Het debat over het delen van persoonsgegevens gaat al te vaak over privacy, menen Daniel Kapitan en Egge van der Poel. Volgens de twee docenten/adviseurs moeten we het meer hebben over de maatschappelijke waarde van data delen, over datasolidariteit.
Privacy domineert nog steeds het debat rondom het delen en hergebruik van persoonsgegevens, zoals blijkt uit de discussie rondom het verstrekken van vaccinatiegegevens door het RIVM aan het CBS. Maar privacy is het probleem niet.
Maxim Februari schreef tijdens de eerste lockdown al dat het een ‘gruwelijk misverstand’ is om te denken dat databescherming om privacy van een individu gaat. Het gaat niet om een afweging tussen het private belang van privacy en het maatschappelijke belang van – in het geval van COVID – een draaiende economie en een gezonde bevolking.
Betrouwbaar data (her)gebruiken
Het echte vraagstuk is dat wij als maatschappij zoeken naar een betrouwbare en eerlijke manier om data te gebruiken en hergebruiken als collectief goed. Op Europees niveau wordt gewerkt aan wetgeving die zulk hergebruik van data mogelijk moet maken. Het feit dat de lopende consultatie duizenden pagina’s aan reacties heeft opgeleverd, geeft de complexiteit van het vraagstuk weer. Wel lijkt er consensus te zijn dat geen enkele organisatie, publiek noch privaat, een te grote vinger in de pap zou moeten hebben. Er moet steeds balance of power blijven om misstanden te voorkomen.
Inmiddels zijn er veel initiatieven die dit principe omarmen en experimenteren om tot goede spelregels te komen, zoals bijvoorbeeld MFFBAS voor het delen van energiedata voor het vormgeven en uitvoeren van de energietransitie en de coöperatie DataFryslân voor delen van data in de provincie voor beter beleid en effectievere dienstverlening door Friese maatschappelijke organisaties.
Solidair zijn met delen van data
Het succes van dergelijke samenwerkingsverbanden staat of valt met de vraag hoe solidair we willen zijn met het delen van data. Zijn we echt bereid om onze persoonlijke data te delen, zodat deze gebruikt kunnen worden voor het oplossen van complexe maatschappelijke vraagstukken?
Data worden bruikbaarder door ze te delen en te koppelen aan andere data. Door de gegevens van slimme meterkasten te delen kunnen we ons beter voorbereiden op de energietransitie. Door financiële gegevens te delen kunnen we beter zicht krijgen op frauduleuze en witwaspraktijken. En door vaccinatiegegevens te delen kunnen we beter inzicht krijgen in de groepen die het meest kwetsbaar zijn bij een pandemie.
Blauwdruk voor datasolidariteit
Er is dringend behoefte aan een helder en praktisch uitvoerbaar kader voor datasolidariteit. In een commentaar in The Lancet stellen Prainsack en collega-auteurs een blauwdruk voor die is gebaseerd op drie pilaren 1) faciliteren van goed hergebruik van data; 2) voorkomen en mitigeren van misbruik; en 3) terugvloeien van winsten naar de publieke sector.
De bereidheid om data te delen, de eerste pilaar, wisselt sterk. Bij het gebruiken van diensten van bedrijven als Google, Meta of Microsoft lijken veel mensen het niet zo nauw te nemen met privacy, waarschijnlijk omdat je er meteen iets voor terug krijgt, namelijk gratis toegang tot social media of een e-maildienst.
Als het gaat om initiatieven als hiervoor genoemd verschijnen er ineens meer beren op de weg (misschien omdat je bij het beschikbaar stellen van jouw data voor maatschappelijke problemen er niet meteen iets voor terugkrijgt). Privacy wordt dan meestal (en helaas) als eerste argument opgevoerd om data niet te delen, terwijl dit niet een echte belemmering is.
Er zijn voldoende juridische mogelijkheden om persoonsgegevens te delen en te hergebruiken – via CBS data delen is legaal, wettelijk geregeld. In het geval van de vaccinatiegegevens stelt de Landsadvocaat in een advies dat er zelfs twee juridische redeneringen zijn waarmee het RIVM de data aan het CBS ter beschikking kan stellen, namelijk binnen de wet op het CBS en op basis van de AVG. Na veel vertraging komen de data uiteindelijk dan toch beschikbaar.
Wel is er een gebrek aan bestuurlijke instrumenten om hergebruik van data in goede banen te leiden. De wet- en regelgeving is dusdanig complex dat vaak tegenstrijdige uitspraken worden gedaan door juristen. Om dit probleem te adresseren is recentelijk door de overheid een adviesfunctie verantwoord datagebruik ingericht.
Datamisbruik voorkomen of afzwakken
Voor de tweede pilaar – het voorkomen en matigen van misbruik van data – kunnen en moeten we veel beter gebruik maken van de technologische mogelijkheden om privacy by design te realiseren. We zijn gewend dat data tijdens opslag zijn versleuteld; denk bijvoorbeeld aan encryptie van de harde schijf van de computer. Ook staan wij er niet meer bij stil dat data tijdens transport altijd zijn versleuteld; we werken steeds meer thuis en loggen via een beveiligde verbinding (VPN) in op de online werkomgeving. Een logische vervolgstap is om berekeningen op versleutelde data te doen.
In de praktijk gebeurt dit al met nieuwe privacy enhancing technieken zoals secure multiparty computation (MPC). Hiermee is het mogelijk om berekeningen op data uit te voeren zonder dat je de data kunt inzien. Binnen Europa zijn inmiddels voorbeelden waar MPC wordt toegepast voor het delen van persoonsgegevens en andere gevoelige data, zoals bij het bestrijden van mensenhandel.
Hoe gaan we datasolidariteit vormgeven?
De juridische grondslagen en technologische mogelijkheden vormen dus geen grote uitdagingen. De echte uitdaging is hoe we als samenleving datasolidariteit gaan vormgeven, met name ook hoe we een balans tussen commerciële activiteiten en publiek gefinancierde activiteiten kunnen vinden (de derde pilaar) en hoe we waarborgen kunnen creëren om onbedoelde effecten zoals discriminatie tegen te gaan.
Neem bijvoorbeeld de duizenden MRI-foto’s die ziekenhuizen maken. Als een bedrijf deze data wil gebruiken voor het ontwikkelen van algoritmes, dan zouden winsten daarvan terug moeten vloeien naar het zorgstelsel. Dit gebeurt nu niet of nauwelijks. De kosten voor het aanleggen van hoogwaardige datasets worden collectief gedragen, terwijl de winsten voor commerciële bedrijven zijn. Dat het ook anders kan laat Barcelona zien.
De drie pilaren van datasolidariteit vereisen dat we het debat over het delen van persoonsgegevens niet meer laten kapen door discussies over privacy. In plaats daarvan moeten we de dialoog aangaan over de waarde van het delen van data voor het oplossen van maatschappelijke vraagstukken en de randvoorwaarden die daarvoor vervuld moeten worden.
Afweging tussen risico en maatschappelijke waarde
Hier is een helder en verbindend verhaal nodig, waar in begrijpelijke taal technische mogelijkheden en gezamenlijke belangen worden verenigd. Waar een afweging tussen risico en maatschappelijke waarde wordt gemaakt. Extra toezicht, zoals het voorstel om de rol van algoritmewaakhond bij de Autoriteit Persoonsgegevens (AP) te beleggen, gaat daarbij niet helpen. De AP is vooral gericht op bescherming van persoonsgegevens (de eerste pilaar), waarmee het belang en inhoud van de andere twee pilaren onder druk komt te staan.
Wat wel werkt is dat organisaties in het maatschappelijk middenveld, zoals bijvoorbeeld Dutch Hospital Data en Health-RI, die in de zorg data verzamelen en beheren voor zoveel mogelijk hergebruik, hun rol pakken om op een organische en decentrale manier invulling te geven aan datasolidariteit. Wij roepen hen op om een coalitie te vormen met partijen die investeren in privacy enhancing technieken om de patstellingen te doorbreken die nu vaak ontstaan rond data delen voor maatschappelijke vraagstukken.
Dit artikel verscheen eerder bij Sociale Vraagstukken. Daniel Kapitan is adviseur, datawetenschapper en docent aan de TU Eindhoven. Egge van der Poel is adviseur en als docent verbonden aan de TIAS Business School. Hij is auteur van het boek Geheelmeesters, 2022.