Hoe digitale privacy een hot issue is geworden – en wat we ermee moeten

Privacy is eindelijk doorgedrongen tot de eredivisie van maatschappelijke thema’s.

30264949_1710970525661349_3425402861427621888_n

Digitale privacy gold altijd als een ongrijpbare kwestie: het probleem van overheidssurveillance op internet, datagrazende sociale media en alomtegenwoordige advertentietrackers waren een probleem dat algemeen bekend was maar nooit genoeg urgentie leek te hebben. In 2018 lijkt dat te veranderen.

Digitale privacy lijkt eindelijk een urgente kwestie te worden, dankzij een perfect storm van gerelateerde, in elkaar grijpende ontwikkelingen. De gemene deler is dat het internet anno 2018 de dominante infrastructuur is geworden voor zo’n beetje alles wat een samenleving bij elkaar houdt: van ecommerce tot politieke campagnes en van interpersoonlijke sociale relaties tot journalistiek.

Om slechts een greep te doen uit de prominente kwesties die direct te maken hebben met digitale privacy:

  • Sociale media en privacy: het kernprobleem is dat sociale media alomtegenwoordig zijn, onmisbaar voor journalistiek en politieke communicatie, maar hun verdienmodel baseren op het vergaren en vermarkten van gebruikersgegevens. Het huidige schandaal is slechts het tipje van de ijsberg: Cambridge Analytica was verre van de enige die met persoonlijkheidskwisjes (of Farmville-ripoffs) miljoenen gegevens bij elkaar harkte. Toch is dit schandaal een ‘game changer1‘ als het gaat om privacyregulering. De internationale #detelefacebook-campagne heeft dankzij Arjen Lubach met z’n ByeByeFacebook-event een Nederlandse versie gekregen.
  • Algemene beveiliging van privégegevens: gaat het bij het huidige Facebook-schandaal nog om vooral Amerikaanse gebruikersgegevens, dichter bij huis speelt de recente ‘lek’ van miljoenen buitgemaakte e-mailadressen met wachtwoorden2.
  • Bedrijven en privacy: in Europa hangt de introductie van de AVG 3 boven de markt, die strengere eisen stelt aan de verwerking van persoonsgegevens, de werking van cookies, en meer.
  • Politiek en privacy: we hebben net een referendum over de zogenaamde Sleepwet achter de rug. De campagne voor het referendum werd ruim 400 duizend maal ondertekend. De daaropvolgende campagne legde een generatieconflict bloot: vooral jongeren zijn tegen de geplande verruiming van bevoegdheden van veiligheidsdiensten. Zelfs VVD-jongerenorganisatie JOVD stelde: “Wij willen de privacy beter waarborgen”. Het kabinet lijkt de uitslag te hebben aangegrepen om een aantal wijzigingen door te voeren die volgens privacy-organisatie Bits of Freedom4 echter ‘vooral van cosmetische aard‘ zijn.
  • Privacy en andere burgerrechten: er zijn interessante parallellen te trekken met andere burgerrechten. De #MeToo-discussie legt machtsongelijkheid in de samenleving bloot die overeenkomstige breuklijnen vertoont, bijvoorbeeld als het gaat om de seksistische cultuur van privacyschendende techbedrijven.
Beeld door: Victoria Pickering (CC-licensed)

Surveillancesamenleving

Voor een angstwekkend schrikbeeld van waartoe ongebreidelde surveillance kan leiden, kunnen we kijken naar China: het artikel “China’s Surveillance State Should Scare Everyone” biedt een inkijkje in de wijze waarop daar een alomtegenwoordig spionage-apparaat wordt opgetuigd waar George Orwell nog een puntje aan had kunnen zuigen.

Dit probleem treft niet alleen Chinese staatsburgers: ons eigen ministerie van Buitenlandse Zaken adviseert uitreizende Nederlanders om alleen een ‘lege’ laptop en telefoon mee te nemen naar landen als China, Rusland, Iran en Turkije. Persoonlijk zou ik daar de Verenigde Staten ook maar alvast aan toevoegen, gezien het voornemen om social media-identiteiten op te vragen bij een visumaanvraag.

Nu is het niet direct zinvol om alle ontwikkelingen op een hoop te gooien. Nederland is Amerika niet, en Amerika is China niet. Het onderliggende probleem is de veronachtzaming van het belang van persoonlijke privacy in de infrastructuur van het internet. De privacyproblematiek reflecteert en versterkt in elk land de daar geldende machtsstructuren.

Centraal geleide landen met totalitaire trekjes richten een surveillancestaat op die doordringt tot in de haarvaten van de samenleving; een kapitalistisch land als de Verenigde Staten kent weliswaar een reusachtig en onmiskenbaar machtig inlichtingenapparaat, maar wordt persoonlijke privacy en communicatievrijheid in minstens gelijke mate bedreigd door multinationals die zich enerzijds juist  zo weinig mogelijk aantrekken van landelijke regelgeving5, maar zich vaak gedwongen zien om de nationale wetgeving te eerbiedigen. Dat is fijn als het gaat om strengere privacyrichtlijnen, maar minder fijn als het gaat om quasi-dictatoriale overheden die censuur willen plegen en gebruikersdata van activisten en journalisten willen opvragen.

Wat te doen?

De ontwikkelingen overziend, is de vraag: wat kunnen we doen? Welke lessen zijn er te trekken, welke ontwikkelingen moeten in gang worden gezet? Wat betekent dit voor de online-strategie van Nederlandse organisaties, en wat kunnen individuele burgers doen?

Een paar suggesties:

smartphone-en-boek

Nieuw! Bolster bouwt nu privacyvriendelijke websites

4 manieren waarop Bolster privacyvriendelijke websites bouwt.

    • Over Facebook: aardig wat mensen wijzen erop dat het deleten van je Facebook-profiel een futiel gebaar is. Die blogpost van de altijd scherpe Kevin Levie geeft nog wat andere tips, zoals géén Facebook Messenger op je telefoon installeren, Privacy Badger installeren, en meer.
    • Bedenk dat Facebook een machts-decentraliserende functie heeft: wie niet zoals Lubach een eigen tv-programma heeft, beschikt niet over al te veel alternatieve middelen om haar stem te laten horen en dingen te organiseren. Wil je toch Facebook af, dan kun je nog overwegen even te wachten tot Facebook de aangekondigde functie om je eigen privéberichten te wissen (waarover Mark Zuckerberg zelf toevallig al wel beschikte) aan iedereen beschikbaar stelt.
    • Qua persoonlijke privacy: check laatjeniethackmaken.nl.
    • Organisaties moeten serieus werk maken van digitale privacy. Een privacy-first-beleid is echt aan te raden, en je moet als je persoonsgegevens verwerkt sowieso aan de bak, vanwege de komst van de AVG. Check de AVG-Regelhulp als je wil weten wat je allemaal moet regelen.
    • Qua digitale strategie voor organisaties: gebruik diensten van Facebook en Google pragmatisch, en leun er niet te zwaar op. Zie de blogpost: bouw nooit huizen op gehuurde grond.
    • Zorg voor een privacyvriendelijke website. Wij van Bolster bouwen privacyvriendelijke websites met bijvoorbeeld share-buttons zonder trackingcodes, goede cookie-systemen, werken graag met het privacyvriendelijke analytics-systeem Piwik, serveren uiteraard alles via https, en meer. Uiteraard zijn we nu ook druk bezig om onze klanten te helpen alles AVG-proof te maken.
    • Stel praktische privacyregels opvoor je website. Is een Facebook-pixel voor landingspagina’s van campagnes echt nodig (waaruit Mark Zuckerberg kan afleiden welke ziektes je hebt, als zorgverzekeraars dat doen)? Wie heeft toegang tot de opgeslagen ledengegevens in je CMS of CRM-systeem?
    • Maar wat bij de meeste organisaties nog niet goed geregeld is, zijn de basics zoals wachtwoordbeheer. Deel geen wachtwoorden met mensen, gebruik veilige en unieke wachtwoorden en gebruik wachtwoordmanagers (met gedeelde kluizen of andere vormen van gedelegeerd toegangsbeheer), en zet 2FA6
    • Communicatie- marketing- en webontwikkelingbureaus zouden er goed aan doen zich te verdiepen in het Privacy By Design Framework. Het gaat immers niet direct om een paar technische instellingen in een website, of de vraag of je privacy-statement compleet is, maar of de zorg om privacy een integraal onderdeel is van je gehele strategie en organisatiecultuur.

Dat laatste punt lijkt me een goede afsluiter – het is tijd voor zowel burgers als organisaties om proactief in plaats van reactief met privacy aan de slag te gaan – en laat die proactiviteit nou net een van de pijlers zijn van Privacy by Design. Andere fundamentele uitgangspunten betreffen privacyvriendelijkheid als default-instelling, dat gebruikers controle en inzicht moet worden geboden, enzovoorts.

Laat dat nou nét zaken zijn die ook in de AVG-wetgeving tot uiting komen. Het punt is dan ook dat je niet de AVG-regels als een lijst afvinkbare checkboxen moet zien, maar de achterliggende filosofie als richtsnoer moet gebruiken voor de inrichting van je gehele infrastructuur, communicatiestrategie en beleid ten aanzien van de opslag en verwerking van persoonsgegevens.

Bolster maakt geavanceerde digitale platforms voor maatschappelijke en journalistieke organisaties, van Wakker Dier tot OneWorld. Bekijk ons werk, neem contact op of schrijf je in voor onze nieuwsbrief:

  1. Zo noemt Bloomberg het hier. Lees bijvoorbeeld Ars Technica over de nieuwe privacywetten die door Democraten worden bepleit. ↩︎
  2. Zie bijvoorbeeld de berichtgeving van RTL-nieuws over de zoekmachine Gotcha! waar je eigen e-mailadres kunt controleren ↩︎
  3. Algemene Verordening Gegevensbescherming, in het Engels: General Data Protection Regulation, ofwel GDPR ↩︎
  4. Full disclosure: tot eerder dit jaar, toen mijn termijn er na zeven jaar op zat, was ik lid van de Raad van Advies van Bits of Freedom. ↩︎
  5. Dit is wat kort door de bocht. Veel tech-reuzen bouwden achterdeurtjes voor de NSA, maar daar zijn ze zeker nu niet meer zo happig op; ze hebben in elk geval deels tegengestelde belangen en genoeg macht om minstens tegenwicht te bieden. ↩︎
  6. 2 Factor Authentication, ofwel: dat je een SMS of een Authenticator-app op een smartphone moet gebruiken om te kunnen inloggen. ↩︎