null

EssayHans de Bruijn en Bram Klievink

Geef eens wat privacy op (en maak de wereld zo een beetje mooier)

In het Wilde Westen van de techgiganten is de sheriff gearriveerd, die waakt over onze privacy. Maar zijn regels en boetes hebben ook hun keerzijde, schrijven Hans de Bruijn en Bram Klievink, want data zijn hard nodig voor betere zorg, beter onderwijs en meer veiligheid.

tekst Hans de Bruijn en Bram Klievink en illustraties Suzan Hijink

Het is nog niet zo heel lang geleden dat menig internetgebruiker schouderophalend voorbijging aan het vraagstuk van dataprivacy.

Ik heb niets te verbergen, was de mantra. Bovendien, je geeft weliswaar iedere dag enorme aantallen datapunten af, maar dat doen miljarden andere gebruikers ook. Die datapunten eindigen ergens op de bodem van de data-oceaan, zo kun je denken, en daar komt dagelijks een paar kwintiljoen datapunten­­ bij. Die zullen dus nooit meer, door niemand niet, worden opgevist.

Het is een gevaarlijk eenvoudige gedachtegang. Dataprivacy is een groot probleem, zo groot dat dat woord privacy misleidend is geworden. Te veel een woord uit vervlogen tijden.

Hans de Bruijn is hoogleraar technische bestuurskunde aan de Technische Universiteit Delft, Bram Klievink is hoogleraar digitalisering en publiek beleid aan de Universiteit Leiden.

Vroeger reisden we te paard van Delft naar Leiden. Nu maken we met het vliegtuig een intercontinentale vlucht. Het zou vreemd zijn als we dat vliegtuig nog steeds een paard zouden noemen, omdat het nog steeds een vervoersmiddel is. Iets dergelijks doen we wel met dat begrip privacy. Het karakter van privacyschendingen is fundamenteel veranderd; een schending nu is iets heel anders dan in de pre-internet-wereld.

De kasteelbewoner beslist

In dit essay pellen we eerst dat privacy-begrip af. De conclusie zal zijn dat je van overheden mag verwachten dat ze vol inzetten op de bescherming van data-afgifte en datagebruik. Dat doen ze ook en in het publieke debat is gelukkig veel meer aandacht voor privacy dan voorheen.

Tegelijk zijn data cruciaal in onze digitaliserende samenleving. Ze kunnen bijdragen aan innovatie: aan meer veiligheid, betere zorg, beter onderwijs. En we mogen van overheden ook verwachten dat ze alles uit de kast halen om veiligheid, goede zorg en goed onderwijs te bevorderen. Dat element missen we in het publieke debat.

In de pre-internet-wereld kon je privacy goed samenvatten met het Britse gezegde My home is my castle. Je woont achter een muur, die je privacy garandeert. Als kasteelbewoner beslis jij welke informatie het kasteel mag verlaten. Privacy betekent dat iets geheim blijft en dat jij de controle hebt.

Privacy in onze datagedreven wereld is een begrip geworden met niet een, maar ten minste nog eens vier lagen.

1

Vroeger eindigde privé-informatie in een roddelblad of de krant. Het oude gezegde luidt: in de krant van vandaag wordt morgen de vis verpakt. Nu eindigt privé-informatie op internet en is die voor iedereen en voor altijd toegankelijk.

De metafoor is de aardbeving met schokken en naschokken. Wie het slachtoffer wordt van wraakporno, zal dat als een enorme schok ervaren. En daar blijft het niet bij. De informatie zwerft voor eeuwig over het internet. Op de meest onmogelijke momenten kunnen de beelden weer opduiken, als de naschokken van een aardbeving.

Een andere metafoor is die van de slapende vulkaan: informatie die nu onschuldig lijkt, kan dat later niet zijn. Het bekende voorbeeld is sharenting: ouders die verhalen en beelden van hun kinderen online delen. Nu is dat schattig maar als de kinderen groot zijn, kunnen ze dat als een grove aantasting van hun privacy ervaren. De slapende vulkaan komt tot uitbarsting.

2

Data die we afgeven worden gebruikt om ons te profileren. Het ene na het andere onderzoek verschijnt met als boodschap hoe met relatief weinig data er van iemand een profiel kan worden gemaakt: over iemands mentale staat, politieke voorkeur, koopgedrag, emoties, geheime verlangens.

Denk aan het Cambridge Analytica-schandaal van een paar jaar geleden: Facebooklikes werden gebruikt om iemands persoonlijkheidskenmerken te bepalen.

null Beeld

En het zijn echt niet alleen Facebookdata die zich lenen voor profilering. Data over je zoekgedrag, over tijden waarop je je smartphone gebruikt, data op je Instagram-account: ze worden er allemaal voor gebruikt.

3

Als je wordt geprofileerd, kun je beter worden geïnformeerd. Uit je koop- of zoekgedrag blijkt dat je geïnteresseerd bent in groene parkieten, dus krijg je informatie aangeboden over groene parkieten.

Dat is nog onschuldig, maar informeren kan verworden tot manipuleren. Met profilering kunnen boeven hun spoofing-strategie verfijnen: criminelen nemen online een valse identiteit aan, suggereren dat ze hun slachtoffers goed kennen en proberen hen geld afhandig te maken. Politici kunnen je bestoken met boodschappen waar je gevoelig voor bent en die soms regelrechte onzin zijn. Overheden kunnen je met hun algoritmen in een vakje plaatsen en je wel of niet extra controleren. Denk aan de Belastingdienst: die ontwikkelde een instrument om fraude te detecteren, waarbij soms gedetailleerde informatie over personen werd opgeslagen.

Dat kan leiden tot stigmatisering, zegt de toezichthouder: je wordt als fraudeur bestempeld, terwijl je dat eenvoudigweg niet bent.

En dan zijn er de algoritmes van de techgiganten die je voortdurend voeden met informatie die past bij je profiel en zo je eigen gelijk bevestigen. Je bent van mening dat alle bankiers oplichters zijn en wordt bestookt met informatie dat alle bankiers oplichters zijn.

Je wordt de gevangene van je eigen opvattingen.

4

Als dat alles op grote schaal gebeurt, heeft dat niet alleen effecten voor het individu, maar ook voor de samenleving als geheel. Manipulatie, stigmatisering en de voortdurende­­ bevestiging van het eigen gelijk kunnen maatschappelijke tegenstellingen aanjagen en een giftige sfeer creëren.

Dat geldt zeker voor een samenleving die al verdeeld is. Denk aan het Amerika van nu of aan de spanningen hier tussen gevaccineerden en ongevaccineerden.

null Beeld

Nu wordt de kasteelbewoner geprofileerd en gemanipuleerd

Als je naar die vier lagen kijkt, zie je hoe fundamenteel anders het privacybegrip is dan in de pre-internet-wereld. Toen ging het om privé-informatie die het kasteel verliet. Een beweging van binnen naar buiten. Nu gaat het ook om een beweging van buiten naar binnen: je wordt als kasteelbewoner door partijen buiten het kasteel geprofileerd en dan gemanipuleerd.

De gevolgen van een privacyschending toen raakten vooral het individu, nu raken ze de hele samenleving.

Overal ter wereld wordt wet- en regelgeving uitgevaardigd om datavergaring en -gebruik aan banden te leggen, met Europa als voorloper. De positie van toezichthouders wordt versterkt, hoewel daar nog een weg te gaan is. De politieke afkeer van data-rovende techgiganten neemt toe. Aan organisaties die persoonlijke data niet goed beschermen, kunnen torenhoge boetes worden opgelegd.

In het HagaZiekenhuis kijken medewerkers onnodig in het dossier van een bekende Nederlander? Een paar ton boete. British Airways beschermt klantgegevens onvoldoende? Twintig miljoen pond boete. De Britse toezichthouder formuleert het mooi: ‘Wanneer persoonsgegevens aan je worden toevertrouwd, moet je er zorg voor dragen’.

Persoonlijke data vergen bescherming en ook met minder persoonlijke data moet je uiterst zorgvuldig omgaan.

Het is allemaal volkomen terecht, maar toch is er ook een ander verhaal, dat minder aandacht krijgt in het publieke debat over dataprivacy. Data in een tijdperk van digitalisering worden wel vergeleken met elektriciteit: een energiedrager die tot een enorme maatschappelijke dynamiek heeft geleid. Elektriciteit maakte en maakt eindeloos veel innovaties mogelijk. Niemand kon dat vooraf voorspellen of het zich maar voorstellen.

null Beeld

Zo kan het ook met data in een tijdsperk van digitalisering gaan: we weten zeker dat die tot nog veel meer innovaties zullen leiden, we weten alleen niet welke dat zijn. En bedenk: het gaat bij data en digitalisering niet om links en rechts wat betere dienstverlening, het gaat ook om een infrastructuur, om de toekomstige ruggengraat van de samenleving. Te vergelijken met spoorlijnen, wegen, een elektriciteitsnet.

Krijgt broodnodige innovatie de kans, met al die databescherming?

We weten dat een moderne infrastructuur cruciaal is voor publieke welvaart. En dan is de vraag: wat betekent databescherming voor digitale innovatie? Neem Europa: dat heeft een goed opgetuigd wettelijk systeem van gegevensbescherming en er komt meer aan, onder andere op het gebied van kunstmatige intelligentie.

Hoe verhoudt dataprivacy zich tot digitale innovatie? Op die vraag zijn ten minste twee antwoorden te geven, die we samenvatten onder de labels richting en ruimte.

Het eerste antwoord is dat privacybescherming richting geeft aan innovaties. Je stelt regels vast voor gegevensbescherming en bakent daarmee de ruimte voor innovaties af. Dat kan prima werken: er zijn veel terreinen waarop de overheid regels stelt, zonder dat innovatie daaronder lijdt.

Sterker, een goed doordacht bouwwerk van regulering, zoals de Europese regelgeving voor gegevensbescherming, levert voor bedrijven een voorspelbare omgeving op. Ze weten waar ze aan toe zijn en het paradoxje is dat stabiliteit een belangrijke voorwaarde is voor verandering en innovatie.

Je kunt er zelfs nog optimistischer tegenaan kijken. Europa is een economisch machtsblok en kan dus eisen stellen aan internationaal opererende bedrijven die op de Europese markt opereren. Er is iets dat het Brussel-effect wordt genoemd: bedrijven voldoen aan de privacy-eisen van de EU en daarvan profiteren ook burgers buiten de EU.

Hoe slaat de balans tussen privacy en de kans op een beter­­ leven uit voor u? Reacties (max. 150 woorden) zijn welkom via tijdgeestreacties@trouw.nl. Graag naam en woonplaats vermelden.

Bovendien, meer regulering van privacy, betekent meer aandacht van consumenten voor privacy en dus wordt het voor bedrijven aantrekkelijk om met privacy-vriendelijke producten en diensten te komen. Gebruikers kunnen kiezen uit verschillende browsers, chatdiensten, zoekmachines en apparaten die zich onder andere onderscheiden door de privacybescherming die ze bieden.

En dan nog iets: er zijn allerlei technieken om persoonlijke data, voordat ze worden gebruikt, te anonimiseren, zodat de gebruiker niet weet van wie de data komen. Als je data privacy-vriendelijk kunt gebruiken en delen, kun je onder meer wetenschappelijk onderzoek verbeteren en dus innovatie bevorderen.

null Beeld

Privacybescherming gaat dus niet ten koste van innovatie, maar geeft richting aan innovaties. Je kunt het ook iets chiquer formuleren: onze morele opvattingen bepalen de richting van de innovatie. Het zal in veel gevallen waar zijn en werken.

Er is een tweede antwoord mogelijk. Data kunnen worden gebruikt voor diensten die we hoog waarderen: veiligheid, zorg, onderwijs en nog veel meer. Je moet dus altijd een balans vinden tussen datagebruik en innovatie. Soms leidt dat tot lastige afwegingen: wil je meer privacy of meer veiligheid of meer goede zorg?

Bovendien, onze opvattingen over die balans kunnen veranderen.

Innoveren is nu eenmaal uitproberen en leren

Kijk naar de coronapandemie: die heeft zo’n impact op de samenleving dat de afweging tussen privacy en zorg kan verschuiven. In het Verenigd Koninkrijk is een lijst opgesteld van kwetsbare patiënten om die van extra informatie te voorzien. De data komen van ziekenhuizen en huisartsen.

De toezichthouder biedt er de ruimte voor: je moet pragmatisch zijn, vindt die. ‘Bij de naleving van de gegevensbescherming, zullen wij rekening houden met de huidige noodsituatie op gezondheidsgebied’.

Maar de vraag is vooral: wanneer moet je die afweging tussen privacy en andere waarden maken? We weten dat er veel innovaties zullen komen. Onze opvattingen over de balans tussen privacy en andere waarden kunnen veranderen. Bedenk ook dat er innovaties zullen komen waar we ons nu nog geen voorstelling van kunnen maken.

De afweging tussen privacy en die innovaties kunnen we daarom niet altijd maken aan het begin van een innovatieproces. Eenvoudigweg omdat we niet alle gevolgen, positief en negatief, kunnen overzien. Innoveren is nu eenmaal ook experimenteren, uitproberen en leren. Pas als die innovatie er eenmaal is, kun je tot een goed geïnformeerde afweging komen tussen datagebruik en de waarde van de innovatie. Dus moet je innovatie de ruimte geven en niet te snel de pas afsnijden.

Richting of ruimte: als voorbeeld kunnen we hier gezichtsherkenning nemen.

Gezichtsherkenning is een heel privacygevoelig onderwerp. Er zijn immers allerlei vormen van misbruik mogelijk. Je kunt ervoor kiezen om het aan duidelijke regels te binden. Daarmee geef je richting aan het innovatieproces, mét het risico dat bepaalde innovaties daardoor geen kans krijgen. Je kunt ook kiezen voor de strategie om technologie de ruimte te geven, waardoor er allerlei onvoorspelbare innovaties kunnen ontstaan. Die zullen ons oordeel over privacy­­ versus veiligheid beïnvloeden.

null Beeld

Stel dat blijkt dat systemen van gezichtsherkenning bijdragen aan het oplossen van geweldsmisdrijven in uitgaansgebieden. Eigenlijk is dit een fout voorbeeld omdat het zo voorspelbaar is, maar we doen het er even mee. Dat kan betekenen dat de maatschappelijke tolerantie voor niet-opgeloste geweldsmisdrijven sterk omlaag gaat: het idee dat iemand wordt gemolesteerd op straat en de kans groot is dat de dader niet gestraft wordt, vinden we steeds minder acceptabel­­.

Die verandering van opvatting kan van grote invloed zijn op onze normatieve waardering van gezichtsherkenning en op de afweging tussen privacy en meer veiligheid, die ten nadele van privacy kan uitvallen.

Bij richting-denken bepalen onze morele opvattingen de innovatie, bij ruimte-denken kunnen innovaties onze morele opvattingen beïnvloeden.

Risico: misschien zijn onwelgevallige innovaties niet terug te draaien

Overigens kan het ook zijn dat het ruimte-denken ons leert dat gezichtsherkenning weinig goeds brengt en de privacyprijs niet waard is. Ook hier is er een risico: het zal niet altijd lukken om innovaties­­ die ons niet bevallen nog terug te draaien.

Richting of ruimte: het is een lastig dilemma. Leg je vooraf beperkingen op of achteraf? Als je vooraf beperkingen oplegt, loop je dan niet het risico dat bepaalde innovaties geen kans krijgen? Als je achteraf beperkingen wilt opleggen, lukt dat dan nog wel? Of is de innovatie niet meer tegen te houden?

Om aan te geven hoe lastig het dilemma is, volgt hier een gedachte-experiment.

Neem twee economische machtsblokken. Blok A hecht veel waarde aan privacybescherming en zet daar sterk op in. Blok B hecht veel waarde aan innovatie en voert een datavriendelijk beleid.

Doordat blok B minder beperkingen kent, kunnen daar innovaties ontstaan. Als blijkt dat die tot veel te veel inbreuk op privacy leiden, zijn de burgers van blok A blij. Die waren altijd al van de privacy. Maar stel nu dat in blok B meer veiligheid op straat ontstaat, een betere gezondheidszorg, meer maatwerk in het onderwijs. En stel dat de morele opvatting wordt dat al die kwaliteitsverbetering rechtvaardigt dat het belang van privacy minder zwaar weegt.

Blok A beschermt de privacy goed, maar dientengevolge zijn er minder innovaties bij de politie, in de zorg en in het onderwijs. Het is de vraag hoe lang het strikte privacybeleid van blok A standhoudt als burgers daar merken dat de publieke dienstverlening in blok B van een veel hoger niveau is.

Dat kan leiden tot een dramatische conclusie voor blok A. Het leert wat er allemaal mogelijk is aan betere dienstverlening bij blok B en wil dat ook. Maar blok A loopt technologisch achter en de technologie van blok B weet de weg te vinden naar blok A.

De techcowboys hebben een enorme schade aangericht

Dit is een gedachte-experiment. De werkelijkheid is vele malen ingewikkelder. Het gaat er ons om dat het vraagstuk van innovatie een plaats krijgt in het debat over dataprivacy.

Voor de snelle groei van techgiganten als Facebook wordt nogal eens het beeld van het Wilde Westen gebruikt. Jonge techondernemers­­, zoals Facebooks Mark Zuckerberg, beschikten over nieuwe technologieën en ontwikkelden nieuwe datagedreven diensten die razendsnel in omvang toenamen.

Voor die nieuwe technologieën en diensten bestond nog nauwelijks regelgeving, dus konden deze ondernemers zich als cowboys gedragen: ze roofden onze data en breidden hun domein uit, door niets en niemand gehinderd.

null Beeld

We denken dat de diensten van Facebook gratis zijn, maar we betalen met onze data en daarmee met onze privacy.

De techcowboys hebben een enorme ravage aangericht. Maar nu is the sheriff in town: er zijn regels uitgevaardigd en de sheriff strijdt voor law and order.

Bij privacybescherming gaat het om ten minste twee evenwichtsoefeningen. Allereerst die tussen het grote belang van privacy, maar ook het grote belang van innovatie van de digitale infrastructuur. En dan is er nog de vraag of overheden innovaties richting moeten geven of ruimte moeten geven.

Dat gesprek moet worden gevoerd, anders bestaat het risico dat het privacydebat een western blijft, met uitsluitend good guys en bad guys.

Lees ook:

Als het aan Facebook ligt, lopen we straks allemaal in de metaverse

Facebook gaat 10.000 mensen in de EU aannemen om mee te bouwen aan de metaverse’ Aan de wát?

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden