FYI: Privacyregels versus web 2.0; een achterhaalde strijd?

[Henk Elegeert]

REPLY TO: D66 at nic.surfnet.nl

http://www.netkwesties.nl/editie148/artikel2.html

"
Privacyregels versus web 2.0; een achterhaalde strijd?

Privacywaakhond CBP worstelt met de groeiende
privé-gegevensstromen die Google en andere
internetbedrijven verwerken. Ze laten hun klanten in
het ongewisse over de risico's, zegt het CBP. Maar
stroken privacyregels en -opvattingen nog met de
open uitwisseling van de web 2.0 fase van internet,
en zijn ze te handhaven?

Google werd in maart 2006 een nieuw doelwit van het
Nederlandse CBP, het College Bescherming
Persoonsgegevens. Dat was de aanleiding tot een
openbare discussie in De Balie op 8 december 2006.
Het CBP, bijgestaan door Privacy International en de
Consumentenbond. Verdediger: Peter Fleischer,
Google's Privacy Counsel voor Europa, die eerder in
Netkwesties zijn visie al gaf over dataopslag door
Google.

Heldere uitkomsten bleven uit, niet in de laatste
plaats door het dilemma waar het CBP zich zichtbaar
voor gesteld ziet: ze zit als toezichthouder
tamelijk klem tussen de rokende schoorstenen van de
Google's van deze wereld, de datagraaiende
opsporingsdiensten en vooral de massaal persoonlijke
data strooiende en uploadende burgers. De laatste,
namens wie het CBP wenst op te treden, zijn zich van
kwaad noch gevaar bewust.

De nieuwe dimensies

Maar is er dan gevaar? Naar aanleiding van
bovenstaande discussie kopt NRC: Niets blijft geheim
op internet. Dat is op zich een open deur. Vervang
'internet' maar door 'krant' of 'tv'. Als
publicatiemedium is het web openbaar.

Maar het internet is ook communicatiemedium. In
principe zijn e-mail en chats niet openbaar, evenmin
als telefoongesprekken. Ten derde is het internet
een archief en daarmee een medium voor informatie,
zoals de bibliotheek dat is.

De grote verschillen met publicatie, communicatie en
informatie voorheen zijn te kenschetsen met het
geheugen dat internet heeft en met systemen erachter
die data over het gebruik en de gebruikers
vastleggen. Hilversum weet niet wat u kijkt, noch
weet de bieb waarnaar u op zoek bent of KPN de
onderwerpen waarover we babbelen.

Bedrijven vertonen in dit geheel een dubbele tong,
letterlijk. Zo waarschuwt Microsoft ouders: "Help je
kind een schermnaam of e-mailadres te kiezen waaruit
geen persoonlijke informatie kan worden afgeleid.
Hierbij gaat het onder andere om leeftijd, geslacht,
hobby's, school, woonplaats, speelplaats, enzovoort."

Deze bekommernis om privacy staat in schril contract
met een het voornemen van Microsoft voor gerichte
reclame bij Hotmail op basis van persoonlijke data
en op grond van zoekgedrag bij Windows Live, zoals
afgelopen week uitlekte.

Niet moeilijk doen

Een complicatie die vooral privacyvoorvechters in
verlegenheid brengt is de tendens met wat
gemakshalve wordt aangeduid als 'web 2.0':
gebruikers die op grote schaal zonder
noemenswaardige centrale sturing openbaar
publiceren, communiceren en elkaar van informatie
voorzien. Het al dan niet beschermen van hun
persoonlijke data is vaak van ondergeschikt belang.
Om maar tegen het rare pleonasme 'bewuste keuze' dit
af te zetten: privacy verwaarlozen is een 'onbewuste
keuze'.

Omgang met deze spagaat van enerzijds zorg en
bescherming en anderzijds vrolijk openbarende
burgers en datamijnen bouwende concerns is voor het
CBP een moeilijke kwestie. Dat bleek nog eens bij de
discussie in De Balie.

Alwin Sixma van de Consumentenbond: "We hebben de
indruk dat consumenten anders met privacy omgaan in
het digitale tijdperk. MSN, Gmail, Flickr, Youtube -
mensen doen er allemaal heel enthousiast aan mee en
geven in ruil voor het gebruik veel persoonlijke
gegevens af. Het lijkt alsof privacy geen issue meer
is."

In hoeverre moet je mensen beschermen tergen
privacyschending indien ze vrijwillig persoonlijke
data verspreiden? Toch ziet het CBP een taak, net
als de overheid ons tegen kwalijk voedsel beschermt
waarvan burgers geen weet hebben.

Bewaarplicht en bewaarwens

De grootmachten Google, Microsoft, Yahoo maar ook
sites die teren op inbreng van consumenten -
Youtube, Flickr, Hyves, Myspace - verzamelen veel
data. Of om met een eerder artikel te spreken: ze
weten wat de burger zoekt, wat hij doet en wat hij
wenst. Het CBP moet erop toezien dat de Wet
Bescherming Persoonsgegevens (WBP) goed wordt
nageleefd. Maar hoe doe je dat op internet waarop
talloze, internationale bedrijven - van piepklein
tot reuzen als Google - van alles en nog wat opslaan?

Google weet ook veel. Maar ze gebruikt de data niet
commercieel, zo luidt het verweer. Maar waarom die
dan opslaan? Afgelopen jaar deed Mountain View flink
haar best alle kritiek op privacygebied van
overheden, pers en activisten te weerleggen.
Genoemde Fleischer deed tien jaar 'de privacy' voor
Microsoft, en nu voor Google.

Fleischer sprak eerder met CBP-chef Jacob Kohnstamm
naar aanleiding van wederzijdse zorgen. Kohnstamm
vindt dat Google te veel over individuen weet en
openbaart via de veschillende diensten voor het
zoeken, publiceren, lokaliseren en communiceren. En
Google op haar beurt vreest de Bewaarplicht van
data, door de EU opgelegd aan de lidstaten die deze
nu tot wet verheffen. Dat zegt Google althans, maar
ze bewaart zelf al van alles en nog wat.

De nummerborden

Het vastleggen van bewegingen op internet vindt
meestal plaats met een IP-nummer. Dat is analoog aan
het nummerbord van auto's op de weg: de eigenaar is
niet herkenbaar noch traceerbaar anders dan voor
overheidsinstanties met bevoegdheden. Waar we rijden
is niet bekend, behalve na te hard rijden. Op
internet bewegen pc's en hun adressen zich steeds
minder ongezien. En zodra een partij toegang heeft
tot het kentekenregister van internet, ofwel op
andere wijze het IP-nummer kan koppelen aan
persoonlijke data, is privacy in het geding. Dus
ging ook de discussie in De Balie voor een
belangrijk deel over de betekenis van data
vastgelegd aan de hand van IP-nummers.

De problemen beginnen dus al bij de principiële
duiding: is een IP-adres een persoonsgegeven of zegt
het alleen iets over een computer en niet over de
eigenaar en eventuele familieleden?

Grote bedrijven vinden privacyregels niet van
toepassing op IP-adressen, omdat dit geen
persoonsgegevens zouden zijn. Onzin, vindt het CBP.
IP-adressen zijn wel degelijk persoonsgegevens, zei
het nieuwe collegelid Madeleine McLaggan-van Roon
tijdens het debat in De Balie:

"Ze hoeven niet direct naar personen te verwijzen,
herleidbaarheid is ook al voldoende. IP-adressen
zijn uiteindelijk te koppelen aan personen. Er is
geen gedragscode. Bedrijven zoeken de grenzen op.
Consumenten moeten maar achteraf protesteren als hun
gegevens worden misbruikt", sprak McLaggan-van Roon
in Amsterdam.

Fleischer van Google bestreed ook niet langer dat
IP-adressen in de meeste gevallen beschouwd kunnen
worden als persoonsgegevens. In de Privacy Faq legt
Google ook uit wat het bij die IP-adressen nog meer
opslaat. Ze zijn gekoppeld aan zoektermen, het type
browser, de taal, de datum en tijd van de
zoekopdracht en een of meerdere cookies waarmee een
specifieke computer is te herkennen.

Slechte uitleg door bedrijven

Hoe lang slaat Google dit op? Fleischer verzwijgt
het antwoord. Dat doet het ergste vermoeden voor het
CBP die spreekt van 'datapakhuizen' met onbeperkte
opslagtermijn. McLaggan-van Roon laakt dit gebrek
aan transparantie. Ze ergert zich aan veel te vage,
algemene formuleringen in algemene voorwaarden en
privacyverklaringen die de gebruiker meestal geen
fluit zeggen. Als voorbeeld gaf ze een
privacyverklaring van Microsoft:

"Op een aantal MSN- en Windows Live-sites wordt door
Microsoft om persoonlijke gegevens gevraagd, zoals
je e-mailadres, je naam, je privé-adres en
-telefoonnummer of je zakelijke adres en
telefoonnummer. We kunnen ook demografische gegevens
verzamelen, zoals postcode, leeftijd, geslacht,
voorkeuren, interesses en favorieten. Gegevens die
door MSN en Windows Live zijn verzameld, kunnen
worden gecombineerd met gegevens die van andere
Microsoft-services en andere bedrijven zijn verkregen."

Ook leggen bedrijven als Microsoft gebruikers niet
voldoende uit wat op zichzelf al niet-transparante
technieken als cookies, webbeacons en webbugs nou
eigenlijk over hen vastleggen. Door die slechte
uitleg voldoen ze volgens McLannan niet aan de
wettelijke informatieplicht: "Het ontbreekt aan
minimale privacywaarborgen."

Inzagerecht handhaven

Die zouden volgens haar onder meer moeten zijn dat
internetters recht op inzage, correctie of
verwijdering van persoonsgegevens krijgen. En dit is
de kern van het streven van het CBP: grip op privacy
voor de burger.

Google voldoet niet aan de (uitleg van) de
Nederlandse privacyregels die inzage in alle
geregistreerde gegevens voorschrijft. Peter
Fleischer van Google zegde tijdens de bijeenkomst
min of meer toe dat Google met een systeem komt
waarbij geregistreerde Google-gebruikers gegevens
zullen kunnen beheren. Welke data? Dat is ongewis.

Hij noemde het adres privacy.google.com, maar dat
werkt nog niet. Maar zo'n inzagefunctie vormt
volgens hem ook weer een groot beveiligingsprobleem.
De privacyinzage wordt daarom niet beschikbaar via
één ingang, maar per verschillende Google-dienst.

'Korter opslaan gegevens'

McLaggan bepleitte een korte opslagtermijn van
gegevens tot wettelijke plichten, om hergebruik en
koppelingen zo veel mogelijk te voorkomen voor
commercie en overheden.

Dat dat een reële dreiging is, bleek vorig jaar toen
de Amerikaanse regering een grote hoeveelheid data
opvroeg bij de grote zoekmachines om te gebruiken
voor het voeren van een rechtszaak om verplichte
webfilters voor jeugdigen te kunnen voorschrijven.
Google bood verzet, andere partijen niet.

Zoekgedrag slaan ze op, met alle risico's van dien.
Volgens de Britse informaticus Ian Brown, tevens
activist voor Privacy International, is het lekken
van zoekdata door AOL een goed voorbeeld van de
negatieve gevolgen van massaopslag. "Geef toe, wie
van jullie zou het leuk vinden als alle, maar dan
ook echt alle, zoekvragen die je ooit hebt ingetypt
openbaar zouden worden?" vroeg hij retorisch tijdens
het debat in De Balie.

Persoonsgerichte aanbiedingen

Peter Fleischer van Google ging prat op de fout van
concurrent AOL. "Wij hebben een duidelijke lijn
getrokken toen we tegen het verzoek van de
Amerikaanse regering in beroep gingen," zei hij. Dat
is niet genoeg, vond McLannan-Van Roon. Google moet
volgens haar zo min mogelijk en zo kort mogelijk
gegevens opslaan, om het risico op misbruik te
minimaliseren.

Dat wil Google niet. "Moet een bank dan maar geen
geld in de kluis hebben omdat die kan worden
overvallen?" antwoordde Fleischer ad rem.

Een heldere uitspraak, want persoonlijke gegevens
zijn de crux van de geldmachine van Google. Het
bedrijf verdient meer naarmate reclame relevanter
wordt gemaakt met data over persoonlijke voorkeuren.
Fleischer bezweerde in Amsterdam dat die
reclamelinks, ook bij Gmail, nimmer gebaseerd zijn
op persoonlijke profielen noch dat die zijn
opgeslagen. Google heeft, zegt hij, data ook nodig
voor verbetering van diensten.

Ian Brown wil versleuteling van persoonlijke data
tijdens internetsessies. Maar hij beseft maar al te
goed dat encryptie door gebruikers zelf te complex
en momenteel onhaalbaar is: "Maar dat weerhoudt me
er niet van het toch nu te noemen."

Servers eenvoudig toegankelijk

Fleischer en Brown vonden elkaar wel in de trend dat
steeds meer computergebruik zich verplaatst van de
desktop naar het web, van tekstverwerking tot
back-up tot het delen van foto's en video's. "De
privacywetten zijn niet geschreven voor Web 2.0. We
moeten ze updaten. In nieuwe wetten moet er meer
rekening mee worden gehouden dat privacy op de
servers van de diensten beter wordt beschermd,"
aldus Fleischer.

In elk land is dat anders geregeld: "In Amerika
heeft Justitie een huiszoekingsbevel nodig om op een
pc te komen. Maar voor toegang tot de data op een
server van een bedrijf is een aangifte voldoende.
Google wil dat er een einde komt aan deze
tegenstrijdigheden en dat de privacybescherming
overal hetzelfde niveau krijgt."

Onomkeerbaar?

Volgens velen is het al te laat: bedrijven slaan en
masse data op en bedienen er hun online commercie
mee. Overheden liften nu mee met een bewaarplicht en
steeds lagere drempels voor toegang tot data. De
burger heeft het nakijken, zo die zich al zou
bekommeren om de privacy. Kunnen we de privacy op
internet niet beter ten grave dragen? CBP-voorzitter
Kohnstamm vindt van niet, al geeft hij toe: "Als
CBP, wetgevers en handhavers zijn we altijd te laat.
We hebben niet genoeg mensen om de snelle
ontwikkelingen bij te houden. Maar we moeten er wel
snel voor zorgen dat bedrijven zelf transparanter
worden. Als dat niet lukt, creëren we een situatie
die niet meer is terug te draaien."

Dat klonk tamelijk fatalistisch en machteloos, maar
zo erg is het in de praktijk niet gesteld: Het CBP
publiceert begin 2007 jaar een adviesrapport over
internet en persoonsgegevens.

Of dit een vingertje in de dijk met al lang
achterhaalde denkbeelden wordt dan wel het begin van
manhaftige strijd om alsnog te pogen om verloren
terrein terug te winnen zal moeten blijken.

[Tonie van Ringelestijn en Peter Olsthoorn, 29
december 2006]
"

Henk Elegeert

**********
Dit bericht is verzonden via de informele D66 discussielijst (D66 at nic.surfnet.nl).
Aanmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SUBSCRIBE D66 uwvoornaam uwachternaam
Afmelden: stuur een email naar LISTSERV at nic.surfnet.nl met in het tekstveld alleen: SIGNOFF D66
Het on-line archief is te vinden op: http://listserv.surfnet.nl/archives/d66.html
**********