DATA2TRUST
 Digitaal Vertrouwen
 

Blog post

PRIVACYPOST


'Privacywet beschermt de crimineel?'​ Volstrekt de verkeerde discussie.


Het debat over privacy en veiligheid wordt op fundamenteel verkeerde wijze gevoerd. De grote denkfout die het privacy debat domineert, is dat Veiligheid en Privacy tegen elkaar kunnen worden uitgeruild.


9/11

Het idee dat Veiligheid en Privacy tegen elkaar kunnen worden uitgeruild wordt te pas en te onpas gebruikt. Obama zei het bijvoorbeeld na de 9/11: "100% veiligheid garanderen en tevens 100% privacybescherming nastreven leidt tot een zeer ongemakkelijke afweging”.


In 2019 heeft burgemeester Aboutaleb de media gezocht met de boodschap dat de "nieuwe privacy wetgeving de aanpak van de criminaliteit bemoeilijkt". In de media uitvergroot tot “Wilt u Veiligheid of wilt u Privacy?” Welke kies je?


Wil je dat criminelen en terroristen kunnen doen wat ze willen, zeggen wat ze willen en iedereen zomaar op kunnen blazen?


Geen Zero-Sum Game
Kennelijk moeten we een afweging maken: wel of geen Veiligheid tegen wel of geen Privacy. Dat is de verkeerde afweging. Er bestaat geen allesomvattende maatstaf om Veiligheid en Privacy tegen af te zetten. Het is nu eenmaal geen zero-sum game.


In de nasleep op 9/11 - toen de NSA ruimere bevoegdheden had bedongen - werd aan het publiek een aantal stellingen voorgelegd met de strekking: “mag de overheid telefoons aftappen en e-mails lezen om terrorisme te voorkomen”.  Het eensluidende antwoord is uiteraard Ja. Natuurlijk moet de overheid e-mails kunnen lezen en moet ze huizen kunnen betreden en doorzoeken. Voor onze bescherming zou de overheid de meest ingrijpende doorzoekingen kunnen uitvoeren, uw huis binnengaan, fouilleren, telefoons aftappen . . .etc.


Maar, er moet wel een systeem van gerechtelijk toezicht zijn om daar op toe te zien. Er zijn procedures zoals het krijgen van een huiszoekingsbevel als er sterke aanwijzingen bestaan dat er iets niet in de haak is. De overheid moet eerst rechtvaardigen waarom het jouw huis wil binnengaan en bij de rechtbank huiszoekingsbevel ophalen. Heeft de overheid voldoende aanwijzingen dat, als ze bij u thuis binnenvallen, bewijs van een misdrijf of misdaadgerelateerde kwesties aantreft? In het huiszoekingsbevel staat precies omschreven waar men naar mag zoeken en hoever bevoegdheden gaan.


Er moeten dus duidelijke regels zijn afgesproken, inclusief toezicht en handhaving van deze regels, voordat er kan worden overgegaan naar iets ingrijpends als een huiszoeking. Het staat buiten kijf dat de overheid de mogelijkheid moet hebben om huizen binnen te gaan.  De politie moet huizen kunnen doorzoeken om misdaden op te lossen of te voorkomen.


Privacy gaat over spelregels
Privacybescherming wil niet zeggen dat je een huis niet kunt binnengaan of gegevens uit mag wisselen. Privacy gaat over duidelijke spelregels, transparantie en accountability. Oftewel de aanwezigheid van gerechtelijk toezicht en de te volgen procedures voordat een huis wordt doorzocht of gegevens worden uitgewisseld. Om te voorkomen dat de overheid een schimmige en obscure organisatie wordt die dingen doet die door de betrokkenen niet meer te volgen zijn, en ze bijvoorbeeld huizen doorzoekt omdat ze een bepaald ‘gevoel’ heeft, dat er iets niet in de haak is.
Het gaat dus niet om de simpele afweging tussen Veiligheid en Privacy. Het gaat veel verder dan dat, en haakt direct in op de democratische beginselen van onze samenleving: de trias politica. Privacybescherming en Veiligheid wordt gebalanceerd door middel van transparantie en accountability. Oftewel de aanwezigheid van gerechtelijk toezicht en duidelijke regels en richtlijnen.


Naar een echte afweging
De echte afweging is “Veiligheid zónder gerechtelijk toezicht, regels en richtlijnen" aan de ene kant en aan de andere kant "Veiligheid maar nu met gerechtelijk toezicht, regels en richtlijnen". Het is evident dat de overheid minder effectief zal zijn in zijn optreden (eerst naar de rechtbank om te rechtvaardigen dat, extra papierwerk . . . etc.). Hoeveel dan? Waarschijnlijk tussen de 10% en 20% minder effectief.
Daar heb je het, dát is wat wij moeten balanceren! Wat is het marginale verschil in effectiviteit tussen Veiligheid zónder en Veiligheid mét enige bescherming. Dat is waar het bij privacy om gaat: is het minder effectief maken van een veiligheidsmaatregel de afweging van Privacybescherming waard?
Nogmaals het is geen alles of niets afweging, of  "Wil je dat mensen sterven, of dat we je privacy bederven?". Willen we dat burgemeesters of veiligheidsdiensten kunnen doen wat ze willen zonder enige verantwoording of toezicht, of willen we dat er toezicht wordt gehouden?


Aan de burgemeester de taak om zich meer en beter te verdiepen in Privacy. Privacy staat niet op zichzelf. Het is een breed, contextueel begrip dat veel verschillende dingen omvat die ook nog eens aan elkaar gerelateerd zijn. Privacy dus als een veelkoppig monster. Met Privacybescherming bedoelen we dat we alle gerelateerde potentiële problemen proberen te beschermen.


En er VALT nogal wat te beschermen . . .


Toeslagen Affaire? Kafka wijst u de weg . . .



De toeslagenaffaire gaat over het machteloze gevoel wat mensen letterlijk overvalt wanneer Privacybescherming wordt gemarginaliseerd ten faveure van een vals gevoel van Veiligheid.


UITSLUITING

Privacy staat niet op zichzelf. Het is een breed, contextueel begrip dat veel verschillende zaken omvat die ook nog eens aan elkaar gerelateerd zijn. Met Privacybescherming bedoelen we dat we alle gerelateerde potentiële problemen proberen te beschermen. Een van de potentiële problemen met Privacybescherming is UITSLUITING.


Dit is het probleem dat ontstaat wanneer uw gegevens door de overheid of een particulier bedrijf worden verzameld, u geen idee heeft dat uw data wordt verzameld en hoe uw data wordt gebruikt. Beslissingen over u kunnen gebaseerd zijn op deze informatie, maar u hebt niet de mogelijkheid te achterhalen wát de beslissingen zijn, hoe de informatie over u van invloed kan zijn op die beslissingen en uiteindelijk wat u kunt doen om de informatie te corrigeren, als deze onjuist is. Letterlijk: u wordt geheel tegen uw wil uitgesloten.


Kafkaëske horror...


In de roman " Der Prozess" van Franz KAFKA wordt deze zogenaamde ‘UITSLUITING’ treffend uitgewerkt. In het kort: er ontwaakt een man Josef K. op een ochtend en er staan een paar regeringsfunctionarissen voor zijn neus met de boodschap dat hij onder arrest staat. De man vraagt naar de reden voor deze mededeling, dit arrest. De ambtenaren antwoorden dat ze hem dát niet kunnen vertellen, ze mogen het niet vertellen. Sterker nog: ze weten het zelf niet eens. "Ons is opgedragen om jou te vertellen dat je gearresteerd bent, dus dat doen we bij deze, tot ziens, geniet nog van je ontbijt". De man besteedt de rest van dit boek om erachter te komen waarom hij gearresteerd is en wat hij leert is dat er een machtig overheidsapparaat achter zit. Een schimmige en obscure organisatie met veel verschillende niveaus van hiërarchie. Ze hebben een dossier over hem samengesteld en - wat hij ook doet - hij kan maar hij kan niet achterhalen wat het precies is wat ze tegen hem hebben. En dat schept het gevoel van totale hulpeloosheid, het gevoel dat hij overgeleverd is aan een grote organisatie, en er niets tegen kan doen ondernemen. Tot de dood erop volgt.


De Kafkaëske horror die we voelen als we dit boek lezen. Dát is waar uitsluiting voor staat. Dit probleem heeft niets met het 'Niets Te Verbergen' argument te maken. Het gaat niet om verbergen van iets ‘schadelijks’. Het probleem is groter, veel groter. Hoe worden we behandeld als het gaat om het gebruik van onze gegevens? Welke rol spelen we zelf, welke invloed kunnen we nemen wanneer onze gegevens worden verzameld en gebruikt?


. . . Nog steeds actueel


VS: NSA

Met het verscherpte toezicht door de inlichtingendiensten (lees: de NSA) na 9/11 is er in 2019 precies gebeurd wat er in het boek van Franz KAFKA wordt beschreven. Een aantal zinsneden uit een artikel in de Trouw

“Twee advocaten van verdachten in een grote terreurzaak stoppen met de verdediging van hun cliënt. Ze vrezen dat ze geen visum voor de VS meer krijgen als ze doorgaan met deze verdachten (…)"

Wat is er aan de hand: op basis van geïntensiveerde grenscontroles naar de VS na 9/11 worden personen (zoals de advocaten) de toegang tot een vliegtuig met bestemming VS ontzegd. Ze staan op een zogenaamde zwarte lijst, waarschijnlijk omdat ze gewoon hun werk doen: het bijstaan van hun cliënt.


Waarom? “We weten het niet, we kunnen het u niet zeggen en eigenlijk weten we niet eens waarom. U kunt een klacht indienen als u wilt en met een beetje geluk lossen we dit over 50 jaar een keer op."


NL: Toeslagen

Meest in het oog springende en immer voortlevende voorbeeld in Nederland is de Toeslagenaffaire.


Op basis van geïntensiveerde controles zijn aan de hand van discriminatoire criteria mensen geselecteerd en door de overheid aangemerkt als fraudeur: 'sjoemelaars met toeslagen voor kinderopvang'. Boetes en terugvorderingen zijn hun deel. Schulden hoopten zich op en betrokkenen zijn er fyiek, mentaal en sociaal aan onderdoor gegaan. Met als dieptepunt een ongekende gevolgschade door uithuisplaatsingen van jongeren, kinderen van slachtoffers, die blijvend op achterstand zijn gezet


'Het frustrerende is dat je er nooit goed achter komt wat de logica of de reden is waarom je eigenlijk bent geselecteerd en op de lijst staat', aldus een gedupeerde. Nogmaals, het wegnemen van privacy en de ontmenselijking die daarmee gepaard gaat is een groot probleem.


Volgens de reactie van oplettende parlementariërs, zoals dhr. Omtzigt is het totaal gestoord dat dit in rechtstaat kan. "Dit is geheel in strijd met de mensenrechten. Mensen worden zo gecriminaliseerd, dat kan echt niet (…)"


Een vals gevoel van Veiligheid komt daarmee gelijk te staan aan machteloosheid van het individu.



'Wij hoeven u niet te kennen om te weten wie u bent'​



In mijn opinie moet het mogelijk zijn om het privacy-debat op een productievere manier te voeren. Ik wil het hebben over Secundair gebruik & Meta data.


U bent bekend.
Secundair gebruik van informatie is een traditioneel privacy probleem. Secundair gebruik gaat over het verzamelen van uw gegevens voor een bepaald doel om deze vervolgens te gebruiken voor een totaal ander doel. U bent bij ons bekend voor het ene maar we gebruiken dat ook voor het andere . . .


Wanneer veiligheidsdiensten informatie verzamelen, zijn er met u geen specifieke afspraken gemaakt over bewaartermijnen. ‘Wat zullen we doen, vijf jaar, tien jaar of nog langer?’ Door de jaren heen kan het dreigingsniveau en de behoefte van een veiligheidsdienst veranderen. “Weet je wat: we zijn het monitoren van terroristen beu, we willen een nieuw product op de markt brengen, we gaan afluisterapparatuur verkopen. Laten we een mailinglijst maken, we gebruiken uw informatie. De telefoonnummers hebben we al, dus we kunnen starten met een telemarketing campagne.”


Dit is een absurd voorbeeld maar veiligheidsdiensten kunnen echt van alles doen met onze gegevens en het lijkt erop dat we daar niets over te zeggen hebben, laat staat dat we de mogelijkheid hebben om het te stoppen. Dat is een probleem en ook dit heeft weer niets met het ‘Niets te Verbergen’ argument te maken.


Uiteindelijk hebben we controle over het gebruik nodig. Het gebruik moet worden afgeschermd en de organisaties die uw gegevens verzamelen moeten daar verantwoording over afleggen. Gezien de affaire Snowden en alles wat is bloot gelegd over de praktijken van de NSA lijkt het erop dat we de regie al een tijdje kwijt. Regie die we moeten bevechten en terug moeten pakken.


'Wij hoeven u niet te kennen . . .
Een relatief nieuw privacy probleem is het fenomeen Meta Data. De idee achter meta data is als volgt: we luisteren niet naar de inhoud van uw gesprekken, we verzamelen alleen de telefoonnummers die u heeft gebeld. We proberen niet te diep te graven, we kijken naar gegevens over gegevens. Dus niet de inhoud van uw communicatie, maar de informatie over met wie u heeft gebeld of welke kanalen u gebruikt om te communiceren. "Maak je geen zorgen, het zijn maar metadata", is de grondgedachte.


Dit is een vals argument. Metadata is secundair gebruik ‘in disguise’. We moeten ons juist zorgen maken over metadata. Omdat het soms niet gaat om wat je zegt, maar juist aan WIE je het zegt. Als je maar voldoende metadata verzamelt, dan kun je heel veel leren over mensen en hun gedrag.
Als mensen bijvoorbeeld hun arts bellen kun je al veel te weten komen over de medische omstandigheden; de specialist, het gezondheidscentrum of het DBC die ze bellen.


Als mensen hun vrienden bellen, kun je hun sociale netwerk afleiden. Je zou dan ook meer te weten kunnen komen over hun politieke, religieuze, filosofische overtuigingen.
In metadata zitten veel verhalen verscholen en geven we de data aan een Tech- of Social mediabedrijf als Facebook of Google dan spuwen ze een aantal geweldige inzichten over jou uit die bovendien ook nog eens erg gedetailleerd zijn.
De privacy-schandalen rondom Facebook rijgen zich aaneen en veel van die schandalen gaan over secundair gebruik in de combinatie met Meta data.


Het sociale medium volgt haar gebruikers op websites buiten Facebook, door middel van cookies in de browser, of door zogenaamde tracking-pixels. Bezoek je een pagina met bijvoorbeeld een Facebook-pixel, dan wordt dat aan Facebook doorgegeven. Hierdoor heeft het sociale netwerk een overzicht van jouw surfgedrag, de websites die je hebt bezocht. Alles bedoeld om ‘advertenties te personaliseren, dus maak je vooral geen zorgen.’ Maar dit personaliseren kan zover gaan dat ethische waarden in het gedrang komen. Ben je nog in staat weloverwogen keuzes te maken of doe je dat op basis van een beperkt zicht en halve waarheden?


Een voorbeeld: in 2018 werd duidelijk dat zorgverzekeraars pagina’s hebben waarop ziektes worden beschreven. Het bezoeken van zo’n pagina wordt doorgegeven via de pixel. Hierdoor weet Facebook dat je informatie hebt opgezocht over medische problemen die je misschien liever geheim had gehouden. Resultaat: een (psychologisch) profiel dat weleens nadelig voor u kan uitpakken.


... Om te weten wie u bent'
Het paradoxale is dat naarmate je over meer data beschikt, je steeds minder de details hoeft te kennen. Als je veel kleine stukjes data bij elkaar legt dan kun je daar veel af uit afleiden, en een behoorlijk gedetailleerd profiel van een persoon op te stellen. Laat je dit profiel los in een totaal andere context dan waarvoor de data verzameld is, dan komen ethische waarden al snel in het gedrag. Dus ik denk dat we ons grote zorgen moeten maken over metadata.


Het zijn geen gegevens over gegevens, het gaat over veel meer.