Op de Dag van de Privacy, 28 januari, roept de Europese commissie burgers op hun persoonsgegevens goed te beschermen. Maar hoe doe je dat? En waar tegen dan precies? Privacy-onderzoeker Bart Custers geeft tekst en uitleg.
Elk jaar op 28 januari ‘viert’ de Europese Commissie de Dag van de Privacy. Op die datum in 1981 werd het Europese Dataprotectieverdrag getekend. ‘Dat was eigenlijk de eerste set spelregels voor het beschermen van persoonsgegevens,’ legt Bart Custers uit. Hij doet onderzoek naar (online) privacy bij de onderzoeksgroep eLaw van de faculteit Rechtsgeleerdheid. ‘Het verdrag is al opgesteld in het pre-internettijdperk. Het aanleggen van allerlei databases was in opkomst, en de Raad van Europa besloot dat er regels nodig waren hoe met al die gegevens om te gaan.
Spelregels voor persoonsgegevens
‘Het zijn hele basale spelregels,’ zegt Custers. ‘Zo moet je vooraf aan een persoon laten weten voor welk doel je zijn of haar gegevens opslaat. En dat doel mag je niet veranderen, of de gegevens voor iets anders gaan gebruiken.’ Ook mag je niet meer gegevens opslaan dan nodig is voor je doel, moet je de gegevens goed beveiligen en moet je transparant zijn over hoe je met de gegevens omgaat. ‘Op basis van deze set spelregels is in 1995 een Europese richtlijn opgesteld, en daarop is onze Nederlandse wetgeving gebaseerd. Eerst de wet bescherming persoonsgegevens, en sinds mei vorig jaar de nieuwe algemene verordening gegevensbescherming, de AVG.’
Niets nieuws in de AVG
Klinken die spelregels uit het verdrag bekend in de oren? Dat kan kloppen. ‘Het is heel opmerkelijk dat in dat allereerste verdrag eigenlijk niet veel anders staat dan in onze nieuwe AVG. Het verschil is dat in de AVG is vastgelegd dat er flinke boetes staan op het niet houden aan die spelregels.’ Die boetes zijn fors: een bedrijf kan een boete opgelegd krijgen van 2 tot 4% van de wereldwijde omzet. ‘Dat zijn bedragen waar ook de grote multinationals als Google en Facebook bang van worden.’ En dat is goed, volgens Custers. ‘Onze maatschappij en onze bedrijven hebben zich op technologisch gebied enorm ontwikkeld sinds 1981. Hierdoor is het heel veel makkelijker geworden om data te delen. De regel om gegevens niet voor een ander doel te gebruiken is dus snel geschonden.’
Gevoelige informatie voorspellen
Met de enorme hoeveelheden data die er nu zijn én de toegenomen rekenkracht van onze computers, is het inmiddels mogelijk om voorspellingen te doen. Dat noemen we ook wel data science. ‘Facebook en Google doen dat nu al: op basis van hun gegevens kunnen zij voorspellen wat voor persoon jij bent en wat jij leuk vindt.’ Maar het gaat verder zegt Custers, en daarin zit een bedreiging voor de burger. ‘Met al die data kan ook gevoelige informatie voorspeld worden, bijvoorbeeld je religie, seksuele voorkeur of zelfs zaken over je gezondheid. En dan wordt het natuurlijk wel heel belangrijk bij wie die informatie terecht komt. Want dat een arts gezondheidsrisico’s bij jou gaat opsporen heeft misschien een voordeel, maar je wilt niet dat je verzekeraar dat weet.’
Big Brother wordt Kafka
Een andere bedreiging voor onze privacy ziet Custers in het feit dat steeds vaker algoritmen de beslissingen nemen – en dat de menselijke schakel uit het proces verdwijnt. Maar daarmee verdwijnt ook de veiligheidsklep: als een algoritme op basis van fouten of ruis in de data een foute beslissing neemt, kan dat niet aangepast worden. ‘Bijvoorbeeld een snelheidsboete. Dat gaat volledig geautomatiseerd. Maar wat als je nummerbord verkeerd is afgelezen? Dan moet je ergens bezwaar kunnen maken, en moet een mens die fout recht kunnen zetten. Anders krijg je een situatie als in Het Proces, de beroemde roman van Kafka waarin een man onterecht wordt beschuldigd én veroordeeld, terwijl hij niet eens weet waarom.’ Volgens Custers is het karakter van privacy de laatste jaren veranderd. ‘Van Big Brother die alles van je in de gaten houdt, naar Kafka: je wordt geconfronteerd met een beslissing waar je geen enkele invloed op hebt gehad.’
Bron: Universiteit Leiden
