Veel mensen vinden het prima dat de overheid, en bijvoorbeeld de AIVD, online met hen meekijken. Ze hebben immers niets te verbergen. Maar volgens jullie dus wel?
Veel burgers redeneren inderdaad: ik heb niets te verbergen, dus ik heb niets te vrezen. Ik ben immers geen terrorist, crimineel of pedofiel; de AIVD, de Belastingdienst, Google en Facebook mogen alles van mij weten. Maar dan vergeten ze hoe essentieel het belang van privacy voor hen is. Privacy kan je zien als de smeerolie van een gezonde democratie en een voorwaarde voor een functionerende rechtsstaat. Een cruciale waarde als vrijheid van meningsuiting komt in het geding als je geen privacy hebt, als er voortdurend over je schouder wordt meegekeken. We hebben overigens wel gemerkt dat dat nog best lastig is te bewijzen.
Jullie beschrijven bijvoorbeeld hoe bedrijven cookies plaatsen zodra je een website hebt bezocht. Dat ze dat doen, is toch allang bekend?
Natuurlijk, maar niet dat het er zoveel zijn en dat ze er zoveel mee doen. Surf je voor het laatste nieuws naar nu.nl, dan krijg je ongezien te maken met 44 trackers! De partijen die daarachter zitten verkopen die informatie deels weer vrolijk door aan andere partijen. Een van hun doelen is om argeloze websitebezoekers zo effectief mogelijk de juiste online advertenties voor te kunnen schotelen. En dat is big business: in 2015 werd er wereldwijd voor het eerst meer aan webadvertenties besteed dan aan tv-reclames, namelijk 125 miljard euro. We worden dus continu online gestalkt door onbekende partijen die van alles van ons willen weten. Ze begluren en analyseren ons gedrag, maar wij zien hen niet.
Maar we geven toch altijd zelf, na de algemene voorwaarden te hebben gelezen, toestemming als we bijvoorbeeld een nieuwe app installeren?
Ja, maar lees jij die privacyvoorwaarden? Vrijwel niemand doet dat. Te lang, te saai, te ingewikkeld. Amerikaanse onderzoekers berekenden al in 2008 dat het de gemiddelde Amerikaan vijf volle werkweken per jaar zou kosten als hij alle privacyvoorwaarden helemaal zou lezen. Ter illustratie: de volledige algemene voorwaarden van PayPal zijn langer dan de complete Hamlet van Shakespeare!
Jullie beschrijven de gevolgen hiervan met het voorbeeld van een app van de Bijenkorf.
Die keus was vrij willekeurig hoor, we hadden net zo goed een ander bekend bedrijf kunnen nemen. We wilden deze app toetsen op de aanwezigheid van cookies. Voordat de installatie van zo’n app van start ging, vroeg Googles appwinkel ons eerst of we de app toestemming wilden verlenen voor een aantal zaken. Dat ging best ver: de app vroeg toestemming om gegevens op onze geheugenkaart te schrijven; vroeg toegang tot camera en geheugenkaart; vroeg om onze gps-locatie; vroeg toestemming om onze agenda te kunnen lezen en te wijzigen; en vroeg, last but not least, ook toestemming om mails te sturen aan mensen die in onze agenda staan. Die vragen stonden dus in de voorwaarden, die vrijwel niemand leest. Nadat we online een tas hadden gekocht via deze Bijenkorf-app, werd onze smartfoon direct besprongen door zeker achttien onlineadvertentiebedrijven die allerlei data naar hun server sturen, over wie wij zijn, waar we zitten, welke app en wat voor hardware we gebruiken, et cetera.
Soms gaat het er veel onvriendelijk aan toe: zo krijgen bedrijven steeds meer last van cybercriminelen. Wat zijn de grootste gevaren?
Die zijn legio. Neem cripto- of ransomware. Hierbij encripten criminelen data op jouw harde schijf waar zij op zich niets aan hebben, maar die voor jouw bedrijf wel essentieel zijn. Pas nadat je hen geld betaalt, geven ze je via een sleutel weer toegang tot die data. Pure chantage dus. Probleem is dat ze data stelen die ogenschijnlijk niet interessant zijn voor de buitenwereld, en die daarom niet sterk beveiligd zijn. Een oplossing hiervoor? Zorg continu voor veilig versleutelde, realtime data-backups op verschillende plekken, zodat je er zelf altijd weer bij kan. En leer je medewerkers dat ze nooit een document openen dat als attachment is bijgevoegd in een mail van iemand die ze niet kennen.
Wat vind je nou het grootste privacy-probleem?
Volgens de Russische technologiedenker Evgeny Morozov is ons echte privacy-probleem dat overheden en bedrijven data gebruiken om ons in een bepaalde richting te duwen, zonder dat wij dat doorhebben. Hun algoritmes en datagestuurde informatie bepalen onze keuzes in ondermeer winkels of in het stemhokje, zoals prikkeldraad onze bewegingsvrijheid bepaalt. Dit ‘onzichtbare prikkeldraad’ is het echte, grote probleem.
Wat kan je als consument zelf doen om je privacy te verbeteren?
Je kunt mails versleutelen voor je ze verstuurt. Je kunt overstappen van WhatsApp naar Signal, dat is veel veiliger. Je kunt een ad blocker en een wachtwoordmanager installeren en je gegevens opvragen bij de Belastingdienst. En een klassieker: maak in een openbare ruimte nooit gebruik van een publiek wifi-netwerk, dat is zeer onveilig.
De teneur in jullie boek is niet erg optimistisch...
Dat klopt. Steeds meer mensen weten hoe ver de invloed reikt van bedrijven als Google en Facebook. De privacyparadox is dat mensen dit wel degelijk een belangrijk onderwerp vinden; dat merken we bijvoorbeeld aan de enorme hoeveelheid reacties op ons boek. Maar tegelijk ruilen we in onze rol van consument onze privacy heel makkelijk in voor gemak en goedkope diensten. Ik zie een soort berusting ontstaan bij mensen: we weten het wel, maar we kunnen er toch niets aan doen. Dat vind ik een somber stemmend beeld. Maar het goede nieuws is dat het onderwerp wel steeds meer leeft. Wij worden naar aanleiding van dit boek overal voor lezingen gevraagd: bij topambtenaren, bedrijven, tot aan scholengemeenschappen aan toe. Verbetering begint bij een betere bewustwording.