Digitale zelfverdediging. Ben jij een supertasker?
‘Als er een knop zou zijn om alle spionage op je telefoon in één keer te blokkeren, zou je die dan gebruiken?’ Ik begin mijn colleges digitale zelfverdediging altijd met deze vraag. Het antwoord van de meeste studenten is volmondig ‘JA’.
Op zichzelf al een interessant en opbeurend gegeven. Interessant omdat het bewijst dat mensen privacy, hun recht om te bepalen wanneer, hoe en hoeveel informatie over hen aan derden doorgegeven wordt, belangrijk vinden. Opbeurend omdat ik ervan overtuigd ben dat alleen mensen die een oersaai en vooral kuis leven leiden niks te verbergen hebben. Die kom ik in ieder geval nooit tegen.
Digitaal spioneren
De volgende vraag die ik aan de studenten stel is: ‘Weten jullie wat de apps op je telefoon allemaal over jou weten? Bijna niemand is zich ervan bewust dat de 50 tot 80 apps die gemiddeld op een telefoon staan bijna allemaal aan digitale spionage doen. De apps verzamelen locatiedata, gezondheidsgegevens en contacten, tracken browsegedrag, gebruiken de microfoon en hebben toegang tot foto’s. Iedereen kan deze vorm van ‘spionage’ gemakkelijk beperken door de instellingen aan te passen naar: ‘Enkel noodzakelijke gegevens verzamelen voor het gebruik van de app’. Toch doen de meeste mensen dat niet. Waarom niet?
Onwetendheid
Eén verklaring is dat veel mensen geen idee hebben hoeveel data hun apps verzamelen. Wetenschappers van Carnegie Mellon University hebben in 2015 een onderzoek gedaan waarbij studenten via een app af regelmatig horen kregen hoe vaak informatie als locatie, telefoongesprekken en contacten waren gedeeld: ‘jouw locatie is in de afgelopen 14 dagen 5.398 keer gedeeld met Facebook, Groupon, GO Launcher EX en 7 andere apps.’ De studenten hadden geen idee. Toen ze doorkregen wat er gebeurde, pasten ze meteen hun privacy-instellingen aan. Als mensen er niet nadrukkelijk op gewezen worden, dan laten ze dus, hoewel ze zich bewust zijn van de risico’s en behoefte hebben aan privacy, alles zoals het is.
Supertasker
Goede informatie is dus essentieel, maar de timing wanneer die informatie getoond wordt ook. De meeste mensen kunnen namelijk maar één taak tegelijk goed uitvoeren. Volgens neurowetenschappers van de universiteit van Utah is zelfs maar 2,5 procent van de bevolking een zogenaamde supertasker, iemand die meerdere taken tegelijk goed kan uitvoeren. Die beperking heeft consequenties voor de privacy en het online gedrag. Dat ziet er dat er ongeveer zo uit.
Stel je hebt gehoord over een super leuke nieuwe app. Een spelletje. Je besluit hem te downloaden en vanaf dat moment is je doel dat spel te spelen. Al je acties zijn daarop gericht. Je hersenen helpen daar ook een handje bij. Zij zijn geprogrammeerd om alle niet al te alarmerende afleiding te negeren. Privacy voorwaarden accepteren? Je hersenen labelen dat als afleiding. Schreeuwen ze om je aandacht? Niet echt, net als de auto’s die buiten voorbij rijden en kinderstemmen op de achtergrond. Bovendien, dit is een groot bedrijf, zal wel goed geregeld zijn.
Als iemand vervolgens op een rustig moment aan je vraagt of je het oké vindt dat je nieuwste, verslavende spelletjesapp 40 keer per dag je locatie checkt, dan reageer je waarschijnlijk net als die studenten van Carnegie Mellon.
Privacy is best ingewikkeld
Zo bekeken is privacy best ingewikkeld. Dat geldt niet alleen voor de gebruikers, maar net zo goed voor de bedrijven die op een open en eerlijke manier met hun klanten willen communiceren. De groep die graag toestemming wil vragen voor datagebruik, maar het lukt niet om een dialoog te starten met hun klanten. En daar gaat het mis, ook volgens de Algemene Verordening Gegevensbescherming (AVG).
De AVG stelt dat als je persoonsgegevens wilt verwerken op basis van toestemming[1] van de betrokkene, de afgegeven toestemming moet voldoen aan een aantal voorwaarden. Eén van die voorwaarden is dat de toestemming een ‘geïnformeerde’ wilsuiting moet zijn. Anders gezegd, als iemand toestemming geeft om hun privé gegevens te verwerken, dan moeten die persoon wel weten waar ze toestemming voor geven en aan wie. Die gegevens moet je dus ter beschikking stellen. Maar dan ben je er nog niet, de AVG gaat namelijk uit van een resultaat: de toestemming is alleen geldig als de gegevens ook gelezen zijn.
Zo simpel als wet klinkt, zo weerbarstig is de praktijk. Als bedrijf kun je nog zo duidelijke en korte privacy-informatie maken, je blijft te maken hebben met gebruikers die zich daar meestal helemaal niet mee willen bezighouden. Ze drukken willekeurig op knoppen om maar zo snel mogelijk van die meldingen af te zijn. En eerlijk is eerlijk, veel bedrijven maken daar ook weer handig gebruik van. Maar willekeurig klikken is geen geïnformeerde wilsuiting, met alle gevolgen voor het bedrijf van dien.
De visie van de Europese Data Protection Board
Voor bedrijven biedt vooralsnog de visie van de gezaghebbende Europese Data Protection Board (EDPB) soelaas. Daarin wordt de soep in ieder geval niet zo heet gegeten wordt als hij in de AVG wordt opgediend. De EDPB richt zich bij de eis van geïnformeerde toestemming met name op de verplichting van bedrijven om specifieke informatie te verstrekken op een makkelijk vindbare en begrijpelijke manier. Of de gebruiker die informatie vervolgens ook echt leest of hoe je daar als bedrijf voor kunt zorgen, daar rept de EDPB met geen woord over. Zij lijkt de lat voor bedrijven dus iets minder hoog te leggen.
Juridisch lijkt er dus niet zoveel aan de hand te zijn wanneer je je als bedrijf netjes aan de informatieverplichtingen houdt. Als je echt behoefte hebt aan een zinvolle dialoog met je klanten over hun privacywensen, zul je een andere strategie moeten verzinnen.
Helena Verhagen, Founder Privacy Valley
[1] Toestemming is een van de zes grondslagen genoemd in artikel 6 van de AVG op basis waarvan je persoonsgegevens mag verwerken.
