User-profiling is inmiddels big business. Hoe meer je van een bezoeker weet, hoe groter de kans is dat je iets verkoopt. Maar wat als de overheid profiling verbiedt, of nog erger: wat als bezoekers zélf weigeren gegevens achter te laten en privacy tools gaan gebruiken? In dat geval wordt de bodem onder een grote industrie weggeslagen. Goed dus om te voorkomen dat we met nonchalant gebruik van persoonsgegevens de privacybubbel laten barsten.
Het internet is volledig geïntegreerd in ons dagelijks bestaan. Daardoor snappen we ook steeds beter wat er online met onze gegevens gebeurt en zien we in welke dingen er fout (kunnen) gaan. Zo kwam vorig jaar de grootschalige internetspionage van de NSA aan het licht en lekken online opgeslagen persoonsgegevens steeds vaker uit. Dit soort incidenten kunnen er zomaar toe leiden dat we veel zorgvuldiger met onze privacy om willen gaan.
Privacywetgeving
We willen dan niet meer dat elke webshop weet wat we online aangeklikt hebben; of dat onze telecomprovider altijd weet waar we zijn. En op dat soort kennis draait een groot deel van het commerciële internet: een gebruiker is x euro aan advertentie-inkomsten waard, dus een bedrijf met y gebruikersprofielen is x * y euro waard. Valt x weg, dan ook de waarde van het bedrijf: de privacybubbel barst.
De privacywetgeving wordt ook steeds strenger. De cookiewetgeving bijvoorbeeld verbiedt profiling zonder toestemming van de bezoeker. En de aankomende Europese privacyrichtlijn maakt het mogelijk om boetes op te leggen van honderd miljoen euro, of 5 procent van de jaaromzet. Nederland zal naar verwachting op 1 januari 2015 de privacywetgeving al aanscherpen, met mogelijke boetes tot 810.000 euro. Een bedreiging? Of juist een kans voor organisaties?
Security geen sluitpost
We ontkomen dus niet meer aan een goede beveiliging van persoonsgegevens. Langzaam maar zeker zien we het dan ook gebeuren: security wordt integraal onderdeel van online omgevingen en is niet langer een sluitpost. Waar vroeger alleen datacenters certificaten hadden op het gebied van security, zien we nu ook dat dit van managed hosting partijen verwacht wordt. En binnen aanzienlijke tijd zullen ook developers om securityborging worden gevraagd. Massaal opgepakt wordt het echter (nog) niet.
Het vertrouwen van de consument behouden of (terug)winnen is belangrijk. Een goede manier waarop je dat kunt doen is door een securitykeurmerk voor online toepassingen te ontwikkelen. Je kunt het vergelijken met het keurmerk veilig wonen: wanneer je aan de checklist voldoet krijgt je huis een ‘veilig wonen-stempel’ en krijg je korting bij je verzekeraar. Mijn voorstel is om hetzelfde toe te passen voor websites.
Checklist
Niets ingewikkelds, maar een eenvoudige checklist (bijvoorbeeld van NCSC) waar ook de online eenmanszaken mee uit de voeten kunnen. Voldoe je aan de checklist dan krijg je een één securityster. Na controle door een onafhankelijke partij mag er een securitylabel op de website getoond worden. Een maandelijkse securityscan resulteert bijvoorbeeld in twee sterren en een jaarlijkse security-audit in drie sterren. Iets in die trend.
Wat mij betreft een kans dus, die aangescherpte wetgeving en schandalen op het gebied van security. Een keurmerk heeft een hoop voordelen. Als bedrijf laat je zien dat je goed bezig bent, onderscheid je je van de concurrent en regel je de basale eisen vanuit de wetgeving in. Dat soort goodwill verkleind misschien de kans op strengere wetgeving in de toekomst. Wie weet voorkomen we bovendien dat de privacybubbel knapt. Wie begint?
Ik ben het met je eens, dat goed omgaan met privacy-gevoelige gegevens een onderscheidend vermogen gaat worden. Als een organisatie goed omgaat met mijn gegevens, vind ik dat een waardevol feit. Echter…
Volgens mij moet je om de privacybubbel te voorkomen niet alleen wat doen aan security. Dit is denk ik wat te kort door de bocht. Ik denk dat zaken als Privacy by Design, Privacy by Default belangrijkere elementen zijn dan om de zoveel tijd een scan.
Kortom security en privacy het is afhankelijk maar er zijn volgens mij wel verschillen. En met een scan en wat sterren voldoe je nog niet aan privacy wetgevingen en kun je ook nog geen boetes voorkomen.
Een security keurmerk is de uiting van dweilen met de kraan open.
De eerste vraag is of het wel nodig is al die privacy-gevoelige gegevens te verzamelen en het antwoord is in heel veel gevallen nee.
De ziekelijke neiging om alles van de klant/bezoeker te willen weten is ongezond voor de gehele branche.
De checklist is mijns inziens een poging om dit soort certificering te verkopen, mooi verpakt maar ontzettend onnodig. Iedere website heeft een minimale security nodig anders wordt deze gehackt, de straf komt dus praktisch vanzelf.
Wat dreigt te barsten zou ik niet een privacybubble noemen maar een profilingbubble. Privacy is in opkomst, profiling staat onder druk.
En terecht. Ik vind de blinde aanname dat klanten het in orde vinden om intens doorgelicht te worden behoorlijk respectloos, en waarom zou iemand klant van je willen zijn als je hem bij voorbaat niet respecteert?
En een privacy-aspect aan profileren en gericht adverteren dat zelden belicht wordt is dat gerichte advertenties ook zichtbaar maken waarin iemand geïnteresseerd is aan wie toevallig mee kan kijken op het beeldscherm als de advertentie getoond wordt. Ik heb dat zien gebeuren bij onderwerpen die absoluut privacygevoelig zijn. Big data is een roddelmachine. Ook bij goed beveiligde systemen is dit een gapend lek, dat inherent is aan gericht adverteren.
Het gekke is dat de economie ook uitstekend draaide toen dit alles nog niet mogelijk was. Het is geen noodzaak. Er zijn goede redenen om uiterst terughoudend te zijn met big data.
@Maarten: het klopt dat security en privacy twee verschillende dingen zijn, maar ze hebben wel grote overlap. Door de juiste security maatregelen te treffen los je een groot deel van de privacy vereisten ook op. Een aantal aanvullende privacy zaken die dan nog niet afgedekt zijn, zou je aanvullend in het keurmerk moeten opnemen.
==
@Jan: eens dat het niet de bedoeling is om zomaar van alles en nog wat aan privacy gegevens te verzamelen. Dat is precies mijn punt. De vraag is hoe gaan we dat voorkomen? Je zegt: iedere site heeft minimale security nodig. Klopt. Maar hoe kom je achter het niveau van beveiliging voordat deze gehackt is? Kan je van buitenaf niet zien als normale gebruiker. En als de site gehackt is, dan is het al te laat en liggen jouw gegevens op straat.
==
@Gerrit: de term profilingbubble was inderdaad beter geweest. Vervelend voor klanten is dat die vaak niet eens weten wat een bedrijf van ze weet. En eens dat het erg rottig is dat gerichte advertenties op nu.nl sexartikelen tonen omdat je gisteravond bij een sexshop artikelen hebt bekeken…
Ik kan me de insteek wel indenken maar er zijn teveel zaken die er weer bij worden betrokken die het dan weer knap tegenstrijdig maken.
Je begint bij een goede verkoopmethode en eindigt met een soort sterrenstelsel van of voor betrouwbaarheid.
Persoonsgegevens, profiling, verkoop
Ik ben daar altijd tegen geweest. Als professional, als privepersoon. Ik heb altijd al de stelling geheiligd dat het aan mij is de regie te hebben, houden en voeren over mijn eigen identiteit en voorkeuren. Ongeacht wat velen in, met en vanuit IT roepen.
Daar neem ik dan hele eenvoudige maatregelen voor. Cookies flikker ik steevast weg, als er een site niet toegankelijk is omdat men graag wat gegevens van mij willen hebben, of een stap verder, dat ik op een linkje zou moeten klikken als ik me ergens heb ingeschreven, ter validatie (??) dan is dat de grootste anti verkoop voor mij.
Bancair en apps
Banken kunnen van mij de boom in. Ze staan voor mij synoniem aan ‘Onbetrouwbaar’ doordat ze niet transparant zijn, niet weten wat balans klant/verkoper is en zichzelf o zo geweldig vinden. Had ik al gezegd dat het de banken zijn die mij een oor hebben aangenaaid door eerst miljarden van u en mij in eigen zakken te steken om vervolgens ‘huiliehuilie’ bij zalm en Bos aanklopten toen de drek die ze zelf hadden veroorzaakt, tot aan plafond reikten alleen toen mocht ik als belastingbetaler opdraven.
Is er iets veranderd? Jawel. Een verdergaande digitalisering die zaken steeds minder transparanter maakt en waarbij klaarblijkelijk weinig IT-ers, en nog minder mensen door hebben, dat de privacy meer en meer ondergeschikt raakt aan onder meer commercie.
Profilebubble
Er is m.i. geen enkele sprake van een profilebubble. Het is een aardig bedacht nieuw woord, niets meer dan dat. Het wordt dan ook door een commerciële partij geroepen. Er word steeds vaker gedaan alsof je zonder een cookie plotseling geen fatsoenlijke website beleid meer zou kunnen voeren. En de politiek? Net een weerhaantje die met alle winden meewaait. Vooral de commercie.
Had ik overigens al iets geroepen wat die commercie en overheid IT wise voor miljardenschade jaarlijks aan het veroorzaken is? Of dat er nu een Amerikaans commercieel bedrijf over uw en mijn gegevens mag gaan beschikken in de gezondheidszorg?
Ik vertrouw de overheid niet om bewezen voornoemde redenen dus waarom zou ik dat een commerciële partij dit op dit vlak wel moeten doen? Terwijl het uitgangspunt uiteindelijk uw en mijn portemonnee is.
Natuurlijk u uw eigen mening maar, zonder schroom of zweem van paranoia, er zijn enkele eenvoudige stappen dat profiling knap lastig te maken. Gelukkig komen dar steeds meer programma’s voor.
Je voorkeur en persoonlijke mening zijn bij voorkeur en allereerst van en voor iemand zelf. Dat heet gewoon zelfbeschikking.