Met big data, analytics en het internet of things lijkt het alsof we er in kennis en inzicht op vooruitgaan. Nieuwe databronnen en -stromen kunnen er ook voor zorgen dat we overzicht en regie verliezen.
Bestaat er nu wel of geen Elektronisch Patiënten Dossier? In Nederland lijkt de slag waarbij de patiënt de laatste zeggenschap heeft over zijn eigen medische dossier, geheel te zijn overgeslagen. Er is een Landelijk Schakelpunt (LSP) ingesteld en wanneer medische professionals medische patiëntgegevens willen uitwisselen, moeten ze daarvoor om toestemming vragen. Maar of die gegevens ergens centraal zijn opgeslagen of dat ze gewoon bij de zorgverlener in een datacenter staan, weet eigenlijk niemand. En of iedereen zich aan de zelfbedachte afspraken rondom het LSP houdt is ook de vraag. Hoe beheren derden jouw gegevens, wat is er afgesproken over opslag en databeveiliging en hoe voorkom je een mogelijke function creep?
De connected car als voorbeeld
Met de opkomst van big data en het internet of things worden deze vraagstukken steeds wezenlijker. Laten we als voorbeeld de connected car nemen. Wanneer je straks een nieuwe auto koopt, kan je wellicht alleen aanspraak maken op 
volledige garantie wanneer je de data die je auto genereert ter beschikking stelt aan derden – het automerk of de dealer. Die data werden normaal gesproken al uitgelezen tijdens onderhoudsbeurten, maar nu gaat dat 24/7 en real time. Die voorwaarde lijkt een nieuwe beperking van je privacy, maar op dat moment sta je er niet bij stil dat je gangen al gevolgd worden door camera’s boven snelweg en in de stad; en dat bij trajectcontroles naast je snelheid ook je identiteit, positie en tijd worden vastgelegd. Zonder dat je het weet, sta je tijdens je rit overigens al locatiegegevens af via je smartphone – rechtstreeks en via apps die daarvoor je toestemming hebben gekregen.
Je nieuwe auto gaat in de toekomst ook data uitwisselen met andere auto’s en met de openbare infrastructuur, uiteraard om je te ondersteunen bij het rijden. Een deel van de sensoren in de openbare infrastructuur is in handen van de overheid, een ander deel in handen van bedrijven. Met ingang van 2014 komt daar het Europese systeem voor eCall bij, dat in iedere nieuwe auto moet zijn ingebouwd. Dat systeem communiceert alleen in noodgevallen met een nooddienst, maar dat is lastig te controleren. Met de geheel zelfsturende auto vallen verkeersovertredingen geleidelijk weg (we worden immers gereden), maar verkeersongevallen zullen vooral een kwestie van data-analyse worden: welk systeem liet het afweten? Hoe groot is de kans dat de discussie dan zal gaan over datastromen die je niet kunt beoordelen en waar je geen regie over hebt? En – recent aangestipt door Evgeny Morozov (auteur van The Net Delusion): als een zelfsturende auto een stel fietsers moet ontwijken, is hij dan slim genoeg om te voorkomen dat hij jou als inzittende niet de dood injaagt omdat hij kiest voor een bocht richting een ravijn? De auto is dan beslisser in een ethisch dilemma.
Datastromen
Wanneer meer voorwerpen via het internet gaan communiceren, ontstaan er twee datastromen: één richting verschillende datacollecties waarmee bedrijven en overheden analyses kunnen uitvoeren om hun acties te optimaliseren, en een tweede stroom richting andere apparaten (al dan niet met software als tussenstation) om ze informatie te geven of aan te sturen. Met meer data verdeeld over meerdere partijen zal het steeds lastiger worden te achterhalen op basis van welke gegevens bepaalde beslissingen worden genomen. Data worden op een hoop gegooid, patronen worden gedestilleerd door mensen of door software. Waarom word je geweigerd voor een creditcard aanvraag of een nieuwe ziektekostenverzekering?
Data-power
Burgers en consumenten zijn het overzicht al lang kwijt: van veel data is niet bekend wat er wordt geregistreerd, waar ze worden opgeslagen en hoe ze worden gebruikt in analyses. Ook doel en methode van analyses zijn vaak onbekend. Bedrijven en overheden hebben elk hun eigen doel in het streven naar meer data-power, maar het overkoepelende doel is voor beide partijen hetzelfde: meer macht. Bij bedrijven zou je nog kunnen spreken over een vrije keuze en een ruilverhouding: in ruil voor het gebruik van diensten van Google mag de zoekmachine informatie destilleren uit je data. Bij de overheid is dat anders: deze kan toegang tot data wettelijk vastleggen en is er geen alternatief.
Achterstand
Burgers staan in relatie tot de overheid op flinke achterstand als het gaat om de macht over data. Dat is niet erg, zo lang die achterstand of onbalans in kaart is gebracht en er systemen (waaronder wetten en regels) zijn bedacht waardoor die achterstand omschreven en geneutraliseerd kan worden. De onbalans wordt echter versterkt door twee tegengestelde krachten: de huidige regering perkt privacy verder in en de rol van data wordt steeds belangrijker. Op basis van het aftapgedrag van de Nederlandse overheid en de opstelling rondom het NSA-afluisterschandaal blijven er weinig redenen over om onze overheid te vertrouwen.
Een bedrijf of instelling is vele malen beter in staat om informatie over jou als individu te verzamelen dan andersom. Laat staan dat je er achter komt welke informatie over jou bekend is bij een bedrijf of instelling. Kate Crawford (verbonden aan Microsoft en MIT) pleit daarom voor een ‘big data due process’, waarbij iemand die met een beslissing wordt geconfronteerd – uiteenlopend van een uitsluiting voor een aangevraagde ziektekostenverzekering, een afwijzing voor een baan of een arrestatie – het recht heeft om te weten hoe big data analytics zijn toegepast. Op dit moment bestaat zo’n ‘data room’ voor burgers niet. De overheid kan nog een puntje zuigen aan het privacy dashboard van Facebook.
Business opportunities
VINT besteedt in ‘Things – internet of business opportunities’ terecht aandacht aan de kansen die het internet of things voor het bedrijfsleven kan opleveren. Natuurlijk kleven er ook enkele risico’s aan het internet of things, aldus VINT: zo zouden connected things gehacked kunnen worden en in smart cities zou de controle van overheden op burgers te strikt kunnen worden. Bij het benoemen van de risico’s stelt VINT dan ook bijna terloops: ‘Safety first comes always afterwards’. Wat mij betreft is dat de belangrijkste boodschap van het VINT-rapport.
In deel twee van dit blog ga ik nader in op het privacyvraagstuk rondom big data.
Deze post is tot stand gekomen in samenwerking met de Zero Distance community en T-Systems