Brief 1

Als we het toch over privacy gaan hebben, kan ik net zo goed iets over mezelf vertellen. Ik ben directeur-generaal voor Energie, Telecom en Mededinging bij Economische Zaken. Ik ben ambtenaar: ik neem geen politieke besluiten. Ik bereid ze voor, voer ze uit en regel dat er toezicht op wordt gehouden.

Eh… vervang ‘ik’ maar door ‘mijn mensen’. En laat ‘mijn’ bij nader inzien weg, want ik ben echt niet de eigenaar van iedereen die werkt aan bij voorbeeld toegankelijke en betaalbare verbindingen voor elektronische communicatie, die bijdragen aan innovatie en economische groei.

Voordat ik verdwijn achter beleidstaal: ooit was ik politiedirecteur, en ik ben nog steeds vader, fietser, lezer en vakantieganger, onder meer. Ik vind technologie, beleid en bestuur leuk en belangrijk, maar mensen nog veel meer. En – toeval of niet – privacy bevindt zich op het grensvlak van technologie, informatie en mens.

Ooit was privacy best overzichtelijk: je mocht niet gluren bij de buren, vertrouwelijke foto’s publiceren of brieven openmaken die niet voor jou waren bedoeld. Dat is wettelijk keurig afgetimmerd met termen als ‘bescherming van de persoonlijke levenssfeer’ en ‘briefgeheim’.

Maar tijden veranderen en door de digitalisering is er ineens veel werk aan de winkel. De grondrechten bleven hetzelfde, maar ze moesten worden uitgebreid naar het digitale terrein. Zo is afgelopen jaar het briefgeheim ook uitgebreid naar digitale communicatie.

Half Nederland ‘betaalt’ voor digitale diensten door privé-informatie te delen. Social media vangen die informatie op en verkopen hem ‘aan de achterkant’ door aan de hoogste bieder. Wie dat is? Geen idee. Het gebeurt in fracties van seconden. In de datasystemen van zowel de platforms als hun afnemers vormen zich steeds gedetailleerdere persoonsprofielen.

Alles wat je koopt, kijkt, liket, roept en fotografeert zit daarin. Waar je bent, waar en bij wie je overnacht en waar je naartoe gaat. Of je ziek bent (‘koopt keeltabletten en paracetamol’), happy (‘bestelt twee witbier op terras’) of in hoger sferen (‘luistert Matthäus Passion’).

Mogelijke gevolgen: je betaalt te veel voor concerttickets, loopt een aanbieding voor een goedkopere zorgverzekering mis, of je wordt gepest of gechanteerd met Facebook-foto’s. Een moeilijk probleem, onder meer omdat je er weinig of niets van merkt. Totdat het mis gaat.

Als er weer eens op grote schaal persoonlijke data op straat liggen, roepen mensen al snel om wetgeving, privacy-politie of strengere straffen. Begrijpelijk dat burgers naar de overheid kijken, en natuurlijk mag het grondrecht privacy niet worden aangetast. Maar we moeten geen nodeloze drempels opwerpen voor een vrij dataverkeer, of belemmeringen voor bedrijven die willen innoveren.

Dus leggen we een wettelijk fundament neer waarmee we iedereen dwingen zorgvuldig met persoonlijke data om te gaan. Vervolgens kijken we wat we kunnen bereiken met lichtere middelen, zoals voorlichting, gedragsbeïnvloeding, en prikkels voor marktpartijen om transparant te zijn over hun omgang met onze gegevens. Of dat genoeg is? Wat denk jij?

Vriendelijke groet,

Sandor,

P.s. Privacy is persoonlijk. Als ik je tegenkom op de fiets groet ik je vriendelijk, maar een foto van mij in fietskleding op een publieke website, daar heb ik moeite mee. Is jouw privacy-grens ooit overschreden?

Brief 2

Dat heb ik weer: over complexe begrippen als privacy communiceren met een zompige- hotelcakejunkie… Maar ik stap over mijn weerstand heen, omdat je met dat ‘privacy doorbreken’ een goed punt aansnijdt. Het uitwisselen van persoonlijke informatie, liefst over licht belachelijke kleinigheden, schept een band. En roddelen is een universeel menselijke behoefte, essentieel voor het vormen van vriend- en vijandschappen en het onderhouden van de sociale orde in gemeenschappen. Zoiets als het vlooien van apen, zeggen gedragsdeskundigen.

Rond 1875 dachten ze zelfs bij Bell Labs dat de telefoon nooit bij iedereen in huis zou hangen (laat staan in iedere jaszak zou zitten): wat zouden mensen elkaar te melden hebben? Veel, weten we nu. En het meeste is geklets over kittens, de afwas of de file, of geroddel over rare gewoontes van de buren of de scheiding van BN-ers. Hetzelfde met het internet. Van militair netwerk ontwikkelde het zich tot communicatienetwerk voor wetenschappers, er werden wat gebruiksvriendelijke toepassingen aan toegevoegd en voilà! Nu pict, vlogt en tweet ongeveer iedere puber zich de dag door. Opdat er over je gesproken wordt, of om zelf te kunnen roddelen of kletsen. En omdat ‘schriftelijk’ roddelen raar aanvoelt, werden de emojis uitgevonden, die iedereen tegenwoordig door zijn elektronische communicatie strooit.

Al die online self-exposure lijkt leuk, aardig en meestal weinig wereldschokkend. Maar het is vooral ook een diep menselijke behoefte. En daardoor kan het link worden, of pijnlijk: cyberpesten, privé-foto’s en filmpjes die de hele wereld over gaan, sexting, afpersing, enzovoorts. Dat zijn taaie problemen. Twee harde lessen die we als overheid hebben geleerd: gedragsverandering kun je niet afdwingen. Mensen blijven slordig met wachtwoorden, met wat ze posten en met wie ze hun data delen.

En digitale kwaadwillenden (van pestende pubers tot serieuze criminelen) zijn heel lastig op te sporen en te vervolgen, onder meer omdat ze anoniem kunnen blijven of heel ver weg zitten. Dus proberen we niet alleen de daders aan te pakken, maar ook de potentiële slachtoffers weerbaar te maken. Met campagnes en voorlichting maken we mensen bewuster. Spotjes op tv, lespakketten, websites, advertentiecampagnes enzovoorts. Dat helpt, maar het is helaas maar een deel van de problemenverzameling die digitale privacy heet.

Ik denk dat het onder meer zo’n taai probleem is, omdat mensen onderschatten hoe snel digitale vernieuwingen gaan, niet snappen hoe veranderlijk de digitale wereld is of gewoon niet meer kunnen volgen wat er aan de achterkant van hun apps gebeurt.  Je merkt nauwelijks dat je privégegevens weggeeft, want je bent niet direct iets kwijt. Het gaat sneller dan je zelf bedenken kan. Of makkelijker, zeker als het gratis is. Plots deel je je gegevens met de halve wereld, zonder die te kennen. Misschien dat een beter begrip van dergelijke mechanismen mensen helpt bewuster met data en digitale diensten om te gaan? Of dat het helpt voorkomen dat de digitale omgeving voor nare verrassingen zorgt? Je maakt me nieuwsgierig met wat je vertelt over SETUP en over de inzet van humor om data-vraagstukken inzichtelijk te maken voor een breder publiek. Zou dat kunnen helpen?

We zijn nu bezig met het invoeren van van de algemene verordening gegevensbescherming van de Europese Commissie, die ingaat op 25 mei 2018. Met die AVG wordt het huidige EU kader uit de vorige eeuw gemoderniseerd en geschikter gemaakt voor het digitale domein.

Data-verwerkende bedrijven (zeg maar: zo goed als alle bedrijven) moeten een heldere privacyverklaring hebben, duidelijk maken wat ze doen met je data en niet meer data van je vragen dan nodig is voor hun diensten. Bedrijven moeten verantwoording afleggen over hun omgang met data (en daar dus data over bijhouden) en iedereen moet zijn eigen data makkelijk mee kunnen nemen naar een ander bedrijf.

De overheid (vooral de Autoriteit Persoonsgegevens) krijgt een zwaardere toezichthoudende taak. Al met al een majeure operatie, zoals we dat hier in Den Haag zeggen.  Als die operatie achter de rug is, hebben we een stevige lijn uitgezet voor het gebruik van persoonsgebonden data, inclusief het doorverkopen daarvan. Maar ik zei het al: het gaat ook om gewoonten en gedrag. Met regels alleen komen we er niet. Want het achterliggende probleem is natuurlijk dat veel er zelf mee instemmen dat hun gegevens in handen van derden komen, bijvoorbeeld door gebruiksvoorwaarden te accepteren en daar verder niet bij na te denken.

Kortom: wetgeving is belangrijk, maar er meer is nodig. Bewuste burgers, ethisch handelende bedrijven, en economische prikkels om op zoek te gaan naar privacy-vriendelijke oplossingen. Bedrijven zitten in een overgangsfase. Ze zien privacyvriendelijk ondernemen steeds minder als iets dat moet, en vaker als iets waarmee je je kunt onderscheiden.

Over jouw sollicitatie in 2023 gesproken: in Amerika is al een bedrijf actief dat aanvragen van leningen beoordeelt met kunstmatige intelligentie en zelflerende machines. Ze verwerken 70.000 signalen per aanvraag (je leest het goed), waaronder de datum waarop je laatste bankrekening is aangevraagd en het taalgebruik in je Facebook updates. Kortom: it’s there and it’s alive. Dit vraagstuk reikt veel verder dan privacy en roept voor de overheid nieuwe vragen op.

Algoritmen beslissen straks over jouw geschiktheid voor een baan of een hypotheek, maar ook over de behandeling van je ziekte. Die beslissingen zijn beter (in theorie dan), maar het voelt niet goed. Want je neemt ze niet zelf. Je ziet ze niet. Dus liggen onzekerheid en wantrouwen op de loer. In de praktijk loopt het in Nederland zo’n vaart niet, overigens: zo is het uitsluiten van verzekerden op grond van data niet toegestaan en ook niet aan de orde.

Over het overschrijden van mijn privacygrens moest ik even nadenken. Ik had zin om te schrijven: ik leid zo’n braaf leven en doe zo weinig met sociale media dat ik daar weinig last van heb. Maar jij doelt op iets anders, iets dat klinkt als aantasting van je autonomie en je recht op zelfbeschikking. Of zie ik dat verkeerd?

De juristen Moerel en Prins zeggen in ‘Privacy voor de homo digitalis’ dat privacy ‘een voorportaal is voor andere fundamentele rechten en vrijheden van het individu die gezamenlijk weer instrumenteel zijn voor het goed functioneren van onze democratische rechtsstaat.’ Bedoel je zoiets? Hoe dan ook: daar kom ik op terug.

Het verrast me wel als jij zegt dat jouw privacy-grens constant wordt overschreden. Ik lees links en rechts dat jongeren privacy-bewuster zijn, maar er ook meer ontspannen mee omgaan. Ben jij een uitzondering of hebben de rapporten het mis? Ik hoor het graag.

Tot snel!

Sandor

Brief 3

Dank voor je brief. Echt. Ik vind dat je werkelijk prachtig uiteenzet waarom privacy belangrijk is. Niet alleen vanwege de last die je er mee kunt krijgen, maar omdat je het nodig hebt om jezelf te zijn, om te voorkomen dat je alleen nog wordt bepaald door wat de buitenwereld, al dan niet voorgeprogrammeerd, van je vindt. Ik moest denken aan ‘De cirkel’ van Dave Eggers. Het meest onheilspellende van dat boek vond ik nog dat big brother daar binnensluipt in een wolk van goede bedoelingen, warme gevoelens en nobele ideeën. Het resultaat daarvan is echter een benauwende wereld, waarin conformisme zaken als authenticiteit, creativiteit en innovatievermogen verdringt.

Ik begon te verlangen naar het rommelinterieur - met rendiergewei-lamp - van de ouders van hoofdpersoon Mae Holland. Hoewel ik toch echt meer van helderheid en strak design houd. Eggers beschrijft een wereld waarin social cooling een epidemie dreigt te worden, begrijp ik nu. Ik zie het maar als een teken van geestelijke gezondheid dat ik daar zo heftig op reageerde. Daar moesten we misschien bij een kop koffie eens over doorpraten (nadat ik de postcode van het Noordeinde heb ingetikt in je koffie-apparaat :-)).

Ook wat je over Silicon Valley zei  zette mij aan het denken: Economische Zaken is het ministerie van het stimuleren van economische groei en innovatie, en van de bescherming van consumenten, inclusief hun privacy (en daarnaast van veel meer, van agro tot voedselveiligheid). Onze missie is om Nederland en de Nederlandersnog innovatiever en ondernemender te maken. En dat lijkt te lukken, gezien de bloeiende creatieve industrie, de groeiende startup-cultuur, de innovatieve financiële en technologiesector en de landbouw (we zijn wereldkampioen precisielandbouw, vertelde mijn collega van ‘agro’). Ook jij wijst erop dat alle digitalisering en datagedreven innovatie het ‘echte innovatievermogen’ juist beperkt. Dat lijkt me niet goed, niet voor de economie, maar ook niet voor de mensen zelf.  Het lijkt me bovendien een ontwikkeling die maatschappelijke weerstanden oproept.

Ik las laatst toevallig een krantenstuk over norm core. Twee bijna identiek geklede meisjes waren stomverbaasd toen ze te horen kregen dat ze zich zo conformistisch kleedden. Ze hadden allebei zwart-witte sportschoenen aan, maar die van het ene meisje hadden ronde neuzen en dat zou de ander nou bij voorbeeld nooit dragen.  Jongeren conformeren zich, maar blijven zichzelf toch volstrekt uniek en authentiek vinden. Misschien ontdekken jongeren in dat ene paar schoenen, als je het juist interpreteert, een hele microkosmos aan mogelijkheden. Misschien verplaats of muteert zelfexpressie zich alleen.

Je waarschuwt in je brief dat zich een reputatie- of censuureconomie aan het ontwikkelen is. Dat moet een mens al snel aan China denken, waar privacy niet, zoals in Westerse landen, in de grondwet is opgenomen.  Voer voor nadenken: terwijl China sociale kredietpunten inzet om brave burgers te kweken, zetten wij vergelijkbare mechanismen (waaronder zelfregulering) in om providers die veel illegale content zoals kinderporno en haatzaaierij doorlaten tot beter gedrag te bewegen. Dat is veel efficiënter dan meer wetten en regels maken, die handhaving vereisen en mogelijk grote inspanningen voor , opsporing en vervolging. Het werkt alleen als de providers meewerken. Dat doen ze gelukkig. 

En jij houdt de burger scherp met creepycompanies.com. Mooi! Overigens: er zijn genoeg mensen die denken dat zo’n AI-en big data-gedreven kredietbeoordelaar juist een voorbode is van een prachtige toekomst waarin kredieten goedkoper zijn (want lagere beoordelingskosten en grotere markt) en dus breder beschikbaar voor iedereen. Ik begrijp hun punt, maar het blijft creepy dat door derden verzamelde en gecombineerde data op die manier voor of tegen mij gebruikt kunnen worden. 

Het kersverse regeerakkoord geeft aardig aan welke richting de regering op wil met zijn privacy beleid. Mensen moeten bij voorbeeld ook per gewone post met de overheid kunnen blijven communiceren. De overheid bewaakt de vertrouwelijkheid van haar burgergegevens: data in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen en de DigiD wordt veiliger gemaakt.

Mensen krijgen meer zelf de regie in handen over hun eigen persoonsgegevens. Zo kunnen ze maatschappelijk relevante instanties en organisaties aanwijzen waaraan automatisch een beperkt aantal persoonsgegevens mag worden verstrekt. Kortom: de overheid zoekt het evenwicht tussen privacy en gebruiksgemak als het gaat om de data die zij van haar burgers in beheer heeft.

Een andere afweging uit het regeerakkoord is nog veel gevoeliger. Namelijk terrorismebestrijding. Als het op straf of inperkingen van vrijheden aan komt moet “telkens kritisch afgewogen worden in welke mate de privacy en overige vrijheden worden ingeperkt”, zegt het regeerakkoord. Dat wordt spitsroeden lopen voor de komende jaren, denk ik. Die afwegingen moeten we maken veel in samenspraak met bedrijfsleven maken (niet alleen de ‘grote jongens en meisjes’, maar ook innovatieve startups met briljante ideeën).

Mensen die weten hoe  je smartphones, slimme thermostaten, of discriminerende koffie-apparaten privacyproof krijgt. Al doende leren we die kind en badwaterles, al doende zwemmen we meer en betere baantjes. Al schuwen we zwaarder geschut niet. Als het nodig is regelen we de aansprakelijkheden, maken we ook nieuwe wettten of passen we ze aan, organiseren we dat ze worden gehandhaafd en dat eventuele sancties stevig genoeg zijn en worden uitgevoerd.  Maar dat noemde ik al.

Ik heb zin om nog een heel verhaal te houden over de nieuwe Europese e-pricvacy-richtlijn, die samen met de door jou geprezen GDPR (in het Nederlands Algemene Verordening Gegevensbescherming of AVG) het privacy-beleidskader vormt voor elektronische communicatie. Dat doe ik niet. Je moet oppassen je medemens niet te overvoeren met beleidskaders, want dat is nog veel zwaardere kost dan zompige hotelcake. En we spreken elkaar misschien binnenkort in Eindhoven, in de Effenaar. Toch?

Ik kijk er naar uit. Groet!

Sandor

P.S.

Nog even over de paradox tussen het privacyverantwoord handelen van mensen en bedrijven en hoe dat innovatie en verandering in de weg lijkt te staan. 

Zou je die tegenstelling ook met innovatieve technologie kunnen opheffen? Hoe zie jij dat?  Of is dat ‘technology fix’-denken?