PSD2: dag bank, hallo app

PSD2Zoek op Google naar ‘PSD2’ en je krijgt op de eerste pagina géén links naar kritische berichtgeving over de nieuwe ‘Payment Services Directive’. Dat is ook niet zo vreemd. Want Google zou zo maar eens een van de spelers kunnen zijn die straks baat heeft bij de nieuwe internationale regels voor financiële transacties. Big tech zit in de haarvaten van ons leven en banken verliezen in hoog tempo hun relevantie – ja, ook als ‘trusted partner’ voor onze financiën. PSD2 wordt een groot probleem voor banken én een enorme valkuil voor consumenten.

Waar een paar jaar geleden fintech nog werd gezien als ‘disruptief gevaar’ voor de traditionele grootbanken, proberen diezelfde banken nu de fintechs te omarmen. Dit vanuit de overtuiging dat de consument geld en data nog steeds bij voorkeur toevertrouwt aan de bank. En dat fintechs afhankelijk zijn van banken omdat die voorlopig – dankzij dat vertrouwen – als enige beschikken over grote volumes aan klanten en data.

Maar dat beeld is aan het kantelen. Onderzoek van adviesbureau Bain & Company onder 152.000 consumenten, waarvan 2.500 in Nederland, laat zien dat consumenten de bank steeds minder beschouwen als een vanzelfsprekende partner voor hun geldzaken. En dat voor steeds meer mensen ook big tech een logische financiële dienstverlener zou kunnen zijn. Zelfs ING-ceo Ralph Hamers onderkent inmiddels dat de echte rivalen van de bank uit de hoek van big tech komen: bedrijven zoals Google, Amazon, PayPal en Alibaba.

Techbedrijf als bank

De uitspraak van ING-ceo Hamers staat in een artikel in het FD, waarin wordt gesteld dat meer dan de helft van de consumenten wereldwijd zijn geld eerder aan een techbedrijf zou toevertrouwen dan aan een bank. In Nederland geeft twee derde van de consumenten in de leeftijd tussen 18 en 34 jaar aan bereid te zijn om te bankieren bij een gevestigd techbedrijf. In de VS is dat al 80%. Meer dan 95% van de Chinezen gebruikt niet-bancaire aanbieders voor het doen van betalingen aan platforms van derden, zoals WeChat, aldus het FD.

PSD2Het is de vraag hoe lang traditionele banken nog bestaansrecht kunnen ontlenen aan hun positie als ‘trusted partner’ van consumenten. Als dat vertrouwen echt zo belangrijk zou zijn, zou de bankencrisis van 2008 op z’n minst tot een exodus van klanten moeten hebben geleid. ING speelde ooit met het idee om persoonlijke financiële data te verkopen aan derden. Of een bank nu fikse salarisverhogingen voor de top aankondigt of megaboetes krijgt opgelegd wegens rammelende governance: de klant haalt zijn schouders op. Dat geldt ook voor de bestuurscrisis bij ABN AMRO en voor de Libor-affaire bij de Rabobank.

Met PSD2 van geld naar data

PSD2 kan gezien worden als het fundament onder een ‘paradigma shift’ voor de financiële sector: de nieuwe regels gaan meer over data dan over geld. PSD2 is om verschillende redenen ook een zwak fundament: goud en cash geld worden op dit moment beter beschermd dan data. Die onbalans is maar mondjesmaat tot de consument doorgedrongen. Wat je met geld kunt kopen, is interessanter dan de discussie hoe je je geld veilig moet opbergen zodat je het niet kwijtraakt. In het geval van data speelt een vergelijkbaar probleem: privacy wordt beschouwd als saai, maar de apps die op data draaien verrijken ons dagelijks leven. Het gevolg is dat PSD2 ongelijke tred houdt met het gedrag van consumenten, bedrijven en overheden als het gaat om ‘data als persoonlijk bezit’.

Net als bij banken hebben consumenten ook bij techbedrijven een beperkt beeld van hun rechten en plichten, maar zien dan niet als probleem. Het verschil met banken is dat techbedrijven veel dieper in de haarvaten van het leven van consumenten zijn doorgedrongen. Consumenten omarmen nieuwe technologie en handige apps vaak in korte tijd. Daarbij heeft vertrouwen plaatsgemaakt voor functionaliteit (relevantie en gemak) en beschikbaarheid (storingsvrij bruikbaar): hét recept voor een succesvolle app. Als consumenten al nadenken over data en privacy, is hun gedrag vaak niet in lijn met het gedrag dat ze vertonen.

Vertrouwen wordt ingewisseld voor gemak

Wat de consequenties zijn van het gebruik van online diensten (platforms, apps, software) is slecht zichtbaar en wordt zelden gevoeld. Het is voor consumenten nauwelijks na te gaan welke data je eigenlijk deelt, met welke partijen je die deelt, wat hun belangen zijn en wat deze partijen met die data kunnen doen. Bij het nemen van beslissingen over het delen van data gaan consumenten primair uit van het ‘hier en nu’. Ze houden zelden rekening met een toekomst waarin omstandigheden veranderen. Het nemen van beslissingen over datadelen (zoals ‘ja, ik accepteer de voorwaarden’) wordt bovendien versneld door direct merkbare voordelen die in het vooruitzicht worden gesteld – bijvoorbeeld toegang tot (vernieuwde) software.

Ook datalekken (die in volume jaarlijks toenemen) leiden nauwelijks tot andere keuzes van consumenten. In 2016 werd Uber gehackt en kwamen wereldwijd de gegevens van 57 miljoen gebruikers in handen van de hackers. Het ging om namen, e-mailadressen en telefoonnummers. In Nederland werden zo’n 174.000 klanten en chauffeurs getroffen. Uber, dat binnenkort naar de beurs wil, kreeg in verschillende landen boetes opgelegd. In Nederland was het zelfs het allereerste bedrijf dat door de AP beboet werd voor het te laat melden van een datalek. Toch meldt Uber kwartaal op kwartaal een stijgend volume aan ritten en bezorgdiensten.

Datalekken hebben nauwelijks impact

Het een versterkt het ander. Dat klanten minder zwaar tillen aan privacy en databescherming heeft ook gevolgen voor de wijze waarop bedrijven en hun beleggers met deze uitdagingen omgaan. Een longitudinale studie naar de aandelenkoers van bedrijven die te maken hebben gehad met omvangrijke (en openbaar gemaakte) datalekken laat zien dat de beurswaarde hoogstens op de langere termijn licht negatief beïnvloedt. Let wel, het gaat hierbij om aan de NYSE-genoteerde bedrijven die consumenten zien als geschikte partners voor hun dagelijkse leven en al hun data, zoals: Apple, Adobe, Dun & Bradstreet, eBay, Experian, JP Morgan Chase, LinkedIn, Monster, T-Mobile, Sony, Staples, Target, Vodafone en Yahoo.

Data makes the world go round

Data is het nieuwe goud en PSD2 is voor de financiële sector het kader om dat goud te gaan delven:  “Het doel van PSD2 is meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betalingsverkeer. PSD2 maakt nieuwe diensten mogelijk,” aldus de voorlichting van toezichthouder DNB.

Op papier lijken de regels voor PSD2 helder: de klant geeft zelf toestemming voor het beschikbaar stellen van de eigen financiële data, steeds opnieuw voor iedere partij. Die partijen moeten beschikken over een vergunning van de DNB of een andere toezichthouder uit de Europese Unie. Consumenten moeten duidelijk kunnen zien en beheren welke partijen toegang heeft tot welke gegevens. Het geven van toestemming moet vrij zijn, dus een weigering mag geen nadeel opleveren. En de manier waarop die toestemming gegeven wordt, moet duidelijk zichtbaar zijn en neerkomen op een duidelijke actieve handeling. En tot slot: consumenten moeten de toestemming weer makkelijk kunnen intrekken.

Ontwerpfout in PSD2

Deze set van regels wekt de indruk dat de consument over zijn of haar eigen data gaat. Maar onderzoek van Platform voor onderzoeksjournalistiek Investico voor De Groene Amsterdammer en Follow the Money toont aan dat ook als klanten daarvoor géén toestemming geven, rekeninginformatie toch in handen kan komen van bedrijven die handelen in financiële data. Met andere woorden, PSD2 is lek.

De bedrijven die straks met PSD2 gaan werken, erkennen die tekortkoming in PSD2. Denk aan een instelling die aan zijn eigen bank toestemming geeft om de eigen data te delen, met als doel om het gebruik van een online financieel huishoudboekje mogelijk te maken. De data in dat huishoudboekje – transacties van de instelling – bevatten ook gegevens van relaties of klanten van die instelling. Ook al hebben die afzonderlijke klanten geen toestemming gegeven om hun data te delen, hun transacties met de instelling zijn dan bekend bij de leverancier van het huishoudboekje. Kortom, consumenten hebben bij hun ja of nee geen invloed op wat derden doen met gegevenssets waarin hun data voorkomen. Het is de vraag of de ontwerpers van PSD2 rekening hebben gehouden met partijen die data uit verschillende sets gaan combineren. Want daarmee kan alsnog een zo goed als volledig beeld van individuele consumenten worden opgebouwd.

Zorgen om PSD2

PSD2Verschillende partijen maken zich ernstig zorgen om de invoering van PSD2. Marleen Stikker van Waag Society in een tweet: “(…) Een transactie heeft altijd twee kanten. De ‘Consent-clausule’ is een wassen neus als de andere kant besluit data te delen. Zo een no-brainer dat het onbegrijpelijk is dat dit juridisch geaccordeerd is en door banken uitgevoerd.”

De juristen van adviesbureau ICTRecht vragen zich vooral af waarom het toezicht op PSD2 niet bij De Nederlandse Bank belegd is, maar bij de Autoriteit Persoonsgegevens (AP) en hoe de AP effectief gaat handhaven. Hoewel overwegend neutraal over PSD2, spreekt ook de Consumentenbond zijn zorgen uit over wat er gebeurt als bedrijven zaken doen met dienstverleners uit landen die niet onder de PSD2-regelgeving vallen. Daarnaast lijkt de ontwerpfout in PSD2 ook te conflicteren met de Algemene Verordening Gegevensbescherming. Of het allemaal veel uitmaakt, is de vraag. In een eerder artikel over privacy en persoonlijke data vroeg ik me af: “Hoe overtuig je de klant dat zijn/haar data bij jouw bedrijf in goede handen zijn?” Welnu, daar hoef je als bedrijf eigenlijk nauwelijks moeite voor te doen of je druk over te maken. Wacht maar af: met een goede app is iedereen te verleiden.

Digitale overheid: ambities bijgesteld, doelen niet gehaald, achterstallig onderhoud

digitale overheidWat heeft Rutte II bereikt als het gaat om de digitale overheid? Rutte III zit nog maar net in het zadel, maar begint met een achterstand. Vlak voor het aantreden van het nieuwe kabinet heeft minister Plasterk netjes opgeschreven hoe de digitale overheid er voor staat. De conclusie: nog steeds heeft de overheid zijn zaakjes niet goed voor elkaar als het gaat om digitalisering. Ambities voor de toekomst worden herhaaldelijk naar beneden bijgesteld, doelen niet worden gehaald, en het achterstallig onderhoud wordt steeds zichtbaarder.

In zijn verslaglegging beseft Plasterk dat de digitalisering zich in versneld tempo heeft doorgezet, maar hij spreekt geen oordeel uit over de geleverde prestaties en gaat voorbij aan eerdere doelstellingen, waarbij 2017 het jaar van de waarheid zou zijn waarin verschillende overheidsbrede programma’s er voor hadden moeten zorgen dat de (digitale) dienstverlening aan burgers en ondernemers is gerealiseerd.

Overheid heeft Antwoord

Hoe zat het ook al weer? Aan het begin van deze eeuw startte de overheid met de grote decentralisatieoperatie. Het idee daarachter is niet slecht: in het kader van het geleidelijk afbouwen van de verzorgingsstaat (ten onder gegaan aan het eigen succes: onbetaalbaar geworden door de vergrijzing) zou de overheidsdienstverlening zo dicht mogelijk bij de burger moeten worden gerealiseerd. Dat sluit namelijk het beste aan op zelfredzaamheid. De gemeente moest het primaire aanspreekpunt voor de burger zijn als die in contact wil komen met de overheid.

digitale overheidOm die verbeterde bereikbaarheid van gemeenten te realiseren werd in 2007 onder andere het programma Antwoord opgetuigd. Het idee was dat in 2015 alle gemeenten hun klantcontactorganisatie op orde zouden moeten hebben: balie, telefonie en web moeten dan op uniforme wijze georganiseerd en geïntegreerd zijn en op consistente wijze informatie bieden aan de burger. Dat leidde overal in het land tot het opzetten van gemeentelijke callcenters. Amsterdam was een van de koplopers: in 2006 werd daar gestart met het CCA (Contactcenter Amsterdam). Ook hier was het doel om het klantcontact van de gemeente te centraliseren. Het landelijke programma Antwoord zou lopen tot 2015, maar werd voortijdig afgebroken omdat duidelijk werd dat de meeste gemeenten er niet in slaagden de vooraf ontworpen blauwdruk en het tijdschema te volgen.

Ingehaald door de werkelijkheid

Tien jaar na de opstart van CCA sprak ik met Jos Maessen, directeur dienstverlening. Die was op dat moment nog volop bezig om de voorkant los te maken van de achterkant: de serviceorganisatie uit de eigenlijke productieomgeving halen, zodat uitvoerende diensten zich kunnen focussen op hun kernactiviteit. Noem het een shared service center, dat de klantcontacten verzorgd voor alle stadsdelen en voor alle gemeentelijke diensten. Maar focussen op de kernactiviteit is lastig als je wordt ingehaald door de werkelijkheid. In Amsterdam werden de stadsdelen vervangen door bestuurscommissies, telefonische bereikbaarheid kwam op het tweede plan door de nadruk op zelfservice, uitvoerende diensten werden aanbesteed en resultaatverantwoordelijke eenheden moesten aan de slag met digitalisering. Hoezo focus op kernactiviteiten?

2017 is peildatum

Zoals gezegd is 2017 een belangrijke datum voor de digitale overheid: in de agenda ‘digitale overheid’ uit 2015 – een programma met (niet voor de eerste maal) bijgestelde ambities – is als doel gesteld dat bedrijven en burgers uiterlijk in 2017 de zaken die ze met de overheid doen, digitaal kunnen afhandelen:

  1. De vraag van burgers, bedrijven en andere organisaties staat centraal.
  2. Burgers, bedrijven en andere organisaties moeten hun zaken snel, zeker en veilig kunnen regelen.
  3. De overheid opereert als één overheid en valt burgers, bedrijven en andere organisaties niet lastig met de verschillen tussen hun organisaties.
  4. De overheid stelt geen overbodige vragen en hergebruikt daarom beschikbare informatie.
  5. De overheid is transparant en aanspreekbaar.
  6. De overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de behoeften van burgers, bedrijven en andere organisaties.

Om bovenstaande doelstellingen te behalen moeten de verschillende overheidsorganisaties in de periode tot aan 2017 in ieder geval de meest gebruikte diensten en producten digitaal gaan aanbieden. Om daar te komen is er een implementatieagenda ontwikkeld die zich richt op drie hoofdterreinen, waaronder het aanbieden van digitale dienstverlening, het optuigen van een generieke digitale infrastructuur om de digitale dienstverlening mogelijk te maken en het ‘aansluiten van overheidsorganisaties op de bouwstenen van de generieke digitale infrastructuur’.

Famous last words

Tegenover deze ambities staat nu de laatste verantwoording van Plasterk. Hij stelt in zijn Kamerbrief:

“De gemiddelde digitale volwassenheid van de hele overheid is 75% in 2017. Dit is een stijging van 4 procentpunt ten opzichte van 2016 en een stijging van 17 procentpunt ten opzichte van de eerste meting in 2014 toen alleen medeoverheden in het onderzoek waren betrokken. De gemiddelde digitale beschikbaarheid van de gehele overheid is 90% in 2017 tegenover 88% in 2016. De gemiddelde digitale beschikbaarheid van de medeoverheden is 83% in 2017, vergeleken met 80% in 2016. (…)”

Volgens Plasterk zijn de vorderingen dusdanig dat Nederland zich in de hoogste regionen bevindt (namelijk de vierde plaats) van de Europese Digital Economy en Society Index (DESI), een benchmark voor e-government diensten. De Kamerbrief somt verder een hele lijst met nog te ondernemen acties op, uiteenlopend van pilots tot markttoetsen en van het verbeteren van samenwerking tot het benoemen van taskforces. Het zijn allemaal plannen zonder toetsbare doelstellingen. Een van de meest concrete acties is het aanwijzen van openbare bibliotheken om burgers aan te leren zelfstandig digitale zaken te doen en hiertoe faciliteiten te bieden.

digitale overheid

Kamerbrief minister Plasterk 23 oktober (download)
De meest-digitale spelers hebben de grootste problemen

Slaagt de overheid er in de digitalisering bij te houden of begint de grootschalige legacy in technologie en mensen parten te spelen? Plasterk stelt in zijn Kamerbrief trots dat met name “grote uitvoeringsorganisaties zoals de Belastingdienst, UWV, SVB, RVO en DUO 99% digitale beschikbaarheid scoren met hoog volume producten, zoals de belastingaangifte voor particulieren.” Maar juist bij de uitvoeringsinstellingen zijn de grootste problemen zichtbaar.

Bij de Belastingdienst ging kostbare ICT- en proceskennis verloren door een slecht doordacht sociaal plan en rammelt de ICT dusdanig dat de continuïteit van het primaire proces in gevaar komt. Bij UWV raken gegevens zoek, lopen systemen vast en bij SVB zijn ICT-aanbestedingen mislukt. De ICT staat op omvallen, privacy en security lopen achter en er worden grote delen van het beschikbare budget verstookt aan miskleunen.

Overheid gokt met GDPR

En terwijl komend jaar de overheid nieuwe wetten op het gebied van privacy en informatiebeveiliging moet gaan handhaven, heeft de overheid zijn eigen privacybeleid niet op orde, zo blijkt uit een onderzoek van de Open State Foundation, een organisatie die transparantie in de politiek nastreeft.

Overheidswebsites nemen onverantwoorde risico’s met de vertrouwelijkheid. Slechts 44 procent van de overheidssites is goed beveiligd. Bij 6 procent is weliswaar een beveiliging ingesteld, maar die bevat lekken. Van de gemeentesites heeft 59 procent een beveiligde verbinding. Tot zo ver de digitale overheid.

Van wie zijn mijn data? (2)

If it’s free, you’re the product. Dat geldt online voor het gebruik van social media platforms ­­zoals Facebook en Instagram, maar ook voor meer serieuze toepassingen zoals Google Gmail en WhatsApp. Consumenten zijn bereid om gratis diensten af te nemen in ruil voor data. Hoewel vrijwel niemand zicht op de precieze inhoud van die ruilverhouding heeft, neemt het aantal bedrijven toe dat consumenten aanmoedigt hun data te vermarkten. Over DIME, een Nederlands initiatief – en de nieuwe Europese privacy-verordening die in 2018 van kracht wordt.

dataDe net iets meer dan een miljard gebruikers van Facebook leveren het bedrijf van Zuckerberg een kwartaalomzet op van 5,4 miljard dollar en een operationeel resultaat van 2 miljard dollar (netto 1,5 miljard dollar, gegevens over het eerste kwartaal 2016). Die opbrengsten komen voor 97 procent uit de advertentiemarkt. Dat consumenten nog steeds weinig problemen hebben met het vermarkten van hun data zou je kunnen afleiden uit de groei van het aantal Facebookgebruikers: dat name afgelopen jaar toe met 154 miljoen gebruikers. Ook de advertentie-inkomsten van Facebook stegen procentueel gezien met double digits. Dat is ook het geval bij het moederbedrijf van Google, Alphabet, met een kwartaalwinst van 21,5 miljard dollar (een groei van 21 procent) en een nettowinst van 4,9 miljard dollar over 2015. De advertentie-inkomsten van Google stegen met 16 procent.
Facebook en Google zijn maar twee voorbeelden. Het social media landschap bestaat uit honderden toepassingen met een paar grote spelers en vaak is data hier het kapitaal.

Geld verdienen met data

Dime – Data is me – wil daar verandering in aanbrengen. “Verkoop je persoonlijke informatie, zorg ervoor dat deze up to date is en controleer waar je gegevens worden gebruikt (‘eerlijke data’) – aldus Dime. Dime is een initiatief van drie voormalige drie deeltijdstudenten aan de Media, Informatie en Communicatie-opleiding van de Hogeschool van Amsterdam. De bedenkers – Martijn van Moock, Aarnout Mettes en Mariska van Bohemen – werden tijdens de Prissma Pitch van 2013 beloond met een Award voor hun idee. Dat leverde een eerste bescheiden startkapitaal op, dat voor het drietal de aanzet was om het idee om te zetten in een start-up. Een jaar later zorgde een crowdfundingcampagne, bedoeld om het platform te kunnen ontwikkelen, voor 34 duizend euro aan extra kapitaal. “We konden daarbij niet meteen iets teruggeven – er werd bijvoorbeeld geen tastbaar product ontwikkeld. Het ging dus vooral om giften, afkomstig van ruim 130 mensen,” aldus Van Moock.

Consumenten

Dime is nu een aantal maanden live. Er zijn nu zo’n 600 consumenten aangemeld. Je staat bij Dime geen gegevens af, maar er wordt via een API een koppeling gemaakt tussen het Dime platform en Facebook, Instagram en Linkedin. De content die op deze platforms wordt gedeeld, komt bij Dime terecht.

Dime richt zich op twee groepen: mensen die gevoelig zijn voor het argument dat ze geld kunnen verdienen met hun data; en mensen die op zoek zijn naar een betere bestemming met betere controle over hun gedeelde data. “We willen ons in de werving van consumenten vooral richten op studenten, onder meer via de introductieperioden van universiteiten en hogescholen. Jongeren zijn nogal lui, het kost veel moeite om ze te mobiliseren, daarom hebben we nu een laagdrempelige aanmelding. Wat we vertellen is dat mensen de controle over hun persoonlijke gegevens kunnen terugwinnen: je beslist zelf welke gegevens bedrijven mogen gebruiken en je kunt er geld mee verdienen. Consumenten kunnen in hun profiel aangeven voor welk doel de data gebruikt mogen worden: voor marketing- of onderzoeksdoeleinden of om – op termijn – bepaalde bedrijven juist uit te sluiten. Dat soort features willen we testen. Het is niet ondenkbaar dat Dime ook gaat werken met het belonen van consumenten die handmatig bepaalde gegevens afstaan. Verder hangt het succes van Dime ook af van de bedrijven die voor ons kiezen.”

Bedrijven

Aan de andere kant kunnen bedrijven zich aanmelden en data kopen: denk aan mediabureaus en het MKB. “Bedrijven kunnen bij ons shoppen – bijvoorbeeld data kopen die betrekking hebben op inwoners van een bepaalde regio met een bepaald profiel. Denk aan iemand die op Facebook praat over Ajax en incheckt bij de Arena. Bedrijven krijgen deze data en zullen zich moeten houden aan de gebruiksdoelen en de gebruiksperiode – die is contractueel vastgelegd.”
De waarde die Dime wil toevoegen is dat bedrijven – adverteerders, mediabureaus – er bewust voor kunnen kiezen om te werken met data waarbij de consument heeft gekozen voor dat gebruik en waarbij er niet een set algemene voorwaarden van tientallen pagina’s hoeft te worden ontcijferd. “We willen een alternatief bieden: het gebruik van consumentendata kan ook op een goede manier. Dat zou organisaties als politieke partijen of NGO’s kunnen aanspreken.”

Controle

Desalniettemin kunnen partijen als Facebook nog steeds hun eigen gang gaan met de data die je deelt. De ‘Facebook-gebruiker’ krijgt bij Dime dus niet de controle terug, maar krijgt een klein stukje controle over een bepaald soort gebruik van specifieke data. De vraag is wat die controle voor de consument werkelijk inhoudt. Niet alleen het daadwerkelijk gebruik, maar ook de juiste hoogte van de afdracht is moeilijk te controleren. Dime heeft nog geen model ontwikkeld voor onafhankelijke audits.

Van Moock erkent dan ook dat Dime in aanbouw is. Past het precies bij wat consumenten willen of wordt juist slim ingespeeld op de privacy paradox? De doelgroep is slim gekozen: jongeren hebben een eventueel gebrek aan privacy nog niet ervaren en weten ook nog niet hoe gegevens een rol spelen in hun mogelijkheden (of beperkingen). Ze hebben nog geen ervaring opgedaan met de relatie tussen bestedingen, schulden, inkomen, bewijs daarvan en hypotheek.

Dime is niet de enige partij die een rol wil spelen in de wereldwijde datamarkt. In Nederland is naast Schluss ook Leaflead actief, dat consumenten zelf een profiel laat invullen en 20 procent van de opbrengsten – altijd een moeilijk te controleren begrip – deelt met de dataverstrekker. Ook in het buitenland zijn bedrijven ingesprongen op het monetariseren van data van consumenten. Luthresearch en Datacoup zijn actief in de VS en Powrofyou is een Britse speler die al een redelijk volume aan deelnemers heeft bereikt.

Wetgeving

Van Moock wijst op de nieuwe Europese wetgeving die in de maak is, en stelt dat DIME een beetje op de muziek vooruitloopt. Die nieuwe Europese privacy-verordening (officieel: Algemene Verordening Gegevensbescherming) is in mei 2016 gepubliceerd, maar er geldt nog twee jaar een overgangsrecht voordat de verordening daadwerkelijk gehandhaafd zal worden in de Europese lidstaten. Daarna vervallen de Nederlandse Wet Bescherming Persoonsgegevens en de Wet Basisregistratie Personen. De verordening, die dus op 25 mei 2018 van kracht wordt, heeft grote invloed op organisaties die persoonsgegevens verwerken, waaronder aanbieders van gratis software die klantdata gebruiken voor advertentiedoeleinden. Organisaties zullen volgens de nieuwe regels altijd duidelijk inzichtelijk moeten hebben welke persoonsgegevens ze verwerken, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden; iets wat voor consumenten in heldere taal in privacy-verklaringen leesbaar moet zijn. Dit sluit aan op het recht om vergeten te worden, een nieuw recht in de verordening. Veel systemen en processen zullen op de nieuwe verordening aangepast moeten worden. De EU ziet hierbij een taak voor een Functionaris voor de Gegevensbescherming (FG) of Data Protection Officer (DPO). Voor sommige organisaties, waaronder organisaties die meer dan 250 werknemers hebben, zal een FG/DPO verplicht worden. De EU brengt ons op dit vlak dus strengere regels met een flinke impact.

EU onderzoek privacy social media
cashen met data? Onderzoek EU
EU onderzoek privacy
Cashen met data

Vorig jaar bleek uit onderzoek dat slechts 9 procent van de Nederlandse consumenten volledige controle ervaart over wat er online met hun gegevens gebeurt (zie bovenstaande beelden). Als je vraagt naar het vertrouwen in hoe verschillende organisaties omgaan met data, dan staan online bedrijven (zoekmachines, online sociale netwerken) onderaan. Maar vermoedelijk verandert de mindset over datagebruik eerder bij bedrijven dan bij consumenten, namelijk onder druk van nieuwe wetgeving. Dat lage vertrouwen bij consumenten staat haaks op de double digit groeicijfers van de grote online dataminers – Google, Facebook enzovoorts. Wat dit betekent voor het businessmodel van Dime en concullega’s – namelijk het monetariseren van data door consumenten zelf – zal pas na 2018 duidelijk worden.

Dit blog is het tweede deel van een serie over Personal Data Stores

Van wie zijn mijn data? (1)

personal data storeWanneer je vandaag de dag een nieuwe auto koopt, is het verstandig het koopcontract goed door te nemen. Niet alleen omdat daar is staat wat er onder de garantie valt, maar ook om te weten wat er bij de auto wordt geleverd. Je zult misschien geen reservewiel aantreffen, maar wel een heel pakket aan software – voor motormanagement, het monitoren van technische systemen en onderdelen en voor communicatie met de autofabrikant. Auto’s zijn computers op wielen. Ze worden geleverd met een IP-adres en een verzameling apps.

Of je nu een auto koopt of het ziekenhuis bezoekt, een Facebook-post plaatst, jezelf registreert als woningzoekende of je belastingformulier invult: je laat een set gegevens achter waarvan je meestal niet precies weet wat er mee gebeurt. Bedrijven en instellingen moeten zich aan de wet houden als het gaat om het registreren, opslaan, verwerken en delen van persoonsgegevens. De meeste bedrijven zijn zich zeer bewust van het bezit van deze data, zeker als er iets mis gaat. Burgers en consumenten hebben echter totaal geen overzicht wie beschikt over welke gegevens. Naarmate we ouder worden, doen we zaken met meer en meer partijen. Wie weet bijvoorbeeld nog wat hij tien jaar geleden precies met welke websites heeft gedeeld?

Internet teruggeven aan de gebruiker

Schlussschluss, een Nederlandse startup, heeft als doel het internet weer terug te geven aan de gebruiker. Daarmee is Schluss eerder een beweging dan een bedrijf of organisatie, zegt Marie-Jose Hoefmans, een van de initiatiefnemers. Het klinkt als een extreem ambitieuze doelstelling, want de Schluss-benadering houdt in dat bedrijven en instellingen klantgerelateerde data niet langer binnen de muren van hun eigen organisatie (of datacenter) opslaan. Concreet voorbeeld: een online retailer zoals bol.com zou de klantgegevens opslaan op het platform van Schluss; bol.com klanten bepalen via hun Schluss-account of het bedrijf bepaalde transactiegegevens (denk aan een bestelling of betaling) mag koppelen aan de persoonlijke gegevens, bijvoorbeeld om de klant te kunnen benaderen met relevante aanbiedingen. Schluss noemt dit een ‘data-deal’, waarbij bedrijven profiteren van een altijd up to date CRM en beter gewapend zijn tegen datalekken. De consument heeft de mogelijkheid om bepaalde informatie ‘terug te trekken’. Dit model kan je ook toepassen op zorgverzekeraars, autofabrikanten en nutsbedrijven. De beslissing van de consument om data te delen met een bedrijf, aldus Hoefmans, zal vooral afhangen van de toegevoegde waarde die het bedrijf er tegenover zet. “Niet value for money, maar value for data.”

Een andere blik op persoonlijke data

Schluss moet twee barrières overwinnen. Op de eerste plaats zullen consumenten zich bewust moeten worden van de waarde van hun data – en bereid zijn iets te veranderen in hun datahuishouding. En op de tweede plaats moeten bedrijven anders over data gaan denken. Hoefmans is overtuigd dat de attitude van mensen over privacy aan het veranderen is. “Mensen vragen zich af wat er allemaal gebeurt met gegevens van hen die overal verspreid zijn. Mensen denken dat er geen weg meer terug is, maar die is er wel degelijk. Aan de andere kant zijn er ook bedrijven die zich realiseren dat klanten zich afvragen wat ze met hun gegevens doen. Dat kan voor bedrijven een nieuwe value proposition zijn: maak maar duidelijk welke gegevens je met ons wil delen. Bedrijven zullen vervolgens de toegevoegde waarde van dat delen moeten laten zien.”

De privacy paradox

Uit onderzoek van TNO blijkt inderdaad dat mensen zich bezighouden met privacy-vraagstukken. Maar aan de andere kant stelt TNO ook onomwonden vast dat de privacy paradox bestaat: mensen zeggen privacy belangrijk te vinden, maar handelen er niet naar. In veel gevallen maken consumenten een afgewogen keuze over het delen van persoonsgegevens: de context waarin gegevens worden gedeeld en wat daar tegenover staat is van belang bij de keuze. Als alleen een commerciële partij er geld mee verdient, is er meer weerstand en worden er, indien mogelijk, geen gegevens gedeeld. Die privacy paradox komt ook naar voren in recenter onderzoek in opdracht van Kaspersky Lab. Daaruit blijkt dat studenten het belangrijk vinden om hun online privacy te beschermen, maar dat ze veel maatregelen niet toepassen. Zo worden wachtwoorden niet regelmatig vernieuwd en gebruiken veel studenten onbeveiligde Wi-Fi-verbindingen. Ook onderschatten studenten de juridische mogelijkheden van werkgevers om mee te kijken met werkgebonden communicatie op het moment dat je als werknemer devices van het bedrijf gebruikt. En slechts 9 procent weet wat de Wet Meldplicht Datalekken inhoudt.

TNO: delen van data

TNO: behoefte aan controle privacy

Het concept van Schluss is niet uniek. Qiy lanceerde in 2007 een vergelijkbaar concept. Ook ANWB heeft een digikluis voor haar leden geïntroduceerd. Het argument van de ANWB was daarbij om bij een ongeval de administratieve rompslomp te beperken: een groot deel van de gegevens staat dan al klaar. Ook in de zorgsector is efficiency en kwaliteit een reden om data centraal op te slaan, denk aan het landelijk EPD – dat nog niet is ingevoerd; zorginstellingen werken nu met lokale systemen. Centrale dataopslag lijkt handig en efficiënt, maar roept vooral vragen op over privacy. Juist dat laatste wil Schluss tackelen door het mogelijk te maken dat het individu de eigen data beheert.

Digitale transformatie

Die variant op selfservice past helemaal bij de tijd, maar komt misschien op een ongelukkig moment. Bijna alle bedrijven gaan op dit moment door een digitale transformatie heen: ze moeten, om sneller te kunnen inspelen om veranderende omstandigheden hun IT-landschap moderniseren. De meeste bedrijven voeren innovaties door aan de voorkant (zodat klanten van nieuwe diensten gebruik kunnen maken) maar de achterkant – de kernsystemen – zijn vaak tientallen jaren oud. Bedrijven en instellingen staan daarom voor de uitdaging deze systemen te vervangen en tegelijkertijd kosten te reduceren en de operatie te flexibiliseren. Cloud computing is daarbij het platform van de toekomst, maar dat betekent meestal dat naast software ook data de bedrijfsmuren verlaten. In de boardroom bestaat een voorkeur voor private cloud oplossingen, zodat privacygevoelige data veiliggesteld zijn. Een private cloud is niets anders dan ‘jouw data op de computer van een ander’ en ook het Schluss concept zou hier onderdeel van uit kunnen maken. Juist omdat data steeds meer wordt erkend als het nieuwe kapitaal, zou Schluss op dit moment een te grote stap kunnen zijn. Je IT-landschap compleet vernieuwen, kiezen voor nieuwe technologie, afstappen van oude kernsystemen: de CIO heeft momenteel al genoeg aan zijn hoofd. Aan de business uitleggen dat je de zeggenschap over het gebruik van data moet terug geven aan de consument is wellicht te veel gevraagd.

Op weg naar single sign-on

Schluss staat nog aan het begin van zijn ontwikkeling, zo erkent Hoefmans. Op dit moment biedt Schluss de mogelijkheid om een account aan te maken waarbij je verschillende soorten persoonlijke en contact gegevens met anderen kunt delen. Je houdt het overzicht en kunt gegevens ook weer terughalen; het levert je een realtime en up to date adresboek op. Het is een stap waarmee Schluss de beweging ‘om het internet te veranderen’ wil opbouwen met gebruikers. Voor dat hogere doel is massa nodig, aldus Hoefmans. Een volgende stap is dat Schluss gaat functioneren als een veilige single sign-on: deze fase moet binnen een half jaar gerealiseerd zijn; het volgende doel is dat je met een Schluss-plugin in je browser overal kunt inloggen net zoals je dat nu ook met je Facebook- of Google-account kunt. En de derde stap is dat bedrijven hun klantgegevens bij Schluss gaan opslaan. Een bedrijf dat gebruik gaat maken van Schluss, zal een deel van de klantgegevens in het Schluss-platform moeten gaan opslaan. Daarom is Schluss ook in gesprek met verschillende partijen.

Kansen

Een daarvan is Tippiq, een initiatief van netbeheerder Alliander waarmee consumenten kunnen zien wat er rondom hun huisadres gebeurt. Tippiq werkt samen met partners zoal Peerby (deelplatform voor spullen), Snappcar (deelplatform voor auto’s) en Dinst (platform voor zzp’ers). Ook ANWB en Zilveren Kruis Achmea zijn geïnteresseerd in het model van Schluss, maar vinden het nog te vroeg om stappen te zetten, aldus Hoefmans. Verder ziet zij kansen bij nieuwe spelers in de financiële dienstverlening en bij nieuw op te zetten social media platforms waarbij niet de handel in informatie voorop staat.

Dit blog is het eerste deel van een serie over Personal Data Stores

Privacy is de nieuwe creditcard

If it’s free, you’re the product. We zijn er aan gewend gratis diensten af te nemen in ruil voor data. We hebben inmiddels geen idee meer wie welke informatie over ons bezit, laat staan wie er wat mee kan doen. Laat dat nu net de kern van privacy zijn: zelf in control zijn over informatie die over jou gaat. Het internet of things gaat op dit vlak voor een stroomversnelling zorgen. Want de dingen om ons heen vertellen veel over wie we zijn en wat we doen. Privacy verandert van een grondrecht in een betaalmiddel.

fridge camera privacyHet internet of things, wordt dat wat? Of we over minder dan vier jaar (in 2020) 50 tot 100 miljard connected apparaten hebben, zal moeten blijken. Maar zo langzamerhand begint zich iets af te tekenen. Telecombedrijven bouwen aan verschillende LoRa-netwerken waarmee sensoren kunnen communiceren, Vitens werkt aan een slim waterleidingnet, de vliegtuigkoffer wordt ‘connected’. Samsung introduceerde begin dit jaar de Family Hub Refrigerator die foto’s van het interieur deelt met de gebruikers, zodat je op je smartphone kunt zien wat er in huis is. En ANWB is een van de eerste verzekeraars die de waarde van data inziet als stuurmiddel voor zowel sales als claims. Bedrijven gaan gedragsdata koppelen aan de prijs van diensten en producten. Ofwel: data vertegenwoordigen financiële waarde.

If it’s free, you’re the product

Die financiële waarde was er al wel, maar merken we nog niet direct in onze portemonnee. Data omzetten in financiële waarde is voor de consument vrijwel nooit een verdienmodel, het is een kortingsmodel. Het afstaan van data kost ons geen geld en levert evenmin cash op: denk aan Google, Facebook, Twitter en alle andere vormen van ‘gratis’ software, ‘gratis’ wifi en ‘gratis’ content. Over het algemeen geldt; if it is free, you are the product. Belangrijk daarbij is dat je als consument steeds een keuze hebt: je kunt ook stoppen met het gebruik van het gratis product (en kiezen voor een betaalde variant). Toch ontstaat na verloop van tijd een soort vendor lock in – een vorm van afhankelijkheid. Veranderen kost tijd, moeite en wellicht ook geld. De ruilverhouding – data voor gratis diensten – is dus minder gebalanceerd dan het lijkt. Data is een betaalmiddel, maar wel op basis van eenrichtingsverkeer.

Privacy-rechten bestaan nog maar net

Privacy lijkt een begrip ‘uit de oudheid’; we vinden het zo vanzelfsprekend dat we volstrekt niet bang zijn om er iets van af te staan. Maar de waarheid is dat we nog maar kort ervaring hebben met privacy. Privacy-bepalingen zijn pas in 1983 vastgelegd in de grondwet. Privacy is een individueel en persoonlijk recht. Het gaat om controle over persoonlijke informatie die je wel of niet wil delen. Dat is niet alleen iets wat een ander over jou weet zonder dat je er erg in hebt; het kan ook zijn dat een ander jou lastig valt omdat hij informatie over je heeft. ‘Alleen’ zijn of met rust worden gelaten is ook een vorm van privacy. Het gaat dus niet om ‘ik heb niets te verbergen’, het is eerder dat een ander bepaalt of jij iets te verbergen hebt.

Privacy is primair gekoppeld aan mensen. Als ook gebruiksvoorwerpen (objecten) informatie gaan afstaan over ons gedrag, zijn wij niet langer zelf degene die informatie afstaat. De handeling om informatie af te staan wordt dan overgenomen door een ‘connected object’. Het wordt dan belangrijk dat we over een interface beschikken waarmee we het datadelen kunnen zien en besturen – zoals bij een computer, of nog praktischer, bij de privacy-instellingen van Facebook. Maar bij veel connected objecten is het datadelen een proces dat non stop en onzichtbaar verloopt. Denk aan een slimme thermostaat of andere domotica.

Privacy ontwikkelt zich onvoorzien

Met privacy- en securitytools kan je regelen wie bij welke informatie kan (of niet). Privacy gaat verder dan alleen het hier en nu: dat gaat ook over de tijdspanne waarover je data opslaat. Met het verstrijken van de tijd kunnen allerlei omstandigheden veranderen. Allereerst kunnen wetten en regels veranderen, ook buiten je gezichtsveld. Zo kan de Amerikaanse overheid bij data van bepaalde ANWB-verzekerden, omdat deze worden opgeslagen in de Microsoft cloud. Maar het is lastig voor een ANWB-lid om te zien of de Amerikaanse overheid ook gebruik maakt van dat recht. Met een nieuw kabinet in ons land kunnen bestaande privacy-rechten worden afgezwakt of kan het werkingsgebied van data-verzamelende systemen worden uitgebreid (function creep). Ook ‘normaal gedrag’ kan met het verstrijken van de tijd een andere connotatie krijgen. Gedrag dat we nu als gewoon beschouwen, maakt dat we ons weinig bezwaard voelen om er nu informatie over te delen. Toen Facebook aankondigde te gaan werken met gezichtsherkenning en ongevraagd taggen, kregen de in een eerder stadium geplaatste reis- en groepsfoto’s op Facebook plotseling een heel ander karakter.

Wat je aan persoonlijke informatie afstaat krijg je nooit meer terug. Welingelichte IT’ers weten dat ‘anonieme’ data niet meer bestaan. Ook ‘gewiste’ gegevens zijn met een klein beetje moeite terug te halen zolang geheugendragers niet worden vernietigd. Veel veranderingen in onze samenleving gaan met kleine stapjes tegelijk. Onze overheid is gek op data en ook bedrijven beschouwen data als een vorm van kapitaal. Technologische innovaties zorgen er voor dat we ongemerkt steeds meer data afstaan en daarmee dat het gedeelte ‘wat van onszelf is’ steeds kleiner wordt.

Internet of things: internet van onzichtbaarheden

Slimme apparaten hebben niet altijd een gebruikersinterface of deze is beperkt tot een app, waarmee je echter niet kunt zien wat het apparaat doet. Dat maakt het vrijwel onmogelijk om te zien hoe systemen veranderen. Veel connected systemen ontvangen automatische updates, of worden ‘gevoed’ door informatie die ze ontvangen; maar wat gebruikers in ieder geval niet kunnen zien is of het apparaat goed beveiligd is. Connected devices zonder interface of scherm geven geen waarschuwing af als ze malware bevatten of als er indringers proberen binnen te komen. Daarom noemde ik het internet of things eind 2013 al het internet van onzichtbaarheden.

Wie heeft er nog overzicht?

privacyDie onzichtbaarheid zorgt ook voor onverschilligheid, maar die wordt ook gevoed door de toenemende complexiteit. Voor een normaal mens is het al ingewikkeld om alle logingegevens veilig bij te houden. Laat staan dat we weten welke gegevens we ooit hebben afgestaan aan bedrijven en overheden, en welke bedrijven bij onze gegevens kunnen. Daarbij gaat het zowel om tijd (na enige tijd weten we niet meer, wat en hoe) als om aantallen (het aantal bedrijven waar we gegevens achter laten, groeit). Simpel voorbeeld: weet je als 45-jarige met welke ziektekostenverzekeraars je de afgelopen vijftien jaar zaken hebt gedaan? Of weet je als 35-jarige hoeveel ‘persoonlijke accounts’ (persoonlijke gegevens, login en wachtwoord) je hebt gecreëerd? Met het internet of things komen daar apparaten bij, die niet alleen het aantal te beveiligen verbindingen vergroten, maar ook het aantal datastromen. John Matherly, oprichter van Shodan, een zoekmachine voor connected things, stelt: “Besluiten rond IoT worden vooral gedreven door mogelijkheden en features. Er lijkt totaal geen rekening te worden gehouden met de security- en privacy-gevolgen die IoT met zich meebrengt.

De optelsom: onbalans neemt toe

Connected devices staan 24/7 ‘aan’ en verzamelen stuk voor stuk data, ook op momenten dat je daar niet bij stil staat. Hoe meer apparaten met elkaar verbonden zijn en via sensoren data verzenden, hoe gedetailleerder het beeld is dat van iemand kan worden gecreëerd. Bedrijven, instellingen en overheden zorgen er voor te kunnen beschikken over die gegevens die nodig zijn voor hun processen. Meestal komt dat neer op het eenmalig afstaan van bepaalde gegevens voor een bepaald gebruiksdoel. Als individu weet je niet precies welke informatie bij de ander ligt, laat staan dat je er toegang toe kunt krijgen. Bij ieder individu speelt deze achterstand honderden malen een rol, namelijk bij alle partijen waar dat individu mee te maken heeft of heeft gehad: overheidsinstellingen, scholen, ziekenhuizen, huisartsen, de gemeenten in verschillende woonplaatsen, verzekeraars, sportclubs, fysieke winkels met klantkaarten, online shops, social media, internet service providers…. Tel hier het internet of things bij op en de uitgaande informatiestroom neemt duizelingwekkende vormen aan. Die wordt namelijk realtime en permanent. Iets om over na te denken wanneer je weer een connected thing aan je verzameling toevoegt, met welke goede reden dan ook.

Wie kijkt mee met uw autoritje?

Data makes the world go round – dat moeten ze bij ANWB ook bedacht hebben. De vier miljoen leden (de grootste vereniging van Nederland) waaronder een groot aantal autobezitters zijn in potentie een enorme bron van data. Datadriven businessmodellen zijn dus interessant voor ANWB. Dat betekent wel dat je vat moet krijgen op het gedrag van de individuele klant: zijn doen en laten, bewegingen, aankopen en andere interacties. Online retail biedt daartoe alle kansen – een klant die in een fysieke winkel komt, kan anoniem blijven – en daarnaast bieden mobiele apps veel mogelijkheden om interactie aan te gaan. Een ‘connected’ verzekeringsproduct is interessant: je verzamelt data terwijl je als verzekeraar meekijkt met de bestuurder. 

Connected car: interessant voor verzekeraars

Ook de nieuwste app van ANWB bevindt zich op de smartphone, maar heeft een interessant ‘hulpmiddel’. Bij de kort geleden nieuw verizon-delphigeïntroduceerde verzekering ‘veilig rijden’ krijgt de verzekerde een ‘stick’ die op de OBD-poort van iedere moderne auto kan worden aangesloten. Dat apparaatje verzamelt gegevens over rijgedrag en op basis van algoritmen wordt vervolgens een rijstijl-score berekend die de basis vormt voor de premiehoogte. Via de bijbehorende app krijgt de verzekerde inzicht in (en tips voor) het rijgedrag.

ANWB is niet de eerste partij die met een dergelijke ‘connected car verzekering’ komt. In Nederland heeft Kroodle, een startup van Aegon, het ook al geprobeerd. Ook in België is begin dit jaar een pilot gestart door Corona Direct, een online verzekeraar. En wanneer je op het internet zoekt, blijkt dat er al tientallen serviceproviders zijn die voor particulieren en bedrijven de infrastructuur leveren om gebruik te maken van data die de auto genereert.

Ook ANWB heeft de veilig rijden verzekering niet helemaal zelf bedacht: er wordt samengewerkt met het Britse Ingenie, waarmee ANWB een vijfjarige licentieovereenkomst heeft gesloten na een pilotperiode met 1000 proefkonijnen. Ingenie levert de hardware, de analytics en algoritmen, ANWB-dochter Unigarant zorgt voor het verzekeringsgedeelte.

Hoe werkt de Ingenie-stick?

Verzekerden krijgen een dongel die op de OBD-poort van de auto wordt aangesloten. De rijstijl bepaalt ANWB aan de hand van vier verzekeringsproductonderdelen: de rijsnelheid, de manier van optrekken en remmen en de wijze waarop bochten worden genomen. De rijstijl wordt herleidt tot een korting (of malus) op de premie; ook het tijdstip waarop je rijdt is mede bepalend voor de premiehoogte. Om gerichte feedback te kunnen geven op het onderdeel snelheid, moet de snelheidslimiet bekend zijn van de weg waarop de verzekerde rijdt. Daarom zit er ook een GPS-module in de dongel die de locatiegegevens levert. Daarnaast zal er ook een accelerometer in de dongel aanwezig moeten zijn – nodig om versnelling te kunnen waarnemen. Of met alle hardware en software veilig rijden kan worden gemonitord is de vraag; een noodstop maken voor een plotseling overstekend kind lijkt me noodzakelijk, maar veilig is het niet.

Een tweede smartphone in je auto

De data die de ANWB-stick verzamelt, blijven eigendom van de verzekerde, aldus ANWB. Je kunt zelf je gegevens inzien, maar de locatiegegevens (wie wanneer waar rijdt) zijn niet zichtbaar in het persoonlijke account van de app. De dongel die ANWB gebruikt is in feite een smartphone zonder camera en gespreksfunctie. De meeste automobilisten hebben al een smartphone aan boord en die geeft zeer frequent de GPS-informatie door aan de zendmasten in de omgeving. Met deze informatie laadt Google onder andere zijn dynamische verkeersinformatie in Google Maps. Telecomproviders beschikken ook over deze geo-informatie. De smartphone stelt ook gemeenten en bedrijven in grote steden in staat om je doorlopend te volgen. Citytraffic is één van de bedrijven die burgers via hun smartphone volgt. Het bedrijf werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag. De verzamelde data wordt verkocht aan onder andere gemeenten en winkels, aldus RTL Z, zonder dat burgers hiervan op de hoogte zijn. Dat gebrek aan transparantie speelt ook bij de nieuwe verzekering van ANWB.

Een beetje transparant bestaat niet

ANWB is bij dit verzekeringsproduct niet volledig transparant in de wijze waarop data worden verzameld en welke data worden verzameld. ANWB is er helder over: data worden niet met derden gedeeld – tenzij er een vermoeden is voor fraude of een poging tot fraude, of wanneer ANWB via een gerechtelijk bevel worden gevraagd de gegevens beschikbaar te stellen aan politie of justitie. Ook de gangbare bewaartermijn van data (7 jaar voor verzekeraars) roept vragen op. “Wij kunnen afwijken van het bovenstaande op het moment dat er zich bijzondere omstandigheden hebben voorgedaan. Hierbij kun je denken aan een auto-ongeluk, diefstal, vermoeden van fraude of een juridisch onderzoek.” Je kunt wel een verzoek doen om de gegevens te verwijderen, maar aangezien de gegevens niet op jouw persoonlijke apparaat, maar in de Microsoft cloud staan, heb je hier geen zicht op. In het privacy statement wordt gesteld: “Buitenlandse inlichtingendiensten mogen volgens de wet in de gegevens in de database inzien.” Een beetje transparant bestaat niet, iets wat ook Sander Klous, hoogleraar big data aan de Universiteit van Amsterdam en tevens werkzaam bij KPMG, in een artikel in NRC Handelsblad benadrukt.

Welke technologie wordt gebruikt?

Verder is ANWB niet transparant over de gebruikte technologie. Uit de voorwaarden kan je opmaken dat ANWB weet of de dongel wel of niet is aangesloten. Kroodle ontdekte dat rijders in het weekend (dan is het autorijden verzekeringstechnisch gezien duurder) de dongel loskoppelden. ANWB vermeldt echter niet dat de stick ook een GPS-module bevat die locatiegegevens van de auto doorgeeft. Technologiepartner Ingenie geeft op de eigen website wel informatie over de gebruikte technologie in de black box: “The ingenie box is a self-contained unit the size of a smartphone that includes a:

  • GPS unit which captures when and where the car is driven
  • high frequency motion sensor which captures how the car is driven
  • SIM card which is used to transmit the data
Privacy: van individu naar object

iphone6-scoreDe connected car roept uiteraard privacy-vragen op, maar in het geval van de connected car ontstaat een nieuw probleem. Privacy is een individueel en persoonsgebonden fenomeen, zo benadrukt ook Danny Mekic, die het nieuwe ANWB-product betitelt als “Big Brother Verzekering” (in een artikel dat op 21 juni in het AD verscheen). Met de connected car wordt privacy enerzijds overgeheveld naar de auto en anderzijds naar derden. Of in de woorden van ANWB: “Iedereen die ermee rijdt, bepaalt de rijstijl. U bent zelf verantwoordelijk om andere bestuurders van uw auto hierover te vertellen. Let op: rijd iemand anders roekeloos met uw auto? Dan heeft dat gevolgen voor uw rijscore.” Autodelen, bijvoorbeeld via Snappcar, wordt zo lastig. Een tweede rijder, bijvoorbeeld je partner, kan in de app zien hoe je rijdt en andersom. Vervang partner door werkgever en leg dan nog maar eens uit dat je zo hard optrok omdat je op tijd bij je baas moest zijn. Privacy koppelen aan individueel gedrag is prima, maar in het geval van de connected car is het gekoppeld aan een voorwerp waarvan meerdere mensen gebruik kunnen maken.

Ook de distributie van data over een gehele keten (de auto, ANWB, Unigarant, Ingenie, Microsoft) roept vragen op. De balans is zoek: alle ruwe data gaan naar verschillende partijen, maar de gebruiker heeft alleen een beperkt dashboard. Ook ANWB kan gebruik maken van de data die haar dochter Unigarant verzamelt.

Data is geld waard

Helaas is het niet zo dat je direct de vruchten kunt plukken van je nieuwe rijstijl. Uit de algemene voorwaarden blijkt dat je begint bij een standaardkorting; na een periode van drie maanden bepaalt de rijscore je werkelijke korting. Dat kan er toe leiden dat je premie niet verandert, of dat je premie terug krijgt of moet bijbetalen. Een korting kan dus ook negatief zijn. Ben je, als je opzegt, nog welkom bij de gewone verzekering van Unigarant? Je rijscore kan er ook toe leiden dat je verzekering wordt opgezegd. Begrijpelijk vanuit het perspectief van een aanbieder van een ‘datadriven’ verzekering, maar in deze constructie is het de autorijder die in ruil voor data mogelijk korting krijgt zonder dat precies duidelijk is hoe de onderliggende mechanismen werken. Het is een groot verschil of je tandenborstel communiceert met je ziektekostenverzekeraar over poetsgedrag of dat je een uitgebreide en gevoelige dataset afstaat voor een korting op je autoverzekering.

Danny Mekic stelt in zijn artikel dat ANWB enkele jaren geleden nog tegen rekeningrijden en de kilometerheffing was, omdat dat de privacy van de automobilist in gevaar zou brengen. “Maar nu zijn ze getransformeerd tot een wolf in schaapskleren die het ‘datagraaien’ op een hele sympathieke manier weet te verkopen: wie kan nou tegen de ‘ANWB Veilig Rijden Autoverzekering’ zijn, zoals ze hun orwelliaanse verzekering hebben gedoopt?”

Consument in control over persoonlijke data

De consument hoeft natuurlijk niet te kiezen voor korting in ruil voor data. Een gewone autoverzekering werkt ook op basis van ‘goed gedrag’, namelijk de no-claim korting. Het is echter de vraag wanneer deze variant door verzekeraars wordt ingeruild voor het datadriven model.

Wil je toch profiteren van de data die je auto produceert, dan zijn er allerlei standalone oplossingen die de auto laten communiceren met je telefoon, tablet of laptop, waarbij je vanaf dat apparaat zelf kiezen wat je met de data doet. Dat is ook het vertrekpunt van een concept als Schluss. Privacy begint bij persoonlijke controle over welke data je deelt.

Van wie is de slimme stad?

Het jaar 2013 werd door Technology Review uitgeroepen tot het jaar der dingen. In dat jaar werd voorspeld dat er in 2020 maar liefst 25 miljard connected devices zouden zijn. Willen we dat aantal halen, dan hebben we vanaf januari 2016 het nodige te doen: wereldwijd maar liefst 200 nieuwe connecties per seconde realiseren. Toch wordt er hard gewerkt aan het internet of everything, dat meer is dan een verzameling connected objecten. Het leidt ook tot een enorme productie van data, met name in steden. Daar zijn veel mensen, is veel bedrijvigheid en maximale connectiviteit. Het internet of things is de motor voor slimme steden. Leidt dat tot slimme burgers of dient de databrij andere belangen?

slimme stad
The percentage of urbanized population by country.

Sinds dit decennium woont de helft van de wereldbevolking in steden. Vrijwel overal ter wereld treedt urbanisatie op: jonge mensen verlaten het platteland en kiezen voor de stad. Technologie kan helpen bij het in goede banen leiden van die groei. Bestuurders en tech-fans zien het internet of things als een veelbelovende revolutie: alles met alles verbinden. Door het gebruik van smartphones en connected cars worden mensen vanzelf dataverzamelaars. Ook bedrijven zien grote mogelijkheden. Bijvoorbeeld omdat ze diensten kunnen gaan aanbieden voor het verzamelen en opslaan van data (connectiviteit, datacenters, sensoren) of het bewerken van data (software voor analyse). In Eindhoven werkt de gemeente samen met Atos met het programma city pulse, waar sensoren worden ingezet om incidenten te voorspellen. En in Amsterdam wordt samengewerkt met Google en TomTom om dynamisch route- en parkeeradvies mogelijk te maken. Ook wordt er voorgesorteerd door telecombedrijven, die optreden als hofleverancier van connectiviteit en infrastructuur. Het 4G mobiele netwerk gaat de komende jaren naar 5G, waardoor de capaciteit en snelheid van mobiel internet enorm toeneemt. KPN rolt LoRa uit in Amsterdam (speciaal voor het internet of things) en ook komen op steeds meer plekken glasvezelverbindingen te liggen.

Internet der dingen

We gaan toe naar het internet of everything. Tien jaar geleden werd aan het sociale web (of web 2.0) nog een democratiserende werking toegekend. In die periode is de macht van de (informatie)consument inderdaad toegenomen. Ook in ontwikkelingslanden hebben mobiele verbindingen bijgedragen aan een meer transparante handel.

Maar meer connectiviteit en meer data wil niet zeggen dat de transparantie alleen maar toeneemt. Universiteiten en onderzoeksinstellingen worden regelmatig betrapt op het manipuleren van of met data. Een sector met een twijfelachtige reputatie op dit vlak is de farmaceutische industrie (als gevolg van het selectieve gebruik van onderzoeksgegevens over de effectiviteit van nieuwe medicijnen). Maar ook klimaatwetenschappers en sociale wetenschappers vliegen regelmatig uit de bocht.

Overheden claimen dat ze met het internet of things hun steden slim kunnen maken, maar wie wordt slimmer in de slimme stad? En wat gebeurt er als een stad een deal sluit met een techbedrijf, waarbij opt out niet meer mogelijk is? Je kunt nu al niet meer door het centrum van Amsterdam lopen zonder vastgelegd te worden op camera. Daarnaast zijn nationale geheime diensten de afgelopen jaren herhaaldelijk over de schreef gegaan of op hun vingers getikt, bijvoorbeeld over het op grote schaal aftappen en opslaan van dataverkeer.

Van wie zijn de data?

Bij de slimme stad is een van de belangrijkste vragen wat overheden mogen met data. En van wie de data zijn. Veel mensen weten niet het verschil tussen data en informatie. Ger Baron is niet de enige die constateert dat bestuurders een kennistekort hebben. Dat probleem speelt ook in het bedrijfsleven. Uit het laatste Corporate Governance-onderzoek (2015) van Grant Thornton onder meer dan 1.800 bedrijven wereldwijd blijkt dat gebrek aan ervaring met technologie bij de huidige directies een zorgpunt is. Die ontwikkeling zorgt voor een interessante tweespalt: enerzijds is het potentieel van een connected samenleving enorm, anderzijds is data de nieuwe olie (een grondstof, waar je waarde mee kunt creëren of geld verdienen als je de juiste software hebt).

De academische wereld is opnieuw een goed voorbeeld van deze tweespalt: universiteiten produceren informatie en publiceren die in wetenschappelijke tijdschriften; de klassieke uitgevers verkopen deze informatie vervolgens weer terug aan de studenten en onderzoekers op universiteiten – die daardoor tweemaal voor de productie van hun eigen informatie betalen. Bedrijven en burgers hebben echter geen vrij toegang tot deze informatie, die veelal met belastinggeld tot stand komt. Derdewereldlanden hebben nog meer moeite om toegang te krijgen tot wetenschappelijke en technologische informatie. De open access beweging probeert hierin verandering te krijgen, maar dat gaat zeer geleidelijk.

Een stad is de databron bij uitstek

Moet de slimme stad samenwerken met technologiebedrijven? TomTom en Google verkopen aan de gemeente Amsterdam geanonimiseerde data over verkeersstromen in de stad. Het sociale netwerk LinkedIn levert geanonimiseerde data aan de gemeente over baanwisselingen en vaardigheden van gebruikers aan Amsterdam, zodat de gemeente gerichter arbeidsmarktbeleid kan voeren. IBM, Oracle, Siemens, Palantir, Cisco, Microsoft, Philips: de lijst met bedrijven die smart city-diensten verkopen aan steden groeit snel, aldus een analyse van NRC Handelsblad. Datarijke steden zijn aantrekkelijk voor Google, dat als missie heeft om alle informatie ter wereld te organiseren en universeel toegankelijk en bruikbaar te maken. Daar is Google al jaren lang mee bezig en dat blijkt uit diensten zoals Google Scholar. Google Shopping, Google Streetview, Google Car, Google Earth en Google Gmail, die iedereen inmiddels volkomen normaal vindt. Data = kapitaal.

DSC01013
Ger Baron bij Tegenlicht Meetup 3 mei 2016

Het is de vraag of je kunt spreken over een bewust ‘ontwerp’ van de slimme stad. Er dient hoe dan ook te worden gedacht over de function creep van technologie. Wat gebeurt er als verzamelde data of ingezette systemen voor andere doeleinden worden gebruikt dan oorspronkelijk bedoeld? Beslissingen rondom data die nu worden genomen, ook op het gebied van privacy, bieden geen garantie voor de toekomst – ze zijn niet meer dan een tijdelijke intentie. Bij veranderingen in het openbaar bestuur kan het gebruiksdoel van data veranderen. In de toekomst kunnen nieuwe combinaties gemaakt worden; data die verzameld zijn, kunnen niet ‘ontzameld’ worden. Die situatie is niet nieuw, we hebben er via het bevolkingsregister van Napoleon al ruime ervaring mee opgedaan. Daarom ook is de toezegging van Ger Baron in VPRO’s Tegenlicht over het werken met geanonimiseerde gedeelde data niet realistisch.

Kennistekort over de macht van data

Daarnaast is het de vraag of gemeenten zich voldoende bewust zijn van alle facetten van de ‘smart city’. Al heeft Amsterdam een CTO in huis gehaald, de stad is in 2016 op de vingers getikt dat zij niet zorgvuldig omgaat met gegevens van burgers. De Amsterdamse Rekenkamer gaf aan: het ontbreekt aan actueel privacy-beleid, taken en verantwoordelijkheden zijn nog onvoldoende afgebakend en de naleving van privacy-regels wordt niet structureel getoetst. Dat leidt er bijvoorbeeld toe dat daartoe onbevoegde ambtenaren toegang krijgen tot dossiers met gevoelige, medische informatie van burgers. Ook medewerkers van softwareleveranciers kunnen bij gevoelige informatie, aldus de Rekenkamer. Een slecht vertrekpunt als je stelt dat er bij de gemeente ‘een kennisachterstand is als het gaat om technologie.’ Juist de decentralisatie van de overheid zorgt er voor dat de verantwoordelijkheden van gemeenten enorm toenemen. Reden des te meer om de uitspraak van Dirk Helbing serieus te nemen: we staan op een keerpunt als het gaat om data. Leidt de slimme stad werkelijk tot slimme burgers?

Bekijk de uitzending van VPRO’s Tegenlicht van 1 mei 2016 over slimme steden.

Lees ook het blog over Smart City Amsterdam

Gemeente Amsterdam: smart city?

Amsterdam is innovatiestad van Europa 2016. Die prijs is uitgereikt voor het innovatie-ecosysteem. Maar wat is een stad die zélf innoveert? Leidt dat tot een ‘smart city’? En waar begin je dan: bij het oplossen van bestaande problemen of met experimenteren? Ger Baron, chief technology officer (CTO) van de stad Amsterdam: “Er is een kennisachterstand als het gaat om technologie.”

“Gemeente Amsterdam heeft een CTO ingehuurd met twee doelstellingen: hoe kan de stad zicht houden op en gebruik maken van alle technologische ontwikkelingen; daarnaast heeft technologie als verschijnsel ook impact op de stad; hoe kan de stad proactief omgaan met ontwikkelingen, denk aan drones of robotisering. Het grootste deel van de aandacht van het team gaat uit naar feitelijke vraagstukken oplossen met nieuwe technologie.”

Google als concurrent van de overheid? 

Ger Baron (l)“Organisaties zijn gebaseerd op de principes van de tweede industriële revolutie: centralisatie en standaardisatie. In de digitale revolutie ontstaan niet alleen nieuwe diensten en producten, maar gaan organisaties en zelfs sectoren op de schop, kijk naar energiebedrijven. Transformatie vindt overal plaats, dus ook bij de gemeente.” Ook de gemeente heeft sterk met deze disruptie te maken, aldus Baron: “We worden nog niet weggeconcurreerd, maar Google investeert in z’n labs met het idee dat ze beter overheid kunnen spelen dan de overheid zelf. En goed voorbeeld hiervan is het bedrijf Sidewalk Labs. Verkeersmanagement was een overheidstaak, maar TomTom en Google vullen op dat vlak een deel van de gemeentelijke taken in.”
Innovatie heeft ook een sociale component. Soms is sociale innovatie zelfs een voorwaarde om technologische innovaties goed te laten slagen. Van wie is de stad en hoe functioneert de besturing van de stad-als-organisatie eigenlijk? Baron: “In het digitale tijdperk verdwijnt bijvoorbeeld geleidelijk het verschil tussen centrale en decentrale overheid. Het leidt ook tot de vraag wat een overheid zelf nog moet doen. Waarom kan ik een bedrijf als Randstad niet mijn uitkering laten regelen?”

Schaarste als kader voor innovatie 

smart cityDe stad Amsterdam piept en kraakt – schaarste is een van de meest belangrijke problemen, iets wat je terugziet in een zwaarbelaste openbare ruimte. Het afval wordt bijvoorbeeld opgehaald volgens vaststaande rijschema’s; volle containers en zwerfafval kan je online melden, maar het hele systeem is niet real time, niet vraaggestuurd en niet zelf-lerend. Zijn dit de prioriteiten van een smart city?
“Met innovatie kan je die problemen te lijf gaan en de kwaliteit van de stad verbeteren. Gebiedsontwikkeling was voorheen een kwestie van grond verkopen, bebouwen en zorgen dat er mensen wonen. Je kunt veel bereiken als je veel meer monitort met het doel doorlopend te verbeteren. Als het gaat om het afval: we hebben alle aanbieders van slimme technologie al langs gehad. Misschien is de oplossing niet ‘anders rijden’, maar grotere containers neerzetten op die plekken waar ze altijd vol zijn. Dat is behoorlijk voorspelbaar; het is de vraag of vraaggestuurd ophalen het meest slimme is. Je zult vermoedelijk een combinatie uitkomen van dynamische routes en variabele containers. Containers in Zuid, West en Nieuw-West hebben al sensoren, waarmee wordt geoefend. Bij de inzet van personeel moeten we rekening houden met de cao. Oplossingen zitten niet alleen in algoritmen. Een ander deel van de dagelijkse realiteit bestaat uit politiek, waar ook zaken als economische en sociale waarde meespelen. Ik krijg als CTO de ruimte om dit soort dilemma’s voor te leggen; de beslissingen worden uiteindelijk op politiek niveau genomen. Het wordt pas lastig als discussies over innovatie op basis van verkeerde informatie worden gevoerd – denk aan misverstanden over connectiviteit. Wat is LoRa, wat is glasvezel, wat is 4G of 5G? Er is een kennisachterstand als het gaat om technologie. Verder varieert het per bestuurder en per thema hoe hoog technologie op de agenda staat. De kijk op technologie verschilt per domein. De gemeente Amsterdam is een organisatie met ontzettend veel rollen: we kopen voor 800 miljoen euro per jaar aan zorg in, in het mobiliteitsdomein gaat 600 miljoen per jaar om. We zijn bestuurder op afstand van het Havenbedrijf dat ook iets met energie doet.”

Innovatie-competenties opbouwen

Kennis over innovatieprocessen en technologie is cruciaal. Baron heeft met zijn team daarom ook gewerkt aan de opbouw van drie competenties. “Op de eerste plaats zijn we aan de slag gegaan met de data-component. We hebben een data-lab opgezet waar data scientists aan het werk zijn. Op de tweede plaats hebben we ingezet op de ontwikkeling van methodieken. Wat kan je bereiken met lean, scrum of design thinking? Hiervoor hebben we verschillende gespecialiseerde teams samengesteld. Dat werkt beter dan even snel een pilot uitvoeren. Als derde punt hebben we de samenwerking onder de loep genomen – iets waar overheden slecht in zijn. We kunnen bijvoorbeeld veel verbeteren in aanbestedingen, bijvoorbeeld de leveranciersrelatie te veranderen van zuiver transactioneel – het plat inkopen van een dienst – naar relationeel – het samen realiseren van oplossingen.”
DSC00338Net als in oudere bedrijven heeft ook gemeente Amsterdam te maken met legacy – de last van verouderde systemen die niet zo maar vervangen kunnen worden – te groot, te duur, te complex. Die legacy kan innovatie, vernieuwing en wendbaarheid in de weg zitten en steeds meer organisatie die dit probleem ervaren kiezen er voor om innovaties buiten de organisatie op te zetten. “We voeren klassieke innovatieprojecten uit, denk aan de ontwikkeling van gepersonaliseerde gezondheidszorg. We hebben ook een categorie innovaties die direct gelinkt zijn aan problemen, bijvoorbeeld overlast in een uitgaansgebied. De derde is de radicale innovatie, waarbij we de kans krijgen en nemen om de gemeente opnieuw te ontwerpen. We doen dat onder meer op het vlak van dienstverlening en nog een aantal andere thema’s.” Daarbij grijpt Amsterdam terug op design thinking: terug redenerend vanuit business outcomes of verwachtingen van burgers naar een ontwerp. De gemeente subsidieert nu wasmachines voor minima, maar misschien moet je wel inzetten op de behoefte aan schone kleding en kan je dat oplossen met een gedeelde machine, aldus Baron.

Slimme stad = transparant bestuur

Wanneer de processen in de slimme stad data-driven worden, wordt ook het functioneren van het bestuur transparanter. Zijn ambtenaren bang voor de slimme stad? “Ik zelf ben daar niet bang voor. Tot nu toe bezit de overheid een informatievoorsprong. Nu wordt dat omgedraaid, burgers weten beter wat de overheid doet. Dat is onontkoombaar. Er is op dit moment een gezond wantrouwen tegen de overheid, juist door dat gebrek aan transparantie. Boston maakte tijdens een periode van grote sneeuwoverlast aan klagende burgers inzichtelijk hoe de beperkte capaciteit aan sneeuwschuivers werd ingezet. Dat zorgt voor veel begrip. Maar transparantie vraagt soms ook om duiding – denk aan het naast elkaar leggen van begrotingen van steden en de politieke keuzes die worden gemaakt over het takenpakket van een stad.”
In hoeverre is Amsterdam al een slimme stad? Er is nog een lange weg te gaan, aldus Baron. Ook de stad verkeert, net als vrijwel iedere andere organisatie, in een digitale transformatie: zowel de stad – burgers, omgeving – als het bestuur. “Je kunt het zien als een reis. We weten nog niet wat de goede oplossingen zijn, we zijn nog niet data-driven of volledig connected. Onze straatlantaarns schrijven we in vijftien jaar af, dus die kan je niet zo maar even vervangen door ‘slimme palen’. Bij het inkopen van diensten en producten zijn we wel vooruitgegaan: we kijken daar in termen van oplossingen en we denken beter na over het verkrijgen van feedback uit de stad over processen. Maar zeker is dat er de komende jaren een hoop gaat veranderen.”

Lees ook: 'Van wie is de slimme stad?'

Verzendmethode: drone

Tailsitter Convair Google is sinds 2014 bezig met het ontwerpen van een drone-gebaseerde bezorgdienst. Het programma is onderdeel van het innovatielab van Google (Project X) en heet Project Wing. Google zette in eerste instantie niet in op een klassieke drone met vier rotorsets, maar op een luchtvaartuig dat neerkomt op een combinatie van vliegtuig en helikopter – ook wel tailsitter genaamd. Zo’n vliegtuig stijgt verticaal op, waarna het horizontaal draait voor de vlucht. Ook het landen gebeurt weer verticaal, maar Google had het idee opgevat om bij aflevering de tailsitter te laten ‘hoveren’ en het pakketje naar beneden te laten zaken aan een kabel. Of de Amerikaanse toezichthouder FAA de tailsitter ooit zou toelaten, is de vraag.  Google heeft inmiddels het ontwikkelprogramma nog niet gestaakt, maar wel aangepast.
Amazon werkt vanaf 2013 aan het idee van bezorgen per drone. Het initiatief past in Amazon Prime, waarbij tegen meerkosten binnen een uur een aankoop kan worden bezorgd. Met de drone gaat het nog sneller, Amazon Prime Air zou aflevertijden van een half uur mogelijk moeten maken.
De grootste Amerikaanse retailer Wal-Mart kon natuurlijk niet achterblijven. Het bedrijf heeft in ieder geval begrepen dat de FAA vroegtijdig moet worden ingeschakeld en heeft niet, zoals Amazon, gepleit voor het merkwaardige idee van een eigen luchtruim voor drones.

Het plan van Wal-Mart was voor het Amerikaanse PR-bureau Walker Sands de aanleiding om maar eens te gaan onderzoeken hoe Amerikaanse consumenten denken over het bezorgen van bestellingen per drone. In hun onderzoeksrapport ‘Reinventing Retail – what businesses need to know for 2015’ stellen ze onder meer vast dat consumenten daar positief tegenover staan. Twee derde verwacht dat ze binnen nu en vijf jaar hun eerste bestelling zullen doen inclusief dronebezorging; 80 procent gaat eerder over tot een aankoop als een drone zorgt voor snellere aflevering dan nu. Let wel, snelle aflevering wordt op dit moment nog gezien als binnen 1 uur.

beeld 1Consumenten zijn bereid om 5 dollar te betalen voor bezorging binnen het uur – Amazon Prime rekent momenteel 8 dollar voor een speed delivery – en vrijwel niemand wil meer dan 20 dollar betalen.
Het onderzoek kan wat mij betreft met een korrel zout worden genomen. Veel consumenten zullen antwoorden dat ze er geen bezwaar tegen hebben als bezorging sneller plaatsvindt. Vrijwel niemand zal antwoorden dat ze bij snellere bezorging minder aankopen gaan doen – waarom zou je. Maar het belangrijkste is wel dat volstrekt niet duidelijk is hoeveel en hoe vaak consumenten hun bestelling per drone gaan laten bezorgen.

beeld 2De laagste prijs, de beste garantie en gratis pakketjes heen en weer laten gaan die binnen het uur worden bezorgd? Retailers doen veel ervaring op met de pricing en de voorwaarden van verzenden en retourneren. Niemand zit te wachten op extra kosten bij het retourneren van artikelen. Maar consumenten begrijpen ook wel dat het geld ergens verdiend moet worden. Wanneer er een prijskaartje aanhangt, zal een spoedbestelling – bezorging binnen 30 minuten – eerder uitzondering dan regel worden. Bezorging per drone wordt interessant als de kosten voor de retailer lager worden dan die van traditionele logistieke dienstverleners, die voorlopig nog kunnen profiteren van schaalvoordeel en een zekere betrouwbaarheid. Alleen in afgelegen gebieden is de inzet van een drone wellicht gunstiger voor de retailer dan het op pad sturen van een chauffeur. In het onderzoek van Walker Sands kwam naar voren dat bezorging per drone minder aantrekkelijk wordt gevonden als het om bestellingen met een hoge waarde gaat. Beschadiging en diefstal worden als risico gezien.

D66-Europarlementariër Matthijs van Miltenburg kwam recent met het plan om de verplichte registratie van alle drones te regelen via een chip, die identificatie mogelijk maakt. Het plan is onderdeel van een ontwerprapport dat vermoedelijk op steun in het Europees Parlement kan rekenen, maar eerder al op 3 september vond een hoorzitting plaats met parlementsleden, waar voor het eerst gesproken werd over een landelijke registratieplicht voor alle drones. Daarnaast pleit staatssecretaris Mansveld voor voorlichting over voorschriften en voor opleidingen. Van der Steur komt volgens De Telegraaf dit jaar nog met een handleiding voor iedereen op het vlak van privacyvoorschriften. Het lijkt er op dat erin Den Haag een completer beeld ontstaat  ten aanzien van alle veiligheids- en security-aspecten van drones. Voor professionele drone-operators en hobbyisten is het nog even afwachten vanaf welke plek de eerste nieuwe regels komen: Europa of Nederland.

De incidenten blijven ondertussen voorbij komen. In Den Haag werd een drone in beslag genomen omdat de eigenaar zich niet aan de regels hield; bij het US Open tennistoernooi belandde een drone op de tribune en bij een voorprogramma in het stadion van Kentucky University stortte ook een drone neer. Drone-operators in de VS lijken een speciale interesse te hebben voor Washington, afgaand op de verklaringen van de politie: in 2015 waren er negen incidenten met illegaal dronegebruik in en rondom Washington, waaronder twee bij het Witte Huis.
De Amerikaanse toezichthouders laten er geen gras over groeien. Naar verwachting heeft een speciale taskforce eind dit jaar het ontwerp voor een nationaal registratiesysteem gereed. Dat is wellicht net te laat voor de hausse aan drones die straks vanonder de kerstboom vandaag komt: de voorspelling is dat in de VS over heel 2015 700.000 drones worden verkocht – 63 procent meer dan vorig jaar.

Drones voor de samenleving, drones tegen de samenleving

De drone heeft een januskop. Burgers beschermen of bespieden? Infrastructuur inspecteren of saboteren? Hulpverlening bij incidenten in beeld brengen of belemmeren? Een pizza bezorgen of een explosief afleveren? De mogelijkheden van drones zijn eindeloos. Dat dubbele gezicht wordt vooral veroorzaakt door de persoon achter de drone: iemand met de beste bedoelingen, of iemand met minder prettige bedoelingen. Dit dubbele gezicht bepaalt de komende jaren het veiligheidsbeleid rondom drones. 

Janus-VaticanIn augustus 2015 kwam het kabinet (namens De Ministers van Veiligheid en Justitie en EZ, en de Staatssecretaris van Infrastructuur en Milieu) met een (tweede) brief over drones. Daarin wordt het disruptieve karakter van drones onderschreven: de techniek snelt voort en de impact van drones is nog niet geheel te overzien. Die brief gaat zowel in op economische kansen (denk aan diensten op het gebied van bewaking, inspectie, onderzoek en media), als op risico’s rondom vliegveiligheid, privacy en security. Met dat laatste gaat het om de openbare orde en veiligheid, dus de bescherming van burgers tegen drones.

Dat het kabinet de risico’s van drones serieuzer is gaan nemen, blijkt uit het feit dat er een koerswijziging wordt voorgesteld ten opzichte van eerder beleid. Zo wordt op het vlak van vliegveiligheid nu gesuggereerd dat de bestaande tweedeling in drone-klassen (lichter en zwaarder dan 4 kg) niet voldoet. “De introductie door EASA van een subcategorie onder de 1 kg en de subcategorie onder de 4 kg, elk met een aantal eisen aan piloot en toestel, sluit aan bij de opmerkingen vanuit de drones-sector en de bemande luchtvaart,” aldus de brief – hetgeen de verwachting wekt dat er binnenkort nieuwe regels komen voor verschillende groepen drone-gebruikers.

Het kabinet gaat in de laatste notitie veel verder dan alleen ruimte bieden aan innovatieve toepassingen. Het potentieel misbruik van drones door kwaadwillenden heeft de aandacht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de relevante nationale en internationale veiligheidspartners, aldus de brief. De komende vijf jaar wordt een gezamenlijke aanpak binnen de overheid ontwikkeld, gericht op onder meer het in kaart brengen van de risico’s van misbruik van onbemande systemen, het ontwikkelen van integraal beleid en het stimuleren van ontwikkelingen en kennisdeling ten aanzien van detectie, identificatie en neutralisatie. Drones worden in dit licht gezien als vliegende computers, die ook met kwade bedoelingen kunnen worden ingezet – of overgenomen.

Zelfs met de bestaande wet- en regelgeving van de FAA wordt ingeschat dat de Amerikaanse dronesmarkt de komende drie jaar in omvang ruimschoots zal verdubbelen: van 130 miljoen dollar dit jaar naar 280 miljoen dollar in 2018. Wanneer de FAA de regels versoepelt en drone-operaties ook toestaan buiten de ‘line of sight’, zou het aantal dronevluchten per dag kunnen oplopen tot een miljoen per dag in 2035 – en dan hebben we het over alleen de VS. Als alle voorspellingen uitkomen, wordt de kans dat we ook in Nederland dagelijks drones zien vliegen de komende jaren snel groter. Maar we weten niet precies wat er vliegt.

Juist deze diverse samenstelling – overheidsdrones, commerciële drones en privé-drones – maakt het veiligheidsvraagstuk in de komende jaren groter. Overheid noch burgers kunnen drones niet of niet altijd identificeren, laat staan onschadelijk maken. De herkomst en gebruiksdoelen van de drone zijn niet altijd bekend; dat maakt het gedrag van drones onvoorspelbaar. Hoe weet je zeker dat de bestuurder achter een drone weet wat hij doet, wanneer je alleen een drone ziet? En hoe weet je wat de bedoelingen van de drone zijn? Lloyds is een van de eerste wereldwijde verzekeraars die zich over de risico’s rondom drones heeft gebogen. De belangrijkste risico’s: achteloze piloten die niet stilstaan bij de risico’s in de lucht; inconsistente en achterblijvende regelgeving met gebrekkige handhaving; en de kwetsbaarheid van drone-technologie voor cyberaanvallen.

Die hard drones fans blijven er op hameren dat de risico’s overschat worden en dat serieuze drone-gebruikers zich aan de regels zullen houden. Wanneer je ‘drone’ vervangt door ‘schietwapen’ (er zijn immers ook speelgoedgeweertjes te koop) wordt duidelijk dat deze beloften weinig zekerheid bieden. Bij de bestrijding van bosbranden in de VS zag de FAA zich genoodzaakt een campagne te lanceren om drone-gebruikers die de inzet van blushelikopters belemmerden, weg te houden. FAA drones

Tot nu toe is het nog geen enkel probleem om op verboden gebied te landen (zoals het Witte Huis) of een drone te voorzien van een schietwapen. Drones kunnen worden ingezet om stijgende of landende vliegtuigen te laten crashen; drones kunnen pakketjes met explosieven of gif droppen boven grote mensenmassa’s of boven verboden gebied. Kortom, de maatschappij kan niet alleen vertrouwen op de blauwe ogen van goedbedoelende hobbyisten en professionals. Keith Kaplan, CEO van de Amerikaanse UAVSA (Unmanned Aerial Vehicle Safety Association, een organisatie van commerciele dronegebruikers) is helder. “Drones are aircraft,” zegt hij. “The simple truth is, if you buy a drone, you’re a pilot.” (…) “Just because there’s no one in the aircraft doesn’t make it a flying video game.” Kaplan pleit dan ook niet voor aanpassing van wet- en regelgeving. Hij vindt dat drones een plaats in de bestaande luchtvaartwetgeving dienen te krijgen.

microdroneEr wordt niet alleen wereldwijd over nieuwe of aangepaste regelgeving nagedacht, maar ook over technische oplossingen waarmee drones ‘onschadelijk’ kunnen worden gemaakt. In het geval van het overtreden van regels of een bedreiging kan je een drone niet zo maar ‘uit de lucht schieten’ – bijvoorbeeld wanneer een drone zich boven een mensenmassa bevindt. Er zijn weliswaar oplossingen bedacht om drones zachtjes te laten landen, maar een meer voor de hand liggende oplossing ligt in het geforceerd overnemen van de besturing van de drone – zodat de drone gecontroleerd kan landen of terugkeert naar de eigenaar. Daarvoor is een zender nodig die het signaal van de eigenaar overtreft zonder dat de drone neerstort als gevolg van elkaar verstorende signalen. Deze techniek, ook wel ‘jamming’ genoemd, is in New York tijdens de jaarwisseling al toegepast.

Andere technische oplossingen zijn de inzet van transponders (waardoor drones identificeerbaar zijn) en software die drones weghoudt bij no fly zones (geo-fencing). De Chinese drone-fabrikant SZ DJI Technology Co Ltd, de maker van de drone die in januari in de tuin van het Witte Huis crashte, neemt deze technologie nu op in nieuwe drones. Het Nederlandse ministerie van Veiligheid en Justitie zoekt samen met de Koninklijke Marechaussee en de politie naar innovatieve oplossingen die kunnen worden gebruikt ter bescherming tegen onbemande mobiele systemen. Via het programma Veilig door Innovatie en in samenwerking met de Rijksdienst voor Ondernemend Nederland is hiervoor 1,75 miljoen euro vrijgemaakt. Doel is te komen tot concepten/prototypes voor de bescherming tegen onbemande systemen, met nadruk op bescherming tegen drones. Er wordt op dit vlak ook informatie uitgewisseld met TNO.

No fly zone FAAWijzelf kunnen trouwens ook aan de bak: iedereen kan een eigen no fly zone laten registreren, bijvoorbeeld rondom je huis. Het idee is dat de database met geodata uiteindelijk wordt gebruikt door drones. Maar het probleem van technologische oplossingen is dat ze prima te omzeilen zijn door mensen die geen boodschap hebben aan veiligheidsmaatregelen. Als je een auto kunt hacken (tegenwoordig ook een computer op wielen) dan kan je ook een drone hacken. Ook het stapje van joyriding naar joy-flying is zo gemaakt. Even de drone van papa lenen.

Dit blog maakt deel uit van een drieluik over drones, privacy, flight safety en security.
Het begrip drones wordt hier als generieke verzamelnaam gebruikt voor onbemande en op afstand bestuurde vliegende objecten (RPAS).