Op 25 mei ging de GDPR, de Algemene Verordening Gegevensbescherming, twee jaar na haar goedkeuring van kracht. De voorbije maanden kon je zowat elke dag luisteren naar een of andere consultant die de bedrijven verwittigde voor al het onheil dat hen te wachten stond als ze niet in orde waren. Alleen zijn na die twee jaar noch de federale, noch de Vlaamse overheid klaar met de structuren die de regels moeten doen naleven. Nochtans is de bescherming van uw privacy echt wel zeer belangrijk. En met alle technologische ontwikkelingen en de bijhorende business morgen nog veel meer dan vandaag.
U wil het tegen niemand vertellen, maar we kunnen snel te weten komen hoeveel U verdient, voor wie U stemde en met welke vrouw/man waarmee U niet getrouwd bent seks had. Nu zijn zelfs die gegevens ook niet echt geheim voor wie wat kan Googlen, en dan heb ik het niet louter over hackers.
Privacy wordt dan weer door veel managers in bedrijven en overheden op dezelfde manier aangevoeld als een snelheidsbeperking. Niemand durft er openlijk tegen zijn, maar ze vinden die privacywetgeving toch een belemmering om eens lekker voluit te gaan in hun innovatieve plannen.
De bescherming tegen Big Brother veronderstelt wel dat de bedrijven die uw gegevens kennen zich onderwerpen aan een overheidsgezag. Net zoals er belastingparadijzen bestaan, zoeken ook internetbedrijven naar de weg van de minste weerstand wanneer ze hun datacenters bouwen. Het is niet enkel om fiscale redenen dat Google, Facebook, Twitter, Amazon, Uber en anderen naar Ierland trokken.
U BENT HET PRODUCT
De eerste inbreuk op uw privacy begint vaak doordat burgers zelf zich bloot geven. Al uw likes voor Bart De Wever of Peter Mertens geven direct weg wat U wellicht op zondag in het stemhokje zal doen. In hun 'Data Policy' leest U een uitgebreide lijst van wat Facebook en haar 'klanten' van uw profiel te zien krijgen.1 Het verstandigste blijft om op Facebook niets te schrijven dat U niet luid zou roepen in een café waar uw baas, uw partner en uw moeder meeluisteren. Alles wat U er schrijft en al uw foto's gaan de wereld rond, en vindt men over twintig jaar nog terug.
Tegelijk wordt uw ganse surfgedrag geregistreerd door uw provider. U surft niet anoniem en ongeweten. Dat merkt U nog het best aan de reclames die zich wonderwel aanpassen aan wat U laatst opzocht op internet. Als U die reclame wil wegklikken, moet U zich zelfs verantwoorden waarom. Supermarkten monitoren al sinds lang het koopgedrag via de klantenkaart. De reclame die ze U toestuurden wordt dan sterk afgestemd op uw koopgedrag. En een klassieker over het gebruik van Big Data is de Amerikaanse supermarkt Target die door het gewijzigde aankoopgedrag van een tienermeisje sneller ontdekte dat ze zwanger was (en reclame voor Pampers stuurde) dan dat ze het haar ouders had verteld. Men had immers geleerd uit het aankoopgedrag van duizenden zwangere klanten wat ze in elke maand van de zwangerschap kopen.2
Vaak hoor ik het vrij open gedrag van burgers op sociale media aanhalen als een argument dat de burgers niet zo sterk meer op respect voor hun privacy staan als vroeger en dat die privacywetgeving dus ook maar eens moet worden versoepeld. De Algemene Verordening Gegevensbescherming (dat is de befaamde nieuwe GDPR wetgeving die sinds 25 mei van kracht is) heeft een strenger imago, maar vergeleken met de Belgische privacywet is het een stap achteruit. Een bedrijf of overheid mag eigenlijk haar zin doen, zolang er maar geen klachten over komen. En de Verordening houdt weinig rekening met de modernste ontwikkelingen.
WEARABLES
U kent ze wellicht: de 'wearables' die uw hartslag, aantal stappen, verbruikte calorieën, bloeddruk meten en U laten zien hoe het met U gesteld is. De meeste zijn handig verbonden met het internet zodat U meteen op uw smartphone kan zien hoe het met uw conditie gesteld is. Of aan al uw Facebook vrienden laten weten dat U net op een kwartiertje 3 km gejogd hebt. In 2016 gaven werkgevers liefst 202 miljoen wearables cadeau aan hun personeelsleden. Zo kunnen ze in real time nagaan hoelang hun medewerkers aan hun bureautje zitten, voldoende bewegen in het magazijn, of te lang naar het toilet gaan. Verzekeringsmaatschappijen willen ook goed geld geven voor zo'n wearable. AXA deelt al sinds 2014 wearables uit aan z'n Franse klanten. Wie dagelijks 7.000 stappen haalt krijgt 50 euro korting op zijn verzekeringspolis, en 100 euro voor wie 10.000 passen doet.
Hetzelfde bestaat ook voor uw auto. Er is voor jonge chauffeurs de P&V Go Box, een doosje dat 'enkele interessante statistieken over uw rijgedrag bijhoudt: hoe vaak U rijdt, hoeveel kilometers, waar en wanneer'. Wie het ding installeert krijgt 25% korting op de autoverzekering. In Engeland en de VS gaat men al een stuk verder met de 'Black Box'. De app geeft jonge chauffeurs feedback over hun rijstijl en tegelijk laat het toe een beter onderscheid te maken tussen de jonge brokkenpiloten-in-spe en de voorzichtige chauffeurs en de premie aan te passen. Natuurlijk wordt uw verzekeraar meteen ingelicht over plaats, tijd en snelheid bij een botsing.
INTERNET OF THINGS
Het leven wordt U almaar gemakkelijker gemaakt door zowat alle denkbare objecten via internet met elkaar en met U te verbinden. Uw ijskast signaleert U dat die melk echt wel dringend moet worden opgedronken, of bestelt verse eieren als de voorraad slinkt. En er zijn poppen waar uw kleine tegen kan praten, maar meteen luistert die pop naar alle gesprekken in de kamer en stuurt die door naar al wie de wifi van de pop kan afluisteren. En die 'slimme meters' vertellen de buitenwereld al zoveel over uw energieverbruik als over uw dagdagelijkse bezigheden. In de eerste plaats krijgt U zelf te zien wanneer en waarom U energie verbruikt. Waar U nu na een jaar uw totale energieverbruik laat weten aan uw leverancier kan die nu uur per uur zien wanneer U opstaat, doucht, de ijskast opent, tv kijkt, enzovoort. Waarom die dat allemaal moet weten om uw factuur te kunnen opstellen, is een open vraag.
BRENGT DE GDPR SOELAAS?
Sinds 25 mei is de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), van kracht.3 Hoe moeten we die nu evalueren?
De GDPR is een opvolger van een richtlijn uit 1995 die door elke lidstaat op een andere manier werd omgezet. Karikaturaal gezegd: in sommige lidstaten mocht niets, in andere dan weer zowat alles. Zoals de Oostenrijkse advocaat Max Schrems aantoonde, beschouwt de Ierse Data Protection Commissioner het als z'n eerste opdracht om de aantrekkelijkheid van Ierland voor de ICT-multinationals overeind te houden. En toen Europa deze eeuw aan een verordening begon die de bescherming wou harmoniseren, was de lobbymachine van die Amerikaanse multinationals sterk genoeg om die regelgeving voor hen leefbaar te houden. Hun businessmodel is immers incompatibel met een overdreven respect voor uw privacy. Voor bedrijven komt er nu in gans Europa een post-factum controle. Ze moeten vooraf wel melden dat ze alle persoonsgegevens keurig gaan behandelen en veilig opslaan, een controle komt er pas na een klacht. En die kan er pas komen wanneer een burger kon nagaan dat er iets fout gebeurt. Al zullen weinig mensen navragen wie pakweg hun bankgegevens heeft bekeken en waarom. En de bank zelf stelt in haar privacystatement dat ze dit, zoals wettelijk voorzien, mag doen 'om redenen die het gerechtvaardigde belang van de bank betreffen.' De ganse verordening legt de bedrijven vooral zelfcontrole op. Ze moeten toepassingen 'privacy by design' ontwikkelen en een eigen Data Protection Officer aanduiden.
De GDPR-Verordening voorziet wel enorme boetes, maar U kan er zeker van zijn dat vooral advocaten zullen genieten van de jarenlange procedures. In de Verordening is 'gerechtvaardigd belang' het sleutelbegrip geworden, waarbij alle direct marketing bedrijven nu al hun klanten laten weten dat ze mogen blijven doen wat ze altijd al deden, ook zonder toestemming van de burgers.
Tijdens de hoorzitting voor het Amerikaans Congres liet Mark Zuckerberg nog uitschemeren dat Facebook zich keurig zou gedragen, maar twee weken laten haalde ze 1,5 miljard klanten weg van Ierland uit schrik dat die onder de strengere GDPR-regels zullen vallen. En wie klachten heeft, mag naar de soepele Amerikaanse rechter trekken.
TRADE OFF TUSSEN PRIVACY EN DIENSTEN
De privacyregelgeving laat een bedrijf niet toe om gegevens door te geven aan derden, tenzij de burger daar toestemming voor gaf. Het probleem is natuurlijk of U uw werkgever of verzekeringsmaatschappij veel kan weigeren.
Idealiter maakt elk voor zichzelf uit of ie gegevens wil ruilen voor betere diensten, maar U moet al een nerd zijn om telkens die kleine lettertjes te lezen van contracten of van die pop-ups als U iets op uw smartphone installeert. Al kan dat wel boeiend zijn. Zo staat er in de Waze-privacystatement dat U meteen gewoon alles wat U met uw gsm doet aan hen vertelt.
In België werd voor de overheid elke gegevensdeling wettelijk geregeld of minstens door de Privacycommissie gemachtigd. Wat die wetten betreft zou er in elke politieke fractie in het parlement best iemand zich grondig inwerken in privacy zodat het debat over een wet ook over dat aspect gaat. De laatste tijd worden toch wel wat ideetjes gelanceerd die toch wel heel ver gaan in het inventariseren van uw doen en laten. Het magisch woord daarbij is 'terrorismebestrijding'; wie zich daartegen zou verzetten maakt zich al verdacht.
Maar ten gronde is de vraag: moeten we al dat gebruik van onze persoonsgegevens toejuichen of bestrijden? Aan de ene kant laten die data een zeer gepersonaliseerde dienstverlening toe. U krijgt van de overheid en bedrijven precies die diensten en tarieven aangeboden die overeenstemmen met uw eigen situatie, belangstelling, gedrag, inkomen. Aan de andere kant worden ook controles, sancties, tarificaties aangepast aan het risico dat U vertoont. Of toch ongeveer…. Waar vroeger om de prijs van een verzekering te bepalen zowat het totale risico werd gedeeld door het aantal klanten, kan men nu moduleren op basis van uw risicogedrag en afgewogen tegenover het gemiddeld risico van klanten met een soortgelijk gedrag. Alleen, en dat geldt voor elke conclusie die men uit Big Data haalt, dat klopt enkel maar voor zover U ook echt een 'gemiddeld gedrag' vertoont. Het eigene aan een gemiddelde is dat zich aan weerszijden van de curve een pak volk bevindt. Er zijn kettingrokers die 95 jaar worden en afgetrainde sporters die op hun 23e tijdens een match bezwijken.
Tegelijk doorbreekt het flink de solidariteit tussen de verzekerden. Je hoort nu al de voorstellen opduiken om zelfs de sociale zekerheid in te perken voor mensen met wat een als ongezond bestempelde levensstijl wordt beschouwd. Uiteindelijk wenkt een toekomst waarin mensen met een genetische of andere problematiek niet of slechts tegen torenhoge premies worden verzekerd, en alle andere gratis door het leven fluiten. Een aantrekkelijk systeem voor al wie denkt dat hij vandaag meer premies betaalt dan ooit verzekering ontvangt. En dan zijn privacyoverwegingen meteen van ondergeschikt belang.
Hetzelfde geldt eigenlijk voor alle maatregelen tegen terrorisme. Al verzamelt de NSA (en alle politiediensten ter wereld) nu zoveel gegevens over U allen dat ze nadien, wanneer de terrorist ter plekke is doorgeschoten, enkel kunnen zeggen dat de dader gekend was bij de politie. Geen wonder, aangezien iedereen ter wereld op een of andere manier gekend is bij de inlichtingendiensten. Maar preventief lijken ze daar nog niet veel mee gedaan te hebben. Tenzij 33 mensen toegang weigeren tot Tomorrowland, met slechts voor 5 gegronde redenen. Of 5 terroristen op 29.000 gescreende festivalgangers. Je kan maar hopen dat de politie ooit even efficiënt wordt als de adverteerders in het identificeren van hun doelgroep.
Niettegenstaande de principes achter de privacywetgevingen slechts enkele decennia oud zijn, dateren ze uit een lang vervlogen tijdperk toen de gegevensdeling beperkt was tot het bijna manueel doorsturen. En vandaag volgt men liever de letter dan de geest. Bij apps krijgt U privacyberichten die zo generiek zijn opgesteld dat U eigenlijk geen idee heeft wat ze betekenen. Maar door 'ok' te klikken, geeft U ze wel volmacht.
Bij bescherming van de privacy denkt iedereen vrij conservatief aan de huidige bedrijven en 'democratische' overheden. Maar om het met een oneliner te zeggen: 'Hadden de nazi's de technologie van vandaag gehad, er was niemand ontsnapt'. Met alle beschikbare gegevens kan men feilloos weten wie welke religie, afstamming, DNA, politieke overtuiging heeft, en waar die zich bevindt.
FUCK THE SYSTEM?
De privacyregelingen hebben zonder twijfel grote waarde om de meest courante schendingen van uw persoonlijke gegevens te vermijden. Maar tegen echt malafide misbruik komt de remedie te laat. De 2,4 miljard euro boete voor Google lijkt astronomisch hoog, maar is toch nog altijd maar de helft van de winst en 10% van de omzet. Een beetje boekhouder kan daar wel weg mee. En dan is er nog de dreiging voor echt criminele activiteiten van maffiosi en ondemocratische regimes. Wie de actualiteit volgt weet dat het klimaat in een land snel kan omslaan.
De gegevens zelf blijven altijd wel een probleem wanneer ze gebruikt worden voor zaken die U niet gewenst had. Die 'informed consent' toestemmingen zouden tenminste heel helder en ondubbelzinnig moeten uitleggen waar uw gegevens voor gebruikt worden. Idealiter, en technisch niet ondenkbaar, zouden uw data een soort tracker moeten meekrijgen waarbij U telkens kan zien waar die allemaal naar toe gestuurd zijn. En dan kan U pas echt 'geïnformeerd' vragen waarom die zich daar bevinden en wat men er mee plant te doen. Minimaal zou een bedrijf dat U nu al moet laten weten welke gegevens het over U bewaart, tegelijk ook moeten vertellen naar wie ze die doorstuurt.
Een klein verzet kan er in bestaan om het iets moeilijker te maken U te classificeren. U kan wat zand in de big data strooien door op het net atypisch gedrag te vertonen. Hou die extremistische rotzakken van de andere kant toch maar in uw Facebook vriendenkring, dan bent U niet zo eenduidig als links of rechts te determineren. En U leert gelijk nog wat bij over de gedachten aan de overkant. En al interesseert het U geen moer, zoek eens op wat dodecafonische muziek is of volg die dubieuze filosoof op Twitter.
CONCLUSIE
In deze gedigitaliseerde samenleving worden al uw activiteiten en transacties via internet en telecom gescreend, en worden vaak actief gebruikt voor doelstellingen waar U geen weet van heeft.
De GDPR-Verordening mocht gerust een stuk strenger zijn dan die geworden is, en de dreiging met zware boetes een stuk reëler dan louter hypothetisch.
Maar die wetten zullen moeilijk de dijkbreuk van het gebruik van alles wat over U te weten valt, kunnen tegenhouden. Er zijn ook geen eenvoudige oplossingen. We vinden het net prettig dat bedrijven ons gepersonaliseerde diensten aanbieden, en dat de overheid het 'Once Only Principe' hanteert.
Het is een kleine stap om elke jongere op z'n 18e verjaardag een bestand te sturen met àlle foto's en berichtjes die hij in zijn jeugd geplaatst heeft, en die meteen totaal van het internet te wissen. Niemand moet door z'n jeugdzondes achtervolgd te worden. En er is minimaal behoefte aan een soort Test Aankoop die actief alle 'End-User Licensing Agreements' grondig leest en in mensentaal vertelt waar U allemaal mee akkoord gaat als U 'Agree' klikt bij de installatie van een app. U zou de app ook moeten kunnen gebruiken zonder akkoord te gaan met al dat andere gebruik van uw data, al verstoort dat natuurlijk het businessmodel van het bedrijf. Desnoods betaalt U dan zelf 10 euro voor die app om niet verkocht te worden. Al dreigt privacy dan een voorrecht voor de rijken te worden.
Voetnoten
- https://www.facebook.com/full_data_use_policy.
- 'How Companies learn your secrets', New York Times magazine, 16/2/2012, http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=1&_r=1&hp.
- http://www.eugdpr.org/eugdpr.org.html.
(Dit artikel is een ingekorte en herwerkte versie van het artikel 'Het is niet omdat u niet paranoïde bent dat u niet gevolgd wordt' dat verscheen in het boek 'Vorm geven aan digitale tijden' van Denktank Minerva.)
Samenleving & Politiek, Jaargang 25, 2018, nr. 5 (mei), pagina 45 tot 50
Abonneer je op Samenleving & Politiek
Het magazine verschijnt 10 keer per jaar; niet in juli en augustus.
Proefnummer? Factuur? Contacteer ons via
info@sampol.be
of op 09 267 35 31.
Het abonnementsgeld gaat jaarlijks automatisch van je rekening. Het abonnement kan je op elk moment opzeggen. Lees de
Algemene voorwaarden.
Je betaalt liever via overschrijving?
Abonneren kan ook uit het buitenland.
*Ontdek onze SamPol draagtas.