Elf prikkelende wetsvoorstellen die de datawoede beteugelen

6 oktober 2016

De Europese Unie heeft recent een serie nieuwe privacywetten aangenomen die ook in Nederland gaan gelden. Hoewel ze de macht van dataverzamelaars als Facebook en Fitbit flink inperken, gaan de wetten mij niet ver genoeg. Daarom benoem ik een aantal praktische – en hopelijk prikkelende – wetsvoorstellen waar ik al een paar maanden op broed. Misschien zijn ze iets voor Nederland?

Technologen doen graag alsof er revoluties plaatsvinden die regelgeving overbodig maken. De nieuwe mogelijkheden, zoals de Sharing Economy en de Slimme Stad, worden dan voornamelijk als positieve ontwikkelingen afgeschilderd, als bron van vooruitgang en geluk, terwijl wetten de innovatie nodeloos afremmen. Zo riep Mark Zuckerberg in 2010 dat privacy een achterhaald sociaal concept is, dus waarom zou je dat nog beschermen?

Wanneer de overheid in deze verhalen meegaat, en zich bewust of door kennisgebrek terugtrekt, dan zien we dat de macht om grenzen te stellen aan gedrag niet meer bij een democratisch gekozen vertegenwoordiging ligt, maar wordt overgeheveld naar (veelal Amerikaanse) bedrijven. De programmeercodes die zij schrijven zijn op een vergelijkbare manier vormend: in plaats van te bepalen wat we wel en niet mogen (waarbij we als mens nog de vrijheid hebben om regels te breken), bepalen ze rechtstreeks wat we wel en niet kunnen. Een slimme auto zorgt er gewoon voor dat je niet te snel kan rijden. Een film uitlenen aan je vrienden kan digitaal worden voorkomen.

Professor Lawrence Lessig++Lawrence LessigProfessor Lawrence Lessig stond o.a. aan de wieg van Creative Commons, beschreef de paralellen tussen programmeercode en wetgeving, en stelde zich zelfs verkiesbaar voor het Amerikaanse presidentschap. beschreef al mooi het vraagstuk dat hier speelt:

“Our choice is not between ‘regulation’ and ‘no regulation’. The code regulates. It implements values, or not. It enables freedoms, or disables them. It protects privacy, or promotes monitoring. People choose how the code does these things. People write the code. Thus the choice is not whether people will decide how cyberspace regulates. People–coders–will. The only choice is whether we collectively will have a role in their choice–and thus in determining how these values regulate–or whether collectively we will allow the coders to select our values for us.”

Zoals innovatieprofessor Koen Frenken het eufemistisch benoemde toen hij de Sharing Economy onderzocht:

“Technologische ontwikkelingen kunnen tot een ‘democratisch tekort’ leiden.”

Dat moeten we voorkomen. Juist de schaduwkanten van nieuwe technologieën moeten snel achterhaald en ingedamd worden, en de wetgevende macht is daarbij van groot belang. Het is aan het politieke bestel om samen met kritische burgers door de gebakken lucht++KlassiekersKent u deze nog? “Het papierloze kantoor komt eraan”, “Delen is het nieuwe hebben”, “Kernenergie is superveilig”, “We 3D-printen straks alles thuis”, “De 3D-TV gaat het helemaal worden”. rondom technologie heen te kijken en de scherpe randjes van de technologie af te vijlen. Pas dan ontstaan technologieën die niet de voorkeuren van bedrijvenVoor bijvoorbeeld vijftig euro per jaar zou je ongelimiteerd moeten kunnen googelen zonder dat je data onnodig wordt opgeslagen of doorverkocht., maar de normen van de burgers reflecteren.

Hoera voor de nieuwe Europese privacywetgeving?

Tot mijn grote vreugde komen er goede, pittige geluiden uit Brussel. Vanaf 2018 zal in heel Europa de General Data Protection Regulation (GDPR) gaan gelden. Dit dikke pak papier vervangt dan de oude Europese privacywetten die niet alle recente ontwikkelingen afdekten. Hoewel ik er erg blij mee ben en er veel goeds in staat, kun je aan alle kanten zien dat het een compromiswet is. Volgens critici worden veel gevaarlijke ontwikkelingen nu al niet goed ingedamd. Het staat ons echter vrij om in ons innovatieve Nederland extra wetten aan te nemen.

Het eerste deel van de wetten die ik in dit artikel voorstel, beschrijft ideeën voor het beteugelen van de verzameling en verspreiding van data. Het tweede deel bekijkt de aspecten die critici onderbelicht vinden: de analyse en het gebruik van data.

Dataverzameling beteugelen

1. Deels in de GDPR: Het recht om vergeten te worden
Ik ben al een tijdje fan van de situatie die in Spanje is ontstaan. Sinds een spraakmakende rechtszaak uit 2014 heb je daar het ‘recht om vergeten te worden’. Het komt erop neer dat Google bijvoorbeeld verplicht is om bepaalde zoekresultaten te verbergen als je daarom vraagt en een ‘goede reden’ hebt. Dat leidde tot een tweespalt onder experts, want er bestaat een risico dat dit recht misbruikt wordt voor censuur (“die journalist schrijft iets over me wat ik niet waardeer, dus mag het weg?”). Als compromis krijgen we in Europa het zogenaamde ‘right to erasure’. Dit betekent vooral dat je je eigen data mag wissen, bijvoorbeeld op Facebook. Maar dat is ook al fijn! Tot nu toe was er geen reden++BoetesDe boetes voor het niet naleven van de GDPR zijn torenhoog: tot wel 4% van de wereldwijde omzet van een bedrijf. Bij Facebook hebben we het dan over meer dan een miljard dollar! voor partijen als Facebook om je data ook echt van hun harde schijf te verwijderen. Ze maakten je data vaak alleen onzichtbaar naar de buitenwereld.

Toch denk ik dat de Spaanse variant belangrijk gaat worden, en zou ik ervoor willen pleiten om ook in Nederland deze sterkere wet aan te nemen. Een begrenzing die ik dan zou willen aanbrengen is dat alleen burgers van vlees en bloed er gebruik van kunnen maken. Bedrijven, overheden of personen die een officiële functie uitvoeren (zoals een minister) zouden buiten de boot moeten vallen.

Voorkomen is natuurlijk beter dan genezen, dus het is ook belangrijk dat het verzamelen en verspreiden van data verder worden ingeperkt. De volgende rechten gaan daarover:

2. De wet van de ‘twee walletjes’
Een paar jaar geleden wilde de ING-bank andere bedrijven inzicht geven in uitgaven van haar klanten. Daar was veel protest tegen, waardoor het plan in de koelkast is gezet. Maar zo’n proefballonnetje wordt ongetwijfeld later nog eens opgelaten, tenzij we dit goed in de kiem smoren. Ik stel voor: bedrijven mogen ons geld laten betalen voor diensten, of ze mogen die diensten ‘gratis’ aanbieden (waarbij we in wezen met onze data betalen). Maar niet allebei. Wie voor een dienst betaalt met geld, die zou zijn privacy gewaarborgd++ Data = KortingEr zijn natuurlijk tussenvormen waar je voor een beetje data een beetje korting krijgt. Amazon verkoopt van sommige tablets twee versies: een die minder geld kost maar waarbij je reclames te zien krijgt, en eentje waarbij je de reclames ‘afkoopt’. moeten zien.

3. Het recht om klant te zijn in plaats van product
NogAls je vingerafdruk of irisscan is gelekt kun je niet zo makkelijk een nieuwe aanvragen. mooier is deze omdraaiing: bedrijven die diensten aanbieden worden verplicht om consumenten de optie te geven om met geld te betalen in plaats van met hun data. Dus: voor bijvoorbeeld vijftig euro per jaar zou je ongelimiteerd moeten kunnen googelen zonder dat je data onnodig wordt opgeslagen of doorverkocht, als je dat wilt. Om jonge start-ups te ontlasten zou je er deze drempel voor kunnen bedenken: alle organisaties met meer dan 100.000 leden of met meer dan een miljoen omzet moeten hieraan voldoen.

Een plezierige bijwerking is dat voor mensen duidelijker wordt wat hun privacy letterlijk waard is voor Google, zodat ze minder snel “privacy is achterhaald” roepen. Privacy is geld waard! Tegelijkertijd is het een gevaarlijke trend om de waarde van privacy alleen nog maar in geld uit te drukken.++Privacy als luxegoedData is goud! Korting! De commodificatie van onze privacy neemt sterk toe. Een gevolg is dat het hebben van privacy steeds meer een financiële afweging wordt. Zo schuift privacy op van mensenrecht naar luxeproduct. Je loopt door privacyproblemen niet alleen geld mis, privacy is ook een ‘priceless’ fundamenteel mensenrecht.

4. Sommige data zou onverkoopbaar moeten zijn
Sommige vormen van data zouden we als niet-verhandelbaar moeten beschouwen, net zoals we nu plutonium niet graag op de markt zien. Biometrische gegevens vallen wat mij betreft hieronder, want als je vingerafdruk of irisscan is gelekt kun je niet zo makkelijk een nieuwe aanvragen. Medische gegevens, details over je seksuele identiteit, en alle andere gebieden waarvan de data tot serieuze vormen van discriminatie kunnen leiden, daar zouden we extra voorzichtig mee om moeten gaan. Het is te gek voor woorden dat je nu bijvoorbeeld lijsten van verkrachtingsslachtoffers kunt kopen.

Er zou ook een duidelijk voorgeschreven limiet moeten zijn voor hoe lang verschillende soorten data mogen worden bewaard. Alle data over gedrag zou na bijvoorbeeld zeven jaar weggegooid moeten worden, of in fases steeds verder geanonimiseerd moeten worden. Waarom? Omdat je data op de lange termijn als een dwangbuis kan gaan werken, waarbij oude fouten, gedachten en voorkeuren telkens weer bij je terugkomen, en je daardoor minder makkelijk met een schone lei kan beginnen. Je gedrag uit je pubertijd zou bijvoorbeeld het vinden van je eerste baan niet in de weg moetenIn toenemende mate zullen algoritmes belangrijke beslissingen gaan maken over ons leven. zitten.

5. De wet tot het begrenzen van datafusies
We vinden het normaal dat we in Nederland in de gaten houden of er door fusies geen veel te grote, monopolistische bedrijven ontstaan. Omdat het hebben van data een boel macht geeft, zouden we op dezelfde manier ook de concentratie van data tegen moeten gaan. Sinds kort wil WhatsApp bijvoorbeeld haar data doorgeven aan moederbedrijf Facebook, iets wat ik echt gevaarlijk vindt. Dit soort datafusies zouden niet moeten mogen plaatsvinden tenzij burgers daar expliciet toestemming voor geven, door iets aan te vinken in plaats van uit te vinken. Opt-in voor datafusies in plaats van opt-out. Misschien kan er een commissie komen, bijvoorbeeld in een samenwerking tussen de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt, die deze dingen in de gaten houdt.

Nu ik toch bezig ben: het is best raar dat een bedrijf kan claimen je data nooit door te zullen verkopen… tot het failliet gaat. Dan is ze verplicht om je data te verkopen om zo de schuldeisers te kunnen betalen. Kunnen we iets aan dit ‘faillissementslek’ doen?

6. Van briefgeheim naar de communicatiegeheim
We hebben briefgeheim op onze papieren brieven, maar zodra je een digitale brief stuurt is die bescherming foetsie. Want “e-mails zijn geen brieven”, zo luidt de strikte interpretatie van de wet. Maar gelukkig staat dit probleem al wel op de radar van de overheid. Het meest recente initiatief om dit op te lossen stamt uit 2014, waarna allerlei partijen rondbazuinden dat “e-mail nu ook beschermd++Dan maar encryptie?Het is altijd verleidelijk om een gebrek aan wetgeving op te willen lossen met technologie. Maar ook die technologie is gebouwd op wetgeving. Tijdens het schrijven van dit artikel deed de Europese privacywaakhond een interessant gerelateerd voorstel: ze wil het inbouwen van achterdeurtjes in de encryptie van communicatiemedia verbieden. was”. Maar deze aanpassing van de grondwet is nog altijd niet rond, en is nu uitgesteld, want een nieuwe wet die de mogelijkheden om communicatie af te luisteren vergroot, de wet voor de inlichtingen- en veiligheidsdiensten, krijgt voorrang.

7. De Oost-West-Thuis-Best-Wet: houd gevoelige data letterlijk binnen de EU
Nog iets wat erg fijn is: in de GDPR wordt het voor partijen buiten de EU verplicht om gedragsdata van Europese burgers volgens de Europese wet te behandelen. Bijvoorbeeld data van je Amerikaanse fitnesstracker, zoals de Fitbit, zou je dan altijd mogen deleten, op straffe van een grote boete voor Fitbit.

Maar ik zou graag weer iets verder willen gaan: alle data over Europeanen moet in Europa bewaard worden. Zo moeilijk++Hoe werkt dat dan?Dit voorstel levert ook breinbrekers op: bij een vriendschap tussen een Europeaan en een Amerikaan slaat Facebook die data op in de EU of de VS? Wat mij betreft bij twijfel in het land met de beste bescherming. is het echt niet om een server in Europa te draaien, dus geef Europeanen die extra zekerheid. Dit voorkomt het probleem dat de Amerikaanse inlichtingendiensten nog steeds heel makkelijk toegang hebben tot data van Europeanen, omdat veel populaire diensten nu eenmaal in Silicon Valley gehuisvest zijn. Soortgelijke ideeën ontstaan in steeds meer landen, zoals in Frankrijk en Canada.

Data-analyse: zijn algoritmes neutraal?

Nu wordt het wat complexer, want we hebben het tot nu toe over het verzamelen en verspreiden van data. Maar de algoritmes die de data verwerken zouden ook beter gereguleerd moeten worden. Dat is hard nodig, zo stelt de WRR++Wetenschappelijke Raad voor RegeringsadviesDeze instelling is, naast het Rathenau Instituut, een belangrijk adviesorgaan dat de overheid helpt met kritisch denken over datavraagstukken.
:

“De huidige juridische kaders zijn vooral gericht op het inkaderen van het verzamelen en delen van gegevens. […].Keuzes in de analysefase (algoritmen, profielen, categorisering, wegingsfactoren, etc.) zijn van eminent belang voor de uitkomsten van Big Data-processen. Bij de fase van de analyse constateert de WRR een hiaat in de regelgeving.”

Video: ook in Little Britain verstoppen organisaties zich graag achter hun algoritmes.

In toenemende mate zullen algoritmes belangrijke beslissingen gaan maken over ons leven, maar dat is voor de gemiddelde Nederlander vaak moeilijk te doorzien. Als je een lening aanvraagt of voor een baan solliciteert en wordt afgewezen, kan dat zijn omdat een algoritme je niet geschikt vond. Maar hoe kom je daarachter? En hoe bepaalde dat algoritme dat eigenlijk? Had je leeftijd er misschien iets mee te maken? Of je postcode?

Gelukkig zien we de GDPR ook hier enkele goede stappen zetten. Zo stelt artikel 22:

“De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”

Dus je mag niet volledig automatisch beoordeeld worden. Tenzij je daar expliciet toestemming voor geeft natuurlijk. De vraag is of een vinkje zetten als ‘expliciet toestemming geven’ telt, en het zo business as usual blijft. Misschien worden, als maas in de wet, de processen zo slinks ontworpen worden dat een mens er nog even twee seconden naar kijkt.

Als de uitkomst is dat mensen altijd het laatste woord houden dan zou dat in theorie fijn zijn. Hetzelfde zien we immers ook bij wetgeving: omdat de wet niet elke situatie kan voorzien, hebben we mensen, rechters, om de uiteindelijke afweging te maken. We begrijpen al millennia dat de wet niet perfect de realiteit kan ‘vangen’, maar bij de net zo wetmatige digitale systemen moet dit besef nog indalen.We begrijpen al millennia dat de wet niet perfect de realiteit kan ‘vangen’, maar bij de net zo wetmatige digitale systemen moet dit besef nog indalen. Algoritmes maken nu al geregeld onterechte analyses. De benadeelden moeten de bedenkers van deze oneerlijk beoordelende algoritmes op het matje kunnen roepen.

8. Al in de GDPR: the right to explanation
Je zou willen dat je ook inzicht kon krijgen in hoe deze algoritmes je gedrag precies wegen. Gelukkig heeft de GDPR ook hier een (vaag) punt gemaakt. Met het nieuwe ‘right to explanation’ moet je altijd uitleg kunnen krijgen over de manier waarop de beoordeling tot stand kwam:

“[When data is collected the controller shall provide] the existence of automated decision-making, including profiling, […] and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.”

Het levert veel spanning op in Sillicon Valley, want algoritmes zijn soms ook ‘het geheim van de smid’ waar een bedrijf veel waarde in heeft gestoken. Nog lastiger: soms zijn algoritmes zelflerend, waardoor niet meer precies is uit te leggen hoe een algoritme werkt.

Om dit ene zinnetje in de GDPR wat uit te breiden stel ik het volgende voor:

  • Veel bedrijven kopen beoordelingen in bij andere hierin gespecialiseerde bedrijven. Dit zou geen truc mogen worden om de verantwoordelijkheid af te schuiven. In zulke gevallen zal het ingehuurde bedrijf die helderheid moeten verschaffen op kosten van hun klant.
  • De ‘slimme’ producten die worden verkocht moeten een bijsluiter krijgen waarin hun beoordelende algoritmes worden uitgelegd. Universiteiten en hogescholen zouden een eenvoudige (visuele) taal moeten ontwikkelen waarmee de ethische voorkeuren kunnen worden uitgelegd. Ik zou van een Nest-thermostaat of slimme auto++Ethische auto’sDeze ethische discussie vindt rondom slimme auto’s al enigszins plaats. Bij een kans op aanrijding zou de auto misschien de volgende keuze moeten maken: is het leven van een kind meer waard dan dat van een oudere? Hebben vier passagiers voorrang boven drie plotseling overstekende mensen op straat? bij de aankoop willen kunnen zien wat de voorkeuren zijn, en hoe die zich ontwikkelen tijdens het gebruik van het apparaat. Zal deze slimme auto bij een onafwendbare crash eerder de passagiers of de personen buiten de auto redden? Met andere woorden: als ik een auto koop wil ik graag weten of mijn auto de ideologie van de Troetelberen aanhangt, of dat het ding teveel Nietzsche heeft gelezen.

9. De Maatschappelijk-Progressieve-Algoritmes-Wet
Ik zou weer iets verder willen gaan. Recent bleek dat op sommige vacaturewebsites vrouwen minder snel een goedbetaalde baan voorgeschoteld krijgen. Dan kun je denken: we moeten zorgen dat algoritmes neutraal behandelen. Maar dat is een idylle. Waarschijnlijker is het dat algoritmes het nieuwe slagveld worden waar we maatschappelijke voorkeuren uitvechten. Liberale en old-boys-algoritmes zouden moeten worden gecompenseerd met bijvoorbeeld feministische algoritmes. Software die sollicitatiebrieven analyseert zou vrouwen voorrang kunnen geven in grote bedrijven. Met andere woorden: kan de overheid stimuleren dat algoritmes ongelijkheden en discriminatie niet versterken, maar juist pro-actiefZal een slimme auto bij een onafwendbare crash eerder de passagiers of de personen buiten de auto redden? helpen bestrijden?

10. De anti-find-face-wet
Zoals ik al eerder schreef is het vaak moeilijk om data op de lange termijn anoniem te houden omdat we steeds beter worden in het aan elkaar knopen van kleine stukjes data. Laten we daarom, met uitzondering voor journalistieke redenen, een verbod instellen op de-anonimisering. Als mensen anoniem worden gemaakt, dan is het vrij lullig als mensen later ineens zichtbaar worden op een manier die ze nooit hadden voorzien. Zo++Blonde dames in de smart cityLees meer over het verlies van anonimiteit in de slimme stad in dit artikel. beschreef ik de populariteit van de FindFace-app in Rusland. Door een foto te nemen van een voorbijganger kun je met deze app zijn of haar socialmediaprofiel vinden. Doordat zulke geavanceerde vormen van gezichtsherkenning nu voor burgers beschikbaar komen zien we dubieus gedrag ontstaan. Zo gaan ze zelf criminelen opsporen, en het wordt ook al gebruikt door moraalridders die prostituees en actrices in de porno-industrie lastigvallen, en bijvoorbeeld ongevraagd de ouders op de hoogte stellen van de activiteiten van dochter (of zoon). Er wordt nu teveel vertrouwd op de technologische barrière. Het verbieden van de-anonimisering zou misschien een deel van de oplossing kunnen vormen.

11. Help burgers voor privacy te kiezen
Tot mijn verbazing stond er in de GDPR dat bedrijven voortaan verplicht zijn om privacy-by-design-principes na te volgen. Wauw, niet vaak hoor je politici zich in zulk detail bemoeien met designmethodiek. Maar ik vind het fantastisch: hier wordt technologie niet alleen afgebakend, de politiek beïnvloed hier het ontwerpproces van de technologie++Design my Privacy In maart vloeide, op initiatief van het MOTI en met steun van de HVA de publicatie Design my Privacy uit mijn pen..

In dezelfde lijn zouden we technologiemakers kunnen dwingen om burgers te helpen privacy-vriendelijke keuzes te maken. Zo is het niet mogelijk om in de appstores van Apple en Google de apps te sorteren op het aantal permissions dat ze nodig hebben. Als ik een zaklamp-app zoek, dan wil ik er eentje kunnen vinden die niet doodleuk om toegang tot mijn adresboek vraagt. Dit is een eenvoudige manier om beveiligings- en privacyproblemen te verminderen.

EenHet is aan het politieke bestel om samen met kritische burgers door de gebakken lucht rondom technologie heen te kijken en de scherpe randjes van de technologie af te vijlen. andere optie is het ontwerpen van een keurmerk++Just ThingsMogelijk is dit iets voor de Just Things Foundation, een samenwerkingsverband van ontwerpers die zelf de ethische vraagstukken rondom het ‘internet of things’ aankaarten. dat aangeeft hoe apparaten en diensten met onze data omgaan. Wordt je data alleen binnen de EU bewaard? Icoontje! Voldoet een product aan bepaalde privacydesignstandaarden? Icoontje! Met eten doen we dit al, dus waarom zouden we sommige digitale producten niet kunnen aanwijzen als data-ongezond?

Conclusie

Technologische systemen krijgen steeds meer macht over ons leven. Die macht moeten we samen onderzoeken en, waar nodig, begrenzen. Dat kan soms lastig zijn, want het is de mode om onze overheden als incompetent en ‘langzaam’ weg te zetten, of te zeggen dat de grote bedrijven ze toch in hun broekzak hebben. Maar er ontstaan, zoals de nieuwe wetgeving uit Brussel laat zien, steeds meer politici met verstand van zaken++NederlandOok in Nederland ontstaat zicht op de problematiek, zoals bijvoorbeeld blijkt uit het verkiezingsprogramma van D66 (en natuurlijk de Piratenpartij)..

Natuurlijk, wetgeving is niet de oplossing van alle problemen, net zoals dat technologie dat niet is. De verantwoordelijkheid voor een gezond en evenwichtig data-ecosysteem wordt niet alleen door politici gedragen, maar ook door ontwerpers, technologen, leraren, journalisten en burgerschapsorganisaties. De wet kan niet alles fixen.

Maar verzuchten dat de wet toch hopeloos achterloopt, en dan niks doen, dat is nog veel erger!

 

Reacties? Stuur ze naar Tijmen via info@pineapplejazz.com!

Deze tekst heeft een Creative Commons Naamsvermelding-licentie (CC BY) en is gekopieerd van de Kennisland-website. Ga voor de volledige versie met afbeeldingen, streamers en noten naar https://www.kl.nl/opinie/elf-prikkelende-wetsvoorstellen-die-de-datawoede-beteugelen/

This text has a Creative Commons Attribution License (CC BY) and has been copied from the Kennisland website. For a full version with images, streamers and notes go to https://www.kl.nl/opinie/elf-prikkelende-wetsvoorstellen-die-de-datawoede-beteugelen/