Is privacy lastig? Of uit de tijd? (2/5)

Door 9 januari 2015 privacy Geen reacites

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt, en vervolgens en passant zegt dat de privacy regels eigenlijk maar lastig zijn. ‘We mogen wel iets minder privacybewust zijn, want we moeten door’.

Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

In deel 1 van een privacy vierluik keek ik naar de persoonlijke kant van dit vraagstuk. Dit deel 2 gaat dieper in op wat een slimme data-analist zoal kan met heel veel persoonlijke data. Deel 3 zal de taken en verantwoordelijkheden van de bewerker en de ‘eigenaar’ van de gegevens als onderwerp hebben. Deel vier kijkt naar de rol van de overheid. En omdat ik teveel te zeggen heb (‘Kill your darlings’ blijft moeilijk voor me 😉 ) is er nu een vijfde deel voor een aantal conclusies.

Wat is er aan de hand?

Big Data is mooi man. De meest fantastische analyses en presentaties kunnen worden gemaakt met alle informatie die we bewust of onbewust op het net slingeren. Neem bijgaand kaartje van Mapbox. Het laat bijna tot op de meter nauwkeurig zien waar de afgelopen jaren Tweets met geotagging (GPS coordinaten worden met de Tweet meegestuurd, een vinkje in je telefoon zet het aan of uit) zijn geplaatst. In totaal zijn ca. 3 miljard Tweets gebruikt vanaf 2011. Het systeem dekt de hele wereld, en er kan eindeloos ingezoomd worden.

Het is toch meer dan geweldig dat je van alles en nog wat van ons kikkerlandje herkent? Zoals de grachtenstructuur in Amsterdam, de plattegrond van aankomst- en vertrekhallen van Schiphol. Ons gehele snel- en spoorwegennetwerk is zo’n beetje terug te vinden.

Het wordt al een klein beetje eng als je gaat kijken naar de informatie achter deze geweldige plaat. Wat doen bijvoorbeeld al die Tweets op onze snelwegen? Ook in 2011 was het toch al niet meer toegestaan om al rijdend aan te telefoon te zitten?

Of waarom twitteren ze in Vlissingen en Middelburg minder vaak dan in Groningen en Leeuwarden? Twitteren Duitsers beduidend minder dan Nederlanders of zijn ze privacybewuster en staat het betreffende vinkje gewoon uit?

Het punt is niet zozeer dat deze analyses gemaakt kunnen worden, maar wel dat er ‘ergens’ een dataset bestaat waarin alle individuele Tweets zijn terug te vinden. In hun eigen onnavolgbare stijl brengt Geenstijl de boodschap thuis: al die tweets zijn ook naar de individuele twitteraar te herleiden.

Jouw hele twittergeschiedenis is dus ergens opgeslagen. En kan geraadpleegd worden. Twitter biedt heel gedienstig goed gedocumenteerde toegang tot deze informatie. En schijnbaar zonder dat daar enige vorm van restrictie op zit: wie mag wat zien en waarom? Maar ja, al die Tweets zijn tenslotte wel door de gebruiker zelf geplaatst, met de wetenschap dat het publiek zou zijn. Voor de eeuwigheid naar nu blijkt. Twitter wordt in ieder geval niet geplaagd door Europese regels bij de bescherming van deze gegevens.

Dat leidt aan de ene kant tot het mooie kaartje hierboven. Aan de andere kant biedt het ongekende mogelijkheden als deze informatie wordt gekoppeld met andere grote dataverzamelingen. Bijvoorbeeld die van de Nederlandse overheid. Die is weliswaar op dit moment nog vooral bezig met de koppeling van de verschillende verzamelingen die zij zelf beheert. Deels tegen protesten van de Raad van State en het College Bescherming Persoonsgegevens in. Maar stel dat ze daar mee klaar is, dan is het technisch zeker mogelijk om al die tweets op de Nederlandse snelwegen te koppelen aan het bestand van de politie (camerabeelden, trajectcontrole) en de Rijksdienst voor het Wegverkeer. Die koppeling is behoorlijk hard: leg maar eens uit aan het Centraal Justitieel Incasso Bureau dat het je tweelingbroer was die op die bewuste dag op de passagiersstoel van jouw auto met jouw telefoon op jouw Twitteraccount bezig was. De opsporingsdiensten bij monde van generaal-majoor bd Cobelens bereiden ons al voor op deze toekomst.

Een ander voorbeeld. In New York rijden alle taxi’s met een gemeentelicentie rond met een GPS volgkastje, voor de veiligheid van passagier en chauffeur. Gegevens van iedere rit, met begin- en eindcoördinaten worden opgeslagen. Na een WOB-verzoek is deze data, volgens de regels der kunst geanonimiseerd, publiek gemaakt. Onderzoekers van Neustar, de organisatie die (mobiele) nummerportabiliteit in de Verenigde Staten regelt, beschrijven hoe op basis van uitsluitend publiek toegankelijke informatie, vanuit deze berg met anonieme taxiritinformatie een koppeling is te leggen naar privépersonen. En wat het inkomen van de taxichauffeur zal zijn geweest. Of de klant een fooi heeft gegeven. Wat een waarschijnlijk doel van de afgelegde rit was. En de patronen die te herkennen zijn in de ritten van bepaalde personen.

En de macht en kracht van Facebook kennen we allemaal wel. Maar dat dat zover gaat dat FB na 10 likes een beter inzicht in je heeft dan je collega’s, na 70 likes je vrienden verslaat, na 150 je familie en na 300 zelfs je partner vind ik toch wel weer verrassend. Lees het hele artikel in de Volkskrant.

Nou en?

Pretty scary stuff in mijn ogen. Grote verzamelingen van persoonlijke gegevens zijn als een honingpot waar de bijen op afkomen. Naast het -meestal eerzame- beoogde doel van de verzameling, zijn er over het algemeen ook andere mogelijkheden om deze data te gebruiken. Zoals boven aangetoond soms met onvermoede gevolgen. Daarnaast zijn deze dataverzamelingen ook nog eens een prachtig doelwit voor hackers. En we weten dat het beschermen ervan niet altijd even gemakkelijk of vanzelfsprekend is.

Aan iedere ontwikkelaar / engineer / architect van apps tot big data analyses die persoonsgegevens opslaan pof verwerken heb ik een verzoek: wees je bewust van de maatschappelijke context, probeer bij elke nieuwe techniek en mogelijkheid die software biedt na te denken over de gevolgen van het verzamelen en koppelen van persoonlijke data. En beperk dit tot het hoogst noodzakelijke. Verifieer bij de Legal of Compliance afdeling van je organisatie of wat je wilt in lijn met de wet is.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.