Is privacy lastig? Of uit de tijd? (1/4)

Door 5 januari 2015 privacy Geen reacites

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt (denk aan “Big Data”, “Cloud”), en vervolgens en passant zegt dat de privacyregels eigenlijk maar lastig zijn. ‘We mogen best iets minder privacybewust zijn, want we moeten door’.
Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

Dit is het eerste deel van een privacy vierluik. Het bekijktde persoonlijke kant van dit vraagstuk. Deel 2 bekijkt de (mogelijkheden van de) techniek en deel 3 de verantwoordelijkheid van de ‘eigenaar’ van de verzamelde gegevens. Het laatste deel gaat over de rol van de overheid en ik probeer een conclusie te trekken.

Wat is er aan de hand?

Nieuwe technieken buitelen over elkaar heen, zowel functioneel, als in snelheid waarin ze ontstaan als in prijs. Het leven werd nog nooit zo snel mooier en eenvoudiger. En er werd nog nooit op deze schaal data verzameld die of direct of indirect tot personen is te herleiden.
Voor een deel doen we dit zelf omdat de wereld mag weten wat we uitspoken. Wie heeft er geen profiel op Facebook, Twitter, LinkedIn, Instagram, of iets dergelijks?
Maar in een groot aantal gevallen doen we het onbewust.
Dat zoekmachines meer doen met je vragen dan jou een antwoord geven weten we al langer.
Dat websites meer doen dan het tellen van het aantal hits weten we eigenlijk ook wel. Maar dat de gemiddelde website van Nederlandse dagbladen al gauw een stuk of 10 commerciële partijen laat meekijken wat jij zo interessant vindt is misschien toch wel een beetje veel van het goede.

Of we installeren een app en geven die toegang tot ons hele adresboek, locatiegegevens, en wat al niet meer. Ook al heeft zo’n app daar voor de dienst niets te zoeken (Evernote: adresboek?, JotNot: locatievoorzieningen?). Ze verwijzen daar in de voorwaarden natuurlijk wel naar, maar ja, wie leest die voordat je op OK drukt?. Of (erger?) het gebeurt onbedoeld of onbewust, zoals bijvoorbeeld bij D66.

Of je loopt door Albert Heijn en gebruikt de Appie App met ondersteuning van Google Maps om snel je boodschappen in de winkel te vinden. Voordat je het in de gaten hebt weten ze niet alleen in Zaandam maar ook in Mountain View welk merk pindakaas je het lekkerst vindt.

In andere gevallen wordt je heel vriendelijk gevraagd of Twitter, of Facebook, of LinkedIn je kan ‘helpen’ met het vinden van bekenden. Daarvoor hebben ze dan wel je adresboek nodig, en hup, daar gaan de gegevens van al je contacten. Die van jezelf zijn niet zo erg (jij vindt dit wel handig), maar al die honderden contacten, zijn die er blij mee?

Of je krijgt een slimme energiemeter in huis. Opeens staat nu je dag- en nachtritme bij je energieleverancier opgeslagen. Die kan nu dus ook zien dat je op vakantie bent . . .

En het wordt nog veel leuker als we allemaal Apple of Google Watches, of Health thingies gaan dragen en Nest thermostaten gaan gebruiken. Die duiken nog dieper in je persoonlijke levenssfeer.

google watchApple-Watch-logo-main1fitbit_2776467b
nest

Bovengenoemde diensten hebben naast dat ze handig zijn voor de gebruiker één ding gemeen: ze vragen geen van alle geld. Maar het verdienmodel van bijna alle ‘gratis’ diensten is dat ze aan de achterkant van de dienst ‘iets’ doen met alle gegevens die ze verzamelen.

Nou en?

Alle dataverzamelaars slaan de door hen verzamelde gegevens ‘ergens’ op. Een deel hiervan zal ‘in de cloud’ worden bewaard. Daarmee verdwijnt een deel van onze controle over deze gegevens, omdat cloud leveranciers buiten onze Europese jurisdictie werken (zie ook mijn Apple blog)
Misschien nog belangrijker zijn de huidige mogelijkheden om analyses los te laten op die enorme berg aan informatie. Had je daar vroeger hele dure specialistische computers en software voor nodig (datawarehouses), tegenwoordig kan dat ‘gewoon’ met open source software op een ‘pay per use’ cloud dienst. Verhoudingsgewijs voor niets. Met wat klikken en slepen kunnen de meest fantastische doorsnedes en verbanden inzichtelijk worden gemaakt. Een handige techneut kan de was doen.

Berucht is het geval waarin een supermarkt eerder in de gaten had dat een tienermeisje zwanger was dan haar vader. Minder aangrijpend/indringend is de praktijk van online verkopers om ‘aanbevelingen’ te doen wat je nog meer zou kunnen bestellen, dit alles gebaseerd op koop gedrag van andere klanten. Het wordt zelfs gebracht, en ook vaak gezien, als een extra dienst. Maar we worden wel gemanipuleerd.

Booking sites verhogen de prijs van een hotelkamer omdat je op een andere site al eens interesse hebt getoond.

Of wat te denken van het feit dat taxibemiddelaar Uber klanten kan volgen. En dat dan ook doet?

Hier komt bij dat veel van de verzamelde informatie ‘gewoon’ doorverkocht kan worden (ja, ook in Nederland), dus de gemiddelde organisatie kan over meer informatie beschikken dan zij zelf verzamelt. Technisch is het geen probleem voor een zorgverzekeraar om de data van de Nike+ running app (of ieder ander willekeurig equivalent van Apple, Google, Garmin, . . .) te koppelen aan zijn eigen gegevens. Een scenario zou zo er zo uit kunnen zien: “Meneer van Wijk, wij zien dat u de laatste weken niet heeft hardgelopen. Wij raden u aan dit snel weer op te pakken of contact te zoeken met uw huisarts. Volgt u deze raad niet op dan zijn wij genoodzaakt de premie van uw verzekering te verhogen.” Toekomstmuziek? Zeker. In Nederland mag we dit niet? Zeker: een Nederlands (Europees) bedrijf mag zonder toestemming van de betrokkene (de roemruchte kleine lettertjes) geen persoonsgegevens delen. In Nederland doen we dit niet? Mwah: dat hangt sterk af van het bewustzijn van de betrokken organisatie. Zo hier en daar gaat het mis, zoals onze basisscholen leren.

En wat kan ik doen?

Als privé persoon zit er op dit moment maar één ding op: wees zuinig met de gegevens die je op het web zet. Dat is lastig genoeg, zeker als je bedenkt dat wij psychologisch moeite hebben met het in het juiste perspectief plaatsen van digitale risico’s. Ook kunnen we de inherente maar goed begrepen veiligheid van de oude fysieke wereld niet altijd goed transponeren naar de nieuwe digitale werkelijkheid zoals dit oude filmpje van XS4All demonstreert.

We moeten ons realiseren dat persoonlijke gegevens die een keer bedoeld of onbedoeld aan het publieke domein zijn vrijgegeven, nooit meer terug te halen zijn: het is een One Way Lane. Op Europees niveau is wel afgesproken dat er een ‘recht is om vergeten te worden’, maar in praktijk betekent dat nog niet veel meer dan dat resultaten van zoekmachines worden gefilterd maar er geen data wordt verwijderd. En dan alleen in Europese zoekmachines. Europese wetgeving wordt momenteel aangescherpt, maar of we ooit in staat zijn om gelijke tred met de technische mogelijkheden te houden is de vraag.

Ga hier naar deel 2

 

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.

Volgende bericht