch tijdens het debat in De Balie.
Persoonsgerichte aanbiedingen
Peter Fleischer van Google ging prat op de fout van concurrent AOL. "Wij hebben een duidelijke lijn getrokken toen we tegen het verzoek van de Amerikaanse regering in beroep gingen," zei hij. Dat is niet genoeg, vond McLannan-Van Roon. Google moet volgens haar zo min mogelijk en zo kort mogelijk gegevens opslaan, om het risico op misbruik te minimaliseren.
Dat wil Google niet. "Moet een bank dan maar geen geld in de kluis hebben omdat die kan worden overvallen?" antwoordde Fleischer ad rem.
Een heldere uitspraak, want persoonlijke gegevens zijn de crux van de geldmachine van Google. Het bedrijf verdient meer naarmate reclame relevanter wordt gemaakt met data over persoonlijke voorkeuren. Fleischer bezweerde in Amsterdam dat die reclamelinks, ook bij Gmail, nimmer gebaseerd zijn op persoonlijke profielen noch dat die zijn opgeslagen. Google heeft, zegt hij, data ook nodig voor verbetering van diensten.
Ian Brown wil versleuteling van persoonlijke data tijdens internetsessies. Maar hij beseft maar al te goed dat encryptie door gebruikers zelf te complex en momenteel onhaalbaar is: "Maar dat weerhoudt me er niet van het toch nu te noemen."
Servers eenvoudig toegankelijk
Fleischer en Brown vonden elkaar wel in de trend dat steeds meer computergebruik zich verplaatst van de desktop naar het web, van tekstverwerking tot back-up tot het delen van foto's en video's. "De privacywetten zijn niet geschreven voor Web 2.0. We moeten ze updaten. In nieuwe wetten moet er meer rekening mee worden gehouden dat privacy op de servers van de diensten beter wordt beschermd," aldus Fleischer.
In elk land is dat anders geregeld: "In Amerika heeft Justitie een huiszoekingsbevel nodig om op een pc te komen. Maar voor toegang tot de data op een server van een bedrijf is een aangifte voldoende. Google wil dat er een einde komt aan deze tegenstrijdigheden en dat de privacybescherming overal hetzelfde niveau krijgt."
Onomkeerbaar?
Volgens velen is het al te laat: bedrijven slaan en masse data op en bedienen er hun online commercie mee. Overheden liften nu mee met een bewaarplicht en steeds lagere drempels voor toegang tot data. De burger heeft het nakijken, zo die zich al zou bekommeren om de privacy. Kunnen we de privacy op internet niet beter ten grave dragen?
CBP-voorzitter Kohnstamm vindt van niet, al geeft hij toe: "Als CBP, wetgevers en handhavers zijn we altijd te laat. We hebben niet genoeg mensen om de snelle ontwikkelingen bij te houden. Maar we moeten er wel snel voor zorgen dat bedrijven zelf transparanter worden. Als dat niet lukt, creëren we een situatie die niet meer is terug te draaien."
Dat klonk tamelijk fatalistisch en machteloos, maar zo erg is het in de praktijk niet gesteld: Het CBP publiceert begin 2007 jaar een adviesrapport over internet en persoonsgegevens.
Of dit een vingertje in de dijk met al lang achterhaalde denkbeelden wordt dan wel het begin van manhaftige strijd om alsnog te pogen om verloren terrein terug te winnen zal moeten blijken.
[Tonie van Ringelestijn en Peter Olsthoorn, 29 december 2006]
