De ICT-industrie rukt op in ons dagelijks leven. Via de vele apps op onze telefoons, maar ook als gevolg van de digitalisering van auto’s, huizen en medische zorg. Door die ontwikkeling verschuiven de maatschappelijke machtsverhoudingen. Gegevens geven macht.

De essentie van privacy is dat informatie over ons doen en laten binnen de oorspronkelijke context blijft. Wat we aan onze huisarts vertellen moet niet ineens opduiken in de supermarkt. We begrijpen allemaal dat een bank gegevens nodig heeft voor onze financiële transacties. Maar als zo’n bank plannen maakt - zoals ING ooit deed - om die gegevens aan anderen te verkopen, zijn we verontwaardigd: dat was niet de bedoeling.

Leerlingen mogen op school fouten maken zonder dat derden die informatie buiten de school voor andere doeleinden gebruiken. Voor goede medische zorg is het van wezenlijk belang dat patiënten erop kunnen vertrouwen dat hun medische gegevens niet elders terechtkomen en andermans belangen dienen.

Wanneer we privacy zo omschrijven, is iedereen er voorstander van. We zijn de afgelopen jaren echter bestookt met demagogische uitspraken als: ‘Privacy is de schuilplaats van het kwaad’ en ‘Wie niks te verbergen heeft, heeft ook niks te vrezen’. Dit doet geen recht aan het subtiele karakter en het grote maatschappelijke belang van privacy. Ons functioneren als vrije, autonome individuen staat of valt met privacy.

Hoe kunnen we die beschermen? Om de problemen te verduidelijken, presenteer ik hier stellingen, drogredeneringen en ten slotte aanbevelingen voor het nieuwe kabinet (en onszelf).

Privacy snappen in vier stellingen

1. Gegevensstromen bepalen wie de macht heeft

In de beroemde film ‘All the President’s Men’ (1976) leggen de journalisten Bob Woodward en Carl Bernstein het Watergate-schandaal bloot. Ze worden aangestuurd door een geheimzinnige bron die aldoor zegt: Follow the money!

Inderdaad werden de machtsverhoudingen in de samenleving toen nog bepaald door de geldstromen. Tegenwoordig moeten we zeggen: Follow the data!

Grote ICT-bedrijven als Google, Facebook en Amazon (‘Big IT’) hebben dit maar al te goed begrepen. Google kan gegevens over ons verzamelen via auto’s, thermostaten en andere apparaten die met het internet of andere digitale netwerken zijn verbonden. Met die gegevens kan het bedrijf ons gedrag sturen. We moeten dus leren denken in termen van gegevensstromen: wie krijgt welke data?

2. Privacybescherming kan niet zonder digitale technieken

Voorvechters van privacy roepen vaak dat je je maar beter verre kunt houden van moderne digitale techniek. Dat is een achterhoedegevecht én een miskenning van wat de juiste digitale techniek - bijvoorbeeld via versleuteling en pseudonimisering - mogelijk maakt voor privacybescherming.

3. De politiek kan ICT-ontwikkelingen wel degelijk reguleren

ICT-ontwikkelingen gaan razendsnel en de bijbehorende wetgeving hobbelt erachteraan. Big IT lobbyt overal in de politiek, vooral in Brussel, om, zoals de bedrijven in kwestie zeggen, de ontwikkelingen hun gang te laten gaan en innovatie vooral niet te verstoren. Het gaat daarbij om grote commerciële én maatschappelijke belangen. Welke staan voorop?

Alles overlaten aan Silicon Valley is óók een politieke keuze. Maar de sector valt wel degelijk te reguleren, vanuit algemeen belang. Een goed voorbeeld is de ‘netneutraliteit’: gegevens zonder selectie doorgeven. Privacyvriendelijke technieken invoeren dan wel afdwingen is óók een politieke keuze.

4. Achteraf gezien is het optimisme over vrijheid en transparantie door internet naïef

Het internet is in de jaren tachtig en negentig opgekomen. Dat gebeurde met het bijna hippieachtige optimisme dat dankzij de transparantie van dat internet machtsmisbruik onmogelijk zou worden en wij allemaal vrijere burgers zouden worden. Het tegenovergestelde is gebeurd: wij burgers zijn transparant geworden, door massale surveillance van commerciële partijen (bijvoorbeeld via tracking cookies) en van overheden (zoals Edward Snowden heeft onthuld). Veel macht is daarbij op schimmige wijze terechtgekomen bij enkele buitensporig rijke individuen.

Mocht Mark Zuckerberg, de grote baas van Facebook, in 2020 besluiten mee te doen met de Amerikaanse presidentsverkiezingen, dan kan hij zichzelf gewoon president maken. Hij weet bijna alles van het overgrote deel van het electoraat en heeft de digitale middelen om mensen gepersonaliseerde berichten te tonen (en andere berichten te onthouden).

We vonden de Italiaanse oud-premier Berlusconi destijds al doodeng, maar dat stelde niets voor: die had alleen maar kranten en tv-zenders en kon geen gepersonaliseerde boodschappen sturen. Zuckerberg is ‘Berlusconi on steroids’.

Zes drogredeneringen. Trap er niet in!

1. Iedereen zet toch immers z’n hele hebben en houwen op Facebook?

Deze uitspraak kom je vaak tegen als voorbereiding op een uitermate privacyonvriendelijk plan: als Facebook z’n gang kan gaan, dan kan ons plan natuurlijk ook door de beugel. Soms hoor je de variant: jongeren geven niks om privacy, want ze zetten alles op Facebook. Dat is niet waar. Het gaat vaak als volgt: kinderen maken een fout, zetten iets online waardoor de hele klas hen uitlacht. Daarna zijn ze meestal juist heel zorgvuldig op dit punt, misschien wel zorgvuldiger dan hun ouders. Daarbij geldt natuurlijk ook: als sommigen ervoor kiezen in hun blootje te lopen, is dat geen argument om anderen ertoe te dwingen.

2. We zoeken een balans tussen veiligheid en privacy

Deze kreet is vooral onder politici populair. Als je dit hoort kun je er donder op zeggen dat de balans zoek is: privacy gaat het afleggen.

Ik zeg dan altijd: ik wil én veiligheid én privacy. Niet of-of, maar en-en. Zo’n reactie vinden politici en anderen vaak maar moeilijk. Maar zulke moeilijkheden zijn vaak de motor voor echte innovatie: schijnbare tegenstellingen die dankzij nieuwe technieken toch verenigd worden. Inderdaad, strenge regelgeving leidt vaak tot innovatie; zie het milieu.

3. We kunnen doen wat we willen, want de gebruiker is akkoord

Toestemming van de gebruiker is een van de meest overschatte en slechtst functionerende mechanismen die we kennen. Wie leest gebruikersvoorwaarden? Vaak zijn het bewust afschrikwekkende juridische lappen tekst die, als puntje bij paaltje komt, uitermate vaag zijn. De opstellers willen dat we zo snel mogelijk op ‘Akkoord’ klikken. En dat doen we dan ook massaal. Alternatieven worden niet geboden.

Dergelijke ‘toestemming’ is helemaal een lachertje in de gezondheidszorg. Je ziet dat de Googles, Apples en Philipsen van deze wereld zich massaal op de zorg storten. Waarom? De marges zijn daar het hoogst en zieke mensen zeuren niet over privacy.

4. We moeten al uw gegevens hebben voor betere gezondheidszorg

Afgelopen februari toonde het tv-programma ‘Zembla’ hoe big-datacowboys de directie van de Belastingdienst in vervoering hebben gebracht met hun methodes voor het tegengaan van fraude: ze maakten kopieën van de belastinggegevens van alle elf miljoen particulieren en twee miljoen bedrijven, op aparte computers. Beveiliging of controle vond de Belastingdienst niet nodig, ondanks herhaalde waarschuwingen.

Mogelijk verschijnen onze gegevens binnenkort allemaal op een Russische website; Joost mag weten wie erbij kan. Natuurlijk is minder fraude en betere zorg een goede zaak. Maar moeten we alle andere waarden daaraan opofferen? Vrijheid van discriminatie en van machtsmisbruik, zorgvuldigheid en bescherming moeten vooropstaan, zodat patiënten hun artsen volledig durven te informeren, zonder angst voor andere agenda’s. Dat is een algemeen maatschappelijk belang.

5. Als we die data niet mogen verwerken, leggen we het af tegen onze Amerikaanse concurrenten

Er is een groot cultuurverschil tussen Europa en Amerika. In Europa is privacy een fundamenteel recht, terwijl die in Amerika veel meer onderhandelbaar is. De privacywetten van de VS gelden bijvoorbeeld specifiek voor de medische of de financiële sector.

Dit verschil ligt aan de basis van de vele conflicten tussen Brussel en de Amerikaanse ICT-sector; die laatste mag op de eigen markt zo ongeveer alles wat God verboden heeft. Hier is een level playing field vereist, zodat alle bedrijven zich aan dezelfde regels moeten houden. Met de introductie, in mei 2018, van de Algemene Verordening Gegevensbescherming komt er een nieuw wettelijk kader voor de hele EU, en dus ook voor alle bedrijven die binnen de EU opereren.

6. We tonen u uitsluitend advertenties die u wilt zien

De favoriete slogan van de advertentie-industrie. Het klinkt aannemelijk, maar het klopt gewoon niet: de aanbieders tonen u dingen waarvan zíj willen dat u ze ziet. Er is zelfs kans dat je een hogere prijs betaalt als je met een computer van Apple online winkelt: het komt voor dat de software van de aanbieders de dure computer herkent en een hogere prijs toont, ook al wilt ú een lágere prijs zien. Zulke prijsdiscriminatie vindt plaats op basis van persoonlijke profielen, vaak opgebouwd met cookies.

Kortom: we worden bedonderd waar we bij staan, mogen niet weten hoe we bedonderd worden en krijgen geen alternatieven zonder bedrog.

Zes taken voor het kabinet (en voor u).

1. Beschouw privacy en gegevens bescherming als ‘het nieuwe groen’

De gifschandalen van de jaren tachtig (zoals in Lekkerkerk) waren de aanleiding voor discussies over strengere milieuregels. Chemische bedrijven schreeuwden moord en brand: hun verdienmodel werd aangetast, banen en welvaart stonden op de tocht.

Tegenwoordig verdienen we echter aan groene technologie en profileren we ons ermee. Wat is er veranderd? Strengere regels, opgesteld vanuit welbegrepen algemeen belang, hebben geleid tot innovatieve milieuvriendelijke technieken en tot aangepaste businessmodellen. Gegevensbescherming is, naar analogie hiermee, essentieel voor een duurzame digitale omgeving.

2. Maak gegevensbescherming onderdeel van de cybersecurity-agenda

Het nieuwe Nederlandse kabinet gaat waarschijnlijk meer investeren in cybersecurity, vanuit het streven om van Nederland een safe place to do business te maken. Gegevensbescherming moet daarin vooropstaan, als license to do business.

Het is zelfs een vereiste van de voornoemde Algemene Verordening Gegevensbescherming van de Europese Unie die in mei 2018 van kracht wordt. Duitsland geeft het goede voorbeeld: bij grote ICT-projecten dient minstens tien procent van de uitgaven besteed te worden aan cybersecurity én privacy.

3. Bescherm mensen, soms zelfs tegen zichzelf

In alle beschaafde landen is het verboden om je eigen organen te verkopen. Wat een betutteling! Waarom mag ik geen nier van mezelf verkopen als ik dat zelf wil? Maar: hiermee beschermen we mensen tegen zichzelf, waarbij het er vooral om gaat dat arme mensen niet in de situatie belanden dat ze geen andere oplossing zien dan zo’n drastische stap.

Juristen noemen dit: buiten de handel plaatsen. Waarom plaatsen we medische persoonsgegevens dan niet ook buiten de handel, juist om ervoor te zorgen dat medische gegevens in een medische context blijven? Tegenover de disproportionele macht en invloed van de Big IT moet tegenmacht georganiseerd worden, zo nodig met enig verlicht paternalisme.

4. Herken en bescherm ‘de publieke zaak’ in de digitale wereld

Welke politici komen op voor de publieke zaak in de digitale wereld? Ik zie ze niet. Als je een Tesla koopt, moet je een document tekenen waarin staat dat al je gebruiksgegevens naar Tesla gaan, voor altijd. Een auto van een ander merk kopen is nu nog een alternatief. Maar wat als alle autofabrikanten zo’n contract afdwingen bij een aanschaf? Dan heb je geen keus meer.

Moeten we dat maar accepteren? Wie beschermt de burger in dit geweld? De gezondheidszorg wordt nu gekoloniseerd door merken als Apple en Philips. Steden worden verleid om ‘smart’ te worden, wat vaak betekent dat inwoners hun gegevens moeten inleveren. Wie kijkt hier kritisch naar en komt op voor het algemeen belang?

5. Introduceer nieuwe rechten om informatie te ontvangen zonder toezicht en profilering

Fundamentele burgervrijheden zoals vrijheid van meningsuiting en vrijheid van drukpers gaan over het vrij zijn om informatie te versturen. Dat is heel belangrijk. Maar wat net zo belangrijk is geworden, is de vrijheid om informatie te ontvangen. De bedrijven achter sociale media bieden informatie gepersonaliseerd aan, waardoor je liefde voor katten ertoe leidt dat je alleen nog kattenvideo’s op je tijdlijn aantreft en nooit meer iets over Syrië.

De nieuwe media bepalen, kortom, wat je te zien krijgt, vanuit hun eigen commerciële dan wel politieke belangen en die van hun adverteerders. Zo beland je in een zogeheten filterbubbel, waarin je verstoken blijft van allerlei informatie en soms zelfs nepnieuws krijgt voorgeschoteld.

Als ik mijn krant op papier koop, kan ik zelf kiezen welke artikelen ik lees en ziet de uitgever niet welke ik gekozen heb. Maar als ik de krant online lees, is de situatie behoorlijk Big Brother-achtig. Europese rechters hebben een ‘recht om te worden vergeten’ geïntroduceerd.

Wat we daarnaast nodig hebben: het ‘recht om niet te worden bespied’ en een ‘recht om niet te worden geprofileerd’. Zodat u en ik digitale diensten ook kunnen gebruiken zonder gedwongen ontkleding.

6. Behandel grote ICT-ondernemingen als nutsbedrijven en dwing ze tot opsplitsing

Een bedrijf dat in Nederland elektriciteit of mobiele telefonie wil leveren, moet dat volgens de wet ook in afgelegen gebieden doen, waar misschien geen winst te behalen valt.

Vanuit welbegrepen publiek belang zijn nutssectoren als gas, water, licht en telecommunicatie zwaar gereguleerd. Het wordt hoog tijd dat dit ook gebeurt met digitale diensten, omwille van diezelfde publieke zaak.

Daarbij is het verstandig om dergelijke diensten van elkaar te scheiden, zodat een bedrijf niet tegelijkertijd activiteiten op medisch gebied kan ontplooien, advertenties kan verkopen of sociale media mag bestieren. Ook dit om onze gegevens binnen één context te kunnen houden en onze privacy en autonomie te garanderen.

Bart Jacobs (1963) is hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen. Hij is expert in digitale beveiliging en privacy.