Airbnb: niks deeleconomie

Het concept ‘deel-economie’ is een eigen leven gaan leiden – niet alleen bij consumenten en slimme ondernemers, maar ook bij bestuurders en beleidsmakers. Naïevelingen denken dat de deeleconomie een sociaal verschijnsel is waar mensen elkaar belangeloos helpen door te delen. Er zijn mooie initiatieven waarvoor dat geldt, maar de grootste namen uit de ‘deeleconomie’ zijn gewoon bedrijven.

Deeleconomie is hip en hot. Niet omdat iedereen er aan doet, maar omdat het succes van enkele grote spelers de hoofden op hol brengt. De deeleconomie zorgt voor innovatie, welvaart, werkgelegenheid, een beter milieu en draagt bij aan een kleinere overheid. Althans, dat roept de VVD in Amsterdam, die vindt dat de stad nog wel een stapje verder kan gaan om de volle potentie van de deeleconomie in Amsterdam maximaal benutten. Ondernemers die met deeleconomie-initiatieven van start willen, ervaren regeldruk, aldus Marja Ruigrok en Marianne Poot (beiden VVD), maar: “goede ondernemers zijn vindingrijk en het is dus logisch dat ze steeds opnieuw manieren verzinnen om de door de overheid opgelegde regels te omzeilen.” Blijkbaar zijn de juridische conflicten die Uber veroorzaakt en de klachten over Airbnb een verschijnsel dat onderdeel is van deeleconomie.

Voor de volledigheid: ook Ruigrok en Poot vinden dat er keihard worden opgetreden tegen overlast: “de overheid moet wel haar verantwoordelijkheid nemen.” Toch stellen Poot en Ruigrok ook impliciet dat consumenten in de deeleconomie geen bescherming meer nodig hebben – daar zorgt de zelfregulering voor. Vroeger bleef slechte service of een ondermaats product vaak onopgemerkt,” aldus het tweetal, maar nu is alles een stuk transparanter dankzij het internet en apps. Ruigrok en Poot stellen ook dat er met het schrappen van overbodig geworden regels en vergunningen een gelijk speelveld ontstaat. Maar sommige regels zijn toch echt nodig – kijk naar Airbnb – en ook ‘gewone’ taxichauffeurs weten beter dan Poot en Ruigrok dat Uber juist geen level playing field wil. Uber heeft al meerdere malen aangegeven zich niets aan te trekken van regels, laat staan van opgelegde boetes. En ja, de deeleconomie is goed voor de innovatie, stellen Ruigrok en Poot. Ik denk dat beiden geen idee hebben hoeveel bejaarde deelauto’s er via Snappcar rondrijden door de stad. Overigens wilde Snappcar zelf deze vraag ook niet beantwoorden.

Kortom, dit VVD-duo heeft er weinig van begrepen. Gewone economie en deeleconomie worden door elkaar gehaald; regels en zelfregulering zijn blijkbaar uitwisselbaar en rankings zouden zorgen voor meer transparantie. Poot en Ruigrok zouden beter moeten weten: het paradepaardje van de deeleconomie, Airbnb, heeft helemaal niets met deeleconomie te maken. In tegendeel, het is gewoon een verdienmodel voor zowel de verhuurders als het bedrijf zelf. Eind 2015 stonden er volgens Airbnb meer dan 14.000 Amsterdamse appartementen en kamers te huur. Goed voor de economie? Ja, als wel je kijkt naar de baten: Airbnb-verhuurders in Amsterdam verdienden in dat jaar totaal zo’n 100 miljoen euro, gemiddeld 7.000 euro per Airbnb-adres. Airbnb rekent zowel bij verhuurder als huurder 3 procent servicekosten. Sinds februari 2015 draagt Airbnb ook toeristenbelasting af aan de gemeente: in dat eerste jaar goed voor circa 5,5 miljoen euro.

airbnb Dat verhuren gaat niet altijd van een leien dakje. Stalking door potentiële huurders, hacking van je Airbnb-account, schade aan je huis en/of spullen, en geconfronteerd worden met meer huurders dan zich hebben aangemeld: het waren de verhuurders zelf die met deze ervaringen naar voren kwamen tijdens een voorlichtingssessie op 14 april voor bestaande en nieuwe verhuurders in Amsterdam. Een andere, meermalen geuite klacht over het Airbnb-platform: als je als verhuurder een potentiële huurder weigert, zak je in ranking. De onvrede hierover benadrukt het belang van het verdienmodel.

Amsterdam wil een gastvrije stad zijn en vakantieverhuur is een welkome aanvulling op andere voorzieningen, maar: “woningen zijn in de eerste plaats bedoeld als woning,” aldus Laila Frank, werkzaam als projectcoördinator toeristische verhuur voor de gemeente Amsterdam, ook aanwezig bij de voorlichtingsbijeenkomst van Airbnb. Vakantieverhuur is in Amsterdam beperkt toegestaan en aan regels gebonden die betrekking hebben op veiligheid en overlastbeperking. De belangrijkste regels van dit moment: je moet zelf in de woning wonen, vakantieverhuur mag maximaal 60 dagen per jaar en voor maximaal 4 personen per keer. Verder is vakantieverhuur in sociale huurwoningen verboden. Dit beleid, waar ook de fel bekritiseerde MOU met Airbnb onderdeel van was, is twee jaar geleden voor het eerst vastgesteld door Gemeente Amsterdam.

Volgens Frank is de gemeenteraad op dit moment erg kritisch over de groei van vakantieverhuur. Ten opzichte van het voorgaande jaar is het aantal klachten in 2015 verdubbeld en er is in zowel bestuur als onder bewoners veel te doen over de toegenomen belasting van de stad door het toerisme. Het beleid wordt nu geëvalueerd en Amsterdam, dat blijft vasthouden aan het samenwerkingsmodel met de verschillende platforms, streeft naar “een betere deal met Airbnb” dan er tot nu toe was. De gemeente heeft vooral behoefte aan “grip op de vakantieverhuur. Ze zijn een schakel tussen vraag en aanbod, maar geven geen data,” zei Frank. Dat gebrek aan transparantie bemoeilijkt handhaving. Het werken met vergunningen past niet in het beleid en maakt de zaak gecompliceerder: Amsterdam beschouwt vakantieverhuur door particulieren als een “lolletje”, met vergunningen kom je in de buurt van bedrijfsmatige activiteiten. Ook Shortstay – oorspronkelijk bedoeld als oplossingen voor expats – is alleen toegestaan met een vergunning en voor minimaal zeven aaneengesloten nachten. Deze vergunningen lopen in 2019 af en worden niet meer opnieuw verstrekt. Daarmee komen er weer 800 woningen op de Amsterdamse woningmarkt beschikbaar, aldus Frank. Ook een tweede woning – waar je zelf dus niet staat ingeschreven als reguliere bewoner – mag je in Amsterdam niet verhuren aan toeristen.

plus vijf huurders beeld 1“Handhaving gebeurt veel en fors”, legde Frank verder uit. Zo richt Amsterdam zich via een meldpunt onder meer op klachten en meldingen over illegale vakantieverhuur, maar ook op sleutelbedrijven: volgens Frank overtreden die regelmatig de regels. Daarnaast wordt het web ‘gescraped’, waarbij patronen in verhuurgedrag worden onderzocht. Of hiermee voldoende wordt bereikt is de vraag: zoek zelf op locaties voor vijf, zes of zeven gasten (het kan tot en met 16+) en je vindt honderden aangeboden locaties in Amsterdam. De gemeente zegt alleen te kunnen handhaven op basis van ‘heterdaadjes’, maar er worden ook mystery guests ingezet.
De boetes beginnen bij 12.000 euro (ook wanneer er verhuurd wordt aan meer dan vier personen) en kunnen meerder boetes opgelegd worden. Ook kunnen panden worden gesloten of huurcontracten worden opgezegd. De vakantieverhuur was in 2015 goed voor 834 klachten, er werden 167 hotels gesloten en er werd voor meer dan een miljoen euro aan boetes uitgedeeld.

Tot zo ver de ‘deel’-economie die Airbnb heet. Zelfregulering of een kleinere overheid? Nee, de gemeente moet juist hard aan het werk met beleid, handhaving en controle. De rankings op Airbnb hebben betrekking op de onderlinge beoordeling van huurders en verhuurders; met andere stakeholders houdt het businessmodel van Airbnb geen rekening. Innovatie en een beter milieu? Ik zie niet wat er innovatief is aan het online afspreken dat je bij een vreemde komt slapen. Het is gewoon hotelletje spelen, zonder dat je je aan kwaliteits- en veiligheidseisen hoeft te houden die we ooit allemaal samen bedacht hebben voor de horecasector. Met meer dan 800 gemelde klachten in een jaar levert Airbnb blijkbaar aardig wat overlast op. En hoewel transparantie helemaal van deze tijd is, is dat nu net iets waar Airbnb geen boodschap aan heeft: het bedrijf komt niet met volledige namen en adressen van locaties en verhuurders.

Er zijn honderden initiatieven die terecht of onterecht het predicaat deeleconomie meekrijgen. Ook innovatieve ondernemers weten dat ze met dat etiket snel op de sympathie van consumenten kunnen rekenen. De vindingrijkheid en het succes van deeleconomie-initiatieven houden niet altijd gelijke tred met kwaliteit en duurzaamheid. Bij Fiverr kan je voor het haast symbolisch bedrag van vijf dollar opdrachten uitzetten. Bijvoorbeeld het ontwerpen van een logo, of het vertalen van een paar honderd woorden. De bedragen staan vast, de omvang van de ‘gig’ varieert en wordt bepaald door de mensen die hun diensten aanbieden. Je moet wel opletten met wie je zaken doet. Als je een logo laat ontwerpen, kan het zo maar zijn dat het logo al bestaat – en dat je ontwerper voor vijf dollar vooral een kopieertrucje heeft gedaan. En als je terug wil naar de opdrachtnemer, moet je niet verbaasd zijn dat deze niet meer bestaat. Als er iets misgaat in de dienstverlening, en de opdrachtnemer is gevlogen, krijg je een tegoed voor een volgende keer. Ofwel: ook bij een wanprestatie ben je je geld kwijt. In het businessmodel van Fiverr is het nemen (of delen) van verantwoordelijkheid voor de bemiddelende rol niet inbegrepen. Delen is mooi, maar niet alles in de deeleconomie is wat het lijkt te zijn.

PSD2: dag bank, hallo app

PSD2Zoek op Google naar ‘PSD2’ en je krijgt op de eerste pagina géén links naar kritische berichtgeving over de nieuwe ‘Payment Services Directive’. Dat is ook niet zo vreemd. Want Google zou zo maar eens een van de spelers kunnen zijn die straks baat heeft bij de nieuwe internationale regels voor financiële transacties. Big tech zit in de haarvaten van ons leven en banken verliezen in hoog tempo hun relevantie – ja, ook als ‘trusted partner’ voor onze financiën. PSD2 wordt een groot probleem voor banken én een enorme valkuil voor consumenten.

Waar een paar jaar geleden fintech nog werd gezien als ‘disruptief gevaar’ voor de traditionele grootbanken, proberen diezelfde banken nu de fintechs te omarmen. Dit vanuit de overtuiging dat de consument geld en data nog steeds bij voorkeur toevertrouwt aan de bank. En dat fintechs afhankelijk zijn van banken omdat die voorlopig – dankzij dat vertrouwen – als enige beschikken over grote volumes aan klanten en data.

Maar dat beeld is aan het kantelen. Onderzoek van adviesbureau Bain & Company onder 152.000 consumenten, waarvan 2.500 in Nederland, laat zien dat consumenten de bank steeds minder beschouwen als een vanzelfsprekende partner voor hun geldzaken. En dat voor steeds meer mensen ook big tech een logische financiële dienstverlener zou kunnen zijn. Zelfs ING-ceo Ralph Hamers onderkent inmiddels dat de echte rivalen van de bank uit de hoek van big tech komen: bedrijven zoals Google, Amazon, PayPal en Alibaba.

Techbedrijf als bank

De uitspraak van ING-ceo Hamers staat in een artikel in het FD, waarin wordt gesteld dat meer dan de helft van de consumenten wereldwijd zijn geld eerder aan een techbedrijf zou toevertrouwen dan aan een bank. In Nederland geeft twee derde van de consumenten in de leeftijd tussen 18 en 34 jaar aan bereid te zijn om te bankieren bij een gevestigd techbedrijf. In de VS is dat al 80%. Meer dan 95% van de Chinezen gebruikt niet-bancaire aanbieders voor het doen van betalingen aan platforms van derden, zoals WeChat, aldus het FD.

PSD2Het is de vraag hoe lang traditionele banken nog bestaansrecht kunnen ontlenen aan hun positie als ‘trusted partner’ van consumenten. Als dat vertrouwen echt zo belangrijk zou zijn, zou de bankencrisis van 2008 op z’n minst tot een exodus van klanten moeten hebben geleid. ING speelde ooit met het idee om persoonlijke financiële data te verkopen aan derden. Of een bank nu fikse salarisverhogingen voor de top aankondigt of megaboetes krijgt opgelegd wegens rammelende governance: de klant haalt zijn schouders op. Dat geldt ook voor de bestuurscrisis bij ABN AMRO en voor de Libor-affaire bij de Rabobank.

Met PSD2 van geld naar data

PSD2 kan gezien worden als het fundament onder een ‘paradigma shift’ voor de financiële sector: de nieuwe regels gaan meer over data dan over geld. PSD2 is om verschillende redenen ook een zwak fundament: goud en cash geld worden op dit moment beter beschermd dan data. Die onbalans is maar mondjesmaat tot de consument doorgedrongen. Wat je met geld kunt kopen, is interessanter dan de discussie hoe je je geld veilig moet opbergen zodat je het niet kwijtraakt. In het geval van data speelt een vergelijkbaar probleem: privacy wordt beschouwd als saai, maar de apps die op data draaien verrijken ons dagelijks leven. Het gevolg is dat PSD2 ongelijke tred houdt met het gedrag van consumenten, bedrijven en overheden als het gaat om ‘data als persoonlijk bezit’.

Net als bij banken hebben consumenten ook bij techbedrijven een beperkt beeld van hun rechten en plichten, maar zien dan niet als probleem. Het verschil met banken is dat techbedrijven veel dieper in de haarvaten van het leven van consumenten zijn doorgedrongen. Consumenten omarmen nieuwe technologie en handige apps vaak in korte tijd. Daarbij heeft vertrouwen plaatsgemaakt voor functionaliteit (relevantie en gemak) en beschikbaarheid (storingsvrij bruikbaar): hét recept voor een succesvolle app. Als consumenten al nadenken over data en privacy, is hun gedrag vaak niet in lijn met het gedrag dat ze vertonen.

Vertrouwen wordt ingewisseld voor gemak

Wat de consequenties zijn van het gebruik van online diensten (platforms, apps, software) is slecht zichtbaar en wordt zelden gevoeld. Het is voor consumenten nauwelijks na te gaan welke data je eigenlijk deelt, met welke partijen je die deelt, wat hun belangen zijn en wat deze partijen met die data kunnen doen. Bij het nemen van beslissingen over het delen van data gaan consumenten primair uit van het ‘hier en nu’. Ze houden zelden rekening met een toekomst waarin omstandigheden veranderen. Het nemen van beslissingen over datadelen (zoals ‘ja, ik accepteer de voorwaarden’) wordt bovendien versneld door direct merkbare voordelen die in het vooruitzicht worden gesteld – bijvoorbeeld toegang tot (vernieuwde) software.

Ook datalekken (die in volume jaarlijks toenemen) leiden nauwelijks tot andere keuzes van consumenten. In 2016 werd Uber gehackt en kwamen wereldwijd de gegevens van 57 miljoen gebruikers in handen van de hackers. Het ging om namen, e-mailadressen en telefoonnummers. In Nederland werden zo’n 174.000 klanten en chauffeurs getroffen. Uber, dat binnenkort naar de beurs wil, kreeg in verschillende landen boetes opgelegd. In Nederland was het zelfs het allereerste bedrijf dat door de AP beboet werd voor het te laat melden van een datalek. Toch meldt Uber kwartaal op kwartaal een stijgend volume aan ritten en bezorgdiensten.

Datalekken hebben nauwelijks impact

Het een versterkt het ander. Dat klanten minder zwaar tillen aan privacy en databescherming heeft ook gevolgen voor de wijze waarop bedrijven en hun beleggers met deze uitdagingen omgaan. Een longitudinale studie naar de aandelenkoers van bedrijven die te maken hebben gehad met omvangrijke (en openbaar gemaakte) datalekken laat zien dat de beurswaarde hoogstens op de langere termijn licht negatief beïnvloedt. Let wel, het gaat hierbij om aan de NYSE-genoteerde bedrijven die consumenten zien als geschikte partners voor hun dagelijkse leven en al hun data, zoals: Apple, Adobe, Dun & Bradstreet, eBay, Experian, JP Morgan Chase, LinkedIn, Monster, T-Mobile, Sony, Staples, Target, Vodafone en Yahoo.

Data makes the world go round

Data is het nieuwe goud en PSD2 is voor de financiële sector het kader om dat goud te gaan delven:  “Het doel van PSD2 is meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betalingsverkeer. PSD2 maakt nieuwe diensten mogelijk,” aldus de voorlichting van toezichthouder DNB.

Op papier lijken de regels voor PSD2 helder: de klant geeft zelf toestemming voor het beschikbaar stellen van de eigen financiële data, steeds opnieuw voor iedere partij. Die partijen moeten beschikken over een vergunning van de DNB of een andere toezichthouder uit de Europese Unie. Consumenten moeten duidelijk kunnen zien en beheren welke partijen toegang heeft tot welke gegevens. Het geven van toestemming moet vrij zijn, dus een weigering mag geen nadeel opleveren. En de manier waarop die toestemming gegeven wordt, moet duidelijk zichtbaar zijn en neerkomen op een duidelijke actieve handeling. En tot slot: consumenten moeten de toestemming weer makkelijk kunnen intrekken.

Ontwerpfout in PSD2

Deze set van regels wekt de indruk dat de consument over zijn of haar eigen data gaat. Maar onderzoek van Platform voor onderzoeksjournalistiek Investico voor De Groene Amsterdammer en Follow the Money toont aan dat ook als klanten daarvoor géén toestemming geven, rekeninginformatie toch in handen kan komen van bedrijven die handelen in financiële data. Met andere woorden, PSD2 is lek.

De bedrijven die straks met PSD2 gaan werken, erkennen die tekortkoming in PSD2. Denk aan een instelling die aan zijn eigen bank toestemming geeft om de eigen data te delen, met als doel om het gebruik van een online financieel huishoudboekje mogelijk te maken. De data in dat huishoudboekje – transacties van de instelling – bevatten ook gegevens van relaties of klanten van die instelling. Ook al hebben die afzonderlijke klanten geen toestemming gegeven om hun data te delen, hun transacties met de instelling zijn dan bekend bij de leverancier van het huishoudboekje. Kortom, consumenten hebben bij hun ja of nee geen invloed op wat derden doen met gegevenssets waarin hun data voorkomen. Het is de vraag of de ontwerpers van PSD2 rekening hebben gehouden met partijen die data uit verschillende sets gaan combineren. Want daarmee kan alsnog een zo goed als volledig beeld van individuele consumenten worden opgebouwd.

Zorgen om PSD2

PSD2Verschillende partijen maken zich ernstig zorgen om de invoering van PSD2. Marleen Stikker van Waag Society in een tweet: “(…) Een transactie heeft altijd twee kanten. De ‘Consent-clausule’ is een wassen neus als de andere kant besluit data te delen. Zo een no-brainer dat het onbegrijpelijk is dat dit juridisch geaccordeerd is en door banken uitgevoerd.”

De juristen van adviesbureau ICTRecht vragen zich vooral af waarom het toezicht op PSD2 niet bij De Nederlandse Bank belegd is, maar bij de Autoriteit Persoonsgegevens (AP) en hoe de AP effectief gaat handhaven. Hoewel overwegend neutraal over PSD2, spreekt ook de Consumentenbond zijn zorgen uit over wat er gebeurt als bedrijven zaken doen met dienstverleners uit landen die niet onder de PSD2-regelgeving vallen. Daarnaast lijkt de ontwerpfout in PSD2 ook te conflicteren met de Algemene Verordening Gegevensbescherming. Of het allemaal veel uitmaakt, is de vraag. In een eerder artikel over privacy en persoonlijke data vroeg ik me af: “Hoe overtuig je de klant dat zijn/haar data bij jouw bedrijf in goede handen zijn?” Welnu, daar hoef je als bedrijf eigenlijk nauwelijks moeite voor te doen of je druk over te maken. Wacht maar af: met een goede app is iedereen te verleiden.

Algoritme controleert algoritme

Door digitalisering worden in veel bedrijven processen steeds complexer. Dat maakt de rol van toezichthouders – commissarissen, accountants, auditors – lastiger. De toepassing van algoritmen die op basis van machine learning werken, vergroot deze uitdaging. Ook auditors maken tegenwoordig gebruik van slimme systemen om andere slimme systemen te controleren. Wie controleert wat?

algoritmenYuval Harari, auteur van 21 Lessons for the 21st Century, is ervan overtuigd dat in de toekomst ons brein wordt gehacked door kunstmatige intelligentie. Hij verwacht dat biotechnologie en kunstmatige intelligentie naar elkaar toe zullen groeien en vraagt zich af wie deze ontwikkeling aanstuurt en bepaalt. Zijn dat burgers, overheden of juist de grote bedrijven? Het antwoord laat zich raden.  Overheden zullen ontwikkelingen op dit snijvlak vooral aangrijpen voor nationale belangen zoals defensie en daarnaast liggen de mogelijkheden bij bedrijven, niet bij burgers.

Dat hacken van ons brein is een goed voorbeeld van de tegenstrijdige wereld waar we naar toe gaan: technologie kan problemen oplossen en onze levens verbeteren, maar per saldo krijgen we steeds minder vat op ons leven. Hoe groter de rol van kunstmatige intelligentie wordt, hoe minder onze eigen hersenen een bepalende rol blijven spelen.

Wie controleert de werking van software

Wat ons mogelijk te wachten staat, laat het meest recente debacle van ING zien: de witwas-affaire. Bij banken is uitgebreide monitoring van transacties verplicht volgens de wet ter voorkoming van witwassen en financieren van terrorisme. Voor een grootbank is dat monitoren een proces dat ingericht en uitgevoerd wordt met behulp van software, die doorlopend grote hoeveelheden data moet analyseren. Deze software programmeer je in eerste instantie natuurlijk om het proces dat de wet voorschrijft, uit te voeren. Hierbij worden zowel medewerkers als beslissers voorzien van feedback uit systemen: beslissingen op bestuursniveau worden genomen op basis van data. Of die systemen integer zijn ontwikkeld en doelmatig functioneren (doen waarvoor ze zijn ontworpen) is niet gemakkelijk te zien, laat staan doorlopend zichtbaar. Toetsing door middel van interne en externe audits moet aantonen dat de software zijn werk goed doet en dat de software ook goed wordt ingezet. Bij ING was ergens in dit monitoringproces besloten om de software aan te passen. “Het systeem om transacties te monitoren was – mede vanwege de beperkte personele capaciteit – door de bank zo ingesteld dat slechts een beperkt aantal witwassignalen werd gegenereerd”, aldus het Openbaar Ministerie.

In dit verhaal valt op dat het besluit dat ING nam om een systeem aan te passen, intern niet werd afgekeurd (zowel het nemen van het besluit als het aanpassen van het systeem was mensenwerk). Ook is bijzonder dat de auditors die processen en systemen moeten controleren, de aangepaste instellingen van een cruciaal systeem niet hebben gezien – of gemeld.

Wat zijn de intenties van de bedenkers van algoritmen

De processen en systemen die auditors moeten controleren worden steeds ingewikkelder. Die systemen gaan steeds vaker gebruik maken van algoritmen – uitgebreide instructies voor software om een bepaald doel te bereiken, zoals het herkennen van verdachte financiële transacties. In dit soort complexe processen moeten zowel de instructies als de uitkomsten en de benodigde grondstof (data) aan allerlei eisen voldoen. De data moeten betrouwbaar zijn (niet vooraf gemanipuleerd), de instructies moeten voldoende uitputtend en effectief zijn.

Daarnaast moet helder zijn op basis van welke uitgangspunten de algoritmen zijn opgesteld (kostenreductie, risicominimalisatie, wantrouwen, voldoen aan regels). Zo kan een verzekeraar voor de acceptatie van nieuw klanten een algoritme ontwikkelen dat bepaalde klanten uitsluit, omdat ze een te groot risico vormen. Het uitsluiten van een nieuwe klant gebeurt echter niet op basis van feitelijke kenmerken van de klant, maar van een profiel waarbij niet gecontroleerd wordt of die klant ook voldoet aan het profiel. Kortom, wie bewaakt dat uitzonderingen ook als uitzonderingen worden behandeld?

Systemen die op basis van algoritmen draaien, nemen hoe dan ook beslissingen, waarbij de bestuurder en de toezichthouder ‘toekijken’; het is aan de auditor om het geheel met enige regelmaat door te lichten om na te gaan of alles werkt zoals het zou moeten werken.

Controle en audit

Interne controles worden in bedrijven uitgevoerd om te voorkomen dat door onvolledige of incorrecte gegevens een onjuist beeld ontstaat, waardoor verkeerde beslissingen genomen zouden kunnen worden. In eerste instantie is die controle erop gericht om te zorgen dat het management op basis van juiste gegevens beslissingen neemt. In tweede instantie worden zo ook de gegevens gecontroleerd die een bedrijf naar buiten brengt. Omdat – onder meer door het Enron-schandaal – duidelijk werd dat ook doorlopend onderzoek naar de beheersing van de ICT onderdeel moet uitmaken van de controle van de verantwoording door de directie van de onderneming, zijn de regels voor verantwoording uitgebreid met Sarbanes-Oxley (SOX) en Basel II. SOX schrijft bijvoorbeeld voor dat met bewijs onder meer wordt verantwoord welke software is aangepast, waarom en door wie.

Software wordt dynamisch

Auditors controleren onder meer software, al jarenlang. Die software was tot nu toe redelijk statisch van aard, veranderingen of ‘changes’ worden in de wereld van IT bovendien zorgvuldig afgewogen, ontworpen, getest en gedocumenteerd. Met de komst van kunstmatige intelligentie verandert dit. Want bij machine learning, de meest impactvolle vorm van kunstmatige intelligentie, evolueert software zonder menselijke tussenkomst. De software heeft een eigen feedback-loop en leert doorlopend van nieuwe data. “Hoe weet je dan nog of de algoritmes doen wat ze horen te doen? Hoe kun je vertrouwen hebben in zo’n zelflerend systeem?”, aldus Mona de Boer, expert op het gebied van data-analyse en digitale assurance bij PwC Nederland.

Het werk van auditors gaat dus steeds meer bestaan uit het analyseren en controleren van algoritmen. Tegelijkertijd maken auditors zelf ook in toenemende mate gebruik van algoritmen. GL.ai is een robot, ontwikkeld en ingezet door PwC, die met kunstmatige intelligentie in staat is miljarden verschillende gegevenspunten in seconden te analyseren bij het beoordelen van afwijkingen in grootboektransacties. Hoe langer GL.ai aan het werk is, hoe slimmer deze robot wordt. We gaan dus toe naar een situatie waarbij algoritmen hun collega-algoritmen gaan controleren. Dat plaatst het toezicht in een bijzonder perspectief. Toezicht was tot nu toe gericht op verantwoordingsdocumentatie: kan een bedrijf aan de hand van vastgelegde afspraken (wie doet wat, wie heeft wat gedaan) uitleggen hoe resultaten tot stand zijn gekomen?

Uitlegbaarheid algoritme

De Boer waarschuwt dan ook voor de ontwikkeling dat systemen steeds slimmer, maar gelijktijdig ook steeds minder goed uitlegbaar worden – want los van de ontwerpbeginselen zijn de systemen zelf veranderlijk. Mensen hebben de neiging om beslissingen die door een computer worden genomen, te beschouwen als beter en meer betrouwbaar dan beslissingen die door mensen worden genomen. Ook algoritmen worden, net als technologie, al snel beschouwd als ‘neutraal’. Maar technologie en software zijn niet neutraal – de werking moet beslist niet in het nadeel, maar in het voordeel van de bedenker werken. Daarnaast maakt het vermogen van kunstmatige intelligentie om zichzelf verder te kunnen ontwikkelen de controleerbaarheid erg lastig. De Boer pleit dan ook voor ‘uitlegbaarheid’ als ontwerpprincipe van AI.

De keerzijden van machinelearning

Die uitlegbaarheid gaat bijvoorbeeld over welke datasets worden gebruikt en welke criteria worden gebruikt. Evert Haasdijk (AI-specialist en senior manager Financial Advisory bij Deloitte) geeft een goed voorbeeld. Uit databaseonderzoek blijkt dat de meeste schade wordt veroorzaakt door bestuurders van rode auto’s. Met datamining kun je dus op kleur van auto’s premies differentiëren. Haasdijk wijst op de vraag of bij het ontwikkelen van het algoritme een juiste dataset is gebruikt: “Zitten er bij die rode auto’s niet een paar Ferrari’s die de schadelast enorm hebben opgeschroefd? Heel veel modellen kloppen gewoon niet. Het is natuurlijk onzin dat mensen in rode auto’s slechtere bestuurders zijn.”

Belangrijke eigenschap van machine learning is dat nieuwe afwijkingen of uitzonderingen niet direct leiden tot andere uitkomsten. Machine learning is een geleidelijk leerproces. Net als bij het menselijk brein levert ieder nieuw voorbeeld een kleine bijdrage aan nieuwe logische verbindingen.

algoritmenEn tot slot is het interessant dat we al sinds de opkomst van het sociale web de basis leggen voor een toekomst waarin machine learning alle ruimte krijgt. Onze digitale samenleving bestaat inmiddels voor een groot deel uit het produceren en afstaan van data, iets waar de Chinese president Xi Jinping handig gebruik van wil maken. Vervang ‘China’ door ‘een bedrijf’ en het is duidelijk dat kunstmatige intelligentie straks voor onuitlegbare verschillen kan gaan zorgen tussen mensen. Vrijwel alle bedrijven zitten al op een berg aan data en dat volume neemt alleen maar toe. Die data zijn in het verleden ‘afgestaan’ volgens wetten en regels uit dat verleden, maar ook met de technologische mogelijkheden uit die tijd. Werk aan de winkel dus voor bestuurders en toezichthouders om zicht en grip te houden op hoe hun organisatie op basis van nieuwe technologie met zowel reeds eerder verzamelde als nieuwe data omgaat. Een mooie, maar wellicht wat romantische houvast komt van journalist en Wall Street Journal R&D chief Francesco Marconi: “Algorithms are rules, and those should be fair.”

Dit artikel is ook doorgeplaatst op iBestuur

Grip op data in de digitale stad

De digitale transformatie gaat meestal over de noodzaak om organisaties ‘intern’ te veranderen zodat ze beter op ‘extern’ kunnen inspelen: op verandering, versnelling, concurrentie, disruptie. Een heel ander aspect is de belofte van de digitale transformatie: data zijn de nieuwe olie, nodig voor nieuwe verdienmodellen. Voor de overheid zijn data een sturingsmiddel; gebrek aan data maakt een overheid machteloos. Over de digitale visie van Amsterdam, Airbnb en een deelfietsenplan.

Onze economie wordt steeds meer een data-economie en ook overheden willen hier graag aan meedoen. Daarom heeft Amsterdam een visie opgesteld op het informatievraagstuk (zie verderop) en komen er geleidelijk concrete datatoepassingen naar buiten. Een voorbeeld daarvan is het dataportal Amsterdam City Data, waarmee data van en over de gemeente Amsterdam beschikbaar worden gesteld via één loket, bereikbaar voor publiek, ketenpartners en ambtenaren. Dat portal biedt data uit een aantal basisregistraties, in samenhang met omgevingsfoto’s, gebiedsinformatie, basisstatistieken en data over onder meer parkeren, milieu, externe veiligheid, monumenten en onderwijs. Verder zit er van alles in de pijplijn, want Amsterdam wil met behulp van technologie en open data de stad leefbaarder en duurzamer maken. Hiervoor zijn meer dan 100 projecten in het leven geroepen. Zo wordt bijvoorbeeld samengewerkt met start-up Olisto (een soort If This Than That ofwel IFTTT) voor het vinden van parkeerplekken en het slim gebruiken van laadpalen.

Ronkende verhalen over data

Gemeente Amsterdam ziet grote mogelijkheden met data: zowel voor zichzelf – de interne organisatie en de samenleving die bediend wordt – als voor de markt. De gemeentelijke I-visie is bedoeld om kaders te stellen voor de wijze waarop de gemeente de komende jaren haar informatievoorziening inricht en omgaat met informatie. Het document bevat veel ronkende taal over hoe onze samenleving digitaliseert: “Het internet genereert een groeiende hoeveelheid big data om te analyseren en te combineren. Door de slimme (geautomatiseerde) analyse van interne en externe data ontstaan nieuwe inzichten die van grote waarde kunnen zijn. De data uit de fysieke en sociale infrastructuur van de stad kunnen worden benut voor maatschappelijke en economische doelstellingen. Burgers en ondernemers worden in staat gesteld om met innovatieve oplossingen gebruik te maken van data (…).”

digitale

Data: geen sneeuwbui of mierenplaag

Je kunt wel stellen dat het ‘internet een groeiende hoeveelheid data genereert’, maar data zijn geen natuurverschijnsel. Ze worden geproduceerd door mensen, veelal direct door ‘digitaal gedrag’ –  bijvoorbeeld door het posten van een foto op Instagram. Die actie leidt tot de productie van een hele hoop nieuwe (meta)data: denk aan gegevens over de foto, over wie zich op welke locatie bevindt, welke gsm-mast wordt gebruikt. Diezelfde actie leidt ook tot een enorme datastroom richting derden (denk aan Facebook of Google) waarmee persoonlijke profielen worden gevuld die weer worden ingezet door adverteerders. Hun output komt wellicht weer als ‘gerichte boodschap’ terecht op de smartphone van de persoon die de foto op Instagram plaatste.

Data om gedrag te sturen

De data-economie is big business. Wie data bezit of er toegang toe heeft, kan het leven van mensen beïnvloeden, want mensen laten zich steeds meer letterlijk of figuurlijk leiden door software. Ook de gemeente heeft een data-agenda. Amsterdam wil inzetten op “het centraal en uniform ontsluiten, verzamelen en delen van data”, wat het mogelijk maakt om “met data maatschappelijke vraagstukken op te lossen, de dienstverlening te verbeteren, slimmer te handhaven en gemeentelijke eigendommen in de openbare ruimte te beheren, maar ook om met data de ondersteunde werkprocessen efficiënter in te richten en de zorg te verbeteren.” Amsterdam begrijpt daarnaast heel goed dat data (ook) een mogelijk stuurmiddel zijn: “Door toegang tot een verscheidenheid aan bronnen en het snel herkennen van patronen kan data worden gebruikt om gedrag te beïnvloeden.”

digitale

In de I-visie waarschuwt de gemeente hier en daar voor een ‘goede balans’. Zo is het belangrijk het evenwicht tussen beheer en innovatie (wegwerken van IT-legacy, maar daarnaast beslist ook innoveren) niet uit het oog te verliezen. Want Amsterdam loopt internationaal voorop met haar Smart City- en Innovatieprogramma, aldus de I-visie. Die ambitie komt ook terug in de economische plannen van Amsterdam om een global business hub te worden. “Door samenwerking tussen bedrijven, overheden, kennisinstellingen én de Amsterdammer wordt de metropoolregio Amsterdam ontwikkeld als slimme stad.”

Kansen

Amsterdam hamert in de I-visie nadrukkelijk op de kansen rondom data-gedreven innovatie. “Amsterdam heeft de kans om economische groei door data gedreven innovatie te stimuleren door kennis, data en infrastructuur beschikbaar te stellen aan burgers en ondernemers. Door een collectieve aanpak, kennisdeling, belemmeringen weg te nemen en partners samen te brengen kan de gemeente duurzame economische investeringen stimuleren.” En onder het kopje ‘zelf doen of laten doen’ (wanneer werk je samen met de markt?) stelt de gemeente dat bij informatievoorzieningsvraagstukken steeds de afweging moet worden gemaakt wie de beste en meest efficiënte dienstverlening of oplossing kan leveren. Amsterdam doet daarbij graag zaken met de markt.

Van wie zijn mijn data

Ik heb op dit blog al vaker geschreven over de vraag ‘van wie zijn mijn data’, ook in relatie tot ‘de slimme stad’. De behoefte aan transparantie neemt toe – en ook Amsterdam investeert bijvoorbeeld in open data initiatieven waarbij data van de overheid gedeeld worden. Maar de introductie van open data betekent niet dat alle data-gedreven initiatieven van de overheid transparant zijn, of op z’n minst zichtbaar.

Een goed zicht op die ontwikkeling is echter essentieel, want de stad is – door een concentratie van mensen, bedrijven, verplaatsingen, et cetera – als rijke en onuitputtelijke bron van data een goudmijn voor het bedrijfsleven. Was tien jaar geleden software nog een bottleneck (het ontwikkelen daarvan was een kostbare en tijdrovende zaak), tegenwoordig spelen er voor het bedrijfsleven maar twee vragen: 1. welke businessmodellen kan ik lanceren met data? En 2. hoe krijg ik toegang tot beschikbare data?
Een deel van de data rondom de slimme stad ligt bij de gemeente. Daarom moet bij de digitalisering – naast operationele zorg voor privacy en security – niet alleen worden gesproken over het eigenaarschap van data maar ook om over het toezicht op nieuwe data-gedreven initiatieven die berusten op businessmodellen op het snijvlak van overheid en bedrijfsleven. Daarbij gaat het niet alleen over alleen het eigendom van data, maar ook over de impact, duurzaamheid en beheersbaarheid van die nieuwe business.

dataGeen grip op Airbnb

Omdat wetgeving per definitie achterloopt op de stand van de technologie, kan regulering problematisch worden als een businessmodel niet alleen economisch maar ook maatschappelijk ontwrichtend blijkt uit te pakken. Het voorbeeld van Airbnb in Amsterdam laat zien hoe een snelgroeiend bedrijf in een hoog tempo ongrijpbaar is geworden voor de overheid. Net als veel andere steden krijgt ook Amsterdam geen vat op Airbnb wegens gebrek aan data, terwijl het businessmodel gaat over Amsterdammers die Amsterdamse huizen, boten en caravans verhuren aan toeristen. Het disruptieve karakter van Airbnb gaat niet over hotels, maar over het wegtrekken van bewoners en het ontstaan van op goedkoop toerisme gerichte monocultuur in de winkelstraten. Niet een economische sector wordt ontwricht, maar een aspect van de samenleving.

De connected deelfiets

digitaleAmsterdam ziet data ook als de sleutel tot het aanpakken van het vraagstuk van bijna honderdduizend zwerffietsen. Het plan om de stad (met meerfietsen dan bewoners) te verrijken met duizenden ‘deelfietsen’ – in essentie huurfietsen omdat er betaald wordt voor gebruik – levert een vergelijkbaar risico als bij Airbnb op: verlies van grip op een nieuwe onderneming die in belangrijke mate op data drijft. Het is niet duidelijk of Amsterdam hier goed heeft nagedacht over het eigenaarschap van data. Het kan ook zijn dat bij het ‘deelfiets’-plan de datahonger van Amsterdam zelf een rol speelt.
Wanneer in de stad de honderdduizend anonieme (en vaak stilstaande) weesfietsen plaats maken voor honderdduizend ‘connected’ fietsen, dan is er op het vlak van data in ieder geval altijd één winnaar: het deelfietsbedrijf dat de data mag gebruiken, of gemeente Amsterdam, die precies weet wie waar (naar toe) fietst. De ‘deelfiets’ kan natuurlijk aan de man gebracht worden als ‘smart mobility’; een paar jaar geleden dacht Amsterdam ook dat Airbnb iets met ‘deeleconomie’ had te maken.

Dit artikel is ook doorgeplaatst op iBestuur

Lees ook het blog over Smart City Amsterdam

Krokodillentranen op de krappe arbeidsmarkt – de toekomst van werk (10)

Hoogconjunctuur plus vergrijzing is krappe arbeidsmarkt. Ook zes jaar geleden was al duidelijk dat we zouden afstevenen op tekorten in ICT, zorg en onderwijs. Nu roepen universiteiten om meer geld. Misschien een doekje voor het bloeden, maar het echte probleem zit in gebrekkig bestuur bij de universiteiten, dat een hogere instroom toelaat dan financieel haalbaar is. Hoe in tijden van een krappe arbeidsmarkt de opleidingen aan de rem van de instroom trekken.

In de zomer van 2014 publiceerde Boston Consulting Group (BCG) de resultaten van een een onderzoek naar het functioneren van de arbeidsmarkt in 25 grotere economieën (inclusief de G20). De onderzoekers deden daarbij voorspellingen tot 2030 en ik schreef daarover in het eerste deel van mijn serie over de toekomst van werk.

Krappe arbeidsmarkt: al jaren geleden voorspeld

Wat waren de belangrijkste conclusies? Vanaf 2020 krijgen verschillende Europese landen te maken met een krimpende beroepsbevolking. De babyboomers gaan massaal met pensioen, ook in de publieke sector. De stapsgewijze aanpassingen in de pensioenleeftijd zijn een druppel op de gloeiende plaat. De effecten: druk op de economische groei, maar ook maatschappelijke problemen. Zo zorgt de toenemende levensverwachting voor arbeidsmarkttekorten.

Wat BCG nog niet wist, maar wat in het bedrijfsleven nu beslist zichtbaar is: in vrijwel alle sectoren blijven ondanks de sterke conjunctuur aanpassingen in de lonen uit. BCG kwam met een aantal adviezen die voor de meeste Europese landen gelden. Naast verhoging van de productiviteit door middel van (investeringen in) technologische innovatie en onderwijs wees BCG vooral naar arbeidsmarktbeleid. Zo zou Nederland, dat kampioen parttime werken is als het gaat om vrouwen, de arbeidsparticipatie van vrouwen en ouderen moeten vergroten. Ook zou er anders naar immigratie moeten worden gekeken. Zo wordt nu nog niet gekeken naar competenties en toegevoegde waarde van immigranten; in tegendeel: vanaf 2019 gaat de duur van de fiscale tegemoetkoming van 30% korting op de inkomstenbelasting van expats omlaag van acht naar vijf jaar, zonder overgangstermijn. En tot slot adviseerde BCG om de arbeidsduur in uren per persoon per jaar verhogen.

Beroepsbevolking krimpt

Na het verschijnen van de studie van BCG zijn vier jaar verstreken. De resultaten van de BCG-studie worden ondersteund door nieuw onderzoek van Harvard Business Review dat nog iets verder vooruitkijkt. Daaruit blijkt dat vooral Europa te maken krijgt met vergrijzing tot in 2050, iets wat HR-dienstverlener Randstad betitelt als een ‘demografische tijdbom’. In 2050 staan tegenover iedere tien mensen die aan het werk zijn, vier personen ouder dan 64 jaar. Daarnaast slinkt de omvang van de Europese beroepsbevolking – van 67 procent in 2010 naar 57 procent in 2050. Het betekent dat de financiële druk op het werkzame deel groter wordt.

De Nederlandse beroepsbevolking krimpt tussen 2020 en 2025 met bijna 2 procent. Ondanks het ophogen van de pensioenleeftijd van 65 via 67 naar 69 jaar in 2040 neemt per saldo de potentiële beroepsbevolking in verschillende sectoren af, aldus het CBS. De aanhoudend groeiende vraag leidt tot toenemende schaarste, waarbij bouw, ICT en techniek te maken hebben met de grootste krapte. Volgens de laatste analyses van Randstad is er een enorme vraag naar hbo-geschoolde IT’ers, zowel starters als mensen met enige ervaring, met in de top drie specialisaties zoals .Net developers, PHP developers en front-end developers. Alleen al in deze drie groepen gaat het om duizenden openstaande vacatures. De laatste analyses (zomer 2018) van Yacht laten zien dat de top vijf meest gevraagde skills in Nederland voor een belangrijk deel bestaat uit software engineers en online developers. arbeidsmarktOver alle IT-functies heen is er vraag naar ruim 62.000 mensen (Q2-2018), maar zijn er ruim 26.000 personen in de markt beschikbaar (dit zijn werkenden die openstaan voor een nieuwe functie én personen die langer dan zes maanden werkloos zijn). De regio’s Utrecht en Eindhoven kennen ‘extreme’ krapte aldus Yacht, in midden-Nederland is sprake van zeer grote krapte. Alleen in de periferie – oost-Nederland, Limburg, Zeeland en de kop van Noord-Holland is de krapte gemiddeld.

 

Tech-sector als aanjager innovatie in het nauw

De IT-sector is daarbij steeds meer de aanjager van innovatie en dat maakt het Nederlandse bedrijfsleven extra kwetsbaar. Dat is bijvoorbeeld zichtbaar in de hoek van de digital agencies: de bureaus die apps, websites en andere digitale platforms bouwen en onderhouden. Volgens branchevereniging Dutch Digital Agencies (DDA) moeten de bureaus steeds vaker nee verkopen aan opdrachtgevers door het tekort aan geschikt personeel.

‘Gewone Nederlandse bedrijven’ concurreren met grotere Amerikaanse techbedrijven. DDA noemt Uber en Netflix (met kantoren in Amsterdam) als voorbeeld. Tijdens een rondetafeldiscussie georganiseerd door Randstad kwam Booking.com ter sprake, waar (in 2018) de afdeling technology iedere maand met 100 nieuwe medewerkers groeit.

Ook andere bedrijven klagen, aldus een artikel in het FD. TU Delft bestuursvoorzitter Tim van der Hagen: ‘Bedrijven zoals ASML, NXP, Philips en Shell zeggen tegen ons: “Geef ons meer ingenieurs”.

Volgens bestuursvoorzitter Jan Mengelers van de TU Eindhoven is de vraag van bedrijven twee keer groter dan wat de technische universiteiten kunnen leveren. Alleen al bij ASML, de grootste afnemer van TU Eindhoven, heeft wereldwijd duizenden vacatures, met in Nederland minimaal 3.000.

Universiteiten: studentenstops? 

Maar omdat de financiering twee jaar achterloopt op de feitelijke instroom van studenten, kondigen zowel Delft als Eindhoven nu studentenstops aan. Dat lijkt, gezien de krappe arbeidsmarkt, een onbegrijpelijke actie. Waar zit de fout?
De Nederlandse universiteiten hebben zonder verder na te denken gereageerd op langdurig kabinetsbeleid om universitaire techniekopleidingen te promoten (vooral onder vrouwen) en buitenlandse studenten aan te trekken. TU Delft is in tien jaar tijd gegroeid van 15.800 studenten naar 24.000 dit jaar. Bij TU Delft en TU Eindhoven kwam in 2017 respectievelijk 20 en 12 procent van de studenten uit het buitenland. De gevolgen: naast problemen bij de studentenhuisvesting is nu ook het geld op dat nodig is voor extra personeel voor onderwijs en onderzoek. Universiteitenkoepel VSNU roept op om gereserveerde gelden eerder beschikbaar te stellen.

Universiteitsbesturen: old school thinking

Dat klinkt als een verkeerde afstemming tussen voorkant (de verkoop van studieplekken tegen een te lage prijs) en de achterkant (waar de productie moet worden geleverd). Dit is echter niet iets van de afgelopen twee of drie jaar: tussen 2006 en 2016 is het aantal buitenlandse voltijdsstudenten gestegen van 12.000 naar 42.000 en al die jaren was al bekend dat een buitenlandse student meer kost dan oplevert. Een gevalletje bad planning dus en alle redenen voor het Nederlandse bedrijfsleven om boos te zijn op het hoger onderwijs. Want de kaders voor de universiteit zijn duidelijk als het aan onderwijsminister Ingrid van Engelshoven ligt: er komt niet meer geld bij. Of zoals Jasper Been (fractievoorzitter van studentenbeweging Democratische Academie Groningen) het vorig jaar formuleerde: “Universiteitsbestuurders mogen niet in de verleiding komen om zo veel extra studenten aan te trekken.” Spijtig dat geen enkele minister van onderwijs heeft ingegrepen in onze kenniseconomie, die op bestuursniveau vooral door testosteron gedreven lijkt te worden.

PSD-2 en GDPR: de strijd om persoonlijke data barst los

persoonlijke dataDe financiële sector moet data gaan delen en vrijwel gelijktijdig wordt de zeggenschap van burgers en consumenten over hun eigen data versterkt. Met de komst van twee complexe sets aan nieuwe Europese wetgeving – PSD-2 en GDPR – wordt de digitale samenleving er niet eenvoudiger op.

Economie en samenleving zijn de afgelopen 20 jaar ingrijpend ‘gedigitaliseerd’: we communiceren, werken, kopen en betalen steeds meer online. De Europese Unie is daarom in 2012 aan de slag gegaan met de modernisering van de privacywetgeving. Met ingang van voorjaar 2018 wordt de nieuwe General Data Protection Regulation (GDPR) van kracht. Omdat data zich niet aan landsgrenzen houden, heeft de EU de ‘richtlijn’ uit 1995 ingewisseld voor veel strengere regelgeving. Die nieuwe regels zijn van toepassing op alle organisaties die data beheren of verwerken, waarbij die data gerelateerd zijn aan het leveren van diensten of producten in de EU. Het gaat daarbij ook om monitoring van gedrag (zoals het volgen van websitebezoekers).

Compliancy

Om compliant te zijn aan de nieuwe regels moeten organisaties hun beleid documenteren, assessments gaan uitvoeren op het vlak van databescherming en risico’s, en moet dataprotectie ingebed zijn in alle activiteiten. Concreet betekent dit bijvoorbeeld dat organisaties verplicht worden een Data Protection Officer aan te stellen of in te huren. Een ander concreet gevolg is dat de rechten van consumenten worden versterkt. Zo moeten consumenten – door de EU betiteld als een ‘data subject’ – gemakkelijk toestemming kunnen geven en intrekken voor het gebruik van hun data. Ook krijgen ze het recht op te vragen over welke persoonlijke data bedrijven beschikken. Ze kunnen deze data zelfs opeisen en onderbrengen bij een andere databeheerder. Hier hoort ook het ‘recht om vergeten te worden’ bij. Lidstaten mogen (voorlopig) zelf bepalen welke leeftijdsgrens (16 of 13 jaar) ze hanteren voor het zelfstandig nemen van data-beslissingen. Dit zijn slechts enkele voorbeelden uit de uitvoerige set aan regels waaruit GDPR bestaat.

Consument baas over eigen data

De kern van GDPR is dat de consument baas wordt over zijn eigen data. Daarbij hoort niet alleen transparantie – bedrijven moeten transparant zijn over wat ze met welke data doen – maar ook sturend vermogen: consumenten krijgen veel mogelijkheden om zelf beslissingen te nemen over hun data. Organisaties die zich niet aan de regels houden, kunnen boetes krijgen die kunnen oplopen tot 4 procent van hun totale jaarlijkse omzet. Dat geldt ook voor organisaties die data voor derden verwerken, zoals facilitaire contactcenters of bemiddelaars.

Markt voor betaaldiensten gaat verder open

Vrijwel gelijktijdig met deze nieuwe Europese privacywetgeving wordt het nieuwe Payment Service Directive-2 ingevoerd. Met PSD-2 wil de EU óók inspelen op de digitaliserende samenleving, maar dan met het argument om innovatie en concurrentie in de bancaire dienstverlening te bevorderen. Hoewel PSD-2 primair gericht is op financiële transacties, gaat het ook hier om data. PSD-2 brengt als het ware een nieuwe ordening aan in bancaire diensten. Er wordt een onderscheid gemaakt tussen diensten die uitgaan van betaalrekeningen (nu het domein van banken) en betalingsdiensten. De banken moeten straks informatie uit betaalrekeningen delen met derde partijen (mits de consument daar toestemming voor geeft) en derde partijen mogen met toestemming van de rekeninghouder online betaaltransacties initiëren, waarbij banken verplicht worden hun infrastructuur beschikbaar te stellen, tegen wettelijk gemaximeerde tarieven per transactie.

Alles tegelijk

persoonlijke dataAan de ene kant krijgen consumenten (en daarmee – onder voorwaarden – bedrijven) zeggenschap over hun persoonlijke data, aan de andere kant worden de regels over het bezit en verwerken van data voor bedrijven enorm aangescherpt. Dit heeft grote gevolgen: bedrijven moeten in actie komen om alle nieuwe regelgeving door te voeren. Hun marketingorganisaties zullen zich moeten voorbereiden op nieuwe omstandigheden waarbij het bezit van klantdata niet meer vanzelfsprekend is. Ondernemingen zullen moeten accepteren dat ze te maken krijgen met payment service providers uit de fintech sector. Bedrijven worden gedwongen meer te communiceren met hun klanten over hoe ze met data omgaan en moeten er op anticiperen dat consumenten hun data zelfs gaan ‘terughalen’. Die consumenten zelf zullen in de nabije toekomst vaker beslissingen moeten nemen over hun persoonlijke data. Inmiddels is er een hele serie data-startups ontstaan, dat platforms aanbiedt om consumenten te helpen bij het managen (of zelfs vermarkten) van hun eigen data, zoals DIME en Schluss. Qiy is een stelsel voor de routering van data onder regie van het individu. Het verschil tussen DIME, Schluss en het Qiy Afsprakenstelsel is dat implementaties op basis van het Qiy stelsel een link leggen met persoonlijke data die ergens anders blijven bestaan, in plaats van dat deze data zich in een ‘kluisje’ bevinden op een platform.
En tot slot zullen privacytoezichthouders extra inspanning moeten leveren om hun taken uit te voeren.

Data = kapitaal

privacy-voorvechtersHet was al een tijdje duidelijk dat data een belangrijk onderdeel van het bedrijfskapitaal vormen (ook al staan ze, net als intellectueel kapitaal, zelden op de balans). Organisaties zijn nog volop bezig met uitvinden hoe ze het big data vraagstuk te lijf moeten gaan. Daar komt nu een nieuw vraagstuk bij. Hoe overtuig je de klant dat zijn/haar data bij jou – e-commerce speler, bancair dienstverlener, socialmedia-platform, bank, of een van de databeheerders uit het rijtje Qiy, Schluss of DIME – in goede handen zijn? Zoals Paul Weiss (Accenture) het samenvat: het gaat om vertrouwen. Staan banken daarbij op 0-1 achterstand of ligt de uitdaging vooral bij alle andere spelers?

De privacy-voorvechters hebben hun messen al lang geslepen. Ze vinden nu ook de AFM aan hun zijde, die onder meer bang is voor misbruik van betaalgegevens. Of ligt de grootste uitdaging bij het onderwijs, om consumenten bewust te maken van privacy?

Van wie zijn mijn data? (2)

If it’s free, you’re the product. Dat geldt online voor het gebruik van social media platforms ­­zoals Facebook en Instagram, maar ook voor meer serieuze toepassingen zoals Google Gmail en WhatsApp. Consumenten zijn bereid om gratis diensten af te nemen in ruil voor data. Hoewel vrijwel niemand zicht op de precieze inhoud van die ruilverhouding heeft, neemt het aantal bedrijven toe dat consumenten aanmoedigt hun data te vermarkten. Over DIME, een Nederlands initiatief – en de nieuwe Europese privacy-verordening die in 2018 van kracht wordt.

dataDe net iets meer dan een miljard gebruikers van Facebook leveren het bedrijf van Zuckerberg een kwartaalomzet op van 5,4 miljard dollar en een operationeel resultaat van 2 miljard dollar (netto 1,5 miljard dollar, gegevens over het eerste kwartaal 2016). Die opbrengsten komen voor 97 procent uit de advertentiemarkt. Dat consumenten nog steeds weinig problemen hebben met het vermarkten van hun data zou je kunnen afleiden uit de groei van het aantal Facebookgebruikers: dat name afgelopen jaar toe met 154 miljoen gebruikers. Ook de advertentie-inkomsten van Facebook stegen procentueel gezien met double digits. Dat is ook het geval bij het moederbedrijf van Google, Alphabet, met een kwartaalwinst van 21,5 miljard dollar (een groei van 21 procent) en een nettowinst van 4,9 miljard dollar over 2015. De advertentie-inkomsten van Google stegen met 16 procent.
Facebook en Google zijn maar twee voorbeelden. Het social media landschap bestaat uit honderden toepassingen met een paar grote spelers en vaak is data hier het kapitaal.

Geld verdienen met data

Dime – Data is me – wil daar verandering in aanbrengen. “Verkoop je persoonlijke informatie, zorg ervoor dat deze up to date is en controleer waar je gegevens worden gebruikt (‘eerlijke data’) – aldus Dime. Dime is een initiatief van drie voormalige drie deeltijdstudenten aan de Media, Informatie en Communicatie-opleiding van de Hogeschool van Amsterdam. De bedenkers – Martijn van Moock, Aarnout Mettes en Mariska van Bohemen – werden tijdens de Prissma Pitch van 2013 beloond met een Award voor hun idee. Dat leverde een eerste bescheiden startkapitaal op, dat voor het drietal de aanzet was om het idee om te zetten in een start-up. Een jaar later zorgde een crowdfundingcampagne, bedoeld om het platform te kunnen ontwikkelen, voor 34 duizend euro aan extra kapitaal. “We konden daarbij niet meteen iets teruggeven – er werd bijvoorbeeld geen tastbaar product ontwikkeld. Het ging dus vooral om giften, afkomstig van ruim 130 mensen,” aldus Van Moock.

Consumenten

Dime is nu een aantal maanden live. Er zijn nu zo’n 600 consumenten aangemeld. Je staat bij Dime geen gegevens af, maar er wordt via een API een koppeling gemaakt tussen het Dime platform en Facebook, Instagram en Linkedin. De content die op deze platforms wordt gedeeld, komt bij Dime terecht.

Dime richt zich op twee groepen: mensen die gevoelig zijn voor het argument dat ze geld kunnen verdienen met hun data; en mensen die op zoek zijn naar een betere bestemming met betere controle over hun gedeelde data. “We willen ons in de werving van consumenten vooral richten op studenten, onder meer via de introductieperioden van universiteiten en hogescholen. Jongeren zijn nogal lui, het kost veel moeite om ze te mobiliseren, daarom hebben we nu een laagdrempelige aanmelding. Wat we vertellen is dat mensen de controle over hun persoonlijke gegevens kunnen terugwinnen: je beslist zelf welke gegevens bedrijven mogen gebruiken en je kunt er geld mee verdienen. Consumenten kunnen in hun profiel aangeven voor welk doel de data gebruikt mogen worden: voor marketing- of onderzoeksdoeleinden of om – op termijn – bepaalde bedrijven juist uit te sluiten. Dat soort features willen we testen. Het is niet ondenkbaar dat Dime ook gaat werken met het belonen van consumenten die handmatig bepaalde gegevens afstaan. Verder hangt het succes van Dime ook af van de bedrijven die voor ons kiezen.”

Bedrijven

Aan de andere kant kunnen bedrijven zich aanmelden en data kopen: denk aan mediabureaus en het MKB. “Bedrijven kunnen bij ons shoppen – bijvoorbeeld data kopen die betrekking hebben op inwoners van een bepaalde regio met een bepaald profiel. Denk aan iemand die op Facebook praat over Ajax en incheckt bij de Arena. Bedrijven krijgen deze data en zullen zich moeten houden aan de gebruiksdoelen en de gebruiksperiode – die is contractueel vastgelegd.”
De waarde die Dime wil toevoegen is dat bedrijven – adverteerders, mediabureaus – er bewust voor kunnen kiezen om te werken met data waarbij de consument heeft gekozen voor dat gebruik en waarbij er niet een set algemene voorwaarden van tientallen pagina’s hoeft te worden ontcijferd. “We willen een alternatief bieden: het gebruik van consumentendata kan ook op een goede manier. Dat zou organisaties als politieke partijen of NGO’s kunnen aanspreken.”

Controle

Desalniettemin kunnen partijen als Facebook nog steeds hun eigen gang gaan met de data die je deelt. De ‘Facebook-gebruiker’ krijgt bij Dime dus niet de controle terug, maar krijgt een klein stukje controle over een bepaald soort gebruik van specifieke data. De vraag is wat die controle voor de consument werkelijk inhoudt. Niet alleen het daadwerkelijk gebruik, maar ook de juiste hoogte van de afdracht is moeilijk te controleren. Dime heeft nog geen model ontwikkeld voor onafhankelijke audits.

Van Moock erkent dan ook dat Dime in aanbouw is. Past het precies bij wat consumenten willen of wordt juist slim ingespeeld op de privacy paradox? De doelgroep is slim gekozen: jongeren hebben een eventueel gebrek aan privacy nog niet ervaren en weten ook nog niet hoe gegevens een rol spelen in hun mogelijkheden (of beperkingen). Ze hebben nog geen ervaring opgedaan met de relatie tussen bestedingen, schulden, inkomen, bewijs daarvan en hypotheek.

Dime is niet de enige partij die een rol wil spelen in de wereldwijde datamarkt. In Nederland is naast Schluss ook Leaflead actief, dat consumenten zelf een profiel laat invullen en 20 procent van de opbrengsten – altijd een moeilijk te controleren begrip – deelt met de dataverstrekker. Ook in het buitenland zijn bedrijven ingesprongen op het monetariseren van data van consumenten. Luthresearch en Datacoup zijn actief in de VS en Powrofyou is een Britse speler die al een redelijk volume aan deelnemers heeft bereikt.

Wetgeving

Van Moock wijst op de nieuwe Europese wetgeving die in de maak is, en stelt dat DIME een beetje op de muziek vooruitloopt. Die nieuwe Europese privacy-verordening (officieel: Algemene Verordening Gegevensbescherming) is in mei 2016 gepubliceerd, maar er geldt nog twee jaar een overgangsrecht voordat de verordening daadwerkelijk gehandhaafd zal worden in de Europese lidstaten. Daarna vervallen de Nederlandse Wet Bescherming Persoonsgegevens en de Wet Basisregistratie Personen. De verordening, die dus op 25 mei 2018 van kracht wordt, heeft grote invloed op organisaties die persoonsgegevens verwerken, waaronder aanbieders van gratis software die klantdata gebruiken voor advertentiedoeleinden. Organisaties zullen volgens de nieuwe regels altijd duidelijk inzichtelijk moeten hebben welke persoonsgegevens ze verwerken, waar deze zich bevinden en hoe deze definitief verwijderd kunnen worden; iets wat voor consumenten in heldere taal in privacy-verklaringen leesbaar moet zijn. Dit sluit aan op het recht om vergeten te worden, een nieuw recht in de verordening. Veel systemen en processen zullen op de nieuwe verordening aangepast moeten worden. De EU ziet hierbij een taak voor een Functionaris voor de Gegevensbescherming (FG) of Data Protection Officer (DPO). Voor sommige organisaties, waaronder organisaties die meer dan 250 werknemers hebben, zal een FG/DPO verplicht worden. De EU brengt ons op dit vlak dus strengere regels met een flinke impact.

EU onderzoek privacy social media
cashen met data? Onderzoek EU
EU onderzoek privacy
Cashen met data

Vorig jaar bleek uit onderzoek dat slechts 9 procent van de Nederlandse consumenten volledige controle ervaart over wat er online met hun gegevens gebeurt (zie bovenstaande beelden). Als je vraagt naar het vertrouwen in hoe verschillende organisaties omgaan met data, dan staan online bedrijven (zoekmachines, online sociale netwerken) onderaan. Maar vermoedelijk verandert de mindset over datagebruik eerder bij bedrijven dan bij consumenten, namelijk onder druk van nieuwe wetgeving. Dat lage vertrouwen bij consumenten staat haaks op de double digit groeicijfers van de grote online dataminers – Google, Facebook enzovoorts. Wat dit betekent voor het businessmodel van Dime en concullega’s – namelijk het monetariseren van data door consumenten zelf – zal pas na 2018 duidelijk worden.

Dit blog is het tweede deel van een serie over Personal Data Stores

Van wie zijn mijn data? (1)

personal data storeWanneer je vandaag de dag een nieuwe auto koopt, is het verstandig het koopcontract goed door te nemen. Niet alleen omdat daar is staat wat er onder de garantie valt, maar ook om te weten wat er bij de auto wordt geleverd. Je zult misschien geen reservewiel aantreffen, maar wel een heel pakket aan software – voor motormanagement, het monitoren van technische systemen en onderdelen en voor communicatie met de autofabrikant. Auto’s zijn computers op wielen. Ze worden geleverd met een IP-adres en een verzameling apps.

Of je nu een auto koopt of het ziekenhuis bezoekt, een Facebook-post plaatst, jezelf registreert als woningzoekende of je belastingformulier invult: je laat een set gegevens achter waarvan je meestal niet precies weet wat er mee gebeurt. Bedrijven en instellingen moeten zich aan de wet houden als het gaat om het registreren, opslaan, verwerken en delen van persoonsgegevens. De meeste bedrijven zijn zich zeer bewust van het bezit van deze data, zeker als er iets mis gaat. Burgers en consumenten hebben echter totaal geen overzicht wie beschikt over welke gegevens. Naarmate we ouder worden, doen we zaken met meer en meer partijen. Wie weet bijvoorbeeld nog wat hij tien jaar geleden precies met welke websites heeft gedeeld?

Internet teruggeven aan de gebruiker

Schlussschluss, een Nederlandse startup, heeft als doel het internet weer terug te geven aan de gebruiker. Daarmee is Schluss eerder een beweging dan een bedrijf of organisatie, zegt Marie-Jose Hoefmans, een van de initiatiefnemers. Het klinkt als een extreem ambitieuze doelstelling, want de Schluss-benadering houdt in dat bedrijven en instellingen klantgerelateerde data niet langer binnen de muren van hun eigen organisatie (of datacenter) opslaan. Concreet voorbeeld: een online retailer zoals bol.com zou de klantgegevens opslaan op het platform van Schluss; bol.com klanten bepalen via hun Schluss-account of het bedrijf bepaalde transactiegegevens (denk aan een bestelling of betaling) mag koppelen aan de persoonlijke gegevens, bijvoorbeeld om de klant te kunnen benaderen met relevante aanbiedingen. Schluss noemt dit een ‘data-deal’, waarbij bedrijven profiteren van een altijd up to date CRM en beter gewapend zijn tegen datalekken. De consument heeft de mogelijkheid om bepaalde informatie ‘terug te trekken’. Dit model kan je ook toepassen op zorgverzekeraars, autofabrikanten en nutsbedrijven. De beslissing van de consument om data te delen met een bedrijf, aldus Hoefmans, zal vooral afhangen van de toegevoegde waarde die het bedrijf er tegenover zet. “Niet value for money, maar value for data.”

Een andere blik op persoonlijke data

Schluss moet twee barrières overwinnen. Op de eerste plaats zullen consumenten zich bewust moeten worden van de waarde van hun data – en bereid zijn iets te veranderen in hun datahuishouding. En op de tweede plaats moeten bedrijven anders over data gaan denken. Hoefmans is overtuigd dat de attitude van mensen over privacy aan het veranderen is. “Mensen vragen zich af wat er allemaal gebeurt met gegevens van hen die overal verspreid zijn. Mensen denken dat er geen weg meer terug is, maar die is er wel degelijk. Aan de andere kant zijn er ook bedrijven die zich realiseren dat klanten zich afvragen wat ze met hun gegevens doen. Dat kan voor bedrijven een nieuwe value proposition zijn: maak maar duidelijk welke gegevens je met ons wil delen. Bedrijven zullen vervolgens de toegevoegde waarde van dat delen moeten laten zien.”

De privacy paradox

Uit onderzoek van TNO blijkt inderdaad dat mensen zich bezighouden met privacy-vraagstukken. Maar aan de andere kant stelt TNO ook onomwonden vast dat de privacy paradox bestaat: mensen zeggen privacy belangrijk te vinden, maar handelen er niet naar. In veel gevallen maken consumenten een afgewogen keuze over het delen van persoonsgegevens: de context waarin gegevens worden gedeeld en wat daar tegenover staat is van belang bij de keuze. Als alleen een commerciële partij er geld mee verdient, is er meer weerstand en worden er, indien mogelijk, geen gegevens gedeeld. Die privacy paradox komt ook naar voren in recenter onderzoek in opdracht van Kaspersky Lab. Daaruit blijkt dat studenten het belangrijk vinden om hun online privacy te beschermen, maar dat ze veel maatregelen niet toepassen. Zo worden wachtwoorden niet regelmatig vernieuwd en gebruiken veel studenten onbeveiligde Wi-Fi-verbindingen. Ook onderschatten studenten de juridische mogelijkheden van werkgevers om mee te kijken met werkgebonden communicatie op het moment dat je als werknemer devices van het bedrijf gebruikt. En slechts 9 procent weet wat de Wet Meldplicht Datalekken inhoudt.

TNO: delen van data

TNO: behoefte aan controle privacy

Het concept van Schluss is niet uniek. Qiy lanceerde in 2007 een vergelijkbaar concept. Ook ANWB heeft een digikluis voor haar leden geïntroduceerd. Het argument van de ANWB was daarbij om bij een ongeval de administratieve rompslomp te beperken: een groot deel van de gegevens staat dan al klaar. Ook in de zorgsector is efficiency en kwaliteit een reden om data centraal op te slaan, denk aan het landelijk EPD – dat nog niet is ingevoerd; zorginstellingen werken nu met lokale systemen. Centrale dataopslag lijkt handig en efficiënt, maar roept vooral vragen op over privacy. Juist dat laatste wil Schluss tackelen door het mogelijk te maken dat het individu de eigen data beheert.

Digitale transformatie

Die variant op selfservice past helemaal bij de tijd, maar komt misschien op een ongelukkig moment. Bijna alle bedrijven gaan op dit moment door een digitale transformatie heen: ze moeten, om sneller te kunnen inspelen om veranderende omstandigheden hun IT-landschap moderniseren. De meeste bedrijven voeren innovaties door aan de voorkant (zodat klanten van nieuwe diensten gebruik kunnen maken) maar de achterkant – de kernsystemen – zijn vaak tientallen jaren oud. Bedrijven en instellingen staan daarom voor de uitdaging deze systemen te vervangen en tegelijkertijd kosten te reduceren en de operatie te flexibiliseren. Cloud computing is daarbij het platform van de toekomst, maar dat betekent meestal dat naast software ook data de bedrijfsmuren verlaten. In de boardroom bestaat een voorkeur voor private cloud oplossingen, zodat privacygevoelige data veiliggesteld zijn. Een private cloud is niets anders dan ‘jouw data op de computer van een ander’ en ook het Schluss concept zou hier onderdeel van uit kunnen maken. Juist omdat data steeds meer wordt erkend als het nieuwe kapitaal, zou Schluss op dit moment een te grote stap kunnen zijn. Je IT-landschap compleet vernieuwen, kiezen voor nieuwe technologie, afstappen van oude kernsystemen: de CIO heeft momenteel al genoeg aan zijn hoofd. Aan de business uitleggen dat je de zeggenschap over het gebruik van data moet terug geven aan de consument is wellicht te veel gevraagd.

Op weg naar single sign-on

Schluss staat nog aan het begin van zijn ontwikkeling, zo erkent Hoefmans. Op dit moment biedt Schluss de mogelijkheid om een account aan te maken waarbij je verschillende soorten persoonlijke en contact gegevens met anderen kunt delen. Je houdt het overzicht en kunt gegevens ook weer terughalen; het levert je een realtime en up to date adresboek op. Het is een stap waarmee Schluss de beweging ‘om het internet te veranderen’ wil opbouwen met gebruikers. Voor dat hogere doel is massa nodig, aldus Hoefmans. Een volgende stap is dat Schluss gaat functioneren als een veilige single sign-on: deze fase moet binnen een half jaar gerealiseerd zijn; het volgende doel is dat je met een Schluss-plugin in je browser overal kunt inloggen net zoals je dat nu ook met je Facebook- of Google-account kunt. En de derde stap is dat bedrijven hun klantgegevens bij Schluss gaan opslaan. Een bedrijf dat gebruik gaat maken van Schluss, zal een deel van de klantgegevens in het Schluss-platform moeten gaan opslaan. Daarom is Schluss ook in gesprek met verschillende partijen.

Kansen

Een daarvan is Tippiq, een initiatief van netbeheerder Alliander waarmee consumenten kunnen zien wat er rondom hun huisadres gebeurt. Tippiq werkt samen met partners zoal Peerby (deelplatform voor spullen), Snappcar (deelplatform voor auto’s) en Dinst (platform voor zzp’ers). Ook ANWB en Zilveren Kruis Achmea zijn geïnteresseerd in het model van Schluss, maar vinden het nog te vroeg om stappen te zetten, aldus Hoefmans. Verder ziet zij kansen bij nieuwe spelers in de financiële dienstverlening en bij nieuw op te zetten social media platforms waarbij niet de handel in informatie voorop staat.

Dit blog is het eerste deel van een serie over Personal Data Stores

Privacy is de nieuwe creditcard

If it’s free, you’re the product. We zijn er aan gewend gratis diensten af te nemen in ruil voor data. We hebben inmiddels geen idee meer wie welke informatie over ons bezit, laat staan wie er wat mee kan doen. Laat dat nu net de kern van privacy zijn: zelf in control zijn over informatie die over jou gaat. Het internet of things gaat op dit vlak voor een stroomversnelling zorgen. Want de dingen om ons heen vertellen veel over wie we zijn en wat we doen. Privacy verandert van een grondrecht in een betaalmiddel.

fridge camera privacyHet internet of things, wordt dat wat? Of we over minder dan vier jaar (in 2020) 50 tot 100 miljard connected apparaten hebben, zal moeten blijken. Maar zo langzamerhand begint zich iets af te tekenen. Telecombedrijven bouwen aan verschillende LoRa-netwerken waarmee sensoren kunnen communiceren, Vitens werkt aan een slim waterleidingnet, de vliegtuigkoffer wordt ‘connected’. Samsung introduceerde begin dit jaar de Family Hub Refrigerator die foto’s van het interieur deelt met de gebruikers, zodat je op je smartphone kunt zien wat er in huis is. En ANWB is een van de eerste verzekeraars die de waarde van data inziet als stuurmiddel voor zowel sales als claims. Bedrijven gaan gedragsdata koppelen aan de prijs van diensten en producten. Ofwel: data vertegenwoordigen financiële waarde.

If it’s free, you’re the product

Die financiële waarde was er al wel, maar merken we nog niet direct in onze portemonnee. Data omzetten in financiële waarde is voor de consument vrijwel nooit een verdienmodel, het is een kortingsmodel. Het afstaan van data kost ons geen geld en levert evenmin cash op: denk aan Google, Facebook, Twitter en alle andere vormen van ‘gratis’ software, ‘gratis’ wifi en ‘gratis’ content. Over het algemeen geldt; if it is free, you are the product. Belangrijk daarbij is dat je als consument steeds een keuze hebt: je kunt ook stoppen met het gebruik van het gratis product (en kiezen voor een betaalde variant). Toch ontstaat na verloop van tijd een soort vendor lock in – een vorm van afhankelijkheid. Veranderen kost tijd, moeite en wellicht ook geld. De ruilverhouding – data voor gratis diensten – is dus minder gebalanceerd dan het lijkt. Data is een betaalmiddel, maar wel op basis van eenrichtingsverkeer.

Privacy-rechten bestaan nog maar net

Privacy lijkt een begrip ‘uit de oudheid’; we vinden het zo vanzelfsprekend dat we volstrekt niet bang zijn om er iets van af te staan. Maar de waarheid is dat we nog maar kort ervaring hebben met privacy. Privacy-bepalingen zijn pas in 1983 vastgelegd in de grondwet. Privacy is een individueel en persoonlijk recht. Het gaat om controle over persoonlijke informatie die je wel of niet wil delen. Dat is niet alleen iets wat een ander over jou weet zonder dat je er erg in hebt; het kan ook zijn dat een ander jou lastig valt omdat hij informatie over je heeft. ‘Alleen’ zijn of met rust worden gelaten is ook een vorm van privacy. Het gaat dus niet om ‘ik heb niets te verbergen’, het is eerder dat een ander bepaalt of jij iets te verbergen hebt.

Privacy is primair gekoppeld aan mensen. Als ook gebruiksvoorwerpen (objecten) informatie gaan afstaan over ons gedrag, zijn wij niet langer zelf degene die informatie afstaat. De handeling om informatie af te staan wordt dan overgenomen door een ‘connected object’. Het wordt dan belangrijk dat we over een interface beschikken waarmee we het datadelen kunnen zien en besturen – zoals bij een computer, of nog praktischer, bij de privacy-instellingen van Facebook. Maar bij veel connected objecten is het datadelen een proces dat non stop en onzichtbaar verloopt. Denk aan een slimme thermostaat of andere domotica.

Privacy ontwikkelt zich onvoorzien

Met privacy- en securitytools kan je regelen wie bij welke informatie kan (of niet). Privacy gaat verder dan alleen het hier en nu: dat gaat ook over de tijdspanne waarover je data opslaat. Met het verstrijken van de tijd kunnen allerlei omstandigheden veranderen. Allereerst kunnen wetten en regels veranderen, ook buiten je gezichtsveld. Zo kan de Amerikaanse overheid bij data van bepaalde ANWB-verzekerden, omdat deze worden opgeslagen in de Microsoft cloud. Maar het is lastig voor een ANWB-lid om te zien of de Amerikaanse overheid ook gebruik maakt van dat recht. Met een nieuw kabinet in ons land kunnen bestaande privacy-rechten worden afgezwakt of kan het werkingsgebied van data-verzamelende systemen worden uitgebreid (function creep). Ook ‘normaal gedrag’ kan met het verstrijken van de tijd een andere connotatie krijgen. Gedrag dat we nu als gewoon beschouwen, maakt dat we ons weinig bezwaard voelen om er nu informatie over te delen. Toen Facebook aankondigde te gaan werken met gezichtsherkenning en ongevraagd taggen, kregen de in een eerder stadium geplaatste reis- en groepsfoto’s op Facebook plotseling een heel ander karakter.

Wat je aan persoonlijke informatie afstaat krijg je nooit meer terug. Welingelichte IT’ers weten dat ‘anonieme’ data niet meer bestaan. Ook ‘gewiste’ gegevens zijn met een klein beetje moeite terug te halen zolang geheugendragers niet worden vernietigd. Veel veranderingen in onze samenleving gaan met kleine stapjes tegelijk. Onze overheid is gek op data en ook bedrijven beschouwen data als een vorm van kapitaal. Technologische innovaties zorgen er voor dat we ongemerkt steeds meer data afstaan en daarmee dat het gedeelte ‘wat van onszelf is’ steeds kleiner wordt.

Internet of things: internet van onzichtbaarheden

Slimme apparaten hebben niet altijd een gebruikersinterface of deze is beperkt tot een app, waarmee je echter niet kunt zien wat het apparaat doet. Dat maakt het vrijwel onmogelijk om te zien hoe systemen veranderen. Veel connected systemen ontvangen automatische updates, of worden ‘gevoed’ door informatie die ze ontvangen; maar wat gebruikers in ieder geval niet kunnen zien is of het apparaat goed beveiligd is. Connected devices zonder interface of scherm geven geen waarschuwing af als ze malware bevatten of als er indringers proberen binnen te komen. Daarom noemde ik het internet of things eind 2013 al het internet van onzichtbaarheden.

Wie heeft er nog overzicht?

privacyDie onzichtbaarheid zorgt ook voor onverschilligheid, maar die wordt ook gevoed door de toenemende complexiteit. Voor een normaal mens is het al ingewikkeld om alle logingegevens veilig bij te houden. Laat staan dat we weten welke gegevens we ooit hebben afgestaan aan bedrijven en overheden, en welke bedrijven bij onze gegevens kunnen. Daarbij gaat het zowel om tijd (na enige tijd weten we niet meer, wat en hoe) als om aantallen (het aantal bedrijven waar we gegevens achter laten, groeit). Simpel voorbeeld: weet je als 45-jarige met welke ziektekostenverzekeraars je de afgelopen vijftien jaar zaken hebt gedaan? Of weet je als 35-jarige hoeveel ‘persoonlijke accounts’ (persoonlijke gegevens, login en wachtwoord) je hebt gecreëerd? Met het internet of things komen daar apparaten bij, die niet alleen het aantal te beveiligen verbindingen vergroten, maar ook het aantal datastromen. John Matherly, oprichter van Shodan, een zoekmachine voor connected things, stelt: “Besluiten rond IoT worden vooral gedreven door mogelijkheden en features. Er lijkt totaal geen rekening te worden gehouden met de security- en privacy-gevolgen die IoT met zich meebrengt.

De optelsom: onbalans neemt toe

Connected devices staan 24/7 ‘aan’ en verzamelen stuk voor stuk data, ook op momenten dat je daar niet bij stil staat. Hoe meer apparaten met elkaar verbonden zijn en via sensoren data verzenden, hoe gedetailleerder het beeld is dat van iemand kan worden gecreëerd. Bedrijven, instellingen en overheden zorgen er voor te kunnen beschikken over die gegevens die nodig zijn voor hun processen. Meestal komt dat neer op het eenmalig afstaan van bepaalde gegevens voor een bepaald gebruiksdoel. Als individu weet je niet precies welke informatie bij de ander ligt, laat staan dat je er toegang toe kunt krijgen. Bij ieder individu speelt deze achterstand honderden malen een rol, namelijk bij alle partijen waar dat individu mee te maken heeft of heeft gehad: overheidsinstellingen, scholen, ziekenhuizen, huisartsen, de gemeenten in verschillende woonplaatsen, verzekeraars, sportclubs, fysieke winkels met klantkaarten, online shops, social media, internet service providers…. Tel hier het internet of things bij op en de uitgaande informatiestroom neemt duizelingwekkende vormen aan. Die wordt namelijk realtime en permanent. Iets om over na te denken wanneer je weer een connected thing aan je verzameling toevoegt, met welke goede reden dan ook.

Wie kijkt mee met uw autoritje?

Data makes the world go round – dat moeten ze bij ANWB ook bedacht hebben. De vier miljoen leden (de grootste vereniging van Nederland) waaronder een groot aantal autobezitters zijn in potentie een enorme bron van data. Datadriven businessmodellen zijn dus interessant voor ANWB. Dat betekent wel dat je vat moet krijgen op het gedrag van de individuele klant: zijn doen en laten, bewegingen, aankopen en andere interacties. Online retail biedt daartoe alle kansen – een klant die in een fysieke winkel komt, kan anoniem blijven – en daarnaast bieden mobiele apps veel mogelijkheden om interactie aan te gaan. Een ‘connected’ verzekeringsproduct is interessant: je verzamelt data terwijl je als verzekeraar meekijkt met de bestuurder. 

Connected car: interessant voor verzekeraars

Ook de nieuwste app van ANWB bevindt zich op de smartphone, maar heeft een interessant ‘hulpmiddel’. Bij de kort geleden nieuw verizon-delphigeïntroduceerde verzekering ‘veilig rijden’ krijgt de verzekerde een ‘stick’ die op de OBD-poort van iedere moderne auto kan worden aangesloten. Dat apparaatje verzamelt gegevens over rijgedrag en op basis van algoritmen wordt vervolgens een rijstijl-score berekend die de basis vormt voor de premiehoogte. Via de bijbehorende app krijgt de verzekerde inzicht in (en tips voor) het rijgedrag.

ANWB is niet de eerste partij die met een dergelijke ‘connected car verzekering’ komt. In Nederland heeft Kroodle, een startup van Aegon, het ook al geprobeerd. Ook in België is begin dit jaar een pilot gestart door Corona Direct, een online verzekeraar. En wanneer je op het internet zoekt, blijkt dat er al tientallen serviceproviders zijn die voor particulieren en bedrijven de infrastructuur leveren om gebruik te maken van data die de auto genereert.

Ook ANWB heeft de veilig rijden verzekering niet helemaal zelf bedacht: er wordt samengewerkt met het Britse Ingenie, waarmee ANWB een vijfjarige licentieovereenkomst heeft gesloten na een pilotperiode met 1000 proefkonijnen. Ingenie levert de hardware, de analytics en algoritmen, ANWB-dochter Unigarant zorgt voor het verzekeringsgedeelte.

Hoe werkt de Ingenie-stick?

Verzekerden krijgen een dongel die op de OBD-poort van de auto wordt aangesloten. De rijstijl bepaalt ANWB aan de hand van vier verzekeringsproductonderdelen: de rijsnelheid, de manier van optrekken en remmen en de wijze waarop bochten worden genomen. De rijstijl wordt herleidt tot een korting (of malus) op de premie; ook het tijdstip waarop je rijdt is mede bepalend voor de premiehoogte. Om gerichte feedback te kunnen geven op het onderdeel snelheid, moet de snelheidslimiet bekend zijn van de weg waarop de verzekerde rijdt. Daarom zit er ook een GPS-module in de dongel die de locatiegegevens levert. Daarnaast zal er ook een accelerometer in de dongel aanwezig moeten zijn – nodig om versnelling te kunnen waarnemen. Of met alle hardware en software veilig rijden kan worden gemonitord is de vraag; een noodstop maken voor een plotseling overstekend kind lijkt me noodzakelijk, maar veilig is het niet.

Een tweede smartphone in je auto

De data die de ANWB-stick verzamelt, blijven eigendom van de verzekerde, aldus ANWB. Je kunt zelf je gegevens inzien, maar de locatiegegevens (wie wanneer waar rijdt) zijn niet zichtbaar in het persoonlijke account van de app. De dongel die ANWB gebruikt is in feite een smartphone zonder camera en gespreksfunctie. De meeste automobilisten hebben al een smartphone aan boord en die geeft zeer frequent de GPS-informatie door aan de zendmasten in de omgeving. Met deze informatie laadt Google onder andere zijn dynamische verkeersinformatie in Google Maps. Telecomproviders beschikken ook over deze geo-informatie. De smartphone stelt ook gemeenten en bedrijven in grote steden in staat om je doorlopend te volgen. Citytraffic is één van de bedrijven die burgers via hun smartphone volgt. Het bedrijf werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag. De verzamelde data wordt verkocht aan onder andere gemeenten en winkels, aldus RTL Z, zonder dat burgers hiervan op de hoogte zijn. Dat gebrek aan transparantie speelt ook bij de nieuwe verzekering van ANWB.

Een beetje transparant bestaat niet

ANWB is bij dit verzekeringsproduct niet volledig transparant in de wijze waarop data worden verzameld en welke data worden verzameld. ANWB is er helder over: data worden niet met derden gedeeld – tenzij er een vermoeden is voor fraude of een poging tot fraude, of wanneer ANWB via een gerechtelijk bevel worden gevraagd de gegevens beschikbaar te stellen aan politie of justitie. Ook de gangbare bewaartermijn van data (7 jaar voor verzekeraars) roept vragen op. “Wij kunnen afwijken van het bovenstaande op het moment dat er zich bijzondere omstandigheden hebben voorgedaan. Hierbij kun je denken aan een auto-ongeluk, diefstal, vermoeden van fraude of een juridisch onderzoek.” Je kunt wel een verzoek doen om de gegevens te verwijderen, maar aangezien de gegevens niet op jouw persoonlijke apparaat, maar in de Microsoft cloud staan, heb je hier geen zicht op. In het privacy statement wordt gesteld: “Buitenlandse inlichtingendiensten mogen volgens de wet in de gegevens in de database inzien.” Een beetje transparant bestaat niet, iets wat ook Sander Klous, hoogleraar big data aan de Universiteit van Amsterdam en tevens werkzaam bij KPMG, in een artikel in NRC Handelsblad benadrukt.

Welke technologie wordt gebruikt?

Verder is ANWB niet transparant over de gebruikte technologie. Uit de voorwaarden kan je opmaken dat ANWB weet of de dongel wel of niet is aangesloten. Kroodle ontdekte dat rijders in het weekend (dan is het autorijden verzekeringstechnisch gezien duurder) de dongel loskoppelden. ANWB vermeldt echter niet dat de stick ook een GPS-module bevat die locatiegegevens van de auto doorgeeft. Technologiepartner Ingenie geeft op de eigen website wel informatie over de gebruikte technologie in de black box: “The ingenie box is a self-contained unit the size of a smartphone that includes a:

  • GPS unit which captures when and where the car is driven
  • high frequency motion sensor which captures how the car is driven
  • SIM card which is used to transmit the data
Privacy: van individu naar object

iphone6-scoreDe connected car roept uiteraard privacy-vragen op, maar in het geval van de connected car ontstaat een nieuw probleem. Privacy is een individueel en persoonsgebonden fenomeen, zo benadrukt ook Danny Mekic, die het nieuwe ANWB-product betitelt als “Big Brother Verzekering” (in een artikel dat op 21 juni in het AD verscheen). Met de connected car wordt privacy enerzijds overgeheveld naar de auto en anderzijds naar derden. Of in de woorden van ANWB: “Iedereen die ermee rijdt, bepaalt de rijstijl. U bent zelf verantwoordelijk om andere bestuurders van uw auto hierover te vertellen. Let op: rijd iemand anders roekeloos met uw auto? Dan heeft dat gevolgen voor uw rijscore.” Autodelen, bijvoorbeeld via Snappcar, wordt zo lastig. Een tweede rijder, bijvoorbeeld je partner, kan in de app zien hoe je rijdt en andersom. Vervang partner door werkgever en leg dan nog maar eens uit dat je zo hard optrok omdat je op tijd bij je baas moest zijn. Privacy koppelen aan individueel gedrag is prima, maar in het geval van de connected car is het gekoppeld aan een voorwerp waarvan meerdere mensen gebruik kunnen maken.

Ook de distributie van data over een gehele keten (de auto, ANWB, Unigarant, Ingenie, Microsoft) roept vragen op. De balans is zoek: alle ruwe data gaan naar verschillende partijen, maar de gebruiker heeft alleen een beperkt dashboard. Ook ANWB kan gebruik maken van de data die haar dochter Unigarant verzamelt.

Data is geld waard

Helaas is het niet zo dat je direct de vruchten kunt plukken van je nieuwe rijstijl. Uit de algemene voorwaarden blijkt dat je begint bij een standaardkorting; na een periode van drie maanden bepaalt de rijscore je werkelijke korting. Dat kan er toe leiden dat je premie niet verandert, of dat je premie terug krijgt of moet bijbetalen. Een korting kan dus ook negatief zijn. Ben je, als je opzegt, nog welkom bij de gewone verzekering van Unigarant? Je rijscore kan er ook toe leiden dat je verzekering wordt opgezegd. Begrijpelijk vanuit het perspectief van een aanbieder van een ‘datadriven’ verzekering, maar in deze constructie is het de autorijder die in ruil voor data mogelijk korting krijgt zonder dat precies duidelijk is hoe de onderliggende mechanismen werken. Het is een groot verschil of je tandenborstel communiceert met je ziektekostenverzekeraar over poetsgedrag of dat je een uitgebreide en gevoelige dataset afstaat voor een korting op je autoverzekering.

Danny Mekic stelt in zijn artikel dat ANWB enkele jaren geleden nog tegen rekeningrijden en de kilometerheffing was, omdat dat de privacy van de automobilist in gevaar zou brengen. “Maar nu zijn ze getransformeerd tot een wolf in schaapskleren die het ‘datagraaien’ op een hele sympathieke manier weet te verkopen: wie kan nou tegen de ‘ANWB Veilig Rijden Autoverzekering’ zijn, zoals ze hun orwelliaanse verzekering hebben gedoopt?”

Consument in control over persoonlijke data

De consument hoeft natuurlijk niet te kiezen voor korting in ruil voor data. Een gewone autoverzekering werkt ook op basis van ‘goed gedrag’, namelijk de no-claim korting. Het is echter de vraag wanneer deze variant door verzekeraars wordt ingeruild voor het datadriven model.

Wil je toch profiteren van de data die je auto produceert, dan zijn er allerlei standalone oplossingen die de auto laten communiceren met je telefoon, tablet of laptop, waarbij je vanaf dat apparaat zelf kiezen wat je met de data doet. Dat is ook het vertrekpunt van een concept als Schluss. Privacy begint bij persoonlijke controle over welke data je deelt.