Koen Maris
“Heeft niemand door dat het recht om online vergeten te worden één grote illusie is?”
Volgens Koen Maris getuigt de GDPR-wetgeving van weinig inzicht in de technische realiteit van vandaag en is het ‘recht om vergeten te worden’ onhoudbaar in een digitale wereld .
Heeft nu echt niemand door dat het recht om vergeten te worden één grote illusie is?
Telkens als ik een presentatie over GDPR bijwoon – u weet wel: de General Data Protection Regulation die de consument meer privacy wil garanderen – krijg ik het onbestemde gevoel dat ook het jongetje moet gehad hebben toen de keizer ‘in zijn nieuwe kleren’ voorbij paradeerde: ziet nu echt niemand dat hij naakt is? Naar GDPR-termen vertaald: heeft nu echt niemand door dat het recht om vergeten te worden één grote illusie is?
De bepalingen in de GDPR zijn overduidelijk geschreven door advocaten met weinig of geen inzicht in de technische realiteit en digitale wereld van vandaag. We zijn al enige tijd aan het evolueren van een ‘internet of things’ naar het ‘internet of me’, waarin elk aspect van ons leven op een of andere manier met het internet verbonden is: van onze tv over onze fitness-toestellen tot zelfs onze weegschaal. Elk van deze toestellen en bijhorende diensten moet uw toestemming vragen om bepaalde gegevens te gebruiken en/of te delen met derden. Wie kan in hemelsnaam bijhouden waarvoor hij aan wie toestemming heeft gegeven? Gaan we daarvoor lijstjes moeten aanleggen? En moeten we binnenkort voor elke afzonderlijk gebruik van onze data onze goedkeuring geven, zodat dat ene omvattende ‘ik ga akkoord’-hokje plaatsmaakt voor tientallen hokjes die je elk afzonderlijk moet afvinken? Want dat is wat de strikte toepassing van de GDPR eigenlijk inhoudt onder de noemer van ‘privacy by design’.
Het rijksregisternummer: de ultieme GDPR-inbreuk
Het ziet er sterk naar uit dat de GDPR met twee snelheden zal werken: streng voor commerciële bedrijven, veel toleranter voor overheidsdiensten.
Eigenlijk zit het probleem zelfs nog dieper ingebakken in onze samenleving. Denk maar aan onze overheidsdiensten en hun vele formulieren. Het begint al met het rijksregisternummer: daar kan je zo onze leeftijd op aflezen. Een keuze die vele jaren geleden is gemaakt, maar in deze privacy-gevoelige tijden ook enorme gevolgen heeft. Heeft men je geboortedatum nodig als jij je belastingformulier invult? Eigenlijk niet, en toch staat dit erbij. Dat is overigens niet het enige dat op de meeste overheidsformulieren vermeld staat: bijna altijd vraagt men je naam, adres, geboortedatum en geboorteplaats. Een zegen voor administratieve ambtenaren? Misschien wel, maar in elk geval ook een zegen voor hackers. Bij elke geslaagde inbraak krijgt de gegevensdief zomaar extra informatie cadeau die voor de verwerking van het formulier eigenlijk niet eens nodig waren. Het ziet er sterk naar uit dat de GDPR met twee snelheden zal werken: streng voor commerciële bedrijven, en veel toleranter voor overheidsdiensten.
Recht om gewist te worden? Ronduit gevaarlijk
Eén van de belangrijkste bepalingen in de GDPR is het recht om vergeten te worden. Maar wat betekent dat precies? Velen vullen dit in als ‘het recht om gewist te worden’, maar heeft iemand al eens nagedacht over hoe gevaarlijk dit kan zijn? Ik heb het zelf ooit meegemaakt, en velen met mij: als iemand in je nabije omgeving overlijdt, en ze schrappen per ongeluk jouw naam uit het rijksregister in plaats van die van de overledene, dan kan het soms jaren duren eer dat euvel wordt rechtgezet. Als jouw gegevens dan echt voorgoed zijn gewist, wordt dit nog complexer en is Kafka plots wel heel dichtbij.
Een praktisch voorbeeld, eerder aan de bedrijfskant: een medewerker verlaat jouw bedrijf en eist dat alle niet-fiscale data (met andere woorden, alle data rond performance en evaluatie) gewist worden. Een tijdje later wil een andere medewerker dat soort data raadplegen om benchmarking te doen naar performance, algemene condities etc… Maar die data zijn dus verdwenen, voorgoed.
Bovendien staat dit recht om vergeten te worden haaks op andere rechten en plichten. Denk maar aan de plicht voor telecombedrijven om alle klantendata minstens twee jaar bij te houden. Hoe kunnen zij dit doen als ik van hen eis dat ze mijn data voorgoed verwijderen? Als ik zulke vragen stel aan GDPR-experts, krijg ik nooit een bevredigend antwoord. Verontrustend, toch? Maar tegelijk ook begrijpbaar, aangezien er in de wet allerlei uitzonderingsmaatregelen zullen worden ingevoerd die langzaam maar zeker het idee uithollen en dus sommige industrietakken vrijwaren van bepaalde plichten.
Wettelijk versus praktisch: de fijne grens rond breach notification
GDPR bevat overigens nog enkele andere hete hangijzers. De fameuze ‘breach notification’-verplichting bijvoorbeeld, die bedrijven oplegt om elke hack of gegevenslek meteen te melden aan officiële instanties. Maar hoe ver moet je hier als bedrijf precies in gaan?
In Nederland, waar de GDPR al is omgezet in afdwingbare wet, zien we die problematiek nu al opduiken. Sommige bedrijven brengen de bevoegde overheidsdiensten zelfs op de hoogte wanneer ze ongewild een papieren brief naar een verkeerde persoon hebben gestuurd, want dat is ook een gegevenslek. Andere bedrijven zien hierin geen reden om deze diensten in te schakelen, omdat men niet weet wanneer men een incident wel of niet moet melden. Die tweede categorie handelt dus eigenlijk onwettelijk. Bovendien kan zo’n klein incident grote gevolgen hebben. Diezelfde Nederlandse overheid vreest eigenlijk dat men dus slechts het topje van de ijsberg ziet. Hoe dan ook is ook dit een allesbehalve evident aspect van de nieuwe regelgeving. De uitvoerende instanties zullen dus nog jaren moeten bouwen aan jurisprudentie en use cases om tot een duidelijker standpunt te komen.
GDPR incompatibel met blockchain
Eerder sprak ik al over het gevaar van het wissen van gegevens. Maar ook technisch kan dit enorme gevolgen hebben. Iedere ICT’er weet dat records echt wissen behoorlijke gevolgen kan hebben voor de integriteit van een bestand. En dit is nog complexer geworden met de komst van bijvoorbeeld de blockchain-technologie. Deze technologie is nu eenmaal gebaseerd op het bijhouden van en voortbouwen op transacties uit het verleden. Daar kan je niet plots data van één persoon uit verwijderen, want dan valt het hele systeem als een kaartenhuisje ineen. Blockchain wordt steeds vaker ingezet voor financiële toepassingen zoals bitcoin, maar ook in andere sectoren. Als de GDPR hierop wordt toegepast, kan dit enorme gevolgen hebben, voor de bedrijven en hun klanten.
Ik zou me minder zorgen maken om mijn privacy dan om de integriteit van mijn data.
Think about privacy, worry about integrity
Bij alle uitspraken en presentaties rond GDPR kan ik me niet van de indruk ontdoen dat men meer denkt aan de commerciële opportuniteiten dan aan het belang van de burgers. Privacy waarborgen is op zich een nobel doel, maar hopelijk is het intussen duidelijk dat het tegelijk verre van haalbaar is. Als privé-persoon zou ik me overigens minder zorgen maken om mijn privacy dan om de integriteit van mijn data.
Filmsterren hebben dit bijvoorbeeld al begrepen. Toen George Clooney in Venetië zijn trouwfeest hield, wist hij bij voorbaat dat privacy een onbegonnen zaak was. Dus ging hij voor de betere optie: waken over de integriteit van de foto’s die op het feest werden genomen. Iedere genodigde kreeg een camera van Clooney zelf waarmee ze naar hartelust konden kiekjes maken. Het doel: controle houden over welke data wanneer naar buiten gingen. De toestellen waren ‘burner phones’ – wegwerptoestellen die slechts voor één enkel doel worden gebruikt.. Zo kon hij waken over de integriteit van de beelden die de buitenwereld bereikten. Dat is het model waar we als hele maatschappij naar moeten streven: you should think about privacy, but you should really worry about integrity!
Fout opgemerkt of meer nieuws? Meld het hier