Het is een genot om een uur lang te luisteren naar de Amerikaanse journalist en auteur Adam Tanner, schrijver van het boek What Stays in Las Vegas. Hij doet daarin uit de doeken hoe bedrijven persoonsgegevens verzamelen en te gelde maken. Maar toch laat zijn lezing een gevoel van onbehagen achter. Want persoonsgegevens gaan toch wel rond, goedschiks en soms kwaadschiks, dus de oplossing is niet om te proberen dat tegen te houden. Maar wat dan wel?

Tanner, hij sprak afgelopen vrijdag op de Koninklijke Academie van Wetenschappen, begint zijn verhaal met herinneringen aan zijn bezoek in 1988 aan Oost-Duitsland, waar hij was om een reisgids samen te stellen. Uit het later openbaar gemaakt dossier van de Oost-Duitse geheime dienst Stasi bleek dat al zijn handelen haast van minuut tot minuut was vastgelegd. Tijdstip X: hij kijkt op zijn kaart. Tijdstip Y: hij kijkt nog steeds op zijn kaart. Tijdstip Z: hij spreekt een passant aan. Permanent waren tien stasi-agenten nodig om al die informatie vast te leggen.

Het laat zich wel raden bij een lezing over privacy, of beter het schenden van privacy, waar deze anekdote een opmaat voor is: ‘Bedrijven weten op dit ogenblik veel meer van u, met veel meer details en veel rijkere informatie, en ze hoeven daar aanzienlijk minder moeite voor te doen.’



Een veelzeggend voorbeeld is de site scholarship.com. Daar kun je een aanvraag doen voor een studiebeurs, en moet je van alles en nog wat over jezelf invullen, zoals geloof, seksuele geaardheid, gezondheid van je familie, enzovoorts. Vervolgens verkoopt die website de informatie aan datahandelaren. Het resultaat is terug te zie bij een aanbod van American Student Marketing. Die heeft voor grof geld een lijst in de aanbieding met 236.000 namen en emailadressen van homoseksuele, biseksuele en transseksuele studenten.


Tanner is in zijn verhaal vooral de ontdekkingsreiziger die nog eens voor iedereen bekend grondgebied verkent.


Dat bedrijven persoonsgegevens verzamelen, dat Google en Facebook hun verdienmodel grotendeels baseren op de verkoop daarvan, dat loyaliteitsprogramma’s in casino’s (de link naar Las Vegas) zelfs weten wat je favoriete drankje is, een onthulling kan het allemaal nauwelijks worden genoemd, hoe boeiend ook verteld. Tanner is in zijn verhaal vooral de ontdekkingsreiziger die nog eens voor iedereen bekend grondgebied verkende. Hij klaagt vooral aan, laat met onthullende voorbeelden nog eens zien hoe ver die handel in persoonsgegevens gaat.



Toch zet zo’n verhaal aan het denken, vooral door Tanner’s voorbeelden die duidelijk in een andere categorie vallen dan het aanbieden van je lievelingsdrankje in het casino. Zo is er de website Mugshots, die foto’s publiceert die de politie maakt van arrestanten - in de VS zijn die vrijelijk in te zamelen. Wie zijn foto van die site verwijderd wil hebben moet $ 100 betalen! Dat overkwam iemand die ruzie kreeg met een restauranthouder over de rekening, waarop die restauranthouder de politie inschakelde en de klant arresteerde, een foto maakte, maar uiteindelijk weer vrij liet omdat het om een geschil van slechts enkele dollars ging. Vijf jaar later verschijnt de foto van de klant op Mug Shots….


Wie bij My Ex Get Revenge de naaktfoto’s wil laten verwijderen moet $ 500 betalen


Een ander voorbeeld van het gebruik van persoonlijke gegevens om iemand geld af te troggelen is de website My Ex Get Revenge, waar iemand naaktfoto’s van zijn ex kan plaatsen. Om die te laten verwijderen moet het ‘slachtoffer’ $ 500 betalen.

We zijn daarmee terug bij de tijd van de schandpaal, met dit verschil dat niet de rechtdoende instantie bepaalt wie daar te kijk wordt gezet, maar een wraakzuchtige ex of een lijpe websitebeheerder, waarvan Tanner het tot een sport heeft gemaakt om diens naam te achterhalen, en wat hem dankzij dat internet nog lukt ook.


Waar een verdachte nog het recht heeft om te zwijgen, ontneemt internet die fundamentele verworvenheid


Vijf jaar geleden speelde zo’n internetschandpaal ook in Nederland, toen een website met de namen, adressen en foto’s van pedofielen voor korte tijd de lucht in ging, en uit enquêtes bleek dat een derde van de Nederlanders wel voelt voor zo’n pedopaal. Wat die cijfers ook waard moge zijn, het sentiment van de publieke terechtstelling is van alle tijden, en het geldt als een norm van beschaving dat we dat in een strafrechtelijke systeem hebben gekanaliseerd.

Terug naar de persoonsgegevens. De remedie die Tanner aandraagt is: ‘Geef informatie over jezelf niet zo maar weg. ’ Voor hem is de sollicitante die weigerde haar hele doopceel te laten lichten en daarmee een mooie baan misliep bij wijze van spreken de Rosa Parks van de informatiemaatschappij. (Parks was de zwarte vrouw die de moed had op een ‘blanke’ plaats in de bus te gaan zitten.)
 

De global village van het internet is de 21ste eeuwse versie van het dorp waar iedereen alles over iedereen weet


Toch bevredigt het advies van Tanner niet. Aan de ene kant omdat het zo simpel niet werkt, zoals ook in de discussie naar voren kwam. Ook al geef ik mijn persoonsgegevens niet aan instantie of bedrijf x, via informatie die dat bedrijf elders kan inzien of kopen, valt mijn identiteit toch te achterhalen. Of we het willen of niet: de global village van het internet is de 21ste eeuwse versie van het dorp waar iedereen alles over iedereen weet.


Transparantie verwordt al gauw tot een dwaaltocht in het doolhof van juridische bepalingen


Ook het andere pleidooi van Tanner: zorg dat bedrijven transparant zijn over wat ze met je persoonsgegevens doen, helpt niet, en creëert vooral een illusie van controle. Tanner noemt zelf het voorbeeld van de website zinch.com, een soort studie-adviessite. De site heeft een privacystatement dat 6269 woorden omvat, al gauw meer dan tien dichtbedrukte A4-tjes. Transparantie moet inderdaad, maar als tegenwicht tegen de praktijken die Tanner beschrijft verwordt het al gauw tot een dwaaltocht in het doolhof van juridische bepalingen.

 

Wat dan wel?

+ Er is niks mis mee wanneer Spotify of Amazon mij na het aanklikken van een bepaalde artiest of auteur adviseren dat deze of gene wellicht ook voor mij interessant kan zijn. Mits er een opt-out is: nee, Spotify of Amazon, ik wil je adviezen niet. Stel dat verplicht.

+ het grootste bezwaar tegen het dorp is misschien niet zozeer dat iedereen alles over je weet, maar dat die informatie wordt gebruikt om een gedragsnorm op te leggen. We niet aan de norm voldoet wordt uitgestoten. Neem de schandpaal van Mugshots of My Ex, die het overtreden van de norm bewust exploiteren. Het te boek staan als crimineel of het publiek tonen van naaktfoto’s hoort niet, dus jij moet maar betalen om weer aan de norm te kunnen voldoen. Hier wordt informatie gebruikt als middel om macht uit te oefenen ten koste van het betrokken individu, dat tegelijkertijd over die eigen informatie geen controle heeft. Waar een verdachte nog het recht heeft om te zwijgen, ontneemt internet die fundamentele verworvenheid. Dat was ook precies het probleem met de Stasi in de voormalige DDR: de informatie kon worden gebruikt om iemand naar believen van de staat achter slot en grendel te zetten.

Dit institutionele ‘geweld’ tegen het individu op grond van persoonsgegevens, of het nu van de overheid komt, van bedrijven of van publieke media (denk aan d pedowebsite, of de Britse tabloids), vind ik het meest zorgwekkend. Degene die met de website My Ex het plaatsen van foto’s uitlokt waarvan dat nooit de bedoeling is geweest, verdient de hoogst mogelijke boete.
 

Het bezwaar tegen het dorp is niet zozeer dat iedereen alles over je weet, maar dat die informatie wordt gebruikt om een gedragsnorm op te leggen


In een mooi interview van de Volkskrant gaat Evgeny Morozov, vooraanstaand publicist over privacyvraagstukken, uitdrukkelijk in op dat institutionele misbruik. Straks lopen we allemaal rond met gezondheidsapps, en je krijgt korting bij je zorgverzekering wanneer je die data deelt. Morozovs cynische commentaar: dan kan ten minste echt werk worden gemaakt van het denkbeeld dat je gezondheid iets is dat je zelf bepaalt.

Een ander voorbeeld van die institutionele dwang is de onlangs aangenomen wet die toestaat dat alle mogelijke bestanden mogen worden gekoppeld om uitkeringsfraude tegen te gaan. Wil iemand dan wel fraude?  Nee, natuurlijk niet, maar het is wel een symptoom van de controlestaat, waarbij steeds minder duidelijk is wie er moet zorgen voor de tegenmacht, zo essentieel voor wat we democratie noemen.

Nogmaals, met alleen het terughoudend zijn met het weggeven van persoonsgegevens (altijd een goed advies) en meer transparantie, zoals Tanner bepleit,  pakken we bovengenoemde verschijnselen niet aan.


Zorg voor regulering die institutionele macht op basis van persoonsgegevens aan banden legt


Ik pleit voor een andere benadering. Zorg voor regulering die de institutionele macht op basis van persoonsgegevens aan banden legt. Stel dus grenzen waarvoor persoonsgegevens wel of niet mogen worden gebruikt. Hierbij alvast wat suggesties

+ Zorgverzekeraars mogen geen gebruik maken van de gegevens die iemand zelf met zijn apps verzamelt over hartslag, bloeddruk en dergelijke.

+ Platforms die zijn bedoeld om mensen op basis van niet door henzelf beschikbaar gestelde gegevens te schande te zetten worden verboden.

+ Via sociale media, zoekgedrag op internet of koppeling van bestanden verzamelde gegevens mogen op zich nooit een grondslag zijn om iemand sancties op te leggen. Altijd dient sprake te zijn van het daadwerkelijk constateren van het overtreden van de regels.
+ Administratieve besluiten van verstrekkende aard, denk aan de Beoordeling Krediet Registratie, dienen altijd gebaseerd te zijn op verificatie van gegevens bij de betrokkene.

De lijst is niet uitputtend en vast wel te voorzien van commentaar/kritiek. Het gaat hier om een door mij bepleite aanpak. Vergelijk het met wat er gebeurt in het economisch verkeer aan mededinging, of met het in het milieu brengen van gevaarlijke stoffen. Ook dat is in het begin allemaal fout gegaan, waarop regulering uiteindelijk een soort balans heeft gecreëerd tussen de voordelen en de nadelen, die ook voortdurend wordt aangepast.

Met de persoonsgegevens moet het niet anders gaan. Mits er maar voldoende Tanners en anderen zijn die flink op het aambeeld hameren wanneer misbruik van die persoonsgegevens wordt gemaakt.