Systemen zijn wél op een privacyvriendelijke manier te ontwerpen zonder dat dit ten koste gaat van functionaliteit of bruikbaarheid. Vaak is het helemaal niet nodig met de privacy te schipperen omdat systemen anders weinig impact zouden hebben. Dat stelt Jaap-Henk Hoepman, hoogleraar Computer Science aan de universiteiten van Karlstad (Zweden) en Nijmegen, in zijn boek over acht hardnekkige mythes.
In ‘Privacy is Hard and Seven Other Myths, Achieving Privacy through Careful Design’ (MIT Press) legt Hoepman uit hoe je met een beter systeemontwerp tot meer privacybescherming kunt komen.
Naast bekende mythes zoals ‘ik heb niets te verbergen’, prikt hij stellingen door zoals ‘extra privacy leidt tot minder veiligheid’. Onuitroeibaar is de gedachte dat privacy moeilijk is. Welnee, stelt privacy-expert Hoepman in een telefonische toelichting. Met een beetje moeite en aandacht kan veel privacyschade worden voorkomen. Hij vergelijkt de situatie met die van auto’s. ‘Die zijn de laatste decennia veel veiliger geworden.’ Gewoon omdat we dat wilden. Hoepman: ‘Zo kan je ook de privacy beschermen als je dat belangrijk vindt.’
Hoger plan
Hoepman beschrijft in zijn boek tal van technieken zoals cryptografie die de privacy op een hoger plan brengen. Het sleutelwoord is ‘privacy by design’. Net zoals ‘security by design’ de veiligheid aanzienlijk kan vergroten, zo zijn ook diensten beschikbaar die de privacy beschermen.
Privacy by design houdt in dat je de bescherming van iemands persoonlijke levenssfeer meteen meeneemt in de ontwikkeling van een systeem. De technische systemen die we gebruiken, worden gemaakt door mensen; hun normen en waarden zitten erachter. De technologie zelf is niet het probleem, maar de manier waarop deze wordt ontwikkeld en gebruikt. En die privacy is echt niet zo moeilijk, als je het maar probeert.
Hoepman beperkt zich in zijn boek tot methoden die systeemontwerpers zonder veel moeite kunnen toepassen. De auteur vertelt hoe je technisch bepaalde dingen kunt fixen. Verder bespreekt hij pseudoniemen. Ook voorbeelden van gebrekkig ontwerp, encryptie en metadata passeren de revue. Verder gaat hij in op de voordelen van het lokaal houden van persoonlijke gegevens op je eigen toestel. Identificatie is vaak niet nodig. Iemands persoonlijke eigenschappen zoals leeftijd volstaan dan.
De auteur laat wegens ruimtegebrek een aantal privacyverhogende technieken achterwege zoals homomorfe encryptie en veilige multiparty-berekening. Er zijn behoorlijk veel niet al te ingewikkelde technieken. Doorgaans is het alleen maar een kwestie van toepassen.
Redelijk compromis
Niet altijd zijn perfecte privacyvriendelijke oplossingen mogelijk. Maar dit mag ons er niet van weerhouden een redelijk compromis te bereiken. Boven helemaal geen privacy is er vaak een alternatief dat voldoende bescherming biedt. Uiteraard staat ter discussie wanneer iets goed genoeg is. Bovendien is de techniek in beweging. Geleidelijk aan kunnen we de lat hoger leggen. Verbetering van de privacy moet de eerste prioriteit zijn. Vaak bepalen marketingmensen of andere business-afdelingen wat de it-mensen moeten bouwen. Ze wensen een bepaalde functionaliteit. Zoals eerder gezegd, is veelal dezelfde functionaliteit mogelijk met behoud van de privacy.
Soms moeten systeemontwerpers echter diep graven in de stapel van technologie die de privacy op een hoger niveau kan brengen. Ook komt het voor dat computers en netwerken fundamenteel anders moeten worden ontworpen om de privacy te verhogen. Sommige draaien op techniek uit de jaren zestig. Ze zijn een halve eeuw of langer oud. Hoepman vergelijkt zo’n systeem met een wolkenkrabber die is gebouwd op het fundament van een houten hut. Niet alleen qua privacy maar ook qua veiligheid en betrouwbaarheid staan deze systemen op omvallen. Computer- en internet-systemen kunnen zo gebrekkig zijn dat de persoonlijke informatie uit alle hoeken en gaten lekt. Dan heeft het geen zin meer om noodverbanden te leggen. Daar moet een ervaren loodgieter aan te pas komen.
Zender-anonimiteit
Een probleem bij internet is een gebrek aan zender-anonimiteit. Aan de hand van een ip-adres kan je zien waar een bericht van afkomstig is. Dit beperkt de mogelijkheid diensten privacyvriendelijk te maken. Een browser als Tor is vanwege het complexe karakter geen echte optie. Hoepman pleit ervoor dat je met een webserver een verbinding kunt maken zonder dat het ip-adres wordt onthuld. Verder ziet hij graag dat internet een meer open karakter krijgt. Een aantal muren moet worden afgebroken. Zo sluiten de berichtendiensten Signal en WhatsApp niet op elkaar aan.
Volgens Hoepman kan het bedrijfsmodel in de praktijk een behoorlijke hinderpaal vormen. Systeemontwerpen zien vaak best wel mogelijkheden meer privacy in te bouwen, maar stuiten op een veto van de ondernemingsleiding. Die wil vast blijven houden aan het bedrijfsmodel.
Neem bijvoorbeeld Facebook. Hoepman: ‘Een sociaal netwerk is per definitie peer-to-peer. Facebook had dus kunnen kiezen voor een peer-to-peer-structuur in plaats van een client-server-model. Maar die past niet bij de manier waarop dit sociale-mediabedrijf is gestructureerd. Facebook hecht aan centralisatie. Het bedrijfsmodel is de ‘olifant in de kamer’. In zo’n geval kan wetgeving een bedrijf dwingen het businessmodel te veranderen. Milieuwetten noopten bedrijven af te stappen van hun gewoonte om afvalstoffen gewoon in het water te dumpen. Ze wentelden de kosten af op de maatschappij. Wetgeving kan dit veranderen. Zo ook met privacy.’
Veel goeds
De Algemene Verordening Gegevensbescherming (AVG/GDPR) heeft veel goeds gebracht. Problemen zijn ontstaan rond het begrip doelbinding. Hoepman: ‘Onduidelijk is wat legitieme doelen zijn om persoonlijke gegevens te verzamelen. Autofabrikanten zoals GM en Ford verdienen meer aan de handel in data dan aan de verkoop van de auto zelf. Dit gebeurt op alle niveaus. Bij de handhaving van de privacywetgeving richten toezichthouders zich op de allergrootste ondernemingen en overheden. Het midden- en kleinbedrijf blijft doorgaans onder de radar, behalve bij ernstige fouten.’
Het boek
‘Privacy is Hard and Seven Other Myths, Achieving Privacy through Careful Design’ (MIT Press, ISBN 9780262045827) behoort tot de academische noch populairwetenschappelijke boeken die je bij een stationsboekhandel kunt kopen. Het boek is bedoeld voor iedereen die op gebied van privacy werkzaam is. Ook niet-technische belangstellenden kunnen er veel uithalen, mits ze geïnteresseerd zijn in privacy.
Wie een kort overzicht wil van privacybevorderende techniek kan terecht bij Hoepmans eerdere boek Privacy Design Strategies.