The Future is False Positive: interview Hans de Zwart, directeur van digitale burgerrechtenorganisatie Bits of Freedom

Hans de Zwart is directeur van Bits of Freedom. De belangenbehartiger die opkomt voor twee grondrechten bij je digitale communicatie die onmisbaar zijn voor je vrijheid: privacy en communicatievrijheid. Tijdens de 15e jubileumeditie van de Black Hat Sessions op 29 juni 2017 geeft Hans een lezing over false positives. Hij gaat daarbij in op verkeerde interpretaties die mogelijk grote (negatieve) gevolgen hebben en in de toekomst alleen maar zullen toenemen. Hij bespreekt de bron van dit probleem en strategieën om false positives te voorkomen. In dit interview geeft Hans openhartig antwoord op de vragen die we hem in aanloop naar de conferentie stelden.

 

Bits of Freedom bestaat nu meer dan 8 jaar. Wat hebben jullie de afgelopen jaren bereikt?
We bestaan zelfs meer dan 15 jaar. Dit is de tweede editie, en die is inderdaad nu een jaar of 8 oud. Ik denk dat het belangrijkste wapenfeit is dat we als eerste in Europa en als tweede land in de wereld netneutraliteit hadden; bij wet geregeld dat internettoegangproviders al het internetverkeer hetzelfde moeten behandelen. Een belangrijk wetsartikel dat ook in Europese wetgeving komt. Verder hebben we een aantal downloadverboden en uploadfilters uit wetsvoorstellen gekregen. Ik denk dat één van de belangrijkste wapenfeiten is dat we nu al 12 jaar lang de Big Brother Awards organiseren, en dat dit steeds een groter evenement wordt. Nederland is een land met een glashelder kabinetstandpunt over versleuteling. De Nederlandse regering wil versleuteling ondanks de terroristische dreiging niet verzwakken. Dat hebben ze heel expliciet gezegd en Nederland is eigenlijk een van de enige landen in Europa die dat doet. En ik denk dat dat ook kan worden toegewezen aan het internetklimaat zoals dit in Nederland is; waar wij een rol in spelen.

Wat hebben jullie nog niet bereikt en waar willen jullie aandacht voor hebben?
Ik denk dat dit op dit moment wat mij betreft het stoppen van massasurveillance is. Net voor de verkiezingen, net voor de Kamerleden stopten, is de ‘sleepnetwet’ door de Tweede Kamer gekomen. Dit is een wet voor de geheime diensten waarin geregeld wordt wat hun bevoegdheden zijn. En één van die bevoegdheden in de wet is de sleepnetbevoegdheid, waarin geregeld is dat ze massaal, op grote schaal, ongericht --- dus zonder dat je een soort van specifieke verdenking hebt --- mensen mogen afluisteren. Die stap van gerichte surveillance naar ongerichte surveillance wordt op een aantal andere plekken in de maatschappij ook gedaan; dat vinden we bijvoorbeeld in het gemak waarmee we kentekens op snelwegen checken, automatisch uitlezen en mensen door het hele land heen volgen. En wat we ook hadden met de bewaarplicht, dus het feit dat al onze telefoongegevens voor een bepaalde periode bewaard werden. Die bewaarplicht is nu door de rechter gestopt. Maar je ziet gewoon omdat surveillance op schaal van de hele bevolking betaalbaar geworden is, dat het ook begint te gebeuren. Dit is echt zorgelijk.

De sleepnetwet ligt nu bij de Eerste Kamer. Er zitten een hele hoop problematische aspecten aan, die waarschijnlijk ook vanuit een mensenrechtenperspectief niet door de beugel kunnen. Dus we zijn ook al aan het verkennen, of we die wet, wanneer hij er doorheen komt, via de rechter kunnen aanvechten.

Wat vinden jullie verder zorgelijke ontwikkelingen op het gebied van privacy?
Een andere zorgelijke ontwikkeling is gerelateerd aan dominante businessmodel op het internet op dit moment: 'surveillance capitalism'. Dat je als bedrijf een soort van vier-traps raket hebt: hierin verzamel je in de eerste fase zoveel mogelijk data van mensen. In de tweede fase doe je analyses op die data. Met je Data Scientists en Machine Learning Algorithms probeer je modellen te maken, en met die modellen probeer je gedachten te voorspellen. Dus je gaat bedenken: wat gaan mensen doen? En tot slot verkoop je dat voorspelde gedrag op 'prediction markets'.

Het bekendste voorbeeld hiervan is de manier waarop Google met advertenties omgaat. Maar er zijn natuurlijk ook een hoop andere manieren waarop dit kan en wat je dus merkt, omdat dit gedreven wordt door data is er een soort van tendens om steeds meer van ons op te slaan en te bewaren, en op basis daarvan gedrag te voorspellen. De vraag is: wanneer slaat dit voorspellen van gedrag om in het creëren of manipuleren van gedrag?

Rondom een aantal van de laatste verkiezingen, bijvoorbeeld rondom Trump, is er veel discussie geweest in welke mate social media een rol speelden bij zijn verkiezing, en in welke mate mensen zodanig getarget zijn met bepaalde berichtgeving dat ze op hem zouden gaan stemmen. Dat bleek op zich allemaal wel mee te vallen, maar als je gewoon simpel erover nadenkt dan kun je natuurlijk ook wel voorstellen dat mocht Google het willen, ze de verkiezingen best zouden kunnen beïnvloeden. Gewoon door te kiezen welke informatie ze wel of niet laten zien. En er zijn steeds meer domeinen waarin Google ons gedrag kan beïnvloeden. Omdat we allemaal e-commerce gebruiken kan Google op deze manier de gangen van de gewone burger nagaan. Dat model waarin er dus bedrijven zijn die meer van ons weten, dan dat we van onszelf weten. Die ook meer van ons weten dan vaak overheden van ons weten. En dat die bedrijven niet onder een soort democratische controle staan en moeilijk ter verantwoording te roepen blijken, vind ik een heel zorgelijk iets.

Viertrapsmodel Surveillance Capitalism:

  1. Verzamelen van de data
  2. Analyse van de data door data scientists en machine learning algoritms
  3. Voorspellen van gedrag
  4. Verhandelen van het voorspelde gedrag

Is de gemiddelde Nederlander zich wel bewust van het belang van privacy? Het lijkt namelijk niet zo met onbeteugeld social media gebruik.
Het argument ‘ik heb niets te verbergen’ hoor ik eigenlijk niet meer. Mensen hebben dat inmiddels wel door. Ik denk dat mensen zeker wel het belang van privacy herkennen, al is het maar intuïtief. Als ik tegen iemand zou zeggen: 'hoe zou je het vinden als letterlijk alles wat jij doet permanent bij de overheid in beeld is, waar je ook op straat loopt, hoe je ook doet, en dat dit ook allemaal wordt bijgehouden' dan is er niemand die daar enthousiast van wordt. Dus dat zit wel goed.

Tegelijkertijd willen we ook graag gezien worden. De hele social media-dimensie gaat daarover. Je wil dat jouw foto’s gezien worden, geliked worden. Je wil dat de dingen die jij post geliked worden; of dit nu op Twitter is in een bepaalde cultuur of op Snapchat, of Instagram, of iets anders. Wat heel belangrijk is dat je zelf moet kunnen bepalen wat je deelt. En dat dat ook helder moet zijn, en daar zit volgens mij de crux van waar mensen zich onvoldoende bewust zijn: wat ze delen, en hoe ver dat dan gaat. Maurits Martijn  en Dimitri Tokmetzis van De Correspondent hebben daar een boek over geschreven: ‘Je hebt wél iets te verbergen’. En als mensen dat lezen dan schrikken ze uiteindelijk van hoe ver het nu al gaat.  Maar het gaat meer om dat mensen de mate waarin het onder druk staat, niet doorhebben. En dat is iets waar wel een taak ligt voor ons, om mensen uit te leggen wat er nu eigenlijk gebeurt.

Gaan jullie zwaarder inzetten op voorlichting aan de Nederlandse burger?
Daar ligt zeker een rol voor ons, om transparant te maken hoe het werkt. Om bijvoorbeeld dat Surveillance Capitalism-model op een manier te vertellen dat je het wel in één keer kunt begrijpen en dat het aankomt. En dat gaat natuurlijk altijd gepaard met het feit dat je ook alternatieven hebt, zodat je eraan kan onttrekken. Dat blijkt toch moeilijk te zijn. Er zijn een heleboel mensen die het gevoel hebben dat ze op Facebook moeten zitten om ze anders bepaalde sociale processen missen. Wat mijn beweging zou zijn is dat mensen er dusdanig oncomfortabel bij worden dat er een bepaalde politieke druk ontstaat om er iets mee te doen.

Wat vinden jullie dat de Autoriteit Persoonsgegevens tot nu toe heeft bereikt? Hebben jullie wellicht nog adviezen voor ze?
Ze hebben een aantal keren heel scherp onderzoek gedaan en met dat onderzoek ervoor gezorgd dat bepaalde praktijken stoppen. En ze hebben natuurlijk net een nieuwe voorzitter (Aleid Wolfsen, red.), die is nog niet heel lang bezig. Maar de vorige voorzitter was, vond ik, in het publieke debat ook echt een voorvechter van privacy. Toen de nieuwe voorzitter kwam hebben we vier adviezen aan hem gegeven. Het eerste was dat hij ook een voorvechter van privacy moet zijn. Als je nauw kijkt naar de taakstelling van de Autoriteit Persoonsgegevens dan komt het erop neer dat ze moeten checken of bedrijven, organisaties, overheid zich aan de privacyregelgeving houden. Dat betekent niet per se dat ze een soort van normatieve positie moeten hebben ten opzichte van die privacyregelgeving. Je kan een Autoriteit Persoonsgegevens zijn die gewoon checkt of mensen zich aan de regels houden maar voor de rest niet per se die regels heel belangrijk vindt; of een autoriteit die privacy heel belangrijk vindt.  Als je kijkt, toen we dit schreven, een half jaar geleden ongeveer denk ik, bestond de Autoriteit Persoonsgegevens uit ongeveer 70 mensen en daarvan waren er drie mensen met een technische achtergrond; de rest vooral juridisch. Je kunt niet scherp handhaven op dit soort wetgeving zonder technische expertise, en voor zo’n autoriteit is het heel moeilijk om technische expertise in te huren --- en ook onverstandig, omdat je niet zeker weet of het bedrijf dat je vandaag inhuurt om één of ander bedrijf te onderzoeken niet morgen voor datzelfde bedrijf werkt. Voor je eigen werk moet je die expertise zelf in huis halen. Meer techneuten zijn noodzakelijk.

Dan zou je kunnen zeggen, er zijn een hele boel individuele burgers die problemen hebben met de Autoriteit, bijvoorbeeld met hun persoonsgegevens. En die proberen dat via de Autoriteit te melden. Tot nu toe was dit een soort van groot gat. Je gooide daar jouw probleem in via een soort van tiplijn en dan hoorde je nooit iets; je wist niet per se of iets met je tip werd gedaan. En in principe faciliteerden ze een soort van tipformulier zonder feedback. Dat is eigenlijk heel jammer, want op die manier zorgt de autoriteit er niet voor dat burgers zich gehoord voelen en dat hun individuele problemen gemeld worden. Ze moeten een manier gaan vinden waarop ze individuele burgers met hun individuele problemen op een directere manier ondersteunen bijvoorbeeld door strakke handhaving van het inzagerecht. Op het moment dat jij als burger inzageverzoek doet bij een bedrijf dan moeten ze in feite alle data die ze over jou hebben aan jou geven. Dat gebeurt echter maar heel matig, en voor een burger is dat heel moeilijk om daar recht te halen. Want dan moet je naar de rechter stappen en proceskosten voorschieten. Ook daar heeft de Autoriteit Persoonsgegevens een belangrijke rol, denk ik.

En dan denk ik dat het belangrijkste ding is dat de Autoriteit Persoonsgegevens ervoor moet zorgen dat ze een groter budget krijgen. Als je ziet hoe belangrijk hun rol is in de maatschappij en hoeveel groter die wordt. Er komt strakkere wetgeving aan, de Algemene Verordening Gegevensverwerking (AVG, aka GDPR), die zorgt ervoor dat mensen iets meer rechten hebben en daar ook meer mee kunnen doen, en dat de rol voor de Autoriteit Persoonsgegevens daarin wat groter wordt. Als je dan kijkt dat steeds meer van onze interactie via digitale kanalen verloopt. Dat we vroeger een soort van papieren proces hadden, dat loopt nu via online. Het kan niet zo zijn dat de Autoriteit daarin niet meegroeit. Vanwege het belang van het onderwerp moeten ze gewoon meer mandaat en budget krijgen om er iets mee te doen.

Wat vindt Bits of Freedom van de GDPR? En waarom?
Daar zijn we gematigd positief over. Er zijn enkele dingen die gewoon nog niet strak genoeg geregeld zijn, wat ons betreft. Bijvoorbeeld rondom profilering, wat je daar wel en niet mag doen. De mate waarin zaken onder de GDPR nog steeds kunnen, als je maar toestemming van de consument hebt. De regels daarover zijn eigenlijk nog steeds iets te zwak. Dit is een van de meeste belobbyde wetgevingstrajecten ooit. Er zit heel veel druk op om bepaalde, voor bedrijven scherpe randjes eruit te halen, en dat is ze helaas ook gelukt. Dat gezegd hebbende, is de GDPR op een bepaalde manier zeker een stap vooruit, vanwege die individuele rechten die je als burger erbij krijgt.

In de Verenigde Staten kennen ze het 'Delaware Effect' en het 'California Effect'. Het 'Delaware Effect' is naar analogie van de kosten in Amerika om een bedrijf te starten. Aangezien het niet uitmaakt wáár je je bedrijf start, dus ongeacht de staat, zijn er bedrijven die zijn gestart in de staat waar die kosten het laagst zijn. In Delaware zijn die kosten nihil, waarbij je ziet dat bedrijven de kleinste gemene deler zoeken: die starten in Delaware. Bij het 'California Effect' is het andersom. Californië heeft zó'n grote interne markt in de VS, dat op het moment dat de staat Californië een wet aanneemt, het voor bedrijven vaak makkelijker is om zich aan die regels te houden, dan om geen zaken te doen met bedrijven in die staat, en vaak is het dan goedkoper om je meteen voor héél Amerika aan die (Californische) regels te houden. Een beroemd voorbeeld daarvan zijn de regels voor uitstoot van auto's: die werden wat scherper in Californië, waarna meteen die auto's gewoon over de hele linie, door heel Amerika, met minder uitstoot op de markt kwamen.

Wat ik hoop is dat de GDPR zorgt voor een ‘California Effect’, dat het Europa lukt om bedrijven zoals Google op zo’n manier te reguleren dat het voor de hele wereld beter wordt.

Gaan we met de GDPR verder naar een `vinkjescultuur' bij organisaties? Of denk je dat bedrijven zich ook nog echt inzetten voor informatiebeveiliging en voorkomen van datalekken?
Dat is een interessante vraag. Ik heb een wat cynisch perspectief op bedrijven, omdat het in veel gevallen gewoon rationeel is voor een bedrijf om de randjes van de wet op te zoeken. Maar wat je wel merkt, is dat je dat met een soort maatschappelijke legitimiteit moet doen; dus net zoals je in de voedselindustrie steeds meer bedrijven aan organisch en biologisch ziet doen omdat de klanten dat willen en belangrijk vinden; het maakt dan niet uit of het bedrijf dat zelf ook echt belangrijk vindt. Ik hoop dat we naar een situatie toe gaan, waarin een dermate niveau van kennis is over hoe deze digitale wereld werkt en wie daar winnaars en verliezers in zijn, dat bedrijven scherp gehouden worden door hun klanten, en daar fatsoenlijk mee omgaan. Er zijn ook wel bedrijven die privacy als een uniek concurrentievoordeel zien. Volgens mij is het vrij helder dat als jij als bedrijf dezelfde dienst kan leveren als een ander bedrijf, maar je dat doet met privacybescherming die dat andere bedrijf niet biedt, dat je daar dan gewoon voordeel aan hebt. Ik denk dat daar wel kansen zitten.

Natuurlijk is het zo dat er voor een gedeelte sprake zal zijn van een vinkjescultuur, maar tegelijkertijd is een vinkjescultuur niet per se slecht. Als je maar daadwerkelijk de stappen afloopt. Oók checklists en vinkjes zorgen er in elk geval voor dat er meer aandacht is voor een bepaald onderwerp, dat je daar bewuster mee omgaat, en aangespoord wordt om verstandige keuzes te maken.

Hoe zou je bij organisaties een cultuurverandering kunnen stimuleren om beveiliging en privacy te waarborgen?
We hebben in het verleden 'data' heel vaak gezien als een soort asset, als iets met veel waarde, dat je als iets positiefs op je balans kunt zetten: 'hoe meer data, hoe beter'. Na alle berichtgeving over datalekken en dergelijke merk je dat er een soort omslag is, en dat men zich bedenkt dat data ook een risico kan zijn, een liability. Ik denk dat het in het bedrijfsleven helderder wordt, bijvoorbeeld door de autoriteit die wat vaker haar tanden laat zien, dat je heel zorgvuldig met data moet omgaan, omdat je anders datalekken hebt. Het is, zeg maar, een 'license to operate'. Ik heb zelf bij Shell International gewerkt en daar was veiligheid echt prioriteit; als je je werknemers niet veilig hun werk kunt laten doen, dan kun je denk ik niet hardmaken dat je het werk überhaupt goed kunt uitvoeren. Eén van de problemen met veiligheid is altijd: er zijn regels, iedereen kent ze, maar niemand houdt zich eraan. Bij bijna elk veiligheidsincident blijkt dat mensen de regels wel kenden, maar zich er niet aan hielden. Shell maakte veiligheid de kern van de organisatie, in de zin dat elke dag en elke meeting begon met een soort veiligheidsmoment. Er werd bedacht, als we dit echt door de hele organisatie heen willen hebben, dan moeten de hoogste regionen daarmee bezig zijn, niet alleen op een boorplatform maar ook op het hoofdkantoor waar alleen maar marmeren trappen zijn.

Ten aanzien van privacy zal het niet in eerste instantie gaan om privacy, maar om data -- je bent daar een hoeder van, je moet ervoor zorgen, en is het je verantwoordelijkheid daar netjes voor te zorgen, en dat kan je niet doen tenzij je daar bewust mee omgaat. Er zijn nu nog allerlei bedrijven die er onvoldoende bewust mee omgaan, maar ik denk echt dat in de komende jaren heel rap gaat veranderen.

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa