Dinsdag 3 april 2012 werd in 013 in Tilburg officieel het Privacy & Identity Lab PI.lab gepresenteerd, een samenwerking van instituut Tilt van de Universiteit Tilburg, de Radboud Universiteit Nijmegen, TNO en .nl-beheerder SIDN. Het idee is geboren in een onderhoud van Erik Huizer, nog directeur bij TNO, maar vanaf juni terug bij Surfnet, en Bart Jacobs van Radboud. De officiële standplaats is Nijmegen.
SIDN steekt er uit de goed gevulde beurs van de .nl-registraties concreet het meeste nieuwe geld in, tussen de 150.000 tot 200.000 euro per jaar. Daarmee kunnend drie promovendi aan het werk. SIDN vindt het belangrijk bij te dragen aan het opkrikken van het niveau van het netgebruik in Nederland. Privacy en identiteit zijn voorname actuele onderwerpen
Betrokken onderzoekers, zo'n dertig in getal, zeggen toe tenminste één dag in de week te besteden aan de gezamenlijke inspanningen van PI.lab. Nederland doet onderzoek op hoog niveau, standaard Engelstalig en kan met de krachtenbundeling bijdragen aan een nieuwe golf van privacytheorie. Er zijn nieuwe invalshoeken voor onderzoek nodig.
De 'ouderwetse' insteek van privacy is dat er van alles mee mis is. Onderzoek richt zich voornamelijk op het blootleggen van risico's. Elke conclusie gaat (dus) richting 'schending'. Wanneer hoor je eens: 'het gaat wel goed met privacy'? Ik kom daar in komende boekrecensies nog op terug.
Patiëntendossier lekker weg
Neem bijvoorbeeld de laatste golf van privacyonderzoek die Den Haag overspoelde, voor een programma in opdracht van de Wetenschappelijke Raad voor het Regeringsbeleid onder de titel iOverheid. Dit wordt gedomineerd door Tilt en vormt een litanie van kritiek en zorgen met als meest voorkomende conclusie vergaande 'schending' van de privacy.
De hoofdmoot van het onderzoek vormt overigens de aanpak van ICT door de Nederlandse overheid en is gericht op de verbetering daarvan. Dat is geen overbodige luxe gezien het desastreuze verloop van veel overheidsprojecten en de enorme geldverspilling.
Belangrijkste aanbeveling van iOverheid voor privacy is het een plek te geven in het ontwerp van systemen zodat niet op het laatst nog - vooral door politieke lobby's gedreven - reparaties van wetgeving en systemen moeten plaatsgrijpen. Of dat systemen vanwege late eisen helemaal het loodje leggen, zoals het Elektronische Patënten Dossier. Privacyvoorvechters beschouwden dit schrappen overigens als een overwinning. Wat tekenend is voor de stand van zaken. Vaak gaan hakken in het zand, is het een strijd.
Wedstrijdje privacy tegen beveiliging
Dat is vooral het gevolg van een verscherpte tegenstelling die sinds '9/11'is ontstaan tussen voorstanders van beveiliging en van privacy, politiek tussen rechts- en links-liberaal. Rechts kreeg z'n zin met een hele reeks systemen om data te verzamelen en te gebruiken, met als hun hoogtepunt de bewaarplicht. Links kreeg z'n gelijk met misbruik van het bestand door de politie zelf en de vaststelling dat terrorismebestrijding er nauwelijks mee geholpen werd.
Kun je die tegenstelling doorbreken? Dat vereist innovatief denken. Jaap-Henk Hoepman probeert het. Dinsdag presenteerde hij bevindingen van het project Revocable privacy ('herroepbare privacy'). Hij meent:
"Helaas worden veiligheid en privacy gezien als elkaars vijanden. Men denkt zonder grond, dat het één onhaalbaar is zonder het andere geweld aan te doen. Privacyverdedigers en veiligheidshaaien zitten vast in een loopgravenoorlog. Gezien het grote politieke belang gehecht aan de binnenlandse veiligheid, blijft de privacy van burgers vaak buiten beschouwing. Anderzijds wordt bij het ontwerpen van Privacy Enhancing Technologies (PET) weinig aandacht besteed maatschappelijke veiligheid."
Privacy is vaak bovendien later nog het haasje als in de praktijk systemen om van alles te verzamelen erg lichtvaardig gebruikt worden. Dit leidt weer tot argwaan die de totstandkoming van noodzakelijke nieuwe beveiliging hindert.
'Privacy goed samen met beveiliging'
Het principe van 'revokable privacy' is niet het volstouwen van databanken met toegang voor elke speurneus. Volgens Hoepman is het mogelijk om de architectuur van systemen zodanig te maken dat pas ingeval van een overtreding de persoonsgegevens aan de oppervlakte hoeven te komen. En dan alleen aan autoriteiten die echt toestemming hebben en niet aan allerhande nieuwsgierige Bromsnorren die er niets mee van doen hebben. De persoon in kwestie hoeft geen toestemming te vertrekken noch er kennis van te hebben dat hij de sigaar is.
Dit kun je tot stand brengen op twee manieren: via een betrouwbare derde partij die bepaalt wie er bij welke overtreding welke data mag gebruiken, of met het 'hard coderen' in het systeem. De eerste methode is nu het meest in zwang, maar Hoepman vindt die zwak. Regels voor toegang altijd te wijzigen zijn waardoor garanties op net gebruik worden aangetast.
De tweede optie, het bouwen van systemen zodanig dat louter echte boeven en overtreders er last van hebben, is moeilijk maar haalbaar. Als voorbeeld noemde hij in Tilburg het - niet ingevoerde - Nederlandse systeem voor rekeningrijden. Automobilisten zouden niet worden geïdentificeerd tenzij ze betaling zouden ontwijken.
Hoepman verwijst naar een aantal regels van Marcus Stadler voor 'revokable privacy', al in 1996 opgesteld. Ondertussen zijn meer mogelijkheden verkend met mathematisch ondersteunde methoden om informatie geheim te maken en houden tot op het moment van misbruik of fraude.
Politie haakt aan bij Pi.Lab
Als deze innovatie ook in de praktijk lukt, is dat goed nieuws voor beide partijen. In dit licht wekt het geen bevreemding dat in de middagdiscussie in Tilburg Peter de Beijer (werkzaam voor de politie, het Internet Research Netwerk, het ministerie van Veiligheid en Justitie en als TNO-onderzoeker) zei de open dialoog te willen aangaan. Hij predikte ook 'open source' en 'transparantie' bij politie en justitie, begrippen die vaker met de mond dan in daad beleden worden.
De Beijer wil graag samenwerken met Tilburg en Nijmegen en kan dat nu als TNO'er ook. Bijvoorbeeld met Bert-Jaap Koops, een van de beste onderzoekers naar ICT, wetshandhaving en rechten. In diezelfde discussie meende Koops: "Er moet meer debat komen over wat er met die grote hoeveelheden verzamelde informatie gebeurt. Te gemakkelijk wordt de analogie gelegd dat wat op straat goed is ook digitaal hetzelfde effect heeft. Maar meer surveillance online heeft veel verdergaande gevolgen dan meer blauw op straat."
De Beijer gaf het, verrassenderwijs, snel toe: "Internetonderzoek vormt natuurlijk één groot sleepnet." Anderzijds wil de politie toch meer bevoegdheden, vooral grensoverschrijdend. Zo zegt dit weekend Wilbert Paulissen, hoofd van de Nationale Recherche, in de Volkskrant dat hij op moeizame wijze in vele buitenlanden informatie moest verzamelen van computermisbruik om uiteindelijk in Barendrecht de 17-jarige hacker van het KPN-net te kunnen pakken.
Hier vielen overigens privacy en beveiliging samen, want bij de kraak kwamen veel identiteitsdata vrij. Dat maakt meteen duidelijk waarom het nieuwe instituut privacy koppelt aan identiteit.
Facebook en privacyhandel
Ook op de private markt is het belang van die koppeling evident nu Facebook en Google de facto uitgevers van internetpaspoorten worden. Ze identificeren samen ruim een miljard internetgebruikers en slaan bovendien zo veel mogelijk surfinformatie op, ook op sites van derden. Reden genoeg voor extra aandacht, ook bij het Tilburgse seminar.
Innovatief was in dit licht de verhandeling van Sarah Spiekermann van de Wirtschafts Universität Wien. Ze kreeg terecht een uur lang om in een 'keynote' zeer recent onderzoek naar de houdingen van Facebookers ten opzichte van privacy en hun persoonsgegevens te presenteren.
Haar groep betrok 3.000 deelnemers aan Facebook in het onderzoek. Het uitgangspunt: probeer een waarde te verbinden aan de persoonlijke data, zodat het belang voor de individuen beter zichtbaar wordt. Immers, de verzamelaar zelf weet genoegzaam wat de waarde is, en ook de kopers van aandelen die er en prijskaartje van 50 tot 120 miljard dollar aan hangen.
De meesten van de 3.000 Facebookers bekommerden zich totaal niet hun om hun persoonlijke data, noch om de uitingen noch om de video's en foto's. Hun data vormden volgens Spiekermann 'junk', zijn in feite letterlijk waardeloos. Dus hechten ze ook weinig aan privacy.
Neem dat begrip, dacht Spiekermann, eens letterlijk: privacy als waarde. Dat is een paradigmaverandering in de wetenschap, een majeure breuk met het gezichtspunt dat tot nu toe domineert. Dat gezichtspunt is privacy als een mensenrecht. Privacy als recht is gebonden aan een juridische atmosfeer en is juridisch ingekleed in regulering.
Geef dat eens een economische basis, met data als eigendom die je kunt verhandelen. Ze formuleerde vragen waarin dat was verdisconteerd, bijvoorbeeld: stel dat Facebook morgen wordt verkocht met jouw profiel, wat heb je er voor over om te voorkomen dat je data in andere handen komen?
Zodra het begrip 'psychologie van eigendom' ingang kreeg bij Facebookers, drong het besef door dat data van groot belang voor individuen. Een groot deel ging ineens wel pal staan voor de vervreemding van data. Ook de genoemde gemiddelde prijs ging omhoog - naar 54 euro - en nog maar een minderheid van 40 procent verbond er geen waarde aan, ofwel hoefde niets te ontvangen.
Dit nieuwe uitgangspunt heeft als voordeel, aldus Spiekermann, dat je mensen er niet met de haren bij hoeft te slepen om aandacht voor privacy te krijgen. "Nu worden ze uit alle macht richting privacy geduwd. Als ze hun waarde in geld kennen, helpt dat ook de bewustwording."
Of dat op de lange termijn ook zoden aan de dijk zet, valt nog te bezien. Spiekermann gaf als voorbeeld Fair Trade dat ook maar 1 procent van de wereldhandel uitmaakt ondanks het toegenomen bewustzijn over uitbuiting.
Beursgang in de wielen?
"Als bij alle Facebookgebruikers het bewustzijn van waarde van data doordringt, dan heeft Mark Zuckerberg echt een probleem bij de beursgang", aldus Spiekermann. Immers, nu gaan profielen naar de beurs voor een bedrag tussen de 90 en 120 dollar per stuk. "Interneteconomie wordt gevoed door persoonlijke data", aldus Spiekermann.
Dat kan in een spiraal omhoog en omlaag gaan. De waarde van MySpace daalde in een paar jaar van miljarden naar 35 miljoen dollar. En of Telegraaf nu Hyves nog op de netto overnameprijs van 43 miljoen waardeert valt ook te bezien.
Het klinkt wat pedant, maar het economisch principe van de privacy heb ik eerder uitgewerkt in De macht van Google en recent ook in De macht van Facebook. Facebook maakt 4 euro omzet per klant per jaar aan reclame, maar de opgebouwde klandizie inclusief data is letterlijk een veelvoud waard bij de beursgang: tien tot twintig keer zo veel.
Niet meer gratis
Vermaard onderzoeker Mireille Hildebrandt van Radboud merkte tegenover Spiekermann terecht op dat de 'klikstroom' ofwel data van het surfgedrag op Facebook van veel groter waarde en risicovoller is dan de profielen. Spiekermann weet dat ongetwijfeld maar had het in de vragen aan de Facebookers vooral over data die ze kennen.
Er zijn immers twee Facebookprofielen, dat wat gebruikers kennen en sinds kort bij Facebook uitgebreid is weergegeven in de Tijdlijn en het profiel dat Facebook opbouwt ten behoeven van reclame. Dat laatste is het verborgen goud, het eerste het zichtbare goud.
Overigens is binnen Google het model voor het waarderen van persoonlijke data wel eens uitgewerkt. Daar is zelfs een veiling voor ontworpen waarop individuen de toegang tot hun data konden verhandelen. Net als Google en Facebook hun reclameruimte in een veilingmodel aan de hoogste bieders verkopen. Dit model is nooit naar buiten gebracht.
Wel overweegt Google abonnementen te introduceren voor degenen die gevrijwaarde willen worden van reclame en dataverzameling. Voor De macht van Facebook heb ik daar onder zo'n 50 personen onderzoek naar gedaan: 7, 50 per jaar voor een abonnement zonder reclame, 15 euro zonder reclame en zonder dataverzameling. Weinigen hebben dat er voor over. Degenen reclame willen weren, kunnen dat overigens met add-ons op Firefox en Chrome al doen.