Èchte (big) databescherming vraagt om goede regels rond profilering
- 17 september 2015
Profilering is één van de meest controversiële issues van de huidige tijd. Ons gedrag wordt steeds meer door informatietechnologie en profilering beïnvloed. De huidige onderhandelingen over de nieuwe Europese privacywet moeten daarom zoveel mogelijk de risico’s ervan meenemen.
Terwijl de invloed van informatietechnologie groter wordt, zien we dat de ontwikkelingen rond big data en de internet of things in rap tempo toenemen. Dat betekent niet alleen dat veel meer van onze dagelijkse interacties worden beïnvloed door informatietechnologie, maar dat die technologie ook steeds meer verweven raakt met de fysieke wereld.
Op grond van statistische verbanden kunnen profielen worden opgesteld over mensen en voorspellingen worden gedaan over hun gedrag. Deze techniek wordt vooral gebruikt om gericht te adverteren of voor de beoordeling van kredietwaardigheid. Bedrijven verzamelen gegevens over mensen, bepalen dan of je onder een bepaald profiel valt en behandelen je vervolgens volgens dat profiel. Je zoekgeschiedenis bepaalt je zoekresultaten. Vind jij vlammetjes, bier, Wolter Kroes en Studio Voetbal interessant? Dan wil je vast afgeprijsde tickets voor een voetbalwedstrijd!
Dat biedt positieve mogelijkheden, maar zoals we al eerder hebben aangegeven, ook risico’s: er worden bergen met gevoelige gegevens verzameld door bedrijven die we niet goed kennen, zonder dat we daar veel zeggenschap over hebben. Die gegevens worden vervolgens gecombineerd om inzichten te geven die we misschien zelf niet eens hebben. Wie kan daar bij? Vervolgens kan die informatie verkeerd gebruikt worden. De toepassing van profilering versterkt bijvoorbeeld bestaande stereotypen. Dit alles is slecht voor de vrijheid en gelijkheid in onze samenleving en kan leiden tot een gebrek aan vertrouwen in de economie.
Door de populariteit van big data wordt de transparantie hierover alleen maar minder. Hoe kunnen we verwachten dat we straks nog snappen waarom gigantische rekenmodellen voorspellen dat een bepaalde zoekgeschiedenis tot bepaald gedrag gaat leiden? Hoe voorkom je vervolgens valse positieven? Wist je bijvoorbeeld dat een toename in het aantal Nicolas Cage films statistisch verband houdt met het aantal verdrinkingsdoden in zwembaden?
We willen zo’n ‘black box society’ voorkomen: een wereld waar onbekende algoritmen in dienst staan van een kleine groep bedrijven en overheden die ons gedrag op een intransparante manier sturen. Dat is een gigantisch risico voor de rechtsstaat en de autonomie van de burger.
De nieuwe privacywet
Deze risico’s moeten daarom worden meegenomen in de onderhandelingen over de nieuwe Europese privacywet. Nog enkele maanden, dan hoopt Europa klaar te zijn. Het Europees Parlement heeft in 2014 een positie aangenomen met amendementen die de positie van de burger zouden moeten verbeteren. Daarna kwam de Raad (de regeringsvertegenwoordigers) met haar positie. Die liet nogal te wensen over. Deze en komende maanden (vermoedelijk tot het einde van 2015) zitten beide instellingen met elkaar om de tafel om tot een middenweg te komen.
Deze maand vergaderen ze over de principes die de kern vormen van de verordening. Daarnaast gaat het over de rechten van mensen en de verantwoordelijkheid van het bedrijfsleven. Voor elk van de onderwerpen hebben wij, samen met onze Europese zusterorganisaties, een brief gestuurd. Daarin uiten we vooral onze zorgen over onderwerpen die profilering raken.
Betere principes
Een sterke wet vraagt om stevige principes. Jouw gegevens mogen alleen worden verwerkt als daar een goede reden voor is, zoals jouw toestemming. Bedrijven mogen nu echter ook gegevens verwerken (zonder toestemming) als ze daar een gerechtvaardigd belang voor hebben dat niet zwaarder weegt dan jouw privacybelang. Die afweging moeten ze zelf maken. Dat gebeurt in de praktijk veel en is niet per se verkeerd. Het probleem is echter dat die gegevensverwerking daarmee niet transparant is: een bedrijf bepaalt zelf of ze mogen verwerken en hoeven dat niet te melden. Wij zeggen daarom dat het belangrijk is dat mensen worden geïnformeerd en het bedrijf aangeeft hoe de afweging is gemaakt.
Een ander belangrijk principe is doelbinding. Gegevens worden verzameld en verwerkt voor een vooraf bepaald doel en mogen niet voor een ander doel worden gebruikt. Dit fundament van onze databescherming garandeert dat jij weet dat de gegevens die je deelt met je dokter niet zomaar aan de supermarkt of verzekering mogen worden doorgegeven. Regeringsvertegenwoordigers probeerden het bedrijven mogelijk te maken om voor andere doelen verder te verwerken als die bedrijven zelf aangeven dat ze daar een gerechtvaardigd belang voor hebben. Dat kan natuurlijk niet.
Wil je andere punten lezen die we over de belangrijkste principes hebben ingebracht? Zie hier (.pdf).
Stevige gebruikersrechten
Een goede privacywet en effectieve bescherming tegen de schaduwkanten van profilering vragen om rechten voor mensen om hun privacy te controleren. Om problemen te voorkomen, moeten we zorgen dat het verzamelen en verwerken van gegevens voor profielen goed gereguleerd is, net als de uiteindelijke toepassing ervan. Zo moet je bijvoorbeeld ook kunnen weigeren dat jouw gegevens voor een gerechtvaardigd belang van een bedrijf worden verzameld of gebruikt. Zo houd je controle.
Daarnaast moet je bijvoorbeeld inzage- en correctierechten hebben. Stel je voor dat je straks niet in aanmerking komt voor een lening omdat bedrijf X dat zegt. Dan is het in jouw belang om te kunnen zien op grond van welke gegevens dat bedrijf tot die conclusie komt. En dat te wijzigen als het niet klopt.
Daarnaast moet je duidelijkheid krijgen hoe het bedrijf met jouw gegevens tot die conclusie komt. Wat is de logica achter de profilering? Waarom leidden jouw gegevens tot een negatieve conclusie? Daarnaast moet je de mogelijkheid hebben om je te verzetten tegen profilering of om bijvoorbeeld te kunnen vragen om menselijke tussenkomst bij een beslissing die voor jou gevolgen heeft. Zo voorkomen we een “computer says no”-wereld.
Wil je de andere punten lezen die we over gebruiksrechten hebben ingebracht? Zie hier (.pdf).
Duidelijke verantwoordelijkheid bedrijfsleven
Bescherming tegen de schaduwkanten van profilering vraagt ook om verantwoordelijkheden van het bedrijfsleven. Daarbij geldt dat bedrijven nieuwe technologie op een zo privacyvriendelijk mogelijke manier moeten inrichten en dat de instellingen van die technologie zo privacyvriendelijk mogelijk moeten zijn.
Wil je de andere punten lezen die we over de verantwoordelijkheid van het bedrijfsleven hebben ingebracht? Zie hier (.pfd).