Juridische instrumenten schieten tekort om de privacy te beschermen, technologische oplossingen zijn geboden. Dat vindt John Borking, buitengewoon lid CBP. Peter Mom sprak met hem over ‘privacy enhancing technologies’ en over ‘agents’ die werken in ‘privacy-mode’.
Eind 2001 liep de tweede vierjaarstermijn van John Borking af als lid van het College Bescherming Persoonsgegevens. Liever dan een afscheidsreceptie had hij een symposium: Op ‘Privacy by design’ werd de stand van zaken rond ‘privacy enhancing technologies’ verkend. Om zo’n pet-project te kunnen afmaken blijft hij, inmiddels buitengewoon CBP-lid, tot 2004 een dag per week voor het college actief.
Zijn fascinatie voor een op technologie gebaseerde aanpak van de privacybescherming ontstond vijftien jaar terug toen hij het filmpje ‘Knowledge navigator’ van Apple zag. Borking: "Het ging over een elektronische butler die agenda’s bijhoudt, kennis bijeengaart, en telefoonverbindingen tot stand brengt. Dat kan alleen als hij met jouw profiel op pad gaat, een ‘rugzakje’ met voor- en afkeuren. Zo’n ‘agent’ is een digitaal alter ego, dat zelfstandig handelingen kan verrichten en transacties afsluiten. Ik dacht: Wat gaat daar aan persoonsgegevens over de lijn! Wat als die agent dat rugzakje wordt afgepikt?"
| Science fiction als inspiratiebron Alles wat bedacht kan worden, laat zich in Borkings opvatting ook realiseren. Daarom laat hij zich inspireren door science fiction. Hij las eens het verhaal van een volk dat het leger had afgezworen en door buren onder de voet werd gelopen. Dat volk had een virus waardoor de indringer besmet raakte, die vervolgens ook zijn thuisfront aanstak. Maar het aangevallen volk beschikte over een antistof, waardoor het uiteindelijk zegevierde en de agressor het loodje legde. "Ik heb eraan gedacht software-agents ook met een virus uit te rusten. Zolang niemand aanvalt, gebeurt er niks, maar wie dat wel doet, wordt geëlimineerd. De vraag is wel of het ethisch verantwoord is," zegt Borking die er maar mee wil aangegeven dat we in een totaal andere wereld terechtkomen waar onconventionele oplossingen gewenst zijn, die met de voeten op tafel in brainstormsessies worden uitgedacht. |
Gescheiden systeemdomeinen
Het pakte anders uit. Gegevensstromen zijn van intake tot ontslag uitgepluisd. Op zich werden de patiëntendossiers adequaat beheerd, maar voor wie met patiënten werkt, is een uitgeprint schaduwdossier onder handbereik erg handig. Het hoofddossier in de computer werd na de voorgeschreven termijn vernietigd, maar de kopieën duidelijk niet. Borking herinnert zich de schrik van de directie toen hij zijn bevindingen had toegelicht. "Als er een pistool op tafel had gelegen, had men gevraagd het genadeschot te geven."
Het was eind 1995, enkele maanden dus na verschijning van de pet-studie. Essentie van die aanpak: gescheiden systeemdomeinen met daartussen een ‘identity protector’. In het ene domein zijn de gegevens gekoppeld aan een identiteit. De ‘identity protector’ zet bij datatransport naar het andere domein, waar de eigenlijke verwerking gebeurt, de identiteit om in één of meerdere pseudo-identiteiten. Vaak is het voor verwerking van persoonsgegevens helemaal niet nodig de identiteit te kennen. Zonodig kan de ‘identity protector’ de gegevens na verwerking terugkoppelen aan de echte identiteit in het identiteitsdomein. Waarom zou Veldwijk pet niet implementeren?
"Die jongens zijn gek," zei het hoofd systeembouw van ICL, dat het ziekenhuis zijn systeem had bezorgd. Dat deze tegenwoordig zijn salaris bij het CBP (College Bescherming Persoonsgegevens) verdient, geeft aan dat hij er anders over ging denken. Het kon wel degelijk. En daar ICL een stevige positie heeft bij psychiatrische ziekenhuizen, gebruiken sinds Veldwijk nog eens dertien een pet-patiëntensysteem. Ook het Landelijk Alcohol en Drugs Informatiesysteem en het Nederlands Brandwonden Informatiesysteem werken nu met pet. Borking betreurt het nooit een algemeen ziekenhuis bereid te hebben gevonden als vrijwilliger het audit-spits af te bijten, waardoor ook in dat zorgsegment een ‘Veldwijkeffect’ zou kunnen optreden.
De Wet bescherming persoonsgegevens (WBP), sinds september 2001 in werking, schrijft ‘passende technische en organisatorische maatregelen’ voor ‘om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking’. Pet dus, legt Borking de wet uit. Expliciet komt pet voor in een Kamerbreed gesteunde motie, die Atzo Nicolaï (VVD) eind 1999 indiende bij de behandeling van de WBP. De regering moet zorgen dat de overheid ‘het voortouw zal nemen bij inzet van pet bij haar eigen verwerking van persoonsgegevens’. Het ministerie van Binnenlandse Zaken heeft TNO nu de uitvoerbaarheid van dat streven laten nagaan. Hoewel nog geen rapport is gepubliceerd, weet Borking dat men pet een goede mogelijkheid vindt ‘om privacy aanvullend te beschermen’ en ook om het toezicht van burgers op de verwerking van hun gegevens te verstevigen. "Het idee is dat burgers zelf over een ‘identity protector’ beschikken, die ze aansluiten op systemen. Als het veilig is, kunnen ze besluiten hun gegevens vrij te geven."
Registratie verkeersgegevens
Een eerste grootschalige toepassing van overheids-pet zou het kilometerheffingssysteem worden. Auto’s zouden gps-apparatuur krijgen (‘global positioning system’, voor positiebepaling per satelliet) en een ‘mobimeter’ (om verkeersgegevens te registreren). De mobimeter slaat in het privédomein de exacte verkeersbewegingen op, die uitsluitend (met pin- of biometriepas) voor de eigenaar toegankelijk zijn. Ze worden in geaggregeerde vorm overgebracht naar het andere domein, waaruit automatisch de aangifte bij de Belastingdienst wordt gedaan: afgelopen periode zijn X kilometers gereden op wegen met A-tarief en Y volgens B-tarief. Waar en wanneer gaat de fiscus niets aan.
Borking heeft bij Verkeer en Waterstaat en Financiën zes jaar de deur platgelopen, zegt hij, maar kreeg zijn beloning. Eerdere onzalige ideeën gingen van tafel en tenslotte kwam pet, uitgedacht door prof drs. Maarten Boasson, aan de Universiteit van Amsterdam hoogleraar Industriële complexe computersystemen. De domeinaanpak kwam zelfs in het wetsvoorstel. "Je kunt in zo’n specifieke wet zeggen dat voldaan moet worden aan algemene wetgeving, maar het is veel beter het te expliciteren, dan krijg je ook geen interpretatieprobleem." Borking spreekt van een geweldige doorbraak, vooral omdat het een online systeem betreft. Toen begin dit jaar echter de VVD het Nationaal Verkeers- en Vervoersplan afschoot, belandde de mobimeter in de ijskast. Voor Borking geen aanleiding tot grote treurnis. "De filedruk is zo groot, dat het onderwerp wel weer op de agenda komt. Als ze dan een systeem nemen zonder privacybescherming, vinden ze het CBP op hun pad."
De opkomst van onlinesystemen, zeker als ze online zijn met het worldwide web, betekent een welkome wind in de rug van pet. De digitale dienaar uit ‘Knowledge Navigator’ is inmiddels tot de acroniemenclub toegetreden. Borking weet van een door Sun met een Berlijnse Universiteit gebouwd prototype dat op internet het goedkoopste vliegticket kon opsnorren. De persoonsgegevens die in dat rugzakje moeten -gangpad of raam- lijken tamelijk onschuldig (al kan een dieet gelden als medisch gegeven, en trouwens: wie heeft er iets mee te maken dat jij dan-en-dan daar-en-daarheen wilt?), maar gezien het enorme informatieaanbod op het Web is weinig fantasie nodig om zich een potentieel zeer belastende rugzak, uitpuilend van persoonlijke data, voor te stellen.
Gevaarlijke agents
Borking verwacht dergelijke agents in een jaar of vijf op de markt. En ze roepen meer vragen op dan zich in vijf jaar laten beantwoorden. Ze leren van ervaringen tijdens web-omzwervingen, maar kunnen ze ook intelligenter worden dan hun baas? Of zich tegen hem keren? Dat klemt temeer daar volgens Borking al het menselijk handelen deels vanuit het onderbewuste wordt bepaald en aan een te goeder trouw uitgezonden agent aldus wel eens latent criminele instructies kunnen zijn meegegeven. Een misdadiger kan ook bewust digitale dievenhulpjes op pad sturen. Vlak voorts niet uit wat vanuit Al Qaida-bunkers het Web kan zijn opgestuurd. Los van de maatschappelijke ontwrichting die een terroristische isat-aanval (intelligent software agent technologies) teweeg kan brengen, is ook het leed op persoonlijk niveau niet te overzien. wanneer je rugzak in verkeerde handen komt. Wat spookt die ander uit met jouw identiteit? Dat kan ook spelen als een andere agent de jouwe weet te vermurwen zijn opdracht over te dragen omdat hij een ‘beter adresje’ kent. Als een liftende ‘backpacker’ zijn rugzak afhandig wordt gemaakt, is-ie hem kwijt, maar een digitale rugzak wordt ongemerkt gekopieerd. Waarom trouwens niet meteen duizendvoudig?
Als jouw agent – om het zoekproces te versnellen – zich in duizend agentjes opsplitst, is hij duizend keer zo kwetsbaar, nog los van wat hij zelf met zijn megaschizofrenie onderweg allemaal aanricht. Hoe is dat als agents-baas te behappen? En een puntje van juridische aard: wie is aansprakelijk als jouw agent in Mexico een bank oplicht?
Op die laatste vraag heeft Borking, die rechten en filosofie studeerde, wel een – voorzichtig – antwoord. "Misschien krijgen we zoals in de Romeinse tijd een slavenrecht, waarbij in sommige gevallen de slaaf aansprakelijk is en in andere de meester. Ik denk dat primair de eigenaar verantwoordelijk is, ook al doet die agent iets wat hij niet beoogt. Dat vereist wel controle, en dat staat weer op gespannen voet met het feit dat intelligente agents enige zelfstandigheid hebben. Je hebt ook ‘harde’ agents, waarbij alles vooraf is vastgelegd, bijvoorbeeld een gespecialiseerde ticketzoeker. Als die in de fout gaat, kom je in de sfeer van de productaansprakelijkheid. Voor het overige geldt: hoe meer invloed je hebt, des te groter is je aansprakelijkheid."
‘Het kan niet zonder’
Maar verder? Technologie moet oplossingen bieden. "Bouwers moeten onheil voorkomen", meent Borking. Microsoft wees hem echter ooit de deur toen hij erop aandrong privacyaspecten mee te nemen. "Dat is twee jaar vertraging, zeiden ze." Maar ook bij Gates veranderen de tijden. Internet Explorer 6 ondersteunt P3P (‘platform for privacy preferences’), waarmee het privacybeleid van websites kan worden gevat in een snapshot, dat een P3P-browser kan vergelijken met privacyvoorkeuren van de gebruiker. "Een gigantische stap vooruit," vindt Borking. "Voor je een site opgaat, wordt gecheckt of hij je voorkeuren eerbiedigt. 140 miljoen Explorer-gebruikers moeten zich afvragen wat ze met hun privacy willen. En sites moeten die vraag aankunnen. Bedrijven moeten dus een beleid vaststellen. Ik ben bij de bijeenkomst geweest waar Microsoft aan zijn grootste klanten de P3P-implementatie aankondigde. Daar ontstond grote schrik. Maar Microsoft zet door. Het kan niet zonder, anders komen e-handel en elektronisch bestuur nooit op gang." Vorige maand verhief het World Wide Web Consortium, dat de standaard ontwikkelde, P3P tot ‘W3C Recommendation’.
In het pisa-project, waarvoor hij medeverantwoordelijk is, werken Borking en organisaties in Nederland, België, Italië en Canada met EU-steun aan ‘privacy incorporated software agents’. "Dat zijn agents die werken in ‘privacy-mode’. We willen bewijzen dat het kan, en als het kan, schrijven we het voor." Begin 2003 moeten twee prototypes functioneren, één die met een cv op zak een baan zoekt, en een die je droomhuis opspoort. Borking noemt de vooruitzichten veelbelovend. Aanpalend onderzoek, weer om tot technologieoplossingen te komen, betreft de vertaling van wetgeving in programmacode. "We proberen wetsbeginselen in broncode te vatten."
Is hij sinds ’11 september’ anders gaan denken? "Mijn kijk is niet veranderd. Ik zou bijna zeggen dat het heeft bevestigd dat privacybescherming cruciaal is. In de eerste reacties klonk door dat de overheid veel meer van burgers moest weten. Maar als dat zou doorslaan, zou de overheid een bedreiging worden. Alles van je burgers weten, maakt manipulatie mogelijk, bestrijdt het afwijkende en dwingt tot conformisme. En het werkt niet. Die vliegers van Bin Laden gedroegen zich juist niet afwijkend en kwamen daarom het systeem door. Als alles was geweten, was het nog niet ontdekt. We zijn niet in staat zoveel elementen zo te combineren, dat je er iets uit kunt afleiden. En zou het ooit wel kunnen, dan krijgen we een politiestaat, waar de overheid het vertrouwen van de burger volledig kwijt is, sabotage opkomt en de productiviteit omlaagschiet. Dan gaan we terug naar een primitieve samenleving, waar het recht van de sterkste geldt."
Peter Mom
