Matthias Dobbelaere-Welvaert
Open brief aan Proximus (en de Privacycommissie)
Beste Proximus,
Beste Privacycommissie,
Privacy is niet meer weg te branden uit het dagelijks nieuwstoneel. Betoog na betoog heb ik afgevuurd, met wisselend succes. Tot voor enkele jaren stond privacy niet hoog op de agenda, aangezien de wereld verlekkerd was op nieuwe technologie die, al nam ze vaak een loopje met elementaire privacyrechten, onze economie omvormde tot de sharing economy die ze vandaag is geworden. Diensten moeten gratis zijn, want betalen met harde contanten willen we niet meer.
Beste Proximus,
Beste Privacycommissie,
Privacy is niet meer weg te branden uit het dagelijks nieuwstoneel. Betoog na betoog heb ik afgevuurd, met wisselend succes. Tot voor enkele jaren stond privacy niet hoog op de agenda, aangezien de wereld verlekkerd was op nieuwe technologie die, al nam ze vaak een loopje met elementaire privacyrechten, onze economie omvormde tot de sharing economy die ze vandaag is geworden. Diensten moeten gratis zijn, want betalen met harde contanten willen we niet meer.
Persoonsgegevens die een operator inzamelt, hoeven niet te grabbel gegooid te worden voor wat extra inkomsten.
Waar we vroeger al ‘blij’ mochten zijn met enkele interessante privacy-zaken per jaar, kan ik nu niet meer kiezen. De lesser evil valt uit mijn betogen, omdat ik anders elke dag steen en been kan klagen over hoe de bescherming van ons privé-leven in onze maatschappij wordt ingevuld. Het positieve aspect hierbij is dat Jan met de pet begint te beseffen dat de bescherming van zijn privé-leven de nodige waardering verdient.
Privacy is een evolutief begrip, hoor ik vaak. ‘Privacy is dood‘, schreeuwen de techies en de verkopers die persoonsgegevens zien als de nieuwe currency om te betalen. Diensten als Facebook, Twitter en Google zijn de virtuele belichaming hiervan.
We lezen dat Proximus start met het verkopen van ‘anonieme locatiegegevens’, en dat voor maar liefst 700 euro per set. Ethische, juridische en commerciële vragen steken de kop op, het meest jammerlijke is wellicht dat onze Privacycommissie, die toch haar verantwoordelijkheid dient te dragen, op enkele uren tijd kan beslissen dat dit geen inbreuk uitmaakt op de Privacywetgeving. Hierbij niet gehinderd door enige technische kennis.
Proximus beweert dat het gaat om anonieme locatiegegevens. Dat klinkt mooi, maar is dat ook zo? In een gerenommeerd onderzoek van de MIT & de K.U. Leuven getiteld ‘Unique in the Crowd: The Privacy bounds of human mobility‘, volgden ze gedurende 15 maanden meer dan één en half miljoen individuele gebruikers. De omstandigheden waren verbazingwekkend gelijklopend: éénmaal per uur connecteerde de telefoon van de persoon met de centrale. De telefoon stuurde een locatieping uit. Wat bleek? Vier van die locatiepunten was voldoende om 95% van de 1,5 miljoen gebruikers te gaan identificeren. Vier locatiepunten. Laat het even bezinken.
We weten op moment van schrijven niet precies welk technisch procedé Proximus gebruikt (of zal gebruiken) om haar gegevens te anonimiseren. Transparantie en een opt-out zijn niet voorhanden. Wie zal de gegevens anonimiseren? Waar en hoe worden deze gegevens bewaard en beveiligd? Welke voorzorgen neemt Proximus om hackers buiten te houden? Welke zekerheden hebben u en ik dat dit in de toekomst niet verder wordt uitgebreid en onze rechten niet verder worden uitgeput?
Nergens in het contract wordt gerept over het verhandelen van data voor extra inkomsten. Het is niet alleen ethisch verwerpelijk, het is ook commercieel onjuist.
Laten we het hebben over de juridische bezwaren. Volgens de Privacycommissie is er dus niks aan de hand. Dat klopt niet. In artikel 1 van de Privacywetgeving lezen we dat ‘alles wat kan terugleiden naar een persoon, een persoonsgegeven uitmaakt‘. Zo vallen IP-adressen wel zonder discussie onder de toepassing van de privacywetgeving, ook al zal niet elk IP-adres altijd terugleiden naar een persoon (denk aan een bibliotheekpc, of de smartphone van een vriend, et cetera). Nu, als uit onderzoek blijkt dat 95% geidentificeerd kan worden aan de hand van vier locatiepunten, dat is het heel duidelijk dat deze gegevens persoonsgegevens kunnen worden, en dus niet zomaar verhandeld kunnen worden zonder de uitdrukkelijke toestemming van de betrokkene.
Over de etische en commerciële bezwaren kunnen we kort zijn. Persoonsgegevens (zelfs al zijn ze geanonimiseerd en voorlopig beperkt) die een operator inzamelt, hoeven niet te grabbel gegooid te worden voor wat extra inkomsten. Bij een Facebook of Twitter kan je er eenvoudig weg voor kiezen om geen account aan te maken of die tenminste zo in te stellen dat de mate van privacyverlies tot een absoluut minimum wordt beperkt. Een operator is een andere zaak. Er zijn er maar vier (de MVNO’s niet meegeteld), en de andere drie zijn nu wellicht de kat uit de boom aan het kijken. Anderzijds, mocht ik marketingmanager zijn van een concurrerende operator, ik had al lang een stevige campagne klaar.
We zijn in België bovendien gezegend met één van de duurste abonnementformules ter wereld. We betalen dus duidelijk genoeg voor telefonie en mobiel internet. Zo heeft elke consument ook een contract met zijn operator. Dat contract bestaat uit twee condities: ‘bedrag x’ voor mobiel bereikbaar te kunnen zijn. Nergens in dat contract wordt gerept over het verhandelen van zijn of haar data voor extra inkomsten. Het is niet alleen ethisch verwerpelijk, het is ook commercieel onjuist.
Aan Proximus: u bent een prima operator. U hangt miljoenen aan advertising zoals Tuttimus (al zijn de reacties verdeeld), u investeert in betere en snellere verbindingen en u heeft al bij al een puike servicedesk. U heeft dit niet nodig. Niet alleen heeft u als marktleider een morele verantwoordelijkheid, daarnaast zet dit initiatief de deur op een kier voor meer ingrijpende en gevaarlijke tendensen die een loopje nemen met onze privacy.
Wil u toch volharden in de foute keuze, geef uw klanten dan tenminste waar ze recht op hebben: een volwaardige en transparante opt-out, samen met de nodige informatie hoe en op welke manier de gegevens verwerkt zullen worden. Dat is geen vraag, maar een recht dat elk van uw consumenten heeft.
Aan de Privacycommissie: wij hebben in het verleden al vaak dwarsgelegen. Ik vind u een verouderd apathisch instituut. U heeft tijd en budget om zinloze (maar wel mediagenieke) rechtszaken tegen Facebook te gaan voeren, terwijl het geld gespendeerd aan dure advocatenkantoren had kunnen gebruikt worden om degelijke en snelle adviezen te schrijven (herinner u de cookiewetgeving waar ontwikkelaars meer dan twee jaar lang moesten wachten op uw advies?), en te investeren in positieve incentives en opleiding rond privacy voor bedrijven.
U speelt uw rol vandaag niet uit. U bent wellicht gehinderd door een overdruk aan aanvragen. Ik vraag met drang om uw rol in het Belgische landschap te herzien. U heeft een nieuwe staatscommissaris (u weet wel, uw oude heeft wat faam vergaard met de Facebook-zaak en werd vice-president in de Vlaamse regering), en dus een nieuwe opportuniteit om mensen & budget op een meer nuttige manier in te zetten. Ik kijk er naar uit.
Deze bijdrage werd geschreven door Matthias Dobbelaere-Welvaert, managing partner bij theJurists Europe, met kantoren in Gent, Brussel, Amsterdam & Parijs. Matthias is gespecialiseerd in digitaal recht en privacy, en schrijft deze bijdrage in persoonlijke titel.
Fout opgemerkt of meer nieuws? Meld het hier