Kunnen we nog anoniem zijn op internet? - Geert Somers

Geert Somers  is stichtend vennoot bij time.lex en chairman van de juridische werkgroep van ISPA, de Belgische vereniging van Internet Service Providers. Hij was vrij medewerker aan het Interdisciplinaire Centrum voor Recht en Informatica aan de Katholieke Universiteit Leuven (ICRI) (2004-2014).

Heeft u een Google of Yahoo e-mail account? Dan kreeg u waarschijnlijk ook al berichtjes van deze providers om uw account beter te beveiligen door opgave van een mobiel telefoonnummer. Bij een veiligheidsincident of verloren paswoord kan men u dan inderdaad een code sturen op uw GSM zodat u en enkel u toegang tot uw account krijgt. Niemand van ons wil immers plots alle mails met bijlagen van vele jaren communicatie met vrienden en kennissen verliezen of in handen van een onbekende zien vallen.

Maar heeft u er bij stilgestaan dat Yahoo en Google op die manier plots een veel persoonlijkere link kunnen leggen tussen uw mailadres en u als persoon? Een mobiel telefoonnummer is immers uniek aan uw naam verbonden. Voor de provider was het vroeger moeilijk om te weten aan welke natuurlijke persoon de mailbox was verbonden. Maar door de koppeling met een mobiel telefoonnummer worden al die e-mails en bijlagen met foto's dus plots wel aan u toewijsbaar.

Wilt u dat wel? En zelfs als u dat niet zou willen, kiest u dan voor veiligheid of anonimiteit. Beide zijn niet zonder risico's. Kiest u immers voor anonimiteit, dan verliest u een stuk veiligheid. Kiest u voor veiligheid, dan verliest u uw anonimiteit. Het aantal voorbeelden waarbij online gegevens aan mekaar worden gekoppeld stijgt van dag tot dag. Deze week raakte bijvoorbeeld bekend dat Google weer een stapje verder is gegaan in het aanwenden van persoonsgebonden data. Google doet dit door het koppelen van enorme databanken met persoonsgegevens, waarvan sommige best heel gevoelig kunnen zijn.

Het is begrijpelijk dat internetbedrijven commercieel denken en de gebruikersgegevens in hun bezit zoveel mogelijk wil valoriseren. Zij beseffen immers meer dan alle gebruikers samen wat de economische waarde van deze gegevens is. En meestal liggen we daar niet van wakker. In ruil voor de gebruikservaring die we krijgen zijn we wel bereid in die economische logica mee te stappen. De meesten van ons hebben duidelijk ook vertrouwen in de providers van de internetdiensten.

Maar het voorbeeld dat Google de afgelopen week gaf doet bij sommigen toch wenkbrauwen fronsen. Enerzijds verzamelt de internetreus informatie over ons surfgedrag via het online-advertentiebedrijf Double Click, dat het voor veel geld heeft opgekocht. Vervolgens combineert het moederbedrijf de gegevens over het surfgedrag met gegevens waarover het beschikt via haar andere internet diensten (in het bijzonder YouTube en Gmail). Op die manier creëert het Amerikaanse bedrijf een ware goudmijn aan data die het kan verkopen.

Bedrijven zijn bereid veel tot heel veel geld op tafel te leggen om internauten gericht reclame te kunnen sturen. Google kan bijvoorbeeld mails scannen op bepaalde woorden die vaak voorkomen en interesses van de gebruiker hieruit afleiden. Vervolgens kan het dan via bijvoorbeeld YouTube gericht bepaalde advertenties gaan sturen. En nu kan het dus ook nog een stap verder gaan door de reclameboodschappen ook te baseren op websites die je hebt bezocht.

Hoewel sommige gebruikers het best prettig zullen vinden reclame te ontvangen die beter op hun interesses is afgestemd kan Google niet eigenhandig dit soort praktijken invoeren zonder de voorafgaande toestemming van alle gebruikers. Maar die toestemming krijgen is niet zo eenvoudig. Dus heeft de zoekgigant eerder stiekem geprobeerd de wijzigingen door te voeren.

Het heeft dit gedaan door gebruiker te doen instemmen met een lange reeks wijzigingen aan het privacy beleid, waaronder instemming met een aantal standaard instellingen. Deze laten toe gegevens te gaan combineren en nauwkeurige klantenprofielen op te stellen. Een dergelijke manier van handelen zonder de gebruiker voldoende op voorhand in te lichten is niet volgens de regels van het spel. Deze stellen dat een toestemming niet mag worden ingewonnen via onduidelijke en te lange policies. Bovendien had Google in het verleden beloofd gegevens niet voor andere doelen te gaan gebruiken dan die waarvoor ze waren verstrekt. Gebruikers voelen zich dus terecht misleid.

Wie niet akkoord gaat met de nieuwe praktijken kan weliswaar een opt-out doen in de settings, maar dit vraagt behendigheid en lost het juridische probleem niet op. En wie weet welke plannen er nog allemaal op til staan. Men kan zich ook afvragen in welke mate de internetbedrijven niet al veel langer aan hun strategie werken en dus wisten dat ze de gebruiker aan het misleiden waren.

De commotie rond gegevenskoppeling door Google doet sterk denken aan soortgelijke praktijken van Facebook met Whatsapp gegevens. Whatsapp heeft ook ooit gezegd dat privacy in hun DNA zat ingebakken. Maar het bedrijf werd opgekocht door Facebook dat de waarde van gegevenskoppeling met haar eigen bestanden maar al te goed inzag. De privacy toezichthouder in Hamburg was hier niet mee opgezet en heeft Facebook onlangs op straffe van boete verboden nog langer de gegevens uit beide databanken te koppelen. Het is te verwachten dat toezichthouders algemeen strenger zullen gaan optreden.

Anonimiteit op internet wordt hoe langer hoe brozer. We komen in situaties waarin privéspelers dankzij zeer performante algoritmes meer over ons gaan weten dan we dat zelf doen. Nauwkeurige voorspellingen over onze gedragingen en beïnvloeding van onze keuzes komen steeds dichter bij. Niet voor niets heeft Facebook eerder deze maand de Belgische Big Brother Award in ontvangst mogen nemen.

Tot slot vergroot de kans op misbruik wanneer te veel, soms zeer gevoelige gegevens, bij één (privé)partij gecentraliseerd worden. Facebook en Google hoeven zelf geen slechte bedoelingen met de gegevens te hebben. Er zijn altijd kapers op de kust. Bepaalde overheden en privéspelers zouden maar al te graag de hand op deze informatieschatten leggen.

Wie liever niet wacht tot zich een groot veiligheidsincident voordoet kan maar beter voorzichtig met zijn gegevens omspringen. Niet alle diensten van één provider afnemen bijvoorbeeld. En de privacy settings van al die diensten zo configureren dat doorgifte en langdurige opslag van de gegevens technisch wordt beperkt. En soms gewoon ook wat minder persoonsgegevens online delen.

Ooit komt er misschien wel een dag dat we door een ernstig incident collectief wakker worden. Gebruikers die voorzichtig met hun gegevens zijn omgesprongen zullen dan blij zijn met de gemaakte keuzes. En dienstverleners die op dat moment privacy vriendelijk te werk gaan door de juiste configuratie van hun producten en diensten zullen daar als grote winnaar uitkomen.