Nieuwe informatie- en communicatietechnologie biedt mogelijkheden die verstrekkende maatschappelijke consequenties hebben. Een cruciaal aspect is de privacy. Door de snelheid en de complexiteit van de ontwikkelingen zijn de gevolgen ervan niet alle te voorzien, wat adequate regel- en wetgeving bemoeilijkt. Wat hebben technieken als datamining en Internet voor gevolgen voor de privacy van burgers? Welke rol speelt de overheid in de privacyproblematiek?
Sinds 1989 is in Nederland de Wet op Persoonsregistraties (WPR) van kracht. De Registratiekamer houdt toezicht op de naleving van de wetgeving met betrekking tot privacy. De kamer schat dat iedere Nederlander gemiddeld in duizend databases geregistreerd staat. Naar verwachting zal niet alleen dat aantal, maar ook de omvang van de gegevens per registratie fors toenemen. Daarmee stijgen niet alleen de toepassingsmogelijkheden, maar ook de kansen op schendingen van de privacy. Nieuwe toepassingen van technologie lijken onlosmakelijk gepaard te gaan met een groeiend beslag op persoonsgegevens.
Daarbij gaat het dus niet eens zozeer om de technologieën zelf, maar om de toepassingen van Internet, gegevenspakhuizen, datamining en dergelijke. Het gebruik van informatie- en communicatietechnologieën (ICT) bepaalt voor een belangrijk deel de toekomstige maatschappij. Dergelijke technologieën maken namelijk de digitale wereldeconomie mogelijk; zakendoen via Internet, één-op-één communicatie.
"In de nabije toekomst zal de techniek het voor bedrijven mogelijk maken om consumenten individueel te benaderen, op basis van hun specifieke behoefte; één-op-één communicatie noemen we dat", aldus Leon Wennekes, multimedia consultant van FCC/Wennekes Multimedia. Informatieverstrekking en afhandeling van transacties zullen precies op de manier verlopen die de klant prettig vindt.
Het goud van de toekomst
Voor het realiseren van één-op-één communicatie zijn databases nodig met gegevens over individuen. Een bedrijf moet precies weten wat iedere consument wil, voordat het een op maat gesneden aanbieding kan doen. Tal van organisaties zijn dan ook druk doende met het verzamelen van het goud van de toekomst: persoonsgegevens.
Mensen laten overal elektronische sporen na. Door het gebruik van allerlei pasjes en ‘cards’ geeft nagenoeg iedereen dagelijks gegevens prijs over zijn aankopen. Banken gebruiken die gegevens bijvoorbeeld om iemand een specifiek hypotheek-aanbod te doen, omdat die persoon binnen een week drie maal te vinden was op de hypotheek-info pagina van de website van de bank. De bank is als geen ander op de hoogte van de bestedingspatronen van haar klanten. Daardoor kan ze met de juiste informatie perfecte hypotheek-voorstellen doen. Dat bespaart de klant veel tijd en puzzelwerk.
Wennekes voorspelt dat de burgers in de digitale- of informatiemaatschappij tools gaan gebruiken om als intermediair te dienen tussen de producenten en henzelf, de consumenten. Het individu heeft een aantal tools tot zijn beschikking, zodat hij beter en efficiënter kan produceren of zijn leven gemakkelijker kan indelen. "Stel dat iemand een auto nodig heeft", illustreert Wennekes zijn betoog. "Zijn tools signaleren dat automatisch aan de hand van zijn gedrag. Daarnaast weet de tool dat haar banksaldo x bedraagt en dat de kredietmogelijkheden y zijn. Op basis van die informatie genereert de tool een lijst met auto’s die nu, in haar prijsklasse, in de aanbieding zijn."
Extra privacy-risico’s
Wennekes vermoedt dat het nog een aantal jaren zal duren voordat de informatiemaatschappij er in zijn volle omvang is. Hoe die er precies uit gaat zien, weet niemand. Een tussenvorm van massa- en één-op-één communicatie, die tegenwoordig veel toegepast wordt, is direct mail. Aan de hand van een profiel van de doelgroep wordt een aanbieding gedaan. Bekend zijn de verhalen over de databases van marketingbureaus met het gemiddelde koopgedrag en bestedingsprofiel van elke postcode in Nederland. Op basis van dergelijke databases krijgen huishoudens met een modaal inkomen een proefmonster van Persil en de bewoners van een studentenflat met een minimuminkomen niet.
Professor Heertje van de Universiteit van Amsterdam wees er onlangs tijdens een congres op, dat het onvermijdelijk is dat een groeiende hoeveelheid (persoons)gegevens op meer en meer plaatsen beschikbaar komen.
Allerlei organisaties houden zich actief bezig met het registreren en analyseren van persoonsgegevens. Volgens Wennekes is er een trend zichtbaar dat mensen die websites aflopen worden gevolgd. Dat is mogelijk met een cookie. Die registreert wie een website heeft bezocht, en waar en hoelang hij heeft gekeken. Daar kan een marketeer al een aantal interessante gegevens uit halen. "Ik voorspel dat dit nog erger zal worden", zegt Wennekes. "Het wordt mogelijk om individuele mensen op een manier te benaderen waar zelfs George Orwell niet van gedroomd heeft." Een individu in de informatiemaatschappij is dus bijna continu online met een netwerk verbonden. Ieder individu is dan volledig te volgen, in al zijn gedragingen.
Nu al staat elke Nederlander gemiddeld in duizend databases geregistreerd, zo schat de Registratiekamer, die toeziet op de naleving van de privacywetgeving. Volgens Wennekes zal niet alleen het aantal registraties, maar ook de hoeveelheid gegevens per registratie stevig groeien. Dat biedt vele nieuwe mogelijkheden voor één-op-één communicatie, maar brengt ook extra privacy-risico’s met zich mee. Nieuwe ICT-toepassingen lijken onontkoombaar samen te gaan met een toename van het verzamelen, vastleggen en gebruiken van persoonsgegevens.
Wet op Persoonsregistraties
Het toekomstbeeld van ‘de informatiemaatschappij’ heeft aantrekkelijke kanten. De maatschappelijke efficiëntie zal enorm toenemen door de één-op-één communicatie. Organisaties kunnen effectievere reclamecampagnes voeren, met minder drukwerk. Consumenten hoeven minder speurwerk uit te voeren.
Het nadeel van de informatiemaatschappij is dat meer en meer persoonsgegevens in omloop komen. Dat kan vervelende gevolgen hebben. Een verzekeringsmaatschappij bijvoorbeeld kan iemand op onduidelijke gronden afwijzen voor een arbeidsongeschiktheidsverzekering, omdat die persoon vaak informatie over een bepaalde ziekte downloadt van een bepaalde website – of het nou voor hemzelf is of voor zijn vader.
Wat valt er te doen aan de mogelijke uitwassen die voortvloeien uit de technische toepassingen? De Wet op Persoonsregistraties, die sinds 1989 van kracht is, bepaalt de voorwaarden waaraan registraties met persoonsgegevens moeten voldoen. Het aanleggen en gebruiken van een persoonsregistratie moet een bepaald doel dienen en het belang van de houder moet daartoe redelijkerwijs aanleiding geven. De registratie moet aangemeld worden bij de Registratiekamer. De gegevens moeten op rechtmatige wijze zijn verkregen en in overeenstemming zijn met het doel. Een belangrijk element uit de WPR is dat gegevens uitsluitend met toestemming van de geregistreerde aan derden mogen worden verstrekt.
De Registratiekamer houdt toezicht op naleving van de wet en heeft een adviserende functie. Er is in de wet plaats voor zelfregulering; branche-organisaties kunnen gedragscodes opstellen en de Registratiekamer kan een ‘verklaring van genoegzaamheid’ afgeven.
Dilemma
De WPR is echter geen succes. Wennekes vreest dat wetgeving niet of nauwelijks een bijdrage zal kunnen leveren aan de bescherming van de privacy. Stafmedewerker Henk van Rossum van de Registratiekamer: "Tijdens een evaluatie kwam inderdaad een aantal kritiekpunten naar boven. Dat had te maken met het volgen van technologieën en de toezicht op bedrijven." De Registratiekamer beschikt niet over een opsporingsapparaat. "De kamer probeert de naleving van de WPR af te dwingen door mee te denken over toepassingen van technologie, zoals privacy enhancing technology", aldus Van Rossum.
De Registratiekamer houdt zich voornamelijk bezig met het geven van advies en voorlichting aan de regering en het bedrijfsleven. Ze probeert zo het privacyvraagstuk hoger op de agenda te krijgen. Bedrijven die willens en wetens de WPR proberen te ontwijken, zullen daarbij echter niet veel problemen ondervinden. De Registratiekamer heeft nauwelijks bevoegdheden. Bovendien is het voor dat orgaan onmogelijk om overal ‘in de keuken te kijken’.
Op basis van een Europese richtlijn wordt hard gewerkt aan een nieuwe wet, die in oktober 1998 van kracht moet zijn. De Registratiekamer heeft de minister van Justitie geadviseerd over de implementatie van die richtlijn in de Nederlandse wetgeving. De nieuwe wet zal zich niet meer richten op het houden van een registratie, maar op het verwerken van gegevens.
De verantwoordelijke minister heeft de nieuwe wetgeving nog nauwelijks op haar bureau gezien of de kritiek barst al los. Heertje bijvoorbeeld merkt op dat "regel- en wetgeving het volledig afleggen tegen ontwikkelingen in de technologie". Mevrouw Van der Hoeven van het CDA deed de opmerkelijke uitspraak: "De nieuwe Europese privacy-richtlijn zal achterhaald zijn voordat hij van kracht wordt." Dat zijn woorden die er niet om liegen. Daartegenover staat de redenering die te vinden is in Rechtsvragen over informatietechnologie van P. Kleve: "De behoefte aan informatievrijheid staat tegenover andere belangen die vragen om bescherming van de persoonlijke levenssfeer. Deze discrepantie maakt normering en regulering noodzakelijk." De wetgever staat dus voor een dilemma: wetgeving is noodzakelijk, terwijl wetten en regels onmogelijk te formuleren zijn.
Zelfregulering
Wettelijke en ethische normen waaraan de technologische mogelijkheden te toetsen zijn op hun privacywaarborgen, lijken niet meer te bestaan. Wetgeving heeft blijkbaar een zodanig inflexibel karakter, dat ze door de grote dynamiek van de technologie binnen de kortste keren geen antwoord meer kan geven op belangrijke ethische en juridische vragen. In de wet zijn normen vastgelegd die een breed draagvlak hebben in de samenleving. Voordat een wet bekrachtigd kan worden, moet dus bekend zijn wat de publieke opinie is. Vervolgens moet een wet ‘gemaakt’ worden. Dat is een proces van jaren, en de technologie wacht niet op de wetgever.
De Registratiekamer zit dus in een lastig parket. Ze kan wel adviseren en voorlichten, maar echt met gezag toezicht houden op de naleving van de privacywetgeving lijkt een ‘brug te ver’. Het bestaansrecht van de Registratiekamer in de huidige vorm komt daarmee ter discussie te staan.
Vooralsnog lijken we te zijn aangewezen op de individuele moraal van de producenten en dienstverleners. Wetgeving functioneert niet, niet alleen omdat die niet te handhaven is, maar ook omdat er gemakkelijk internationale ontwijkscenario’s te bedenken zijn. Wie doet er iets tegen, als iemand in Panama een webserver vol met persoonsregistraties neerzet en die informatie vervolgens wereldwijd gaat verkopen? Ook Europese wetgeving is derhalve gedoemd te mislukken. Wetgeving moet �f globaal, �f helemaal niet geregeld worden. "Het is niet goed om een wet te maken die het probleem niet oplost", meent Wennekes. "Iedereen denkt dan dat de zaken goed geregeld zijn, terwijl dat niet zo is. Dan is het beter om geen wet te maken."
Mensen blijven altijd doorbouwen aan hun creaties. Wennekes denkt dat een formele regeling er voorlopig niet in zit. "Misschien dat er in de toekomst wel mogelijkheden zijn om de zaken in goede banen te leiden. Die zullen dan meer in de sfeer van de zelfregulering liggen, zoals de V-chip (violance-chip) in de Verenigde Staten, die een televisietoestel automatisch uitzet als er geweld op verschijnt."
Tweedeling
Als we in de toekomst beschikken over tools die vaststellen dat we behoefte hebben aan een rode auto in de prijsklasse van 5.000 tot 10.000 gulden, zijn ook andere toepassingen mogelijk. Misschien wordt er een tool ontwikkeld waarin men zijn specifieke configuratie van privacybescherming kan invoeren. Wanneer iemand bijvoorbeeld niet wil dat zijn medische gegevens openbaar worden, zorgt zijn privacy-tool ervoor dat die gegevens niet voor andere dan medische toepassingen gebruikt worden. Het voordeel is, dat niemand hem op zijn gezondheid afrekent. De nadelen van de toepassingen van nieuwe technologieën blijven hem dan bespaard. De voordelen echter ook. Verzekeraars bieden hem geen of een ten dele op hem van toepassing zijnde polis aan. Het beste van twee werelden is in deze situatie niet mogelijk; technologie en privacy bijten elkaar. Alleen via zelfregulering lijkt privacybescherming in de toekomst een reële optie.
Naast het privacy-aspect spelen twee andere zaken: fraude en een tweedeling in de maatschappij. De dreigende toename van fraude vloeit voort uit het feit dat steeds meer informatie online beschikbaar is. Dat maakt het gemakkelijker om met informatie te frauderen. Fraudeurs kunnen gegevens altijd gebruiken met negatieve doelen waar anderen ze voor positieve doelen benutten.
De ‘informatieweelde’ kan ook een tweedeling veroorzaken. "Op dit bevinden we ons in een periode tussen twee tijdperken, een overgangstoestand van het productiegerichte naar het op het individu gerichte tijdperk. Op dat snijvlak is turbulentie en onduidelijkheid ontstaan over wat de toekomst te bieden heeft. Als de nieuwe toestand bereikt is, als we definitief in het informatietijdperk zijn aangeland, zullen de nu afwezige duidelijkheid en stabiliteit terugkeren in een andere vorm", aldus Wennekes. De geschiedenis herhaalt zich altijd, zo redeneert de multimedia-specialist. Mensen die niet kunnen omgaan met de informatiemaatschappij, zullen buiten de boot vallen. "Dat is heel essentieel. We zien een tweedeling ontstaan. Ik vind dat een heel gevaarlijke tendens. De geschiedenis heeft geleerd wat er dan kan gebeuren."
Vaardigheid
Niet iedereen zal die nieuwe stabiliteit als stabiel ervaren. Wat te doen met de mensen die niet of nauwelijks zullen functioneren in de wereld van morgen? Wennekes: "Ik ben zeer bezorgd over dat negatieve aspect van de ontwikkelingen, maar ik zou niet weten wat voor maatregelen genomen zouden kunnen worden om het tegen te gaan. Wellicht dat er in de onderwijssfeer iets mogelijk is."
De tweedeling ontstaat doordat sommige mensen informatierijk zijn en met die weelde kunnen omgaan, en anderen niet. De mensen die wel beschikken over informatie, maar niet over de vaardigheden om daarmee om te gaan, vallen ook buiten de boot.
Zoals Morton Hjort, marketing manager van Oracle Nederland, enkele weken geleden tijdens een spreekbeurt in Delft zei: "Informatie wordt in de toekomst waardeloos, omdat die in de digitale wereld altijd en overal gratis beschikbaar zal zijn. De vaardigheid om informatie om te zetten in producten of diensten is waardevol." De tweedeling vindt dus plaats tussen de informatievaardige en de niet-informatievaardige mensen.
Roy op het Veld, redactie Computable