Met de Algemene Verordening Gegevensbescherming (ook wel bekend als de GDPR) in aantocht, zien we veel bedrijven die zich zorgen maken over wat te doen met privacy, en dan in het bijzonder met privacy by design.
Een groot probleem is dat de term privacy zich niet goed laat vangen in een eenduidige definitie, en afhankelijk van de context en het perspectief hele andere dingen kan betekenen. Toch vraagt de GDPR om ‘privacy by design and by default’, zoals we in artikel 25 van de wetstekst terugzien. Wat houdt dat concreet in?
‘Cradle to grave’ gegevensbescherming
De Nederlandse vertaling van artikel 25 is ‘Gegevensbescherming door ontwerp en door standaardinstellingen’, waarmee we al direct meer richting geven aan de term privacy door het in de richting van gegevensbescherming te sturen. Dit helpt ons wel de eerste interpretatie te maken. We zouden kunnen concluderen dat het hier dus gaat om het in acht nemen van gegevensbescherming al in de ontwerpfase van een product, tot aan het einde van het traject waarbij het product niet langer wordt gebruikt. Cradle to grave gegevensbescherming.
Dit vraagt extra inspanning voor elk product of service. Niet alleen moeten we ons af gaan vragen wat we willen bereiken, maar ook wat niet bereikt moet worden. Vanuit het hackersperspectief zien we dit als de vraag ‘Wat doet dit product en kan ik het iets laten doen waarvoor het niet is ontworpen?’ Hier raken we de kern van gegevensbescherming bij het ontwerp. Door deze vraag te stellen verandert er iets in het ontwerpproces, het hackersperspectief komt er nu bij.
Privacy Enhancing Technologies
Naast vele bedrijven die praktisch aan de slag zijn met onder andere privacy impact assessments en die werken om hun processen/data op orde te brengen voor mei 2018, wordt er ook al jaren onderzoek gedaan naar privacy by design en aangrenzende onderwerpen zoals privacy patterns (een categorie van design patterns binnen software). Zowel binnen academia, als bijvoorbeeld bij het Centrum voor Informatiebeveiliging en Privacybescherming met de privacy baseline. Iedereen worstelt met het probleem van ‘we moeten iets met privacy’ in het licht van de GDPR. Er is geen magische oplossing waarmee ineens aan de voorschriften wordt voldaan, en dat kan beangstigend zijn. Zeker ook omdat alleen procedurele oplossingen niet voldoende zijn. Wel zijn er steeds technologieën in ontwikkeling die privacy als kernwaarde hebben, de zogenaamde privacy enhancing technologies (pet’s); technische maatregelen die problemen oplossen, met zo min mogelijk impact op de privacy van de gebruikers.
Wat kun je dan als organisatie wel doen? Of als ontwerper? Of zelfs als programmeur? Een andere manier van denken kan hierin helpen; een extra stap in het proces is nodig. Je telkens weer afvragen wat het product moet doen en niet moet doen, welke gegevens erin worden verwerkt, en of je het doel van verwerking ook op een andere manier kunt bereiken, waarbij minder (gevoelige) gegevens kunnen worden gebruikt. Denk minimalistisch. Als twee datapunten voldoende zijn, verzamel er dan niet méér voor het geval dit in de toekomst makkelijk is. Juist door de hoeveelheid gegevens te beperken is het risico op problemen minder groot. Daarnaast zorgt het ook nog voor een overzichtelijker geheel. Je zou het een tegenhanger van ‘big data’ kunnen noemen.
Privacy by design vraagt terughoudendheid bij alle betrokkenen. Niet langer zoveel mogelijk gegevens verzamelen en daarna kijken waar ze voor gebruikt kunnen worden, maar heel gericht nagaan welk doel bereikt dient te worden en daarna gaan kijken wat hiervoor minimaal nodig is. Als klassiek voorbeeld nemen we hier het kopen van alcohol. Om de wettelijk vereiste minimum leeftijd aan te tonen kan de koper een legitimatiebewijs tonen aan de verkoper, maar dat is welhaast buitenproportioneel; op een legitimatiebewijs staat veel meer informatie dan nodig is. We hebben echter geen algemene oplossing die het minimale aantoont: ‘mag wel/niet alcohol kopen’, een eenvoudige ja of nee dus. We gebruiken hier nu een document voor dat veel meer over de drager vertelt dan alleen dit ene binaire gegeven. In de essentie is dit het probleem.
Hiermee raken we een ander kern-probleem van privacy by design. ‘Nu met extra privacybescherming’ verkoopt niet zo goed als ‘Nu met nog meer pixels’ of een ander positief meetbare kwaliteit of waardevermeerdering van een product. Mede hierdoor zijn privacy en gegevensbescherming lang genegeerd. De inhaalslag moet nu gemaakt worden en het ontwerp van nieuwe producten en processen is een uitstekende gelegenheid om vanaf het concept al na te denken over privacy.
De magische oplossing bestaat niet
Concrete oplossingen die overal van toepassing zijn, bestaan niet. Het privacy-probleem wordt niet opgelost door cloud, blockchain, of andere nieuwe technologieën die worden geprezen als magische oplossing. Wat wel werkt is een intrinsiek besef krijgen van privacy en gegevensbescherming. Als u als consument ziet dat een product gegevens verwerkt, vraagt u zich dan direct af waarom die gegevens nodig zijn, waar ze heen gaan, wie ze in kan zien, et cetera.
Als producent moet u zich diezelfde vragen stellen, waarom hebben we deze gegevens nodig? Waar gaan ze heen? Wie kan ze inzien? Kritisch zijn en misschien zelfs liever niet persoonlijke gegevens willen verwerken als het ook anders kan. Pet’s zijn niet altijd sneller en goedkoper, maar op de lange termijn is de privacy-debt die ontstaat richting de gebruikers kleiner.
Goed ontwerp bestaat wel
Om toch wat handvatten te bieden, benaderen we privacy by design vanuit een mogelijk ongebruikelijk perspectief. Namelijk aan de hand van kenmerken van goed ontwerp zoals omschreven door Dieter Rams, een industrieel ontwerper die verantwoordelijk is voor veel ontwerpen bij Braun. In al zijn ontwerpen gaat hij voor ‘Weniger, aber besser’ (minder, maar beter). Dat is voor privacy en gegevensbescherming een uitstekend uitgangspunt.
Bruikbaar: Bruikbaarheid blijft altijd de kern van een product. Er wordt een probleem opgelost op een elegante manier of er wordt een dienst aangeboden. Verbergen achter allerlei formulieren, cookie walls, of andere pogingen tot het verkrijgen van toestemming leiden af en zorgen voor extra handelingen. Als een gebruiker tien handelingen moet uitvoeren om iets eenvoudigs te doen, moet het ontwerp worden aangepast. Op de achtergrond kan het best complex zijn natuurlijk, maar daar hoeft de gebruiker niet mee te worden geconfronteerd.
Innovatief: Hetzelfde blijven doen wat altijd al werd gedaan, is niet langer mogelijk. Er moeten nieuwe oplossingen worden verzonnen. Maar waak er wel voor dat er geen oplossingen worden verzonnen enkel en alleen voor de innovatie. Nieuw is niet per definitie beter. Soms wordt het probleem gewoon verplaatst. Veel van de innovatie is op dit moment te vinden in pet’s, maar er valt nog veel te innoveren.
Begrijpelijk: Goed ontwerp heeft eigenlijk geen handleiding nodig. Het is intuïtief in het gebruik en gebruiksvriendelijk. In één oogopslag is duidelijk waarvoor het is bedoeld. In het geval van gegevensbescherming is direct duidelijk waarom bepaalde gegevens nodig zijn. Juist door hier open en transparant over te zijn kan bij de gebruiker meer acceptatie worden verkregen. Begrijpelijk betekent ook openheid van zaken geven: het is voor de gebruiker duidelijk wat een product doet, en ook wat er met gegevens wordt gedaan.
Eerlijk: Als een product aangeeft iets te doen, moet het niet ineens iets heel anders gaan doen. Dit klinkt logisch, maar vanuit privacyperspectief is dat heel belangrijk. Vertrouwen van de gebruiker moet niet worden geschaad door vreemde gedragingen van het product. Doe precies dat wat duidelijk is gecommuniceerd naar alle betrokkenen, en verder niets. Function creep, ofwel het toevoegen van functionaliteit of bewerkingen van gegevens omdat hier een commercieel voordeel uit gehaald blijkt te kunnen worden gehaald, moet worden voorkome
Langdurig: Het is bij ontwerpen altijd goed om er rekening mee te houden dat een product langer in gebruik zal zijn dan gedacht. Bij gegevensbescherming kan dit zich vertalen in het gebruik van sterkere versleutelingsmethoden om meer toekomstbestendig te zijn, of om alvast rekening te houden met wetgevingen die pas over een aantal jaar ingevoerd gaan worden.
Grondig, tot op het kleinste niveau: In grote lijnen een ontwerp neerzetten is niet heel lastig, het zijn juist de kleine details die een goed ontwerp onderscheiden van zomaar een ontwerp. Dit vergt wel dat de ontwerpers op de hoogte zijn van de mogelijkheden en beperkingen van technologieën en kunnen renderen vanuit het perspectief van de gebruiker, maar ook bijvoorbeeld vanuit de aanvaller. Betrek privacy- en security-specialisten zo vroeg mogelijk bij het ontwerp proces. De hele levenscyclus van het product moet bekeken worden. Dit is essentieel. Wat doen we bij het einde van de product levenscyclus? Waar hebben we alle gegevens gelaten? Hoe kunnen we die opruimen?
Zo min mogelijk ontwerp
Deze stelregel linkt nauw met persoonsgegevensbescherming. Meer cryptografie toevoegen, of nog een inlogscherm, is niet de oplossing. Vele oplossingen zijn al bedacht, maar werken niet of zijn niet effectief als ontwerpers de oplossing niet goed begrijpen en de verkeerde of over-complexe oplossingen gaan gebruiken voor een probleem. Soms zelfs zijn ontwerpers niet eens bekend met reeds bestaande oplossingen, en gaan dan zelf opnieuw iets ontwerpen. Hierbij denk ik vooral aan propriëtaire cryptografische oplossingen als valkuil. Gegevensbescherming is een bijzonder en soms erg lastig vak, gelukkig zijn er specialisten die u kunnen helpen.