Bij het ontwerpen van informatie systemen, smart phone apps, en dergelijke wordt privacy steeds belangrijker. In het ontwerp van de nieuwe Europese data protectie verordening wordt privacy by design zelfs verplicht gesteld. Volgens het privacy by design principe moet privacy bescherming vanaf het begin bij het bedenken en ontwerpen van informatiesystemen als een ontwerp eis meegenomen worden. Dat is een lovenswaardig uitgangspunt, en zal op termijn hopelijk betekenen dat informatiesystemen in de toekomst verantwoorder met onze persoonlijk gegevens om zullen gaan.

Maar door te focussen op privacy by design verliezen we toch een belangrijk aspect uit het oog. Namelijk het feit dat privacy by design zich vooral richt op privacy bescherming binnen een organisatie, binnen één informatie verwerkend systeem. De globale infrastructuur, de netwerken en operating systemen waarvan die systemen gebruik maken, de pijlers waarop die systemen gebouwd worden dus, vallen buiten beschouwing. Het wordt nooit met zoveel woorden gezegd, maar eigenlijk beperkt privacy by design zich tot gewone data. Metadata wordt vaak buiten beschouwing gelaten.

En dat is een probleem. Metadata is soms nog gevoeliger dan gewone data. Immers metadata, gedragsgegevens in gewoon Nederlands, vertellen precies wat we doen en gedaan hebben. En wat we doen zegt veel over onze innerlijke drijfveren, wat we willen, waar we echt voor gaan. “Luister niet naar wat iemand zegt, maar kijk naar wat hij doet”. En infrastructuur creëert en verzamelt heel veel metadata, en is daarnaast ook nog eens zwak beveiligd.
Internet is hier een mooi voorbeeld van. Alle computers op het Internet hebben een IP adres. Dat IP adres is meestal een vast adres, min-of-meer onlosmakelijk verbonden met een persoon. Het wordt daarom als een persoonsgegeven gezien. Maar bij alles wat je op het Internet doet wordt je IP adres meegegeven. Dat moet ook wel want als je bijvoorbeeld een website een verzoek stuurt om een bepaalde webpagina te bekijken, dan moet de server wel weten waar die pagina naartoe teruggestuurd moet worden. Het gevolg is wel dat de webserver, en alle andere computers op het Internet die zorgen voor de verbinding tussen jouw computer en de webserver, weten wie je bent en in welke webpagina’s je geïnteresseerd bent. Metadata dus.

Draadloze netwerken lekken ook metadata. Naast een IP adres heeft iedere computer of smartphone ook één of meer MAC adressen. Draadloze netwerken gebruiken die MAC adressen om te zorgen dat van alle computers die met hetzelfde draadloze netwerk verbonden zijn, de juiste computer het bericht ontvangt. Maar ook dit MAC adres is, net als een IP adres, vast en uniek en daarmee een persoonsgegeven. Wat maar weinig mensen weten is dat je smartphone dit MAC adres min of meer continue uitzendt, op zoek naar een WiFi netwerk of een Bluetooth apparaat om mee te verbinden. Alleen als je WiFi of Bluetooth helemaal uitzet gebeurt dit niet. Dit ‘lek’ wordt nu al actief gebruikt door bijvoorbeeld de Verkeers Informatie Dienst (VID) om de doorstroming op wegen te meten, of door winkeliers om te kijken hoe hun klanten door de winkel lopen.

Ook je browser lekt metadata. Zo stuurt iedere browser standaard met ieder verzoek voor een webpagina aan de server door welk type browser je gebruikt, en wat voor operating system je gebruikt. Dat is handig en soms nodig om er voor te zorgen dat een webpagina op iedere computer en browser er min of meer hetzelfde uitziet. Echter: soms is die informatie op zich al redelijk uniek, en anders kan de server onder water om nog wat extra informatie vragen zodat een unieke browser fingerprint ontstaat. Waarmee je weer uniek te herkennen bent.

In elk van deze gevallen is er aan de ene kant wel een redelijke verklaring te vinden voor het feit dat de infrastructuur zoveel metadata lekt, maar is ook evident dat er een groot privacy probleem ontstaat. En hoewel het op zich te verklaren is dat de infrastructuur metadata lekt, is het in veel van de gevallen helemaal niet nodig. Er is simpelweg nooit over nagedacht om dat soort lekken te voorkomen. Op zich niet vreemd als je bedenkt dat bijvoorbeeld het Internet uit de jaren zeventig stamt en eigenlijk bedoeld was om een beperkt aantal instituten en mensen met elkaar te verbinden die elkaar toch al wel kenden en elkaar vertrouwden. Maar voor zoiets als een browser gaat dat excuus niet echt meer op.
Met al die metadata lekkende infrastructuur is het dweilen met de kraan open, en is het toepassen van privacy by design binnen organisaties voor applicaties, informatiesystemen en mobiele apps eigenlijk maar beperkt zinvol. Het wordt tijd om de infrastructuur zelf onder handen te nemen, privacy vriendelijk te maken. Door bijvoorbeeld privacy in standaarden standaard mee te nemen, en ze daarop streng te toetsen. Het wordt tijd dat af te dwingen. Het wordt tijd voor een metadata protection regulation.

(Dit artikel verscheen eerder als redactioneel in Privacy & Informatie 2015/5)