De EU moet een ‘datamarkt’ worden – maar wat doet dat met onze privacy?

‘Als je naar databescherming op zichzelf kijkt, zie ik ruimte voor optimisme. Ja, het duurt lang, maar langzaam komen er ook rechterlijke uitspraken op gang. De rechtbank gebruikt de wet zo beschermend mogelijk en probeert de zwakste partij – wij – beter te beschermen. Tegelijkertijd duurt het lang. Met handhaving zijn er altijd juridische en technische problemen. Het is niet ideaal, maar kan worden opgelost.’ 

‘We bevinden ons nu op een belangrijk moment. We moeten beslissen waar we over tien jaar, over twintig jaar, willen zijn. In wat voor soort samenleving willen we leven? Wat is de rol van data en technologie daarin, en wat blijft “onze” ruimte?’ 

Er gaat veel geld in deze data-economie om. De EU zelf schat dat het volgend jaar oploopt tot 829 miljard euro.

‘Het was zeker een economische prioriteit van de laatste Europese Commissie om een interne markt voor data te creëren, waarmee het economisch potentieel van data in Europa benut kon worden. Dat was hun prioriteit. Dat koppelden ze aan aanzienlijke budgetten voor bepaalde projecten. Nu is het de vraag wat daarvan terecht is gekomen. Is deze interne markt voor data vandaag de dag al zichtbaar? Zover is het nog niet. Dus of het geld goed geïnvesteerd is, weet ik niet. We zullen zien wat er over vijf jaar zal gebeuren. De gevolgen van de dingen die nu op poten worden gezet zijn nog niet duidelijk. Dat komt pas over vijf, tien jaar.’ 

Er was al een Data Governance Act; in januari is een vervolgstap gezet met de Europese datawet. We stomen vooruit. Wat zit hier voor idee achter?

‘Het basisidee van de Europese Commissie is dat data een hulpmiddel zijn dat we beter moeten gebruiken om niet achter te raken. Kijk naar de VS, kijk naar China. Er heerst het gevoel dat die twee meer vooruitgang hebben geboekt, vooral met betrekking tot kunstmatige intelligentie. Ze denken dat wij in de EU tekortschieten en achterop zullen raken. Met deze datastrategie, en de bijkomende wetten, willen ze ons een duwtje in de rug geven om alle data die we hebben ook daadwerkelijk te gebruiken. Om ook innovatief te zijn, en deze ontwikkelingen in te halen. Voor kunstmatige intelligentie is natuurlijk heel veel data nodig. Het idee is dat de AI door die data beter en beter zal worden, zodat de EU minder achteropraakt. Ik weet niet of dat ook zo werkt, maar dat is waar ze voor pleiten.’ 

Waarom twijfel je daaraan?

‘Ze hebben niet volledig onderzocht waarom data op dit moment niet goed gebruikt kunnen worden in de Europese Unie. Ze gaan ervan uit dat het te maken heeft met juridische obstakels. Ze doen veel aannames. De reden dat de Europese Unie verschilt in haar ontwikkeling is niet noodzakelijkerwijs het gevolg van de manier waarop data worden gereguleerd. Er zijn verschillende factoren waarom de Europese Unie als vestigingsplaats minder aantrekkelijk is dan China of de VS. Dat heeft niet allemaal te maken met onze wettelijke beperkingen voor gegevens.’ 

Ze zetten dus ook rücksichtslos in op de ontwikkeling van AI. Dat is de toekomst?

‘Er is zeker een sterke link tussen alle initiatieven op het gebied van data én kunstmatige intelligentie. AI heeft veel data nodig om getraind te worden, maar ook om operationeel te blijven. Ze stellen nu dat die data er niet zijn, of van slechte kwaliteit, terwijl er goede data nodig zijn om een goed AI-systeem te trainen. Met deze wetten beargumenteren ze dat het beter kan. Dat er hoogwaardige datasets beschikbaar zijn om onze AI-systemen te trainen, en op die manier de verschuiving richting AI - die de Commissie voorspelt - te omarmen.’ 

Is het niet eng dat ze niet goed onderzocht hebben wat er nu gebeurt?

‘Zeker. Normaal gesproken was er in de Europese Unie het idee dat betere regelgeving ervoor zorgt dat alles makkelijker en eenvoudiger zal worden. Je gaat stap voor stap te werk. Eerst onderzoek je welke wetten er nu zijn. Hoe verhouden die zich tot het probleem? Wordt het daardoor al opgelost? Wat is er precies niet opgelost? En op die basis stel je een wet voor. Maar tijdens de laatste commissieperiode ging het veel sneller. De datastrategie is van 2020, en kondigde allemaal nieuwe wetten aan. De Digital Services Act, de Markets Act, de AI Act, de Data Act, de Data Governance Act. Ga maar door.’

‘Toen ik dat in 2020 voor het eerst las, dacht ik: “Dit lukt ze nooit. Ze zouden het in vier jaar gedaan moeten krijgen? Hoe dan?” Maar het is ze gelukt. Ze hebben bijna alles aangenomen met een ongelofelijke snelheid. Als je bedenkt dat dit gaat over data die in zoveel aspecten van de samenleving een rol spelen, hebben ze dan wel goed onderzocht wat er al bestond? Of het probleem al werd aangepakt, of dat er daadwerkelijk nieuwe wetgeving nodig was? Kijk naar de Data Governance Act, die gaat bij uitstek over data: data uit de publieke sector. De Data Act gaat over het delen van gegevens uit de private sector, en allebei bevatten ze veel optionele regels. Regels die je kunt volgen als je wilt, maar zonder verplichtingen. Ik vraag me dan af: misschien is het probleem niet dat sommige autoriteiten of bedrijven geen stimulans hebben om hun data te delen, maar dat ze het niet willen. Ik zie niet in hoe een optionele regeling die onwil om data te delen aan zou kunnen pakken.’ 

Brussel ziet voor zich dat er grote data spaces komen voor zowel private als publieke spelers, op het terrein van gezondheid, milieu, energie, landbouw, vervoer, financiën, enzovoort. Hoe zien die er eigenlijk uit, die gigantische opslagruimtes voor alle data, en waar staan die dan?

‘Dat is een goede vraag. Een van de concepten die de Europese Commissie introduceert is “dataruimtes” of “dataruimte”. Maar voor mij persoonlijk is het niet duidelijk gedefinieerd wat dat zou moeten zijn, of waar dat is. Ik vermoed dat het een vorm is van datadeling, maar met meer partners. Groter, beter data delen op meerdere niveaus en met meerdere actoren. Ik weet niet waarom er een nieuwe term voor nodig is. Misschien dacht de Commissie dat ze een nieuw buzzwoord nodig had?’

‘En inderdaad, in deze strategie wijzen ze enkele sectoren aan waar ze die ruimtes willen hebben. Ze willen een dataruimte voor landbouw bijvoorbeeld, voor onderwijs, voor de publieke sector. Voor transport. Het idee is dat data makkelijker gedeeld kunnen worden, door bepaalde infrastructuren te gebruiken die nog gebouwd moeten worden. De verst ontwikkelde dataruimte is nu die voor de wetenschap: de European Science Cloud. Maar zelfs dat is meer een catalogus waar je verschillende databases in kunt zien. Als je de gegevens wilt hebben, dan moet je nog steeds naar de individuele databases en het daar halen. Dus volgens mij is het nog niet volledig geïmplementeerd.’ 

Of het is een illusie. Of bedoelen ze de cloud?

‘Ja, de cloud. Het kan een soort van cloud zijn, waar veel mensen toegang toe hebben. Ik zie de nieuwe logica niet helemaal. Ik zie het aspect “dataruimtes” niet, maar het is natuurlijk een beleidsconcept. We zullen moeten zien hoe het zich ontwikkelt. Er staat een halve definitie in een van de wetten, maar daar staat alleen dat het over gegevensdeling en een beetje over interoperabiliteit gaat. Dat er verschillende systemen kunnen zijn voor datadeling, die ook met elkaar kunnen communiceren. Ik vind het maar vaag. Dus, waar die dataruimtes zijn? Geen idee. We zullen moeten afwachten hoe ze eruit gaan zien en wie er toegang toe heeft. Er zou een beperking moeten zijn voor specifieke doelen. De Transport Database is bedoeld om transport en mobiliteit te verbeteren en dus niet om mensen te bespioneren en om als staat te zien waar ze naartoe gaan. We moeten nog zien of er technische beveiliging wordt ingebouwd waarmee we uitsluiten dat dat gebeurt.’

Maar goed, de argumenten lijken sterk. Groei van welvaart. Stimulans voor de innovatie. Problemen in de gezondheidszorg oplossen…

‘Ja. De European Health Data Space behoort hier ook toe. Daarvoor hebben ze een specifieke regulering ontworpen, die net definitief is gemaakt, met het idee dat individuen zo gemakkelijker gezondheidsgegevens kunnen delen. Om zo het gezondheidsonderzoek te verbeteren. Dat heeft zin, in die sector zagen we ook problemen.’ 

‘Mijn vakgebied is het recht op bescherming van persoonsgegevens. Dat legt soms beperkingen op aan hoe je met persoonlijke gegevens kunt omgaan. In het onderzoek naar gezondheid zorgde dit voor een aantal problemen. Dat kan het lastig maken om gegevens te delen tussen de Europese Unie en landen buiten de Europese Unie, als je deelneemt aan een internationaal onderzoeksproject. Dat gebeurt vaak. Denk aan het bestuderen van zeldzame ziektes. Misschien zijn er niet genoeg gevallen binnen de EU om die te bestuderen. Dan is er externe informatie nodig, maar die is zeldzaam. Al zijn zeldzame ziektes zelf natuurlijk zeldzaam, maar het onderzoek is minder zeldzaam. Daar zitten dus erkende problemen.’

‘Ik begrijp dat ze dat proberen op te lossen, maar is deze oplossing ook echt een oplossing voor het probleem? Ik zou het verder moeten bestuderen. Zoals altijd heb ik mijn twijfels omdat het nogal ver gaat. Dat is een probleem met veel van de datawetten. Ze lijken onze normen voor gegevensbescherming subtiel te veranderen. Deze normen waren moeilijk te ontwikkelen. Zo makkelijk moeten we dat niet loslaten na zes jaar. De General Data Protection Regulation is van 2018. Dat is nog niet zo lang geleden.’ 

Wij kennen die General Data Protection Regulation (GDPR) als de AVG: Algemene verordening gegevensbescherming. Die waarborgt ons recht op privacy. Maar, men heeft haast. En is de noodzaak om privacy te beschermen wellicht ook niet meer dan een pretentie, met de mond beleden, in de praktijk niet of nauwelijks waargemaakt?

‘Bijna al deze wetten stellen dat ze onze normen voor gegevensbescherming onverlet laten. Het is één ding om dat in de wet te schrijven, wat er werkelijk zal gebeuren is iets anders. Daar heb ik mijn twijfels over. Een voorbeeld dat vaak wordt genoemd in academische discussies is dat al deze verordeningen een eigen autoriteit hebben om erop toe te zien dat iedereen de regels volgt. Dat betekent dat er zes of zeven autoriteiten zijn binnen één land, die naar hetzelfde onderwerp kijken vanuit allemaal verschillende invalshoeken. Dat klinkt voor mij als chaos.’

‘Binnen een lidstaat zullen ze het oneens zijn. Ieder heeft zijn eigen prioriteit. Afhankelijk van welke instantie je bezoekt, zullen er verschillende uitkomsten zijn. Dat zal voor veel juridische onzekerheid zorgen, zowel voor de bedrijven en overheden die deze wetten moeten implementeren, als voor individuen die proberen te begrijpen wat er met hun gegevens gebeurt. Als ze het gevoel hebben dat er iets misgaat, naar wie kunnen ze dan toe om er iets aan te doen? Het wordt een probleem als ze geen goede manier vinden om al deze autoriteiten te laten samenwerken.’ 

Dit geldt voor elk land afzonderlijk?

‘Ja, in elk land. Binnen de EU is het aan de lidstaten om de procedurele aspecten uit te zoeken, zoals welke autoriteit bevoegd is. We zijn nu in België, en natuurlijk wijst België veel autoriteiten op verschillende niveaus aan die samen moeten werken. Dat wordt een zooitje, maar ook in Nederland is het niet altijd even eenvoudig. Er zijn verschillende autoriteiten op zeer vergelijkbare gebieden. Hun samenwerking is cruciaal om dit ding op een of andere manier te laten werken.’ 

Maak je je zorgen over de bescherming van onze burgerrechten, over onze privacy? 

‘Ik doe juridisch onderzoek, dus ik ben een professionele piekeraar. We moeten ons eerst realiseren hoe belangrijk databescherming is. Veel mensen reduceren de GDPR tot een vervelende sta-in-de-weg. Misschien moeten ze ervoor trainen op hun werk.’ 

‘Het staat onze welvaart in de weg. Het staat innovatie en samenwerken in de weg.’

‘Dat beeld hebben mensen vaak van de GDPR. De GDPR probeert een moeilijke afweging te maken: “Dit zijn onze persoonlijke gegevens. Deze kunnen echt invloed hebben op onze privacy, op ons welzijn. Of we gediscrimineerd kunnen worden of niet. Er zijn veel risico’s aan verbonden. Dit zou ermee gedaan moeten worden en kunnen.”’

‘In de GDPR is het niet verboden om persoonlijke gegevens te gebruiken, maar als je ze gebruikt, moet je op een aantal dingen letten. Zorg voor bepaalde waarborgen. Denk na over wat je ermee doet. Zorg dat er een systeem is waar mensen een klacht in kunnen dienen. Mensen hebben rechten die hen kunnen beschermen. Dat is belangrijke logica van ons rechtssysteem, en daar moeten we niet vanaf stappen om op volle toeren te gaan draaien voor AI-innovatie en al het gebruik van data toestaan.’ 

‘Het is waar dat de Europese Unie wellicht achterloopt in de ontwikkeling van AI en technologieën, maar er is meer dan dat. We hebben een systeem van grondrechten dat ten grondslag ligt aan onze samenleving. Misschien is dat het waard om een beetje achter te lopen met AI? Misschien willen we geen AI-systemen die onze grondrechten schenden? We willen systemen die onze waarden en mensenrechten respecteren, dus misschien loont het om wat langzamer te zijn.’ 

Vertragen, de tijd nemen, om ons te realiseren wat de consequenties zijn van regulering en weging op het gebied van onze fundamentele rechten. Temeer daar het zulke complexe materie is? 

‘Vragen over data zijn zeer complex geworden. Ik word geacht universitair docent gegevensrecht te zijn, dus ik probeer van alles op de hoogte te zijn. Maar intellectueel eigendom begin ik nu pas te begrijpen. Intellectueel eigendom, zoals auteursrecht, speelt uiteraard een rol in wat er wel of niet met gegevens gedaan kan worden.’ 

‘In een mondiaal perspectief heeft iedere regio een andere visie op wat ermee moet gebeuren. De VS – ik generaliseer hier – is erg voor een vrije markt. Bedrijven hebben veel vrijheid in wat ze wel en niet mogen. In de EU zijn we meer beperkend. In China hebben ze ook veel beperkingen, maar tegelijkertijd willen ze wel groei en handel. Hun beperkingen zijn er niet noodzakelijkerwijs om mensen te beschermen, maar meer om de overheid en de zakelijke belangen te beschermen. Dat zijn verschillende benaderingen.’

‘In een ideale wereld is er een mondiale aanpak. Dan komen er experts bij elkaar om wereldwijd te kijken: hoe kunnen we dit oplossen? Dit zijn geen problemen die regionaal opgelost kunnen worden, maar zal dat ook gebeuren? Het is onrealistisch dat we het eens zullen worden, en dus moeten we vasthouden aan regionale, nationale benaderingen die met elkaar gaan botsen. Voor advocaten en juridisch onderzoekers is dat leuk, maar het is niet ideaal voor iedereen. Ik hoop dat we goede oplossingen zullen vinden om dat aan te pakken.’ 

Het lijkt alsof vooral jongere generaties zich hier niet van bewust zijn. Ze kennen de risico’s niet, of het kan ze niet schelen. 

‘Dat wordt vaak gezegd. Het hangt ervan af. Ik geef les aan allerlei soorten studenten, en ik begin meestal met de vraag: “Hoeveel gegevens van jou zijn er al gebruikt, denk je?” Sommigen zijn zich er bewust van dat bijna alle apps die we gebruiken gegevens verzamelen, en dat dit ons zou kunnen achtervolgen. Anderen zijn goedgeloviger. Ze vinden het niet zo erg als Google of Meta al hun gegevens heeft. Dus je kunt niet generaliseren, maar het is waar dat sommigen het risico niet zien. Daarom is onderwijs zo belangrijk. Databescherming is een onderwerp dat iedereen zou moeten krijgen, zelfs al op school. Wat moet je doen? Hoe ga je met je eigen informatie om? Hoe ga je om met socialemediabedrijven? Met zulke vaardigheden zouden mensen beter kunnen begrijpen wat er kan gebeuren.’ 

Het kan ons achtervolgen? Hoe?

‘Alles wat we doen laat een spoor achter. Iets echt engs: in de VS is er een bedrijf dat alle foto’s van het internet heeft gescrapet. Als je ooit iets op sociale media hebt gezet, heeft dit bedrijf het. Met die data ontwikkelden ze een gezichtsherkenningsinstrument voor de autoriteiten. Zodat de politie het kan gebruiken om iemand op een willekeurige foto van de straat te identificeren op basis van foto’s die op internet staan. Het probleem is dat het systeem natuurlijk niet 100 procent accuraat is, maar de politie heeft het druk. Als er een match is, zullen ze dat geloven. Ze zullen geen verificaties doen om er zeker van te zijn dat het echt een match is. Is het wel oké als een private partij alles verzamelt, en dat dat vervolgens als instrument gebruikt wordt in een context van handhaving?’

‘Tegen dit bedrijf en tegen andere bedrijven die soortgelijke dingen doen, zijn er voor het eerst zaken aangespannen omdat de software de verkeerde persoon identificeerde. Die werd een paar dagen in de gevangenis gezet voor het onderzoek. Natuurlijk wil je niet zomaar in de gevangenis belanden omdat de software een fout heeft gemaakt. Het maakt dus wel degelijk uit. Alles wat je online zet, kan in de systemen terechtkomen, en op een zeer negatieve manier tegen je worden gebruikt. Minder ernstig, maar nog steeds ernstig: deze datasets worden gebruikt om verzekeringen te berekenen. Om te berekenen wat voor hypotheek je zou moeten krijgen. Alles wat je ooit online hebt gezet, kan op die manier gebruikt worden. Daar moeten we ons bewust van zijn.’ 

Hoe zit het met het bewustzijn van politici in het Europees Parlement? Gaan zij mee met de toekomstvisie van de Commissie?

‘Dat hangt ervan af in welk commissie ze zitten. Er is bijvoorbeeld een Commissie burgerlijke vrijheden in het parlement, kortweg LIBE. Zij zijn erg goed op het gebied van gegevensbescherming en technologische kwesties. Ze nemen een voorzichtige houding in, en stellen goede vragen aan de Europese Commissie. Er zijn natuurlijk ook andere commissies, zoals de Commissie interne markt. Die is erg enthousiast over meer gegevens en meer geld. Het hangt er dus erg van af naar welke commissie je gaat. Veel meer dan tot welke partij iemand behoort.’

In de nabije toekomst zal je niet eens meer het recht hebben dat je data níét in de cloud staan. Je kunt het niet eens meer weigeren?

‘Het is niet helemaal duidelijk. Een van mijn favoriete onderdelen van de GDPR is dat die iedereen bepaalde rechten geeft met betrekking tot hun eigen persoonlijke gegevens. Bijvoorbeeld het recht om bezwaar te maken. “Nee, ik wil niet dat het op die manier gebruikt wordt.” Ik hoop dat deze rechten meer en meer gebruikt en begrepen zullen worden.’

‘Er zijn veelbelovende rechtszaken geweest. De rechtbanken in de lidstaten, maar ook het Hof van de EU, nemen die rechten serieus en passen ze ook breed toe. Op een beschermende manier. Ik hoop dat we zo kunnen voorkomen dat bepaalde dingen de cloud binnendringen. Maar denk aan het Amerikaanse bedrijf dat ik net noemde: ze hebben het internet leeggeschraapt, en we weten niet wat ze hebben en wat niet. Ze zeggen dat ze niet onder de GDPR vallen, en dus niet aan die rechten hoeven te voldoen. Ik denk niet dat dat klopt, en er lopen ook zaken tegen hen. Maar zolang ze dat zeggen, is het moeilijk om te weten wat helpt en wat niet. Maar er zit potentie in. Hebben we überhaupt nog andere rechten nodig? Hebben we extra digitale rechten nodig om met deze toekomst waarin er zoveel meer informatie over ons beschikbaar is om te gaan? Informatie die gebruikt kan worden op manieren waar we het niet mee eens zijn, of niet eerlijk vinden met betrekking tot onze grondrechten.’ 

Hebben we die extra rechten nodig?

‘Ja. Er was bij de GDPR veel opwinding over het ingevoerde “recht om vergeten te worden”. Dat is echter maar in een klein aantal gevallen van toepassing. Dat recht zou ook gezien kunnen worden als het recht om dingen die twintig jaar geleden op het internet zijn gezet en echt niet meer relevant zijn, gemakkelijk te kunnen verwijderen. Met betrekking tot wissen is er altijd een balans te maken; niet alles moet verwijderd worden. Sommige dingen – denk aan archieven – zijn belangrijk voor het algemeen belang. Voor onderzoek bijvoorbeeld. Maar waarom moeten jouw socialemediaposts van twintig jaar geleden - als je niet beroemd bent - er nog zijn?’ 

Zijn er meer van dat soort rechten? 

‘Op het gebied van AI-systemen staan er wel rechten in de GDPR, maar die zijn onderontwikkeld. Ze worden als een kanttekening genoemd en verder niet echt uitgelegd. Er zijn rechtszaken waar men gaat beargumenteren dat we uitleg horen te krijgen als een AI-systeem een beslissing over ons neemt. Beslissingen over de hoogte van een borgsom bijvoorbeeld. Hoe zijn die tot stand gekomen? In Nederland was er een systeem dat fraude met sociale voorzieningen probeert op te sporen. Als dat besluit dat wij misschien fraude plegen, dan horen we te begrijpen hoe die beslissing tot stand is gekomen. Dat kan helpen aangeven waar er fouten zitten, en welke informatie incorrect is. “Je bent tot de verkeerde conclusie gekomen, corrigeer dat alsjeblieft.”’ 

Hoe noem je dat recht? 

‘Het recht op uitleg. Zo wordt het in de literatuur genoemd. Het recht om van AI-systemen een uitleg te krijgen hoe ze tot hun conclusies komen. Dat betekent natuurlijk dat AI-systemen op een bepaalde manier ontworpen moeten worden: zodanig dat de mens het nog kan begrijpen. Systemen kunnen ook zo ontworpen worden dat het onduidelijk is hoe ze tot hun conclusies komen. Nee, ze moeten begrijpelijk zijn voor normale mensen. Want wie gaat dit uiteindelijk toepassen? Dat zijn de overheidsinstanties, mensen zonder expertise in technologie of AI. Ook zij moeten die beslissingen begrijpen, om het aan iemand uit te kunnen leggen.’ 

Dat gaat niet gebeuren. Dat is te ingewikkeld.

‘Ik denk dat het zou kunnen. Het recht moet duidelijk zijn, en misschien samengaan met een verplichting om de systemen ook echt zo te ontwerpen. In de AI Act staan wel een aantal interessante verplichtingen over de transparantie van AI-systemen, maar dat geldt alleen voor systemen met een hoog risico. Niet voor alles. Als je al deze factoren bijeenvoegt en erop verder bouwt, dan kun je nog ergens komen met het recht op uitleg.’ 

Het is niet moeilijk te veronderstellen dat het de grote techbedrijven zijn die met de voordelen van een interne markt, waar data vrij stromen, aan de haal gaan, als lachende derde. Zij kunnen gigantische winsten onttrekken aan onze persoonlijke data, zoals dat nu al gebeurt.

‘Ja. Dus we zijn in Europa eigenlijk al een beetje te laat, want de grote bedrijven op het gebied van privacy en bescherming van persoonsgegevens zijn niet-Europees. In de VS hadden ze een omgeving zonder regels – en zelfs als die er waren, hadden ze weinig impact. En inderdaad, deze gigantische bedrijven hebben ongelofelijk veel macht. Zelfs de macht om onze verkiezingen te beïnvloeden. Denk aan het Cambridge Analytica-schandaal. Facebook kan je gericht benaderen met informatie zodat je misschien op een andere manier gaat stemmen. Dat is ver gegaan.’ 

‘In de EU hebben we niets om hiertegen op te treden, omdat het geen Europese bedrijven zijn. Nu proberen we: “Als je zaken wilt doen in Europa, dan moet je je aan bepaalde regels houden.” Maar zelfs de oprichting en de macht van deze bedrijven an sich kan al een probleem zijn. Dat zien we nu met Chinese bedrijven als TikTok en Alibaba, die zeer veel invloed hebben. Zij hebben ook een ander waardesysteem dan wij. Ik hoop dat onze wetten dat aankunnen. Zeker de GDPR probeert er rekening mee te houden dat de grote spelers niet in de Europese Unie zitten, maar hier toch ook zijn. Daar komen praktische kwesties bij, zoals: hoe dwing je iets af bij bedrijven buiten de EU?’ 

Op dat niveau is de strijd met de grote bedrijven uit het buitenland nog niet opgelost? 

‘Het is zeker nog niet opgelost. Het begint pas. De GDPR bestaat sinds 2018, maar de wielen van het recht draaien langzaam. Nu krijgen we zaken over deze lastigere kwesties. Stel, het bedrijf zit buiten de EU: hoe dwingen we iets af? Hoe zorgen we ervoor dat onze waarden en grondrechten niet worden ondermijnd? Hier en daar zijn er wat veelbelovende besluiten, maar er is meer nodig. Wat we echt nodig hebben, is een grote boete. Het begint namelijk te lijken alsof het wel oké is. Bedrijven gaan door alsof er niks is gebeurd, niets aan de hand. We moeten een manier vinden om ze te laten stoppen. Geen business as usual, want er zijn wel degelijk dingen veranderd in Europa. Dat realiseren ze zich niet altijd.’ 

Daar is politieke macht voor nodig. Maar die data beloven niet alleen winst voor de markten, maar geven ook een immense macht aan de staat. De superstaat. 

‘Dit zijn altijd de twee kwesties van databescherming. Aan de ene kant weten bedrijven veel. Aan de andere kant weet de staat veel. Dit is de bron van gegevensbescherming. Als eerste was er de angst dat de staat een dossier zou maken over ieder van ons, en ons daarmee min of meer automatisch kon controleren. Er is leuke sciencefiction over dat onderwerp, maar daar hoef je niet eens naar te kijken. Sommige staten glijden af naar totalitarisme. Daar speelt informatie, en misinformatie, een belangrijke rol. Maar ook het hebben van dossiers over de bevolking, om op het juiste moment in te grijpen. Dat is allemaal belangrijk. De overheid moet binnen haar paden blijven, zodat gegevens niet worden gebruikt voor dingen die we niet willen.’ 

Hoe sterk is het recht tegen die grote machten?

‘Er is de oude theorie van Lessing, uit de jaren negentig. Hij was een van de juridische geleerden die nadachten over recht en technologie. Hij zei altijd dat de wet alleen niet in staat zal zijn om technologieën echt te beheersen. Je hebt altijd verschillende niveaus nodig. Hij heeft ze geïdentificeerd. Er is iets nodig wat zorgt dat de markt aan de kant van de wet staat, bij het doel van de wet. En ook dat er infrastructurele maatregelen zijn om ervoor te zorgen dat de wet wordt nageleefd. Je kunt wel een wet hebben, maar die is veel krachtiger als je een infrastructuur hebt om hem te handhaven. In Parijs moet je een kaartje voor de metro kopen. Dat is een wet. Maar je moet ook, met dat kaartje, langs de barrière om de metro in te kunnen.’ 

Dat is de infrastructuur om het te handhaven.

‘Dat hebben we ook nodig voor technologie. Dat gebeurt niet altijd, ook al stellen wetten vaak dat er technische en organisatorische maatregelen genomen moeten worden. Maar dat is erg vaag, en ze lijken de bal op die manier terug te spelen naar de bedrijven. Dit is geen gemakkelijke manier om barrières op te werpen, zoals bij de metro in Parijs.’ 

Met goeie wetten alleen ben je er nog niet. Je moet ook technische instrumenten bouwen om misbruik van onze privacy te voorkomen. Maar dat kost tijd… 

‘Ja. Technologie kan een belangrijke rol gaan spelen om ervoor te zorgen dat wetten beter worden nageleefd. Denk aan standaardinstellingen. Je telefoon of je internetbrowser kan veel meer beschermende standaardinstellingen hebben, die ervoor zorgen dat je gegevens niet zo gemakkelijke weglekken. Veiliger dan de code “1234”. Dit is een eenvoudig voorbeeld, maar het kan ook om ingewikkeldere dingen gaan. Technologie kan een rol spelen in het handhaven van de wet, maar dan moet je echt begrijpen wat men met de wet wil doen, en dat kost tijd. De technologie moet daarmee overeenstemmen, want anders dwingt de technologie iets af wat niet in de wet staat. Dan ben je nog niet verder.’ 

Er stond een artikel in de NRC over een bedrijf in Delft dat een wallet aan het bouwen is waarmee je jezelf digitaal kunt identificeren. Langs die weg zou je het beheer kunnen voeren over je eigen data.

‘Ja. Dat idee van controle over je eigen gegevens zweeft rond in de GDPR, al is het niet erg concreet. Dit is niet de eerste poging daartoe. Het is het idee dat je een kleine luchtbel hebt waar al je gegevens in staan, om te controleren wie welke informatie krijgt. Maar in alle eerlijkheid: dit wordt al erg lang besproken. Geen van de oplossingen is doorgebroken, al hoop ik natuurlijk dat het wel zal gebeuren. En dat ze dan gebruiksvriendelijk zijn.’ 

Je bent er op dit moment van overtuigd dat de wet het nodig heeft, zo’n technische partner? 

‘Er zijn verschillende niveaus. Het recht alleen is meestal zwak. Recht en technologie zijn samen veel sterker. Wetten en ethiek samen ook. Als de samenleving bepaalde praktijken niet langer zou accepteren, dan kan de wet veel sterker zijn.’ 

In dit verband is het geval-Plasterk saillant. Hij gebruikte academisch onderzoek voor zijn eigen gewin. Bracht het onder patent en verkocht het door aan de farmaceutische industrie. Dit is precies het risico van een zo vrij mogelijke markt. Private partijen gaan er met de buit vandoor, terwijl de gemeenschap heeft betaald…

‘Ja, het is weer zo’n moeilijk evenwicht. Maar ik ben het met je eens: academisch onderzoek moet vrij zijn. Er is een beweging rond open access en open toegang tot de gegevens. Het is allemaal nog niet perfect, maar het is ook een van de kwesties die we moeten aanpakken. Er is ook het idee van de archieven, dat ze toegankelijk moeten zijn, zodat mensen kunnen kijken wat er in het archief zit. Dat geldt nog meer online. Maar waar moet deze informatie voor gebruikt worden, en hoe kan ik zorgen dat die niet door een bedrijf wordt gebruikt om zichzelf te verrijken? Daar moet je over nadenken, want het doel van het archief, of onderzoek dat openbaar gefinancierd is, is dat de winst terugkomt bij de samenleving.’ 

Zou je daar extra wetgeving voor nodig hebben? 

‘Daar probeer ik achter te komen. Zijn de bestaande wetten al genoeg? Moeten we dit op een ander niveau van wetten doen, of meer op het niveau van contracten? Door te werken met safeguards? Of misschien door het gebruik van nieuwe technologieën om bepaalde dingen te voorkomen? Dat probeer ik uit te zoeken. Wat is het beste niveau om het aan te pakken? Wat is er eigenlijk al, en wat zouden we kunnen doen?’

‘Er liggen nog kansen. Onderwijs is belangrijk om te zorgen dat mensen het echt gaan begrijpen. Zodra mijn studenten zich er bewust van zijn, accepteren ze minder. Met de opkomst van sociale media zetten mensen alles gewoon online, zonder veel na te denken. Mensen zijn nu voorzichtiger. Er is een zekere bewustwording. We denken niet langer dat het een goed idee is om alles online te zetten. Dat groeit ook. Ik heb de hoop dat de maatschappij het straks niet meer zal accepteren dat ze zomaar je gegevens kunnen pakken. Tijdens covid was er veel scepsis over de apps als oplossing. Misschien is dat wel een goed teken: een teken dat mensen zich nog steeds afvragen of technologie altijd het antwoord is.’ 

Het moet altijd een combinatie zijn van een wet, technologie en een ethisch bewustzijn.

‘Zeker. Je moet ervoor zorgen dat je de maatschappij meehebt. Dat die begrijpt wat er aan de hand is. Hopelijk staat de ethiek dan op één lijn met een goed geïnformeerde samenleving die goede keuzes kan maken. Uiteindelijk gaat het om de keuzes die we als samenleving maken, en dat is wat er in de wet zou moeten staan.’ 

We moeten er meer over nadenken. Je begon met de behoefte om snel te gaan. Misschien is het beter om te vertragen? 

‘Ja, ik las ooit een boek over geestelijke gezondheid waarin stond dat we efficiënter moeten zijn. Een advies was om nieuwe dingen niet als een early adopter meteen aan te nemen en te doen. Dan treden er fouten en vergissingen op. Het is beter om eerst te observeren hoe andere mensen dingen aanpakken, en daarna te handelen. In de Europese Unie zitten we van nature in deze rol, en dat moeten we omarmen. Zien wat er gebeurt, bestuderen, en dan pas reageren. Maar daar is geduld voor nodig, en ik weet niet zeker of de kracht van een politicus daarin zit.’