Waarom ik Google en Facebook meer met data vertrouw dan de overheid

26 februari 2015, 14:00

En waarom discussies over privacy uit balans zijn

Het informatietijdperk zou eigenlijk het datatijdperk moeten heten. Want telkens als we ergens informatie opzoeken, laten we tegelijk een spoor aan data achter. Apple weet waar je nu bent. Google weet wat je zoekt. En Facebook weet wat je leuk vindt. Een uurtje struinen op het internet laat een spoor aan cookies achter, vaak gevolgd door irritante retargeting. Geen wonder dat telkens discussies over privacy opduiken. Die discussie is terecht en gezond, maar helaas wel eenzijdig. Te makkelijk krijgen adverteerders en marketeers de schuld, terwijl (semi)overheden veel verder gaan en een veel groter risico vormen. Waarom dat risico groter is, de potentiele schade erger is en waarom ik mijn data liever aan Google en Facebook toevertrouw dan aan de overheid lees je hieronder.

Zes redenen waarom internetbedrijven beter met privacy omgaan dan overheden

Kennis over de werking van internet op managementniveau

De kennis van de werking van internet en de beveiliging daarvan is bij internetbedrijven een kerncompetentie. Google, Facebook, Twitter, Criteo, Apple, DoubleClick, Twitter, allemaal ontlenen ze hun bestaansrecht aan hun kennis van technologie. Die kennis is in alle lagen van de organisatie aanwezig en tot op boardroomniveau dominant.

Bij overheden is kennis van internettechniek slechts een noodzakelijk kwaad dat in veel gevallen ingehuurd moet worden en door dure externe consultants wordt opgelost. Een kostenpost waar het liefst zo min mogelijk aan wordt uitgegeven. En een domein dat ambtenaren in ministeries en bij gemeenten, wethouders en beleidsmakers niet als kerncompetentie hebben. Daardoor kunnen ze minder goed inschatten wat de gevolgen van hun keuzes zijn en gaan beslissers bij overheden vaker de mist in.

Het politieke gestuntel de afgelopen jaren rond de cookiewet liet pijnlijk duidelijk zien dat ze in Den Haag echt geen idee hebben waar dit over gaat of wat ze ermee moeten doen.

Paradigma dat de overheid goed is

We hebben geleerd dat de overheid ‘goed’ is en dat commercie minimaal ‘verdacht’ is. Dat paradigma is diepgeworteld in onze cultuur en staat zelden ter discussie (overigens is dat wel aan het veranderen doordat de macht heel langzaam aan het verschuiven is van een centrale overheid naar een veelheid aan initiatieven in de samenleving zelf, zie ‘verandering van tijdperk- Jan Rotmans’). Daardoor staat de overheid niet onder druk om uit te leggen waarom ze eigenlijk bepaalde informatie over ons nodig hebben of opslaan. Want als de overheid het doet, zal het wel goed zijn. Bedrijven hebben dat niet en worden daarom veel vaker tot verantwoording geroepen.

Publieke sector vindt te vaak dat regels niet voor hen gelden

Waarschijnlijk als gevolg van bovenstaand paradigma lijken veel mensen die op een niet-commerciële wijze omgaan met internet te vinden dat regels niet voor hen gelden. Scholen, bibliotheken en zorginstellingen gebruiken in hun communicatiemiddelen te vaak materiaal zonder zich aan het auteursrecht te houden.

En bij veel gemeenten is het kinderlijk eenvoudig om op te zoeken wat iemand voor een huis heeft betaald of hoe hoog de uitkering is die de buurman ontvangt. Een wir-war aan beveiligingsproblemen ligt daaraan ten grondslag en uit onderzoek blijkt dat een hoop gemeenteambtenaren daar misbruik van maken en in de pauze eventjes snuffelen in de financiële- en persoonsgegevens van de buurman of een bekende Nederlander.

Kennis over de werking van internet op werkvloerniveau

Iedereen kent de voorbeelden uit zijn eigen omgeving. Doe je een cursus of opleiding, dan krijg je een mail van een docent of coördinator met daarin alle namen, e-mailadressen en telefoonnummers van je klasgenoten. Handig! Maar het is wel een lijst persoonsgegevens die ze absoluut niet mogen delen.

Zelf krijg ik drie jaar nadat ik me heb uitgeschreven bij een politieke partij nog steeds af en toe een mail van de lokale afdeling waarbij ze alle ontvangers in het ‘to-veld’ hebben gezet. Daarbij delen ze dus zowel mijn e-mailadres als mijn (vermeende) politieke gezindheid, beide persoonsgegevens en dus onderdeel van de Wbp, met mensen die ik niet ken.

De lijst tenenkrommende voorbeelden van goedbedoelde schendingen van de Wet bescherming persoonsgegevens door (semi-)overheden is lang en dat komt door een gebrek aan kennis op de werkvloer van deze organisaties. De werknemers zijn niet opgeleid of getraind in kennis van internet of juridische zaken als auteursrecht of de Wbp.

Internetondernemingen hebben concurrentie

Te makkelijk zien we in kapitalistische democratieën als de onze concurrentie een oplossing voor van alles. De energiemarkt, de zorg, het onderwijs en de spoorwegen laten dat duidelijk zien. In het geval van privacy is het wel een belangrijke factor, want internetondernemingen hebben concurrentie. Als ze te ver gaan, kunnen mensen overstappen naar een concurrent of gewoon stoppen met die dienst. Maar switchen van overheid is niet mogelijk.

Als de overheid een flinke fout maakt met de privacy van burgers, bijvoorbeeld door een flink lek in het DigiD, komen er niet ineens nieuwe verkiezingen. De overheid mag dus falen zonder dat het consequenties heeft, terwijl internetondernemingen bij een fout een flink risico lopen.

Inlichtingendiensten zijn niet te controleren

Inlichtingendiensten als de AIVD en MIVD mogen erg veel en vertellen erg weinig over wat ze doen en hoe ze dat doen. Dat lijkt nodig zodat ze boeven en terroristen kunnen vangen. Als ze zouden vertellen hoe ze werken zouden ze de boeven veel te slim maken. Een logische redenatie die echter door is geslagen. Ze mogen bijna alles en hoeven nauwelijks verantwoording af te leggen. Dat is de kat op het spek binden.

Daarbij komt dat inlichtingendiensten van verschillende landen elkaar op een niet te controleren wijze informatie toespelen. Daardoor komen gegevens over ons bel- en reisgedrag in handen van overheden van andere landen. Onze eigen overheid kunnen we via verkiezingen nog enigszins onder druk zetten om netjes met onze gegevens om te gaan. Maar op de overheden van de VS en de UK hebben we geen invloed.

Impact van een privacy-misser

Door gebrek aan kennis, controle en concurrentie is de kans dat de overheid in de mist gaat met privacygevoelige informatie dus een stuk groter dan dat het zelfde bij een commercieel internetbedrijf gebeurt. Maar hoe zit het met de potentiële schade? De impact van een privacy-misser?

Marketeers beschikken over vrij onschuldige data

De cookiewet/Telecomwet/Wbp moet bedrijven dwingen om op een nette manier met persoonsgegevens en privacygevoelige data om te gaan. Maar over wat voor informatie hebben we het eigenlijk? In het gros van de gevallen gaat dat niet veel verder dat wat cookies waarmee een website kan bijhouden hoeveel pagina’s er door hoeveel mensen worden bekeken. Die worden soms gebruikt om banners of Facebook-ads te serveren die zijn afgestemd op de pagina’s die die persoon bekeken heeft.

We noemen dat ‘behavioural targeting’ alsof marketeers bij elke bezoeker individueel gedrag zitten te bestuderen en daar dan hun reclameboodschap op af stemmen. In de praktijk werkt het allemaal een stuk Spartaanser. Adverteerders zien in hun advertisingplatformen grote groepen anonieme computers die een bepaalde pagina wel of niet hebben gezien. Bedrijven als Facebook en DoubleClick tonen alleen informatie over groepen groter dan 50 of 100 mensen, dus individuele gebruikers zijn voor marketeers zelden zichtbaar. De data die internetbedrijven over ons hebben, zijn dus betrekkelijk onschuldig.

Overheden daarentegen hebben toegang tot onze adresgegevens, onze werk-, loon- en banktransacties, examenresultaten, diploma’s, informatie over kentekenregistraties, parkeergedrag en het OV-reisgedrag. En als er een verdenking is, komt daar informatie bij over bijvoorbeeld belgedrag. De impact van een lek of misbruik van die data is vele malen groter.

Waarschijnlijk zijn de zorgverzekeraars de uitzondering om dat zij tegenwoordig geprivatiseerd en commercieel zijn, maar wel over medische gegevens beschikken. Maar misschien is die combinatie nog wel gevaarlijker, omdat de zorg onterecht nog onder het zelfde paradigma valt als de overheid en mensen daardoor minder kritisch zijn.

Overheden koppelen en delen informatie

Commerciële bedrijven vormen data-eilandjes. Mocht het een keer mis gaan, dan lekt er slechts één aspect van mijn data. Zalando weet wellicht welke kleding ik bekeken of gekocht heb. Mijn favoriete biologische wijnwinkel weet welke wijn ik lekker vind. En wehkamp.nl weet dat ik recent flesvoeding voor mijn baby heb gekocht. Als een van die sites gehackt wordt of een medewerker van zo’n partij zou misbruik maken van die gegevens, gaat het slechts over één aspect van mijn leven.

Overheden koppelen allerlei data aan elkaar waardoor een veel completer beeld van iemand ontstaat. Suwinet, het EPD en het DigiD zijn voorbeelden daarvan. Als dat beeld in handen van een hacker of foute medewerker komt, is de potentiële schade veel groter. En we weten ook niet welke mensen er over 10 jaar in onze regering zitten. Stel dat er straks een extremistische partij de grootste wordt. Willen we de overheid die op dat moment ontstaat dan toegang geven tot onze zorg- en bankgegevens of gegevens over politieke voorkeur?

Sales versus macht

Adverteerders, marketeers en reclamepartijen vinden het werk wat ze doen allemaal reuze belangrijk. Maar in essentie doen ze niet meer dan wat cookies of online data gebruiken om je iets te verkopen. Soms is dat handig, soms irritant, maar in feite niets veel erger dan een slechte autoverkoper of zo’n propper die je op je rustige vakantie een bepaald eettentje probeert in te lullen. Eventjes irritant, maar als je doorloopt ben je het snel weer vergeten. En als zo’n marketeer een foutje maakt krijg je een banner met lingerie in plaats van de spijkerbroeken die je bekeken had.

Maakt de belastingdienst, de AIVD of het OM een fout met data, dan betaal je wellicht te veel belasting, of word je van je bed gelicht door een arrestatieteam. En doordat al die systemen met elkaar communiceren kan zo’n persoonsverwisseling je nog jaren achtervolgen.

Daarom vertrouw ik Google en Facebook meer dan de overheid

Discussies over privacy gaan te eenzijdig over cookies en commerciële bedrijven. Maar de kans dat het mis gaat bij een (semi-)overheid is door gebrek aan kennis, controle, interesse en concurrentie veel groter. En als het misgaat is de impact van een lek of hack veel groter als het om privacygevoelige data vanuit een overheidsdienst gaat. Tegelijk zien we nog steeds dat de politiek, opgehitst door inlichtingendiensten, op elke terroristische dreiging reageert door te roepen dat inlichtingendiensten meer bevoegdheden moeten krijgen.

Slechts een week na de aanslag op Charlie Hebdo wilde Halbe Zijlstra (VVD) al machinegeweren uitdelen bij de politie en van links tot rechts pleiten de partijen voor voldoende middelen voor de inlichtingendiensten. Wat die middelen zijn, welke randvoorwaarden ervoor gelden, hoe het beveiligd is, met wie het gedeeld mag worden en dergelijke, daar hebben we geen politicus over gehoord. Afluisteren en verzamelen van zo veel mogelijk data als wondermiddel tegen terrorisme. Even aandoenlijk als pijnlijk naïef. Om die redenen vertrouw ik de overheid een stuk minder met mijn persoonsgegevens en andere privacygevoelige data dan Google, Apple, Facebook, Twitter en al die marketeers.

Marketeer voor betekenisvolle bedrijven.

Categorie
Tags

9 Reacties

    daniel@clickvalue.nl

    Beste Remi,

    Interessante post met veel feiten en oordelen. Over het gepruts van de publieke instellingen zijn we het denk ik allemaal eens. Toch vraag ik me af of je niet voorbijgaat aan de functie van de data voor de verschillende instellingen. Voor commerciële instellingen is die heel anders dan voor publieke instellingen. En ik wil mijn geondheidsinformatie liever niet opslaan bij een organisatie die winst maximaliseert door middel van advertentieverkoop, of profielinformatie. Zo krijg je nachtmerries zoals in The Circle is beschreven.

    Het is wel belangrijk dat de publieke organisaties investeren in de kennis. Anders komt het Circlescenario uit omdat het een efficiënt alternatief is.


    27 februari 2015 om 06:50
    Ger Nijkamp

    De bepalende onderscheidende factor tussen overheid en ieder willekeurige commerciële onderneming: de overheid kan op basis van data-analyse sanctioneren. Commerciële partijen kunnen dat niet, hooguit levering weigeren maar dan is er nog altijd marktwerking die je als consument een alternatief en/of vrije keuze geeft. Alleen de overheid kan direct korten op een uitkering, een boete opleggen etc.

    Dat gebeurt ook al in de praktijk. Op basis van camerabeelden en parkeerdata bepaalt de overheid of jij wel/niet terecht de bedrijfsauto niet privé rijdt, om maar een voorbeeld te noemen. Het enge daaraan is dat deze vorm van analyse als bewijs wordt beschouwd. De burger mag vervolgens het tegendeel proberen te bewijzen zonder dat diezelfde middelen tot zijn beschikking staan. Los van de rechtsongelijkheid die dit in zich heeft, het wringt met de eerste regel van de grondwet: je bent onschuldig totdat het tegendeel is bewezen. Er wordt op basis van data analyse direct gesanctioneerd en die koppeling van data wordt daarbij als absolute waarheid gehanteerd.

    Een bijzonder enge ontwikkeling, wat mij betreft.


    27 februari 2015 om 07:50
    Remi

    @ Daniel,

    Je geeft aan dat de functie die data heeft voor commerciële instellingen heel anders is dan voor publieke instellingen en dat je je gezondheidsinformatie liever niet opslaat bij een organisatie die winst maximaliseert.

    Maar sinds de zorg is geprivatiseerd is dat toch precies wat ze doen? Ziekenhuizen en zorgverzekeraars zijn commerciële bedrijven die je op een zo efficiënt mogelijke manier door een zorgsysteem proberen te loodsen zodat kosten laag zijn en winst hoog. Winstmaximalisatie dus.

    En daarvoor willen ze graag veel data hebben. Vanuit het paradigma dat meten het zelfde is als weten.

    Onterecht leeft nog het beeld dat ‘de zorg’ en publieke sector is die er primair is om mensen beter te maken. De zorg is commercieel en het beter maken van mensen is secundair geworden. Een middel. Ik raad je toch aan om die mensen alleen de data te geven die hoogstnoodzakelijk is.

    @ Ger,

    Mooi voorbeeld! Dank voor de aanvulling. Dat is precies het probleem. En dan is een verkeersboete nog redelijk onschuldig. Maar als ze daar nog een paar stappen in zetten hebben we straks een organisatie die incompetent is met data en privacy die ineens wel op basis van die data beslissingen neemt over uitkeringen, subsidies en wellicht risico tot crimineel gedrag.

    Als een computer blijkbaar voor de politie mag besluiten of je een overtreding begaat met je auto is het een kleine stap om die computer in te zetten om te voorspellen of je een ander (terroristisch) risico vormt. En dan is een meetfoutje ineens een écht probleem.


    27 februari 2015 om 08:11
    legalcomplex

    De overheid wil een brave burger. Amerikaanse bedrijven willen een tevreden klant.

    Ik koop ook liever een Nest thermostaat dan eentje hier om dezelfde reden: ik vertrouw Europese bedrijven evenmin.


    27 februari 2015 om 11:05
    kenvan Ierlant

    Ik heb met grote interesse dit stuk gelezen en ben heter helemaal mee eens. Komt bij dat het stuk heel mild is geschreven..

    De waarheid gebied te zeggen dat Google en Co voortdurend in het verdachtebankje worden geplaatst door overheden en Brussel terwijl Google en Co op een onnavolgbare en zeer verantwoorde wijze met data omgaan. kom daar maar eens om bij de overheid


    27 februari 2015 om 13:26
    Ano Nymous

    Google en Facebook zijn de overheid en vice versa.


    2 maart 2015 om 09:59
    patricksteenks

    Mooi geschreven artikel. Ik was me er inderdaad niet van bewust dat we de overheid vaak vergeten in privacy kwesties.

    Op een punt ben ik het echter niet met je eens: Overheden koppelen en delen informatie. Impliciet geef je aan dat commerciële bedrijven zich vaak alleen richten op een bepaald deel van jouw gegevens. Bijvoorbeeld welke kleding je op Wehkamp hebt bekeken.

    Dit geldt misschien voor Wehkamp en wellicht ook Facebook, maar daarnaast zijn er ook commerciële partijen actief die daadwerkelijk allerlei bronnen aan elkaar gaan koppelen, en door middel van big data analyse schrikbarend veel over je te weten kan komen. Ik ben even de naam kwijt van welk bedrijf in Amerika op basis van credit card gegevens hiermee bezig is, maar een enge ontwikkeling is het zeker.

    Ik ben het dan achter wel weer met je eens dat deze partijen vaak niet naar het individu, maar eerder naar ‘cohorts’ kijken. Gelukkig maar.


    13 maart 2015 om 11:07

Marketingfacts. Elke dag vers. Mis niks!