DATA - Het debat over het delen van persoonsgegevens gaat al te vaak over privacy, menen Daniel Kapitan en Egge van der Poel. Volgens de twee docenten/adviseurs moeten we het meer hebben over de maatschappelijke waarde van data delen, over datasolidariteit.
Privacy domineert nog steeds het debat rondom het delen en hergebruik van persoonsgegevens, zoals blijkt uit de discussie rondom het verstrekken van vaccinatiegegevens door het RIVM aan het CBS. Maar privacy is het probleem niet.
Maxim Februari schreef tijdens de eerste lockdown al dat het een ‘gruwelijk misverstand’ is om te denken dat databescherming om privacy van een individu gaat. Het gaat niet om een afweging tussen het private belang van privacy en het maatschappelijke belang van – in het geval van COVID – een draaiende economie en een gezonde bevolking.
Betrouwbaar data (her)gebruiken
Het echte vraagstuk is dat wij als maatschappij zoeken naar een betrouwbare en eerlijke manier om data te gebruiken en hergebruiken als collectief goed. Op Europees niveau wordt gewerkt aan wetgeving die zulk hergebruik van data mogelijk moet maken. Het feit dat de lopende consultatie duizenden pagina’s aan reacties heeft opgeleverd, geeft de complexiteit van het vraagstuk weer. Wel lijkt er consensus te zijn dat geen enkele organisatie, publiek noch privaat, een te grote vinger in de pap zou moeten hebben. Er moet steeds balance of power blijven om misstanden te voorkomen.
Inmiddels zijn er veel initiatieven die dit principe omarmen en experimenteren om tot goede spelregels te komen, zoals bijvoorbeeld MFFBAS voor het delen van energiedata voor het vormgeven en uitvoeren van de energietransitie en de coöperatie DataFryslân voor delen van data in de provincie voor beter beleid en effectievere dienstverlening door Friese maatschappelijke organisaties.
Solidair zijn met delen van data
Het succes van dergelijke samenwerkingsverbanden staat of valt met de vraag hoe solidair we willen zijn met het delen van data. Zijn we echt bereid om onze persoonlijke data te delen, zodat deze gebruikt kunnen worden voor het oplossen van complexe maatschappelijke vraagstukken?
Data worden bruikbaarder door ze te delen en te koppelen aan andere data. Door de gegevens van slimme meterkasten te delen kunnen we ons beter voorbereiden op de energietransitie. Door financiële gegevens te delen kunnen we beter zicht krijgen op frauduleuze en witwaspraktijken. En door vaccinatiegegevens te delen kunnen we beter inzicht krijgen in de groepen die het meest kwetsbaar zijn bij een pandemie.
Blauwdruk voor datasolidariteit
Er is dringend behoefte aan een helder en praktisch uitvoerbaar kader voor datasolidariteit. In een commentaar in The Lancet stellen Prainsack en collega-auteurs een blauwdruk voor die is gebaseerd op drie pilaren 1) faciliteren van goed hergebruik van data; 2) voorkomen en mitigeren van misbruik; en 3) terugvloeien van winsten naar de publieke sector.
De bereidheid om data te delen, de eerste pilaar, wisselt sterk. Bij het gebruiken van diensten van bedrijven als Google, Meta of Microsoft lijken veel mensen het niet zo nauw te nemen met privacy, waarschijnlijk omdat je er meteen iets voor terug krijgt, namelijk gratis toegang tot social media of een e-maildienst.
Als het gaat om initiatieven als hiervoor genoemd verschijnen er ineens meer beren op de weg (misschien omdat je bij het beschikbaar stellen van jouw data voor maatschappelijke problemen er niet meteen iets voor terugkrijgt). Privacy wordt dan meestal (en helaas) als eerste argument opgevoerd om data niet te delen, terwijl dit niet een echte belemmering is.
Er zijn voldoende juridische mogelijkheden om persoonsgegevens te delen en te hergebruiken – via CBS data delen is legaal, wettelijk geregeld. In het geval van de vaccinatiegegevens stelt de Landsadvocaat in een advies dat er zelfs twee juridische redeneringen zijn waarmee het RIVM de data aan het CBS ter beschikking kan stellen, namelijk binnen de wet op het CBS en op basis van de AVG. Na veel vertraging komen de data uiteindelijk dan toch beschikbaar.
Wel is er een gebrek aan bestuurlijke instrumenten om hergebruik van data in goede banen te leiden. De wet- en regelgeving is dusdanig complex dat vaak tegenstrijdige uitspraken worden gedaan door juristen. Om dit probleem te adresseren is recentelijk door de overheid een adviesfunctie verantwoord datagebruik ingericht.
Datamisbruik voorkomen of afzwakken
Voor de tweede pilaar – het voorkomen en matigen van misbruik van data – kunnen en moeten we veel beter gebruik maken van de technologische mogelijkheden om privacy by design te realiseren. We zijn gewend dat data tijdens opslag zijn versleuteld; denk bijvoorbeeld aan encryptie van de harde schijf van de computer. Ook staan wij er niet meer bij stil dat data tijdens transport altijd zijn versleuteld; we werken steeds meer thuis en loggen via een beveiligde verbinding (VPN) in op de online werkomgeving. Een logische vervolgstap is om berekeningen op versleutelde data te doen.
In de praktijk gebeurt dit al met nieuwe privacy enhancing technieken zoals secure multiparty computation (MPC). Hiermee is het mogelijk om berekeningen op data uit te voeren zonder dat je de data kunt inzien. Binnen Europa zijn inmiddels voorbeelden waar MPC wordt toegepast voor het delen van persoonsgegevens en andere gevoelige data, zoals bij het bestrijden van mensenhandel.
Hoe gaan we datasolidariteit vormgeven?
De juridische grondslagen en technologische mogelijkheden vormen dus geen grote uitdagingen. De echte uitdaging is hoe we als samenleving datasolidariteit gaan vormgeven, met name ook hoe we een balans tussen commerciële activiteiten en publiek gefinancierde activiteiten kunnen vinden (de derde pilaar) en hoe we waarborgen kunnen creëren om onbedoelde effecten zoals discriminatie tegen te gaan.
Neem bijvoorbeeld de duizenden MRI-foto’s die ziekenhuizen maken. Als een bedrijf deze data wil gebruiken voor het ontwikkelen van algoritmes, dan zouden winsten daarvan terug moeten vloeien naar het zorgstelsel. Dit gebeurt nu niet of nauwelijks. De kosten voor het aanleggen van hoogwaardige datasets worden collectief gedragen, terwijl de winsten voor commerciële bedrijven zijn. Dat het ook anders kan laat Barcelona zien.
De drie pilaren van datasolidariteit vereisen dat we het debat over het delen van persoonsgegevens niet meer laten kapen door discussies over privacy. In plaats daarvan moeten we de dialoog aangaan over de waarde van het delen van data voor het oplossen van maatschappelijke vraagstukken en de randvoorwaarden die daarvoor vervuld moeten worden.
Afweging tussen risico en maatschappelijke waarde
Hier is een helder en verbindend verhaal nodig, waar in begrijpelijke taal technische mogelijkheden en gezamenlijke belangen worden verenigd. Waar een afweging tussen risico en maatschappelijke waarde wordt gemaakt. Extra toezicht, zoals het voorstel om de rol van algoritmewaakhond bij de Autoriteit Persoonsgegevens (AP) te beleggen, gaat daarbij niet helpen. De AP is vooral gericht op bescherming van persoonsgegevens (de eerste pilaar), waarmee het belang en inhoud van de andere twee pilaren onder druk komt te staan.
Wat wel werkt is dat organisaties in het maatschappelijk middenveld, zoals bijvoorbeeld Dutch Hospital Data en Health-RI, die in de zorg data verzamelen en beheren voor zoveel mogelijk hergebruik, hun rol pakken om op een organische en decentrale manier invulling te geven aan datasolidariteit. Wij roepen hen op om een coalitie te vormen met partijen die investeren in privacy enhancing technieken om de patstellingen te doorbreken die nu vaak ontstaan rond data delen voor maatschappelijke vraagstukken.
Dit artikel verscheen eerder bij Sociale Vraagstukken. Daniel Kapitan is adviseur, datawetenschapper en docent aan de TU Eindhoven. Egge van der Poel is adviseur en als docent verbonden aan de TIAS Business School. Hij is auteur van het boek Geheelmeesters, 2022.
Reacties (4)
Mooi theoretisch artikel. Zoals de schrijver zelf al aangeeft zit de huidige wereld niet zo in elkaar op dit moment.
De zin: “De drie pilaren van datasolidariteit vereisen dat we het debat over het delen van persoonsgegevens niet meer laten kapen door discussies over privacy. ” slaat dus nergens op.
Het is niet de privacy die het debat kaapt. Het is het ontbreken van fatsoen, ethiek in combinatie met hebzucht, gewetenloosheid en macht die de discussie kaapt.
De uitgangspositie is momenteel verrot, alle data wordt misbruikt waar we bij staan. Telkens mooie verhalen over een betere wereld met betere zorg en leven. In de realiteit blijkt dat data elke keer weer misbruikt wordt, de verbetering er alleen voor de enkeling komt die het kan betalen of simpelweg voor winstmaximalisatie.
Pak dat eerst aan, daar hoeft geen privacy voor opgegeven te worden. Maak dus alstublieft niet de voorvechters van privacy de zondebok.
Het grootste probleem is dat men het er uberhoudt niet over eens kan worden wat een inbreuk op privacy nu eigenlijk is.
Bedrijven als google e.d. werken doorgaans onder de aanname dat alles moet mogen, mits er maar voldoende encryptie en MPC technieken tegenaan wordt gegooid. Het feit dat de analyse op zich al als een inbreuk op privacy kan worden gezien, of dat het wordt gebruikt voor twijfelachtige doeleinde boeit voor dat soort bedrijven niet.
En dan heb je groepen die de andere kant op doorslaan en niet snappen dat een “zinnige” analyses/model, altijd bepaalde gegevens publiek zal maken, anders is het namelijk geen nuttig model. En zij focussen zich dus vooral op theoretische inbreuken op privacy die in de praktijk eigenlijk weinig betekenisvol zijn.
Beide kanten zijn weinig productief.
“Bedrijven als google e.d. werken doorgaans onder de aanname dat alles moet mogen”. Daar zeg je het zelf. Aanname… gedaan door die bedrijven. NIET door de gebruiker wiens privacy geschonden wordt.
“Het grootste probleem is niet dat men het niet eens kan worden wat een inbreuk op privacy nu eigenlijk is.” Dat weet men donders goed. Men interesseert het echter niet omdat winstmaximalisatie en aandeelhouders waarde belangrijker zijn. En door keer op keer de rand op te zoeken zonder eerst te zorgen dat de spelregels helder zijn, geeft aan dat ze het wel weten maar er geen zak om geven. Geld, hebzucht en macht. Daar gaat het om.
Op welke planeet leeft deze schrijver? Dit is volledig losgeslagen van de realiteit.
Brussel gebruikt namelijk hetzelfde argument om via de EHDS al onze medische- en gezondheidsgegevens te gaan ontsluiten via een grote centrale hub die ze zelf beheren. De staat mag (op aangeven van de Europese Commissie) gaan vaststellen welke gegevens er uit ieders medisch dossier kunnen worden opgehaald. Verplichte ‘solidariteit’ dus.
Dit leest als een idealistisch pleidooi, maar ondermijnt de autonomie van iedere burger. Een betoog tegen de EHDS was hier meer op zijn plaats geweest.