Over de wijze waarop big tech (Google, Facebook, TikTok) omgaat met onze digitale gegevens heerst nogal wat ontevredenheid: want hoe gebruikt big tech die, wordt onze privacy wel voldoende gerespecteerd en, meer algemeen, wie plukt eigenlijk de vruchten van al die gebruikersgegevens?

Uit een reportage van Buzzfeed blijkt dat TikTok-medewerkers in China toegang hebben tot persoonsgegevens en het internetgebruik van haar deelnemers – onder wie 3 miljoen Nederlanders - zonder dat die enig zicht op, of controle over hebben over wat TikTok - en in het verlengde daarvan de Chinese staat met die gegevens doet.

In reactie daarop zijn persoonlijke ‘datakluizen’ in opkomst. Deze virtuele kluizen bevinden zich meestal in een ‘cloud’ van bijvoorbeeld Microsoft of Amazon, waarmee de gebruiker zijn of haar persoonsgegevens zelf kan beheren. Ook een samenwerkingsverband van mediabedrijven (NPO, RTL Nederland, Talpa, DPG Media en Mediahuis) wil een datakluis bouwen en zo zijn klanten ‘volledige controle geven over de toegang tot zijn of haar informatie’.

Het idee achter datakluizen is dat iemands persoonlijke informatie niet langer wordt bewaard en geanalyseerd door bigtechbedrijven, maar dat gebruikers zelf beslissen wie toegang krijgt tot hun gegevens, voor welke doelen hun gegevens mogen worden geanalyseerd en welke analyseresultaten worden doorgegeven aan bedrijven. Beslissingen die nu dus worden genomen door bigtechbedrijven.

Weerbarstige praktijk

In de praktijk werkt een datakluis als volgt: een gebruiker moet op dit moment bij de website van de Volkskrant of Facebook inloggen met een wachtwoord (of inloggen via Google, Apple of Facebook). Straks kan zij of hij inloggen met haar datakluis: dan geeft zij of hij eenmalig aan of het bedrijf een connectie mag maken met haar datakluis, en moet Facebook of de Volkskrant aangeven welke gegevens nodig zijn om een bepaalde dienst te verlenen.

Uitgangspunt is dat de gegevens in de kluis blijven, dat de analyses door Facebook of de Volkskrant in de kluis plaatsvinden en dat de gebruiker de toegang, analyses en deling ervan beheert. Zo zouden ‘datakluizen gebruikers en mediabedrijven kunnen helpen op termijn onder het juk van big tech uit te komen’, aldus Martijn van Dam (tot 1 november 2022 bestuurder bij NPO).

Een niet minder belangrijke drijfveer van het media-samenwerkingsverband is dat ze een groter aandeel van de advertentie-inkomsten, die nu naar bigtechbedrijven vloeien, wil terugsluizen naar Nederlandse mediabedrijven. Zo’n commerciële drijfveer is legitiem, maar die wordt, zo blijkt uit onderzoek, door commerciële datakluisaanbieders soms verhuld onder de vlag van meer gebruikerscontrole. Dat roept vragen op.

Profilering wordt niet gestopt

Want veel commerciële kluisaanbieders, zoals het samenwerkingsverband, willen bedrijven stimuleren om apps aan te bieden in de datakluis van gebruikers, vergelijkbaar met apps op de smartphone. Zo kunnen bedrijven via die apps ‘toegang […]’ krijgen ‘tot een rijkere dataset in de datakluis’ en kunnen bedrijven ‘nog beter gepersonaliseerde diensten aanbieden’.

Concreet kan een gebruiker dan met een app van RTL of Facebook een analyse laten maken van de gegevens over haar of zijn kijkgedrag, fitnesstracker en activiteiten op sociale media. Deze data geven doorgaans gedetailleerde informatie over iemands privéleven en gezondheid. Het profiel dat hieruit voortkomt, kan de gebruiker vervolgens delen met RTL of Facebook, bijvoorbeeld om tips te krijgen over passende tv-programma’s of aankomende evenementen in de omgeving (zoals de Britse BBC-Box nu al aan klanten voorstelt).

Hoewel iedereen met een kluis zelf besluit om bedrijven achter de apps toegang te geven tot zijn of haar gegevens, zit er spanning tussen de combinatie van meer controle aan gebruikers beloven, en tegelijkertijd bedrijven beloven dat zij toegang krijgen tot ‘rijkere’ gegevensbestanden.

Waar liggen de belangen?

De gemiddelde gebruiker mist vaak de nodige expertise, kennis en tijd om zich te verdiepen in ingewikkelde juridische teksten en technologische toepassingen. De beloofde ‘regie’ op de eigen gegevens is dan al snel een wassen neus.

Willen commerciële datakluizen gegevensbeschermingsproblemen echt aanpakken, dan moeten zij gebruikers goed informeren over mogelijke gevolgen van het delen van gegevens: omdat data-analyses al snel een gedetailleerd beeld van iemands privéleven en zodra de gebruiker data deelt met een bedrijf, is hij of zij de controle alsnog kwijt. Waarbij de risico’s nogal verschillen, of die andere partij de huisarts is of een bedrijf als TikTok of Facebook.

Uit onderzoek blijkt dat het verdienmodel van commerciële datakluizen veelal stoelt op inkomsten die (deels) leunen op de toegang van bedrijven tot de gebruikersgegevens in de datakluis. Commerciële kluisaanbieders hebben dus vaak belang bij het stimuleren van grootschalige analyses door bedrijven, die nieuwe inzichten bieden en daarmee: waarde. Het is dus een benadering die zich niet echt onderscheidt van de wijze waarop big tech inkomsten vergaart.

De spanning tussen het verdienmodel en iemands privacy uit zich ook in het type afspraak tussen het bedrijf en de gebruiker: de meeste commerciële datakluizen baseren gegevensdeling juridisch op ‘toestemming’ van gebruikers. Aanbieders van datakluizen, en van de bedrijven die apps aanbieden, hebben de plicht gebruikers precies te informeren wat zij, en eventueel anderen, met gebruikersgegevens doen.

Toestemming hachelijk criterium

Helaas werkt dat in de praktijk niet goed. Van gebruikers die toestemming hebben gegeven, wordt verwacht dat zij hun eigen privacy beheren. Daarbij zijn ze ook zelf verantwoordelijk als het niet goed gaat. Op die manier leveren commerciële datakluizen niet altijd wat ze beloven: méér controle voor de gebruiker over haar of zijn gegevens.

Kortom, commerciële datakluizen presenteren zich vaak als alternatief voor big tech. Maar zoals dat nu vorm krijgt, waarbij het commerciële belang zodanig voorop staat, is het de vraag of gebruikers erbij gebaat zijn. De kans is groot dat ze het gevaar voor hun privacy slechts wordt verplaatst van bigtechbedrijven naar commerciële datakluizen.

*) Heleen Janssen is jurist en werkt als onderzoeker bij het Instituut voor Informatierecht (Universiteit van Amsterdam) en bij het Department of Computer Science & Technology van de University of Cambridge (VK), en is tijdelijk onderzoeksfellow bij het Netherlands Institute for Advanced Study (NIAS/KNAW). Dit opinie-artikel verscheen eerder in de Volkskrant