Privacy: vertrouwt u e-diensten?

De expertmeeting “Bescherming Privacy en Digitale Identiteit” van StePS op 28 maart jl. inspireerde mij om wat dieper te duiken in het beschermen van persoonsgegevens. In de informatietechnologie heb je vaak te maken met persoonlijke gegevens van gebruikers. Het begint meestal met een gebruikersnaam of een e-mailadres, maar voor je het weet heb je een verzameling gegevens die toch erg veel vertellen over de persoon achter die gebruikersnaam. Dan moet je rekening houden met privacy regels, gebruiksvoorwaarden, de WBP en allerlei andere wetten. Heel lastig voor de bouwers en beheerders van het systeem, maar ook voor de gebruikers die geconfronteerd worden met onduidelijke gebruiksvoorwaarden. Vaak wordt het beschermen van persoonsgegeven dan ook niet serieus genomen. Dat bewijzen de talloze incidenten wel, die nog vaak worden afgedaan als technisch gedoe.

Infographic Data creation (bron: Mashable)Persoonsgegevens zijn echter wel degelijk belangrijk genoeg om goed te beschermen. Dat belang groeit naarmate we in de maatschappij steeds afhankelijker worden van informatietechnologie. Ik denk niet dat er nog iemand wordt aangenomen, zonder dat de werkgever de nieuwe medewerker op internet ge-Google-d heeft. Misschien denk je dat je nog in de hand hebt wat er dan gevonden wordt. Maar steeds meer persoonlijke gegevens worden digitaal vastgelegd op steeds meer plekken, en steeds meer diensten en processen worden afhankelijk van deze gegevens. De kans dat je wordt uitgesloten van een dienst omdat je ooit ergens iets hebt ingevuld wat nu weer (onterecht) tevoorschijn komt, wordt daarmee groter.
Als je je dat beseft, kan je gewoon niet eerlijk zijn, als je geen vertrouwen hebt in wat er met jouw gegevens gebeurt. Dat geldt voor het online kopen van een boek of het aanvragen van een verzekering, maar zelfs voor het stemmen met een digitaal stemkastje.
Dat men dit alles toch vrolijk doet, wijst erop dat men vertrouwen heeft in de juiste bescherming van de ingevulde gegevens. Het wijst er misschien ook op dat men nog onvoldoende in de gaten heeft wat er met die gegevens gedaan kan worden. Tot nu toe werd het combineren van gegevens rond een persoon vooral gezien als science fiction in spannende spionnenfilms. Een actie als “Lektober” laat echter zien hoe makkelijk het is om aan persoonsgegevens te komen. Er lijkt ook langzaam iets van een gezonde argwaan te ontstaan.

Bescherming van persoonsgegevens is dus belangrijk; niet alleen om aan de wet te voldoen, maar vooral om het vertrouwen van gebruikers te houden, en om de groei van digitale processen, diensten en producten mogelijk te houden. Met het doortrekken naar overheidsdiensten, kan je zelfs zeggen dat bescherming van persoonsgegevens een voorwaarde is voor de democratie met vrijheid van meningsuiting, zoals we die nu in Nederland hebben.

Privacy by Design (Ann Cavoukian)Bescherming van persoonsgegevens moet dan ook niet gezien worden als last, maar als uitgangspunt van goede dienstverlening. Door er op die manier naar te kijken, hoeft het ook niet zo lastig te zijn. Zorg ervoor dat vanaf het eerste ontwerp en gedurende alle stadia van een systeem er rekening wordt gehouden met bescherming van persoonsgegevens, zoals nu al wel vaak gebeurt met andere randvoorwaarden, zoals beschikbaarheid en gebruiksvriendelijkheid. Ann Cavoukian noemt dit “Privacy by Design”.
Gelukkig krijgt het onderwerp ook steeds meer aandacht, en lijkt het de goede kant op te gaan. Ik ben daar ook niet zo bang voor, want organisaties die hier onvoldoende aandacht aan besteden, zullen het vertrouwen van hun gebruikers verliezen. Zonder dat vertrouwen krijgen deze organisaties geen goede informatie meer, of verliezen ze zelfs hun gebruikers.

Alleen de overheid vormt een uitzondering door haar monopoliepositie: klanten (burgers) kunnen niet naar een andere leverancier. Of de overheid voldoende beseft dat bescherming van persoonsgevens een voorwaarde is voor het verkrijgen van vertrouwen van burgers en daarmee het effectief kunnen bieden van digitale diensten, is de vraag. Soms denk ik dat de focus teveel ligt op het automatiseren van bestaande “fysieke” diensten, zonder rekening te houden met specifieke randvoorwaarden die in de digitale wereld gelden. Maar ik zie ook initiatieven die wel in de goede richting gaan. Echt gestructureerd lijkt het niet te gaan, en dat geldt voor meer aspecten van het gebruik van informatietechnologie (zie ook het WRR rapport). Reden om meer structuur aan te brengen, bv. met een Ministerie van Informatie?

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.