Data Privacy Day: een vooruitblik op privacy in 2015!

Vandaag (28 januari) is het ‘Data Privacy Day’. Een geweldige dag om even stil te staan bij privacy en met name om vooruit te blikken naar privacy in 2015. Het zal naar alle waarschijnlijkheid een interessant en spannend jaar worden. Er komt naar verwachting dit jaar nieuwe regelgeving aan, in de vorm van de Europese Privacy Verordening. En ontwikkelingen op het gebied van het analyseren van grote hoeveelheden data gaan steeds verder. Wat is dus een beter moment dan juist vandaag om vooruit te kijken naar privacy kwesties, ontwikkelingen op het gebied van privacy en mogelijke trends die invloed hebben op privacy en de bescherming van persoonsgegevens?

1. “You are what you liked”

Facebook Likes kunnen een accurater persoonlijkheidsprofiel van je schetsen dan je collega’s, vrienden, ouders of zelfs je partner. Althans, dat beweren onderzoekers van de University of Cambridge en de University of Stanford.

In het onderzoek worden Facebookgebruikers aan de hand van 100 vragen getoetst op de criteria van openheid, extraversie, altruïsme, nauwgezetheid en neuroticisme: de zogenaamde Big Five karaktertrekken. Met de resultaten hebben de onderzoekers een algoritme ontwikkeld waarmee ze een persoonlijkheidsprofiel kunnen opstellen op basis van Facebook Likes.

De onderzoekers zien mogelijkheden in het hoge aantal voorwerpen, onderwerpen, evenementen, merken en andere Facebook-gebruikers die kunnen worden geliked. Likes vormen daarom een van de meest generieke soorten van een ‘digital footprint’. ‘Like-based models’ zijn daarmee een waardig concurrent van andere digital footprints, die kunnen worden afgeleid uit o.a. browsegeschiedenis, zoekopdrachten op het web en de koopgeschiedenis van personen.

Het algoritme heeft slechts tien Likes nodig om het te winnen van een collega, 70 Likes om een betere inschatting te maken dan een vriend of huisgenoot en 150 Likes om je beter in te schatten dan je familie. Heb je meer dan 300 keer op de Like-button gedrukt? Dan is het algoritme accurater dan je partner. Voor de gemiddelde Facebookgebruiker (227 Likes) betekent dit dat het algoritme een beter profiel opstelt dan een familielid.

De onderzoekers schetsen in hun stuk dat geautomatiseerde en accurate persoonlijkheidsprofielen een enorme impact op de maatschappij kunnen hebben. Zo zouden bijvoorbeeld producten en diensten kunnen worden toegespitst op persoonlijkheid en op gedrag afgeleid van Facebook Likes. Volgens hen is het goed mogelijk dat zodanige ‘data-driven decisions’ het leven van mensen zal verbeteren. Aan de andere kant zien de onderzoekers ook de gevaren van manipulatie en beïnvloeding. De vraag is dus wat er vanuit privacy tegenovergesteld gaat worden. Hoe gaan gebruikers het volledige beheer krijgen over hun digital footprint? Krijgen ze de mogelijkheid om niet mee te doen als ze dat niet willen? Vragen waarop we waarschijnlijk in 2015 eerste aanzetten tot antwoorden mogen gaan verwachten.

2. De definitieve oversteek naar biometrische wachtwoorden?

Enkele maanden geleden schreven onze collega’s Roel van Rijsewijk en Ivo Noppen een verhelderende blog met als belangrijkste vraag: zijn gebruikersnamen en wachtwoorden nog wel van deze tijd? Hun antwoord was kort maar krachtig: de combinatie gebruikersnaam en wachtwoord is niet langer een goede beveiliging. Van alle wachtwoorden bedacht door gebruikers valt namelijk 90 procent te hacken binnen enkele seconden.

Het blijft daarom in 2015 een belangrijke taak om op zoek te gaan (nieuwe) mogelijkheden om onze accounts en gegevens te beveiligen. Maar hoe? We zijn tot op heden bekend met de vingerafdrukscanner, spraakherkenning en irisscanners. Op komst is de wachtwoordmanager die gebruikers met onder andere gezichtsherkenning toegang biedt tot hun wachtwoorden.

Toch zijn deze biometrische vormen van authenticatie niet waterdicht. Zo was er recent het bericht over de Duitse minister van Defensie, Ursula von der Leyen. Een Duitse hacker wist door middel van foto’s genomen op een persconferentie haar vingerafdruk te kopiëren. Hij beweerde ook een foto te hebben van de ogen van Angela Merkel, waarmee irisscanners zouden kunnen worden misleid. De vraag doemt dan ook op of biometrische wachtwoorden momenteel wel veilig genoeg zijn om de definitieve oversteek te kunnen maken.

Daarnaast zijn biometrische gegevens natuurlijk persoonsgegevens en nog wel van een hele speciale categorie: het zijn namelijk gegevens over een individu die niet te wijzigen zijn. Een gebruikersnaam, een wachtwoord, heel veel persoonsgegevens die wij in het dagelijks verkeer gebruiken, kunnen op vrij eenvoudige wijze vervangen worden. Als het nodig is zijn zelfs persoonsgegevens als een naam of een Burgerservicenummer nog te wijzigen; dit zijn zaken die wij zelf aan een individu toekennen en daarmee kunnen we er ook zelf voor kiezen om ze te wijzigen. Met een vingerafdruk, iris, of stem is dat lastiger.

Als biometrische authenticatie dus echt doorbreekt in 2015 moeten er vanuit het oogpunt van privacy nog wel enkele vragen worden beantwoord. Willen we deze heel erg persoonlijke gegevens, die we nooit kunnen veranderen en voor altijd aan ons vastzitten, daadwerkelijk gebruiken voor authenticatie op grote schaal? Kunnen we de mogelijke gevolgen daarvan al overzien? Wie krijgt er toegang tot die gegevens? En de ultieme vraag: willen we biometrische authenticatie echt op grote schaal inzetten, of zoeken we gedreven door privacyoverwegingen toch naar alternatieven?

3. Privacy 2.0: Volledige controle over je persoonsgegevens 

Hoewel bedrijven het verzamelen van zoveel mogelijk persoonsgegevens van hun doelgroep nu vaak als belangrijk doel zien, is het effect hiervan niet altijd het gewenste. Het blijkt namelijk in de praktijk lastig om conclusies te trekken met betrekking tot de doelgroep op basis van de verzamelde gegevens.

Het wordt tijd dat we in 2015 het online verzamelen (en delen) van persoonsgegevens anders gaan benaderen. Niet langer moet de internetgebruiker vrezen voor het achterlaten van persoonsgegevens op websites. De gebruiker moet zelf volledig in controle zijn over zijn online identiteit: wat mogen bedrijven wel of juist niet van mij weten?

We moeten toe naar een soort persoonlijke marktplaats van persoonsgegevens. Een plaats waar voor de gebruiker duidelijk wordt wat er online over hem bekend is en waar hij het inzicht krijgt wat er met deze informatie gebeurt. Op dit moment zijn er meerdere bedrijven die op dit idee zijn ingehaakt. Door middel van personal clouds en personal information management services worden gebruikers in staat gesteld het bovenstaande te bereiken. En organisaties die van deze informatie gebruik willen maken, weten waar zij aan kunnen kloppen om gebruikers te vragen hun persoonsgegevens te delen.

Indien bedrijven én gebruikers dit idee omarmen heeft dit een positieve weerklank op het domein van privacy en data analytics. Door de controle bij de gebruiker te leggen, wordt de analyse van data waarschijnlijk kwalitatiever. Door gebruikers hun eigen data te laten beheren is er daarnaast altijd sprake van toestemming. Bovendien kan de gebruiker er nog een leuk zakcentje op nahouden. Zo wordt de markt voor het Verenigd Koninkrijk alleen al geschat op een waarde van 16,5 miljard pond.

4. The Internet of Things

De relatie tussen het ‘Internet of Things’ (IoT) en privacy komt steeds meer onder spanning te staan. Met de term IoT wordt gedoeld op de ontwikkeling dat steeds meer apparaten zelfstandig verbonden zijn met het internet. Een voorbeeld hiervan is een koelkast die zijn voorraad bijhoudt en deze data online beschikbaar maakt voor zowel de koelkasteigenaar als de supermarkt die nieuwe voorraden aanlevert.

Het IoT schept heel veel kansen, maar brengt op het vlak van privacy ook een aantal uitdagingen met zich mee. Een risico van het IoT is bijvoorbeeld dat de geautomatiseerd gegenereerde data die verwerkt wordt behoorlijk persoonlijk kan zijn. De data van iemands koelkast, wasmachine, thermostaat, verlichting en auto gecombineerd kan een gedetailleerd beeld over zijn leven scheppen. De vraag is dan dus logischerwijs: wie mogen er allemaal toegang krijgen tot die data? En hoe gaan we om met datalekken als gevolg hacking, of het simpelweg onzorgvuldig omgaan met deze informatie door de beheerder ervan?

Linux Foundation heeft op 15 januari 2015 ‘IoTivity’ aangekondigd: een opensource softwareraamwerk voor IoT-toepassingen. Met deze nieuwe software wordt het vele malen makkelijker om apparaten met elkaar te communiceren. Het maakt niet langer uit met welk besturingssysteem het apparaat werkt: alles kan met elkaar praten. Het valt dus te verwachten dat we in 2015 een enorme groei zullen zien van nieuwe apparaten die zelfstandig verbonden zijn met het internet.

Uit onderzoek van de Dutch IT-Channel blijkt dat 46 procent van de ondervraagde bedrijven naleving van de privacywetgeving als het grootste obstakel ziet bij het gebruikmaken van IoT-toepassingen. Een onderliggende reden hiervan zou kunnen zijn dat 56 procent van de respondenten zegt geen IoT-strategie te hebben, waarbij is nagedacht over uitdagingen op het gebied van privacy, compliance en beveiliging. Dit biedt grote uitdagingen voor 2015 op zowel juridisch als technisch vlak.

5. Reality Mining

Reality Mining (RM) is de term die wordt gebruikt voor het analyseren van via sensoren verkregen data met betrekking tot menselijk sociaal gedrag met als doel voorspelbare patronen van gedrag te identificeren. In de praktijk vergt deze methode van analyse erg veel complexe software en unieke algoritmen.

Eind 2014 is in opdracht van onder andere de Nationale Politie het onderzoek ‘Technologieradar Veiligheid’ door de TNO verricht waarbij onder meer uitgebreid wordt ingegaan op deze techniek.

Wat blijkt? Het is reeds mogelijk videobeelden automatisch te interpreteren en afwijkend gedrag binnen een groep (soms zelfs real-time) te herkennen. De politie kan door gebruik te maken van deze techniek dus effectiever aan crowd control doen. Wanneer RM met technieken voor (Big) Data-analyse worden ingepast in de organisatie en processen, wordt het mogelijk om in een drukke winkelstraat bepaalde personen real-time te identificeren.

In eerste instantie lijkt het een leuke gimmick, maar het heeft grote impact op je privacy. Een goed voorbeeld is een warenhuis dat jouw bewegingen bij de voordeur herkent, automatisch je LinkedIn checkt, een schatting maakt van je inkomen en – als we tegen die tijd allemaal met een zelfscanner winkelen zoals bij een bekende supermarktketen – de prijs die jij voor een paar sokken betaalt aanpast. Onmogelijk? Dit principe heet ‘dynamic pricing’ en gebeurt dagelijks op webshops. De privacy-uitdaging die in 2015 zal moeten worden opgelost, is hoe we hierbij de winkelbezoeker ‘in control’ laten. Krijgt hij een opt-out – de keuze om hieraan niet mee te doen? Hoe krijgt hij toegang tot alle informatie die met behulp van Reality Mining over hem verzameld wordt? Kortom, hoe gaan de gebruikers van Reality Mining de voordelen ervan zo goed mogelijk delen met de individuen die ge-reality-mined worden?

Happy Data Privacy Day!

De genoemde trends laten eens te meer zien dat gebruikers meer bewust moeten zijn van de gevoeligheid en de waarde van (onze) gegevens. Het is daarom goed om daar vandaag bij stil te staan. Aan de andere kant is het van essentieel belang dat er bij ondernemingen en overheden een groter privacybewustzijn wordt gegenereerd. De intrede van de Europese Privacy Verordening lijkt een stap in die richting te zetten. Zo worden organisaties wettelijk verplicht om ‘privacy by design and default’ te hanteren bij de inrichting en toepassing van systemen, databases en bedrijfsprocessen welke zien op de verwerking van persoonsgegevens. Dit vergt een proactieve benadering en laat organisaties privacy als waarborg stellen.

Privacy als ‘showstopper’ voor organisaties? Integendeel! Wij zien namelijk ook een trend gaande waarbij organisaties privacy als onderscheidend vermogen inzetten. Het op ethische en transparante wijze omgaan met klantgegevens zal het vertrouwen van de klant winnen en de ‘verplichte’ privacywetgeving juist tot een ‘business enabler’ maken. Daarom is het vandaag voor organisaties een uitgelezen kans om stil te staan bij de uitdagingen, maar ook vooral de mogelijkheden die privacy kan bieden.

*) Dit artikel is mede tot stand gekomen door Tim Walree, consultant binnen de Privacy praktijk van Deloitte.