Yes, ik had een kaartje weten te bemachtigen voor Het Grote Privacy Experiment van De Correspondent! Ook ontving ik direct het boek ‘Je hebt wél iets te verbergen: Over het levensbelang van privacy’ (Martijn en Tokmetzis, 2016), een echte aanrader. Een interessante avond en leesvoer was het gevolg, waar ik inspiratie uit heb gehaald voor dit stuk. Want besef jij je wel wat jouw digitale informatie teweeg brengt? Weten medewerkers en beslissers van een organisatie waarom bepaalde keuzes gemaakt zijn? Neem je digitale privacy net zo serieus als je fysieke privacy.

Privacy voor het individu: gedrag levert digitale voetafdruk

Het recht op privacy wordt omschreven als het recht op ‘eerbiediging van de persoonlijke levenssfeer’. Een groot onderdeel van de persoonlijke levenssfeer is ons gedrag: we doen boodschappen, hebben contacten met andere mensen, gaan naar de dokter en ploffen thuis op de bank. In het huidige digitale tijdperk blijven die behoeften bestaan, alleen is de invulling anders. Voor bijna alle gedragingen in de ‘fysieke wereld’ is een digitaal of online equivalent:  bijvoorbeeld je boodschappen doen met de zelfscan, contacten gaan via Facebook, Whatsapp en e-mail, de dokter schrijft mijn gegevens in een elektronisch patiëntendossier en ik plof thuis op de bank met Netflix. Alle organisaties die ervoor zorgen dat ik dit kan doen, slaan gegevens van mij op om deze diensten te leveren. Deze diensten zijn gebaseerd op informatie over mijn gedrag en bestaan uit een uitwisseling van informatie van mij naar de leverancier en terug. Mijn gedrag levert een digitale voetafdruk op van mij, die door uitwisseling van gegevens op veel meer plaatsen terecht komt dan alleen bij die ene leverancier die ik gebruik voor een dienst.

Informatie is analyse

De digitale voetafdruk die ik achterlaat bij het gebruik van diensten wordt opgeteld bij al die miljoenen digitale voetafdrukken van andere mensen. Samen vormt dit een enorme schat aan data, die gebruikt wordt voor analyse. Dat is direct het gevaar dat schuilt in het achterlaten van digitale voetafdrukken op verschillende plaatsen: niemand heeft meer inzicht in waar de informatie van één individu is en waar het voor gebruikt is. Als individu belandt jouw informatie op die grote hoop met data. Je kunt er bijna vanuit gaan dat informatie die je ergens achterlaat linksom of rechtsom gedeeld wordt met minstens een andere partij, die het op zijn beurt ook weer deelt. Wie heeft er dan nog controle over zijn of haar data? In veel gevallen weet je niet eens dat het jouw data is, het is eerder anoniem gemaakt door een deel van de informatie weg te halen, verder doorverkocht of gekoppeld met een onoverzichtelijk aantal andere databases. De digitale voetafdruk van één persoon wordt samengevoegd met digitale voetafdrukken van andere personen en vormt een groepsprofiel. Een voorbeeld van een groepsprofiel is ‘bewoners in gemeente X’ of ‘ kopers van kleding bij Zara’. Juist het combineren van verschillende informatiebronnen is voor bedrijven interessant voor het opstellen van deze groepsprofielen aan de hand van de digitale voetafdrukken die miljoenen mensen achterlaten.

Analyse is gedrag?

Het probleem met de digitale voetafdruk als weergave van mijn gedrag is ook dat deze informatie niet weergeeft wat de context en intentie achter een actie is. Informatie kan dus uit zijn context getrokken worden, informatie veroudert en kan niet meer op mij persoonlijk van toepassing zijn. Verschillende organisaties, zoals gemeenten, supermarkten en mediabedrijven maken om uiteenlopende redenen met behulp van informatie uit de digitale voetafdruk een profiel van mij. De ene keer is het doel van dat profiel duidelijker dan de andere keer. Duidelijk is bijvoorbeeld het doel ‘meer inkomsten door advertenties’. Lastiger en belangrijker wordt het echter bij complexe profilering zoals de overheid en opsporingsdiensten dit doen. Data uit allerlei databases worden met elkaar gekoppeld en leiden tot een bepaald profiel. Denk hierbij bijvoorbeeld aan de student die voor zijn scriptie onderzoek doet naar kernwapens en wordt aangehouden op het vliegveld omdat hij ‘verdachte’ zoekopdrachten op internet doet. De digitale voetafdruk die je achterlaat kan ervoor zorgen dat je in een bepaald profiel terechtkomt waar je eigenlijk helemaal niet in past.

Filteren van gegevens: keuze bepaalt de uitkomst

Profilering gebeurt aan de hand van filters: de programmeur (of informatieanalist) heeft ervoor gezorgd dat bepaalde (gedrags-)informatie belangrijker is dan andere en daar rolt een bepaald profiel uit. Data wordt gefilterd omdat er anders veel teveel van is, wat maakt dat een profiel op basis van data nooit alomvattend kan zijn als je het terugbrengt naar één persoon. Gegevens filteren betekent dat je keuzes maakt: welke data is belangrijker dan andere? Als individu doe ik dat ook: op basis van de voor mij beschikbare informatie maak ik bepaalde beslissingen. Volledige objectiviteit bestaat niet, er zal altijd informatie ontbreken. Voor organisaties is het echter gevaarlijk om besluiten te nemen die alleen gebaseerd zijn op automatisch gegenereerde profielen. Want weet jij als beleidsmaker of manager hoe de lijst geprogrammeerd is en welke keuzes gemaakt zijn om te komen tot het profiel wat je ziet? Keuzes maken betekent een oordeel vellen: is het bij een groep mensen die allemaal een bepaalde app gebruiken belangrijker welke leeftijd ze hebben of in welk gebied ze wonen? Dit soort keuzes beïnvloedt het profiel van bijvoorbeeld een appgebruiker of deelnemer aan avondonderwijs aanzienlijk. Als gebruiker van profielen en informatie over personen is het van belang om je ervan bewust te zijn dat deze keuzes gemaakt zijn, dat informatie soms niet is wat het lijkt, en dat jouw keuzes op basis van informatie idealiter niet alleen worden gemaakt op basis van automatisch gegenereerde profielen.

Privacy bij organisaties: informatie is dienstverlening

Data en data-analyse kan heel goed helpen bij een zo goed mogelijke dienstverlening aan klanten. De keuzes achter een automatisch profiel moeten echter goed gemotiveerd worden en binnen de juiste context geplaatst zijn. Hierbij komen we weer terug bij het begin: bij een supermarkt heb ik andere verwachtingen van wat zij doen met mijn digitale gedrag dan bij de dokter. En dat verschil is heel subtiel, zelfs tussen de supermarkt en drogist verwacht ik al dat zij anders omgaan met mijn informatie. Voor organisaties is die context dus heel erg belangrijk om de juiste keuzes te maken in analyse en verzameling van digitale voetafdrukken. Dit beïnvloedt vervolgens ook hoe de organisatie op de ‘maatschappelijk juiste’ manier informatie verzamelt, beveiligt en gebruikt. En daarbij: als je eenmaal een keuzes hebt gemaakt, betekent dit niet dat die keuze niet kan veranderen. Evalueer je keuzes dus op regelmatige basis: jouw standpunt over de omgang met privacy gevoelige informatie heeft invloed op je dienstverlening en omgang met klanten.

Kortom: denk als persoon en als organisatie na over welke informatie je weggeeft en welke informatie je (terug-)krijgt. Dit is bepalend voor de dienstverlening die je je klant kunt bieden en de dienst die je zelf ontvangt. Meer weten of vragen naar aanleiding van dit stuk? Laat dan even een bericht achter, ik help je graag.

Deel dit artikel met anderen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on PinterestEmail this to someonePrint this page

Lilian focust zich bij Strict op IT informatiebeveiliging en privacy vanuit het oogpunt van proces en business. Ze heeft een passie voor de doorvertaling van security-standaarden en privacywetgeving (zowel de Wbp als de AVG) naar de praktische invulling binnen een organisatie, zowel technisch als organisatorisch. Lilian is Lead Implementer ISO 27001:2013 gecertificeerd.

Tags: , , , ,