3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht
Staat privacy hoog op de agenda bij jouw organisatie? Als digitale sector is het verzamelen van data een belangrijk onderdeel van de diensten die we leveren. Nieuwe technologieën maken het steeds makkelijker om gegevens op te slaan en te delen. Dat is handig, maar het brengt ook privacy gevaren met zich mee. Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou te helpen beter inzicht te krijgen in de privacy risico’s die je loopt.
Mythe 1 – We verzamelen geen persoonlijke gegevens
Herken je deze situatie? Je rijdt een parkeergarage in en bij binnenkomst scannen ze je kenteken. Wanneer je vervolgens betaalt, zie je op jouw persoonlijke kaartje je kenteken staan. En als je wegrijdt gaan de slagbomen direct open, omdat het systeem je auto herkent. Heeft het bedrijf dat verantwoordelijk is voor het onderhoud van de parkeerplaats gelijk als het beweert geen persoonlijke gegevens te verzamelen?
Volgens de Algemene Verordening Gegevensbescherming (ook wel AVG genoemd, de Europese ‘privacywet’) zijn kentekenplaten wel persoonsgegevens. Artikel 4 van deze wet zegt namelijk het volgende:
‘Persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Dat geldt dus niet alleen voor kentekens, maar ook voor IP-adressen, telefoonnummers, cookies, de MAC-adressen die worden verzonden via Bluetooth of WiFi, enz.
Helaas zijn veel organisaties zich vaak niet bewust van deze brede definitie van wat persoonlijke gegevens zijn. Ze denken daarom dat ze helemaal geen persoonlijke gegevens verzamelen. Wat hen betreft verzamelen ze slechts enkele oninteressante, willekeurig ogende identificatiegegevens. Maar hiermee vallen ze dus wel onder de AVG en verzamelen ze wél persoonlijke gegevens.
Mythe 2 – Je hebt toch geen privacy, accepteer het
De opkomst van computers en digitale netwerken heeft onze privacy ingrijpend veranderd. Computers vereenvoudigen het opslaan en opzoeken van informatie, terwijl netwerken gegevens combineren en toegankelijk maken. Sociale netwerken en “web 2.0” laten gebruikers ook content genereren.
Maar de verandering is niet beperkt gebleven tot de gegevens die we vrijwillig met de wereld delen. Veel schadelijker is het gebruik van geobserveerde gegevens die in het geheim kunnen worden verzameld. Dit komt omdat veel van de technologie die we gebruiken ‘lekkend’ ontworpen is. Computers, en in het bijzonder de smartphones met hun sensoren die we bijna altijd bij ons dragen, verzamelen automatisch enorme hoeveelheden gedetailleerde informatie over hoe we ze gebruiken: waar we zijn, wat we lezen, welke websites we hebben bezocht, enz. Op basis van al deze verschillende gegevensbronnen kan gedetailleerde informatie over onze gezondheid, onze rijkdom, onze overtuigingen en onze voorkeuren worden afgeleid.
Betekent dat dan dat we simpelweg moeten accepteren dat we geen privacy hebben wanneer we digitale technologie gebruiken? Nee! Het betekent dat we bewust kunnen kiezen om technologie te gebruiken die onze privacy wel waarborgt. Technologie kan ook worden gebruikt om de privacy te beschermen, via een proces dat we privacy by design noemen.
Privacy by design is een technische benadering die in de jaren negentig door Ann Cavoukian werd gepopulariseerd. Het essentiële idee is dat privacy vanaf het allereerste begin en vervolgens gedurende de hele levenscyclus van een systeem als een ontwerpvereiste moet worden beschouwd.
Mythe 3 – Ik heb niets te verbergen
Dit is één van de hardnekkigste mythes als het aankomt op privacy. Maar laten we, voor we op de mythe ingaan, eerst eens kijken wat ‘verbergen’ precies is. Verbergen is natuurlijk en hoort bij het mens zijn. In feite is het onmogelijk, zelfs onvermijdelijk, om onze gedachten niet te verbergen. Misschien is het verbergen van dingen de standaard menselijke conditie en is het delen de keuze (in plaats van andersom).
Als het mogelijk was om volledig transparant te zijn in onze gedachten en gevoelens, en dat in feite de standaard zou zijn, zou het resultaat verwoestend zijn. Stel je bijvoorbeeld voor dat je een fatsoenlijke baan hebt, maar dat elke keer dat je overweegt om elders te solliciteren, je baas dit meteen in je hoofd leest. Af en toe twijfelen mensen aan hun relatie met hun vrienden of partner. Dit is volkomen normaal. Maar stel je het gevoel van onzekerheid voor dat je zou ervaren als je je onmiddellijk bewust zou zijn van zelfs de geringste twijfel die je partner voelt.
Een andere vraag is wat moet wel en wat niet verborgen worden? De mythe gaat ervan uit dat deze vraag gemakkelijk beantwoord kan worden: ofwel “je hebt iets gedaan wat je in de eerste plaats niet had moeten doen”, ofwel er is eigenlijk niets om je zorgen over te maken. In de praktijk is dit helemaal niet duidelijk. Wat er mis is of niet, hangt sterk af van de context en interpretatie: is iets dat je hebt gedaan illegaal of moreel verkeerd? In welk rechtsgebied, of welke culturele context? Is homoseksueel zijn verkeerd? Volgens sommige culturen wel. Is wiet roken verkeerd? In bepaalde landen is het illegaal. Naar alle waarschijnlijkheid hebben we allemaal op een bepaald moment in ons leven iets verkeerd gedaan, volgens een of andere ‘definitie’ van verkeerd.
Bovendien kan elk afzonderlijk stukje informatie over een individu onbeduidend en onschadelijk lijken. Al deze kleine stukjes informatie kunnen echter worden gecombineerd tot één veelzeggend profiel dat kan worden gebruikt om personen te classificeren en te beoordelen. Het is onmogelijk om te zeggen of dit gebeurt en welke kleine stukjes informatie worden gebruikt wanneer dit gebeurt. Met andere woorden: als je zegt ‘je hebt niets te verbergen’ negeer je volledig de machtsongelijkheid tussen de regeringen en grote bedrijven die de informatie verzamelen, en de individuen waarop deze betrekking hebben (en die de gevolgen zullen ondervinden).
Deze drie mythes zijn onderdeel van het boek ‘Privacy Is Hard and Seven Other Myths’ van Jaap-Henk Hoepman. Jaap-Henk is als Universitair Hoofddocent verbonden aan de Digital Security groep van de Radboud Universiteit Nijmegen en gaf op 15 november 2023 een masterclass bij ons op kantoor.