Economisch succesvolle digitale ecosystemen zijn vaak gebaseerd op intensieve targeting en tracking van consumenten. Deze verregaande commercialisering van persoonlijke gebruikersgegevens vormt, net als elke vorm van overheidstoezicht, een bedreiging voor de gegevensbescherming.
Tech-bedrijven doen er nu, samen met de reclame-industrie, alles aan om hun pool van gebruikersgegevens zo groot mogelijk te maken. De gegevensverzamelaars stellen dat de kwaliteit van online-aanbiedingen alleen kan worden verbeterd met zinvolle en uitgebreide persoonlijke informatie. Maar ook relevant is de winst die belooft toe te nemen met een gepersonaliseerde service. De invasieve targeting en massale tracering, alsmede het matchen van de verzamelde, vaak veel te persoonlijke informatie, vindt echter in het geheim voor de gemiddelde consument plaats. Met de Algemene Verordening Gegevensbescherming (GDPR) van de EU hebben staatstoezichthouders sinds 2018 een levensvatbaar instrument tot hun beschikking om ten gunste van gebruikers in te grijpen voor meer gegevensbescherming en digitale privacy. De voorschriften zijn echter in veel gevallen moeilijk te handhaven. Toch zorgt het ervoor dat er een kritisch publiek ontstaat ten overstaan waarvan Google, Facebook en andere techgiganten hun omgang met gegevens moeten verantwoorden.
Daarnaast heeft de publieke kritiek – na de onthullingen van Edward Snowden in 2013 – zich herhaaldelijk gericht op staatstoezicht, waardoor de anonimiteit op internet en de digitale identiteit in gevaar komen. Een voorbeeld hiervan is het streven van de EU om end-to-end encryptie in messengers te omzeilen. De resolutie wil de rechtshandhaving op het internet verbeteren, maar dit zou gepaard gaan met een mogelijke inbreuk op de privacy van talloze burgers zonder schuld en wordt door critici en zelfs door de wetenschappelijke diensten van de Bundestag verworpen als een nutteloze aanpak.
Dynamiek in het giftige Big Data-ecosysteem
Ondanks de beschreven situatie zijn er steeds meer tekenen die spreken voor een sociale, technische en ook juridische verandering die zou kunnen leiden tot een privacyvriendelijker internet. Op het eerste gezicht lijkt de economische realiteit deze beoordeling tegen te spreken. Veel bedrijven willen de privacy van de consument meer respecteren en hun bedrijf privacyvriendelijker maken. Zij schrikken echter terug voor het risico om minder gegevens te verwerken op een markt waar Big Data domineert voor de personalisering van aanbiedingen. Als gevolg daarvan valt het streven van veel bedrijven om zich te beperken tot het gebruik van anonieme gegevens zolang het mogelijk is om reverse engineering uit te voeren op anonieme gegevenssets, weg. Deze mogelijkheid wordt geboden door reverse engineering, waarbij voor de ontcijfering gebruik wordt gemaakt van een wereldwijde datapool die miljarden gepersonaliseerde datasets omvat. Hieruit blijkt hoe giftig de Big Data-ecosystemen zijn en hoe dringend regulering nodig is, zoals bepaald in de GDPR. Het gaat hier vooral om het recht van de gebruiker op gegevensverwijdering en de verplichting van het bedrijf om gebruikersgegevens alleen voor specifieke doeleinden te verzamelen en gedurende een beperkte periode op te slaan.
De marktmacht om meer gegevensbescherming af te dwingen is niet in de laatste plaats in handen van Google en Apple. Op het eerste gezicht, doen ze dat ook. Zo wil de Alphabet-dochter vanaf 2022 helemaal zonder cookies. In plaats daarvan vertrouwt Google voor zijn Chrome-browser op de nieuwe cohorttechnologie, ook wel FLoC genoemd, die relevante gegevens uit de browsergeschiedenis rechtstreeks op het apparaat verwerkt. Gepersonaliseerde tracking vindt niet plaats. Apple daarentegen dwingt aanbieders van apps op zijn eigen iOS-besturingssysteem nu om vooraf toestemming van hun gebruikers te vragen voor overkoepelende tracking. De facto kunnen de twee bedrijven het zich veroorloven alternatieve wegen te bewandelen naar een nog betere reclamebusiness, waarbij zij de controle over de gebruikersgegevens behouden. Hun aankondigingen kunnen op zijn minst zo worden geïnterpreteerd dat de omslag in de richting van meer digitale privacy ook in de Big Data-industrie is aangekomen.
Methodische aanpak van meer gegevensbescherming
Daarnaast komt het onderwerp gegevensbescherming ook in het vizier van steeds meer bedrijven in de digitale sector, onafhankelijk van de techconcerns. Een voorbeeld hiervan zijn privacytools zoals privacyvriendelijke browsers, VPN-clients en ad blockers. Het effect: het bedrijf met gegevens wordt minder winstgevend, terwijl het aantal gebruikers toeneemt. De privacy-by-design aanpak die onder andere door Avast wordt gevolgd, is even effectief. Bij deze aanpak wordt reeds tijdens de ontwikkeling van de software nagegaan welke gegevens niet kunnen worden weggelaten en hoe zij moeten worden verzameld. Bovendien is het de vraag of de gegevensverwerking rechtstreeks op het toestel kan plaatsvinden. Voorts wordt geëxperimenteerd met nieuwe en verbeterde varianten van de uit vroeger tijden bekende contextuele reclame en met vernieuwingen die de context voor persoonsgegevens beperken. In elk geval is het doel doeltreffende reclame die op het apparaat wordt afgespeeld zonder dat persoonlijke gegevens of surfgewoonten worden gedeeld.
De consument bewust maken van zijn macht
Een cruciale rol is weggelegd voor de gebruikers om de alomtegenwoordige verzameling en personalisering van hun gegevens te beperken. Zij moeten druk blijven uitoefenen op beleidsmakers en bedrijven om hun rechten degelijk te beschermen. Consumenten bepalen rechtstreeks de toekomst van bedrijven wanneer hun gebruikersgedrag bedrijfsmodellen beloont die een restrictievere omgang met gegevens toepassen dan de concurrentie. Zelfs bedrijven die sterk gericht zijn op tracking zullen dan gedwongen worden de digitale identiteit van de consument te beschouwen als de moeite waard om te beschermen in plaats van te meten. Het doel moet een wereldwijd aanvaard minimumniveau van bescherming zijn, dat door instanties als de OESO of Verdrag 108 van de Raad van Europa kan worden afgedwongen.
Over de auteur: Shane McNamee is chief privacy officer bij Avast. Hij houdt toezicht op de wereldwijde privacystrategie van het bedrijf en gaat door met het ontwikkelen van Avast’s privacy-by-design benadering. McNamee heeft meer dan zeven jaar ervaring op het gebied van regelgeving en digitaal beleid, waarbij hij zich heeft toegelegd op privacy en digitale rechten in vooraanstaande organisaties, waaronder de Ierse Commissie voor gegevensbescherming. Hij houdt zich intensief bezig met beleid, onderzoek en bewustmaking van het publiek en spreekt over uiteenlopende onderwerpen, waaronder digitale rechten, fintech, softwarelicenties, genetisch onderzoek en evoluerende en onderling verweven privacyregelgeving, waarover hij ook heeft gepubliceerd. Shane McNamee is ook een praktiserend advocaat.