Heeft alleen aanpak dataverzameling zin, of ook beperking van gebruik?

Juristen sterk verdeeld over datagraaien

Totaal verbieden, volledig laten gaan of vertrouwen op huidige wetten en voorstellen? Over drie manieren om datagraaien door bedrijven, overheden en hun inlichtingendiensten kruisten internationale experts in De Rode Hoed in Amsterdam de degens.

Op de donderdag van het driedaagse internationale congres InformationInflux bij het zilveren jubileum van het Ivir (Instituut voor Informatierecht) was in de ochtend de dataverzameling en –inzet door bedrijven onderwerp van debat. ’s Middags stond de overheid centraal. Beide keren een panel met vermaarde experts, maar slechts enkele tientallen toehoorders, die wel ter zake kundig bijdroegen.
Media-expert professor Joseph Turow van de University of Pennsylvania legde het verband tussen dataverzameling door overheid en bedrijven: “Het is storytelling over mensen, gebaseerd op big data.” Oftewel: Met data bouwen bedrijven en overheden aan ons verhaal. Of er bij Turow ironie of cynisme in het spel was, werd niet helemaal duidelijk.
Turow ontpopte zich, steeds mild glimlachend, als de ironische realist: “In Europa maakt met men graag veel regels, maar bekommert zich er niet meer zo om als ze er eenmaal zijn.”
Als voorbeeld noemde hij de pogingen om cookiegebruik te beperken. Dat resulteerde louter in het noodzakelijk wegklikken van talloze mededelingen over cookies op Europese sites, ook door Amerikanen.

Cookies verbannen?

“Ik zie geen verschil tussen first party and third party cookies. Voor gebruikers maakt dat niet uit.” Daarmee verweerde hij zich tegen de debatstelling dat je behavioral targeting en samenhangende dataverzameling (cookiegebruik) domweg moet verbieden, om te beginnen voor overheden en publieke organisaties zoals omroepen. Die stelling poneerde Ivir-onderzoeker  Frederik Borgesius.Volgens hem werkt de huidige wet niet. Zo sorteert de eis voor websites en apps om eerst toestemming aan gebruikers te vragen voor datavergaring met cookies nauwelijks effect.
Volgens Turow delen gebruikers zelf tonnen data op sociale media en via zoekdiensten als grondstof om ‘het verhaal over zichzelf’ te vertellen. “Mensen moeten zichzelf beperken als ze niet willen dat er onwenselijke verhalen over hen worden geformeerd uit data. Je kunt hooguit reguleren dat de afzender van advertenties en dataverzameling transparant is. En wellicht gebruik van bepaalde gevoelige data, zoals over seksuele geaardheid, beperken.”

Ook Tal Zarsky van de Universiteit van Haifa, bekend van publicaties over effecten van grenzeloos datagraaien, ziet dat persoonlijke verkoop van ziel en zaligheid de harde realiteit is. Als bedrijven geen data meer mogen vergaren met cookies dan zet je ze op achterstand van de grote jongens als Google en Facebook, die data in de schoot geworpen krijgen.
Verplicht vragen van toestemming door bedrijven als kern van Europese regelgeving vindt hij onzinnig. Dat werkt immers in de praktijk niet. “Met de wettelijke eis van toestemming door gebruikers voor behavioral targeting wordt een illusie geschapen van controle. Dit gaat over risicomanagement door individuen; ze wegen de voor- en nadelen af.”
Zarsky had al aangekondigd graag ongemakkelijke standpunten te poneren. Hij kraakte al het onvermogen om vanuit het begrip ‘privacy’ iets aan de problemen met datamisbruik te doen. “Ik  constateer een academisch bankroet van privacy.”

Nederlands optimisme

Om die reden ziet Tarsky niets in de nieuwe Europese privacyverordening die met veel wijzigingen in maart 2014 door het Europarlement kwam. Hij stond daarmee lijnrecht tegenover zijn buurvrouw in het Amsterdamse debat, professor Mireille Hildebrandt van de Radboud Universiteit en adviseur van de EU inzake dataprotectie.
Zij verwacht van de nieuwe wetgeving een fundamenteel betere bescherming van Europese burgers. ‘Dataprotectie by design’ zal dankzij de nieuwe regels standaard worden in IT. Echter, daarmee zijn we er volgens haar niet. Burgers moeten veel meer inzicht krijgen in verzameling, analysemethoden en selectiemechanismen.
Ook verdedigde Hildebrandt de wettelijke doelbinding: organisaties mogen data enkel gebruiken voor het doel waarvoor ze zijn verzameld. Dat beperkt ze sterk in gebruik van data.
Hier botsen Amerikaanse en Europese opvattingen. Amerikanen geloven er weinig van dat je die regel goed kunt en moet willen handhaven. Temeer daar de Amerikaanse vrijheid van meningsuiting weinig beperkingen van gebruik van data toestaat. Volgens debatleider Chris Jay Hoofnagle, vermaard onderzoeker van Berkeley, sorteert de beperking van datagebruik in de VS dus voornamelijk effect als die is gericht op verzameling van data en niet op gebruik ervan. Commercieel datagebruik valt ook onder vrije meningsuiting, tot misnoegen van Europese privacyexperts.
Hildebrandt was echter zeer optimistisch over wettelijke effecten van de nieuwe Europese verordening: “We gaan de Verenigde Staten redden met deze wetgeving. Ook al werpen jullie het eerste grondrecht als barrière op.”

Facebook beïnvloeding

Hoofnagle vindt behavioral targeting in online reclame niet zo rampzalig en suggereerde een liberale houding. Hij denkt ook mild over de wetenschappelijke testen van Facebook waarover zoveel ophef ontstond, omdat gemoedstoestanden van gebruikers werden beïnvloedt: “De teweeggebrachte afwijking van gedrag was zeer beperkt. En we proberen elkaar in de samenleving altijd te overtuigen. Dus doen marketeers dat ook, met traditionele reclame en nu met behulp van data. Moeten we ons daar zo druk over maken?”
Jazeker, vond een aantal deskundigen in de zaal. Ze gebruikten de term nudge economy, tersluikse beïnvloeding om gewenst gedrag te entameren, in positieve zin. Daarheen tendeert het internet met zijn ‘sociale media’ meer en meer.
Volgens Turow zie je het effect in de journalistiek. Selectie van onderwerpen en koppen van artikelen zijn gericht op maximale reclame-inkomsten. “Bij een positieve kop wordt meer op reclame geklikt. Dat is ook de achtergrond van het experiment van Facebook; ze zijn op zoek naar de selectie van berichten in Timelines die de meeste reclame-inkomsten genereren.”

Intellectuele privacy

Dat gevaar werd beaamd door professor Neil Richards van Washington University. Meer en meer wordt informatie over onze zoektochten bij Google en elders verzameld om ons te sturen richting commercieel wenselijke keuzes die we anders niet zouden maken. “Dat is funest voor onze vrijheid van denken en voor de democratie.”
Richards noemt dit aantasting van de ‘intellectuele privacy’. Als het aan hem ligt komt er een verbod op dataverzameling. Volgens de privacyjurist moet je je eerst principieel afvragen wat we aan al die dataverzameling hebben: “Ooit gebruikten we internet anoniem en zonder enige verzameling van gebruiksdata. Dat was genoeg. Waar zijn de menselijke waarden gebleven?”
Met andere woorden: hou liever helemaal op met datagraaien en ga weer ‘normaal’ communiceren zonder dat je je voortdurend bespied weet door bedrijven en overheden.
Hij vindt het onjuist om behavorial targeting als apart technisch fenomeen te zien. “We moeten oppassen om het met allerhande juridische taal in detail te gaan beschouwen, want je krijgt haarkloverij waar bedrijven in de praktijk gehakt van maken.”
Immers, terwijl we debatteren over ongewenste dataverzameling en jaren werken aan nieuwe regels, wordt in een garage in Silicon Valley een volgende uitvinding gedaan waar we de commerciële effecten niet van kennen.

NSA nauwelijks te stoppen

Richards’ publiceerde kritisch over de NSA. Hij verwacht verzet: meer Sousveillance, de inlichtingendiensten in de gaten gaan houden bij hun activiteiten, oftewel ‘watching the watchers’.
Hij had ook kunnen deelnemen aan het middagdebat in De Rode Hoed over overheden en datavergaring voor opsporing en spionage. Anders dan in de ochtend was er veel minder meningsverschil over de begrenzing van het  vergaren en inzetten van data voor inlichtingenwerk en opsporing. De experts waren het eens over het probleem en over de gebrekkige mogelijkheden voor een oplossing. We hebben te weinig inzicht en wetgeving is versnipperd, zowel over vele gebieden als grensoverschrijdend. En het is twijfelachtig of je de gaten op bevredigende wijze kunt dichten.
“Het begint er al met de term ‘security’, die allerlei valkuilen heeft. Eigenlijk willen we geen veiligheid, maar een ‘te tolereren staat van onveiligheid’ En wat willen we opgeven voor veiligheid? Hoe ver mogen de NSA en andere diensten als de AIVD dan gaan?”
Daarmee sloot de Delftse hoogleraar Michel van Eeten aan op een vergelijking van Deirdre Mulligan, bekend onderzoeker van instituut Berkeley van de Universiteit van California.
Ze vergeleek het veiligheidsprobleem met de zorg: “We proberen het individu en de samenleving als geheel gezonder te maken, maar dat doen we traditioneel vooral door ongezondheid zijn te bestrijden.
We proberen processen te verbeteren met onder meer wetgeving en opsporing, maar er is geen bewijs dat de veiligheid verbetert. Steeds weer openbaren zich kwetsbaarheden waar boeven en NSA´s gebruik van kunnen maken.”
Net als met gezondheid is preventie belangrijk.  Net zozeer als mensen calculeren wat ze aan genot moeten laten om gezonder te worden, wegen ze af welke gemak en efficiency ze bereid zijn te offeren voor veiligheid. Die opoffering is beperkt. Mensen vertrouwen liever hun voedsel en hun internetverbinding dan dat ze zich beperking in eten en internetten laten opleggen.
“Je kunt niet online gaan zonder een zeker vertrouwen, maar ook niet zonder risico. Zodra je verbinding maakt, begint de onveiligheid. Als Snowden iets heeft aangetoond, is het vooral de technische onveiligheid die een rem zet op vertrouwen.”

Veel wetten en mazen

Met Mulligan en Van Eeten twijfelden anderen aan het effect van weer nieuwe regelgeving, van bijvoorbeeld de EU met een serie wetsvoorstellen voor bescherming van burgers tegen datagraaien en andere online excessen.
Volgens professor Ian Brown van het Oxford Internet Institute vertonen de vier gebieden met beperkende regels weinig samenhang:

1. De wetgeving voor spionage en opsporing kent altijd een inherent belangenconflict tussen de noodzaak voor toegang tot data en bescherming van privacy. “Grote concerns als AT&T en Verizon kiezen de kant van de staat en inlichtingendiensten want ze moeten de overheid te vriend houden voor gunstige regulering voor hun zaken.”

2. Telecomwetgeving volstaat evenmin. “Dit terrein van regelgeving wordt gedomineerd door technocratisch optreden. Vanuit de expertise over technologie is het vooral gericht op het bereiken van eerlijke concurrentie. Beveiliging net netwerken is eigenlijk geen onderdeel geworden.”

3. De internetregulering vanuit de standaardisatieclub IETF en telecomclub ETSI is “vooral technologisch overleg, gericht op consensus en compromissen” noodzaak. De regels zijn niet genoeg om iets te betekenen op het gebied van onderschepping van data.”

4. Dataprotectie door privacyorganen, zoals WP29 in Brussel en het CBP, is sterk juridisch georiënteerd en heeft lange tijd gebrek aan technische kennis gehad. Dit verbetert nu wel, maar ze kunnen te weinig uitrichten.
Om het datagraaien door overheden in te dammen, heb je alle vier de terreinen nodig, bij voorkeur in samenhang. Maar het is verdomd moeilijk om dat te bereiken, aldus Brown. En zou het wel lukken, dan is dat nog geen garantie dat je een NSA kunt weerhouden van ongelimiteerd aftappen. Professor Egbert Dommering opperde vanuit de zaal dat er ook nog zoiets als de Grondwet is, maar ook die wordt volgens Brown makkelijk met voeten getreden als het zo uitkomt.

Software is ongrijpbaar

Volgens vermaard onderzoeker Ashkan Soltani - die zondag nog opzien baarde met een zeer boeiende publicatie over de doelen van de NSA - schiet al deze wetgeving vrijwel per definitie tekort als het om software gaat. “Veel software valt buiten de jurisdictie, en is ook nog eens gedistribueerd beschikbaar over de hele wereld.”
Hij maakte gehakt van het argument van de NSA en GCHQ dat het ongebreideld verzamelen van data geen inbreuk op privacy maakt, zolang de data ongebruikt blijven. “ Dat zou ook betekenen dat het downloaden van 10 gigabyte aan data van Pirate Bay niet strafbaar is, tot ze kunnen aantonen dat ik een film werkelijke afspeel.”
Chris Hoofnagle vanuit de zaal: “Of dat het stelen van bedrijfsgeheimen eigenlijk geen diefstal is zolang niet is bewezen dat de concurrent die data niet gebruikt voor concurrentievoordeel.”
Soltani toonde aan hoe inherent onveilig ons internetten is. Volgens debatleider Axel Arnbak van Ivir moet je voor afdoende bescherming dus op de eerste plaats inzetten op technologie. Maar de verbreiding van nieuwe software voor veiliger internetten, bijvoorbeeld van DNSSEC door internetaanbieders, verloopt traag. Of is voor gebruikers te moeilijk, zoals encryptie.
Alle sprekers benadrukten dat ‘Snowden’ leidde tot veel meer aandacht voor veiligheid.Maar uit de debatten bleek ook dat het gevoel van machteloosheid om bedrijven en overheden te beperken in hun vergaring en gebruik van data nog altijd aanzienlijk is.

 

Gepubliceerd

13 jul 2014

Wat is jouw mening?

 
De aanmelding is succesvol afgerond.

Je ontvangt een e-mailbericht met instructies om je registratie te bevestigen. Zonder de bevestiging wordt je registratie niet verwerkt.

Nieuwsbrief ontvangen?

Ja, stuur mij de nieuwsbrief. We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen.

 
Netkwesties © 1999/2016. Alle rechten voorbehouden. Privacyverklaring
1
0