De toename van betekenisvolle zelfbeschikking met vormen van individuele regie op gegevens heeft grote potentie, volgens sommige wetenschappers en ondernemers in persoonlijk datamanagement. Het marktaanbod voldoet echter nog niet aan de economische, technologische, juridische en politieke voorwaarden om door te kunnen breken.
Veel internetgebruikers kunnen wel omgaan met een wachtwoordmanager, wat je eigenlijk als een kluisje met persoonsgegevens kunt beschouwen. Zo eenvoudig moet pdm zijn. | Beeld: Shutterstock
Tegelijkertijd nadert het moment om de individuele zeggenschap over persoonsgegevens te vergroten, ook gezien de te grote datamacht van bedrijven. De vraag is of en hoe die binnen een periode van drie tot zeven jaar waargemaakt worden. Dit vergt een uitgelezen combinatie van het trio business-legal-tech, oftewel het tegelijkertijd ontwikkelen van elkaar versterkende markt-, juridische – en technische voorwaarden om individuen daarin te ondersteunen.
Grote eenvoud in gebruik
Zo moet er een veel grotere marktmacht voor gespecialiseerde aanbieders van diensten voor eigen regie en van coöperaties voor gezamenlijk databeheer ontstaan; een grote, concreet aan te boren vraag bij burgers naar betekenisvolle zeggenschap. Persoonlijk datamanagement (pdm) moet de evidente voordelen van zelfbeschikking voelbaar maken. Dit betekent de ontwikkeling van technologie die net zo eenvoudig in gebruik is als die van de grote succesvolle dienstenaanbieders in de digitale markt van vandaag.
Net als bijvoorbeeld Facebook zullen initiatieven zoals bijvoorbeeld Solid van Tim-Berners Lee complexe software aan de achterkant moeten vertalen in aantrekkelijk gebruik voor miljarden mensen. Zo kunnen veel internetgebruikers wel omgaan met een wachtwoordmanager, wat je eigenlijk als een kluisje met persoonsgegevens kunt beschouwen. Zo eenvoudig moet pdm zijn.
Een vorm van wettelijke bescherming van individuen is noodzakelijk.
Overigens kan pdm net als wachtwoordopslag gebruikers kwetsbaar maken voor gevoelig verlies van data, omdat zij doorgaans het zwakste punt vormen in de online beveiligingsketen. Een vorm van wettelijke bescherming van individuen is noodzakelijk, met inbegrip van toezicht op de aanbieders van pdm-diensten, en open source vereisten voor coöperatieve en andere publieke toepassingen van pdm; met of zonder big data.
Nieuwe verdienmodellen moeten oplossingen met meer zelfbeschikking ondersteunen, met zowel individuele als collectieve opbrengsten, bijvoorbeeld in medisch bigdata-onderzoek. Immers, de beoogde zelfbeschikking in dataverwerking staat haaks op de huidige commerciële systemen in de digitale markten. Die zijn gestoeld op maximale dataverwerking, noodzakelijk geacht voor toepassing van algoritmes voor selectie van content en optimalisatie van reclameopbrengst.
AVG en #MeToo
Dit wordt niet voorkomen door de 50.000 woorden van de AVG, die operationeel culmineren in hoge juridische kosten voor bedrijven, ineffectief toezicht en muisklikjes op ‘I agree’ door consumenten; grif vergeven in een mechanisme van stimuli, ook wel het zogenaamde ‘nudging’. De vermeende barrière ‘toestemming’ voor dataverwerking weerspiegelt geen zelfbeschikking van individuen in de technologisch-economische praktijk.
De AVG en toestemming vragen/verlenen in de praktijk is enigszins als #MeToo: geen verzet plegen als gevolg van een ondergeschikte machtspositie. ‘Nee’ denken en willen, ‘ja’ doen. Daarnaast spelen gemakzucht en gebrek aan kennis parten.
De AVG en toestemming verlenen in de praktijk is enigszins als #MeToo: geen verzet plegen als gevolg van een ondergeschikte machtspositie.
Eenvoudiger regelgeving verdient onderzoek, met een duidelijker beperking van commerciële verwerking van persoonsgegevens door bedrijven en harde eisen voor transparantie over profilering en beslisregels (algoritmes), en kwalitatief beter toezicht. Ook het opleggen van zelfbeschikking met dataportabiliteit uit de AVG, die nu niet tot stand komt, bevordert individuele regie.
Zelfs een zeker verbod op commerciële verwerking van persoonsgegevens, anders dan verkregen via pdm van individuen en hun intermediairs, verdient onderzoek. Cruciaal is de vergroting van bewustzijn van waarde van data als ondergrond voor zelfbeschikking in beheer. Het is evident dat de big datamarkt vereist dat mensen bewuster met persoonsgegevens omgaan, ook onder het principe van ruilhandel: ze zullen mogelijke privacynadelen van verstrekking van data afwegen tegen de individuele voordelen maar ook collectieve opbrengsten. Privacy- dan wel databescherming-by-design is noodzakelijk, alsmede de opkomst van een markt met intermediairs zoals coöperaties.
Succes: schuldhulpverlening
De Europese Digital Services Act (DSA) en Digital Markets Act (DMA) bieden een juridische basis voor het afdwingen van transparantie over dataverwerking door bedrijven. En voor hardere aanpak van datamacht; ze bieden mogelijkheden om de tekortkomingen van de AVG te ondervangen met het mededingingsrecht. Echter, zelfbeschikking en pdm zijn geen uitgangspunten van deze wetsvoorstellen; wél van de nieuwe Data Governance Act, maar die richt zich meer op publieke datadomeinen, met minder dwingende voorschriften (§2.4).
Op korte termijn lijkt pdm vooral in publiek gedomineerde toepassingen haalbaar.
Juristerij domineert de toepassing van de AVG, die de kracht van economische verhoudingen en technologie miskent; en daarom deels wordt hersteld met mededingingswetgeving. Anderzijds worstelen economen en technici met juridische uitgangspunten. Ze spreken onbekommerd en juridisch minder nauwkeurig van ‘eigendom van persoonsgegevens’ en ‘data als werk’ (vakbond), maar voor de bewustwording kan dit nuttig zijn. Pdm-aanbieders zijn daarentegen te eenzijdig technologisch bezig, vanuit idealisme.
Op korte termijn lijkt pdm vooral in publiek gedomineerde toepassingen haalbaar, waarmee het algemeen en wederzijds belang van individuen en dataverwerkende partijen evident is; zoals met het delen van persoonsgegevens in schuldhulpverlening, voor medisch onderzoek, in woon- en zorgprojecten, smart cities, patiëntnetwerken (ParkinsonNet) en beveiliging en toegang (coronachecks). Voor deze vormen zijn de harde voorwaarden voor marktsucces minder bepalend.
Deze eerste stimulans voor pdm-adoptie kan komen van positieve ervaringen met succesvolle publieke projecten voor databeheer. Bewustwording van het nut van eigen regie kan de toepassing van pdm in het commerciële domein helpen. Komt er straks werkelijke interesse voor? Een enquête is niet overtuigend, marktverhoudingen moeten grondig wijzingen.
MedMij sleutelproject
De eigen regie van medische/gezondheidsdata met pgo’s binnen het programma MedMij is nog geen gelopen race. De totstandkoming van het belangrijkste Nederlandse pdm-project gaat behalve met grote problemen ook gepaard met gebrek aan concrete vraag naar pdm in door artsen gedomineerde machtsverhoudingen met medische informatie. De overgang naar dominantie van de vraagzijde vergt een lange adem. De zorg moet er beter van worden.
Dat geldt ook voor pdm en het leven ‘in het algemeen’. Utilitaire voordelen stimuleren de zelfbeschikking, zoals toepassingen om het eigen leven digitaal te beheren met inzicht in, en overzicht van onze besluitvorming en regie over het barre leven. Dit nut biedt wellicht een grotere stimulans voor individuele inspanningen voor databeheer dan privacyzorgen. Betere privacybescherming lift dan mee op utilitaire principes.
Algoritmes op eigen data loslaten
In dit model kunnen personen zelf algoritmes toepassen op hun dataverzamelingen, zoals pdm-aanbieder Digi.me reeds biedt. Niet bedrijven bepalen wie je bent en reduceren mensen tot pakketjes data, maar analyses bieden individuen zicht op het eigen functioneren. Idem dito voor MedMij en de pgo’s voor inzichten in de eigen gezondheid.
Dat vervolgens enige zelfbeheersing nodig is om gedragssturing te beperken toont de praktijk van de ‘quantified self’ beweging; risico op ‘zelfschending’ neemt toe met alsmaar meer beschikbare data. Coöperatieve verbanden kunnen de bescherming en het behalen van individuele en collectieve voordelen helpen optimaliseren. Dat vormt het fraaie perspectief.
Uiforme identiteiten zoals bij Ahold/Bol.com, Facebook, Amazon, Google, Alibaba en DigiD stutten massale verwerking van persoonsgegevens.
Idem dito voor toepassing van identiteiten in eigen beheer. Uniforme identiteiten zoals bij Ahold/Bol.com, Facebook, Amazon, Google, Alibaba en DigiD stutten massale verwerking van persoonsgegevens. Voor introductie van het alternatief Self-Sovereign Identity (SSI) ontbreken standaardisatie, marktvraag en juridische verankering. Zonder een grondiger economische en juridische uitwerking hiervan blijft SSI als vanuit technologie geëntameerde innovatie net zo’n utopie als pdm op andere gronden.
De politiek moet het maatschappelijke belang van eigen regie erkennen en steunen, als middel om in een big data samenleving het bewustzijn en autonomie te vergroten. Hiermee is ook de democratische samenleving beter af. Eventueel resulteert dit zelfs in minder individuele privacybescherming vanuit sociaal-maatschappelijk oogpunt: het collectief belang van het kennen en sturen van individueel gedrag kan zwaarder wegen dan privacy. Individuen kunnen dit maatschappelijk belang meewegen in besluiten voor datadelen vanuit pdm.
Dissertatie ‘Baas over eigen data’
Dit is het slot van de dissertatie Baas over eigen data – Zelfbeschikking in bescherming van persoonsgegevenss waarmee Peter Olsthoorn in 2021 promoveerde aan de Vrije Universiteit Amsterdam.
Het boek is uitgegeven door Boom. Zie ook een vraaggesprek over het proefschrift..
Verder lezen?
Aanraders van de redactie:
