Little big brothers are watching you

Leestijd 12 minuten

Horizontale privacy gaat over hoe burgers onderling omgaan met die rechten, denk aan het online zetten van elkaars foto’s en filmmateriaal. We geven hieronder een beeld van de technologische stand van zaken en schetsen bedreigingen maar ook waar oplossingen gezocht en gevonden kunnen worden.

Aanleiding is de bijeenkomst van de vaste commissie voor Justitie en Veiligheid, die een rondetafelgesprek organiseert over ontwikkelingen rondom horizontale privacy en of deze in de toekomst beter gewaarborgd moet worden.

Namens het Rathenau Instituut neemt directeur Melanie Peters deel aan dit gesprek. Voor deze bijeenkomst is een gespreksnotitie verstuurd en openbaar gemaakt via de website van de Tweede Kamer. Deze gespreksnotitie is een samenvatting van onderstaande beschouwing die dieper ingaat op horizontale privacy en in het verlengde daarvan fundamentele publieke waarden als autonomie, veiligheid en menselijke waardigheid. We vragen achtereenvolgens aandacht voor:

• De snelle technologische ontwikkelingen die maatschappelijke problemen rondom horizontale privacy verder doen toenemen.
   
• Het belang om een bredere definitie van privacy in deze discussie te hanteren; het gaat om meer dan alleen bescherming en controle van persoonsdata. Het is net zo belangrijk te denken in termen van bescherming van publieke waarden als menselijke waardigheid en autonomie. Privacy geldt hierbij als voorwaarde voor het veiligstellen van de andere waarden.
   
• Drie soorten van oplossingsrichtingen om de risico’s te verkleinen juridisch, ‘technologisch burgerschap’ en technologisch. In een juridische context kijken we hoe overheid normen zou kunnen stellen, en in de meest serieuze gevallen het strafrecht in zou kunnen zetten. In context van burgerschap kijken we hoe burgers zelf vaardigheden en houdingen kunnen ontwikkelen om horizontale privacy problemen het hoofd te bieden. De technologische context gaat in op technologische maatregelen waarmee horizontale privacy beter geborgd kan worden.

Horizontale privacy: wat is het probleem?

Horizontale privacy is, door voortschrijdende technologie, steeds minder vanzelfsprekend. Een Duitse rechter verbood onlangs het gebruik van dashcams in auto’s. “Het kan niet zo zijn dat alle 80 miljoen Duitsers met camera's gaan rondlopen om elke situatie te filmen, zodat een misdrijf kan worden opgelost'' [1], staat in het vonnis. Foto’s en filmpjes, eenmaal online gezet, zijn publiek bezit geworden en er is dan geen weg terug meer. Alles wat we doen, wordt onthouden, ook wanneer we dat niet willen, bijvoorbeeld in de facebooktimelines van vrienden. In onze data-gedreven wereld worden we gemonitord, geanalyseerd en beïnvloed. Dat dat niet zonder gevolgen blijft wordt steeds duidelijker en de noodzaak tot bewustwording hiervan steeds urgenter. De technologische ontwikkelingen gaan hierbij steeds verder. 

Technologische ontwikkelingen

We worden steeds meer geobserveerd en gemonitord. Het toenemende samengaan van nanotechnologie en informatietechnologie zorgt ervoor dat ze elkaar versterken en dat er steeds meer toepassingen ontstaan. Dit werkt drie ontwikkelingen in de hand:

1. Miniaturisering: de technologie is minder zichtbaar en ‘opdringerig’ (obtrusive). Burgers zijn zich daardoor niet altijd bewust dat ze (en door wie ze) via allerlei technologie gemonitord worden. 
    
2. De onlife wereld: steeds meer menselijke activiteiten vinden online plaats of kunnen online gevolgd worden. Het onderscheid tussen online en offline verdwijnt. Dit komt deels door de enorme toename van smartphones, maar ook doordat steeds meer spullen chips en sensoren bevatten die verbinding maken met internet en zo een Internet of Things (IoT) vormen. Door de aanwezigheid van het IoT kan razendsnel informatie vergaard en verspreid worden – en kunnen steeds meer partijen elkaar effectief surveilleren.
    
3. Commodificering: de enorme datastromen in de onlife wereld leveren steeds meer informatie en gegevens op die een verhandelbaar goed worden waarop geen of slechts quasi-eigendomsrechten drukken.

Kortom, de combinatie van de toenemende gelegenheid om persoonlijke informatie te genereren met de groeiende gelegenheid om diezelfde informatie te verspreiden, levert horizontale privacy risico’s op. Specifieke technologieën – naast IoT – die deze technologische ontwikkelingen sturen zijn:

• Augmented Reality (AR) technologie: deze technologie vermengt de digitale wereld met de fysieke, en kan bijvoorbeeld digitale informatie toevoegen aan het beeld van iemand die door een winkelstraat loopt. Een voorbeeld hiervan is de Google Glass. Zulke gadgets nemen continue de omgeving waar, inclusief de gedragingen of geluiden van andere mensen. Dit roept veel vragen op: mag men bijvoorbeeld met een AR-bril op door de ramen van iemands huis kijken? Of via een biometrische scan allerlei informatie van de lichamen van voorbijgangers verzamelen?
   
• Gezichtsherkenning: in de afgelopen jaren heeft biometrie een sterke ontwikkeling doorgemaakt. De aanwezigheid van grote databases met foto’s, de toegankelijkheid van software, en alomtegenwoordigheid van camera’s in smartphones, zorgen ervoor dat gezichtsherkennings-technologie in steeds meer situaties kan worden toegepast. Wetenschappers lieten zien dat ze met behulp van gezichtsherkenningstechnologie en openbare data van Facebookprofielen op een universiteitscampus een derde van de studenten konden identificeren. De vrees is dat toegankelijke gezichtsherkenningstechnologie uiteindelijk kan leiden tot een situatie waarin het niet meer mogelijk is om anoniem over straat te gaan. In Rusland werd in 2016 de app FindFace gelanceerd, waarmee gebruikers een foto die ze bijvoorbeeld van iemand op straat hebben gemaakt, kunnen vergelijken met profielfoto’s op Vkontakte – de Russische tegenhanger van Facebook – om zo iemands identiteit te achterhalen.
   
• Emotieherkenning: een volgende generatie biometrie geeft niet alleen inzicht in ‘wie u bent’, maar richt zich ook op de vraag ‘hoe u zich voelt’. Emotieherkenningstechnologie geeft inzicht in de gemoedstoestand van mensen. Het kan ook worden ingezet om emoties die mensen proberen te verhullen, bloot te leggen door te kijken naar onbewuste automatische non-verbale reacties van mensen. Het gaat hier om inbreuk op een ‘nieuw’ terrein van de privacy, namelijk de ‘mentale privacy’. Dat wil zeggen het recht en het vermogen van mensen om privé te houden wat ze denken en voelen. Naast gezichtsuitdrukkingen kunnen ook andere vormen van gedrag worden geanalyseerd. Zo kunnen bepaalde manieren van lopen, grimassen en gezichtsuitdrukkingen iets blootgeven over een persoon en zijn of haar gedrag.
   
• Civiele drones: het gebruiksgemak van de civiele drone vergroot de potentiële gebruikersgroep enorm. In vergelijking met radiografisch bestuurbare vliegtuigen en helikopters, is het bedienen van de meeste civiele drones relatief eenvoudig. Omdat ook de productiekosten laag zijn, liggen sommige drones letterlijk in het speelgoedschap (voor ‘recreatief gebruik’). Zo worden hun innovatieve functies tegen een lage prijs bereikbaar voor een breed publiek en ligt daarmee een hele nieuwe markt open. Ze leveren ook nieuwe maatschappelijke vragen. Hoe gaan we om met burgers die elkaar bespieden met drones? Die kant van drones noemen we disruptief.
   

Wat is er allemaal in het geding?

Het besef groeit dat de impact van deze technologische ontwikkelingen veel verder gaat dan strikt privacy. De verhalen over wat big data en algoritmen veranderen in het dagelijkse leven roepen steeds meer vragen op. In de discussie over horizontale privacy, vinden we het daarom belangrijk om uit te gaan van een breed concept van privacy. Dat betekent niet alleen denken in termen van bescherming en controle over persoonlijke data – zoals in de nieuwe Algemene Verordening Gegevensbescherming – maar ook in termen van de bescherming van publieke waarden als menselijke waardigheid, autonomie en veiligheid. Dergelijke bredere invullingen van privacy staan bijvoorbeeld centraal in de Universal Declaration of Human Rights (UDHR) and the European Convention on Human Rights (ECHR). Tekenend in dat perspectief is ook de beslissing van de European Data Protection Supervisor (EDPS) om een ethische adviesgroep in te stellen. Zij voeren een bredere discussie over nieuwe digitale ethiek om menselijke waarden in waarborgen in de context van nieuwe technologieën zoals het IoT.

Autonomie

Dataverzameling en -vergaring kan het vermogen van mensen om hun eigen keuzes te maken en zichzelf te ontwikkelen hinderen. In deze context zijn chilling effects (ook wel social cooling) essentieel. Dit fenomeen doet zich voor als mensen zich geremd voelen omdat ze bekeken worden: mensen gaan zich anders gedragen als ze continue geobserveerd worden door anderen, en deze waarnemingen ook nog eens opgeslagen kunnen worden. Het risico bestaat dat mensen uiteindelijk conformistisch gedrag gaan vertonen, terwijl ze eigenlijk een afwijkende keuze willen maken. Dit wordt ook wel het disciplinerend effect van technologie genoemd. Dit bevriezen van de eigen ideeën van mensen kan schadelijk zijn voor hun zelfontwikkeling: mensen hebben het recht een eigen identiteit te ontwikkelen die het beste bij ze past. Dit geldt in het bijzonder voor kinderen en tieners. Zij moeten de ruimte krijgen uitglijders te maken zonder dat de beelden daarvan tot het einde der dagen op het internet rondspoken.

Bovendien kan continue wederzijdse surveillance tussen burgers de vrijheid van meningsuiting gaan inperken. Chilling effects kunnen leiden tot zelfcensuur: je komt niet meer uit voor je politieke mening omdat je bang bent dat die zo verspreid wordt dat je in de problemen kan komen – bijvoorbeeld doordat anderen je gaan bekritiseren of zelfs lastig vallen. In het rapport The right to privacy in the digital age, schrijft de UN High Commissioner for Human Rights dan ook: “Even the mere possibility of communications being captured, creates an interference with privacy, with a potential chilling effect on rights, including those to free expression and association.”

Veiligheid

De veiligheidszorgen verbonden aan horizontale privacy zijn velerlei. Burgers kunnen door het kraken van elkaars digitale systemen de reputatie van anderen beschadigen, mensen bestelen, afpersen, en zelfs fysieke objecten manipuleren. Om te beginnen met het eerste: burgers kunnen proberen elkaar aan de publieke schandpaal te nagelen, bijvoorbeeld door uit wraak seksueel expliciet materiaal van anderen te stelen en/of te verspreiden. Maar denk in dit verband ook aan het zodanig bewerken van audio- en beeldmateriaal dat eenzijdige of gemanipuleerde, vervalste opnames van iemand verspreid kunnen worden. Ook het schrijven en publiceren van een leugenachtige recensie van iemands product of dienst kan reële financiële schade toebrengen.

Daarnaast kunnen burgers elkaar beroven, bijvoorbeeld door via het stelen van identiteitsgegevens een creditcard aan te vragen. Men kan afpersen, bijvoorbeeld door een ransomware-aanval uit te voeren en een bedrag te vragen voor het weer vrijgeven van gegijzelde informatie – zoals wereldwijd gebeurde in de WannaCry-aanvallen. Chantage kan ook plaatsvinden wanneer kwaadwillende burgers toegang weten te krijgen tot gevoelige medische informatie of privécommunicatie.

Criminelen kunnen waardevolle informatie onttrekken aan slimme apparaten, ze kunnen ook de besturing van die apparaten overnemen. Daarmee krijgt het vraagstuk van veiligheid ook een fysieke dimensie. Verontrustend is het als het gaat om het hacken van een insulinepomp of een via wifi bestuurde pacemaker waarmee men een apparaat een fataal shot of fatale schok kan af laten leveren. Hiermee werd de angst van voormalig vicepresident van de Verenigde Staten Dick Cheney realiteit. Hij liet de wififunctie van zijn pacemaker uitschakelen en ging het apparaat op een alternatieve wijze besturen. In Nederland alleen al lopen er duizenden mensen met een vergelijkbare pacemaker met wififunctie rond. In het Internet of Things staan apparaten in verbinding met elkaar, waardoor een succesvolle hack van een koffiezetapparaat bijvoorbeeld toegang kan verschaffen tot de auto of de voordeur. Dit soort beveiligingsvraagstukken zijn nieuw voor veel producenten van consumentenelektronica, waardoor er onvoldoende over na wordt gedacht.

Wat kunnen we doen?

Groeiend inzicht en bewustwording over hoe digitalisering ons leven beïnvloedt, schept ook kansen.  We kunnen proactief en lerend van eerdere ervaringen, kijken naar wat beter kan. Het Rathenau Instituut onderscheidt drie soorten van oplossingsrichtingen: juridisch, ‘technologisch burgerschap’ en technologisch.

Juridische oplossingsrichtingen

• Strafrecht: het strafrecht kan ingezet worden om normen te stellen op het gebied van horizontale privacy. De vraag hier is steeds of de huidige regelgeving, bijvoorbeeld ten aanzien van smaad, voldoet, of uitgebreid moet worden, bijvoorbeeld door een aparte delictsomschrijving te maken of door niet alleen het plaatsen maar ook het delen van smadelijke berichten aan te pakken.
   
• Zorgplicht voor bedrijven: gezien de complexiteit van de vele informatiestromen en de veelheid manieren om in de wereld van het Internet of Things elkaar in de gaten te houden, pleit het Rathenau voor een zorgplicht voor bedrijven, zoals bijvoorbeeld neergelegd in de United Nations Guiding Principles on Business and Human Rights  (RUGGIE principles).[2] Bedrijven dienen dus bij het ontwerp van diensten en producten al te bedenken hoe publieke waarden geborgd kunnen worden. Hier kunnen ze ook onderling en in gesprek met de overheid afspraken over maken – het Rathenau Instituut heeft daarom ook opgeroepen tot een digitaliseringsakkoord en een nationale dialoog over de betekenis van digitalisering voor de borging van publieke waarden.
   
• Nieuwe rechten: de komst van nieuwe technologie kan noodzaken tot het bedenken, uitbreiden en implementeren van nieuwe juridische en morele rechten. Zo pleit het Rathenau Instituut in haar rapport ‘Human Rights in the Robot Age’ (2017), geschreven op verzoek van de Raad van Europa, twee nieuwe mensenrechten: het recht om niet gemeten, geanalyseerd of beïnvloed te worden en het recht op betekenisvol menselijk contact (in het licht van de toenemende robotisering, met name in de zorg). Beide rechten zijn opgenomen in een recentelijk goedgekeurde resolutie van de Raad.

Een ander voorbeeld is het digitaal huisrecht: een voorstel van Koops en Prinsen (2005). In de meeste gevallen zijn de gegevens die door slimme tandenborstels, thermostaten, televisies, koelkasten en wasmachines worden verzameld eigendom van de producent en niet van de gebruiker. De eigen woning, die we beschouwen als ons privédomein, wordt hierdoor transparant, omdat processen in de woning kunnen worden gemonitord via de IoT-apparaten in de woning. De scheiding tussen huis en buitenwereld vervaagt waarbij de muren en gordijnen het huis niet langer beschermen tegen pottenkijkers. Burgers zouden naast fysiek huisrecht ook digitaal huisrecht moeten hebben. Tenslotte kan anonimiteit zelf als recht gezien worden, bijvoorbeeld als een ‘recht om vergeten te worden’. Zie voor een voorbeeld hiervan het recht om gegevens te wissen van Art. 17 van de Algemene Verordening Gegevensbescherming, op basis waarvan consumenten bijvoorbeeld aan zoekmachines kunnen vragen bepaalde resultaten weg te laten. Versterking van het recht van vergetelheid kan bereikt worden doordat het bedrijfsleven standaard protocollen voor vergetelheidsverzoeken ontwikkelt.

Bij voorstellen voor nieuwe rechten rijst uiteraard altijd de vraag hoe deze moeten worden geïmplementeerd: op verdragsniveau, in concrete wetten, in convenanten met bedrijven of gewoon in alledaags fatsoen? Voorstellen voor nieuwe rechten zijn dus vooral een vertrekpunt om over nieuw beleid na te denken.

Technologisch burgerschap als oplossingsrichting

Oplossingen kunnen ook gezocht worden in het bevorderen van technologisch burgerschap: de verzameling van plichten en rechten die het mogelijk maakt dat burgers kunnen profiteren van de zegeningen van technologie en hen beschermt tegen de risico’s daarvan. Dit betekent een burger die (A) de vaardigheden heeft om de kansen van nieuwe technologie te pakken, bijvoorbeeld doordat zij goed kan programmeren, (B) zich kan beschermen tegen risico’s als cyberpesten en identiteitsfraude, bijvoorbeeld doordat zij weet nooit een foto te posten van haar rijbewijs, en (C) genoeg weet van digitalisering om in het publieke debat invloed uit te oefenen, bijvoorbeeld doordat zij inzicht heeft in de marktpositie van grote technologiebedrijven. Het technologisch burgerschap staat of valt bij een overheid die de rechten waarborgt die burgers empoweren en beschermen – het ideaal van burgerschap komt alleen tot zijn recht binnen een robuuste context van politieke en maatschappelijke instituties.

Technologische oplossingsrichtingen

De technologie zelf kan ook helpen privacyrisico’s te verkleinen. Er bestaan allerlei commerciële producten en diensten die privacy beter beschermen. Denk bijvoorbeeld aan Snapchat, dat opgenomen beelden automatisch weer weggooit, of aan telefoons die een piepje af laten gaan om andere personen te waarschuwen als er een foto wordt genomen. Als je deze nieuwe technologie combineert met nieuwe sociale normen, komt een bescherming van privacy bottom-up tot stand. Zo zouden ouders bijvoorbeeld snapchatgebruik goed kunnen keuren, terwijl ze zorgen dat er weinig blijvend beeldmateriaal van hun kinderen online te vinden is. Tenslotte kunnen internetsites zelf ook zo zijn ingericht dat gebruikers aangemoedigd worden zich te gedragen, bijvoorbeeld omdat pestgedrag makkelijk gemeld en bestraft kan worden – en er zijn natuurlijk ook sites geheel gericht op het bijbrengen van internet etiquette, ofwel netiquette, zoals het Canadese www.reallifeonline.ca.

Aanleiding voor bovenstaande beschouwing is een rondetafelgesprek in de Tweede Kamer over ontwikkelingen rondom horizontale privacy en of deze in de toekomst beter gewaarborgd moet worden. Digitalisering is een van de speerpunten van het werkprogramma van het Rathenau Instituut en we blijven dan ook met regelmaat over dit onderwerp signaleren, agenderen en publiceren.

Relevante publicaties van het Rathenau Instituut

Een nooit gelopen race: Over cyberdreigingen en versterking van weerbaarheid  (2017)

Human rights in the robot age (2017)

Opwaarderen: Borgen van publieke waarden in de digitale samenleving (2017)

Beyond Control: Exploratory study on the discourse in Silicon Valley about consumer privacy in the Internet of Things (2016)

Met beleid vormgeven aan socio-technische innovatie (2016)

Dicht op de huid: Gezichts- en emotieherkenning in Nederland (2015)

Verwijzingen

[1]  “Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten.”(Abendzeitung München, 2 oktober 2017)

[2] “De principes bestaan uit drie pijlers. De eerste pijler herbevestigt de plicht van staten om mensenrechten te respecteren. De tweede pijler is gericht op de verantwoordelijkheid van bedrijven om mensenrechten te respecteren. De derde pijler betreft de noodzaak om slachtoffers van mensenrechtenschendingen door activiteiten van bedrijven mogelijkheden te geven op herstel en/of genoegdoening (Kamerstukken 2015-2016, 26485, nr. 219)”.