In het Tijdschrift voor Internetrecht werd onlangs geschreven "Privacy! Houd er alsjeblieft over op, ik word er doodziek van".1 In dit redactioneel werd verder ingegaan op de overvloed aan toestemmingsvragen, cookiepopups en dingen die sinds de invoering van de AVG niet meer mogen. De fraudehelpdesk mag spookfacturen niet meer registreren bij de sportschool mag niet meer met een vingerafdruk worden inlogged.
Met deze voorbeelden wordt de invloed van privacyregels op de echte wereld geschetst. De burger ziet eigenlijk niet het nut in van deze maatregelen en verboden, terwijl privacy-experts hameren op de noodzaak hiervan. Vaak wordt door experts gezegd dat deze regels noodzakelijk zijn, omdat dit anders grote gevolgen kan hebben voor onze persoonlijke levenssfeer. De burger zet desondanks vrijwel alle details van zijn of haar leven op sociale media met het argument "ik heb toch niks te verbergen".
Naar beide kanten moet echter worden geluisterd. De persoonlijke levenssfeer van mensen moet worden beschermd, maar wel op een zodanige wijze dat men niet de hele tijd wordt overspoeld met toestemmingsvragen. Daarnaast is het van belang om op de risico's te blijven wijzen en uit te leggen waarom al deze regels noodzakelijk zijn.
Waarom al die regels?
Het antwoord op die vraag is technologie. Door de technologische voortgang zijn de regels over privacy tegenwoordig veel strenger dan 50 jaar geleden. We bevinden ons in een tijdperk waarin computerkracht niet meer beperkt wordt door de fysieke hardware, maar vaak door hoe groot de dataset is. In de afgelopen 50 jaar is de rekenkracht fenomenaal toegenomen. Dit volgt de zogenaamde Wet van Moore.2 Die stelt namelijk dat het aantal transistoren, dat de rekenkracht grotendeels bepaalt, elke twee jaar verdubbelt. Om het verschil in rekenkracht tussen nu en 50 jaar geleden goed te laten zien, is dit hieronder in een grafiek opgenomen:
De rekenkracht die de Apollo 11 in 1969 nodig had om de maan te bereiken en terug naar aarde te keren is gelijk aan die van een huidige telefoonoplader.3 Met de komst van cloud-computing en kunstmatige intelligentie zijn de mogelijkheden voor data-analyse vrijwel oneindig (mits men de juiste datasets heeft).
Dit is de primaire reden waarom privacywetgeving alsmaar strenger wordt. De mogelijkheden zijn eindeloos en de datasets worden groter en groter. De reden dat men de risico's hiervan onderkent, komt waarschijnlijk omdat er nog geen grote incidenten zijn geweest. De technologische mogelijkheden zijn er reeds, maar het wachten lijkt op de eerste grote incidenten waarbij het openbaar maken of profileren van gegevens leidt tot grootschalige schade.
Wellicht zijn het Cambridge Analytics schandaal4 en de mogelijkheden die bijvoorbeeld Clearview5 biedt een indicatie dat er meer zullen gaan volgen. Door een open platform zoals Facebook neer te zetten en allerlei bedrijven hier toegang tot te geven, leidt dit tot een sterk verhoogde kans op misbruik. Doordat iedereen onbeduisd zijn leven op sociale media plaatst, kan bovendien de schade en impact daarvan groot zijn.
Regels zoals de AVG moeten weerstand bieden aan deze risico's en eisen stellen aan deze mogelijkheden. Hoewel tegenwoordig veel mogelijk is, ten goede en ten slechte, zal er vaker moeten worden nagedacht of bepaalde data-analyses en verwerkingen wel daadwerkelijk moeten worden uitgevoerd in onze democratische rechtsstaat. Dat het technisch mogelijk is om bij de sportschool in te loggen met een vingerdruk, betekent niet dat het daadwerkelijk ethisch verantwoord is of dat men de risico's hiervan kan negeren.
Het is niet zonder reden dat de AVG zeer streng is als het gaat om het verwerken van biometrische persoonsgegevens. Het grootste risico is dat bepaalde bevolkingsgroepen kunnen worden gediscrimineerd en waardoor uiteindelijk onmenselijke dingen gebeuren zoals ten tijde van de tweede wereldoorlog. Niet alleen toen had men wat te verbergen, ook tegenwoordig heeft men nog altijd dingen die prive horen te blijven.6 Het begint met het registreren van een vingerafdruk en gaat vervolgens naar massasurveillance waarbij burgers worden beïnvloed in wat ze wel of niet mogen doen of zeggen.
Deze vergelijk lijkt wellicht ver gezocht, maar kijkend naar het huidige China wellicht niet te ver. In China worden burgers namelijk door honderden miljoenen camera's bij elke stap die ze maken in de gaten gehouden.7 Door het sturen van de Chinese burgers wil de Chinese overheid controle uitoefenen op de bevolking. Zo worden andersdenkende mensen, zoals de Oeigoren, naar "heropvoedingskampen" gestuurd.8
Hoewel dergelijke massasurveillance het leven ook makkelijk kan maken, zorgt dit systeem er ook voor dat iemand aan de schandpaal wordt genageld na vijf keer door rood te zijn gelopen. In Nederland is het wellicht niet denkbaar dat er een overheidslijst gepubliceerd is van mensen met foto's die door rood zijn gelopen. Helaas is ook het gebruik van deze lijsten niet slechts fictie. De Autoriteit Persoonsgegevens is op dit moment namelijk bezig met het onderzoeken van een onrechtmatig bijgehouden geheime lijst van potentiële fraudeurs.9
Door beperkingen op te leggen aan bedrijven en overheden zorgen het Europees Verdrag voor de Rechten van de Mens en de AVG er bijvoorbeeld ook voor dat het SyRI systeem van de Nederlandse overheid onrechtmatig werd geacht door de rechter.10 In dit systeem worden vele datasets van de overheid gekoppeld aan elkaar en door middel van kunstmatige intelligentie werd gezocht naar potentiële fraudeurs.
Groter risico op onrechtmatige toegang en ernstiger gevolgen
Naast de incidenten met Cambridge Analytics en ClearView, ligt er voorts een risico in onrechtmatige toegang tot grote datasets. Dit heeft te maken met het feit dat datasets steeds groter en groter worden. De hoeveelheid aan datapunten per individu wordt alsmaar groter. Ook het aantal organisaties waaraan men (soms onwetend) persoonsgegevens doorgeeft blijft groeien. Deze organisaties handelen vaak ook nog eens met persoonsgegevens. Het gevolg is dat datasets groter en groter worden en meer organisaties dergelijke datasets tot hun beschikking hebben.
Hoewel de beveiliging van software tegenwoordig redelijke aandacht krijgt, bestaat er altijd nog een risico dat een aanvaller toegang krijgt tot een organisatie die persoonsgegevens van honderden miljoenen mensen verwerkt. Het gevolg van een dergelijk risico is dan ook een stuk groter dan twintig jaar geleden, toen de datasets vele malen kleiner in omvang waren. Het is wachten tot iemand onrechtmatige toegang krijgt tot gevoelige gegevens en dit de gegevens betreffen van honderden miljoenen mensen.
Door de toename van ernstige gevolgen van onrechtmatige toegang of publicatie van gegevens, is privacy tegenwoordig een groot ding en wordt het wellicht alsmaar groter. Wij moeten echter met z'n allen zorg dragen dat de privacy van iedereen blijft gewaarborgd. De regels moeten streng zijn, maar wel praktisch bruikbaar. Organisaties zullen in de spiegel moeten kijken en bij zichzelf te rade gaan of het wel verantwoord is om bepaalde verwerkingen uit te voeren of om datasets met elkaar te koppelen, voordat er in Europa massasurveillance gaat plaatsvinden zoals nu in China gebeurt.
Voetnoten
- M. van der Linden, 'Redactioneel', Tijdschrift voor Internetrecht 2020, nr. 1.
- https://nl.wikipedia.org/wiki/Wet_van_Moore
- https://forrestheller.com/Apollo-11-Computer-vs-USB-C-chargers.html
- https://www.theguardian.com/news/series/cambridge-analytica-files
- https://nos.nl/artikel/2324950-ook-in-nederland-gezichtsherkenning-met-omstreden-programma-clearview.html
- https://decorrespondent.nl/209/nee-je-hebt-wel-iets-te-verbergen/19680941247-adb2cdbd
- https://nos.nl/artikel/2309388-china-bouwt-ongeevenaard-surveillancesysteem-maar-wel-tegen-een-prijs.html
- https://www.nu.nl/tech/5988390/china-hackte-telecomnetwerken-in-azie-om-oeigoeren-te-bespioneren.html
- https://nos.nl/artikel/2325063-geheime-fraudelijst-van-belastingdienst-was-in-strijd-met-wet.html
- https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Den-Haag/Nieuws/Paginas/SyRI-wetgeving-in-strijd-met-het-Europees-Verdrag-voor-de-Rechten-voor-de-Mens.aspx