[An English version of the following post can be found in the report “Big Data in Western Europe Today” (pages 20, 21 & 22) that has been published on www.xerox.com.]

Data privacy is zeker geen nieuw probleem, maar heeft vandaag, in deze tijd van informatie en big data, een nieuwe impact en dringendheid gekregen. De waarde van persoonlijke gegevens kan nauwelijks worden overschat, nu bedrijven proberen hun concurrentievermogen te verbeteren door een betere kennis van de klant, of nieuwe diensten en businessmodellen creëren die in real time antwoorden op klantengegevens. De uitdaging voor bedrijven die persoonlijke gegevens willen verzamelen en gebruiken is dat mensen in toenemende mate op hun hoede zijn om hun gegevens over te dragen. Ze zijn bezorgd de controle te verliezen over hoe en door wie hun gegevens worden gebruikt, en wat dit betekent voor hun recht op privacy.

‘Biologisch’ of niet?

Ik zou de onmiskenbare toename van de publieke bezorgdheid over data privacy willen vergelijken met wat er gebeurd is de landbouw, waar de bezorgdheid over gezonde en duurzame voeding heeft geleid tot een snelle groei van de biologische landbouw. Net zoals landbouwers moeten kiezen of ze al dan niet biologisch gaan werken, geloof ik dat bedrijven een fundamentele strategische keuze moeten maken over het soort bedrijf dat ze willen zijn wat betreft data privacy.

Bedrijven die kiezen voor ‘biologisch’ en dat vroeg doen, zullen gunstig geplaatst zijn om concurrentievoordeel te halen uit de datagestuurde wereld waar we vandaag in leven. Zij zullen in staat zijn het vertrouwen te winnen van de mensen van wie ze de gegevens willen gebruiken omdat ze zullen bijdragen tot en profiteren van het equivalent van het ‘biologische‘ label: het concept PbD (privacy by design). De bedoeling hiervan is de privacy te beschermen door deze van meet af aan te integreren in de ontwerpnormen van de technologieën, interne praktijken en materiële infrastructuren.

Naast het scheppen van vertrouwen maakt deze aanpak grote kans een aanzienlijk positief effect te hebben op de verbetering van de gegevenskwaliteit, omdat een van de meest gebruikelijke beschermende acties wanneer mensen onvoldoende vertrouwen hebben in digitale diensten erin bestaat om onnauwkeurige informatie te geven. Vertrouwen daarentegen vergroot de bereidheid om nauwkeurige én meer informatie te verstrekken.

De privacyprincipes vastleggen

Een voorbeeld van een initiatief dat het PbD-concept ter harte neemt is MOBiNET. Dit (transport- en) mobiliteitinternet is een project dat mee gesubsidieerd wordt door de Europese Commissie. Het doel ervan is om reizigers één enkel webkanaal aan te bieden waarlangs ze toegang hebben tot informatie, reizen kunnen plannen en tickets kopen voor elk vervoermiddel in heel Europa, in plaats van naar een aparte website te moeten gaan of een aparte app te moeten downloaden voor elke dienst in elk land.

Een dergelijk platform moet natuurlijk strikte regels in acht nemen wat de vertrouwelijkheid van de gegevens betreft, aangezien het afhangt van het verzamelen van gegevens van transportgebruikers en het delen van deze gegevens tussen systemen die behoren tot talrijke diensten en content providers. In het besef dat het platform een functionele en operationele architectuur moest hebben die de privacy afdoende zou beschermen, had het onderzoekslaboratorium van XRCE zich de uitdaging gesteld zo’n architectuur te ontwikkelen toen het in 2012 toetrad tot het MOBiNET-project.

We besloten dit framework te baseren op de geest en de principes van de nieuwe Algemene Verordening Gegevensbescherming (AVG) die binnenkort in Europese wetgeving zal worden omgezet. Deze regulering is voorwerp van een heftig debat tussen de VS en Europa, vanwege zijn potentiële invloed op de internationale handel en diplomatieke belangen. Ondanks de onvoorspelbare uitkomst waren we van mening dat, wat ook de uiteindelijke vorm en reikwijdte van de AVG zou zijn, de logica ervan overeenstemde met wat wij wilden bereiken: de privacy in de digitale wereld in dezelfde mate beschermen als in de reële wereld.

De AVG erkent dat zo’n bescherming vereist dat de betrokkenen (de personen van wie de persoonsgegevens worden verwerkt) meer controle hebben over het gebruik van hun gegevens dan het geval is met de huidige EU-richtlijn over bescherming van persoonsgegevens. De verordening stelt de voor de verwerking verantwoordelijken alsook de verwerkers die de persoonsgegevens namens hen verwerken in veel grotere mate aansprakelijk voor het verzamelen, gebruiken en opslaan van persoonlijke gegevens. Ze is ook specifieker over de vereisten dat de betrokkenen toestemming moeten geven om hun gegevens te gebruiken en geeft hen meer macht om een gegeven toestemming in te trekken en om de verwijdering van gegevens te eisen (het recht om persoonsgegevens te laten wissen en het “recht om te worden vergeten”).

Uiteindelijk hebben wij dus al deze principes opgenomen in het privacyframework dat wij voor  MOBiNET gecreëerd hebben en dit duidelijk gemaakt aan de platformgebruikers in de controle die we hen gaven. Wij wilden duidelijk laten weten: “jullie zijn eigenaars van jullie gegevens en wij zullen dat respecteren“. Dat is volgens ons de juiste manier om een dienst op te zetten die de mensen vertrouwen inboezemt en die ze dus zullen gebruiken.

De technische uitdaging aangaan

Een van de zeven fundamentele principes van PbD is het garanderen van de impliciete bescherming van de privacy van een particulier. Die bescherming wordt gegarandeerd ook al stelt de persoon in kwestie geen enkele daad, gewoon omdat ze impliciet geïntegreerd is in de informaticasystemen. In de Engelstalige literatuur spreekt men van privacy by default.

Dit gezegd zijnde, biedt het privacy-by-default framework dat wij hebben uitgewerkt tools en functionaliteiten die relatief eenvoudig te gebruiken is voor de voor de verwerking verantwoordelijken en de verwerkers. Ze kunnen er de juiste aard mee uitdrukken van de gegevens die ze moeten verzamelen en het precieze doel waarvoor de gegevens gebruikt zullen worden, en dit op betekenisvolle wijze koppelen aan de objectcode van de serviceapplicatie.

Na de voltooiing van dit analysewerk wordt een ‘privacy manager’ – dit is een geïntegreerd privacybeheersysteem – gegenereerd binnen de operationele architectuur, dat borg staat voor een zeer hoog veiligheidsniveau van de verzamelde gegevens ongeacht hun aard. Gevoelige informatie kan worden beschermd door technieken te gebruiken zoals anonimisering, versleuteling en distributie, en deze informatie kan alleen worden benut en gebruikt als de betrokkene hiervoor toestemming heeft gegeven.

In deze hypothese hebben we een taal ontwikkeld voor zulke toestemming die voor een online-servicegebruiker praktisch is om te begrijpen en ermee te werken, hoewel dit nog grondig moet worden uitgetest en zeker nog kan worden verbeterd.

Het basisidee is dat gebruikers kunnen specificeren, op een zeer kleinschalig niveau, waarvoor ze toestemming geven. Ze kunnen bijvoorbeeld zeggen: “Ik aanvaard dat mijn locatie zichtbaar kan worden gemaakt voor [naam of type service, organisatie of actor] voor [X] doeleinde, maar alleen voor [Y] tijdsduur, en niet voor enig ander doel.

Onze architecturale benadering en de beschikbare tools hebben ons ook in staat gesteld de betrokkenen de vrijheid te bieden hun toestemming op elk ogenblik te wijzigen. We hebben die niet geringe uitdaging tot een goed einde gebracht door een dynamisch en uiterst economisch beheer te ontwikkelen dat kan opereren op het niveau van de serviceapplicatie op het platform. Concreet is onze ‘privacy manager’ in staat om de objectcode van de serviceapplicatie automatisch in te vullen teneinde rekening te houden met de aanvragen tot wijziging van toestemming.

De meest complexe fase bestaat erin de controleprocedures op het niveau van de informaticaverwerking op een eenvoudige en goedkope manier toe te passen, zodanig  dat de systemen en organisaties in kwestie rekening houden met de keuzes van de betrokken. We verfijnen momenteel deze aanpak, die overigens geen enkele herschrijving vereist van de ingezette serviceapplicatie en die volledig past binnen het kader van het PbD-concept.

Beginstadium: uitdaging en opportuniteit

Het bereiken van echte data privacy in onze wereld van veralgemeende connectiviteit staat nog in de kinderschoenen. Xerox is zeker niet de enige onderneming die zich actief inzet om dit te realiseren. Ook anderen zijn ermee bezig, vanuit diverse oogpunten: technologie, veiligheid, software engineering, maatschappelijk of commercieel. Wij geloven echter dat de architecturale benadering van Xerox voor de bescherming van de privacy bijzonder is doordat ze de noden van bedrijven, technologie en maatschappij met elkaar verzoent en het controleniveau biedt dat gebruikers willen tegen redelijke uitvoeringskosten.

In dit beginstadium is het voor bedrijven die ernstig werk willen maken van data privacy geen eenvoudige zaak, want de meesten zullen waarschijnlijk geen experts in data privacy architectuur in huis hebben. De realiteit is dat wie een concurrentievoordeel wil creëren door middel van data privacy, waarschijnlijk zal moeten samenwerken met een service provider die actief werkt aan een soepel privacybeheer. Gelet op de mogelijkheid om de wetgeving voor te zijn en een vroeg voordeel te realiseren door de betrokkenen te geven wat ze willen, verwachten we dat de vraag naar data privacydiensten de komende jaren sterk zal toenemen.