Een jaar geleden begon ik een datadagboek. Een maand eerder ik Katarzyna Szymielewicz van het European Digital Rights in Hamburg een bevlogen toespraak geven over de nieuwe privacyregels van de EU. Heel veel nieuwe regels voor heel veel data. Over waar je data mag worden opgeslagen, voor hoe lang, wie het mag hebben en of ze toestemming moeten vragen. Alleen, ik wist helemaal niet waar m’n data waren en waar ik deze nieuwe regels op zou kunnen toepassen. Hoe goed is een wet als datgene waar de wet over gaat compleet abstract, vaag en onvindbaar is?

Ik besloot te gaan dataspoorzoeken. Als een soort padvinder databergen lokaliserend en gravend naar de resten, afdrukken en andere sporen van mijn digitale alter ego. Deze bergen zijn groot. Veel groter dan verwacht. En pas bij het aankomen op de top zie je de top erachter.

Tussen massa’s puin en spam liggen mijn persoonsgegevens, mijn bonuskaart-, gps-, gsm-, email- en verkeersgegevens, mijn criminele gegevens en mijn brave zwem-, veterstrik- en middelbareschooldiploma. En tal van andere gegevens waarvan ik nu het bestaan nog niet eens ken. Zo ik begin dit jaar €35,61 terug op een lang vergeten pennie-spaarrekening.

Digitale schaduw

De reden dat ik mijn dataspoor in kaart wil brengen is tweeledig. Allereerst: er zijn veel interessantere mensen dan ik, maar iemand anders dataspoor onderzoeken is lastig en komt al snel wat stalkerig over. Ten tweede: mijn eigen digitale is al iemand anders. Ik besta uit meerdere persoonlijkheden. Ik ben een vriend, broer, collega, ex-vriendje, burger, consument en een gemakkelijk te negeren voorbijganger. Veel meer hoef ik niet te zijn of te worden.

Maar tegen mijn wil in ben ik tegenwoordig ook BSN137628976 en KVK34335440 en IP212.64.45.129. Sinds een paar jaar ben ik ook bonuskaart, zoekgeschiedenis en zoekresultaat en een variabele in algoritmes. Sinds een incident met een waterballon en een slecht gemutste smeris ben ik ook een vingerafdruk.

Er bestaat een tweede Douwe Schmidt. Databanken herbergen een profiel van mij dat weliswaar op mij lijkt, maar ook iemand is die ik niet ken. Veel van de data is incompleet, sommige zaken incorrect, tegenstrijdig of achterhaald. Google heeft een lappendeken aan data van mijn sporen op internet. De gemeente Amsterdam weet waneer ik geboren werd, waar ik woon en hoe vaak ik m’n huisvuilpas gebruik. Justitie weet dat ik het gebruik van waterballonnen niet schuw in een confrontatie. Deze bits and pieces zeggen iets over mij, maar zijn niet "ik".

En toch, in onze huidige maatschappij beïnvloedt mijn digitale alter ego mijn analoge leven. Of ik mag vliegen, rijden, varen. Of ik een verzekering, uitkering of boete krijg. En of ik Nederlander, getrouwd of dood ben. Het ontdekken, onderzoeken en kennismaken met mijn digitale alter ego is een noodzaak om te begrijpen wie ik ben. Wat mijn kansen en risico’s zijn. Om te voorkomen dat een stukje data uit mijn verleden opspringt en me deze keer niet €35,61 geeft, maar me om een auto te huren.

Onvoorwaardelijke steun van de staat

Vandaag laat ik je kennis maken met de verslaglegging van dit dataspoorzoeken: een datadagboek bijhouden. Mocht ik bij deze je aandacht hebben, dan hier een korte introductie in ontmoetingen met je eigen digitale alter-ego. Het bijhouden van een datadagboek bestaat uit twee zaken. Eigenlijk zijn het er drie, maar vandaag hou ik het graag simpel.

Ten geleide: De wet staat aan onze kant. artikel 35 er maar op na, daar staat namelijk dat je recht hebt te vragen of er persoonsgegevens van je worden verwerkt en indien dat zo is moet je daar een volledig overzicht van krijgen. Met deze onvoorwaardelijke steun van de Staat der Nederlanden in de rug zetten we onze eerste stappen de databerg op.

Allereerst: Lokaliseer een plek waarvan je denkt dat er data opgeslagen zou kunnen liggen. Veel tips voor het vinden van data kan je halen bij de data-waakhond van Nederland: Bits of Freedom. Zij de Privacy Inzage Machine (PIM). Bij PIM selecteer je de bedrijven waarvan je wilt weten wat zij van jou weten. Na enkele vinkjes gezet te hebben print PIM een mooie stapel dataverzoeken voor je uit. Deze brieven, voorzien van besteladres, verzoek en al zijn klaar om te versturen naar de bedrijven die je data hebben. Je dient ze slechts te ondertekenen en samen met een kopie van je paspoort op te sturen. Maak er nog wel even een kopietje van voor je ze verstuurt, sommige bedrijven willen wel eens stug volhouden dat je nooit een brief verstuurd hebt.

Ten tweede: Als de brief gepost is en het bedrijf zich aan de wet houdt dan is de data binnen 4 weken binnen. Graaf gretig in de data, wroet erin rond maar ga er vanuit dat de berg altijd groter is dan je op het eerste gezicht vermoedt. Uiteindelijk wil je niet alleen je data, maar ook weten wie er nog meer toegang heeft tot je data (verkopen ze het verder?). Met de brief vraag je ook naar de logica die aan de verwerkingen ten grondslag ligt (dient het slechts voor het versturen van een factuur of ook om je interessante aanbiedingen te kunnen doen?).

Boeddhisme

Tot slot is het altijd goed om hun nummer bij het College Bescherming Persoonsgegevens te vragen. Niet elk bedrijf doet namelijk deze wettelijk verplichte melding als ze veel persoonsgegevens verwerken. Deins niet terug voor het gebruik van een grotere schep, een stapel dynamiet of een tweede brief met een vriendelijke verzoek tot meer! Ik al aan m’n vierde brief aan T-Mobile toe.

Zeker in het begin zal het niet makkelijk zijn, maar ik kan het iedereen aanraden. Je leert jezelf zien zoals bedrijven, overheden en instanties je zien met data-ogen. Je leert dat sommigen je beter kennen dan jezelf. Of zaken over je weten die je zelf allang weer vergeten was. Zo kunnen je verkeersgegevens van je mobile provider je vertellen waar je allemaal was afgelopen jaar. Daar zijn datavisualisaties mee te Een datadagboek bijhouden is een soort van digitaal boeddhisme. Nadere details en hoe het voor mij uitpakt kun je vanaf deze week hier bij De Correspondent lezen.