De enorme kansen die big data biedt voor economische groei, voor maatschappelijke innovaties en werkgelegenheid: in Nederland staat het onderwerp al een aantal jaar bovenaan de politieke agenda. Veel start-ups baseren hun businessmodellen op de exponentiële groei aan gegevens, onderzoekers gebruiken dwarsverbanden tussen gegevens, en gemeenten en andere overheden publiceren open data om innovatie te stimuleren.
Tegelijkertijd blijft veel onduidelijk over de impact die big data op privacy kan (gaan) hebben. Welke rol spelen consumenten, bedrijven en de overheid daar precies bij? Hoe wordt in verschillende landen gedacht over privacy, en welke modellen werken wel en niet? Wat zijn daarbij de uitgangspunten? Maar vooral: hoe zorg je ervoor dat privacy van gebruikers geborgd blijft, terwijl het tegelijkertijd geen onnodige blokkades opwerpt voor de kansen van big data en het internet of things voor zowel de maatschappij als de economie?
Op basis van deze en andere vragen organiseerde Microsoft Nederland enige tijd geleden in Nieuwspoort in Den Haag een lunchdebat. Met Kamerleden van diverse Tweede Kamerfracties, juristen en ambtenaren werd levendig gediscussieerd over wat de toepassing van nieuwe technologie kan of moet betekenen voor wet- en regelgeving op het gebied van gegevensbescherming.
Twee sprekers trapten de middag af. Floris Kreiken van digitale burgerrechtenorganisatie Bits of Freedom hield een pleidooi voor het onverminderde belang van het kunnen beheren van gegevens door individuele gebruikers, gebaseerd op het zogeheten rights-based model. Hij zette uiteen hoe die controle volgens hem praktisch werkbaar blijft naar mate meer gegevens beschikbaar worden. Vervolgens presenteerde Lokke Moerel, hoogleraar Global ICT & Law aan Tilburg University, haar visie op de verschillende privacy modellen, waaronder ook succesvolle elementen uit het in de VS meer gangbare harm-based model. Moerel gaf daarna voorbeelden van hoe volgens haar een combinatie van beide modellen individuele privacy kan beschermen zonder afbreuk te doen aan de kansen van big data. Haar oratie over dit onderwerp gaat daar dieper op in.
In het aansluitende debat werd duidelijk dat het belang van privacy voor alle deelnemers de hoogste prioriteit heeft, los van welke modellen daarbij worden ondersteund. Veel van de discussie draaide om de uitvoerbaarheid van wet- en regelgeving, en of kansen die technologie biedt door regels niet teveel geremd zullen worden. Zo werd de praktische uitwerking van de update van de zogenoemde ‘cookiewet’ besproken, net als het recht om vergeten te worden (The Right to be Forgotten). Veel deelnemers waren het daarbij eens dat internetgebruikers niet eeuwig moeten worden afgerekend op hun online verleden, maar erkenden tegelijkertijd de problematiek van het daadwerkelijk kunnen wissen van alle informatie over iemand op internet.
Voor Microsoft is het centraal stellen van gebruikers per definitie het uitgangspunt bij het bieden van waarborgen voor privacy. Het huidige model van notice & consent – het simpelweg ja klikken voor honderden pagina’s complexe juridische tekst die niemand leest – is uitgehold. In plaats daarvan zou een zogenoemd user-control model veel beter werken, waarbij niet gegevensverzameling maar gegevensgebruik uitgangspunt is. In plaats van bedrijven, organisaties en overheden te vragen om uitputtend alle toekomstige toepassingen van gegevens te schetsen aan het begin van een overeenkomst met gebruikers – die daarvoor honderden uren tekst per jaar zou moeten doorlezen, en waarvan op dat moment veel toepassingen bovendien nog niet bekend zijn – moet de gebruiker juist gedurende het gebruik van een dienst regelmatig geïnformeerd worden over potentiële risico’s binnen zijn of haar digitale ervaring.
Met een dergelijk model wordt de last van het verantwoordelijkheid nemen voor eindeloze gebruikersovereenkomsten – waarvan er in de toekomst nog veel meer zouden komen dan er nu al zijn – verlegd naar de verwerker, en houdt de consument controle. Met dit uitgangspunt kunnen consumenten betere keuzes maken, omdat ze het gebruik van hun gegevens in een bepaalde context ten positieve of negatieve beter kunnen controleren.
In de huidige praktijk blijven we ons natuurlijk zoals altijd strikt houden aan de geldende wet- en regelgeving op het gebied van gegevensbescherming, maar het schetsen van scenario’s voor de nabije toekomst in het politieke en maatschappelijk debat is van groot belang om de potentie van technologie ten volle te blijven benutten.
De komende dagen op TPO Talk: the best of 2014. Deze blog verscheen eerder op 26 september.