Heeft u wel eens geprobeerd een weloverwogen standpunt in te nemen in de breed gevoerde privacydiscussie? Het is lastiger dan je denkt. Welke argumenten zijn er om persoonsgegevens uit te wisselen, en welke zijn er om persoonsgegevens geheim te houden?
Laten we klein beginnen: stel er wordt in Groningen een bank overvallen, en er is een aantal verdachten en getuigen. Uiteraard wil de politie de getuigen en verdachten natrekken, en kijken of deze personen ook onderwerp van onderzoek zijn elders in het land. Als deze personen ook elders (zeg in Nijmegen) onderwerp van onderzoek zijn, dan kan door samenwerking er misschien bewijs worden rond gekregen dat anders nooit gevonden zou worden. Als de politiekorpsen van Groningen en Nijmegen niet van elkaars onderzoeken zouden weten, zouden ze elkaar wel eens per ongeluk tegen kunnen werken: stel je het beeld maar voor van de verdachte die door de politie Groningen geschaduwd wordt naar de plek in het bos waar de buit waarschijnlijk begraven ligt, en dat dan opeens de politie van Nijmegen opduikt en de verdachte arresteert. Weg zaak.Kortom, er zijn genoeg redenen voor de politiekorpsen van Groningen en Nijmegen om gegevens uit te wisselen. Maar hoe komen deze twee korpsen erachter dat ze dezelfde persoon onderzoeken? Doodeenvoudig: met een prikbord. Dat prikbord is elektronisch, en staat in een goedbeveiligde bunker, en alleen beëdigde opsporingsambtenaren van politie hebben er toegang toe. Het heet de Verwijsindex Recherche Onderzoeken en Subjecten, VROS in het kort.
Is deze oplossing goed? Als je bedenkt dat alle mensen die toegang hebben tot het prikbord gescreende mensen zijn, en het voor het goede doel van het vangen van bankovervallers is, dan is deze oplossing prima verdedigbaar. Wel loop je het risico dat er gegevens gelekt worden. Daarvoor volstaat een eenvoudige observatie: er hebben duizenden mensen toegang tot deze gegevens, en van deze duizenden zullen er allicht enkelen corrupt zijn, en gegevens lekken naar verdachten.
Terug naar de privacydiscussie: Wat voor argumenten zijn er om persoonsgegevens uit te wisselen? Goede en nobele, want bankovervallers horen in de bajes. Wat voor argumenten zijn er om persoonsgegevens niet uit te wisselen? Goede en nobele, want stel je voor dat de bankovervallers politiegegevens krijgen, dan zouden ze wellicht de bajes kunnen ontlopen.
Zie hier een paradoxale eigenschap van de discussie: beide zijden van het debat bedient zich van dezelfde, of anders wel zeer vergelijkbare argumenten. Ook bij de uitwisseling van passagiersgegevens tussen de EU en de VS zie je dit terug. Waarom wil de VS gegevens van de passagiers? Dat helpt met het vinden van terroristen voordat zij zich in het Amerikaanse luchtruim bevinden, en dat is veiliger. Waarom houden passagiers deze gegevens liever geheim? Ze vinden het een veiliger idee anoniem te reizen dan te worden overgeleverd aan de grillen van de Amerikaanse autoriteiten. Wat je er verder ook van vindt, beide kanten van de argumentatie zijn volledig legitiem.
Dit allemaal gezien hebbende lijkt er maar één mogelijke conclusie: het kiezen van een juiste policy ten aanzien van het uitwisselen van persoonsgegevens is niets anders dan voer voor politieke compromissen. Immers, je kunt niet beide kampen tegelijkertijd tevredenstellen.
Ho. Wacht. Hoezo zou je niet tegelijkertijd aan de wensen van beide kanten van het debat kunnen voldoen? Het eenvoudige antwoord luidt: óf je wisselt gegevens uit, óf je doet dat niet. Hoe logisch dit antwoord ook klinkt, het klopt niet. Het is mogelijk gegevens te vergelijken zonder deze prijs te geven. Denk aan het volgende voorbeeld:
Geertje en Wouter zijn vrienden en collega's. Geertje heeft Wouter verteld dat ze zwanger was, maar Wouter mag het aan niemand vertellen die het nog niet weet. Een dag later komt Wouter de secretaresse tegen, die Wouter veelbetekenend aankijkt. Zou zij óók weten van Geertjes zwangerschap? Als dat zo is, dan zou Wouter graag met haar gaan roddelen. Maar als dat niet zo is, dan mag Wouter het geheim niet aan haar verklappen. Misschien heeft Geertje ook wel de secretaresse ingelicht, maar ook haar opgedragen het geheim niet te verklappen.Wat moeten Wouter en de secretaresse nu doen? Het stellen van de vraag "Wist jij dat Geertje zwanger is?" schiet zijn doel voorbij, omdat daarmee het geheim alsnog verklapt wordt. Ook verdekte vragen geven informatie prijs. Wenken naar Geertje, en een gebaar van een bolle buik maken is voldoende suggestief dat de secretaresse, als ze het geheim niet wist, alsnog zal kunnen raden.
Bedenk dat roddelen over iemands zwangerschap conceptueel hetzelfde is als roddelen over iemands vermeende betrokkenheid bij een bankoverval.
In mijn recent voltooide proefschrift heb ik cryptografische protocollen ontwikkeld die dit probleem oplossen. Het is mogelijk om geheimen te vergelijken zonder ze prijs te geven. Het voert te ver om hier uit te leggen hoe die protocollen precies werken. Het is op te zoeken in mijn proefschrift.
Deze protocollen kunnen worden toegepast om veel knelpunten in het privacydebat op te lossen. Opsporingsambtenaren van politie kunnen achterhalen of iemand ook elders onderwerp van onderzoek is zonder informatie prijs te hoeven geven. De EU en de VS kunnen passagiersgegevens uitwisselen zodat alleen de privacy van terrorismeverdachten geschonden wordt. Er zijn nog veel meer toepassingen te vinden voor wie goed om zich heen kijkt.
Het is natuurlijk fijn dat deze problemen opgelost kunnen worden, maar er is ook een andere belangrijke conclusie. Namelijk: het uitwisselen van gegevens hoeft niet de opoffering van privacy te betekenen. Er is geen enkele reden om te denken dat de protocollen die ik ontwikkeld heb de enige denkbare technologie is waarmee de belangen van de privacyvoorvechters met die van de "terroristenvangers" verenigd kunnen worden. Het is "open season": voor heel veel andere privacyproblemen zijn er wellicht ook oplossingen. Wie nu nog beweert dat privacybescherming en terrorismebestrijding altijd ten koste van elkaar gaan, zit er faliekant naast. Is het mogelijk dat ze helemaal nergens ten koste van elkaar hoeven te gaan?
Ja. Beide kanten blij.
*) dr. Wouter Teepe is verbonden aan de Security of Systems groep van de Radboud Universiteit Nijmegen.