Het lijkt bedrijven en overheden maar niet te lukken om digitale diensten op een privacy vriendelijke manier aan te bieden. Is gegevensbescherming nou echt zó moeilijk? Of is er iets anders aan de hand?
Technologische ontwikkelingen hebben logischerwijs invloed op ons leven en onze omgeving. Dus ook op wat privé is, en daarmee ook wat we vinden dat privé zou moeten zijn. Wat ‘privacy’ is, verandert dus mee op basis van technologische ontwikkelingen. Dat zie je mooi terug in de chronologie van welke definities van privacy de afgelopen eeuwen gangbaar waren. Het recht om met rust gelaten te worden (van Warren en Brandeis uit de eind van de 19e eeuw) was een reactie op de opmars van goedkopere en makkelijker te bedienen fotocamera’s gecombineerd met het feit dat drukmachines beter en drukkosten lager werden. Als gevolg daarvan kwamen in de grote steden van de VS goedkope regionale kranten in omloop, met de laatste nieuwtjes gelardeerd met foto’s. Dat was Warren en Brandeis toen een gruwel.
De opkomst van de computer en de daarmee gepaard gaande digitalisering van informatie zorgde ervoor dat documenten zoeken vele malen sneller ging dan daarvoor (je bent niet langer afhankelijk van een handmatig opgesteld zoekregister in de bibliotheek). Bovendien blijkt het in de praktijk erg lastig om er voor te zorgen dat digitale informatie echt voorgoed verwijderd wordt (en dat er niet toevallig ergens nog een kopie in een backup achterblijft). Met het Internet is het koppelen van verschillende databestanden een peulenschil, en is het niet langer noodzakelijk je zoekopdracht in een terminalruimte in te voeren: dat kan vanaf een willekeurige plek op de wereld. Al snel hadden deze ontwikkelingen invloed op de informatiebehoefte van bedrijven en overheden. Met de nieuw verkregen mogelijkheden die de IT bood, was het mogelijk om meer, gedetailleerdere, informatie te verwerken. Bijvoorbeeld als het ging om volkstellingen: er kwamen meer vragen, die ook dieper ingingen op de persoonlijke levenssfeer. Dat leidde in 1971 in Nederland tot de eerste maatschappelijke discussies over privacy, en veranderde het begrip privacy in een informationeel zelfbeschikkingsrecht: het recht om zelf te beslissen welke van jou persoonlijke gegevens met wie gedeeld mogen worden.
Meer recentere ontwikkelingen (zoals bijvoorbeeld de opkomst van sociale netwerken en zoekmachines) hebben geleid tot nog weer andere definities van wat privacy is, zoals bijvoorbeeld Agre’s intrigerende definitie van privacy als de afwezigheid van onredelijke beperkingen op de constructie van je identiteit. Daar gaan we verder in dit stuk niet in.
De hierboven beschreven privacydefinities hebben ook hun weg gevonden in wet- en regelgeving: de Wet bescherming persoonsgegevens (Wbp) en haar opvolger de Algemene Verordening Gegevensbescherming (AVG) leunen sterk op dat idee van privacy als een informationeel zelfbeschikkingsrecht.
Maar zelfs een vluchtige blik op de wereld om ons heen leert (als je tenminste weet hoe je moet kijken en waar je op moet letten) dat bij veel van onze dagelijkse activiteiten persoonsgegevens worden verzameld: het lezen van een boek, het online kopen van een kaartje voor een concert, het reizen met het openbaar vervoer, het parkeren van je auto. Dat was vroeger niet zo. En dat hoeft ook nu niet. Maar kennelijk is het zo dat wetten alleen niet genoeg zijn. Dat werd overigens al snel duidelijk bij de invoering van de AVG in 2018. Vele bedrijven klaagden dat ze plotseling aan een strenge wet moesten voldoen. Dat was natuurlijk onzin: de AVG was niet fundamenteel anders dan de Wbp. Echter, de AVG gaf de autoriteiten de mogelijkheid om significante boetes (in plaats van een last onder dwangsom) op te leggen. Met andere woorden: al die bedrijven die klaagden hadden jarenlang niet aan de Wbp voldaan.
Het enkel vertrouwen op wetten en regels is ook om een andere reden gevaarlijk: wetten en regels kunnen (met een streek van de pen) plotseling veranderen. Een recent voorbeeld is het gebruik van de foto’s van flitspalen die (kennelijk) opgeslagen worden. Eerst mocht alleen het kenteken van het passerende voertuig uit de foto afgeleid worden en alleen verder verwerkt worden als er een snelheidsovertreding was begaan. In 2019 werden de bevoegdheden verruimd en mochten álle kentekens voor 28 dagen bewaard worden. En nu blijkt dat er ook volledige foto’s worden bewaard, en dat het Openbaar Ministerie al meermalen inzage verzocht in deze foto’s. We noemen dit ‘function creep’: een systeem dat met één specifiek doel wordt opgezet wordt, na verloop van tijd, voor andere doeleinden gebruikt. Populair gezegd: niet omdat het moet, maar omdat het kan.
Om dit tegen te gaan zijn ander maatregelen nodig. Zoals Lawrence Lessig in zijn ‘pathetic red dot theory’ al aangaf, wordt het gedrag van mensen niet alleen gestuurd door wetten: ook markten, normen en architectuur bepalen wat mensen wel en niet (kunnen) doen. Lessig was vooral geïnteresseerd in de regulerende werking van de architectuur, van het ontwerp van systemen, en van de code die vastlegt hoe de systemen precies werken. Hij beargumenteerde dat de manier waarop het Internet ontworpen was, geprogrammeerd was, van beslissende invloed was op haar ontwikkeling. Dit principe van ‘code as law’, de regulerende werking van code vergelijkbaar met wetten, kunnen we ook toepassen door technologie in te zetten om privacy te beschermen. Het is een kwestie van anders ontwerpen. Dit heet privacy by design.
Wat daarbij vooral belangrijk is, is om het frame te doorbreken dat technologie, innovatie of hoe het ook maar genoemd wordt, neutraal is en zichzelf als een soort natuurkracht ontwikkeld zonder tussenkomst of beïnvloeding van mensen. Niets is minder waar: technologie wordt ontwikkeld door mensen, en is dus gestoeld op de normen en waarden van hen die die technologie ontwikkelen, en wordt ingezet op de doelen die deze mensen als belangrijk of waardevol zien.
Privacy by design is een ontwerpfilosofie waarbij privacy op gelijke voet wordt gezet als andere functionele en niet-functionele eisen die je aan een te ontwerpen systeem zou kunnen stellen. Privacy zelf is een niet-functionele eis, net als veiligheid, betrouwbaarheid, of schaalbaarheid. Privacy by design stelt dat privacyeisen, net als veiligheidseisen, betrouwbaarheidseisen, etc., vanaf het begin mee moeten worden genomen in het ontwerp van een systeem, en vervolgens tijdens het hele ontwerpproces moeten worden bewaakt. Met andere woorden: het dwingt ontwerpers na te denken over de vraag hoe een bepaalde functionaliteit op een privacyvriendelijke manier ontworpen en gerealiseerd kan worden.
Dit vergt soms een fundamenteel andere benadering, een vorm van ‘omdenken’.
Het volgende voorbeeld is daar een mooie illustratie van. Stel je bent eigenaar van een nieuw restaurant, en je wilt mensen de mogelijkheid geven om telefonisch (of online) te reserveren. De voor de hand liggende manier is om mensen om hun naam te vragen, en te vragen wanneer en met hoeveel personen ze komen eten. De lijst met gasten bewaar je, om te controleren of binnenkomende gasten gereserveerd hebben en ze hun tafel te wijzen. Maar ook om aan het eind van de maand een overzicht te hebben van de drukte op bepaalde dagen en tijdstippen. Met deze traditionele manier van reserveren verzamel je persoonsgegevens: de namen van je gasten.
Er is ook een andere manier, waarbij je geen persoonsgegevens verzamelt, maar wel exact dezelfde functionaliteit (gasten de juiste tafel wijzen, en maandelijkse statistieken bijhouden) behoudt. De truc is als volgt: in plaats van mensen die bellen om te reserveren te vragen naar hun naam geef je ze een reserveringsnummer. Dat nummer moeten ze geven als ze binnenkomst, om zo de reservering te controleren. Als je er even over nadenkt realiseer je je dat deze methode van reserveringen bijhouden geen persoonsgegevens verzamelt.
Vergelijkbare vormen van ‘omdenken’ zijn ook toepasbaar om al die diensten die we eerder noemden (het lezen van een boek, het online kopen van een kaartje voor een concert, het reizen met het openbaar vervoer, het parkeren van je auto) privacyvriendelijker te maken. Die zullen in de praktijk wat complexer zijn dan het voorbeeld hierboven, maar het is geen rocket science.
Ondanks het feit dat privacy by design door de AVG (artikel 25) onder voorwaarden verplicht wordt gesteld, lijkt het bedrijven en overheden maar niet te lukken om digitale diensten op een echt privacy vriendelijke manier aan te bieden.
Wat vooral lijkt te ontbreken is de wil om serieus werk te maken van het privacy vriendelijk inrichten van systemen en bedrijfsprocessen. Dat wordt voor een deel veroorzaakt door een tekort aan privacy engineers die bedrijven en organisaties daar bij kunnen helpen. Wat ook lastig is, is dat privacy (veel meer dan niet-functionele eisen als beveiliging of beschikbaarheid) veel minder technisch van aard is: het is uiteindelijk een onderwerp waarin ontwerpers, juristen, en het management gezamenlijk om de tafel moeten zitten om oplossingen te vinden, zeker aan het begin van het ontwerpproces. Dat is lastig, omdat deze groepen elkaars taal amper spreken.
Het helpt ook niet dat tot voor kort artikel 25 van de AVG niet gehandhaafd werd (de recente dagvaarding van de stichting Take Back Your Privacy tegen TikTok lijkt de eerste in Nederland te zijn die zich baseert op schending van dit artikel). Verder is er natuurlijk een grote groep bedrijven wiens bedrijfsmodel gebaseerd is op het verzamelen, analyseren en vermarkten van persoonsgegevens: daarom zijn Google en Facebook gratis voor gebruikers ‘aan de voorkant’ (maar niet voor hun klanten ‘aan de achterkant’).
Maar wat vooral lijkt te ontbreken is een algemeen, breed gedragen, besef dat het anders moet en ook anders kan. Omdat te veranderen schreef ik onlangs een (Engelstalig) boek: Privacy Is Hard and Seven Other Myths. Achieving Privacy through Careful Design by MIT Press.
Naschrift: Ik moet me hier als niet-jurist verontschuldigen voor het door elkaar gebruiken van de term privacy en de term gegevensbescherming. Ik weet dat dit fundamenteel verschillende concepten zijn, die deels overlappen. Het probleem is dat in de (voornamelijk Amerikaanse) technische vakliteratuur over dit onderwerp enkel over privacy, privacy enhancing technologies, en privacy by design wordt gesproken. Een term als “Gegevensbescherming door ontwerp” (of data protection by design) krijg ik daardoor simpelweg niet over mijn lippen; bovendien zou niemand (zeker mijn Amerikaans collega’s) mijn stukken meer terugvinden als ik consequent deze termen zou gebruiken. Het is daarbij overigens ook zo dat privacy by design vaak ook een striktere vorm van bescherming beoogt dan enkel voldoen aan de eisen die het gegevensbeschermingsrecht stelt.
Dit blog verscheen op 1 oktober 2021 op de “recht en samenleving” blog van de rechtenfaculteit van de Rijksuniversiteit Groningen.