‘Met hun slimme algoritmes en datagestuurde informatie duwen overheden en bedrijven ons in een bepaalde richting, zonder dat wij dat doorhebben. Ons privacyprobleem is groter dan gedacht, gevangen als we zitten in een web van ‘onzichtbaar prikkeldraad’. Maurits Martijn en Dimitri Tokmetzis, beiden journalist van De Correspondent, onthullen die onzichtbare machinaties in hun bestseller ‘Je hebt wél iets te verbergen’. Een gesprek met de auteurs over de gevolgen én de ontsnappingsroutes voor zowel consumenten als bedrijven.
Het is toch prima als overheden en bedrijven meekijken met het online gedrag van burgers? De AIVD kan beter en sneller naar terroristen zoeken en aanslagen tijdig verijdelen. Inspecties kunnen dan beter controleren, hulpverleners kunnen beter samenwerken, et cetera.
Dit soort opmerkingen horen de journalisten Maurits Martijn en Dimitri Tokmetzis voortdurend van mensen om hen heen, in discussies over privacy. Dan gaat ’t van: ‘Ik heb niets te verbergen, dus ik heb niets te vrezen’, of: ‘Ik heb niets te verbergen want ik ben geen terrorist, crimineel of pedofiel; dus de AIVD, de Belastingdienst, Google en Facebook mogen alles van mij weten’.
Privacy is van levensbelang
Die uitspraken frustreren beide journalisten, maar ze hebben er maar matig antwoord op, schrijven ze in het begin van hun boek. En dat terwijl privacy naar hun overtuiging té belangrijk is om af te doen als iets wat alleen zou gaan om criminelen, terroristen of pedofielen.
Maurits Martijn: ‘Privacy is van levensbelang, het is de smeerolie van een gezonde democratie en een voorwaarde voor een functionerende rechtsstaat. Een cruciale waarde als vrijheid van meningsuiting komt in het geding als je geen privacy hebt, als er voortdurend over je schouder wordt meegekeken.’ Maar ja, bewijs dat maar eens.
Privacy is van levensbelang, het is de smeerolie van een gezonde democratie en een voorwaarde voor een functionerende rechtsstaat
Ondertussen zijn we ongemerkt wél verzeild geraakt in een wereld waarin Facebook weet bij wie je gisteren op bezoek ging, de Belastingdienst ziet hoe je er kwam, Apple bijhield hoe lang je er bleef, Samsung hoorde wat je zei en Google al wist dat je het van plan was.
Cookies en trackers
Martijn en Tokmetzis beschrijven hoe ze met specifieke software aan de slag gaan waarmee je een website kunt scannen en de zogenoemde ‘trackers’ op die site kunt identificeren. Deze trackers zetten bedrijven in om informatie over websitebezoekers te verzamelen. Meestal zijn dit de bekende cookies: data die op jouw computer of laptop worden achtergelaten als je een site bezoekt. Zo kunnen bedrijven je surfgedrag, locatie en informatie over je computer aan elkaar koppelen en een persoonlijk dossier opbouwen. Allemaal bedoeld om de argeloze websitebezoeker zo effectief mogelijk de juiste online advertenties voor te kunnen schotelen.
En dat is big business: in 2015 werd er wereldwijd voor het eerst meer aan web-advertenties besteed dan aan tv-reclames, namelijk 125 miljard euro.
Gerichte webadvertenties zijn big business
Dat bedrijven cookies plaatsen, kan niemand zijn ontgaan. Maar dat het er zoveel zijn, dat verraste Martijn: ‘Surf je voor het laatste nieuws naar nu.nl, dan krijg je ongezien te maken met 44 trackers! Er zijn op dat moment dus 44 partijen die informatie over je verzamelen en die deels ook weer doorverkopen aan andere partijen. We worden dus continu online gestalkt door onbekende partijen die van alles van ons willen weten. Ze begluren en analyseren ons gedrag, maar wij zien hen niet.’
‘Surf je voor het laatste nieuws naar nu.nl, dan krijg je ongezien te maken met 44 trackers. We worden continu online gestalkt.’
Slaafs akkoord met algemene voorwaarden
Maar we moeten toch altijd eerst, na de algemene voorwaarden te hebben gelezen, toestemming geven als we bijvoorbeeld een nieuwe app installeren? Martijn moet lachen: ‘Ja, maar lees jij die privacyvoorwaarden? Vrijwel niemand doet dat. Te lang, te saai, te ingewikkeld.
Amerikaanse onderzoekers berekenden al in 2008 dat het de gemiddelde Amerikaan vijf volle werkweken per jaar zou kosten als hij alle privacyvoorwaarden helemaal zou lezen. Ter illustratie: de volledige algemene voorwaarden van PayPal zijn langer dan de complete Hamlet van Shakespeare!’ We gaan dus met z’n allen slaafs akkoord met algemene voorwaarden en toestemmingsverzoeken voor cookies. Daarmee zetten we onze virtuele deur wagenwijd open voor ijverige datacrunchers.
Wat er gebeurt als je de Bijenkorf-app installeert
Martijn en Tokmetzis beschrijven hoe dat werkt aan de hand van de populaire Bijenkorf-app (‘vrij willekeurig, we hadden net zo goed een ander bekend bedrijf kunnen nemen’), die ze toetsen op de aanwezigheid van trackers.
‘Voordat de installatie van deze app van start gaat, vroeg Googles app-winkel ons eerst of we de app toestemming wilden verlenen voor een aantal zaken. Dat ging best ver: de app vroeg toestemming om gegevens op onze geheugenkaart te schrijven; vroeg toegang tot camera en geheugenkaart; vroeg om onze gps-locatie; vroeg toestemming om onze agenda te kunnen lezen en te wijzigen; en vroeg, last but not least, ook toestemming om mails te sturen aan mensen die in onze agenda staan’, schetst Martijn.
Eenmaal geïnstalleerd, plaatsen tientallen bedrijven cookies, en stromen adverteerders en analysebedrijven toe.
Eenmaal geïnstalleerd, plaatsen tientallen bedrijven cookies, en stromen adverteerders en analysebedrijven toe. ‘Nadat we online een tas hadden gekocht via deze Bijenkorf-app, werd onze smartphone direct besprongen door zeker achttien online advertentiebedrijven die allerlei data naar hun server sturen, over wie wij zijn, waar we zitten, welke app en wat voor hardware we gebruiken, et cetera.
Won Trump dankzij Facebook?
Niet alleen in consumentenmarketing, ook in de politiek is de impact van onzichtbare online sturing steeds merkbaarder. Zo dook, na de verrassende uitslag van de Amerikaanse presidentsverkiezingen in november vorig jaar, in de analyses achteraf het verhaal op dat veel Amerikaanse kiezers zich alleen maar hadden laten leiden door Facebook, onder meer vanwege het gemak waarmee nepberichten over de kandidaten via dit sociale medium gedeeld worden.
Daar komt nog het versterkende effect van Facebook bij, schreef NRC-redacteur Wouter van Noort: ‘Het succes van Trump op sociale media is mogelijk geholpen door zogeheten filter bubbles: het verschijnsel dat mensen op sociale media vaker berichten te zien krijgen waarmee ze het eens zijn dan berichten die hun opvattingen tegenspreken. Er is veel bewijs voor een polariserend effect van die filter bubbles.’
Martijn nuanceert deze invloed van Facebook: ‘Natuurlijk, het is in theorie een reëel risico, steeds meer mensen laten zich online informeren. Maar in de praktijk is dit verhaal wel wat overtrokken: 60% van de Amerikanen zit op Facebook, en daarvan gebruikt 10% het intensief; dan heb je het dus over maximaal 6% van de Amerikanen.’
Gevaren voor bedrijven
Martijn en Tokmetzis schreven hun boek met name vanuit burgers c.q. consumenten. Maar ook bedrijven hebben in toenemende mate te maken met cybercriminelen, meegluurders en de onveiligheid van Big Data. Cyberincidenten worden overigens niet alleen maar veroorzaakt door hackers en cybercriminelen, maar ook door fouten van medewerkers. Denk aan een onbeveiligde usb-stick gebruiken, een laptop ergens laten staan, of een cloudapplicatie gebruiken die niet is goedgekeurd door de eigen IT-afdeling.
Zorg continu voor veilig versleutelde, real-time databack-ups op verschillende plekken, zodat je er zelf altijd weer bij kan.
Daarnaast zijn veel bedrijven zich nog te weinig bewust van de gevaren van ransomware en criptoware. Martijn beaamt dat: ‘Hierbij encripten criminelen data op jouw harde schijf waar zij op zich niets aan hebben, maar die voor jouw bedrijf wel essentieel zijn. Pas nadat je hen geld betaalt, geven ze je via een sleutel weer toegang tot die data. Pure chantage dus.’
Probleem is dat ze data stelen die ogenschijnlijk niet interessant zijn voor de buitenwereld, en die daarom niet sterk beveiligd zijn. Een oplossing hiervoor? ‘Zorg continu voor veilig versleutelde, real-time databack-ups op verschillende plekken, zodat je er zelf altijd weer bij kunt. En open nooit een document dat als attachment is bijgevoegd in een mail van iemand die je niet kent.’
Investeer in cyberweerbaarheid
Cybercrime kan bedrijven veel geld kosten, denk aan diefstal van vertrouwelijke informatie, persoonsgegevens of geld. Maar er kan ook sprake zijn van indirecte schade: die is moeilijker te bepalen en wordt meestal onderschat. Zo is er gespecialiseerde (dure) kennis nodig om ICT-systemen goed op te schonen en desnoods opnieuw in te richten na een cyberaanval.
De Wet Bescherming Persoonsgegevens verplicht bedrijven om het lekken van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens. Dat heeft enorm geholpen.’
Daarnaast is er de niet te onderschatten impact van de imagoschade: het vertrouwen van klanten win je niet zomaar terug nadat hun gegevens op straat zijn komen te liggen. Bedrijven zouden dan ook flink moeten investeren in een betere weerbaarheid tegen cybercriminelen, beaamt Martijn: ’Al zie je grote verschillen per sector. Banken zijn hier al heel lang mee bezig, die worden niet meer zo snel gehackt. Wat enorm heeft geholpen, is de invoering van de Wet Bescherming Persoonsgegevens. Deze wet verplicht bedrijven om het lekken van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens.’ Wanneer een datalek is veroorzaakt door ernstig verwijtbare nalatigheid of een opzettelijke overtreding, dan kan de Autoriteit Persoonsgegevens een boete opleggen: die kan oplopen tot 820.000 euro, of 10% van de omzet. Leidt een datalek uiteindelijk tot een faillissement, dan kan dat gezien worden als onbehoorlijk bestuur en kan de curator de bestuurder zelfs privé aansprakelijk stellen.
Onzichtbaar prikkeldraad
Terug naar het boek van Martijn en Tokmetzis: wat is nou het grootste privacyprobleem? Martijn verwijst naar de Russische technologiedenker Evgeny Morozov: ‘Volgens hem is ons echte privacyprobleem dat overheden en bedrijven data gebruiken om ons in een bepaalde richting te duwen, zonder dat wij dat doorhebben. Hun algoritmes en datagestuurde informatie bepalen onze keuzes, zoals prikkeldraad onze bewegingsvrijheid bepaalt. Dit “onzichtbare prikkeldraad” is het echte, grote probleem.’
Ons echte privacyprobleem is dat overheden en bedrijven data gebruiken om ons in een bepaalde richting te duwen, zonder dat wij dat doorhebben.
Erg optimistisch over de toekomst is Martijn niet: ‘Steeds meer mensen weten hoe ver de invloed reikt van bedrijven als Google en Facebook. De privacyparadox is dat mensen dit wel degelijk een belangrijk onderwerp vinden; dat merken we bijvoorbeeld aan de enorme hoeveelheid reacties op ons boek. Maar tegelijk ruilen we in onze rol van consument onze privacy heel makkelijk in voor gemak en goedkope diensten. Ik zie een soort berusting ontstaan bij mensen: we weten het wel, maar we kunnen er toch niets aan doen. Dat is een somberstemmend beeld.’
Paul Groothengel is freelance journalist.
(Foto: Bas Losekoot)
Bron: Sigma, nr. 2, april 2017
Maurits Martijn is een van de sprekers van het 21e Nationaal Kwaliteitscongres
Kijk hier voor het volledige programma
