Is privacy lastig? Of uit de tijd? (4/5): De rol van de overheid

Door 27 januari 2015 privacy Geen reacites

Het is me de afgelopen tijd een aantal keer overkomen. Een IT architect/ontwerper/engineer die begeesterd praat over alle mooie mogelijkheden die beschikbare nieuwe techniek biedt, en vervolgens en passant zegt dat de privacyregels eigenlijk maar lastig zijn. ‘We mogen wel iets minder privacybewust zijn, want we moeten door’.

Is privacy werkelijk achterhaald? En zijn het dan de techneuten die bepalen wat mag?

Dit is het vierde deel van een privacy vijfluik. In deel 1 keek ik naar de persoonlijke kant van dit vraagstuk. Deel 2 ging dieper in op wat een slimme data-analist zoal kan met grote hoeveelheden persoonsgegevens. Deel 3 ging over de taken en verantwoordelijkheden van persoonsgegevens verzamelende en verwerkende organisaties. Dit deel 4 behandelt de rol van de overheid. In deel 5 zal ik proberen een conclusie te formuleren.

De rol van de overheid

De overheid heeft drie petten op als het gaat om de bescherming van de privacy van haar 16,8 miljoen aandeelhouders, namelijk als wetgever, als beschermheer en als grootverzamelaar. Soms komen deze rollen met elkaar in conflict.

De overheid als wetgever en toezichthouder

De EU en in het verlengde daarvan Nederland zijn in beweging op het privacyvlak. De noodzaak om privacygevoelige informatie te beschermen is erkend, zowel op Europees niveau als in Nederland wordt de wet aangescherpt. Als onderdeel hiervan krijgt de toezichthouder College Bescherming Persoonsgegevens (CBP) scherpere tanden. Recente acties van Amerikaanse (cloud) providers bewijzen dat dit effectief is. De Amerikaanse wet schrijft relatief beperkte privacyregels voor. Bovendien vindt de Amerikaanse overheid dat zij onbegrensd in de informatie mag rondsnuffelen, ook als de data in Europa is opgeslagen. Daardoor hebben de providers een minder goede business propositie dan hun Europese collega’s. Ze komen nu in verzet omdat ze bang zijn voor omzetderving.

De paradox is dat momenteel aan de ene kant scherpere regels die het verzamelen en verwerken van persoonsgegevens door organisaties inperken ontstaan, terwijl aan de andere kant burgers zelf met groot genoegen hun complete doopceel ‘op Internet gooien’. Alles beschermen is een uitdaging die we waarschijnlijk gaan verliezen. Wat nodig is, is een debat over wat we als privacygevoelig materiaal beschouwen. Een kleine(re) set aan persoonsgegevens waar we ons met z’n allen echt druk om maken is in mijn ogen beter.

Mijn advies aan de overheid: beperk de privacywetgeving tot het doel en vermijd het vermelden of verbieden van techniek. De cookie wetgeving is hierbij het slechte voorbeeld. Die is zijn doel ver voorbij geschoten door de techniek in de wet te benoemen en niet het doel. De verplichting om toestemming te vragen bij het plaatsen van cookies is functioneel onhandig en lost helaas slechts een deel van het probleem op. Alle andere mogelijkheden om gebruikers te volgen blijven buiten schot. De wet raakt bovendien de kern niet, want de vraag ‘ik wil een cookie plaatsen, mag dit?’ laat de achterliggende bedoeling ‘ik wil jouw gegevens doorverkopen, mag dit?’ volledig buiten schot. Een privacylabel naar analogie van het energielabel, of naar analogie van het ‘roken kan dodelijk zijn’ op een pakje sigaretten, werkt misschien beter. Dit moet natuurlijk ook afgedwongen worden voor niet-EU partijen. Zou Facebook net zo populair blijven als het een dieprode “G” zou scoren als privacylabel? Of Instagram als het verplicht wordt een boodschap te tonen in de trant van “gebruik van deze website is dodelijk voor uw privacy”?

De overheid als beschermheer

De overheid heeft de unieke opdracht om ons te beschermen tegen (digitaal) onheil. Nu opnieuw na de aanslagen in Parijs is de roep om op grote schaal verkeersgegevens te verzamelen, en om de inhoud van al onze berichten op het Internet in te kunnen zien weer sterker geworden. Het lijkt wel geregisseerd hoe ministers uit Engeland, België en de VS (om er een paar te noemen) allemaal te keer gaan tegen de encryptie die tegenwoordig steeds vaker door communicatieprogramma’s standaard zijn ingebouwd. Blijkbaar is het massaal afluisteren van intercontinentale glasvezelkabels, radio of satellietverkeer en binnenkort ook vaste verbindingen, kabel en glasvezel niet meer effectief (genoeg). Nu kan ik me bij de wens iets voorstellen als er gericht naar bepaalde boeven wordt gespeurd. Maar zodra de rechter hier niet meer aan te pas hoeft te komen, zoals nu het geval is bij Justitieel Aftappen van telefoonverkeer, worden deze geïnstitutionaliseerde backdoors al snel Weapons of Mass Surveillance. Daarnaast zullen die backdoors al snel een gewild doelwit worden voor het boevengilde.

monitoring

Een beetje schizofreen is onze reactie weer wel. Aan de ene kant juichen we de stappen van Whatsapp, Facebook en Google toe om net als banken het verkeer naar hun datacentra te encrypten (https, groen slotje). Maar waarom zou je het verkeer naar zo’n dienst beschermen als diezelfde dienst aan de achterkant ongestoord en op grote schaal commercieel met jouw gegevens aan de haal kan gaan, vaak met jouw onbewuste toestemming. Blijkbaar mogen de Apple’s en Facebook’s van deze wereld ‘meer’ van ons dan de veiligheidsdiensten.

De overheid als grootverzamelaar van persoonsgegevens

Zonder twijfel zijn de dataverzamelingen van de overheid de grootste die in ons land te vinden zijn. Het privacygevaar schuilt hem in de mogelijkheid om gegevens voor iets anders te gebruiken dan in eerste aanleg de bedoeling was. Nederland heeft hierin een niet al te best track record. Zo gebruikt de overheid camerabeelden voor trajectsnelheidscontrole of verkeersveiligheid nu ook om te bewijzen dat bepaalde personen op moment X op plaats Y zijn geweest. En vonden opsporingsinstanties de centrale opslag van vingerafdrukken op het paspoort, die bedoeld zijn voor identificatie aan de grens, ook heel handig om de ‘eigenaar’ van ‘onbekende’ vingerafdrukken op een Plaats Delict te bepalen. De centrale opslag is uiteindelijk door de Tweede Kamer afgewezen.

Door combinatie van gegevens tussen verschillende overheidsinstanties kan een zeer nauwkeurig beeld van burgers worden opgebouwd. Denk aan de koppeling van datasets van belastingdienst, uitkeringsinstanties, etc. om fraude op te sporen (project SyRi). Maar ander afwijkend gedrag valt er net zo goed uit te halen, of dit nu gaat om strafbare feiten of om volstrekt legitiem gedrag dat anders is dan de norm. En wie bepaalt die norm dan?

En als je de semipublieke sector hier bij betrekt wordt het beeld nog donkerder. Denk aan woningbouwverenigingen die een inkomenstoets moeten uitvoeren, en de verkregen broninformatie vast wel ergens opslaan. Denk aan het Elektronisch Patiënten Dossier, dat vanwege privacy gerelateerde problemen niet door de Tweede Kamer kwam, maar nu als Landelijk Schakel Punt min of meer onder water en onder regie van de zorgaanbieders alsnog wordt ingevoerd. Je moet persoonlijk toestemming geven voordat jouw gegevens met andere zorgaanbieders ‘gedeeld’ mogen worden. Maar die toestemming wordt een beetje een farce als je bij de apotheek wordt gevraagd ‘Meneer van Wijk, wilt u dit formuliertje even ondertekenen, want dat is handig voor het delen van uw informatie’, zonder dat daarbij de nadelen en reserves van de Kamer worden vermeld.

Dat de Big Brother Awards in 2014 voor de zoveelste keer aan minister Ivo Opstelten zijn toegekend maken mij niet geruster op het inherent betrouwbare karakter van ‘mijn’ overheid.

Dus overheid: houd je aan je eigen regels en luister naar de toezichthouder!

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.

Davos 2015
Volgende bericht