Ik zie bescherming van persoonsgegevens als het nieuwe “groen”, noodzakelijk voor een duurzaam digitaal ecosysteem. Daarbij moeten burgers beschermd worden, tegen digitale grootmachten maar soms ook tegen zichzelf.

Deze bijdrage is opgebouwd uit drie aparte kaders, ieder met een aantal stellingen, valkuilen, en aanbevelingen. De stellingen geven waarheden als koeien over de digitale wereld. De valkuilen bevatten veelvoorkomende uitspraken die gebaseerd zijn op een vertekend beeld. De aanbevelingen bevatten aanzetten tot een digitale agenda, in het bijzonder voor een nieuw kabinet.

Privacy speelt een belangrijke rol in dit verhaal, maar is een ingewikkeld begrip dat vanuit technisch, juridisch of ethisch perspectief begrepen kan worden. Een herkenbare beschrijving wordt geboden door de Amerikaanse filosofe Helen Nissenbaum: wij allen leven op een natuurlijke manier in verschillende konteksten. We laten verschillende dingen van onszelf zien wanneer we thuis zijn, op het werk of op school, bij de sportclub of bij vrienden. De essentie van privacy is dat zulke informatie in kontekst moet blijven. Wat we aan onze huisarts vertellen moet niet ineens opduiken in de supermarkt. Dit biedt volgens Nissenbaum de verklaring dat mensen boos worden wanneer zulke ‘kontekstuele integriteit’ verbroken wordt. We begrijpen allemaal dat een bank veel van ons weet, om onze financiële transacties af te kunnen handelen. Maar als zo’n bank plannen maakt, zoals ING ooit deed, om die gegevens aan anderen te verkopen, zijn we verontwaardigd: dat was niet de bedoeling. Net zo moeten leerlingen in de context van een school fouten kunnen maken bij het leerproces zonder dat die informatie buiten school voor andere doeleinden misbruikt wordt. Ook voor goede medische zorg is het van wezenlijk belang dat patiënten open kunnen zijn tegen hun arts, en er op kunnen vertrouwen dat hun medische gegevens in een medische kontekst blijven, en niet elders terechtkomen voor andermans belangen.

Wanneer het zo beschreven wordt geeft, iedereen om privacy. We zijn de afgelopen jaren echter bestookt met demagogie als “privacy is de schuilplaats van het kwaad” en “wie niks te verbergen heeft heeft ook niks te vrezen”. Dit doet geen recht aan het subtiele karakter en het grote maatschappelijke belang van privacy. Het is wezenlijk voor ons functioneren als vrije, autonome individuen.

Stellingen

1) De machtsverhoudingen in de samenleving worden bepaald door de gegevensstromen.

In de beroemde film All the President’s Men uit 1976 onderzoeken de journalisten Woodward en Bernstein de betrokkenheid van president Nixon bij het Watergate schandaal. Zij worden aangestuurd door een geheimzinnige bron, die blijft zeggen: follow the money! Inderdaad werden de machtsverhoudingen in de samenleving toen nog bepaald door de geldstromen. Nu moeten we zeggen: follow the data! De grote ICT-bedrijven zoals Google, Facebook en Amazon (‘big-IT’) hebben dit maar al te goed begrepen. Google is niet echt geïntereseerd in auto’s of thermostaten; het zijn middelen om nog meer gegevens over ons te verzamelen, om daarmee ons gedrag nog beter te sturen. We moeten dus leren denken in termen van gegevensstromen: wie krijgt welke data.

2) Als wij in de toekomst enige mate van privacy willen hebben zullen wij daar technische middelen voor moeten gebruiken.

Er wordt vaak gezegd dat je je maar beter verre houden van moderne digitale techniek als je aan je privacy gehecht bent. Deze verkeerde houding komt veel voor, ook bij de privacybeweging. Echter, we zullen het nu juist moeten hebben van digitale technieken die speciaal op privacybescherming gericht zijn, zoals versleuteling, pseudonimisering en authenticatie met attributen (waardoor je bijvoorbeeld alleen aantoont dat je ouder dan 16 bent, en verder niks).

3) ICT is een in hoge mate politiek onderwerp geworden; de ontwikkelingen op ICT gebied kunnen wel degelijk gereguleerd worden, vanuit algemeen belang.

De digitale ontwikkelingen gaan razendsnel en wetgeving loopt noodzakelijkerwijs achter. Big-IT heeft een massieve politieke lobby, vooral in Brussel, om, zoals ze zeggen, de ontwikkelingen hun gang te laten gaan en innovatie vooral niet te verstoren. Het gaat daarbij om grote commerciële, maar ook om maatschappelijke, belangen. Welke staan voorop? De zaken aan SilliconValley overlaten is zelf ook een politieke keuze. De IT-sector kan wel degelijk gereguleerd worden, vanuit algemeen belang. Een goed voorbeeld is netneutraliteit, waarmee netverkeer zonder selectie doorgegeven moet worden. Nederland liep daarin zelfs voorop, binnen Europa. Het invoeren of afdwingen van privacy-vriendelijke technieken is ook zo’n politieke keuze.

4) Het aanvankelijke optimisme dat het internet burgers vrij zou maken en machthebbers transparant is uitermate naïef gebleken.

Het internet is in de jaren 80 en 90 opgekomen met een bijna hippie-achtig optimisme dat machtsmisbruik door transparantie onmogelijk zou worden en dat wij allemaal vrijere burgers werden. Het tegendeel heeft plaatsgevonden: wij burgers zijn transparant geworden, door massale surveillance van commerciële partijen (bijv. via tracking cookies) en door overheden (zoals Snowden onthulde). De macht is daarbij op ondoorzichtige wijze terechtgekomen bij buitensporig rijke enkelingen. Als Mark Zuckerberg, de grote baas van Facebook, in 2020 besluit mee te doen met de Amerikaanse presidentsverkiezingen, dan kan hij zichzelf gewoon president maken. Hij weet bijna alles van het overgrote deel van het electoraat en heeft de digitale middelen om mensen gepersonaliseerd bepaalde berichten te tonen of juist te onthouden. We vonden de Italiaanse premier Berlusconi destijds al doodeng, maar dat stelde niks voor: die had alleen maar kranten en TV-zenders en kon geen gepersonaliseerde boodschappen sturen. Zuckerberg is Berlusconi on steroids.

Valkuilen

1) Iedereen zet toch alles op Facebook.

Deze uitspraak kom je vaak tegen als voorbereiding op een uitermate privacy-onvriendelijk plan: kijk naar Facebook, dan kan dit natuurlijk ook door de beugel. Soms hoor je de variant: jongeren geven niks om privacy want ze zetten alles op Facebook. Dat is niet waar: vaak maken kinderen eerst een fout bijv. door iets online te zetten waarmee ze door de hele klas uitgelachen worden. Maar daarna passen velen juist goed op, en zijn ze misschien wel zorgvuldiger dan de generatie van hun ouders. Daarbij geldt natuurlijk ook: als sommigen ervoor kiezen in hun blootje te lopen, is dat geen argument om anderen er toe te dwingen.

2) We willen een balans tussen veiligheid en privacy.

Dit is vooral bij politici een populaire kreet. Als je dit hoort kun je er donder op zeggen dat privacy het gaat afleggen. Ik zeg dan altijd: ik wil en veiligheid en privacy. Niet of-of, maar en-en. Dat wordt moeilijk gevonden. Maar dit soort moeilijkheden zijn vaak de motor voor echte innovatie: schijnbaar tegengestelden die via nieuwe technieken toch verenigd worden. Inderdaad, strenge regelgeving leidt vaak tot innovatie, zie het milieu.

3) We kunnen doen wat we willen want de gebruiker is akkoord.

Toestemming van de gebruiker is een van de meest overschatte en slechtst functionerende mechanismen die we kennen. Wie leest gebruikersvoorwaarden? Vaak zijn het bewust afschrikwekkende juridische lappen tekst die, als het puntje bij paaltje komt, uitermate vaag zijn: “we kunnen al uw gegevens gebruiken om de diensten van ons en van anderen te verbeteren”. De bedoeling is dat we zo snel mogelijk op Akkoord klikken. En dan doen we dan ook massaal. Verantwoordelijkheden worden gedumpt op gebruikers en alternatieven worden niet geboden. Stel u koopt een nieuwe moderne TV van duizend Euro en krijgt na het aansluiten voordat u verder kunt het bericht “Al uw kijk/camera/microfoon gegevens gaan naar de fabrikant en kunnen aan derden doorverkocht worden. Hier akkoord.” Brengt u de TV terug? Het apparaat zou het ook zonder akkoord gewoon moeten doen. Wie dwingt dat af?

Toestemming is helemaal een lachertje in de gezondheidszorg. Je ziet dat de Google’s, Apple’s en Philipsen zich massaal storten op de zorg. Waarom? De marges zijn daar het hoogst en zieke mensen zeuren niet over privacy.

4) We moeten al uw gegevens hebben voor betere gezondheidszorg.

Afgelopen februari toonde het TV-programma Zembla hoe big-data-cowboys de directie van de Belastingdienst in aan waanzin grenzende vervoering hebben gebracht over fraude-reductie: er werden voor de analyse kopieën gemaakt van de belastinggegevens van alle 11 miljoen particulieren en 2 miljoen bedrijven, op aparte computers. Beveiliging, controle of logging werd daarop niet nodig geacht, ondanks herhaalde waarschuwingen. Mogelijk verschijnen onze gegevens binnenkort allemaal op een Russische website; er is geen inzicht in wie er bij kon.

Natuurlijk is minder fraude en betere zorg een goede zaak. Maar moeten alle andere waarden daaraan opgeofferd worden? Je hoort vaak: nuttige data moeten gebruikt kunnen worden. Maar nuttig voor wie? Wees niet naïef! Waar worden de gegevens nog meer voor gebruikt? De zorg moet natuurlijk beter, maar moet ook vrij blijven van discriminatie, machtsmisbruik, risico-dumping, secondair data-gebruik etc. Medische data worden steeds meer verzameld door big-IT, via speciale apps en horloges. De gegevens komen in hun handen, en ziekenhuizen moeten maar afwachten onder welke voorwaarden ze er straks nog bij kunnen. Over dit soort machtsverschuivingen gaat het.

Zorgvuldigheid en bescherming moeten voorop staan, zodat patiënten hun artsen volledig durven informeren, zonder angst voor andere agenda’s, en daarnaast bereid zijn hun gegevens af te staan voor medisch onderzoek. Dat is een algemeen maatschappelijk belang.

5) Als wij die data niet mogen verwerken, leggen we het af tegen onze Amerikaanse concurrenten.

Er is een groot cultuurverschil tussen Europa en Amerika. In Europa is privacy een grondwettelijk verankerd fundamenteel recht, terwijl het in Amerika veel meer onderhandelbaar is. Er bestaan daar wel privacywetten, maar die gelden bijv. specifiek voor de medische of de financiële sector. Dit verschil ligt aan de basis van de vele conflicten tussen Brussel en de Amerikaanse IT-industrie, want die mag op de eigen markt inderdaad zo ongeveer alles wat God verboden heeft. Het bovenstaande punt is echter een vertekening van een serieus onderliggend probleem, namelijk de behoefte aan een level playing field, waarbij alle bedrijven zich aan dezelfde regels moet houden. Met de aanstaande introductie van de Algemene Verordening Gegevensbescherming komt er een nieuw wettelijk kader dat voor de hele EU geldt en ook voor alle bedrijven die binnen de EU opereren.

6) Wij laten u gepersonaliseerde advertenties zien, alleen van wat u zelf echt wil zien.

Dit is de favoriete slogan van de advertentie industrie. Het klinkt aannemelijk maar het klopt gewoon niet: men laat u dingen zien waarvan zij (niet u) willen dat u het ziet. Het is inmiddels algemeen bekend dat je een hogere prijs betaald als je met een Apple computer online winkelt: de aanbieder herkent de (dure) computer en toont een hogere prijs, ook al wil jij zelf een lagere prijs zien. Zulke prijsdiscriminatie vindt plaats op basis van persoonlijke profielen, vaak opgebouwd met cookies.

Kortom: we worden bedonderd waar we bij staan, mogen niet weten hoe we bedonderd worden en krijgen geen alternatieven zonder bedondering.

Aanbevelingen

1) Beschouw privacy en gegevensbescherming als het nieuwe “groen”.

De gifschandalen van de jaren 80 (zoals in Lekkerkerk) waren de aanleiding voor discussies over strengere milieuregels. Chemische bedrijven schreeuwden moord en brand: hun verdienmodel werd aangetast waardoor ze ten onder zouden gaan, met verlies van werkgelegenheid en welvaart. Tegenwoordig echter verdienen we aan groene technologie en profileren we ons ermee. Wat is er veranderd? Strengere regels, vanuit welbegrepen algemeen belang, hebben geleid tot innovatieve milieu-vriendelijke technieken en tot aanpassingen van business modellen. Milieu- en gegevens-bescherming gaan hand-in-hand en zijn samen essentieel voor een duurzame ecologische en digitale omgeving.

2) Maak gegevensbescherming een integraal onderdeel van de cyber security agenda.

Het is aannemelijk dat het nieuwe kabinet zwaarder zal investeren in cyber security, vanuit het belang van Nederland als een safe place to do business. Het is belangrijk dat privacy en gegevensbescherming een integraal onderdeel worden van deze agenda, want ze zijn een license to do business. Dit is een vereiste in de nieuwe Algemene Verordening Gegevensbescherming. Duitsland geeft het goede voorbeeld, met als richtlijn bij grote ICT-projecten dat tenminste 10% van de middelen besteed moeten worden aan security en privacy.

3) Bescherm mensen, soms zelfs tegen zichzelf.

In alle beschaafde landen is het verboden om je eigen organen te verkopen. Wat een betutteling! Altijd wordt me om “Akkoord” gevraagd, maar nu even niet. Waarom mag ik geen eigen nier verkopen als ik dat toch zelf wil? Als je er even over nadenkt wordt snel duidelijk dat we hiermee mensen tegen zichzelf willen beschermen, waarbij het er vooral om gaat dat arme mensen niet in een situatie terecht komen waarbij ze geen andere oplossing zien dan zo’n drastische stap te nemen. Juristen noemen dit: buiten de handel plaatsen. Waarom plaatsen we medische persoonsgegevens dan niet ook buiten de handel, juist om te zorgen dat medische gegevens in een medische kontekst blijven?

Tegenover de disproportionele macht en invloed van Big-IT moet tegenmacht georganiseerd worden, zonodig met enig verlicht paternalisme, bijv. in de vorm van zorgplichten en serieuze beperkingen op het gebruik van persoonsgegevens.

4) Herken en bescherm de “publieke zaak” in de digitale wereld.

Welke politici komen op voor de publieke zaak in de digitale wereld? Ik zie ze niet. Als je een Tesla koopt moet je een document tekenen dat al jouw gebruiksgegevens naar Tesla gaan, voor altijd. Dan moet je misschien maar geen Tesla kopen. Maar wat als over vijf jaar alle autofabrikanten zo’n contract afdwingen bij aankoop? Dan is er geen alternatief meer. Moeten we dat maar accepteren? Deze hele sector is grondig aan het veranderen, waarbij datastromen de nieuwe machtsverhoudingen bepalen. Wie beschermt de burger in dit geweld? De gezondheidszorg wordt nu gekoloniseerd door de Apple’s en Philipsen etc. Steden worden verleid om “smart” te worden, wat neerkomt op plundering van gegevens van hun inwoners. Wie kijkt hier scherp en kritisch naar en komt op voor het algemene belang? Fundamentele rechten moeten in onze ICT-infrastructuur verankerd worden, waardoor bijv. gegevens in kontekst blijven. Anders moeten we vrij snel gaan accepteren dat onze samenleving door schatrijke engerds van buitenaf bestuurd wordt.

5) Introduceer nieuwe rechten om informatie te ontvangen zonder monitoring en profilering.

De fundamentele burgerlijke vrijheden zoals vrijheid van meningsuiting en vrijheid van drukpers gaan over het vrij zijn om informatie te versturen. Dat is heel belangrijk. Maar wat net zo belangrijk is geworden is de vrijheid om informatie te ontvangen. Sociale mediabedrijven bieden informatie gepersonaliseerd aan, waardoor jouw liefde voor katten er toe leidt dat je alleen nog kattenvideo’s op je tijdlijn aantreft en nooit meer iets over Syrië. De nieuwe media bepalen wat jij te zien krijgt, gestuurd door hun eigen commerciële en politieke belangen en die van hun adverteerders. Dit leidt tot filter bubbles en daarin rond zingend nepnieuws. Als ik mijn krant op papier lees kan ik zelf kiezen welke artikelen ik lees en ziet de uitgever niet welke ik gekozen heb, maar als ik de krant online lees bestaan die mogelijkheden niet meer. Over vijf jaar is er misschien geen papieren krant meer. Europese rechters hebben een right-to-be-forgotten geïntroduceerd. Moeten we niet gaan denken aan een right-not-to-monitored en een right-not-to-be-profiled, zodat ik digitale diensten ook kan gebruiken zonder afgedwongen ontkleding.

6) Behandel Big-IT als nutsbedrijven en breek ze op.

Als je in Nederland elektriciteit of mobiele telefonie wil leveren dwingt de wet je ertoe om dat ook in afgelegen gebieden te doen, waar je misschien geen winst maakt. Vanuit welbegrepen publiek belang zijn nutssectoren als gas, water, licht, telecom zwaar gereguleerd. Het wordt hoog tijd dat ook te gaan doen voor digitale diensten, omwille van de publieke zaak. Daarbij is het verstandig dergelijke diensten te scheiden, bijv. niet tegelijkertijd activiteiten op medisch gebied en ook advertentieverkoop of sociale media, wederom om informatie in kontekst te kunnen houden.

*) Dit artikel verscheen eerder op de website van Bart Jacobs, en in een verkorte versie in Trouw.