Meer privacy met een datakluis?

Al langere tijd zijn persoonlijke datakluizen in ontwikkeling waarmee burgers zelf hun persoonlijke gegevens beheren en kunnen bepalen met welke organisaties ze die delen. Gaat dit zorgen voor een verbetering van de privacy of het tegenovergestelde?

Er is een ontwikkeling gaande naar een nieuwe manier van het beschermen van privacy waarbij gebruikers meer controle krijgen over hun eigen data en zelf kunnen bepalen met wie ze die delen. De data worden dan opgeslagen in een zogenoemde datakluis die bewaard kan worden op het lokale apparaat van een gebruiker of in een beveiligde cloud.

Overheden, op zoek naar een betere bescherming van de privacy van hun burgers, kijken vol belangstelling naar de ontwikkeling van datakluizen. Het Nederlandse overheidsprogramma Regie op Gegevens, leidde onder andere tot een referentiearchitectuur en protocollen voor het uitwisselen van (gevoelige) gegevens. MedMij is een belangrijke implementatie hiervan, voor het uitwisselen van medische gegevens. Een ander belangrijk project is IRMA, een authenticatieprotocol dat gebruikers controle geeft over zijn ‘attributen’, ontwikkeld door de vakgroep privacy van Radboud Universiteit. Dit project is als privacy by design oplossing verder ontwikkeld tot de app Yivi.

Doorbraak in 2024?

Er is een wildgroei aan initiatieven geweest waardoor er nog weinig standaarden zijn gezet met veel gebruikers. Daar zou dit jaar verandering in kunnen komen door initiatieven vanuit zowel de markt als de overheid.
Zo ontwikkelt Google Privacy Sandbox. Die moet de privacy voor gebruikers vergroten en tegelijkertijd marketeers nieuwe mogelijkheden geven, bijvoorbeeld om gerichte reclames te tonen waarmee webdiensten gratis kunnen blijven.

In 2023 besloten de grote Nederlandse mediahuizen, NPO, DPG Media, Mediahuis, RTL Nederland en Talpa Network, samen te gaan werken aan de ontwikkeling van een Nederlandse datakluis, met subsidie van de Europese Commissie (en na een afgewezen aanvraag vanuit het Nationaal Groeifonds). Het moet gebruikers in staat stellen om een rijk persoonlijk dataprofiel op te bouwen en zelf te bepalen wie deze data mogen gebruiken. Op basis hiervan kunnen gepersonaliseerde aanbevelingen gedaan worden. Dit initiatief wil niet alleen de privacy van consumenten verbeteren, maar ook de media- en cultuursector toegang geven tot betere marketingdata en daarmee een sterkere positie ten opzichte van Google.

In Vlaanderen is het initiatief door de overheid genomen met de oprichting van een ‘datanutsbedrijf’ Athumi. Vanuit dit bedrijf wil men protocollen voor de uitwisseling van data gaan ontwikkelingen en datakluizen. Hierbij gaat het ook over medische gegevens en communicatie met de Vlaamse overheid, zoals diploma’s en gegevens uit de basisregistratie (zoals NAW, leeftijd, huwelijkse staat). Microsoft heeft zich als een partner aangesloten. Ook in Vlaanderen heeft men de media- en cultuursector in het vizier. Zo wil de publieke omroep (VRT) meer inzicht in kijk- en luistergedrag en willen de theaters en musea meer informatie over hun bezoekers (publieksdata). Opvallend genoeg lijken de grote Vlaamse mediahuizen DPG Media en Mediahuis hier nog niet bij betrokken te zijn.

Reparatie van het web?

We krijgen te maken met een nieuwe dynamiek op het web. Bedrijven en overheden krijgen mogelijk toegang tot meer waardevolle, samenhangende en actuele, niet vervuilde data van hun gebruikers. Tegelijkertijd zullen zij misschien nog beter moeten aangeven wat ze met de persoonlijke data van gebruikers doen en wat de meerwaarde ervan is, bijvoorbeeld dat de dienstverlening aantoonbaar beter wordt. Een goede vertrouwensrelatie zal nog belangrijker worden voor toegang tot die gegevens. Verder kan het leiden tot een meer gelijk speelveld tussen grotere en kleinere, tussen oudere spelers en nieuwkomers.

De hamvraag blijft wat gebruikers gaan doen: gaan ze hun eigen data zorgvuldig beheren, aanvullen en verbeteren? Gaan ze meer data delen dan nu, als ze meer controle hebben over hun data en meer inzicht hebben in wat er allemaal mee gebeurt? Zullen ze nog steeds net zo gemakkelijk als nu een vinkje zetten? Zal de privacy van burgers echt worden verbeterd? Naast de privacyregelgeving zijn meer robuuste privacy by design strategieën nodig zoals het recht om vergeten te worden, de mogelijkheid om anoniem of ongepersonaliseerd (bijvoorbeeld met een fake account) gebruik te kunnen maken van diensten of via tijdelijke disposable identities.

Dit legt voortdurend ook een verantwoordelijkheid bij organisaties die gebruikersgegevens verzamelen en verwerken. Gaat die verantwoordelijkheid verschuiven door de opkomst van datakluizen? Dit suggereert immers meer ‘eigen verantwoordelijkheid’ van de burger.

Representatieve AI-chatbot

Bovendien blijft de balans tussen consument en bedrijf en tussen burger en overheid scheef door de snelle ontwikkeling van AI, waarmee data kunnen worden geanalyseerd en geïnterpreteerd. In dat perspectief bezien zou er niet alleen een datakluis nodig zijn maar daar bovenop een persoonlijke ‘AI-chatbot’ die de identiteit en persoonsgegevens van burgers beschermt. Die automatisch kan leren van je gedrag over je voorkeuren naast feitelijke gegevens. Een chatbot die namens consumenten en burgers kan onderhandelen met dienstverleners. Zo bezien zijn de datakluizen slechts een eerste stap van een ontwikkeling die een flinke impact zal gaan hebben op dienstverlening, marketing en privacy.