Mediawijsheid #1: Wat is Privacy

de privacy zelfst.naamw. (v.)

Uitspraak: [ˈprɑjvəsi]

persoonlijke vrijheid en het recht om geen last te hebben van andere mensen

(woorden.org)

pri·va·cy (de; v(m))

1

de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn

(vandale.nl) 

Het is bijna onmogelijk om een serieus gesprek over het internet en de digitale samenleving te hebben zonder het woord privacy in de mond te nemen. Het is dan ook al meerdere keren in de cursus Mediawijsheid 2013-2014 langs gekomen, en er worden zelfs hele colleges aan privacy op het internet besteed. Mijn vraag is echter wat privacy nou precies in houdt. In deze blog zal ik duiken in het vaak gebruikte, maar vrijwel nooit gedefinieerde woord privacy.

Wat is privacy?
De meest algemene definitie is privacy als het recht om vrij te zijn van "interference or intrusion" (1). Privacy is het recht om met rust gelaten te worden (2). Dit hangt samen met het idee dat een persoon recht heeft op een ruimte om zich heen, om zich daarin vrij te kunnen bewegen en zich kan gedragen naar wens, zonder geobserveerd te worden. Wat allemaal tot deze persoonlijke ruimte wordt geteld verschilt over verschillende visies. Het moge duidelijk zijn dat privacy altijd iets te maken heeft met het recht voor een individu, een persoon, om niet gestoord te worden op een bepaalde manier. Er kunnen verschillende sferen van privacy uiteengezet worden. In de onderstaande afbeelding heb ik de verschillende soorten van privacy in vieren gedeeld.

Afbeelding 1. Verschillende soorten van privacy

Het is te veel voor deze blog om diep op al deze vier soorten van privacy in te gaan. Ik zal in de afbeelding hieronder deze vier soorten kort toelichten.

Afbeelding 2. Soorten privacy met toelichting

Privacy en het internet - informationele privacy
Tot voor kort had informationele privacy vooral betrekking op de bescherming van gegevens van medische patiënten, stemgedrag, en financiële gegevens. Informationele privacy houdt het recht in om zelf de persoonsgegevens in handen te hebben; een persoon kan dus zelf bepalen wie toegang krijgt tot de persoonsgegevens en in welke mate. Waar vroeger deze gegevens werden bewaard in papieren dossiers, worden nu alle gegevens digitaal opgeslagen. Voor het digitale tijdperk was het overzichtelijk en (relatief) makkelijk bij te houden wie toegang heeft tot je persoonsgegevens. Deze controle ontglipt het individu steeds meer. Informationele privacy heeft ook betrekking op foto's of video's van een persoon maken. Dit wordt gezien als het vastleggen van persoonsgegevens.

Om het verschil tussen de pre-digitale situatie duidelijk te maken zal ik een voorbeeld gebruiken. Stel, Henk maakt een foto. In de pre-digitale situatie, geeft Henk de foto aan Truus. Truus kan hier een kopie van maken, en die aan Jimmy en Polly geven. Polly geeft haar foto aan Ine. Ine hoeft helemaal geen foto van Henk, en gooit hem weg. Deze keten van personen die allemaal een foto van Henk in bezit hebben, is relatief makkelijk te achterhalen. Je hoeft alleen maar aan iedere schakel te vragen aan wie deze persoon de foto heeft doorgegeven.

In de digitale situatie maakt Henk een foto, en stuurt deze naar Truus. Truus vindt de foto zo mooi, dat ze hem op Facebook zet. De foto van Henk bevindt zich nou op een server, waar miljoenen gebruikers deze foto kan opvragen. Deze gebruikers kunnen de foto op hun harde schijf opslaan, en deze vervolgens weer op een andere server uploaden. Tot op zekere hoogte kan achterhaald worden wie deze foto hebben opgevraagd door middel van IP-tracing. Maar Henk zit met zijn handen in het haar, en heeft geen controle meer over wat er met zijn foto gebeurt.

Afbeelding 3. De verspreiding van de foto van Henk, in de pre-digitale situatie en de digitale situatie

Nederlandse wetgeving
In Nederland bestaat er niet één wet met betrekking tot privacy, maar verschillende die allemaal andere aspecten van privacy regelen (3). Een van de belangrijkste wetten met betrekking tot informationele privacy is de Wet Bescherming Persoonsgegevens (WBP) uit 2000. Persoonsgegevens worden hierin gedefinieerd als alle gegevens waarmee een persoon geïdentificeerd kan worden. Naast naam en adres horen ook digitale "adressen" tot de persoonsgegevens. Hiertoe behoren bijvoorbeeld email-adres en IP-adres. Ook de eerder genoemde beeldmaterialen als foto's en video's zijn persoonsgegevens, aangezien iemand hierop herkend kan worden. De WBP bepaalt regelgeving met betrekking tot "verwerking van persoonsgegevens". Tot deze verwerking behoren onder andere "het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens" (4).

Kort samengevat zijn er vier elementen belangrijk bij het verwerken van persoonsgegevens:

• Voorafgaande toestemming: de betreffende persoon moet toestemming hebben gegeven voor verwerking
• Informatieplicht: organisaties moeten betreffende personen laten weten wat ze met hun gegevens zullen doen
• Correctierecht: personen die in een bestand zijn opgenomen hebben recht hun gegevens in te zien, en indien onjuist of niet ter zake dienend deze te corrigeren
• Beveiligingsplicht: bedrijven die persoonsgegevens bewaren horen maatregels te nemen om deze data te beschermen

Problematiek
Hoewel veel bedrijven inderdaad hun best doen om persoonlijke gegevens van hun gebruikers te beschermen en om hun gebruikers toestemming te vragen, wordt er alsnog vaak onzorgvuldig met gegevens omgesprongen. Daarbij komt het feit dat er op grote schaal een markt is in persoonsgegevens voor marketing-doeleinden, waar de gebruiker vaak geen weet van heeft. Privacy-verklaringen op websites zijn ondoorzichtig en staan barstensvol met legale termen die voor een leek niet te ontcijferen zijn. De straf op het misbruiken van persoonsinformatie is een boete, die in Nederland opgelegd kan worden door het College Bescherming Persoonsgegevens.

Er wordt door instanties geprobeerd een orde te scheppen in de chaos die het internet heet, is er lang niet genoeg bescherming van persoonsgegevens. Iedereen die een beetje inzicht heeft in het internet, kan aan de hand van een berichtje of bezoekje aan een site, via IP-adres, erachter komen waar deze persoon woont. Via het Telefoonboek kan dan vaak ook nog wel voor- en achternaam ontdekt worden, en dan via een Google cache van voordat deze persoon's Facebook beschermd was, ook nog wel de naam van zijn hond en favoriete supermarkt.

Afbeelding 4. Heartbleed bug logo

Op het moment is de Heartbleed bug actief, waardoor hackers moeiteloos in de gegevens van miljoenen (misschien onderhand wel miljarden) mensen kunnen kijken zonder een spoor achter te laten (5). Deze bug maakt gebruik van een achterdeur in een systeem dat ongeveer 66% van de webservers op het internet gebruiken. Ook hier proberen bedrijven door middel van patches hun gebruikers veilig te stellen, maar het is onduidelijk hoeveel persoonsgegevens niet al gelekt zijn voordat het probleem werd gedetecteerd.

Conclusie
De aard van het internet maakt het bijna onmogelijk om persoonsgegevens afdoende te beschermen. Zelfs personen die hun Facebook profiel beschermen en zo min mogelijk over zichzelf op het internet te zetten, laten sporen achter zoals IP die door kwaadwillenden gebruikt kunnen worden. Aangezien het niet gebruiken van internet niet meer denkbaar is, zal om informationele privacy te waarborgen er een manier gevonden moeten worden om gebruikers onzichtbaarder te maken. Misschien dan maar allemaal browsen in een privévenster, een optie van browsers die het frequentst wordt gebruikt voor het bekijken van porno. Er zijn in ieder geval fundamentele veranderingen nodig om de privacy van de gebruiker op het internet te blijven waarborgen.

Geraadpleegde artikelen:
1. Santa Clara University. What is privacy? Bekeken op 13-04-2014. http://www.scu.edu/ethics/practicing/focusareas/technology/internet/privacy/what-is-privacy.html 
2.  Nederlands Tijdschrift voor Geneeskunde. Regelgeving aangaande informationele en ruimtelijke privacy. Bekeken op 29-04-2014. http://www.ntvg.nl/publicatie/regelgeving-aangaande-informationele-en-ruimtelijke-privacy/volledig
3. Ius Mentis. Persoonsgegevens op internet. Bekeken op 29-04-2014. http://www.iusmentis.com/maatschappij/privacy/persoonsgegevens/
4. Citaat uit Ius Mentis, paragraaf Verwerking van persoonsgegevens. Persoonsgegevens op internet. Bekeken op 29-04-2014. http://www.iusmentis.com/maatschappij/privacy/persoonsgegevens/
5. Heartbleed. Bekeken op 29-04-2014. http://heartbleed.com/

Afbeeldingen:
1. Celine Frohn, 2014
2. Celine Frohn, 2014
3. Celine Frohn, 2014
4. Codenomicon, 2014. Bron: http://heartbleed.com/