Jurist Rick Kaspers: ‘Ik ken geen privacy-vriendelijk sociaal medium’

Door platforms als TikTok en Facebook te gebruiken geef je per definitie grote delen van je privacy op, in de meeste gevallen zonder dat je je dat realiseert. Dat stelt Rick Kaspers, juridisch adviseur gespecialiseerd in online privacy.

In september legde de Ierse Data Protection Commission (DPC) een megaboete ter waarde van ruim 400 miljoen dollar op aan Meta, het moederbedrijf van Facebook en Instagram. Aanleiding voor deze forse boete is een overtreding van de GDPR: Meta deelde stelselmatig e-mailadressen en telefoonnummers van minderjarige Instagram-gebruikers met derden, zo oordeelde de DPC.

Dat nieuws kwam rond dezelfde tijd dat cybersecurityspecialisten een verontrustende ontdekking deden in de broncode van TikTok. Dat sociale medium blijkt in potentie live te kunnen meekijken met toetsaanslagen van zijn gebruikers als die via de app andere websites bezoeken (bijvoorbeeld als ze op een advertentie klikken). Wie dacht dat onze online privacy sinds het Cambridge Analytica-schandaal en aansluitend de implementatie van de AVG wel in kannen en kruiken zou zitten, lijkt dus bedrogen uit te komen.

Sociale media weten meer over gebruikers dan gebruikers zelf

“Ergens is dat ook heel logisch,” legt Kaspers uit. Hij volgt de privacy-gerelateerde ontwikkelingen rond bedrijven als Meta al een tijd. Kaspers is waarschijnlijk een van de weinige Nederlanders die zich inderdaad bij elke website actief afvraagt of hij daar cookies wil toestaan.

“We hebben het over bedrijven die uiteindelijk zoveel mogelijk data willen hebben en daar zoveel mogelijk analysemogelijkheden op willen kunnen loslaten. Ze gaan er blindelings vanuit dat dat uiteindelijk leidt tot zowel het beste advertentiemodel als de beste gebruikerservaring. We zitten inmiddels op een punt dat sociale media meer over hun gebruikers weten dan gebruikers over zichzelf. De meeste gebruikers realiseren zich dat absoluut niet. Ik vind dat erg problematisch. Er hoeft namelijk maar één moment te komen waarop die informatie in verkeerde handen valt of op een onethische wijze wordt ingezet. Dan kan de schade voor ons allemaal groot zijn.”

TikTok kent je verborgen interesses binnen 40 minuten

Onderzoeksjournalisten van de Wall Street Journal voerden onlangs een interessant experiment uit (hier, achter de abonnementsmuur). Ze maakten voor tal van fictieve gebruikers gloednieuwe TikTok-profielen aan en lieten bots via die profielen naar video’s kijken. Aan elke bot waren twee interessegebieden gekoppeld, maar ze vertelden TikTok niet wat die gebieden waren. TikTok deed er gemiddeld ongeveer 40 minuten over om een willekeurig account in een van de twee vooraf geprogrammeerde interessegebieden te laten rabbit-holen, zoals de onderzoekers het noemen. Liefst 93% van de daarna door TikTok aangeboden content was afkomstig uit het desbetreffende rabbit hole. De overige 7% bestond hoofdzakelijk uit advertenties.

“Een puber die na een stukgelopen relatie een beetje neerslachtig is, kijkt mogelijk wat meer en langer naar emotionele, deprimerende video’s. Dan loop je dus het risico om na 40 minuten vrijwel alleen nog maar depressieve filmpjes voorgeschoteld te krijgen. Dat is ook wat met een van de accounts uit het onderzoek van de Wall Street Journal gebeurde. De vraag is: vind je het als gebruiker oké dat TikTok dit van jou weet? Je hebt deze informatie over jezelf niet actief gedeeld, maar ze zijn er tóch achter gekomen. En eenmaal gedeeld, kun je die informatie niet meer ont-delen. Veel mensen vinden de werking van algoritmes als dat van TikTok wel machtig interessant, maar staan niet zo stil bij wat de gevolgen voor henzelf zouden kunnen zijn – en vaak al zijn.”

Kwetsbare groepen lopen extra risico

Europese wetgeving schrijft voor dat kwetsbare groepen extra beschermd moeten worden, onder meer als het om hun privacy gaat. Wat kwetsbare groepen precies zijn en hoe die extra bescherming eruit moet zien, dat laten wetgevers over het algemeen in het midden. Kaspers: “En dus wordt het bij de bedrijven gelaten. Je kunt als overheid ook niet per platform op detailniveau bepalen wat precies wel en niet mag. We zijn min of meer aangewezen op de intrinsieke wil bij de socialemediabedrijven om verantwoord om te gaan met gegevensverwerking.”

In veel gevallen gebeurt dat nu met behulp van uitvoerige privacyverklaringen waarmee je akkoord moet gaan voordat je een account kunt aanmaken. “En die leest lang niet iedereen, zeker kinderen niet. Bovendien snappen kinderen zo’n tekst ook helemaal niet. En kinderen zijn nu juist bij uitstek een doelgroep die je als kwetsbaar moet zien, omdat ze minder goed in staat zijn om de consequenties van hun acties op lange termijn in te schatten dan volwassenen. Zo’n enorme privacyverklaring dekt dan wellicht in strikt juridische zin de wettelijke verplichtingen van zo’n bedrijf af, maar het toont mijns inziens niet aan dat je de privacy van je gebruikers serieus neemt. Die informeer je zo immers niet bepaald op een manier die past bij de doelgroep.”

Oplossing in twee delen

Hoe is die privacy dan in de toekomst wél goed te borgen? Volgens Kaspers is dat niet zozeer een kwestie van meer wetgeving. “Dat zeg ik ook omdat technologische ontwikkelingen veel sneller gaan dan wetgeving. De programmeurs bij Meta innoveren veel sneller dan de wetgever wetten kan maken of aanpassen. Dan loop je dus altijd achter de feiten aan. In plaats daarvan moeten we de oplossing op twee vlakken zoeken: bewustwording bij gebruikers en een ingrijpende kentering bij de grote dataverwerkers.”

We vinden het tegenwoordig als maatschappij niet meer oké om reclames voor tabak op televisie te tonen of om gokspelletjes aan kinderen aan te bieden. Op eenzelfde manier zou er bewustwording moeten worden gecreëerd rondom het klakkeloos delen van persoonlijke informatie met grote dataverwerkers. Volgens Kaspers begint dat in het klaslokaal.

Bewustwording: wat vinden we oké?

“Leer kinderen van jongs af aan hoe dit soort platforms werken en maak dat een vast onderdeel van de lesstof, bijvoorbeeld binnen het vak maatschappijleer. Laat ze inzien dat privé-informatie op sociale media al gedeeld is voordat je het doorhebt, en dat er dan geen weg terug meer is. En ja, als kind wil je ‘nu gewoon even TikTok gebruiken’, maar dat moet je dus niet tegen elke prijs doen. Het zou goed zijn als kinderen al vroeg leren dat ondanks dat je misschien niets te verbergen hebt, er altijd wel dingen zijn die je privé wilt houden. De premier van Finland had ook niets te verbergen, maar had haar dansvideo’s wel liever privé gehouden – dat is direct een mooi voorbeeld dat kinderen ook begrijpen. En hun ouders ook, hopelijk.”

Het is al jaren een publiek geheim dat de grote bazen van Silicon Valley hun eigen kinderen ernstige beperkingen opleggen rondom het gebruik van smartphones en sociale media, en het vaak zelfs verbieden. “Als je écht weet wat er op zo’n platform allemaal gebeurt met je gegevens, kun je een bewuste keuze maken. Dat hebben deze mensen gedaan. Dat ze dat gebruik door hun kinderen willen beperken, is natuurlijk geen toeval. Ik ken namelijk geen privacy-vriendelijk sociaal medium.”

Kentering bij verwerkers: wat als het gegevens van je oma zijn?

Dat vormt direct de aanleiding voor het tweede deel van de oplossing die Kaspers voorstaat: er moet nu echt eens een serieuze kentering komen bij de grote dataverzamelaars, zoals Google en Meta. “Al die programmeurs en app-ontwikkelaars zouden zich eens collectief moeten afvragen: ‘zou ik dit oké vinden als het om de data van mijn kind, oma of partner zou gaan?’ Ik weet zeker dat ze dan vrijwel allemaal geen voorstander zouden zijn van de algoritmes en dataverwerkingsmachines die ze zelf bouwen. En toch gebeurt het, want de groei, innovatie en winst van het platform gaan boven alles. Privacy is voor dit soort partijen nog altijd een moetje, een kostenpost.”

De grote vraag blijft echter: hoe? Hele businessmodellen zijn vaak gebouwd op het verzamelen en verwerken van data. Dat draai je niet zomaar terug. “Bedrijven zijn bang dat hun hele winst verdampt als ze stoppen met die massale dataverwerking. Maar wist je dat Amerikaanse tabaksfabrikanten nog nooit zoveel winst boekten als in het jaar nadat reclames voor hun producten collectief verboden werden? Er viel een enorme kostenpost weg en onder de streep bleken die reclames niet eens zoveel extra inkomsten op te leveren. Die angst voor instortende businessmodellen hoeft dus zeker niet terecht te zijn.”

Transparante informatievoorziening en een bewuste keuze van de gebruiker

In de maatschappij van morgen moeten de grote socialemediabedrijven wat Kaspers betreft aanzienlijk investeren in oprecht transparante, toegankelijke informatievoorziening om persoonlijke gegevens te mogen verwerken. “En zo ver zijn we nog lang niet. Je geeft momenteel als gebruiker dan wellicht impliciet toestemming voor het verwerken van Facebook-posts die je plaatst en likes die je uitdeelt, maar je wordt amper geïnformeerd over wat voor gegevens socialemediabedrijven daaruit extraheren. Dan kan je keuze ook nooit volledig geïnformeerd zijn.”

Toestemming vragen met opdringerige pop-ups en onbegrijpelijke privacyverklaringen zou dan dus verleden tijd moeten worden. “Als de grondslag voor het verwerken van allerlei persoonlijke informatie de toestemming van de gebruiker is, is het vooraf open en transparant daarover informeren een voorwaarde om je verwerking daarop te kunnen baseren. Anders gezegd: als een socialemediabedrijf het gedrag en de voorkeuren van zijn gebruikers in kaart wil brengen door al hun likes, reacties en surfgedrag op het platform nauwgezet om te zetten in data, moet het daar van tevoren heel erg transparant en open over informeren. Dat maakt namelijk dat alle gebruikers, veel meer dan nu het geval is, een bewuste, geïnformeerde keuze kunnen maken over wat er met hun gegevens gebeurt.”

Die gewenste situatie ligt nog verwijderd van de huidige praktijk, erkent ook Kaspers. “Maar daar moeten we mijns inziens wel naartoe. Het verwerken van jouw data moet namelijk jouw bewuste keuze zijn, niet die van het bedrijf. Bedrijven die die kentering niet actief durven in te zetten, maken in mijn ogen een hele eenvoudige keuze: die kiezen er actief voor om onze privacy te schenden.”

Over de auteur: Martijn Kroese is freelance communicatiespecialist en copywriter. Rick Kaspers is juridisch adviseur bij ICTRecht en gespecialiseerd in online privacy.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op sociale media: LinkedIn, Twitter en Facebook.