UPDATE 2013-06-24: Corien Prins schrijft over PRISM/NSA en verwoordt nader waar ik in de afsluiting van onderstaand bericht met de woorden “sociale verhoudingen” mee naar bedoel te verwijzen: “(…) De paradox van de wens de burgers veiligheid te garanderen is dat zij de veiligheid van hun persoonlijke gegevens volledig kwijt zijn. Het is deze situatie en de veranderende machtsrelatie tussen individuen en instituties die daarmee samenhangt, waar het debat over dient te gaan. (…)“.

Bits of Freedom roept ons in het kader van de vernieuwing van de EU Data Protection Directive op contact op te nemen met onze Europarlementariërs. Hieronder volgt het bericht dat ik aan Nederlandse afgezanten heb gestuurd. Bits of Freedom zoekt trouwens nog een directeur (reageren vóór 6 mei 2013).

Beste heer Mulder, mevrouw In ‘t Veld, heer Van de Camp, mevrouw Sargentini, heer Zijlstra, heer De Jong en mevrouw Bozkurt,

De voorgestelde vernieuwing van de Europese privacyregels noopt mij ertoe dit bericht te schrijven. Dat bescherming van de persoonlijke levenssfeer een belangrijk maatschappelijk thema is, blijkt in Nederland steeds vaker in de Tweede Kamer: vaak leidt een “privacylek” dat individuele burgers raakt tot kamervragen. Voor het individu kunnen de negatieve gevolgen van onjuiste, bovenmatige, uitgelekte en/of te breed gedeelde informatie groot zijn. Juist in het licht van nieuwe technologische mogelijkheden, die overheid en bedrijfsleven in staat stellen meer en preciezer te meten aan personen en hun gedrag, is terughoudendheid geboden.

Big Data is Big Business, en dat is goed. Maar verwerking van data die betrekking heeft op personen, eist kaders. Eén van die kaders moet zijn dat “anonieme” gegevens niet automatisch worden vrijgesteld van de eis van adequate beveiliging. Dat is in de huidige Wet bescherming persoonsgegevens wél het geval, omdat het begrip “herleidbaar tot individuele personen” onvoldoende is uitgewerkt.

Zoals (opnieuw) aangetoond in mijn proefschrift (UvA, 2012), zijn geanonimiseerde gegevens vaak tóch te herleiden tot individuele personen [Koot2012]. In de computerwetenschappen wordt hier al 30 jaar over gesproken. Senior researcher / assistant professor Jaap-Henk Hoepman (Radboud Universiteit en TNO) betoogt dit al voor “pseudonieme” gegevens [Hoepman2013]. Een andere belangrijke expert op dit gebied is prof. Ross Anderson (Cambridge), die vorig jaar kritiek uitte op het plan van de Britse National Health Service om patiëntgegevens “geanonimiseerd” ter hergebruiken zonder toestemming te vragen aan patiënten [Anderson2012]. De eis van toestemming moet niet zomaar, zonder een vervangende bescherming van het individu, overboord worden gegooid met het argument dat die eis kostbaar of moeilijk uitvoerbaar is.

Op het snijvlak tussen privacy en veiligheid is het tijd voor een nieuw sociaal contract, op basis van wederkerigheid: zie bijgevoegd het betoog van prof. Beatrice de Graaf (Leiden) in De Groene Amsterdammer van 11 april 2013.

Op het snijvlak tussen privacy en internetvrijheid sluit ik me aan bij de volgende oproep van Bits of Freedom [BoF2013]:

1. Bescherm alle gegevens die betrekking hebben op internetters;
2. Eis voldoende afgebakende redenen voor de verwerking van die gegevens – zodanig dat oneigenlijk hergebruik wordt voorkomen;
3. Echte toestemming mag niet verstopt zitten in paginalange algemene voorwaarden;
4. No stalking: tracken van internetters mag alleen onder strenge voorwaarden (dit betreft bijvoorbeeld ‘device fingerprinting’ en de in Nederland reeds bekende ‘tracking cookies’);
5. Geef internetters meer controle over hun eigen gegevens.

Ik roep u op persoonlijke vrijheid zeer serieus te nemen, in het belang van de Europese samenlevingen. Omwille van veiligheid, internetvrijheid en sociale verhoudingen.

Vriendelijke groet,
dr. ing. Matthijs Koot

[Koot2012] http://www.nu.nl/binnenland/2841003/anonieme-gegevens-minder-anoniem-dan-gedacht.html
[Anderson2012] http://www.guardian.co.uk/commentisfree/2012/aug/28/code-practice-medical-data-vulnerable
[Hoepman2013] http://blog.xot.nl/2013/04/03/pseudonymous-data-should-not-be-exempted-from-data-protection/
[BoF2013] https://www.bof.nl/europa-protect-my-data/

EOF