Museum voor Beeld en Geluid. Foto door Hay Kranen / CC-BY

Om de burger te behoeden voor de grote controle en geldzucht van ‘big tech,’ worden steeds vaker ‘datakluizen’ aangeboden. Maar zijn de digitale gegevens die we tikkend en klikkend vanuit die kluis delen wel beter af? Of is er hier sprake van een schijnveiligheid?

Brede bezorgdheid over privacy

Over de wijze waarop grote techbedrijven (Google, Facebook, TikTok) omgaan met onze digitale gegevens heerst nogal wat ontevredenheid. Hoe gebruikt big tech die, wordt onze privacy wel voldoende gerespecteerd en wie plukt eigenlijk de vruchten van al die gebruikersgegevens?

Recentelijk is gebleken dat TikTok-medewerkers in China toegang hebben tot persoonsgegevens en het internetgebruik van 3 miljoen Nederlanders zonder dat die enig zicht hebben op, of controle over wat TikTok, en in het verlengde daarvan de Chinese staat met die gegevens doet.

Datakluizen

In reactie daarop zijn persoonlijke ‘datakluizen’ in opkomst. Deze virtuele kluizen bevinden zich meestal in een ‘cloud’ van bijvoorbeeld Microsoft of Amazon, waarmee de gebruiker zijn of haar persoonsgegevens zelf kan beheren. Ook een samenwerkingsverband van mediabedrijven (NPO, RTL Nederland, Talpa, DPG Media en Mediahuis) wil een datakluis bouwen en zo zijn klanten ‘volledige controle geven over de toegang tot zijn of haar informatie.’

Het concept van datakluizen is dat iemands persoonlijke informatie niet langer wordt bewaard en geanalyseerd door techreuzen, maar dat gebruikers zelf beslissen wie toegang krijgt tot hun gegevens, voor welke doelen hun gegevens mogen worden geanalyseerd en welke analyseresultaten worden doorgegeven aan bedrijven – beslissingen die nu dus worden genomen door grote techbedrijven. Dat klinkt inderdaad veelbelovend.

Praktijk

Vandaag de dag moet een gebruiker moet bij de website van bijvoorbeeld de Volkskrant of Facebook inloggen met een wachtwoord (of inloggen via Google, Apple of Facebook). Straks kan hij of zij inloggen met zijn of haar datakluis. Dan geeft hij of zij eenmalig aan of het bedrijf een connectie mag maken met de datakluis, en moet Facebook of de Volkskrant aangeven welke gegevens nodig zijn om een bepaalde dienst te verlenen.

Uitgangspunt is dat de gegevens in de kluis blijven, dat de analyses door Facebook of de Volkskrant in de kluis plaatsvinden en dat de gebruiker de toegang, analyses en deling ervan beheert. Zo zouden “datakluizen gebruikers en mediabedrijven kunnen helpen op termijn onder het juk van ‘big tech’ uit te komen,” aldus een zeer enthousiaste Martijn van Dam (tot 1 november bestuurder bij NPO).

Commerciële drijfveer

Een niet minder belangrijke drijfveer van het media-samenwerkingsverband is dat ze een groter aandeel van de advertentie-inkomsten, die nu naar bigtechbedrijven vloeien, wil terugsluizen naar Nederlandse mediabedrijven. Zo’n commerciële drijfveer is legitiem, maar die wordt, zo blijkt uit onderzoek, door commerciële datakluisaanbieders soms verhuld onder de vlag van meer gebruikerscontrole. Dat roept op zijn zachtst gezegd vragen op. Ik vrees dat wij nu al kunnen aanvoelen welke kant de soliditeit van de databescherming opgaat wanneer er sprake is van een duidelijk commercieel belang.

In wezen wordt het verdienmodel van techreuzen opnieuw uitgebracht onder de noemer van ‘privacy op maat.’ Veel commerciële kluisaanbieders, zoals het samenwerkingsverband, willen bedrijven stimuleren om apps aan te bieden in de datakluis van gebruikers, vergelijkbaar met apps op de smartphone. Zo kunnen bedrijven via die apps “toegang (…)” krijgen “tot een rijkere dataset in de datakluis” en kunnen bedrijven “nog beter gepersonaliseerde diensten aanbieden.”

Voorbeeld toepassing

Concreet kan een gebruiker dan met een app van RTL of Facebook een analyse laten maken van de gegevens over haar of zijn kijkgedrag, fitnesstracker en activiteiten op sociale media. Deze data geven doorgaans gedetailleerde informatie over iemands privéleven en gezondheid. Het profiel dat hieruit voortkomt, kan de gebruiker vervolgens delen met RTL of Facebook, bijvoorbeeld om tips te krijgen over passende tv-programma’s of aankomende evenementen in de omgeving (zoals de Britse BBC-Box nu al aan klanten voorstelt). Deze gang van zaken wordt gepresenteerd als een interessante extra bijkomstigheid voor de klant, maar niets is minder waar.

Teugels in eigen handen

Hoewel iedereen met een kluis zelf besluit om bedrijven achter de apps toegang te geven tot zijn of haar gegevens, zit er spanning tussen de combinatie van meer controle aan gebruikers beloven, en tegelijkertijd bedrijven beloven dat zij toegang krijgen tot ‘rijkere’ gegevensbestanden. De gemiddelde gebruiker mist vaak de nodige expertise, kennis en tijd om zich te verdiepen in ingewikkelde juridische teksten en technologische toepassingen. De beloofde ‘regie’ op de eigen gegevens is dan al snel een wassen neus. Zeg nou zelf, leest iemand de gebruikersvoorwaarden van een nieuwe applicatie volledig?

Belang van bewustwording

Willen commerciële datakluizen gegevensbeschermingsproblemen echt aanpakken, dan moeten zij gebruikers goed informeren over mogelijke gevolgen van het delen van gegevens: omdat data-analyses al snel een gedetailleerd beeld van iemands privéleven en zodra de gebruiker data deelt met een bedrijf, is hij of zij de controle alsnog kwijt. Waarbij de risico’s nogal verschillen, of die andere partij de huisarts is of een bedrijf als TikTok of Facebook.

Uit onderzoek blijkt dat het verdienmodel van commerciële datakluizen veelal gebaseerd is op inkomsten die (deels) leunen op de toegang van bedrijven tot de gebruikersgegevens in de datakluis. Commerciële kluisaanbieders hebben dus vaak belang bij het stimuleren van grootschalige analyses door bedrijven, die nieuwe inzichten bieden en daarmee: waarde. Hun verdienmodel verschilt dus niet veel met dat van ‘big tech,’ zoals wij hierboven al vaststelden.

Kortom

Commerciële datakluizen presenteren zich vaak als alternatief voor big tech. Maar zoals dat nu vorm krijgt, waarbij het commerciële belang altijd voorop staat, is het de vraag of gebruikers erbij gebaat zijn. De kans is groot dat het gevaar voor hun privacy slechts wordt verplaatst van bigtechbedrijven naar commerciële datakluizen, waarbij datamonetisatie en gegevenslekken net zo hard doorgaan als voor het beheer van een eigen datakluis al het geval was.