Privacy kun je beschermen door het te ontwerpen

Dimitri Tokmetzis
Correspondent Surveillance & Technologie
Jaap-Henk Hoepman. Foto: Janus van den Eijnden

Privacy by design: zo heet de filosofie die stelt dat de bescherming van onze persoonsgegevens en anonimiteit bevorderd kan worden door het in het ontwerp van onze technologieën in te bouwen. Onderzoeker Jaap-Henk Hoepman kent er talloze succesvolle voorbeelden van.

In een donker Utrechts café haalt Jaap-Henk Hoepman een pasje tevoorschijn, ogenschijnlijk een pinpas. Met een foto van de serieus kijkende onderzoeker en een chip. In grote letters staat er IRMA op de voorkant geschreven, een afkorting voor I Reveal My Attributes, oftewel ‘ik onthul mijn eigenschappen.’ Toch is het pasje niet bedoeld om te onthullen, maar juist om te beschermen. 

‘Stel, je bent nog jong en je wilt alcohol kopen,’ zegt Hoepman (47) terwijl hij een biertje neemt. ‘Nu moet je een identiteitskaart of een paspoort overhandigen met daarop informatie over wie je bent, waar en wanneer je geboren bent en wellicht je burgerservicenummer. Terwijl de medewerker achter de kassa die informatie helemaal niet nodig heeft. Die hoeft alleen maar te weten dat je boven de achttien bent.’

Ieder mens heeft eigenschappen, attributen. Op Hoepmans IRMA-kaart zou bijvoorbeeld kunnen staan: zijn naam, adres, is ouder dan achttien, inwoner van Groningen, heeft een geldige NS-jaarkaart, heeft blauwe ogen, werkt aan de Radboud Universiteit Nijmegen, zit in salarisschaal 13, is lid van de Papiermolen, het plaatselijke zwembad. Het pasje geeft Hoepman controle over wat hij aan wie kan laten zien. De kassajuffrouw van het zwembad hoeft geen identiteitsbewijs te zien, of zijn naam te weten, om te kunnen bepalen of Hoepman naar binnen mag. Ze hoeft alleen maar te weten: wel of geen lid.

Vorige week sprak Hoepman op mijn Correspondent-avond over data en macht, omdat hij een interessante visie heeft op privacybescherming. Hij is sinds kort wetenschappelijk directeur van het Privacy & Identity Lab, een samenwerkingsverband tussen TNO, en de universiteiten van  Hij buigt zich al jaren over hoe we techniek kunnen inzetten om onze persoonsgegevens beter te beveiligen en te controleren.

Eerder nadenken over de veiligheid

Veel privacyproblemen ontstaan volgens Hoepman doordat onvoldoende is nagedacht over het ontwerp van technische systemen. Neem de OV-chipkaart. Het doel van het systeem is om de betaling voor een reis te vergemakkelijken, zowel voor de klant als de vervoerder. 

Maar het huidige chipkaartsysteem doet veel meer. Alle reisdata worden verzameld, centraal opgeslagen en jarenlang bewaard. Daarmee is de OV-chipkaart naast een reissysteem ook een marketing- en opsporingsysteem geworden. Deze uitbreiding van toepassingen, die gaandeweg plaatsvindt, wordt ook wel function creep genoemd. Te voorkomen met privacy by design. 

Privacy kan ingebakken worden in onze apparatuur, in programma’s, applicaties en protocollen

Privacy by design is een ontwerpfilosofie. Vaak zie je dat een systeem wordt ontworpen en dat later wordt bedacht dat daar ook nog wat  aan moeten worden toegevoegd. Dan ben je al te laat.

Neem het rekeningrijden. In de oorspronkelijke opzet zou iedere automobilist continu gevolgd kunnen worden. Dat riep uiteraard veel weerstand op, terwijl je ook een systeem kunt ontwikkelen dat veel privacyvriendelijker is. Maar dan moet je er wel vroeg bij zijn. De eerste beslissingen bepalen wat je systeem uiteindelijk doet. Voor veiligheid is daar in een vroeg stadium over nadenken al heel normaal. Je gaat niet eerst een systeem bouwen en daarna nog eens nadenken over hoe je dit beveiligt.

Als je serieuze privacybescherming wilt, moet je datzelfde principe ook op privacy toepassen. Deze waarde kan ingebakken worden in de apparatuur, de programma’s, in applicaties en protocollen. Je kunt ervoor zorgen dat iemand die data moet verwerken niet meer over je te zien krijgt dan strikt noodzakelijk is.’

Systemen beïnvloeden ons handelen

Eén van de inzichten die aan privacy by design ten grondslag ligt, is het zogenoemde code is law-principe, eind jaren negentig gepopulariseerd door de Amerikaanse rechtsdeskundige  Volgens dit principe wordt ons gedrag niet alleen door wetten en sociale normen gereguleerd, maar ook door systemen. Die systemen kunnen van alles zijn. Architectuur of straatinrichting bijvoorbeeld. Of verkeersdrempels, die bepaald gedrag afdwingen (snelheidsmatiging, in dit geval).

Ook hard- en software kunnen gedrag afdwingen. Een verpleegkundige kan bijvoorbeeld meer gegevens inzien in een digitaal medisch dossier dan een administratief medewerker. Op sommige sites, zoals De Correspondent, kun je alleen op stukken reageren onder je eigen naam, waardoor, zo is het idee, de kwaliteit van de bijdragen beter wordt. Deze real name policy wordt afgedwongen in de code waar De Correspondent op draait. 

En op dezelfde manier kan privacy by design dus ook ingezet worden om de datastroom richting overheid te beperken.

Hoepman: ‘Enkele jaren geleden hoorden we van de plannen van de Brabantse politie om kentekenherkenning in te zetten tegen zeilsnijders. Zeilsnijders rijden over de parkeerplaatsen langs de snelwegen en kijken of er vrachtwagens zijn met een interessante lading. Een andere groep van de bende haalt die vrachtwagens dan later leeg. De politie wilde dit bestrijden door op alle parkeerplaatsen langs de snelweg camera’s te installeren die kentekens herkennen. Die kentekens werden opgeslagen.

Daar zie je het al verkeerd gaan. De camera’s registreren immers de kentekens van álle passerende auto’s en dus worden ook locatiegegevens van niet-verdachte burgers bewaard. Dat zet de deur open naar function creep. De gegevens kunnen ook voor andere doeleinden worden gebruikt, zoals door de Belastingdienst, Rijkswaterstaat of de douane. 

Dit kun je voorkomen door eerder keuzes te maken in het ontwerp. Wij hebben een systeem bedacht dat alle kentekens van auto’s die op het parkeerterrein versleuteld opslaat. Als een auto een aantal keren kort achter elkaar meerdere parkeerplaatsen aandoet, worden die kentekens ontsleuteld, zodat de politie daarmee aan de slag kan. De rest wordt gewist.’

Volgens Hoepman is het voordeel hiervan dat function creep veel moeilijker is. ‘Als de politie toch meer kentekens wil bewaren, moeten ze het systeem grondig aanpassen. Dat kost veel meer moeite en dus geld. Dat maakt de drempel om steeds meer gegevens te verzamelen een stuk hoger.’

Betalen met je persoonsgegevens

Maar als je de burger meer controle geeft over zijn data, loop je dan niet het risico op fraude? Als gebruiker van iemands data moet je er toch op kunnen vertrouwen dat wat iemand van zichzelf onthult juist is?

‘Dat is zeker een probleem, maar wel een probleem dat overkomelijk is. Je hebt allerlei organisaties die attributen kunnen toewijzen en authenticeren. De gemeente kan bijvoorbeeld het attribuut toewijzen dat je in die gemeente woont en boven de achttien bent. Dat staat in de gemeentelijke basisadministratie. Cryptografisch is het mogelijk om dat heel veilig op te slaan. Een zorgverzekeraar kan het attribuut toevoegen dat je bij hen verzekerd bent. En je kunt zelf ook nog attributen toevoegen. 

Het klinkt logisch dat systemen privacyvriendelijk ontworpen worden. Waarom gebeurt dat dan zo weinig?

‘Je maakt de complexiteit van een systeem op het eerste gezicht groter. Je moet over meer features nadenken. En je beperkt jezelf. Later zo’n systeem aanpassen is een stuk moeilijker. De OV-chipkaart kon best privacy-vriendelijker ontworpen worden, maar waarschijnlijk zagen de deelnemers dat alleen maar als extra last. Daarnaast lijkt het commercieel ook minder interessant. Veel online diensten zijn gratis omdat ze jouw data kunnen gebruiken en verkopen. Als je allerlei privacy-features inbouwt, komt dat verdienmodel onder druk te staan. Maar vaak is het ook onkunde of onwetendheid. Degenen die over de opzet van een systeem beslissen, zoals politici, beseffen niet dat je goed functionerende systemen kunt ontwerpen die ook privacy-vriendelijk zijn.’

Hoe kun je een privacy-vriendelijk systeem herkennen?

‘Als iets gratis is, is er een catch. Gratis bestaat niet. Je betaalt dan met je persoonsgegevens. Het is vooral belangrijk hoe transparant de gebruiker van jouw data is. Welke systemen gebruikt hij? Waar worden je gegevens opgeslagen? Is dat op één centrale locatie, of op meerdere? Meerdere locaties zijn doorgaans

Een grote uitdaging

Wat zie je de komende jaren gebeuren?

‘Ik denk dat we antwoord moeten vinden op twee grote ontwikkelingen. Het eerste is de opkomst van Big Data. Steeds meer van ons gedrag wordt omgezet in digitale data en het wordt steeds lastiger om daar controle over te houden. Privacy by design richt zich vooral op dataminimalisatie, dus het beperken van hoeveel data van jou een ander tot zijn beschikking heeft. Met de opkomst van Big Data en het gebruik van data voor zo’n beetje alles, hebben we wellicht meer aan zogenoemde transparency enhancing technologies, technologie die je meer inzicht geeft in wie wat met je data doet en waarom. Maar we staan nog echt aan het begin van hoe we dit technisch moeten inrichten.

Ten tweede is er de opkomst van het Internet of Things. Eigenlijk word je als persoon verbonden met internet, omdat zoveel apparaten in je directe omgeving dat zijn. Je tv, keuken, huis, auto, alles heeft steeds meer data nodig, genereert ook weer data over jouw gedrag en verstuurt die naar allerlei partijen. Het wordt een grote uitdaging om dat allemaal te beheren.

Als technologie zo dichtbij komt, moeten we ook na gaan denken hoe we al die datastromen en al die beslissingen gaan beheren. Laten we dat doen door organisaties op afstand, die dan ook inzicht krijgen in al die gedragsgegevens? Of gebruiken we een soort draagbare computer, een smartphone bijvoorbeeld, als tussenstap? Daarin zou je je voorkeuren kunnen aangeven voor wat al die slimme apparaten in je omgeving moeten en mogen doen. Dat je dus je eigen privacycoach instelt waaraan je omgeving zich aanpast.’