Boekbespreking 'Je hebt wél iets te verbergen': Oke, ik heb iets te verbergen. Hoe houd ik dat zo?

De urgentie van privacy laten zien door ‘het onzichtbare’ zichtbaar te maken: De Correspondent-journalisten Maurits Martijn en Dimitri Tokmetzis startten hun zoektocht alvast met een duidelijk doel. Met het onzichtbare doelen ze op wat allemaal met onze persoonlijke gegevens gebeurt. Dat uit hun resultaten blijkt dat we iets te verbergen hebben, ‘verklapt’ het duo al in de titel en inleiding. Dat het bijster moeilijk is om ons ook echt te beschermen, moeten we gaandeweg vaststellen. Een erg hoopvol beeld van privacy in de steeds verder digitaliserende wereld schetsen de twee journalisten in Je hebt wél iets te verbergen - Over het levensbelang van privacy in elk geval niet.

Is it too late now to say sorry?

Laat ik deze blog beginnen met eventjes mijn excuses aan te bieden.

Sorry, lieve vrienden, familie en contacten, dat ik keer op keer zo achteloos die cookies en privacyvoorwaarden geaccepteerd heb. Dat ik niet zorgvuldig omspring met mijn eigen data, dat moet ik maar weten. Dat ik daardoor mogelijk ook jullie gegevens doorspeelde aan de meest uiteenlopende partijen, van bedrijven, overheden tot in het slechtste geval misschien wel cybercriminelen, daar had ik voor het lezen van dit boek nog nooit bij stilgestaan.

Ook sorry aan Lore uit de toekomst. Ik besef nu pas hoeveel bergen data ik tot nu toe wel niet ten grabbel heb gegooid. Nooit met slechte bedoelingen hoor, vaak was ik simpelweg te gemakzuchtig om even stil te staan bij wat die ene site of applicatie nu precies van mij bijhield. De auteurs spreken in dat geval van de privacyparadox, privacy wel belangrijk vinden, maar er nauwelijks naar handelen. Ik zie het vooral als een knap staaltje kortetermijndenken. Ik wilde snel, zo makkelijk mogelijk en het liefst ook gratis met die sites en applicaties aan de slag. De mogelijke langetermijngevolgen, dat de gegevens die diezelfde sites of applicaties verzamelden wel eens in verkeerde handen zouden kunnen terechtkomen bijvoorbeeld, worden me nu pas pijnlijk duidelijk.

Zo hebben we ze ook meteen gehad: mijn twee belangrijkste take-aways uit Je hebt wél iets te verbergen. 'Ik heb inderdaad iets te verbergen' had ook gekund, maar klopt eigenlijk niet voor mij. Let op: dit is geen openlijke bekentenis van illegale praktijken. Blijkbaar beschik ik gewoonweg over een groter aandeel paranoia dan de meeste ‘ik heb niets te verbergen’-aanhangers die De Correspondent-journalisten doorheen de jaren spraken. Terecht, zo blijkt nu ik door hun boek heen ben. Al had ik gerust nog wat meer paranoïde mogen zijn, zoals uit mijn vaststellingen hierboven en wat nog volgt blijkt.

De urgentie is hoog…

Zonder dat we het beseffen, raken we vrijwel constant gegevens kwijt. Je kan het zo gek niet bedenken of de Martijn en Tokmetzis tonen aan dat je het weggeeft: naam, geboortedatum, locatie, surfgedrag, gebruikte apps, telefoontype, taalinstelling, besturingssysteem…

Ofwel is dat zo bedoeld door anderen, zoals het eerste hoofdstuk over slimme adverteerders, smartphonebouwers en softwareontwikkelaars laat zien. Ofwel gebeurt dat onbedoeld, typisch als gevolg van mankementen in de beveiliging van de apparaten of software die we gebruiken, waarop in het tweede hoofdstuk ingegaan wordt. Een interessante nuance, maar of het nu gaat om gerichte advertenties of hackers die meegluren met onvoldoende beveiligde beveilingscamera's, de uitkomst blijft dat onze gegevens zonder dat we het weten in allerlei handen terechtkomen, waarvan de een al wat slechtere bedoelingen heeft dan de ander.

Ook de vaststellingen die in de hoofdstukken daarna volgen, zijn niet meteen rooskleurig. Hackers azen constant op onze data en bieden wat ze ontfutselen te koop aan via het dark web. Internetcriminelen kunnen er zo makkelijk mee aan de slag. Tegelijk blijkt ook de datahonger van overheden en commerciële partijen praktisch onstilbaar geworden, tot op het punt dat fundamentele waarden zoals burgerschap, autonomie en democratie in het gedrang komen. De metafoor van het ‘sleepnet’ om de praktijken van de Belastingsdienst te omschrijven is in die zin bijzonder veelzeggend.

Het roept veel vragen op: hoe komen die partijen aan onze gegevens, wat doen ze er precies mee, wat onthult dat eventueel over ons… De antwoorden blijken moeilijk te traceren, al doen de auteurs keer op keer verdienstelijke pogingen. Ze kraken smartphones, hacken wifinetwerken, kammen privacyvoorwaarden uit, houden hackersbijeenkomsten en spreken met de regelmaat van de klok af met experts, het liefst op café of restaurant lijkt het.

… de hoop dat we er iets aan kunnen blijkbaar ongegrond

Het onzichtbare volledig zichtbaar maken lukt hen niet altijd. Zo blijkt uit het onderzoek naar trackers dat de databedrijven die erachter zitten niet bekendmaken wat ze met onze data doen. De sites en apps die ze implementeren weten dat evenmin. Ook de datastromen binnen de Nederlandse Rijksoverheid blijken zelfs met de bereidwillige hulp van hackers, ambtenaren en juristen onmogelijk in kaart te brengen. Ze blijven weliswaar proberen en ontwaren zo toch al de contouren van het onzichtbare.

Dat blijkt uiteindelijk al meer dan voldoende om mij als lezer goed wakker te schudden: de schok is compleet, gedaan met onverschilligheid, tijd voor daadkracht. Maar als de auteurs dan uiteindelijk toekomen aan het beantwoorden van vragen als ‘Kunnen wij ons tegen dat gegluur wapenen?’ of ‘Wat kan de burger nu doen?’ volgt telkens opnieuw een trieste conclusie: als consument en burger staan we vrijwel machteloos tegen de gegevensverzameldrift. De metaforische sleepnetten zijn eigenlijk niet te ontwijken.

Of we onze privacy nu belangrijk vinden of niet, aan de schending ervan kunnen we amper iets doen. Waar wij constant verschillende mogelijke ingangen moeten zien te verdedigen met veilige wachtwoorden, regelmatige updates… hebben de partijen die aan onze gegevens willen komen slechts een ingang nodig. Zicht en controle krijgen op de informatiestromen waar we deel van uitmaken, blijkt onbegonnen werk. Vaak net omdat de instanties die ze in gang houden dat zelf niet meer hebben.

Een mens zou er van minder moedeloos worden en dat beseffen ook de auteurs: ‘Altijd op je hoede zijn is ook om gek van te worden.’ De Belgische techniekfilosofe Esther Keymolen bezorgt ons eveneens een reality check: ‘Zelf de beveiliging verhogen is voor bijna niemand een serieuze optie.’ Zelfs als je het op risico van een inzinking toch probeert, verder denkt dan ‘werkt het of werkt het niet’, je door privacyvoorwaarden die langer zijn dan Shakespeares Hamlet worstelt (zoals in het geval van PayPal)… loert de privacyparadox nog steeds om de hoek.

Tijd voor een positieve noot

Is het dan echt allemaal kommer en kwel? Niet per se, want Martijn en Tokmetzis hebben gelukkig ook aandacht voor een aantal positieve, nuttige toepassingen. Allemaal gaan die uit van het ‘kansen worden benut, risico’s vermeden’-principe. Predicitve policing bijvoorbeeld: door dataverzameling en -analyse kunnen patronen herkend worden die kunnen leiden tot criminaliteit. Dat maakt het de politie mogelijk om op tijd in te grijpen. Het is bovendien dit voorspellend principe dat een belangrijke rol speelt in de discussie die tot op heden gevoerd over het gebruik van gezichtsherkenning voor criminaliteitsbestrijding.

Via nudging kan de overheid dan weer ‘juist’ gedrag aanmoedigen via verleiding in plaats van dwingend te moeten optreden. In Nederland heeft de Belastingsdienst daarvoor zelfs een Team Gedragsverandering in dienst dat onder andere probeert chronische uitstellers op tijd te laten betalen. Ook in België past de FOD Financiën nudging handig toe bij hun herinneringsbrieven. Zulke technieken worden effectiever naarmate je over meer data, en dus inzicht in menselijk gedrag, beschikt.

Dat informatie gedeeld wordt tussen verschillende diensten zorgt er dan weer voor dat hulpverleners, politieagenten, veiligheidsdiensten… efficiënter en effectiever kunnen werken. Zelfs op commercieel vlak valt iets te zeggen voor de jacht op onze data: we krijgen diensten en producten te zien die aansluiten bij wie wij zijn en wat wij willen.

Ze doen me deugd als lezer, die positieve noten, en bieden tussen al het ‘slechte nieuws’ door even rust. Al voel ik meteen aankomen dat ook deze medaille wellicht een keerzijde heeft. Inderdaad: Martijn en Tokmetzis laten zien dat het probleemoplossende karakter van bovenstaande toepassingen haast altijd zwaarder doorweegt dan waarden als transparantie, privacy, keuzevrijheid...

Uiteindelijk raken overheid en bedrijven zelf de regie en controle kwijt, waardoor het voor burgers al helemaal niet haalbaar is om grip te krijgen op hun eigen privégegevens. Er worden ook fouten gemaakt. Die hebben natuurlijk lang niet altijd, maar af en toe wél, zoals in de zaak Dolmatov, ernstige consequenties. Bovendien worden net om bescherming mogelijk te maken, hier en daar bewust gevaarlijke situaties in stand gehouden of in de hand gewerkt. ‘Kunnen wij wel nog in de apparaten komen?’ luidt de vraag bij de introductie van nieuwe technologieën. Van botsende belangen of vicieuze cirkels gesproken.

Verontwaardiging, frustratie, maar ook gelatenheid

Tegen de conclusie is de verontwaardiging bij mij alomtegenwoordig. Ik weet niet eens meer op wie ik mijn frustraties moet richten. Het internet? De overheid? Meesterspionnen als Google en Facebook? Adverteerders? Datahandelaars? Hackers en cybercriminelen? Bij de auteurs heeft verontwaardiging ondertussen plaats gemaakt voor gelatenheid: ‘We zijn somberder geworden door deze zoektocht’, schrijven ze op het einde van de conclusie. Tegelijk pleiten ze voor een omwenteling.

Dat is ondertussen drie jaar geleden, Je hebt wél iets verbergen verscheen in september 2016. Op dat moment krijgt privacy volgens de auteurs ‘gigantisch veel aandacht’: boeken (zoals hun eigen boek), journalistiek werk (bijvoorbeeld What they Know van de Wall Streef Journal dat genomineerd werd voor een Pullitzer of de NSA Files van The Guardian dat de Pullitzerprijs won) en ook films (denk aan CitizenFour over Edward Snowden) over het topic wekken heel wat aandacht.

Ook uit opiniepeilingen zoals de Eurobarometer van 2015 waar de journalisten naar verwijzen komen cijfers naar voor als ‘70% is bang dat zijn gegevens voor andere doeleinden worden gebruikt dan waarvoor ze worden verzameld’. Toch merken Martijn en Tokmetzis op dat moment nog heel wat onverschilligheid en gebrek aan daadkracht, meteen ook de aanleiding voor hun onderzoek en bijhorende boek.

Daarbij maken ze meerdere keren de vergelijking tussen de privacy- en klimaatdiscussie. Zo stellen ze in de inleiding dat privacy ‘aan het hetzelfde euvel lijdt als het klimaat’. Het baart ons grote zorgen, maar toch gaan we op dezelfde voet verder en kiezen we de makkelijkste weg. Niettemin gaan de journalisten in de epiloog met hulp van De Correspondent-collega en klimaatjournalist Jelmer Mommers na welke lessen uit de klimaatbeweging kunnen getrokken worden om ook het gesprek over privacy aan te zwengelen. Die beweging was er volgens de auteurs namelijk wel al in geslaagd om klimaat als een ‘collectief en moreel probleem’ neer te zetten.

In tijden van alomtegenwoordige klimaatprotesten anno 2019, kan ik alleen maar concluderen dat diezelfde klimaatbeweging ondertussen nog veel verder staat. Maar geldt dat ook voor de privacybeweging en -discussie, iets waar Martijn en Tokmetzis in 2016 wellicht wel op hoopten?

Waar staan we nu, drie jaar later?

Op een aantal vlakken kunnen we van status quo spreken: we worden nog steeds achtervolgd door gepersonaliseerde advertenties (op dit moment een handtas waarover ik nog twijfel in mijn geval). Ook datalekken komen nog steeds voor. Even terug bood een hacker de gegevens van de 250.000 gebruikers van de Nederlandse prostitutiewebsite Hooker.nl te koop aan. Zo werden ze ineens extreem vatbaar voor cybercrime zoals blackmail. Ten slotte blijven overheden en veiligheidsdiensten volop nieuwe technologieën omarmen, al vormt privacy daarbij nog steeds niet de prioriteit. Of hoe Frank Schuermans van het Controleorgaan op de Politionele Informatie (COC) het in De Standaard stelt: 'Wie ligt er vandaag nog echt wakker van privacy, behalve als men zelf slachtoffer is? In dit soort politiek-maatschappelijke discussies helt de consensus al snel over naar de efficiëntie van de handhaving.'

Veel veiliger voelen we ons online ook nog niet: uit een studie bij 27.000 Europeanen in 2019 blijkt dat 62% het gevoel heeft dat ze online geen complete controle hebben over hun persoonlijke data. Dat is wel een beter resultaat dan de 85% in 2015 waar Martijn en Tokmetzis naar verwijzen. Een mogelijke verklaring? De General Data Protection Regulation of GDPR: de Europese privacywet die de Europese burgers meer controle geeft over de verwerking van hun persoonlijke gegevens.

Hoewel de veelbesproken en langverwachte wet al in april 2016 werd aangenomen, komt ze in het boek niet voor. Het spreekt voor zich dat ze nochtans een erg belangrijke schakel vormt in het zichtbaar maken van de ‘onzichtbare’ tendensen die achter gegevensverwerking schuilgaan. Zeker omdat de wet geldt voor alle instanties die diensten of goederen aanbieden aan inwoners van de EU en dus ook van toepassing is op Google en Facebook. Natuurlijk zijn er verzachtende omstandigheden: Je hebt wél iets te verbergen vormt in de eerste plaats een neerslag van een onderzoek dat journalisten verspreid over een paar jaar hebben gevoerd. Bovendien trad de GDPR pas op 25 mei 2018 officieel in werking.

Waar de journalisten nu, noodgedwongen, een bad news show brengen, zou een aantal cases uit het boek opnieuw bekijken met de GDPR in het achterhoofd wel interessant en eventueel zelfs hoopgevend kunnen zijn. Al blijft er zelfs nu de wet er is werk aan de winkel: uit een eerste analyse een jaar na invoering blijkt dat 67% van de Europeanen al van de GDPR gehoord hebben en ook 57% weet dat er een publieke autoriteit in hun land bestaat dat hun rechten op vlak van persoonlijke gegevens beschermt. ‘Horen van’ en ‘weten dat’ betekent niet noodzakelijk ook ‘gebruikmaken van’. Extra bewustmaking kan dus zeker geen kwaad om de nodige tegenmacht te verzekeren. Zeker omdat het eerder de 'Wat kan ik nu precies doen?'-vraag dan de 'Ik heb iets te verbergen'-vaststelling is die op mijn lever is blijven liggen na het lezen.

Referenties

• European Commission. (2019, Juni 13). Data Protection Regulation one year on: 73% of Europeans have heard of at least one of their right. Persbericht. Geraadpleegd via https://europa.eu/rapid/press-release_IP-19-2956_en.html

• Eos Psyche & Brein (2017, 9 oktober). Nudging: een verstandig duwtje in de rug? Eos Wetenschap. Geraadpleegd via https://www.eoswetenschap.eu/psyche-brein/nudging-een-verstandig-duwtje-de-rug

• Evdg (2019, 21 september). Lek bij bedrijf dat babyfoons en beveiligingscamera’s verkoopt: hackers kunnen meegluren in huis, ook in ons land. Het Nieuwsblad. Geraadpleegd via https://www.nieuwsblad.be/cnt/dmf20190921_04620617

• Koenis, C., & Deckmyn, D. (2019, 11 oktober). Gegevens prostitutieforum Hookers.nl op straat. De Standaard. Geraadpleegd via https://www.standaard.be/cnt/dmf20191010_04656441

• Macaskill, E., & Dance, G. (2013, 1 november). NSA Files: Decoded. The Guardian. Geraadpleegd via https://www.theguardian.com/world/interactive/2013/nov/01/snowden-nsa-files-surveillance-revelations-decoded#section/1

• Martijn, M., & Tokmetzis, D. (2016). Je hebt wél iets te verbergen – Over het levensbelang van privacy. Amsterdam, Nederland: De Correspondent.

• [Movieclips Trailers]. (2014, 13 oktober). Citizenfour Official Trailer #1 (2014) - Edward Snowden Documentary HD. Geraadpleegd via https://www.youtube.com/watch?v=6ADUs8iN7NE&t=11s

• Suicide of Aleksandr Dolmatov. (n.d.). In Wikipedia. Geraadpleegd op 27 oktober 2019, via https://en.wikipedia.org/wiki/Suicide_of_Aleksandr_Dolmatov.

• Sokol, K. (2016, 31 oktober). Directere aanmaningsbrief levert fiscus 18 miljoen euro op. VRT NWS. Geraadpleegd via https://www.vrt.be/vrtnws/nl/2016/10/31/directere_aanmaningsbrieflevertfiscus18miljoeneuroop-1-2807919/

• The History of the General Data Protection Regulation. (z.d.). Geraadpleegd op 27 oktober 2019, via https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en

• Vanhecke, N., & Deckmyn, D. (2019, 12 oktober). De camera ziet u, maar wilt u ook herkend worden? De Standaard. Geraadpleegd via https://www.standaard.be/cnt/dmf20191011_04658473

• What they know. (z.d.). The Washington Post. Geraadpleegd via https://www.wsj.com/news/types/what-they-know