Hoe gaan wij om met privacy op het wereldwijde web?
Privacy is een vrij bekende term, maar soms ook erg vaag. Ik kan me nog herinneren hoe Nederland in 2018 overstuur was bij de invoering van de AVG-richtlijnen (Algemene Verordening Gegevensbescherming). Vanaf dat moment werden we met z’n allen verplicht zorgvuldiger om te gaan met persoonsgegevens. Iets waar voorheen vooral juristen en advocaten zich mee bezighielden. Met het groeiende gebruik van het internet en de bijbehorende technologieën is privacy echter een onderwerp geworden waar wij ons allemaal mee bezig zouden moeten houden. Maar zijn we ons daar wel voldoende van bewust? Weten we eigenlijk wel wat privacy echt betekent? En kunnen we onze privacy volledig behouden wanneer we gebruik maken van het wereldwijde web? Dit zijn allemaal vragen die bij me opkwamen tijdens het beluisteren van het gesprek tussen Raoul en Rifa in onze podcastaflevering #29 Impact | Verwachtingen vs. Realiteit.
In deze explainer gaan we dieper in op wat privacy nou eigenlijk betekent in de “wilde westen” van het internet. We bekijken ook hoe technologieën zoals blockchains hiermee omgaan en wat jij zelf kan doen. Lees je mee? 👩🏾💻
Wat is privacy?
De letterlijke vertaling van het Engelse woord “privacy” is in het Nederlands geheimhouding of afzondering, maar ook beslotenheid, privé- en persoonlijke levenssfeer. Volgens Van Dale online is privacy de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn. Wanneer iemands privacy wordt geschonden, dan is er sprake van een ongevraagde inmenging in het privéleven van die persoon. In veel landen, waaronder Nederland, is privacy een grondrecht. In artikel 10 van de Nederlandse Grondwet staat beschreven wat iemands persoonlijke levenssfeer is en dat iedereen het recht heeft om daarin gerespecteerd te worden, zowel in de fysieke als in de digitale wereld. Als je het aan ChatGPT vraagt, komt er een redelijk mooie omschrijving van privacy uit:
Privacy is het recht van een individu om persoonlijke informatie, gedragingen, activiteiten en communicatie af te schermen van anderen. Het betekent dat je zelf controle hebt over wat anderen over jou weten. Je kunt zelf bepalen welke informatie je deelt, met wie en onder welke omstandigheden. Denk hierbij aan je gegevens, je communicatie of je locatie. Privacy beschermt mensen tegen ongewenste inmenging van buitenaf in hun persoonlijke leven en stelt hen in staat om hun gegevens en activiteiten te beschermen tegen misbruik of ongewenste openbaring. Inmenging van buitenaf kan gebeuren door bijvoorbeeld bedrijven, overheden of andere personen.
Je mag dus volgens jouw privacyrechten bijvoorbeeld aangifte doen als iemand zomaar je huis binnendringt, maar ook als organisaties die jouw data hebben daar misbruik van maken.
Hoe zit het in andere landen met de privacy?
Niet alle landen in de wereld besteden evenveel aandacht aan online privacy. De Europese Unie heeft sinds 2018 officieel de General Data Protection Regulation (GDPR) ingevoerd, waarvan de AVG vertaling heeft. Andere landen hanteren de volgende benaderingen:
- Australië heeft de Privacy Act 1988, die reguleert hoe bedrijven en overheidsinstanties omgaan met persoonlijke informatie. De Australian Privacy Principles (APPs) beschrijven de privacyrechten van individuen. Australië stelt ook dat internetproviders gegevens moeten opslaan voor een bepaalde periode. Handhaving wordt uitgevoerd door de Office of the Australian Information Commissioner (OAIC). In Nederland wordt dit gedaan door de Autoriteit Persoonsgegevens (AP).
- Brazilië heeft sinds 2020 de Lei Geral de Proteção de Dados (LGPD), een wet die sterk geïnspireerd is op de Europese AVG. De LGPD reguleert hoe bedrijven gegevens van burgers mogen verzamelen, opslaan en verwerken. Er zijn boetes van toepassing bij overtredingen.
- Canada heeft de Personal Information Protection and Electronic Documents Act (PIPEDA), die net als de GDPR privacyrechten biedt aan individuen in hun interacties met commerciële (online) bedrijven. Sommige provincies in Canada hebben aanvullende privacywetten.
- China heeft in 2021 de Personal Information Protection Law (PIPL) ingevoerd. Deze wet biedt rechten voor gegevensinzage, correctie en verwijdering. Het geeft de overheid ook de mogelijkheid om toegang te krijgen tot informatie bij veiligheidsbelangen.
- Japan heeft de Act on the Protection of Personal Information (APPI), die vergelijkbaar is met de GDPR in de EU.
- India kent de Information Technology Act en de bijbehorende IT Rules, die enkele basisprincipes bieden voor gegevensbescherming. Deze principes zijn echter minder uitgebreid dan de wetten in de EU en de VS.
- De Verenigde Staten van Amerika heeft geen federale privacywetgeving die voor het hele land geldt. Privacy wordt op federaal en staatsniveau geregeld, met wetten die specifiek gericht zijn op bepaalde sectoren, zoals gezondheidsgegevens of kinderprivacy. In de staat Californië zijn er wel sterke privacywetten vergelijkbaar met de GDPR, zoals de CCPA en de CPRA.
- Het is ook interessant om te onderzoeken wat landen zoals Zuid-Korea, Zwitserland, Singapore, Mexico, Argentinië, Nieuw-Zeeland, Israël, Rusland en Zuid-Afrika doen op het gebied van privacybescherming door middel van wet- en regelgeving.
Waarom is privacy online belangrijk?
Zoals je in de privacyuitleg kunt lezen, hebben we allemaal recht op respect voor onze eigen privé-omgeving en wat we daarin doen. Ook online hebben we dat recht. Op het internet, dat ook een wereld is waar we ons begeven, is privacy belangrijk omdat het ons beschermt tegen misbruik van onze gegevens. We hebben controle over met wie wij die gegevens delen, en het is een vorm van bescherming van onze vrijheid en zelfstandigheid. Het zou ons ook moeten beschermen tegen ongewenste profilering en reclame. In de praktijk gaat dat echter vaak anders. Privacy brengt ook nadelen met zich mee. Zoals je kunt lezen in de blog over TON, zorgt privacy ook voor de mogelijkheid tot criminele activiteiten. Waterdichte privacy kan er bovendien voor zorgen dat we geen persoonlijke gebruikerservaring meer krijgen online. Of denk jij dat het anders kan?
Kan ik online bedrijven vertrouwen met mijn privacy?
Ondanks dat organisaties, bijvoorbeeld in Europa, verplicht zijn je te informeren over en toestemming te vragen voor het gebruik van jouw data, is het voor individuen bijna onmogelijk te controleren wat deze online bedrijven daadwerkelijk met je gegevens doen. Het is dus een kwestie van vertrouwen dat zo’n organisatie zich houdt aan de afspraken die ze met jou maken, wanneer jij begint met het gebruik van hun platformen. Elke plek waar je komt, heeft geschreven en ongeschreven regels. Je moet voldoen aan bepaalde voorwaarden om toegang te krijgen en te behouden tot een platform. Deze voorwaarden worden door veel platforms online gedeeld in documenten met namen zoals: Terms of Agreement, Terms of Use and Services, Terms of User Agreements, Terms of Service, of Terms and Conditions. Dat lange document dat veel mensen niet lezen en gewoon accepteren om snel toegang te krijgen tot een platform? Ja, dat! In die documenten staat soms in kleine letters wat deze online bedrijven met jouw data doen. Zelfs als je het goed leest, hebben grote techbedrijven al vaker laten zien dat ze zich niet altijd aan de afspraken houden die ze met gebruikers maken. Zo hebben grote platforms zoals Facebook (Meta), Google, Apple en Amazon het vertrouwen van hun gebruikers geschaad door gebruikersgegevens te gebruiken voor andere doelen dan wat er in de voorwaarden stond. Hoe zou het probleem van vertrouwen online kunnen worden opgelost?
Lost de blockchain het probleem van online privacy op?
Naast de blockchainkenmerken zoals decentralisatie, encryptie, Zero-Knowledge Proofs en protocollen, hebben nieuwe netwerken ook een aantal specifieke op privacy gerichte eigenschappen. Je kunt bijvoorbeeld lezen wat TON doet in ons artikel op Bitcoinmagazine.nl.
De blockchain geeft de mogelijkheid om op een pseudonieme manier online geïdentificeerd te worden. Dit houdt in dat gebruikers herkend worden door adressen in de vorm van cryptografische sleutels. Bij het verrichten van een transactie kun je als gebruiker redelijk anoniem blijven, omdat je identiteit niet gekoppeld is aan je adres. Er zijn blockchains die gericht zijn op dataminimalisatie. Zij vragen alleen naar gebruikersdata als die strikt noodzakelijk is. Self Sovereign Identity (SSI) is een gedecentraliseerd identiteitsmodel, waarbij gebruikers (met behulp van DIDs) zelf en volledig de controle hebben over hun identiteit en persoonsgegevens. Op deze manier kun je platformen toegang geven tot enkel en alleen de informatie die zij nodig hebben. Je laat bijvoorbeeld alleen zien dat je voldoet aan de leeftijdsvoorwaarde om gebruik te maken van het platform, zonder je geboortedatum te onthullen. Op deze manier heb je een privacybestendige manier om toegang te krijgen tot online diensten. De blockchain biedt hiermee een gedeeltelijke oplossing voor de privacyuitdagingen van ons huidige internet (Web2.0).
Wat zijn voorbeelden van verschillende privacygerichte blockchains?
Monero (XMR) en Zcash (ZEC) bieden geavanceerde privacyfunctionaliteiten. Ze kunnen de identiteit van gebruikers beter verbergen. Net zoals bij Tornado Cash, wordt er van deze platformen soms misbruik gemaakt voor illegale activiteiten. In de blog over scams en hacks schrijven we kort over dit project. Andere privacygerichte blockchainprojecten zijn Dash, Horizen (ZEN), Secret Network (SCRT), Beam en Firo (voorheen Zcoin).
uPort, SelfKey en Civic zijn voorbeelden van SSI-projecten. Via hun wallet (vaak in de vorm van een mobiele app) bieden zij gebruikers de mogelijkheid om zelf controle te hebben over het delen van hun data. In Nederland zijn partijen zoals de Rabobank, TNO, De Nederlandse Blockchain Coalition, SURF, verschillende consultancybedrijven en onderwijsinstellingen bezig met SSI. Een Nederlands collectief dat vanuit meerdere perspectieven samenwerkt, is actief in het FIDES SSI-project.
Op welke manieren kan ik mijn privacy behouden op het internet?
De afgelopen weken werd ik in verschillende gesprekken weer herinnerd aan de “Circle of Influence” en het nemen van regie over zaken waar je verantwoordelijk voor bent. Als je boven een bepaalde leeftijd bent, ben jij alleen verantwoordelijk voor jezelf. Als je gebruik maakt van het internet, heb je gedeeltelijk invloed op wat er met de informatie die je deelt, wordt gedaan. Het is wellicht goed om na te gaan hoe de platforms die je gebruikt omgaan met jouw data. Vraag jezelf daarna af of je bereid bent akkoord te gaan met hun voorwaarden voor de blootstelling van (een deel van) jouw identiteit. Rifa zei het op een andere manier in de podcast, maar als je privacy belangrijk vindt, is het goed om de balans te vinden tussen wat je ervoor geeft en wat je ervoor terugkrijgt. Ga op onderzoek uit naar projecten die je mogelijk kunnen helpen om anders te kijken naar jouw online identiteit. Lees over en experimenteer bijvoorbeeld met een wallet die je toegang geeft tot verschillende platformen.
Naast het beperken van welke informatie je online deelt, kun je ook andere dingen doen om jezelf te beschermen. Je kunt de welbekende sterke gebruikersnamen en wachtwoorden in combinatie met tweefactorauthenticatie instellen. Gebruik anonieme e-mailadressen voor verschillende accounts, in combinatie met een wachtwoordmanager voor veilige opslag van deze gegevens. Wij maken zelf bijna nooit gebruik van het internet op openbare plekken. Als je toch genoodzaakt bent, gebruik dan bijvoorbeeld een VPN om anoniemer gebruik te maken van het netwerk. Probeer privacyvriendelijke en up-to-date browsers en zoekmachines uit. Bepaal zelf welke cookies je accepteert en welke niet, en verwijder regelmatig je cookies uit je browser. Beperk de toegang van apps op jouw telefoon tot het noodzakelijke (bijv. locatie, contacten, foto’s). Kies bij communicatie-apps voor end-to-end encryptie, zodat jij en de ontvanger alleen de berichten kunnen lezen. Gebruik versleutelde cloud-opslag voor jouw media zoals foto’s, video’s en documenten. Blijf daarnaast bewust van phishing en malware online.
Je hebt slechts controle over een deel van de dingen om je heen. Als je gebruik maakt van het wereldwijde web, kun je deels zelf de regie nemen over je online identiteit en privacy. Je moet je nog steeds houden aan de voorwaarden van de verschillende poorten die toegang bieden tot het internet.
Heb je onze nieuwste podcast aflevering al beluisterd? 👇🏾🎧
Geschreven door Nicole Wong-Swie-San