Is privacyregulering onmogelijk?

In hoeverre moet en kun je bedrijven en overheden dwingen om verantwoordelijk met privégegevens om te gaan?

Deze vraag hing gisteren lange tijd boven de zaal tijdens het Nationaal Privacy Debat. In een Haagse congreszaal kwamen zo’n beetje de tachtig knapste ICT-koppen van Nederland bij elkaar waardoor het doel van de dag – een nationaal debat – meteen door het ijs zakte. Dat is jammer, want organisator Webwereld had een mooie line up staan. Daarom op Sargasso de komende dagen hopelijk een wat breder debat, met een eigen twist.

Volgens een aantal privacy-activisten is sprake van een dreigende digitale watersnoodramp. Of zoals Brenno de Winter zei: ,,Zelfs met al mijn ervaring kan ik niet meer bepalen of de dijken al zijn doorgebroken.” Kern van zijn betoog is dat de overheid en bedrijven eigenlijk geen grip meer hebben op de datavloed. Er worden teveel persoonsgegevens verzameld, verwerkt, doorverkocht en onopzettelijk kwijtgeraakt. Iedereen met een beetje verstand van ICT ziet met angst en beven de incompetentie aan van politici die datachaos alleen maar vergroten.

Hoe moet je daarmee omgaan? Reguleren is het voor de hand liggende antwoord. Maar hoe doe je dat? Als het om bedrijven gaat, kies je dan voor zelfregulering? Of leg je als overheid strenge regels op? De aanwezige politici pleitten uiteraard voor meer regels en meer geld.

Ik gok dat het antwoord voor veel lezers hier dat van de politici zal benaderen: leg strenge regels op. Maar zo simpel is het niet. Milica Antic van SOLV advocaten pleit bijvoorbeeld voor betere regulering, in plaats van strengere. Ze heeft een punt. Het privacykader dat nu geldt, stamt uit halverwege jaren negentig. De onderliggende principes zijn al in de jaren zestig geformuleerd en in de jaren zeventig voor het eerst voorzichtig gecodificeerd. We werken dus met een raamwerk dat bijna vijftig jaar oud is. Je wint geen wiellerronde met een oude herenfiets.

Ronald Prins, directeur van Fox-IT, ziet het vaak misgaan bij bedrijven en overheden. Het probleem is een gebrek aan een ‘security-cultuur’, zoals je dat wel bijvoorbeeld hebt in de luchtvaart- en olieindustrie. Regulering is alleen erg moeilijk in zo’n dynamische omgeving als ICT. De techniek verandert waar je bij staat en de parameters worden bepaald in Sillicon Valley. Daarnaast is bij ICT-diensten vaak sprake van tweerichtingsverkeer: het gedrag van de klanten is ook belangrijk voor de veiligheid van de techniek. Neem e-bankieren. Als klanten daar slordig mee omgaan, ontstaat mogelijk een privacyprobleem en zeker een securityprobleem. In hoeverre kun je de banken dat aanwrijven? En in hoeverre moet je daar regulering tegenaan gooien?

Een wat opmerkelijke redenering tegen al te veel regulering is het argument van paternalisme. Veel mensen kiezen er zelf voor om hun hebben en houwen online te zetten. Om hun data aan jan en alleman over te dragen. Wie zijn die slimme ICT- en privacy-deskundigen wel om te bepalen wat mensen moeten doen met hun data? Je kunt reguleren wat je wil, maar als mensen zich niet privacybewust gedragen (uit desinteresse of onwetendheid) waar dienen die regels dan voor?

Een analogie naar de milieudiscussie of de discussie over roken ontkracht dit paternalisme-argument. In de jaren zestig en zeventig maalde niemand om het milieu, of was er weinig inzicht bij mensen over de schadelijke gevolgen van roken. Een kleine club, toen als drammerig gezien, heeft die problemen op de kaart gezet. Zijn de privacyvoorvechters van nu dan ook niet een soort avant-garde?

Een ander argument tegen regulering is de gebrekkige naleving van die regels. Wat heb je aan een cookie-verbod als zelfs de politieke partijen dat verbod overtreden (ja wij ook)? De grote afwezige bij het debat was het College Bescherming Persoonsgegevens, dat ironisch genoeg ook afwezig is in het nationale debat. Toch kun je het ze niet helemaal kwalijk nemen. Tachtig medewerkers moeten op de naleving toezien van de Wet bescherming persoonsgegevens en het CBP krijgt er alleen maar meer taken bij. De conclusie moet getrokken worden dat het CBP naleving van de  privacywet helemaal niet kán afdwingen. Je kunt er wel meer geld tegenaan gooien, maar waar leg je de grens? De datavloed is zo groot, dat je het risico loopt een monsterlijke toezichthouder te scheppen.

Zelfregulering dan maar? Misschien, een beetje. Langzaam (toegegeven, heel langzaam) begint er een besef te ontstaan bij bedrijven dat een zorgvuldige omgang met persoonsgegevens en een goede beveiliging ervan op termijn een unique selling point kan zijn. Er is druk vanuit consumenten om met privacyvriendelijke oplossingen te komen, zoals de VRM-beweging. VRM staat voor Vendor Relationship Management. Een interessante ontwikkeling, waarbij klanten veel meer zeggenschap houden over hun eigen data en hun persoonsgegevens gedoseerd en bewust aan bepaalde bedrijven gunnen in ruil voor kortingen, of een goede, nette en transparante omgang met hun gegevens. Door de marktdruk, zo is de verwachting van de meeste experts, zullen de meeste bedrijven wel tot een goed privacybeleid gedwongen worden.

Maar, tot slot, hoe zit dat dan met de overheid? Die is toch monopolist? Ja en dat is een probleem. Veel ambtenaren hebben wel redelijk door wat de beperkingen van data en databases zijn. Hun politieke bazen minder. En dat verander je niet zo snel. Het is toch een kwestie van cultuur: maatschappelijke en individuele maakbaarheid door het gebruik van informatie. Repressie door registratie. Daar valt niet tegenop te reguleren. Of is er wel een oplossing?

Genoeg stof tot discussie lijkt me. Komt u maar.

Foto Flickr cc Sean MacEntee

  1. 1

    We werken dus met een raamwerk dat bijna vijftig jaar oud is. Je wint geen wiellerronde met een oude herenfiets.

    Gooi maar weg, die ouwe meuk. Deregulering.

    Ik geloof helemaal niet in privacy, of de noodzaak daartoe. Het is me ook opgevallen dat hoe jonger de generatie is waarmee je het erover hebt, hoe minder het ze uitmaakt. Niet omdat ze nog te onvolwassen zijn om de consequenties te overzien, maar omdat ze de consequenties overziende hun schouders ophalen.

    Oudere generaties worden al snel wat argwanend omdat ze het “Ausweis, bitte” gevoel erbij krijgen als hun gegevens in cookies opgeslagen worden. Ze gaan er automatisch van uit dat er misbruik gemaakt zal worden van hun verlies aan privacy en het automatisch een verlies aan zelfbeschikking tot gevolg heeft (bijvoorbeeld een kamp, of de arbeitseinsatz), omdat ze dat zelf zo meemaakten, of hun ouders er de hele dag (niet) over hoorden.

    Jongeren hebben helemaal niet te maken met een soldaat die je in blaffend Duits om je identiteit vraagt, maar met een transactie, informatie die je afgeeft in ruil voor een grotere mate van zelfbeschikking.

    Bijvoorbeeld het verdienmodel van Google, of Facebook, of de e-overheid in zijn beste ambities: eerst wordt er gekeken hoe je mensen helemaal gratis het nuttigst denkbare kan geven en daarin doe je je uiterste best. Vervolgens wordt iedereen daar dolgelukkig van en gaat het massaal gebruiken (online visaktes aanvragen, sociaal netwerken, zoeken, tekstverwerking,). Je wordt beloond voor je gedrag. Dan ga je daarna als aanbieder ook kijken of je gegevens die gebruikers op wat voor manier dan ook aanleveren kan kapitaliseren. Met advertenties op hun “eyeballs”, of door hun persoonlijke gegevens te verkopen, of te koppelen aan die van de belastingdienst. Het “verdienmodel” bestaat uit de gegevens die je afgeeft. Zonder de gegevens die achtergelaten worden, kan een bedrijf als Google ook niet al die nuttige gratis diensten leveren.

    Ik denk dat de discussie ook helemaal verkeerd gevoerd wordt, want die slaat een belangrijk eerste stapje over: de kapstok waaraan die privacy gehangen wordt. Voordat je het over privacy kan hebben, moet je kijken wat een “identiteit” eigenlijk is die daar aanspraak op zou kunnen maken. Volgens mij is dat begrip sinds de digitale revolutie nogal op losse schroeven komen te staan.

  2. 3

    Die oude achterhaalde meuk is wel door ervaring ontstaan.
    Door de prachtige bevolkingsregistratie was efficiënte deportatie een makkie.
    Nu weet ik dat ervaring tegenwoordig snel van de hand gewezen wordt als het gezeur van dinosaurussen, totdat die baan niet doorgaat omdat je een paar foto’s in totale dronkenschap hebt geplaatst.
    We hebben hier al vaker over de mogelijke gevolgen gediscussieerd, maar zolang men er nog niet massaal ernstig last van heeft worden we toch niet geloofd.

    Privacy-denken heb ik geleerd te vergelijken met veiligheidsdenken;
    als je niet vanaf het eerste moment hiervan doordrongen bent is het niet goed meer te herstellen.
    Bij veiligheid zijn alle regels en richtlijnen in bloed geschreven, omdat er voor elke regel een paar mensen zijn gestorven.
    We zullen pas gaan beperken en reguleren bij privacy als er massaal protest komt en dat zal pas heel laat in het proces komen.
    Voorlopig zal het verlies van privacy alleen worden ervaren als lastig.

  3. 4

    Dat zal allemaal best wel, maar er is ook een andere kant, ook al door Jabir benoemd. Een efficiënte bevolkingsregistratie biedt ook verdomd grote voordelen, voordelen waar we nu in vredestijd al 60 jaar de vruchten van plekken. Een van de redenen dat Nederland zo’n prettig land is om in te wonen, is juist de efficiënt werkende overheid, werkend met een efficiënte registratie.

    Zo is het met veel zaken waar data wordt gevraagd en gebruikt. Tegenover die data staat vaak ook een voordeel, ook voor de consument. Het mag zo zijn dat de risico’s hiervan onderschat worden, alleen maar over de risico’s praten geeft ook niet een goed beeld van de afwegingen die gemaakt moeten worden.

  4. 5

    maar omdat ze de consequenties overziende hun schouders ophalen.

    Eens in de 100 jaar hebben we een holocaust nodig. Omdat, net zoals bank runs, mensen vergeten dat je sommige dingen moet reguleren. En dat je sommige consequenties niet kunt wegwuiven door je schouders op te halen.

  5. 6

    @Gronk

    Volgens mij zouden we het best zonder holocausten kunnen stellen. Bovendien vraag ik me in alle ernst af of we het aan regulering van wat dan ook te danken hebben, als ze niet plaatsvinden. Ik denk het niet.

  6. 7

    Juist. Privacy gaat mij zeker aan het hart (ik heb er zelfs een boek over geschreven), maar het begint ook wel technofobe trekjes te krijgen. Een van de redenen waarom ik dit stukje heb geschreven, is dat veel regulering ook nadelig kan uitpakken. Neem het cookieverbod. De grote jongens hou je er niet mee tegen. Je maakt het wel lastig voor veel (gratis) online media om het hoofd boven water te houden. Dan schiet regulering zijn doel voorbij.

    Een ander voorbeeld is het zogenoemde recht om vergeten te worden. In eerste instantie zeg ik ja: goed idee. Je moet de mogelijkheid hebben om je data weer ergens weg te halen. Maar, geldt dat dan ook voor de reaguurders van Sargasso? We krijgen af en toe een verzoek van iemand die wil dat zijn comments na zoveel jaar worden verwijderd. Dat doen we niet. Die zijn onderdeel van onze geschiedenis en van het publieke debat.

    Kortom: niet zo simpel dus allemaal.

  7. 8

    Gut, weer een stukje over privacy op Sargasso, dus: Sargasso, wanneer doen jullie eens wat aan die privacyschendende trackers die op jullie site draaien? Of blijven jullie halsstarrig en categorisch hypocriet de andere kant opkijken, onderwijl schande sprekend van al die bedrijven en overheden die de privacy schenden van hun klanten en burgers?

  8. 9

    “Het is me ook opgevallen dat hoe jonger de generatie is waarmee je het erover hebt, hoe minder het ze uitmaakt. Niet omdat ze nog te onvolwassen zijn om de consequenties te overzien, maar omdat ze de consequenties overziende hun schouders ophalen.”

    Ik denk dat het ze minder uitmaakt omdat ze de consequenties nog niet kunnen overzien. Maar al te vaak hoor je inderdaad later iets als:

    “totdat die baan niet doorgaat omdat je een paar foto’s in totale dronkenschap hebt geplaatst.”

    Daar mag ondertussen aan toegevoegd worden: Totdat de deurwaarder tijdens Nederland-Duitsland de TV komt afhalen. Want inderdaad, dat overzie je niet, dat je door al die internetreclames tot aankopen verlokt wordt die je je eigenlijk helemaal niet kunt veroorloven, met als gevolg dat op een gegeven moment de deurwaarder je TV komt ophalen.

  9. 10

    Da’s onderdeel van het probleem: fysici erkennen dat ze ‘schuldig’ waren aan nagasaki. Automatiseerders voelen geen *enkele* verantwoordelijkheid voor de consequenties die voortvloeiden uit de beschikbaarheid van de GBA.

    Verplicht collegeblok ‘ethiek voor automatiseerders’, hard nodig.

  10. 11

    Kortom: niet zo simpel dus allemaal.

    True. Maar dat wil niet zeggen dat mensen maar voor de makkelijkste weg moeten gaan, ‘omdat dat nu eenmaal het makkelijkste automatiseert’.

  11. 12

    Het internet is net een groot strand, waar allerlei duistere figuren proberen om je veel te dure hangmatten aan te smeren en halfbedorven etenswaren te verkopen. Daartussen lopen een stel lui in uniform te niksen, gevangen in de illususie dat ze ook op een (goed betaalde) vakantie zijn en veel te veel stillen, die lopen te spioneren of je geen jointje rookt.

    Als ik wat wil kopen ga ik wel naar de winkel en de echte criminaliteit vindt plaats in de hoerenbuurt, een beetje achteraf,

    maar slechts twee dwarsstraten verwijderd van het strand.

    Als ze die nou eerst eens aanpakken,
    wordt het vanzelf ook gezelliger op het strand.

  12. 13

    “Door de prachtige bevolkingsregistratie was efficiënte deportatie een makkie.”

    Dus het feit dat je tot voor kort nog naar je gemeente van geboorte moest voor het opvragen van een uittreksel van geboorte heeft vooral te maken met het feit dat je dan niet al te snel gedeporteerd wordt als de Duitsers/Russen/moslims/etc. ons (weer) zouden bezetten?

  13. 14

    Ik vrees dat massale goed toegankelijke gegevensopslag privacy heeft opgeheven.
    Ik zie ook niet goed hoe je dat kunt voorkomen.

    In de papieren tijd was er ook geen privacy, maar het kostte erg veel tijd en moeite om die privacy te schenden.

    Het is ook opvallend hoe de naam sofi nummer, sociaal fiscaal nummer, nu in het eufemisme burgerservice nummer is veranderd.
    Wij moeten nu kennelijk denken dat ons nummer dient om ons te bedienen.

    Het tegendeel is natuurlijk waar, Big Brother wordt gediend.