Jaap-Henk Hoepman, o.a. schrijver en docent op meerdere universiteiten in binnen- en buitenland, stelt zich actief ten doel om de bescherming van persoonsgegevens in Nederland op een hoger plan te brengen. Het stimuleren van ‘Privacy by Design’ is daarvoor een belangrijk instrument. Hoe herstel je de onbalans in informatie - en dus macht - tussen de overheid en de burger? En wat betekent het Internet of Things voor gegevensbescherming? Over deze onderwerpen en meer praat Jaap-Henk in deze podcast met Walter van Wijk van CIP en host Robin Rotman.
Jaap-Henk Hoepman, o.a. schrijver en docent op meerdere universiteiten in binnen- en buitenland, stelt zich actief ten doel om de bescherming van persoonsgegevens in Nederland op een hoger plan te brengen. Het stimuleren van ‘Privacy by Design’ is daarvoor een belangrijk instrument. Hoe herstel je de onbalans in informatie - en dus macht - tussen de overheid en de burger? En wat betekent het Internet of Things voor gegevensbescherming? Over deze onderwerpen en meer praat Jaap-Henk in deze podcast met Walter van Wijk van CIP en host Robin Rotman.
Jaap-Henk Hoepman: Het belang van privacy is dat een overheid en een bedrijf veel meer informatie over een burger of een klant heeft, dan dat die klant of die burger over de overheid heeft. Als die machtsbalans, want kennis is macht in die zin, informatie is macht. Door privacybescherming serieus te nemen, herstel je enigszins die machtsbalans.
Robin Botman: Welkom bij Captains of Privacy. Een podcastserie van het centrum informatiebeveiliging en privacybescherming. Samen met Walter van Wijk van het CIP, bespreek ik met inspirerende professionals de stand van privacyland aan de hand van hun visie en ervaringen.
Jaap-Henk Hoepman: Ik denk dat internet of things zeker een bedreiging is. Je ziet dat aan het feit dat technologie steeds kleiner en geïntegreerder wordt, en eigenlijk verdwijnt in alle apparaten en uiteindelijk in de muren, bij wijze van spreken zelfs in de verf. Dan zie je het niet meer en in die zin is het een uitdaging.
Walter van Wijk: Vandaag te gast Jaap-Henk Hoepman. Hij is universitair hoofddocent aan de Radboud Universiteit, geeft ook les in Groningen en in Zweden. Is oprichter van Privacy and Identity LIab, expert op het gebied van privacy en privacy by design, waarover hij onder andere een boekje heeft geschreven, wat bekend staat als het blauwe boekje. Hij heeft ook een enigszins activistisch imago.
Jaap-Henk Hoepman: Is dat zo?
Robin Botman: Vertel eens, Walter, een activistisch imago?
Walter van Wijk: Dat hoorde ik. Sommige mensen zijn neutraler en academischer en jij hebt ook af en toe de neiging, denk ik, aan een kooi te rammelen om mensen en situaties in beweging te krijgen.
Jaap-Henk Hoepman: Ik denk wel dat ik privacy belangrijk vind en dat ik daar dus wel een punt over wil maken. Ik ben niet alleen maar academisch aan het schrijven. Ik blog er ook over. Ik heb een tijd lang in het financieel dagblad columns gehad. Ook bij NPO radio als dan het ontwerp privacy aan bod kwam, dan droeg ik mijn steentje daar nog wel aan bij. Nog steeds eigenlijk wel. Ik denk dat je het puur academisch kunt benaderen en dat is echt super interessant, dat is echt onderzoekwerk, en dat doe ik nog steeds. Maar het gaat er ook om van: hoe breng je dat onderzoek en die kennis naar de maatschappij, naar de mensen toe. Om zo ervoor te zorgen dat de situatie ook echt verandert, want dat activistische heb ik wel, het moet ook wel veranderen en dat kan ook.
Walter van Wijk: Ja, je gelooft nog steeds dat er dingen en mensen in beweging moeten komen om het beter te gaan doen?
Jaap-Henk Hoepman: Ja.
Walter van Wijk: En dat is jouw manier om daar om bij te dragen?
Jaap-Henk Hoepman: Ja zeker.
Robin Botman: Een beetje prikken, beetje poeren, beetje pesten, beetje columns schrijven, dat hoort er dan een beetje bij?
Jaap-Henk Hoepman: Ja, dat hoort erbij. Je moet het zo helder en zo duidelijk mogelijk maken. Je moet de mogelijkheden zo duidelijk mogelijk schetsen. Je moet soms ook laten zien dat dingen gewoon echt heel erg raar zijn of gaan. Daar kan je dan even op wijzen en aangeven van zo moet je dat niet doen, dat kan ook echt anders.
Robin Botman: De privacy by design vind ik altijd lastig. Ik merk om mij heen dat iedereen die vindt dat allemaal zo logisch als wat. Je moet het aan de voorkant in het systeem inbouwen, maar in de praktijk blijkt het toch lastiger. Hoe komt dat toch?
Jaap-Henk Hoepman: Ja, dat vind ik inderdaad en blijf ik eigenlijk best wel boeiend vinden. Ik kom er ook nog steeds niet achter waar dat nou precies aan ligt. Jij noemt al dat Blauwe boekje met de privacy ontwerpstrategieën, dat was bijna tien jaar geleden dat ik dat schreef. In dat boek staat dat er iets praktisch moest komen, zodat mensen die er iets mee willen daar makkelijk mee aan de gang kunnen. Later, dat is nu ook alweer twee jaar geleden, heb ik een Engelstalig boek geschreven, Privacy is hard en zeven andere mythes, oftewel privacy is niet moeilijk, dat is de mythe. Alleen je moet er moeite voor doen. Ik denk dat voor een deel die moeite doen nog voor mensen te veel werk is. Daaraan moeten we wat doen, want het kan allemaal, heel veel van de technieken zijn er, heel veel van de ontwerpmethodologieën zijn er. Het is vooral een kwestie van anders kijken naar hoe je een probleem oplost.
Walter van Wijk: Het klinkt een beetje als Nike, 'Privacy, just do it'.
Jaap-Henk Hoepman: Eigenlijk wel ja, dat zou zo normaal mogelijk moeten zijn, net zoals beveiliging dat eigenlijk al is nu.
Robin Botman: We hebben een paar stellingen voor je. Maar eerst eventjes altijd een hele flauwe vraag, die ik af en toe in de introductie van de gast erin gooi, en dat is: wat is eigenlijk privacy?
Jaap-Henk Hoepman: Ja dat is een hele goede vraag, en dat is een verbazingwekkend moeilijk te beantwoorden vraag, omdat het eigenlijk van de context afhangt. Je ziet ook dat dat privacy over de eeuwen heen eigenlijk veranderd is. Met de opkomst van internet, met de opkomst van computers, werd privacy eigenlijk vooral iets als een informationeel zelfbeschikkingsrecht. Dat recht om zelf over je eigen informatie te beslissen en te bepalen wat er wel of niet mee gebeurt. Dat is ook een beetje de insteek die je ook nog steeds hebt in Europese wet- en regelgeving, de AVG is daar een voorbeeld van. Waar eigenlijk het om gaat is dat je de mogelijkheid hebt om je persoonlijke levenssfeer en je persoonlijke gegevens te beschermen. Naast dat je dat zelf kunt doen en zelf die mogelijkheid hebt, is het ook zo dat overheden/bedrijven die persoonlijke ruimte respecteren, en ook niet de moeite gaan doen om die informatie wel te verzamelen, bijvoorbeeld.
Robin Botman: Oké, dus het gaat over zelfbeschikking en het gaat over persoonlijke ruimte?
Jaap-Henk Hoepman: Ja, en zelfbeschikking over je persoonlijke gegevens daar gaat het dan over.
Robin Botman: En als je het dan hebt over privacy by design, dan gaat het erover als je iets doet met gegevens, dat je ervoor zorgt dat mensen die je target dat hun persoonlijke levenssfeer en hun zelfbeschikkingsrecht in stand blijft?
Jaap-Henk Hoepman: Ja zo zou je het kunnen zeggen, maar ik zou het eigenlijk net een beetje anders formuleren. Ik zou zeggen: privacy by design is systemen vanaf het begin zo ontwerpen dat de privacy goed beschermd is.
Robin Botman: Stellingen. Walter, we hebben een paar stellingen meegenomen, of jij hebt een paar stellingen meegenomen.
Walter van Wijk: Ik ga maar even door op privacy by design. Eigenlijk is de stelling: het lastigste aan privacy bij design is dat je er vaak pas achteraf achter komt dat je design niet goed genoeg was. Klopt dat en hoe moet je daar dan mee omgaan?
Jaap-Henk Hoepman: Het is inderdaad wel heel vervelend als je er achteraf achter komt dat het niet goed was. De essentie van privacy by design is nou juist dat je vanaf het begin daar rekening mee houdt en dat is ook noodzakelijk, want je kunt achteraf een systeem niet privacy-vriendelijk maken, dat wordt super ingewikkeld.
Robin Botman: Wacht even. Jij reageert nu meteen, maar de stelling gaat er dus over dat het zo lastig is dat je er pas achteraf achter komt. Het is heel moeilijk om van tevoren goed te beoordelen of het design goed genoeg is, dat is de stelling. Is dat een goede aanname?
Jaap-Henk Hoepman: Nee, dat vind ik niet, dat vind ik geen goede aanname. Dat hangt er vanaf hoe je ernaar kijkt. Kijk, als jij zegt van: ik wil een systeem bouwen en dat ga ik eerst doen, dan ga je dus achteraf eens kijken hoe is het met de privacy? Dan gaat het fout en dan is het dus heel erg moeilijk. Terwijl als je van tevoren vanaf het allereerste begin bedenkt van: hé, ik wil iets maken, maar ik wil dat ook gewoon netjes doen. Volgens wat voor definities er van netjes dan ook zijn. Netjes zo ook privacyvriendelijk kunnen zijn. Dan ga je dus nadenken over hoe je dat moet doen. Dat is een kwestie van op een andere manier naar het probleem kijken. Ik gebruik altijd het voorbeeld van een restaurant, als je wilt reserveren voor een populair restaurant, dan bel je op en dan heeft de restauranteigenaar een gastenboek en die zegt van Jaap-Henk Hoepman prima, hoeveel personen? Prima. Hij schrijf dat op in het boek en die houdt dat boek ook bij, want je kunt dan zien hoe druk het is, gedurende de week, over de maanden, over de jaren. Maar als je dat zo bijhoudt dan heb je allemaal namen in dat boek staan. Dan verzamel je persoonsgegeven, en dan is de vraag van kan dat ook anders? Ja, dat kan anders, dan moet je daar anders naar gaan kijken. Dan is het idee; in plaats van dat die restauranteigenaar vraagt om een naam, geeft hij mij een reserveringsnummer, en dan moet ik dat onthouden. Dan kom ik bij het restaurant: Ik heb gereserveerd onder dit nummer oh, ja, prima. Nou staat in dat boek het reserveringnummer, het aantal mensen, de tijd en de dag. De informatie in dat boek is in essentie hetzelfde behalve dan dat die persoonlijke gegevens niet verzameld worden. De essentie van privacy by design is dat je ervoor zorgt dat je bij systemen kijkt naar de functionaliteit en kijkt naar hoe kan ik die functionaliteit bereiken, zonder persoonsgegeven te verzamelen of zo min mogelijk persoonsgegevens te verzamelen.
Walter van Wijk: Ik wil even de verbinding leggen met de ontwikkelingen in softwareontwikkeling. Vroeger gebeurde dat traditioneel met heel veel nadenken van tevoren en dan was je lang en hard aan werken en dan duurde het te lang. Tegenwoordig zijn er steeds meer toepassingen die Agile worden ontwikkeld. Je doet dan kortere sprints en kijkt tussendoor hoe het gaat. Is dat in het voordeel van privacy by design?
Jaap-Henk Hoepman: Niet noodzakelijkerwijs, omdat je misschien het overzicht verliest. Je moet misschien iets scherper opletten, maar ook daarvoor geldt als jij een user story maakt voor een Agile ontwerp kun je ook nadenken over: hoe ga ik dat inrichten op een manier dat ik die persoonsgegevens niet nodig heb? Of je kunt ook nog steeds nadenken over: hoelang heb ik die gegevens nodig? Wat heb ik nou eigenlijk precies nodig? Dat kan ook, In korte sprints kun je dat ook net zo goed doen.
Walter van Wijk: Maar de kans is dan kleiner dat je achteraf, na een heel lang traject, er achter komt dat je misschien toch een afslag anders had willen nemen?
Jaap-Henk Hoepman: Als je inderdaad op dat moment die sprint maakt en wel nadenkt bij de start van: hé, welke kant ren ik op? Dat dan wel.
Robin Botman: Je hebt het dan over; Je gaat zo'n proces in, je bent zo'n restauranthouder maar je kan ook bij een overheidsorganisatie of bij een ministerie of bij een commercieel bedrijf werken en je wil een nieuw gebbetje ontwikkelen, een nieuwe tool. Dan wil je die privacy inbouwen. Maar dat vereist natuurlijk ook dat iedereen die daaraan meewerkt, daadwerkelijk een heel solide idee heeft van wat privacy dan eigenlijk is? En jij zei net, het is best wel eigenlijk lastig om te formuleren. Als je dat dan aan de voorkant wil regelen, dan moet je wel een soort stevig begrip hebben van wat zijn we hier eigenlijk aan het beschermen? Dat lijkt me niet altijd even makkelijk dan.
Jaap-Henk Hoepman: Ja en nee. Ik denk dat de meeste mensen misschien een iets te beperkt begrip hebben van wat een persoonsgegeven is. Maar als je probeert dat even iets breder te trekken en je realiseert dat bijvoorbeeld ook een kenteken een persoonsgegeven is, of een IP-adres een persoonsgegeven is. Als je je realiseert dat dat op zich zelf, wat hele kleine stukjes informatie zijn, die voor ieder heel erg weinig persoonlijk lijken te zijn, maar eigenlijk misschien toch wel persoonlijk kunnen zijn, als je dat realiseert dan ben je al een heel eind. Dan is de volgende vraag van: wil je het ook echt? Wil je inderdaad je systeem op een privacy-vriendelijke manier maken of niet? Ik denk dat de overheid over het algemeen, beetje afhankelijk van waar je zit, daar wel een inherent belang in heeft. We hebben dat wel gezien, bijvoorbeeld bij de coronamelder waarin dat heel specifiek, en daar kun je nog allerlei dingen van vinden, waarom dat om andere reden misschien geen goed idee was. Maar qua privacy hadden ze dat heel goed geregeld, omdat dat dat gewoon een inherent belang is wat je als overheid wilt beschermen. Maar als je als bedrijf zegt van: mijn businessmodel is data; Google, Facebook. Ja, dan ga je geen privacy by design doen.
Walter van Wijk: Dan is het niet een topprioriteit.
Jaap-Henk Hoepman: Nou, helemaal geen prioriteit, nee.
Walter van Wijk: Ik pak even een ander onderwerp er bij, wat technischer. Het oprukken van the internet of things, tussen allerlei apparaten, niet zijnde pc's en printers, die aan internet hangen, dus camera's en deurbellen en thermostaten en zo. De opkomst daarvan gaat heel snel en daardoor is privacy by design een bijna ondoenlijke maatschappelijke opgave. Hoe kijk jij tegen internet of things aan in dit kader?
Jaap-Henk Hoepman: Nou, ik denk dat internet zeker een bedreiging is, want je ziet dat met het feit dat technologie steeds kleiner en geïntegreerder wordt. Eigenlijk verdwijnen alle apparaten uiteindelijk in de muren en bij wijze van spreken zelfs in verf. Je ziet het niet meer en in die zin is het een uitdaging. Maar dat betekent ook dat het alleen maar belangrijker wordt om daar goed over na te denken. Nou, toeval wil, volgende week organiseren we een Summer school in Nijmegen over exact dit onderwerp. Daar komen PhD-studenten en promovendi uit de hele wereld samen met negen docenten bij elkaar om over dit onderwerp, internet of things en privacy, te praten, omdat we ook zien van het gaat die kant op en je moet daar goed over nadenken. En wat vooral belangrijk is, het eerste aspect noemde ik al, er is eigenlijk geen userinterface meer. Het is overal en je ziet het niet meer. Het andere ding is dat internet of things gaat ook niet alleen over sensoren. Er wordt niet alleen heel veel informatie verzameld, maar dat gaat ook over actoren. Het gaat over van de deur gaat open of niet, het raam gaat open of niet. Ik was op een geven moment in een ontvangstruimte en dat had van dat mooie gebleekte glas dat je op afstand aan en uit kunt doen. Ik liep naar die wachtruimte toe en dat was transparant. Ik ging in die wachtruimte zitten en ik draaide mij om en toen was het plotseling niet meer transparant. Maar dat is interessant, wat dat doet met ruimtes. En ja, er zijn al hele oude verhalen van dik al uit de jaren 30, die praten over iemand die buitengesloten wordt door zijn slimme deur of slimme huis, omdat die zich niet gehouden heeft aan het huurcontract, dat soort dingen. Dat kan dan allemaal gebeuren. Dat gaat dus niet alleen over sensing, maar ook over acting. Het internet of things is ook heel duidelijk een internet dat handelt.
Walter van Wijk: Richting functionaliteit raken in je leven.
Jaap-Henk Hoepman: Letterlijk raken.
Walter van Wijk: Daarmee de kwaliteit en de toegankelijkheid.
Walter van Wijk: Ja en autonomie.
Robin Botman: Dat eerste voorbeeld wat je gaf over dat restaurant, en zo kan je nog 1.000 voorbeelden geven, is het wel duidelijk van wie de informatie is. Het is namelijk van mij. Ik geef mijn naam of mijn adres en dat doe ik bij online shopping ook. Maar bij internet of things is het allemaal veel indirecter, dan wordt data verzameld door partijen die ik misschien niet eens zie of ken. Ik weet het misschien niet eens. Van wie is die data eigenlijk?
Jaap-Henk Hoepman: Ja, dat is wel heel erg contextafhankelijk. Kijk in eerste instantie is die data van mij, maar of die data van mij is of niet is eigenlijk niet belangrijk. Eigendom is niet het belangrijkste principe. Gegevens over mij liggen bijvoorbeeld ook in een patiëntendossier. Die gegevens gaan over mij, maar die zijn niet van mij, die zijn van de huisarts. Het eigendom is daarin niet een bepalende eigenschap.
Robin Botman: Nou, als je het hebt over zelfbeschikking is het natuurlijk wel relevant.
Jaap-Henk Hoepman: Het gaat wel over controle en je hebt helemaal gelijk dat het hebben van controle in het internet of things lastig is. Helemaal als je bedenkt, dat hebben we eigenlijk nu ook al, stel je komt op bezoek bij iemand en die heeft een smart speaker. Jij komt dus in een ruimte, waarvan jij niet weet in welke mate daar internet of things dingen aanwezig zijn. Jij kunt als gebruiker/inwoner/bewoner van een huis daar zelf over hebben nagedacht, maar dan krijg je bezoek en die is dan de controle volledig kwijt.
Walter van Wijk: Nee, wat je zegt is contextafhankelijk.
Jaap-Henk Hoepman: Ja.
Walter van Wijk: Maar als jij toevallig in een Tesla zou rijden, dan staat er in de koopovereenkomst alle data die de Tesla verzamelt van Tesla is. En dat genoemd hebbende, als je kijkt naar ontwikkelingen, dingen als smart mobility en smart city. Is dat een onderwerp wat specifiek jouw aandacht heeft als privacy deskundige om daar af en toe een rode vlag voor op te steken van jongens let nou alsjeblieft ook daarop?
Jaap-Henk Hoepman: Ja, zeker, en ik heb ook een aantal jaren geleden meegedraaid in een groot Europees project daarover. Dat ging dan over citizens generated data. Hoe kun je dingen als smart sensing en dat soort dingen doen op basis van de telefoons van individuele inwoners van een stad, of iets dergelijks, en aan de ene kant denk je van: oh, ja, dat is super interessant, want je kunt in allerlei community-led dingen doen. Dat is natuurlijk mooi.
Walter van Wijk: De functionele voordelen ervan?
Jaap-Henk Hoepman: Ja heel veel functionele voordelen. Maar inderdaad aan de andere kant wel de vraag van: oké, wat betekent dat nou uiteindelijk voor de privacy van de individuele deelnemer? Die uit enthousiasme meedoet maar misschien vervolgens die data tegen zich gebruikt ziet worden. Dus dat zijn best wel interessante dingen om over na te denken.
Robin Botman: Dan wil ik nu toch even terug naar die stelling. Door het oprukken van internet of things wordt privacy by design bijna ondoenlijk, is dat nu waar of niet waar?
Jaap-Henk Hoepman: Nee, ik denk niet dat het ondoenlijk is.
Robin Botman: Het kan nog steeds?
Jaap-Henk Hoepman: Het kan zeker. Alleen je moet er goed over nadenken.
Robin Botman: Kan je die ontwikkelaars van al die software en al die slimme systemen gewoon verplichten dat het privacy by design wordt? En als het niet gelukt is, kun je gewoon op je sodemieter krijgen en dikke boetes?
Jaap-Henk Hoepman: Ja, dat is wel een gedachterichting. Dat is trouwens een gedachte richting die we ook al zien als je het hebt over beveiliging. Heel veel van die camera's hebben gewoon standaard wachtwoorden van nul, nul, nul, als ze al een wachtwoord hebben, met alle gevolgen van dien. Je ziet dus nu wel dat er ook wetten en regelgeving is aangenomen die zegt van: ja, dat mag dus niet. Je kunt wel zeggen dat je als fabrikant, leverancier, een bepaalde zorgplicht hebt en als je daar niet aan houdt, dan ben je in overtreding en dan gaan we je aanpakken. Maar dan moet je dat ook wel afdwingen. En ja goed, daar zit altijd wel een beetje een hickup van: hoe ga je dat afdwingen? Enforcement, Autoriteit Persoonsgegevens in het geval van de AVG.
Walter van Wijk: Of je moet misschien wat meer aan de kant van de inkoop doen?
Jaap-Henk Hoepman: Ja.
Walter van Wijk: De ICO Wizard is er, vanuit CIP ontwikkeld vanuit het ministerie van binnenlandse zaken. Uiteindelijk is door de GGD datalek ook een serie privacy by design maatregelen toegevoegd, dus je kan met het inkopen van dat soort producten en diensten ook rekening houden, en op basis daarvan je selectie bepalen voor je leveranciers.
Jaap-Henk Hoepman: Absoluut.
Walter van Wijk: Dat zou zeker helpen.
Robin Botman: Volgende stelling Walter.
Walter van Wijk: CIP bestaat eigenlijk voor de overheid, de publieke sector, en de stelling is: helaas heeft de overheid vaak te weinig verstand van privacy en de impact van nieuwe technologie daarop. Is dat een beeld waarin jij je herkent?
Jaap-Henk Hoepman: Ja, deels, ik denk dat het probleem is dat er heel veel inhoudelijke kennis over de jaren heen bij de overheid is verdwenen. Die ze dan toch weer met behulp van externen of op andere manieren moeten proberen in te huren. Dus dat is een probleem.
Robin Botman: Zoals je zag bij de Corona-app?
Jaap-Henk Hoepman: Ja, maar dat vind ik dan ook wel weer in die zin een bemoedigend teken. In de zin dat ze dat ook inderdaad echt hebben geprobeerd, en dat ze ook gezien hebben dat dat belangrijk is. Ik zie mensen als Ron Roozendaal ook echt zwaar op de trommel trommelen om te zeggen: dit is belangrijk, dit moeten we meer doen. We moeten meer in openheid en in gezamenlijkheid dingen ontwikkelen. Ik denk dat dat echt een stap vooruit is. Dus ja, eens met de stelling en ik denk dat er ook nog iets anders aan de hand is en ik denk dat dat bij bij de overheid nog minder op de radar zit, namelijk het feit dat niet alleen techniek invloed heeft op privacy, maar ook de wet- en regelgeving. Om een voorbeeld te geven, de dingen als belastingwetgeving in Nederland is extreem complex. Dat betekent dat heel veel informatie fiscaal relevant is. Dan krijg je dus van dat soort ongein dat de FIOD kentekengegevens gaat opvragen bij een parkeergarage om te kijken of mensen hun leaseauto wel netjes als privégebruik hebben opgegeven. Dus wet- en regelgeving, dat zie je dan ook rondom de toeslagenaffaire. Als je wet- en regelgeving heel erg complex maakt en afhankelijk laat zijn van heel veel persoonlijke gegevens, dan betekent dat je als overheid per definitie gedwongen wordt om heel veel persoonsgegevens te verzamelen, want je moet het gewoon wettelijk gezien, en dat heeft een impact.
Walter van Wijk: Jij noemt wet- en regelgeving en we krijgen ook vanuit Europa een heleboel nieuwe wetten over ons heen uitgerold denk aan Data Act, Data Governance, AI Act, vind je dat op zich goede ontwikkelingen of heb je daar andere gedachten over?
Jaap-Henk Hoepman: Voor zover ik die ontwikkelingen goed genoeg volg, vind ik dat goede ontwikkelingen en ik denk dat het belangrijk is dat er kaders gesteld worden, en of die kaders dan uiteindelijk effectief en goed gaan werken, dat zullen we zien. Ik denk: als we het AVG even als voorbeeld nemen, daar weet ik dan iets meer van, ook al ben ik geen jurist, zie ik wel dat dat een een positief effect heeft.
Robin Botman: We hebben dus die overheid. We hebben gesignaleerd dat alles straks aan het internet vastzit en daar komt straks ook nog eens een keertje een heel grote dikke AI saus overheen. Denk je dat de overheid, laat ik het zo zeggen: wat verwacht je hier van de overheid voor een houding?
Jaap-Henk Hoepman: Nou, dezelfde constructieve kritische houding als eigenlijk ook al bij de AVG. Voor zover ik de inhoud van de AI act overzie, de Europese wet op dat gebied. Zie je daar ook goede kaders in. Daar wordt dus in ieder geval onderscheid in gemaakt tussen het risiconiveau van bepaalde AI toepassingen. Maar goed dan heb je het wel over een onderwerp dat veel breder is dan dan privacy.
Walter van Wijk: Dat is een mooi bruggetje naar de volgende stelling: privacy is geen eiland. Het is verbonden met als onderwerp, met allerlei andere dimensies en disciplines en zo zie je dat een impact assessment voor privacy, een DPIA, steeds vaker wordt gecombineerd met een IAMA. De impact voor mensenrechten en algoritme. Dus de stelling is eigenlijk: we moeten de term privacy by design vervangen door menselijke maat by design want dan kom je vanzelf wel goed weg met privacy. Is dat zo, of is dat te simpel?
Jaap-Henk Hoepman: Aan de ene kant vind ik persoonlijk het idee van de menselijke maat, het menselijk ontwerp ook erg belangrijk. Dat is ook wel iets wat ik wel vaker gezegd heb. Dat alleen lastig om dat dan vervolgens concreet genoeg te maken. Zodat er ook inderdaad echt iets gebeurt, en dat is met privacy al een probleem, omdat het toch uiteindelijk een vage term is. Als je het dan nog een abstractie niveau hoger legt wordt het nog ingewikkelder in de zin van: het krijgt geen echt concrete gevolgen en toepassingen. Dat is hetzelfde een beetje met ethiek, mensen zeggen van: 'We moeten ethisch ontwerpen'. Ja, oké, fijn. Maar vaak zie je dan zeker bij bedrijven, dat ze het zo noemen, maar het is meer een soort terugtrekkende beweging van: 'Nou, wij gaan ethisch ontwerpen!' Maar eigenlijk betekent het dan dat je niet echt duidelijke normen en kaders hebt waar je aan hoeft te houden.
Walter van Wijk: Uiteindelijk zeg je dan ook: privacy gaat uiteindelijk om mensen, dat is de meest basale vorm.
Jaap-Henk Hoepman: Ja.
Walter van Wijk: En ik heb Marlon Domingus in eerdere podcast ooit horen zeggen van: 'Joh, als je nou wil weten of die verwerking die jij van plan bent, of je daar je minderjarige dochter aan zou willen blootstellen, dan is dat al een beetje een gevoel van of je dat zou moeten willen doen of niet.'
Jaap-Henk Hoepman: Ja, dat helpt dat soort overwegingen en doe dat zeker ook. Probeer sowieso in het ontwerpen van wat voor systeem dan ook, je in te leven in de gebruiker. Dat is wel een zorg die ik sowieso heb. De meeste dienstverlening van de overheid is digitaal en de meeste mensen die gebruikmaken van die diensten zijn eigenlijk niet digitaal geletterd genoeg om daar gebruik van te maken. Kijk naar de fantastische film 'I Daniel Blake' een aantal jaren geleden door Ken Loach gedraaid en vertoont, om even een beeld te krijgen van wat het gevolg daarvan is, en ik zie dat gewoon echt letterlijk om mij heen.
Robin Botman: Even kort, wat werd daar geportretteerd?
Jaap-Henk Hoepman: Daar wordt een oudere man geportretteerd die recht heeft op een uitkering en die digitaal moet aanvragen. Maar ja, hij heeft geen idee en uiteindelijk probeert hij zijn recht te halen. En uiteindelijk krijgt hij z'n recht, maar hij overlijdt. Dat is echt een tranentrekkende film.
Robin Botman: Kafkaëske situaties?
Jaap-Henk Hoepman: Ja precies. In die situatie komen wel steeds meer mensen in, omdat de overheid zich snel verschuilt achter digitale middelen, als een soort digitale muur waar men zich achter terugtrekt. Daar vind ik dat menselijk ontwerpen een belangrijk uitgangspunt zijn.
Walter van Wijk: Bepleit jij dan Jan Jaap, zeker in grotere nieuwe verwerkingen voor een soort gebruikerspanel in het traject van het ontwerp aan het begin?
Jaap-Henk Hoepman: Nou op zijn minst, maar ik weet niet of dat genoeg is.
Walter van Wijk: Ga is door?
Jaap-Henk Hoepman: Ik denk dat je misschien heel vaak moet afvragen of een digitaal loket nu uiteindelijk is wat je wilt hebben. Misschien moet je je afvragen of je niet gewoon als mens tot mens in gesprek moet, als overheid, tot burger persoonlijk in contact moet zien te komen. In plaats van dat het allemaal via digitale formulieren, callcenters gaat, waar je niet doorheen komt.
Robin Botman: Dus meer de ethische vraag vooraf: moeten we dit op deze manier wel willen?
Jaap-Henk Hoepman: Ja en dat was dus wat ik net ook al zei over die corona-melder. Van de vraag voor al die technische gebbetjes en dingetjes is; hebben we dit nodig? Moeten we dit? En heel vaak is het antwoord nou misschien wel niet.
Robin Botman: Oké, Jaap-Henk, wacht even. Uiteindelijk gaat privacy over herstellen van machtsbalans tussen burger en overheid en tussen klanten en bedrijfsleven, hier parafraseer ik jou uit eerdere interviews. Dat haakt een beetje aan op wat je net zei.
Jaap-Henk Hoepman: Ja dat klopt.
Robin Botman: Leg dat eens uit?
Jaap-Henk Hoepman: Dat is in essentie wat er aan de hand is. Het belang van privacy is dat een overheid en een bedrijf veel meer informatie over een burger of een klant heeft, dan dat die klant of die burger over de overheid heeft. Zeker als je geen privacybescherming hebt, dus als die machtsbalans, want ja kennis is macht in die zin, informatie is macht. Dus door privacybescherming serieus te nemen, herstel je enigszins die machtsbalans. Niet helemaal, daar zal ook allemaal andere dingen nodig voor zijn, maar dit is wel iets wat daaraan bijdraagt.
Walter van Wijk: Primaire uitgangspunt is: de overheid is er voor de burger en niet de burger voor de overheid.
Jaap-Henk Hoepman: Nou dat sowieso ja, eens.
Robin Botman: Maak jij je zorgen over onze privacy? Je bent een beetje een activist, voorzichtigjes durfde ik in het begin te signaleren.
Jaap-Henk Hoepman: Ja dat hebben we al gezegd, dat hebben we al geconstateerd, dus laten we dat maar gewoon vasthouden.
Walter van Wijk: Maar heb jij zorgen als je de komende paar jaar inkijkt met alle ontwikkelingen die er zijn; privacy by design, privacy enhancing technology, AI.
Jaap-Henk Hoepman: Aan de ene kant, ja, omdat ik te weinig zie gebeuren. In de zin van: doe het nou eens goed. Aan de andere kant ben ik ook positief van: ja, er is zoveel wat wel kan. Ik bedoel van alle dingen die we dagelijks gebruiken, of het nou surfen op het web is, of betalen met je pinpas, of het kaartjes kopen voor een concert. Op dit moment verzamelen die dingen allemaal persoonlijke informatie en ik kan gewoon terugkijken op Ticketmaster voor concerten die ik tien, twintig jaar geleden gezien heb. Maar voor al die dingen die ik net noemde, zijn gewoon technische alternatieven, die het mogelijk maken om bijvoorbeeld; volledig privacy vriendelijk te betalen, net als met cash geld, volledig privacy vriendelijk te reizen met openbaar vervoer net als met papieren kaartjes, volledig privacy vriendelijk concerten te bezoeken net als met papieren kaartjes. Het is er allemaal en het is echt geen rocket science, dus het kan ook.
Robin Botman: Oké dan de laatste slotvraag want dat vind ik dan leuk. Wat doe jij dan in je eigen leven zelf om je eigen privacy te bewaken? Stuur je dan ook inderdaad zo'n mailtje naar Ticketmaster van: 'Kom op jongens, dit is niet nodig!' Ben je ook zo activistisch?
Jaap-Henk Hoepman: Ja dat doe ik dan wel eens bij tijd en wijlen. Laatst had ik er ook weer met iemand over. Ik dacht moet er maar een keer echt gewoon werk van gaan maken om zo'n bedrijf aan te pakken. Ik ben één van de weinigen die nog steeds contant betaald als het enigszins kan. Het kan op steeds minder plekken, maar ik denk dat dat belangrijk is. Ik gebruik geen Gmail we hebben weliswaar op de universiteit in Groningen Gmail. In Nijmegen hebben we Microsoft office 365 die probeer ik zoveel mogelijk te ontwijken. Dat weer wel. Aan de andere kant ben ik ook pragmatisch, want ik moet mijn werk doen. Ik moet mijn dingen doen, dus dat doe ik dan ook.
Robin Botman: Heb je nog een nabrander, Walter?
Walter van Wijk: Nee, het raakt ook weer aan de functionaliteit en de kwaliteit van je leven en waar je toegang tot hebt. Je kan je niet voor alles afsluiten, want dan word je leven redelijk beperkt.
Jaap-Henk Hoepman: Ja en bovendien ik heb het gevoel dat ik daar controle over heb, en even heel flauw gezegd: ik denk dat ik niet degene ben die het meeste probleem heeft bij het hebben van te weinig privacy. Dat zijn toch vaak de mensen die het net even wat minder goed getroffen hebben in de maatschappij. En daar maak ik me vooral zorgen over, die zijn het slachtoffer.
Walter van Wijk: Dan zijn we terug bij de kreet, die vaak wordt gebruikt bij organisaties voor privacy: we moeten in control zijn. En jij probeert dat privé ook te zijn.
Jaap-Henk Hoepman: Ja.
Robin Botman: Check, Jaap-Henk Hoepman dank je wel voor dit gesprek! Ik vind jou wel een inspirerende figuur, dus ik hoop dat jij onze luisteraars ook hebt geïnspireerd, en dat kan natuurlijk ook door alle andere afleveringen van mijn Captains of Privacy te luisteren. Collega's van jou, vakgenoten allemaal interessante podcasts, en waar kunnen we deze vinden?
Walter van Wijk: Op onze website: https://www.cip-overheid.nl/uitgelicht.
Robin Botman: Dank je wel.
Walter van Wijk: Graag gedaan. Dank je wel.