Privacy in een virtuele omgeving - Hans Graux

Hans Graux is een ICT-advocaat en vennoot bij het Brusselse advocatenkantoor time.lex, dat gespecialiseerd is in telecommunicatie, IT/IP, media en e-business.

Na een eerste en minder geslaagde campagne in de jaren ’90 is virtual reality (VR) eindelijk weer hip. Deze keer zou het wel eens beter kunnen lukken. De technologie heeft immers gigantische sprongen voorwaarts gemaakt: gebruikers krijgen scherpe beelden te zien, wat resulteert in een betere gebruikerservaring met een kleinere kans op de schele hoofdpijn die twintig jaar geleden nog je deel was als ‘early adopter’. Daarenboven is het actieveld uitgebreid: naast de spelletjeswereld zien nu ook filmstudio’s, autobouwers, vastgoedbedrijven, modehuizen, de reissector en anderen het potentieel.

Ook augmented reality – het projecteren van digitaal gegenereerde beelden op een voor de rest waarheidsgetrouwe weergave van je omgeving – heeft kennelijk eindelijk zijn succesnummer gevonden met het spelletje Pokémon GO: iedere occasionele wandelaar heeft al kunnen vaststellen dat hij opeens het gezelschap heeft gekregen van ontelbare jagers op virtueel speelgoed dat enkel op het schermpje van hun smartphone zichtbaar is. De doorbraak lijkt dus een feit.

Toch loeren er naast de commerciële risico’s – zijn er wel genoeg praktische toepassingen en/of games om de kopers te overtuigen? – ook juridische uitdagingen om de hoek.

Een eerste evident probleempje zit in de noodzaak om de gebruiker diets te maken dat hij weliswaar virtueel door een andere wereld waart, maar dat hij zich in werkelijkheid toch ook vooral op een echte fysieke plaats bevindt, waarin tafels, vazen en tv-schermen staan, of in zelfs straten, rivieren en auto’s.

De nodige disclaimers en praktische waarschuwingen zijn dus nodig om de gebruiker op zijn verantwoordelijkheid te wijzen.

Maar in een wereld waarin Youtube al bijna tien jaar montages bevat van gebruikers die hun tv-scherm met een Wii-mote ruïneren is dat wellicht geen nieuw of onoverkomelijk probleem.

Een grotere uitdaging is de naleving van regels op het gebied van privacy en informatiebeveiliging. De gebruikte apparatuur – of het nu gaat om uw smartphone of om een gespecialiseerde virtual reality-headset - voegt namelijk noodzakelijkerwijs een nieuw kanaal toe waarlangs de gebruiker in de gaten wordt gehouden. Bijkomende sensoren moeten opmeten waar de gebruiker zich bevindt, waarnaar hij kijkt, hoe hij zich gedraagt en – afhankelijk van de toepassing - zelfs wat hij zegt of hoort.

Wat er daarna gebeurt hangt heel erg van de context af. Als die gegevens zuiver lokaal worden gebruikt – bijvoorbeeld een computer in de huiskamer berekent wat de gebruiker moet zien en past de beelden in de headset aan – dan is er niet echt een privacyprobleem. Maar in online toepassingen zoals multiplayer games waarin spelers het tegen elkaar opnemen moet minstens een deel van de gegevens via het Internet worden verstuurd; anders kunnen andere gebruikers immers niet zien wat je doet of zegt. Daarbij worden onvermijdelijk persoonsgegevens naar derden gestuurd, en dan begint het schoentje te wringen…

Zowel onder de huidige Belgische Privacywet als onder de toekomstige Europese Privacyverordening moet er immers aan een hele reeks voorwaarden worden voldaan.

De gebruikers moeten voldoende informatie krijgen over welke gegevens zullen worden ingezameld en met wie deze gegevens worden gedeeld.

Indien gegevens naar bestemmingen buiten Europa worden verzonden – wat niet onwaarschijnlijk is, vermits ook in dit wereldje de grote leveranciers vooralsnog uitsluitend niet-Europees zijn – moeten er bovendien bijkomende waarborgen worden getroffen om de juridische bescherming van de data te verzekeren.

Daarbij moet men beseffen dat sommige gegevens behoorlijk gevoelig kunnen zijn en onderworpen zijn aan bijzondere beschermingsregels.

Het hoeft geen betoog dat de fysieke locatie van een gebruiker best goed afgeschermd wordt, vooral bij games waarbij een deel van de gebruikers mogelijk minderjarig is.

En het is wellicht ook geen goed idee dat een headset-leverancier systematisch inzage krijgt in alle VR-toepassingen die de gebruiker uitprobeert: vermits vanzelfsprekend ook de porno-industrie snel op de VR-kar is gesprongen, zullen minstens een deel van de gebruikers toch het meest intieme deel van hun privacy willen afschermen.

Het naleven van de Belgische en Europese privacywetgeving in een augmented reality omgeving is allesbehalve eenvoudig. Dat ligt niet aan de slechte wil van fabrikanten of aan slechte wetgeving, maar minstens ten dele aan het open karakter van de apparatuur: het is momenteel voor niemand duidelijk waarvoor de technologie gebruikt zal worden.

Blijven het vooral hebbedingetjes voor gamers? Zullen we binnenkort het WK voetbal ter plaatse bekijken met een VR-bril? Worden de klassieke telefoongesprekken vervangen door virtuele meetingzalen? Gaan we voor de beoordeling van bouwplannen van een huis voortaan even ter plaatse kijken, waarbij het nieuwe gebouw keurig wordt weergegeven op het scherm van onze tablet, geprojecteerd over de realiteit op straat? In een dergelijke open omgeving is het erg moeilijk om vooraf exact vast te pinnen wat er mag en niet mag, ook in privacy policies.

De sleutelwoorden voor zowel producenten als gebruikers zijn bijgevolg flexibiliteit en oplettendheid.

Flexibiliteit in de zin dat de juridische voorwaarden wellicht regelmatig bijgesteld moeten worden, in volle transparantie naar de eindgebruikers, zodat nieuwe toepassingen mogelijk blijven.

Maar ook oplettendheid: producenten mogen niet blindelings gegevens inzamelen vanuit een je-weet-nooit-waarvoor-het-kan-dienen-reflex.

De Europese Privacyverordening promoot daarom voortaan expliciet twee nieuwe principes: privacy by design en privacy by default. Het eerste impliceert dat privacybescherming mee ingebouwd moet worden bij de ontwikkeling van nieuwe produkten en diensten, en dat het dus niet pas achteraf mag worden toegevoegd. Het tweede principe geeft aan dat privacybeschermende opties voortaan standaard geactiveerd moeten zijn, zodat de gebruiker actief ervoor moet kiezen om minder privacyvriendelijke instellingen te gebruiken. Als praktisch voorbeeld: bij een applicatie waarbij privégegevens gedeeld kunnen worden met andere gebruikers moet deze optie standaard uitgeschakeld staan, vermits dit de meer privacyvriendelijke keuze is.¬ Ook virtual reality-omgevingen en augmented reality applicaties zullen dus zodanig gebouwd moeten worden dat privacybescherming ingebouwd en standaard geactiveerd is. Alleen op die manier kunnen gebruikers er vertrouwen in hebben dat hun privacy geen virtueel begrip wordt.