The Future is False Positive: interview Hans de Zwart, directeur van digitale burgerrechtenorganisatie Bits of Freedom

Hans de Zwart is directeur van Bits of Freedom. De belangenbehartiger die opkomt voor twee grondrechten bij je digitale communicatie die onmisbaar zijn voor je vrijheid: privacy en communicatievrijheid. Tijdens de 15e jubileumeditie van de Black Hat Sessions op 29 juni 2017 geeft Hans een lezing over false positives. Hij gaat daarbij in op verkeerde interpretaties die mogelijk grote (negatieve) gevolgen hebben en in de toekomst alleen maar zullen toenemen. Hij bespreekt de bron van dit probleem en strategieën om false positives te voorkomen. In dit interview geeft Hans openhartig antwoord op de vragen die we hem in aanloop naar de conferentie stelden.

 

Bits of Freedom bestaat nu meer dan 8 jaar. Wat hebben jullie de afgelopen jaren bereikt?
We bestaan zelfs meer dan 15 jaar. Dit is de tweede editie, en die is inderdaad nu een jaar of 8 oud. Ik denk dat het belangrijkste wapenfeit is dat we als eerste in Europa en als tweede land in de wereld netneutraliteit hadden; bij wet geregeld dat internettoegangproviders al het internetverkeer hetzelfde moeten behandelen. Een belangrijk wetsartikel dat ook in Europese wetgeving komt. Verder hebben we een aantal downloadverboden en uploadfilters uit wetsvoorstellen gekregen. Ik denk dat één van de belangrijkste wapenfeiten is dat we nu al 12 jaar lang de Big Brother Awards organiseren, en dat dit steeds een groter evenement wordt. Nederland is een land met een glashelder kabinetstandpunt over versleuteling. De Nederlandse regering wil versleuteling ondanks de terroristische dreiging niet verzwakken. Dat hebben ze heel expliciet gezegd en Nederland is eigenlijk een van de enige landen in Europa die dat doet. En ik denk dat dat ook kan worden toegewezen aan het internetklimaat zoals dit in Nederland is; waar wij een rol in spelen.

Wat hebben jullie nog niet bereikt en waar willen jullie aandacht voor hebben?
Ik denk dat dit op dit moment wat mij betreft het stoppen van massasurveillance is. Net voor de verkiezingen, net voor de Kamerleden stopten, is de ‘sleepnetwet’ door de Tweede Kamer gekomen. Dit is een wet voor de geheime diensten waarin geregeld wordt wat hun bevoegdheden zijn. En één van die bevoegdheden in de wet is de sleepnetbevoegdheid, waarin geregeld is dat ze massaal, op grote schaal, ongericht --- dus zonder dat je een soort van specifieke verdenking hebt --- mensen mogen afluisteren. Die stap van gerichte surveillance naar ongerichte surveillance wordt op een aantal andere plekken in de maatschappij ook gedaan; dat vinden we bijvoorbeeld in het gemak waarmee we kentekens op snelwegen checken, automatisch uitlezen en mensen door het hele land heen volgen. En wat we ook hadden met de bewaarplicht, dus het feit dat al onze telefoongegevens voor een bepaalde periode bewaard werden. Die bewaarplicht is nu door de rechter gestopt. Maar je ziet gewoon omdat surveillance op schaal van de hele bevolking betaalbaar geworden is, dat het ook begint te gebeuren. Dit is echt zorgelijk.

De sleepnetwet ligt nu bij de Eerste Kamer. Er zitten een hele hoop problematische aspecten aan, die waarschijnlijk ook vanuit een mensenrechtenperspectief niet door de beugel kunnen. Dus we zijn ook al aan het verkennen, of we die wet, wanneer hij er doorheen komt, via de rechter kunnen aanvechten.

Wat vinden jullie verder zorgelijke ontwikkelingen op het gebied van privacy?
Een andere zorgelijke ontwikkeling is gerelateerd aan dominante businessmodel op het internet op dit moment: 'surveillance capitalism'. Dat je als bedrijf een soort van vier-traps raket hebt: hierin verzamel je in de eerste fase zoveel mogelijk data van mensen. In de tweede fase doe je analyses op die data. Met je Data Scientists en Machine Learning Algorithms probeer je modellen te maken, en met die modellen probeer je gedachten te voorspellen. Dus je gaat bedenken: wat gaan mensen doen? En tot slot verkoop je dat voorspelde gedrag op 'prediction markets'.

Het bekendste voorbeeld hiervan is de manier waarop Google met advertenties omgaat. Maar er zijn natuurlijk ook een hoop andere manieren waarop dit kan en wat je dus merkt, omdat dit gedreven wordt door data is er een soort van tendens om steeds meer van ons op te slaan en te bewaren, en op basis daarvan gedrag te voorspellen. De vraag is: wanneer slaat dit voorspellen van gedrag om in het creëren of manipuleren van gedrag?

Rondom een aantal van de laatste verkiezingen, bijvoorbeeld rondom Trump, is er veel discussie geweest in welke mate social media een rol speelden bij zijn verkiezing, en in welke mate mensen zodanig getarget zijn met bepaalde berichtgeving dat ze op hem zouden gaan stemmen. Dat bleek op zich allemaal wel mee te vallen, maar als je gewoon simpel erover nadenkt dan kun je natuurlijk ook wel voorstellen dat mocht Google het willen, ze de verkiezingen best zouden kunnen beïnvloeden. Gewoon door te kiezen welke informatie ze wel of niet laten zien. En er zijn steeds meer domeinen waarin Google ons gedrag kan beïnvloeden. Omdat we allemaal e-commerce gebruiken kan Google op deze manier de gangen van de gewone burger nagaan. Dat model waarin er dus bedrijven zijn die meer van ons weten, dan dat we van onszelf weten. Die ook meer van ons weten dan vaak overheden van ons weten. En dat die bedrijven niet onder een soort democratische controle staan en moeilijk ter verantwoording te roepen blijken, vind ik een heel zorgelijk iets.

Viertrapsmodel Surveillance Capitalism:

  1. Verzamelen van de data
  2. Analyse van de data door data scientists en machine learning algoritms
  3. Voorspellen van gedrag
  4. Verhandelen van het voorspelde gedrag

Wat vindt Bits of Freedom van de GDPR? En waarom?
Daar zijn we gematigd positief over. Er zijn enkele dingen die gewoon nog niet strak genoeg geregeld zijn, wat ons betreft. Bijvoorbeeld rondom profilering, wat je daar wel en niet mag doen. De mate waarin zaken onder de GDPR nog steeds kunnen, als je maar toestemming van de consument hebt. De regels daarover zijn eigenlijk nog steeds iets te zwak. Dit is een van de meeste belobbyde wetgevingstrajecten ooit. Er zit heel veel druk op om bepaalde, voor bedrijven scherpe randjes eruit te halen, en dat is ze helaas ook gelukt. Dat gezegd hebbende, is de GDPR op een bepaalde manier zeker een stap vooruit, vanwege die individuele rechten die je als burger erbij krijgt.

In de Verenigde Staten kennen ze het 'Delaware Effect' en het 'California Effect'. Het 'Delaware Effect' is naar analogie van de kosten in Amerika om een bedrijf te starten. Aangezien het niet uitmaakt wáár je je bedrijf start, dus ongeacht de staat, zijn er bedrijven die zijn gestart in de staat waar die kosten het laagst zijn. In Delaware zijn die kosten nihil, waarbij je ziet dat bedrijven de kleinste gemene deler zoeken: die starten in Delaware. Bij het 'California Effect' is het andersom. Californië heeft zó'n grote interne markt in de VS, dat op het moment dat de staat Californië een wet aanneemt, het voor bedrijven vaak makkelijker is om zich aan die regels te houden, dan om geen zaken te doen met bedrijven in die staat, en vaak is het dan goedkoper om je meteen voor héél Amerika aan die (Californische) regels te houden. Een beroemd voorbeeld daarvan zijn de regels voor uitstoot van auto's: die werden wat scherper in Californië, waarna meteen die auto's gewoon over de hele linie, door heel Amerika, met minder uitstoot op de markt kwamen.

Wat ik hoop is dat de GDPR zorgt voor een ‘California Effect’, dat het Europa lukt om bedrijven zoals Google op zo’n manier te reguleren dat het voor de hele wereld beter wordt.

Gaan we met de GDPR verder naar een `vinkjescultuur' bij organisaties? Of denk je dat bedrijven zich ook nog echt inzetten voor informatiebeveiliging en voorkomen van datalekken?
Dat is een interessante vraag. Ik heb een wat cynisch perspectief op bedrijven, omdat het in veel gevallen gewoon rationeel is voor een bedrijf om de randjes van de wet op te zoeken. Maar wat je wel merkt, is dat je dat met een soort maatschappelijke legitimiteit moet doen; dus net zoals je in de voedselindustrie steeds meer bedrijven aan organisch en biologisch ziet doen omdat de klanten dat willen en belangrijk vinden; het maakt dan niet uit of het bedrijf dat zelf ook echt belangrijk vindt. Ik hoop dat we naar een situatie toe gaan, waarin een dermate niveau van kennis is over hoe deze digitale wereld werkt en wie daar winnaars en verliezers in zijn, dat bedrijven scherp gehouden worden door hun klanten, en daar fatsoenlijk mee omgaan. Er zijn ook wel bedrijven die privacy als een uniek concurrentievoordeel zien. Volgens mij is het vrij helder dat als jij als bedrijf dezelfde dienst kan leveren als een ander bedrijf, maar je dat doet met privacybescherming die dat andere bedrijf niet biedt, dat je daar dan gewoon voordeel aan hebt. Ik denk dat daar wel kansen zitten.

Natuurlijk is het zo dat er voor een gedeelte sprake zal zijn van een vinkjescultuur, maar tegelijkertijd is een vinkjescultuur niet per se slecht. Als je maar daadwerkelijk de stappen afloopt. Oók checklists en vinkjes zorgen er in elk geval voor dat er meer aandacht is voor een bepaald onderwerp, dat je daar bewuster mee omgaat, en aangespoord wordt om verstandige keuzes te maken.

Hoe zou je bij organisaties een cultuurverandering kunnen stimuleren om beveiliging en privacy te waarborgen?
We hebben in het verleden 'data' heel vaak gezien als een soort asset, als iets met veel waarde, dat je als iets positiefs op je balans kunt zetten: 'hoe meer data, hoe beter'. Na alle berichtgeving over datalekken en dergelijke merk je dat er een soort omslag is, en dat men zich bedenkt dat data ook een risico kan zijn, een liability. Ik denk dat het in het bedrijfsleven helderder wordt, bijvoorbeeld door de autoriteit die wat vaker haar tanden laat zien, dat je heel zorgvuldig met data moet omgaan, omdat je anders datalekken hebt. Het is, zeg maar, een 'license to operate'. Ik heb zelf bij Shell International gewerkt en daar was veiligheid echt prioriteit; als je je werknemers niet veilig hun werk kunt laten doen, dan kun je denk ik niet hardmaken dat je het werk überhaupt goed kunt uitvoeren. Eén van de problemen met veiligheid is altijd: er zijn regels, iedereen kent ze, maar niemand houdt zich eraan. Bij bijna elk veiligheidsincident blijkt dat mensen de regels wel kenden, maar zich er niet aan hielden. Shell maakte veiligheid de kern van de organisatie, in de zin dat elke dag en elke meeting begon met een soort veiligheidsmoment. Er werd bedacht, als we dit echt door de hele organisatie heen willen hebben, dan moeten de hoogste regionen daarmee bezig zijn, niet alleen op een boorplatform maar ook op het hoofdkantoor waar alleen maar marmeren trappen zijn.

Ten aanzien van privacy zal het niet in eerste instantie gaan om privacy, maar om data -- je bent daar een hoeder van, je moet ervoor zorgen, en is het je verantwoordelijkheid daar netjes voor te zorgen, en dat kan je niet doen tenzij je daar bewust mee omgaat. Er zijn nu nog allerlei bedrijven die er onvoldoende bewust mee omgaan, maar ik denk echt dat in de komende jaren heel rap gaat veranderen.

Dit is een verkorte versie van het interview. Benieuwd naar de antwoorden op onderstaande vragen, lees dan het uitgebreide interview.

  1. Is de gemiddelde Nederlander zich wel bewust van het belang van privacy? Het lijkt namelijk niet zo met onbeteugeld social media gebruik
  2. Gaan jullie zwaarder inzetten op voorlichting aan de Nederlandse burger?
  3. Wat vinden jullie dat de Autoriteit Persoonsgegevens tot nu toe heeft bereikt? Hebben jullie wellicht nog adviezen voor ze?
@Secura 2018
Webdesign Studio HB / webdevelopment Medusa