De nieuwe privacywet zal onze privacy niet voldoende beschermen
Hoe de overheid de privacy van burgers moet beschermen
Bedrijven en overheden zijn druk bezig om de nieuwe privacywet te implementeren die in mei 2018 van kracht gaat. Toch zal dit alleen niet voldoende zijn om onze privacy te beschermen in een digitale samenleving. De overheid moet meer doen door burgers nieuwe rechten te geven en door de prijs van privacy zichtbaar te maken.
Onze privacy staat onder grote druk
We leven in het tijdperk van big data. De hoeveelheid data die overheden en bedrijven verzamelen van klanten en burgers, groeit exponentieel. We worden bijna overal en voortdurend gevolgd. Door middel van cookies op websites, door onze smartphones, door camera’s in binnensteden en wifi-tracking in winkelcentra.
De verzamelde data worden ook steeds intiemer. Het gaat al lang niet meer om onze naam of woonplaats, maar veel meer om ons sociale netwerk, ons koopgedrag, onze activiteiten en bijbehorende hartslag. Met kunstmatige intelligentie kunnen er steeds meer patronen en motivaties gedestilleerd worden uit alle verzamelde data. Zoals onze voorkeuren, verlangens, overtuigingen en gezondheid.
We zijn een open boek voor overheden en bedrijven die dit graag willen gebruiken om ons gedrag te beïnvloeden: ons aan te zetten tot kopen (‘persuasion’), om niet samen te scholen in de binnenstad (‘nudging’), of ons verleiden om meer gebruik te gaan maken van een dienst en ons zo gevangen te houden (‘locked in’) in hun ecosysteem.
Onze profielen zullen steeds bepalender worden voor de informatie die we te zien krijgen, zoals de zoekresultaten op Google, de reclames bij YouTube of de prijs die we voor producten en diensten betalen. Data zijn een onlosmakelijk onderdeel geworden van producten en diensten die we dagelijks gebruiken en die een cruciaal onderdeel uitmaken van ons leven: we kunnen niet meer zonder. Vaak worden diensten gratis aangeboden, waardoor er geen belemmering hoeft te zijn om ze heel veel te gebruiken.
Met deze ontwikkelingen wordt onze (vrijwillige) keuzevrijheid steeds verder ingeperkt. Zijn we nog wel in staat weerstand te bieden tegen toenemende sturing en beïnvloeding? Kunnen we nog wel autonoom in vrijheid beslissingen nemen? Bestaat privacy in de toekomst nog wel?
De nieuwe privacywet zal onze privacy niet (voldoende) beschermen
Autonomie en keuzevrijheid zijn het centrale uitgangspunt van de vrijemarkteconomie: een autonome consument die zelf in alle vrijheid kiest uit het vele aanbod, op basis van voldoende informatie. Dezelfde filosofie ligt ten grondslag aan de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 gehandhaafd zal worden. Organisaties moeten dan kunnen aangeven welke gegevens ze bewaren, waarom, waar en hoe lang en met welke toestemming. Burgers krijgen het recht op inzage in wat er over hen verzameld wordt, kunnen gegevens laten aanpassen en verwijderen, kunnen eerder gegeven toestemming beperken en intrekken en mogen hun data meenemen naar andere aanbieders (dataportabiliteit).
De gedachte is dat de burger een bewuste afweging maakt van wat zijn privacy hem waard is en wat hij ervoor in ruil krijgt. Als bedrijven maar transparant maken welke data ze verzamelen en waarom, zal ‘de markt’ zichzelf corrigeren: bedrijven zullen goed nadenken over wat ze verzamelen zodat ze dit kunnen verantwoorden, burgers zullen kritisch kijken wat er over hen verzameld wordt, het recht gebruiken om inzage te krijgen, data te laten verwijderen. Zijn burgers ontevreden dan kunnen ze een klacht indienen bij de privacywaakhond (de Autoriteit Persoonsgegevens). Die kan vervolgens een bedrijf of overheid beboeten. Dat is althans de bedoeling.
Het is echter de vraag of burgers deze stappen daadwerkelijk gaan zetten. Weinig burgers maken gebruik van de mogelijkheden die er nu al zijn om inzage te krijgen in de verzamelde data. Verder blijkt dat veel burgers niet of nauwelijks de gebruikersvoorwaarden lezen van de vele apps en diensten die ze gebruiken. Ook als deze ‘in klare taal’ zijn verwoord. We zijn enorm gehecht aan onze apps en sociale netwerkplatformen waar ‘iedereen’ zit en die bovendien gratis zijn.
Zal de markt vanzelf zijn werk doen? Gaan bedrijven concurreren op privacy, zoals Apple benadrukt bepaalde data van je iPhone (zoals je vingerafdruk en gezichtsscan) niet door te sturen naar de cloud, terwijl Google en Facebook dat in principe wel doen?
Ruimte voor innovatie
Diverse bedrijven, waaronder de startup Faktor, ontwikkelen ‘privacy by design’-toepassingen die voldoen aan de nieuwe privacywet en gebruikmaken van de veelbelovende blockchaintechnologie. De nieuwe privacywet kan een impuls kunnen geven aan nieuwe innovatieve oplossingen op het gebied van identiteitsmanagement en privacy. Waar het de overheid zelf betreft, kan ze haar eigen dataverzamelwoede inperken door een scherp gedefinieerde doelbinding: data mogen alleen verzameld worden voor een vooraf gedefinieerd en democratisch gelegitimeerd (via een wet of door parlement aangenomen) doel.
Maar is het mogelijk om de speelruimte af te bakenen van bedrijven, die voor hun innovaties, voor dienstverlening op maat, voor hun beurswaarde en voor hun positie in de markt volledig afhankelijk zijn van de data die ze verzamelen van hun gebruikers? En als de overheid zelf wil innoveren en haar dienstverlening wil verbeteren, zal ze ook ruimte nodig hebben om te experimenteren met het verzamelen en interpreteren van data.
Al met al zijn er flink wat haken en ogen aan de ‘marktwerking’ rond privacy. Daarom is het belangrijk dat de overheid verder kijkt hoe ze de privacy van burgers kan helpen beschermen naast de nieuwe privacywet. Dat zou kunnen door burgers meer rechten te geven en door de prijs van privacy zichtbaar te maken.
Burgerrechten om privacy te borgen
Door specifieke waarden in rechten te vatten, worden deze niet overgelaten aan zelfregulering en zelfredzaamheid van burgers.
1. Recht om niet geprofileerd te worden
Om burgers te beschermen tegen de gevolgen van profilering, zou voor bepaalde diensten een recht ingesteld kunnen worden om niet gediscrimineerd te worden. We kennen het al van zorgverzekeraars: zij zijn verplicht om alle burgers een basisverzekering te leveren, zonder rekening te houden met iemands gezondheid, leeftijd of welke kenmerk dan ook. In de telecomwereld kennen we zogeheten netneutraliteit: telecombedrijven moeten alle diensten op gelijke wijze doorgeven en mogen geen diensten voortrekken in bandbreedte of prijs.
Burgers die dat willen, kunnen dan altijd gebruik maken van een (basis)dienst die voor iedereen gelijk is. Bedrijven kunnen nog steeds data verzamelen om hun producten en diensten te vernieuwen en verbeteren, maar ze mogen deze niet gebruiken om onderscheid te maken tussen gebruikers. Ze kunnen burgers proberen te verleiden om te kiezen voor diensten op maat.
2. Recht op anonimiteit
Een tweede middel om privacy te beschermen is het recht op anonimiteit. Dit betekent een forse ingreep in het verdienmodel van bedrijven en de innovatiemogelijkheden. De overheid kan zo’n ingrijpen legitimeren door bepaalde diensten te beschouwen als een publieke dienst: een dienst waar een burger niet meer zonder kan, wil hij deelnemen aan de samenleving. Dat geldt bijvoorbeeld voor de zoekmachine van Google, socialenetwerksites als Facebook en LinkedIn of sociale media als WhatsApp en Instagram.
De overheid zou de toegang tot deze diensten dan kunnen reguleren zoals ze dat bij publieke diensten doet: burgers moeten laagdrempelig toegang kunnen krijgen tot deze diensten. Dat betekent tegen een laag bedrag (gekoppeld aan werkelijke kosten) en met een minimaal noodzakelijke hoeveelheid persoonsgegevens (bijvoorbeeld: alleen adres bij plaatsgebonden diensten). In Nederland was telefonie zo’n universele dienst. Europa kent een zogeheten universele dienstenrichtlijn die bepaalt dat een dienst voor iedereen onder gelijke voorwaarden en tegen een betaalbare prijs beschikbaar moet zijn.
De Finse regering heeft breedbandinternet bestempeld als een zo’n universele dienst. Bedrijven die publieke diensten aanbieden krijgen dan te maken met extra beperking met betrekking tot het verzamelen en verwerken van gegevens.
3. Recht om vergeten te worden
Een ander recht is het recht om vergeten te worden: de mogelijkheid om al je data te laten uitwissen bij een aanbieder. Voor een belangrijk deel sluit dit aan bij het recht op anonimiteit.
Als je nu een account of gegevens ervan wilt verwijderen, ben je als burger veelal afhankelijk van de mogelijkheden die aanbieders geven. Europese burgers hebben nu al het recht om vergeten te worden in zoekmachines als Google of Bing. Hier is de afweging nog complexer: hoe weegt de privacy van het individu op tegen het recht van het publiek op goede informatie? Neem bijvoorbeeld betrokkenen bij een schandaal die zich willen laten wissen uit de zoekresultaten. Individuen en organisaties zouden graag hun straatjes schoonvegen. Het wissen van dergelijke informatie zou ook grote impact hebben op de nieuwsmedia, die nu nog erg afhankelijk zijn van zoekmachines en sociale media om burgers te bereiken en te informeren.
Maak de prijs van privacy zichtbaar
Het reguleren van ontwikkelingen die zo sterk in ontwikkeling zijn, is niet eenvoudig. Meer debat is nodig over hoe ver de overheid zou moeten gaan met het reguleren van privacy.
Tot nu toe waren overheden terughoudend. Ze hebben zelf al grote moeite met het maken van de digitaliseringsslag en willen bedrijven die goed zijn in het ontwikkelen van waardevolle diensten, niet te veel in de wielen rijden en belemmeren. Wij als burgers profiteren daar immers ook van.
De bovengenoemde rechten zorgen voor een aantal harde garanties voor de privacy van burgers. Ze adresseren één punt echter nog niet: het feit dat data de olie van de digitale economie zijn en dat privacy dus geld kost. Privacy is een betaalmiddel en als we het willen behouden, zal dit geld kosten.
Als je zoveel mogelijk gebruik wilt maken van zelfregulerende marktmechanismen, dan zou je er ook voor kunnen kiezen om de prijs van privacy zichtbaar en transparant te maken. Geef burgers de mogelijkheid om te kiezen voor betaalde diensten, in ruil voor meer privacy. Misschien moet de overheid zelfs overwegen om gratis diensten te verbieden. Dat zou het speelveld van aanbieders een nieuwe impuls geven en een grote stap kunnen betekenen voor onze privacy.