De grootse angsthazen hebben de meeste camera's rondom hun huis; what about my privacy?

Ik voel me soms meer bekeken door al die camera’s bij woningen van mensen die bang zijn voor anderen dan via digitale kanalen.

'Het is niet te laat om anders over privacy te denken'

Radboud Recharge 1 oktober 2021

Er gaat geen dag voorbij dat je niet grote hoeveelheden persoonlijke data deelt met grote organisaties. Niet alleen als je online actief bent, maar ook in de echte wereld: tijdens het parkeren, reserveren bij een restaurant, reizen met het openbaar vervoer, of afrekenen (met of zonder een bonuskaart) in de supermarkt. Een deel van die informatie verstrekken we onbewust, maar voor een groot deel lijken we het simpelweg te hebben geaccepteerd. Dat terwijl een privacyvriendelijke oplossing vaak binnen handbereik ligt, betoogt universitair hoofddocent Jaap-Henk Hoepman in zijn nieuwste boek.

Hoeveel persoonlijke data verzamelen websites nou echt? Wat hebben we nou eigenlijk te verbergen? En als gemak de mens dient, moeten we dan accepteren dat niet al onze gegevens altijd afgeschermd kunnen zijn? In ‘Privacy is Hard, and Seven Other Myths. Achieving Privacy Through Careful Design’ gaat Hoepman in op de mythes rondom privacy, want daarvan zijn er inmiddels aardig wat de wereld in geholpen

Hoepman: ‘Er is tegenwoordig ongelofelijk veel belangstelling voor privacyrisico’s. Sinds de onthullingen van Snowden in 2013 en het Cambridge Analytica-schandaal nam de aandacht al fors toe, maar doordat we in het afgelopen coronajaar nog meer online zijn gaan doen, is er nog een schepje bovenop gekomen.’

‘Maar hoewel we er graag over klagen, hoor je zelden iemand over oplossingen. Daardoor ontstaat een dystopisch beeld, het is allemaal shit en het is te laat om te veranderen,’ zo hoort Hoepman vaak. ‘Met dit boek wil ik mensen uitleggen hoe al die technologie werkt en wat er anders kan. Net zoals je van een afstandje al vaak prima kunt inschatten hoe snel een fiets of hoe betrouwbaar een brug is, wil ik mensen diezelfde handvatten meegeven voor het herkennen van privacyrisico’s.’ Om je op gang te helpen, ontkracht Hoepman bij deze alvast enkele mythes.

‘Ik heb toch niets te verbergen’

‘Natuurlijk heb je wel iets te verbergen, anders is er geen verschil tussen jou en de wereld om je heen. Er zijn genoeg zaken de je onder eigen controle wil houden. Mijn geaardheid gaat niemand iets aan, en als ik naar een nieuwe baan zoek hoeven mijn baas of mijn collega’s dat ook niet meteen te weten.’ Bovendien kan ogenschijnlijk onbelangrijke persoonlijke informatie van verschillende bronnen gebundeld worden door algoritmes, waardoor een organisatie een compleet profiel van je kan schetsen

‘Privacy is niet alleen een individueel belang maar ook essentieel voor de maatschappij in haar geheel: zonder privacy geen democratie.Denk aan de mogelijkheid van bepaalde groepen om veilig te kunnen vergaderen zoals bijvoorbeeld de LHBTIQ+-beweging, of vroeger de zwarte burgerrechtenbeweging: die moeten onderling kunnen praten, zonder direct in de vuurlinie te komen staan. Dat brengt in sommige landen nog steeds risico’s met zich mee, en in zulke gevallen is privacy letterlijk van levensbelang.’

Zijn privacyvriendelijke oplossingen niet heel complex?

‘Nee hoor, we zijn gewoon te veel gewend geraakt aan onze huidige oplossingen. Dat noem ik technologisch determinisme: de gedachte dat het internet nu eenmaal deze kant op is gegroeid, dus zo moet het voor altijd werken. Maar het internet is iets dat wij als samenleving gezamenlijk ontwikkelen, en dat kan ook de andere kant op groeien.’

‘Neem een bezoek aan een druk restaurant. Zijn er geen tafels vrij, dan worden je naam, telefoonnummer en het tijdstip genoteerd, zodat je een seintje krijgt als er een tafel vrij is. Bijkomend voordeel voor de restauranteigenaar: die kan aan de hand van deze gegevens na afloop achterhalen welke dagen, welke momenten van het jaar het drukst zijn, en zorgen dat er op zulke momenten meer personeel aanwezig is. Klinkt allemaal handig, maar zo ontstaat er dus wel een hele database waar ook allerlei persoonlijke gegevens van jou en mij in staan.

‘Maar er is ook een andere, veel simpelere oplossing: een genummerde wachtlijst. Het restaurant noteert de groepsgrootte, en geeft de groep een nummertje. Zodra er genoeg ruimte vrij is, mag de groep met dat nummer aanschuiven. Het restaurant kan nog steeds de piekmomenten analyseren, maar hoeft zich geen zorgen te maken over het opslaan en verzamelen van persoonlijke gegevens. Vergelijkbare oplossingen kun je voor tal van situaties bedenken, zowel online als offline. Je moet er alleen wel voor openstaan.’

Waarom moet ik dit allemaal zelf doen?

‘Het is inderdaad te veel werk en gedoe, dat is eigenlijk de kern van het probleem. Daarom moet je de verantwoordelijkheid ook niet bij het individu leggen, zoals nu gebeurt. Vergelijk privacy bijvoorbeeld met het milieu. Ieder van ons kan wel een klein steentje bijdragen, en dat zou zeker helpen, maar we staan individeel machteloos als de grote vervuilers niet ook aan banden worden gelegd. Bijvoorbeeld door wet- en regelgeving, maar ook door technische innovaties die het milieu beschermen, of stimulering van milieuvriendelijke alternatieven. Dat model, daar moeten we ook naartoe voor de digitale diensten die we gerbuiken. Als individu heb je niet genoeg kennis en niet genoeg middelen om daar goed in te kunnen handelen, maar organisaties leggen het wel vaak bij ons neer. Dat moet anders.’

‘De praktijk laat zien dat overheden daarin een belangrijke rol kunnen spelen. Kijk bijvoorbeeld naar de AVG. Dat is Europese wetgeving, met wereldwijde gevolgen. Bedrijven nemen doorgaans namelijk meestal niet de moeite om aparte systemen voor elke regio te bouwen. Het systeem convergeert naar de scherpste norm, als iemand maar de eerste is die de boel onder druk durft te zetten. Ik ben gematigd optimistisch dat dat voor grote stappen kan zorgen in de komende jaren. Zeker als die bescherming niet alleen juridisch, maar ook technisch van aard is.’

Wat voor ontwikkelingen zijn er mogelijk?

‘Het probleem van bijna elk systeem online is dat je je moet aanmelden. Overal zijn accounts voor. Dat is eigenlijk heel raar. Als ik naar een concert of naar de film wil, dan kan ik aan de kassa een kaartje kopen zonder ook maar enige persoonlijke informatie te delen. Of, nog simpeler: de voordeur van mijn huis is afgesloten, beschermd en veilig, en kan alleen geopend worden met mijn eigen, unieke sleutel.’

‘Daarom ben ik best wel trots op het onderzoek dat we bij iHub aan de Radboud Universiteit doen. Een heel mooi voorbeeld is IRMA, dat hier begonnen is maar nu onafhankelijk doorontwikkeld wordt. Het is een alternatief inlogsysteem waarmee je zelf bepaalt welke attributen je wanneer deelt met een instantie. Met IRMA bewaar je je attributen secuur op je eigen telefoon, en verstrek je alleen relevante informatie aan organisaties op het moment dat die informatie echt nodig is.  Als je bijvoorbeeld ergens in moet loggen om te bewijzen dat je ouder dan 16 bent, hoef je via IRMA niet je hele geboortedatum te delen maar alleen het losstaande ‘kenmerk’ dat je aan die leeftijdseis voldoet.’

‘Privacy is hard and seven other myths. Achieving privacy through careful design’ is vanaf oktober online en in de boekwinkel verkrijgbaar.