Big Data vereist Big Privacy

BigPrivacyBigData

ING gaat adverteerders inzicht geven in het betaalgedrag van klanten, zodat die bedrijven gericht advertenties kunnen aanbieden aan deze consumenten. Is mijn privacy dan echt helemaal nergens meer gewaarborgd?

Een ING-woordvoerder vertelde op het NOS-journaal met zichtbare trots over de enorme hoeveelheid unieke persoonlijke gegevens waarover de bank beschikt. Mijn irritatie groeide, want het vermarkten van die gegevens is nu precies NIET wat ik van mijn bank vraag en verwacht. Het heeft niets te maken met het primaire proces van banken. Wel met zoveel mogelijk manieren zoeken om geld te verdienen.

Hebben de bankiers dan helemaal niets geleerd? Herstel van vertrouwen, daar ging het toch om? In dezelfde week ging het kabinet akkoord met een wetsvoorstel dat het mogelijk zal maken bankiers onder een eigen tuchtrecht te laten vallen, en dat de bankierseed uitbreidt van bestuurders en interne toezichthouders, naar alle andere medewerkers van banken.

Persoonlijke gegevens worden al ‘de nieuwe olie’ genoemd. Een term die de enorme economische waarde ervan illustreert. Als persoonlijke informatie de olie is, dan is Big Data de machine die het mogelijk maakt er veel geld mee te verdienen. Bij Big Data gaat het om 1) verzameling van grote hoeveelheden datasets, om 2) nieuwe connecties tussen data te ontdekken in de vorm van algoritmes, om 3) de algoritmes toe te passen op individuele datasets en inzichten te verkrijgen in bepaalde praktijksituaties. Die inzichten geven bedrijven economische winst. Big Data als ‘money making machine’.

Maar net zoals de manier waarop we nu met fossiele brandstoffen omgaan niet duurzaam is, is de manier waarop Big Data met persoonlijke informatie omgaat niet houdbaar. De vervuiling heeft hier de vorm van massale aantasting van de privacy van burgers in elk van de bovengenoemde drie fasen: 1) alle data pakken die je pakken kunt, los van de vraag of je het nodig hebt, om 2) alles te combineren wat je combineren kunt, los van de vraag voor welke doeleinden de oorspronkelijke datasets verzameld zijn, om 3) alle algoritmes op alle individuele datasets toe te passen voor inzichten in alle praktijksituaties, los van de vraag of dat persoonlijke informatie vrij geeft tegen de wil van burgers in. Om nog maar te zwijgen van het feit dat niets van het vele geld dat bedrijven aan de data verdienen, terug vloeit naar de individuen die de waardecreatie mogelijk maken door hun persoonlijke gegevens beschikbaar te stellen.

Waar het uiteindelijk om draait is controle. Bedrijven hebben nu vrijwel totale controle over de data, en burgers staan nu vrijwel machteloos.

De enige manier waarop Big Data duurzaam kan worden, is door die scheve verhouding radicaal om te keren. Door burgers de volledige controle over hun persoonlijke informatie te geven en hen direct te laten (mee)profiteren van het gebruik ervan. Big Data vereist Big Privacy.

Wet- en regelgeving, beleid en toezicht lopen per definitie achter op technologische ontwikkelingen en mogelijkheden. Regulering is statisch en reactief. Een strategie van waarschuwingen voor Big Data en boetes voor privacy-schendingen, is daarom te beperkt. Beter is het uit te gaan van een aantal flexibele ontwerp-principes voor privacy en een duurzaam model te ontwikkelen waarin Big Data en Big Privacy naast elkaar bestaan en elkaar zelfs kunnen versterken. De voornaamste strategie is dit model pro-actief en met betrokken partijen te ontwikkelen en alle betrokkenen eraan te binden.

Gelukkig heeft een aantal slimme mensen Design Thinking toepast op het privacy-vraagstuk. Zij komen met de volgende zeven flexibele ontwerp-principes voor privacy:

1. Respect voor de privacy van de burger: hou de burger centraal.

2. Pro-actief en preventief, niet reactief en repressief.

3. Privacy geïntegreerd in het ontwerp.

4. Bescherming van privacy als standaard-instelling.

5. Volledige functionaliteit: win-win in plaats van win-verlies.

6. Volledige veiligheid: end-to-end, gedurende de hele levenscyclus.

7. Zichtbaarheid en transparantie: hou het open.

Privacy gaat er niet over persoonlijke informatie zoveel mogelijk geheim te houden. Het gaat over individuele controle over jouw gegevens: jij bepaalt wie welke van jouw gegevens, hoe, wanneer en waarvoor mag gebruiken, waarbij jij je voorkeuren op elk moment kunt aanpassen. Jouw voorkeuren kunnen zijn om alles te delen, niets te delen, en alles daar tussenin.

De opgave is niet Big Data kleiner te maken, maar Big Data slimmer te maken. En wel zo slim dat jouw privacy-voorkeuren op elk moment, in elk van de drie Big Data-fasen gerespecteerd worden.

Dit klinkt misschien als een onmogelijke opgave, maar dat is het geenszins. Zowel Big Data-technologie als Big Privacy-technologie moet namelijk grootschalige, complexe en contextuele informatie-vraagstukken oplossen. Voor een groot deel kunnen de technologieën die Big Data mogelijk maken, het gelijktijdig mogelijk maken dat burgers volledige controle over hun data krijgen, hun rechten op ‘informatie-zelfbeschikking’ kunnen uitoefenen, en van de verdiensten van Big Data kunnen (mee)profiteren.

Dat brengt ons op de vormgeving van een duurzaam model waarin Big Data en Big Privacy elkaar versterken. Deze modellen staan bekend als ‘Persoonlijke Data Ecosystemen’ (PDE’s).

In de kern is een PDE een verzameling organisaties en instellingen die ervan overtuigd is dat burgers volledige controle moeten krijgen over hun persoonlijke informatie en van het gebruik daarvan moeten kunnen (mee)profiteren.

Een PDE ontwikkelt en benut tools, technologieën en regels om burgers in deze positie te brengen. Het netwerk past de ontwerp-principes voor privacy niet alleen toe op het niveau van het individu en op organisatieniveau, maar ook op systeemniveau. Het gaat dan om gehele waardeketens, waardenetwerken en ecosystemen. Het doel is systemische bescherming van persoonlijke data en persoonlijke controle daarover, in het bijzonder in de context van Big Data. PDE’s maken het mogelijk volledige populaties te garanderen dat hun privacy-voorkeuren worden gerespecteerd door het hele systeem heen en door alle daarin participerende partijen.

Ann Cavoukian, de Canadese commissaris voor informatie en privacy, onderscheidt de volgende zeven architectuur-elementen van PDE’s:

1. Persoonlijke clouds

2. Semantische data-uitwisseling

3. Portabiliteit van identiteit en data

4. Data via referentie of inschrijving

5. Pseudoniemen met verantwoordelijkheid

6. Contractuele data-anonimisering

7. Vertrouwenskaders

Persoonlijke clouds bevatten (verwijzingen naar) alle persoonlijke gegevens van individuen. Persoonlijk clouds zijn gelinkt aan andere persoonlijke clouds en aan bedrijfs- en overheidsclouds.

Semantische data-uitwisseling maakt het voor individuen mogelijk om op gedetailleerde wijze te bepalen wie welke gegevens mag gebruiken, hoe lang en waarvoor. Hun voorkeuren kunnen individuen elk moment wijzigen in hun persoonlijke clouds. Via diensten rondom de persoonlijke clouds is het mogelijk privacy-voorkeuren aan de data te koppelen en te laten meenemen in het hele ecosysteem, dwars door verschillende platforms heen.

De portabiliteit van identiteit en data garandeert dat de zeggenschap over de data bij de burgers zelf blijft, en niet in handen komt van allerlei intermediaire dienstverleners.

Data via referentie of inschrijving geeft individuen en organisaties de mogelijkheid hun voorkeuren op elk gewenst moment aan te passen. De winst voor individuen is directe controle. De winst voor organisaties is juridisch geborgde toegang tot actuele, juiste persoonlijke gegevens, en daarmee een vermindering van kosten voor de opbouw, het onderhoud en de actualisatie van organisatie-databases.

Pseudoniemen met verantwoordelijkheid geven individuen de mogelijkheid vrijuit te spreken, met behoud va een bepaalde juridisch acceptabele discretie.

Contractuele data-anonimisering geeft, samen met bovengenoemde pseudoniemen, een manier aan Big Data verzameling en productie om te opereren binnen de privacywet- en regelgeving en de persoonlijke privacy-voorkeuren van individuen.

Vertrouwenskaders verzorgen de open en transparante governance van het ecosysteem met persoonlijke, bedrijfs- en overheidsclouds. Ze binden de partijen aan de afgesproken regels en tools.

Het Canadese Center of Excellence voor Privacy by Design schetst verschillende succesvolle praktijkvoorbeelden van Persoonlijke Data Ecosystemen. Kortom: door uit te gaan van flexibele ontwerp-principes voor privacy en deze op systeem niveau toe te passen, wordt het mogelijk een duurzaam model te ontwikkelen waarin Big Data en Big Privacy naast elkaar bestaan en elkaar zelfs versterken. In plaats van een eroderend vertrouwen als gevolg van nieuwe voorvallen van diefstal en ongeoorloofd gebruik van persoonlijke informatie, zouden Persoonlijke Data Ecosystemen kunnen bijdragen aan een gelijkblijvend en een toenemend vertrouwen in het gebruik van persoonlijke data door bedrijven en overheden.

Hoog tijd voor een verdere toepassing van dit gedachtegoed in Nederland en Europa. Qiy Foundation is al goed op weg. Misschien interessant voor ING?

Abonneer u op mijn nieuwsbrief! Wanneer een nieuwe blog verschijnt, ontvangt u per mail een attendering. U kunt u op elk gewenst moment weer uitschrijven.

2 reacties op “Big Data vereist Big Privacy

  1. Ik ben het van harte met je eens: ING moet worden gestopt en de wetgeving moet accuut worden aangepast en voorzien in astronomisch hoge sacties in geld uit te betalen aan de personen wiens gegevens onrechtmatig zijn gebruikt. Het bezit van en/of het ter beschikking hebben van persoonlijke gegevens mag geen vrijbrief zijn om er mee te doen wat men goeddunkt.
    Dat geldt niet alleen voor medische gegevens die ook dreigen te grabbel te worden gegooid: mijn apotheker wil mij een formulier laten ondertekenen zodat mijn medicatie gegevens aan alle apothekers in Nederland kunnen worden doorgegeven of beschikbaar gesteld.
    George Orwell heeft even geduld moeten hebben maar nu is het bijna zover, zelfs de TV recorder waarmee ongemerkt kan worden geregistreerd waarnaar wij kijken en onze laptop waarvan de camera zonder dat wij het merken kan worden aangezet zijn al vol in bedrijf. De belastingdienst vult tenslotte ook al het aangifte biljet zelf al voor ons in al mogen we gelukkig wel nog even inzien wat zij voor ons hebben ingevuld…..
    Groeten, Hans

Reacties zijn gesloten.