Waarvoor wordt jouw data gebruikt? Pas op voor de ‘function creep’

In onze blogs over privacy en de bescherming van persoonsgegevens spreken we vaak over function creep. Soms is het heel lastig om aan te duiden wat dat nu precies is. Op andere momenten wordt het voorbeeld je echter op een presenteerblaadje aangereikt. Vorige week was er zo’n moment.

FBI vraagt toegang tot databases Ancestry.com en 23andMe

Vorige week kwam namelijk aan het licht dat in de Verenigde Staten het Federal Bureau of Investigation (FBI) aan de bedrijven Ancestry.com en 23andMe toegang vraagt tot hun databases. Op zich niets bijzonders; opsporingsinstanties vragen met grote regelmaat gegevens op uit publieke en private databases. Wat dit geval echter bijzonder maakt, zijn de activiteiten waar Ancestry.com en 23andMe zich mee bezighouden: zij bieden individuen de mogelijkheid om hun DNA te laten analyseren.

Veel mensen maken gebruik van de DNA-analysediensten die deze twee bedrijven aanbieden. Dat werkt ongeveer zo: voor een klein bedrag krijg je een pakketje thuisgestuurd met een wattenstaafje en een buisje. Met het wattenstaafje moet je een beetje slijm van de binnenkant van je wang ‘opvegen’ en dan met staafje en al in het buisje stoppen.

Vervolgens stuur je dat pakketje terug naar de aanbieder en enige tijd later heb je online toegang tot je hele genoom. Je kunt dan bijvoorbeeld zien waar je voorouders vandaan kwamen (een doelgroep waar Ancestery.com op mikt) of zelf mogelijke genetische ziektes opsporen. Ook kun je je gegevens ter beschikking stellen voor de wetenschap.

Het doel voorbij?

Waarom gebruiken mensen deze diensten? Uit nieuwsgierigheid, of omdat ze willen bijdragen aan de wetenschap. Om allerhande redenen, maar vast niet om de reden waarvoor de FBI de data wil hebben: die wil kijken of het DNA in de databases van Ancestry.com en 23andMe overeenkomt met DNA gevonden op een plaats delict.

Dit is het beste voorbeeld van function creep in tijden. Function creep is kort gezegd het gebruik van persoonsgegevens voor heel andere doeleinden dan dat diegenen die de gegevens hebben afgestaan, bedoeld hadden. In dit geval is dat overduidelijk: het lijkt me niet dat de consumenten die gebruik gemaakt hebben van Ancestry.com of 23andMe willen dat de FBI hun data gebruikt om hen, of enige van hun (toekomstige) familieleden, te beschuldigen van misdaden.

Wat is er aan function creep te doen? Een aantal dingen, door diverse partijen. Organisaties, zowel privaat als publiek, doen er verstandig aan om bij het aanleggen van data verzamelingen zich af te vragen 1) of ze al die persoonsgegevens die ze willen hebben wel nodig zijn en 2) waarvoor die data die ze gaan verzamelen allemaal nog meer gebruikt of misbruikt zou kunnen worden. Met name die tweede duidt op mogelijke risico’s op function creep. Deze (en heel van andere) vragen zijn onderdeel van goed Privacy-by-Design.

Maar consumenten zelf kunnen ook veel doen. Bezint eer gij begint – het is een oud adagium, maar nog heel erg geldig. Wil je perse zoveel van je meest gevoelige gegevens afstaan in ruil voor… tja, voor wat eigenlijk? Misschien goed dat iedereen zich dat afvraagt als er weer een nieuw initiatief opduikt!