Burgers moeten weer vat krijgen op de manier waarop hun persoonsgegevens worden beheerd. Het moet andersom: de persoon centraal, niet de dataverzamelaar. Als elke burger een eigen website krijgt waar bedrijven en instituties de over ons verzamelde data stallen, kan het begrip ‘privacy’ weer inhoud krijgen, denkt Bob Duindam.
Illustratie: Anais van Delft
Elke keer dat een privacyschending het nieuws haalt ben ik op dezelfde manier verbaasd: de politiek spreekt er schande van, maar de (getroffen) burger interesseert het maar matig. Het incident wordt aangepakt, maar structureel verandert er helemaal niks. De politiek spant zich daarvoor ook niet zichtbaar in1. En bij elk incident wordt gedaan alsof privacy ‘slechts’ een zaak is van het betrokken bedrijf (of overheidsinstelling) en één of enkele burgers. Als een burger zich alleen druk hoefde te maken over het behartigen van zijn of haar privacy in relatie tot slechts één enkel bedrijf of publieke instantie, dan was privacy geen maatschappelijk thema. Maar dat is allang niet meer de realiteit.
De privacygevoelige gegevens2 van burgers zijn vastgelegd in databases van een onbekend aantal bedrijven en publieke instanties. Voor burgers is het behartigen van hun privacy het omgaan met een onontwarbare kluwen geworden. Bij welke bedrijven moeten zij telkens opnieuw hun inzagerecht doen gelden? En op grond waarvan kunnen burgers vaststellen of hen die inzage in alle volledigheid verschaft is?
Desalniettemin tilt de overheid zwaar aan de privacy van burgers, hetgeen zij met talloze wetten heeft geregeld. Het is dan aan diezelfde overheid om die wetten te ondersteunen met een set aan instrumenten, zodat de burger (die dat wil) zijn of haar privacy kan bewaken. Met een dergelijke set aan instrumenten kan het inzagerecht voor burgers, worden omgezet in een ‘brengplicht’ voor elk bedrijf naar elke burger over wie het gegevens bijhoudt. Dat stelt elke burger in staat een weloverwogen besluit te nemen om wel of geen zorg te besteden aan het behartigen van zijn privacy. Op deze wijze is privacy wel structureel goed geregeld.
Welke soorten informatie worden er over burgers bijgehouden, wat zijn vervolgens de maatregelen (bovenop wettelijke voorschriften) die nodig zijn om privacy te waarborgen? En wat zou een technologische oplossing kunnen zijn waarmee de voorgestelde maatregelen toegepast kunnen worden? Het geheel zou een instrumentarium kunnen zijn om de privacy van burgers structureel te waarborgen.
Informatiecategorieën
De informatie die over en van burgers wordt bijgehouden kan worden ingedeeld in drie categorieën, waarbij het wenselijk is elk stukje data dat over burgers gaat in een van deze drie categorieën in te delen. En hoewel de aard en kwaliteit van data zeer sterk kunnen variëren binnen en over ieder van deze drie categorieën, tussen overheidsinstituties en private initiatieven, maakt dit geen verschil voor de mate van privacy zoals die ervaren wordt door een burger.
a) Informatie over burgers, gegenereerd en verzameld door formele, wettelijk gestuurde, overheden.
Vanaf de geboorte verzamelt de overheid gegevens over elke burger en legt deze vast in vele administraties3. Het burgerzakenregister en de Belastingdienst, maar ook onderwijs- en sociale instellingen leggen vele gegevens over ons vast. Een groot deel van deze gegevens mag nooit worden verwijderd of gewijzigd, door wie dan ook. Denk aan de geboortedatum of het persoonlijke identificatienummer. Maar in veel gevallen verzamelt de overheid ook onze gegevens wanneer daartoe geen wettelijke aanleiding bestaat. Bijvoorbeeld een op naam gestelde afvalpas, terwijl er even goed werkende anonieme alternatieven bestaan.
Vanuit de gedachte van een dienende, democratisch gekozen overheid is het wenselijk dat burgers toegang hebben tot alle over hen verzamelde persoonlijke data en dat de overheid zich beperkt tot hoogst noodzakelijke vastlegging van die data.
In deze categorie informatie hoort ook de afweging gemaakt te worden tussen private en publieke belangen in het kader van terrorismebestrijding, fraudepreventie, recherchewerk en volksgezondheid. Daar waar bijzondere wetten daarin voorzien, zijn de verzamelde data om die reden afgeschermd.
Bij een overheid die de privacywetgeving van haar burgers respecteert horen ook de volgende maatregelen ten aanzien van persoonsgegevens:
– het anonimiseren van data waar dat ook maar mogelijk is,
– het verwijderen van onterecht, onnodig, niet meer actuele, opgeslagen data,
– de mogelijkheid voor burgers om aan over henzelf verzamelde persoonsgegevens commentaar toe te voegen, in het bijzonder als het gaat om gezondheidsgegevens.
b) Informatie over burgers, gegenereerd en verzameld door (non-) commerciële bedrijven en instellingen.
Dit betreft alle door bedrijven en instellingen over personen verzamelde informatie, zowel commercieel als niet-commercieel, voortvloeiend uit rechtstreeks of indirect contact tussen deze bedrijven en de burger (consument). Dit zijn data die een bedrijf expliciet opvraagt als een burger zaken wenst te doen, maar ook vaak data die een burger impliciet achterlaat simpelweg door de website van het bedrijf of zelfs derden te bezoeken (‘browsen’). Zo leidt ook het spelen van spelletjes op smartphones tot het genereren en verzamelen van informatie door en voor derde partijen. Deze bedrijven gebruiken deze informatie voor gepersonaliseerde aanbiedingen en andere geavanceerde marketingtoepassingen.
In deze categorie nemen we niet alleen de verzamelde data zelf in ogenschouw, maar ook:
– de doelen waartoe deze informatie is verzameld,
– hoe de data zijn verzameld,
– wie (mensen, geassocieerde organisaties en anderen) toegang hebben tot deze data, zowel rechtstreeks als na distributie,
– aan wie de data of toegang tot de data is verstrekt,
Ook de conclusies of gevolgtrekkingen uit deze data, met de door de bedrijven gehanteerde analyse-algoritmes4, inclusief menselijke analyse, worden beschouwd als privacygevoelige data.
Illustratie: Anais van Delft
c) Het gebruik van diensten en apparaten.
Data worden gegenereerd en verzameld door (het gebruik van) diensten en apparaten. Deze apparaten en diensten zijn vaak rechtstreeks te koppelen aan de identiteit van de burger en raken dus aan zijn privacy. Onlangs was de ING in het nieuws met een plan consumentendata te verhandelen5, of data met betrekking tot schulden en incassobureaus die daarin handelen6. Tevens omvat deze categorie software op en in mobiele telefoons, computers, auto‘s, ‘embedded tracking devices’, kleding en data die talloze vormen van gebruik registreren.
Instrumenten voor Privacy
Een burger die – in het licht van de veelheid en soorten data – zijn privacy wil kunnen managen moet over een adequate set aan instrumenten beschikken. Een set die duidelijk maakt in welke mate zijn privacy is aangetast en beschermd en hersteld kan worden.
Om een goed geïnformeerde beslissing te nemen over de informatie die over hem verzameld is, moet een burger kunnen begrijpen wat de mogelijke consequenties van het gebruik van die data kunnen zijn. Of een burger zijn privacy belangrijk vindt en de instrumenten gaat gebruiken is een zuiver individuele beslissing7, maar een overheid die privacywetten uitvaardigt dient er wel voor te zorgen dat een burger zijn privacy kán beheren.
De volgende set aan instrumenten is een minimum om mee te beginnen:
a) Welke data?
Allereerst moet een burger natuurlijk inzicht hebben in welke data er zoal door de verschillende instituties en bedrijven over hem zijn en worden verzameld. Als dit niet voor elke burger duidelijk is, is een privacyreglement een wassen neus. Het instrument van de burgerwebsite, zoals ik die hieronder beschrijf, is een oplossing voor deze vraag.
b) Analyse van het mogelijke gebruik van verzamelde data.
In de loop der jaren hebben burgers registratieformulieren van een enorme hoeveelheid uiteenlopende instituties en bedrijven ingevuld, om over producten, diensten of abonnementen te kunnen beschikken. En vaak is die informatie niet eens bewust of expliciet verstrekt. Die data kunnen door partijen worden gecombineerd en gebruikt op manieren die niet door de persoon en niet door de wetgever waren voorzien. Ondanks wetgeving die stelt ‘dat data slechts gebruikt mogen worden voor het doel waarvoor deze ter beschikking zijn gesteld‘, de als zodanig bekend staande doelbinding.
De ontwikkelingen op het gebied van data-analyse en -gebruik gaan simpelweg te snel voor de wetgever (laat staan de burger) om bij te houden. Om die reden is het noodzakelijk dat de burger en de wetgever worden geholpen door onafhankelijke partijen (consumentenorganisaties, maatschappij-critici (‘watchdogs‘) en officieel daartoe in het leven geroepen organen (College Bescherming Persoonsgegevens) en dat deze analyses ter beschikking worden gesteld aan burgers en aan de wetgever op een veel toegankelijker en directer wijze dan nu het geval is.
c) Rating-informatie.
Deze ratings betreffen de wijze waarop overheids- en commerciële organisaties voldoen aan de richtlijnen voor het gebruik, het beheer en het verzamelen van persoonsgegevens. Hebben deze organisaties een ‘privacyseal’, werken zij conform privacygedragsregels, zijn hun systemen ingericht volgens Privacy by Design – principes? Wat laten audits op verzamelde persoonsgegevens zien? En wat gebeurt er na het intrekken door een burger van een eerder gegeven toestemming? Worden de gegevens vernietigd of is het gebruik simpelweg voor de persoon in kwestie onzichtbaar gemaakt? Kortom, in welke mate is vastgesteld dat overheids- en commerciële organisaties dat zij voldoen aan de wet?
Deze ratings stellen een burger in staat een geïnformeerde beslissing te nemen bij welke bedrijven het niet veilig is om persoonsgegevens ter beschikking te stellen.
d) Risicoanalyse.
De discussie over privacy gaat regelmatig over het risico dat burgers lopen dat er teveel over hen bekend is, waarop vaak gereageerd wordt met de woorden ‘ik heb niets te verbergen‘. Beide beweringen verdienen onderbouwing. Om die reden zou het voor elke burger mogelijk moeten zijn om een risico-analyse te laten verrichten gebaseerd op het totaal van over haar verzamelde persoonsgegevens. Deze analyse zou uitgevoerd kunnen worden, naar keuze tegen betaling, door gecertificeerde bureaus.
Privacykeuze
Ten slotte: gebaseerd op de afwegingen die een burger maakt over de hierboven beschreven instrumenten doet een burger een privacykeuze:
– Geen verzameling en geen gebruik, anders dan strikt vereist bij wet, van zijn persoonsgegevens. Alle verzamelde data dienen te worden vernietigd.
– Vrij verzamelen en vrij gebruik zonder enige restrictie, behalve wanneer bij wet opgelegd.
– Gebruik en verzameling van persoonsgegevens onder condities: gelimiteerd tot een specifieke lijst van bedrijven, specifieke data, aangewezen diensten en devices en gebruik van deze diensten en devices, en gelimiteerd gebruik van al deze data.
Het is een persoonlijke beslissing om de moeite te nemen de eigen privacy serieus te nemen en actief te beheren. Veel mensen zullen zich er niet druk om maken. Maar een land dat wetten aanneemt met strenge voorwaarden ten aanzien van privacybescherming en het gebruik van persoonsgegevens heeft een principiële keuze gemaakt zich er wél druk om te maken. Het is niet relevant hoeveel mensen daar gebruik van maken, het moet simpelweg mogelijk zijn.
Een voorstel voor actief privacybeheer door een wettelijke brengplicht
De plekken waar persoonsgegevens worden opgeslagen zijn talrijk en vaak virtueel (cloud opslag). Het is ondoenlijk van een burger te verwachten dat hij elke plek kent waar persoonsgegevens worden opgeslagen, deze aanschrijft en ter plaatse de verzamelde persoonsgegevens inziet. Evenmin is het redelijk te verwachten dat een burger kan bijhouden aan wie hij eerder consent (toestemming) gegeven heeft, en de voorwaarden waaronder zij dat consent gegeven heeft. Kortom, het inzagerecht schiet te kort.
Tot op heden hebben oplossingen, ingegeven door wetgeving, zich steeds gericht op de bilaterale relatie tussen een burger en één bedrijf of instelling. Deze visie op het beheren van privacy is te simpel om recht te doen aan de complexe werkelijkheid die met internet is ontstaan. Het beheer van een ieders privacy zal op een andere wijze aangesneden moeten worden.
Omdat persoonsgegevens verbonden zijn aan iemands identiteit zouden de beheerprincipes van iemands privacy dan ook de persoon centraal moeten stellen en niet de data als zodanig en ook niet het bedrijf of de instelling die die data heeft verzameld. Vreemd genoeg gebeurt dat in de praktijk wel; burgers moeten op de site van een bedrijf aangeven of ze hun consent verstrekken dan wel intrekken.
Ik stel een radicale omkering voor. Elke burger krijgt een eigen website. Deze website is net zoveel deel van iemands leven als zijn identiteit of zijn woonadres. Deze website (≈ voornaam.achternaam@land.org) is haar eigendom, net zoals een paspoort dat is: het wordt uitgegeven door de nationale overheid, met alle toepasselijke veiligheidsmaatregelen, maar is uitsluitend te gebruiken door de persoon aan wie zij verstrekt is. De persoonlijke website is toegankelijk voor iedereen waar toestemming aan is gegeven en alleen te beheren door de houder of gevolmachtigde.
Deze website wordt het centrale punt in het beheer van persoonsgegevens. Alle in Nederland actieve bedrijven en instituties worden bij wet verplicht voor iedere burger de door deze bedrijven en instituties verzamelde data naar deze ene website te brengen. De burger in kwestie ziet een lijst van bedrijven en instituties die persoonsgegevens over haar hebben verzameld en dat via deze website aan haar hebben gemeld.
Illustratie: Anais van Delft
De burger kan van deze gegevens aangeven wat ermee moet of mag gebeuren: verwijderen, vrijelijk te gebruiken, of onder condities te gebruiken. Zo wordt een brengplicht gecomplementeerd die de burger werkelijk de mogelijkheden geeft zijn privacy te beheren.
De instrumenten die ik hierboven heb beschreven worden via deze website toegankelijk gemaakt. Een burger kan ervoor kiezen die instrumenten op het geheel of een selectie van bedrijven en data toe te passen. De overheid kan ook standaard een aantal analyses laten uitvoeren en deze in een dashboard publiceren, bijvoorbeeld om het bewustzijn over het belang van privacy te stimuleren.
De mate waarin een burger toestemming wenst te verlenen voor het verzamelen en gebruik van zijn persoonsgegevens kan hij vastleggen op deze ene plaats, zowel voor huidig als voor toekomstig gebruik. Bedrijven en instituties zijn verplicht die toestemming op te halen.
Op deze wijze wordt het beheer van privacy meer dan een papieren tijger.
Toekomstige uitbreidingen
De persoonlijke burgerwebsite verlangt uitzonderlijke veiligheidsmaatregelen (zoals bij een niet te kopiëren of vervalsen paspoort). En tevens dat regelmatig – misschien wel continu – wordt aangetoond dat de website nog steeds veilig is. Speciale beveiligingsbureaus zouden kunnen waarborgen dat burgers ervaren dat hun site nog steeds veilig is en blijft, inclusief de gebruikte onderliggende technologieën.
Tevens kan deze persoonlijke website een oplossing worden voor alle zogenaamde ‘mijn…..nl’- websites, waaronder ‘MijnOverheid’. De titel ‘mijn’ in deze talloze sites gebruiken is bijzonder misleidend; er is immers niets ‘mijns’ aan. Op mijn enige echte persoonlijke website kunnen loketten ontstaan die veilig toegang geven tot alle van belang zijnde diensten, voorheen aangeboden op ‘mijnxxx.nl‘.
Ten slotte, nog een overweging. Als we burgers beschouwen als eigenaren van hun persoonsgegevens, dan kan er rond die data ook een businessmodel ontstaan waardoor zij zelf geld kunnen verdienen door het samen of individueel ter beschikking stellen van die persoonsgegevens. Op een open en transparante wijze gaan bedrijven daar dan vervolgens mee om. Het is immers evident dat data voor dienstverlenende bedrijven de belangrijkste grondstof van de komende tijd worden.
Bob Duindam is wethouder in de gemeente Oudewater
1 Enige hoop kan gehaald worden uit het regeerakkoord Vertrouwen in de Toekomst, p.8: Ter bevordering van de privacy wordt de eigen regie op persoonsgegevens vergroot.
2 Definitie Autoriteit persoonsgegevens: Bij persoonsgegevens gaat het om alle informatie over een persoon. Ook gegevens die indirect iets over iemand zeggen, zijn persoonsgegevens.
3 Privacywetgeving betreft zowel digitale als papieren administraties. In het vervolg wordt de term administratie gebruikt daarbij beide vormen bedoelend.
4 Voor een indruk van wat ons te wachten staat: Evgeny Morozov, Het Parool, 29 oktober 2017. Gemak schaadt de mens
5 ING schuift commercieel uitbaten klantgedrag op lange baan
6 De Groene Amsterdammer, no. 43, Jaargang 141, 26 oktober 2017, p26-p31, ‘U staat op een zwarte lijst‘.
Beste Bob,
Na het lezen van je column kwam ik voor mijzelf tot de conclusie dat ieder een eigen website wellicht niet de meest wenselijk oplossing is. Het uitgangspunt dat de mens moet kunnen beschikken over zijn “eigen” data onderschrijf ik, ook het principe dat hij deze (veilig is met dataminimalisatie en privacy by design) publiek privaat zelf zou moeten kunnen gebruiken ook.
Vanuit deze overtuiging ben ik dan persoonlijk meer een voorstander om de mens een vorm van digitale grondrechten te geven (middels self sovereign identiteit) en daar om heen een vorm van persoonlijk datamanagement te organiseren.
DIt gezegd hebbende kan ik je melden dat beide sporen binnen de overheid als verkenning ook lopen. Bij deze sporen zijn publieke/private en de wetenschap bij betrokken.
Of deze sporen ook succesvol zullen zijn is afhankelijk van hoe sterk enerzijds de “oplossing” wordt. Anderzijds of we hier als maatschappij überhaupt al aan toe zijn (ethische vraagstukken die ook de adoptie bepalen)
Beste Bob,
Het is onwenselijk dat allerlei partijen zonder duidelijk doel informatie over me bewaren. Tegelijk houd ik er ook niet van om elke keer dezelfde informatie op te lepelen.
En ben ik er voorstander van dat ik zelf bepaal hoe en waar ik die (soms) gevoelige informatie bewaar.
Dat kan door de burger die dat wil een persoonlijke kluis te geven waarin hij dit soort informatie bewaart en uploadt op de momenten dat dit nodig is. Soms alleen persoonsinformatie, soms gecombineerd met bereikbaarheidsgegevens, soms gecombineerd met allerlei informatie die specifiek is aan een procedure. De spreiding van opslag die zo ontstaat maakt het hackers erg moeilijk om hun slag te slaan. Het geheel kan worden vervolmaakt met gebruik van een dienst als Quiy.
Het rare fenomeen doet zich voor dat voor een deel van de uitdaging al lang oplossingen bestaan. Via open authenticatie kun je bijv. zelf aangeven welke partijen toegang tot (en welke) van jouw gegevens mogen hebben. Net zoals je dit nu al kunt voor je Google en Facebook gegevens zou dat ook kunnen met persoonlijke gegevens.
Waarbij MijnOverheid (even los vd naam) trouwens best een aardige plek zou zijn binnen het bestaande landschap om zo’n type functionaliteit onder te brengen.
Beste Bob,
In de basis een prima idee, ieder ook echt eigenaar maken van de eigen data, en toegang verlenen aan die instanties waarvoor je dat ook wilt.
Kijkend naar. Eegaatjes initiatieven en pogingen uit het verleden denk ik dat de Blockchain technology hier wel uitkomst kan bieden.
Ben benieuwd naar je vervolg, zeker goed hier eens over verder te sparren
Beste Kennard, Ad, Henk, en Andre,
dank voor jullie (uiteenlopende) reacties.
De oplossing bestaat wellicht in onderdelen, maar een gebruiksvriendelijke plek waar de burger er zelf, in alle denkbare facetten over gaat is er nog niet.
Noem het een digitale identiteit, een digitale kluis, een blockchain, open authenticatie, het is om het even. Ik noem het een persoonlijke website waarin ongetwijfeld elementen die jullie benoemen terugkeren.
Mijn oorspronkelijke titel was “van inzagerecht naar brengplicht” omdat de Nederlandse overheid privacy heel serieus neemt, maar haar burgers geen instrumenten verschaft om dat recht adequaat uit te oefenen. Het inzagerecht schiet schromelijk tekort, zoals ik heb uitgelegd.
Mijn tweede punt is dat ik toegang wil hebben op een plek die van mij is, en niet van Mijnoverheid, of Mijnbank, of MijnDigitaleKluis, etcetera.
We vervolgen de dialoog.
Groet, Bob
Los van de denigrerende term burger (wie wil er nu niet gegrild worden?).
De ictvaardigheid van velen, en überhaupt de wil om je hier mee bezig te houden, is iets dat bij veel inwoners (mooi alternatief voor burger) ontbreekt. Een oplossingsrichting als bovenstaande kan interessant zijn om verder uit te werken, maar laten we mensen (ander alternatief voor burger) geen oplossingen gaan opdringen. Wat als je hier geen behoefte aan hebt?
In plaats van data op je eigen inwonerswebsite stallen, hoe haalbaar is dat, is een verplichte koppeling naar de data die een bedrijf of overheid over je heeft verzameld een stuk haalbaarder. Laat mensen zien welke bedrijven informatie over hen hebben, ook zonder dat zij daar weet van hebben + optie op het recht om vergeten te worden. Daarmee creëer je waarschijnlijk (meer) draagvlak om een verdere oplossing te
(laten) ontwikkelen.
ps. iBestuur draagt ook bij aan het verzamelen van gegevens door externe partijen, oa. Google door de trackers terwijl hier een mooie opensourcevariant van is die op de eigen server gehost kan worden en geen data lekt: Piwik.