UNIVERSITEIT VAN AMSTERDAM
Grip op Persoonsgegevens (GoP): een
tool voor individueel inzicht in door
organisaties verzamelde persoonlijke
data
Bachelorscriptie Informatiekunde
door
Brechje Boeklagen
(11021462)
begeleider
Loek Stolwijk
tweede lezer
Tom van Engers
Abstract
door Brechje Boeklagen (11021462)
Deze bachelorscriptie adresseert het probleem van het gebrek aan controle en inzicht in (online) persoonlijke data die gebruikt wordt door organisaties. Als oplossing wordt een conceptuele tool voorgesteld, de Grip op Persoonsgegevens (GoP). De GoP maakt mogelijk dat gebruikers via een interface hun data kunnen inzien en eventueel laten bewerken of verwijderen. Randvoorwaarden voor realisatie zijn opgesteld op basis van literatuuronderzoek naar bestaande persoonlijke data tools, de rechten van gebruikers en privacy-regelingen op basis van de GDPR en privacy-beleid van social media organisaties (Google, Facebook, Twitter en LinkedIn). De randvoorwaarden zijn gevalideerd door experts op het gebied van (data-)privacy. De experts waren overwegend positief over dertien van de vijftien randvoorwaarden, maar liepen uiteen over de realiseerbaarheid van de GoP.
Dankwoord
Ik wil graag mijn begeleider Loek Stolwijk bedanken voor alle hulp bij het schrijven van deze scriptie. Daarnaast wil ik Tom van Engers bedanken voor het vrijmaken van zijn tijd om als tweede corrector te fungeren. Tot slot wil ik mijn vriend, ouders en vrienden bedanken voor hun steun en positiviteit.
Abstract i
Acknowledgements ii
1 Introductie 1
1.1 Eerdere bevindingen . . . 2
1.1.1 Huidig onderzoek in relatie met eerdere bevindingen . . . 3
1.2 Wetenschappelijke relevantie . . . 3
1.3 Onderzoeksvraag . . . 4
1.4 Onderzoeksopzet . . . 4
2 Theoretisch Kader 6 2.1 Problemen met privacy. . . 6
2.1.1 Dataverzameling door organisaties . . . 6
2.1.2 Gebruikers . . . 7
2.1.3 Flow van informatie . . . 8
2.2 Literatuur over bestaande tools . . . 8
2.2.1 Data vaults en boxen. . . 9
2.2.2 Alternatieve platforms . . . 10
3 Methode 12 3.1 Brainstormen met experts . . . 12
3.1.1 Bits of Freedom (BoF) . . . 12
3.1.2 Piratenpartij . . . 12
3.2 Privacy-beleid social media . . . 13
3.3 Categorie¨en voor randvoorwaarden . . . 13
3.4 Mening van experts: opstellen van het gestructureerde interview . . . 13
3.5 Betrouwbaarheid . . . 15
3.6 Reproduceerbaarheid . . . 16
3.7 Validiteit . . . 16
4 Resultaten 17 4.1 GDPR . . . 17
4.1.1 Uitvoering van GDPR voor betrokkenen . . . 17
4.1.1.1 Principes . . . 17
4.1.1.2 Geleverde informatie. . . 18
Inhoud iv
4.1.1.3 Rechten van betrokkenen . . . 18
4.2 Verzameling van data . . . 19
4.2.1 Privacy- en gegevensbeleid. . . 19 4.2.1.1 Facebook . . . 20 4.2.1.2 Twitter . . . 21 4.2.1.3 LinkedIn . . . 21 4.2.1.4 Google . . . 22 4.3 Verschillen en overeenkomsten. . . 24 4.4 De GoP . . . 24
4.4.1 Vergelijking bestaande tools met GoP . . . 25
4.5 Randvoorwaarden van de GoP . . . 25
4.5.1 Architectuur . . . 26 4.5.1.1 Technologie. . . 27 4.5.1.2 Organisatie . . . 27 4.5.1.3 Beveiliging . . . 29 4.5.1.4 Utiliteit . . . 29 4.5.2 Governance . . . 29 4.5.2.1 Autoriteit Persoonsgegevens . . . 30 4.5.2.2 Interface . . . 31
4.5.3 Relatie met gebruikers en privacy. . . 31
4.5.4 Kosten. . . 32
4.6 Meningen van experts . . . 32
5 Discussie en Conclusie 36 5.1 Terugkoppeling naar vorige tools . . . 36
5.2 Effect van voorwaarden op organisaties en privacy van burgers . . . 37
5.3 Discussie. . . 38
5.3.1 Randvoorwaarden van de GoP . . . 38
5.3.2 Onderzoeksopzet . . . 39
5.3.3 Sleepwet. . . 41
5.4 Conclusie . . . 41
5.5 Vervolgonderzoek . . . 42
A Appendix A 44 A.1 Opzet om contact te zoeken met externe partijen . . . 44
A.1.1 Bits of Freedom. . . 45
A.1.2 Piratenpartij . . . 45
A.2 E-mail gestuurd aan experts om mee te doen aan het gestructureerde interview ter validatie van de randvoorwaarden . . . 46
A.3 Aanleiding en doelstelling GDPR . . . 47
B Appendix B 48 B.1 Gestrucutureerd interview . . . 48
B.2 Gesprek met een expert . . . 57
C Appendix C 60
C.1 Resultaten van het gestructureerde interview . . . 60
D Appendix D 65
D.1 Opmerkingen van de experts over de stellingen . . . 65
E Appendix E 76
E.1 Sleepwet . . . 76
Hoofdstuk 1
Introductie
In 2006 werd door een groep onderzoekers een analyse uitgevoerd op de data van 1700 Facebook-gebruikers. Hierbij is gekeken naar in de loop van een aantal jaar veranderende interesses en vriendschappen (Crawford et al., 2011). Deze analyse werd vrijgegeven met de gedachte dat dit anoniem was. Andere onderzoekers kwamen erachter dat de geanonimiseerde data te herleiden was naar specifieke gebruikers1. Dit werd als een grote inbreuk op de privacy van gebruikers beschouwd (Crawford et al.,2011).
Shilton (2009) ziet privacy als de mogelijkheid om het delen van persoonlijke data te begrijpen, kiezen en controleren, met wie en voor hoe lang. Het belangrijkste punt dat
Shilton (2009) aanhaalt is dat privacy onderdeel is van iemands identiteit. Toch geven mensen geen prioriteit aan privacy: ’Ik heb niets te verbergen.’ (Martijn & Tokmetzis,
2016)
Wat hebben mensen dan wel te verbergen? Een reden waarom deze vraag volgens Mar-tijn en Tokmetzis(2016) moeilijk te beantwoorden is, is dat burgers niet zien wat er met hun gegevens gebeurt. De mate waarin gebruikers en consumenten persoonlijk worden benaderd, betekent dat organisaties die hun data verzamelen, verrijken en verhandelen, wellicht net zoveel weten als naasten van de gebruikers (Martijn & Tokmetzis, 2016). De persoonlijke informatie over onder andere online en offline aankopen, politieke over-tuiging, religie en inkomen komt hier nog bij. Burgers zien niet hoe hun data wordt verzameld, wat de reden hiervoor is en wat organisaties er mee gaan doen (Martijn & Tokmetzis, 2016). De vraag dringt zich op welke data worden verzameld, bewerkt en uitgewisseld door en tussen organisaties2.
1
Onder gebruikers worden individuen verstaan die gebruik maken van online diensten en daarbij persoonlijke data verstrekken. Tevens zijn de gebruikers eigenaar van hun persoonlijke data.
2
Onder een organisatie wordt een groep mensen verstaan met een gezamenlijk doel. Het is een samenbundeling van kennis, vaardigheden en kracht binnen een groep mensen.
Op 25 mei 2016 is de Europese General Data Protection Regulation (GDPR) ingesteld, met een overgangsperiode van twee jaar. De GDPR werd op 25 mei 2018 wettelijk van kracht. De GDPR brengt een uitbreiding van privacy-rechten met zich mee en legt meer verantwoordelijkheid neer bij de organisaties die persoonsgegevens verzamelen en bewerken. De GDPR biedt de mogelijkheid voor toezichthouders om strenger in te grijpen (Willink, 2018). Een dergelijke sanctie is het opleggen van een boete aan de betreffende organisatie van twintig miljoen euro, of twee tot vier procent van de wereldwijde jaaromzet. Er wordt gekozen voor de hoogste som (Europese Unie, 2016;
Willink,2018).
Door de GDPR wordt een grote stap genomen naar meer transparantie van organisaties (EUGDPR.org, 2018). Gebruikers krijgen het recht op informatie over het doeleinde waarvoor hun data wordt gebruikt. Ook hebben de gebruikers het recht om data die verzameld is op te vragen. Dit laatste heet het recht op toegang. Op deze manier wordt de verzamelde persoonlijke data aan de gebruiker verstrekt. In hoofdstuk 4 zal de GDPR uitgebreid worden toegelicht op het onderdeel van de rechten van gebruikers.
De GDPR beschrijft waar bedrijven en organisaties zich aan moeten houden bij de ver-zameling en verrijking van persoonsgegevens. Onder verrijkte data wordt alle nieuw gecre¨eerde data op basis van bestaande persoonlijke data verstaan. De GDPR roept echter wel vragen op. Op welke wijze kan de gebruiker achterhalen welke organisatie over zijn of haar gegevens beschikt en hoe deze verrijkt worden? Hoe worden de gecon-troleerde gegevens verwerkt, verrijkt en gedeeld, en door wie? Hoe valt alle persoonlijke data van verschillende bronnen aan elkaar te verbinden? In dit onderzoek zal gezocht worden naar een manier waarop inzicht in de verzamelde en verrijkte data mogelijk ge-maakt kan worden, in het bijzonder voor de huidige regelgeving van de GDPR en de organisaties die deze data verzamelen en verrijken. Hierop volgt de onderzoeksvraag: wat zijn de randvoorwaarden met betrekking tot dataverstrekking om als individu inzicht te krijgen in de informatie die verzameld en verrijkt wordt door organisaties?
1.1
Eerdere bevindingen
VolgensMortier, Haddadi, Henderson, McAuley en Crowcroft(2013) moet de gebruiker het nieuwe datacentrum worden, waar de gebruiker zelf de data beheert in plaats van organisaties. Dit wordt geopperd omdat door middel van persoonlijke data systemen ontstaan rondom organisaties en individuen. Omdat er steeds meer van dit soort syste-men kosyste-men en syste-men hier afhankelijk van wordt, zouden gebruikers meer controle moeten krijgen over onder andere hun persoonlijke data (Mortier et al., 2013). De gebruikers zouden meer controle moeten krijgen over de inferenties die aan de hand van hun data
Inhoud 3
worden gevormd en acties die daarbij worden uitgevoerd. De onderzoekers pleiten voor onder andere een mechanisme om de kwaliteit van data te verbeteren en om mensen meer controle te geven over hun data (Mortier et al.,2013).
Er is behoefte aan een platform dat mensen meer inzicht verschaft in de verzameling, het beheer en het gebruiken van hun persoonlijke data (Chaudhry et al., 2015). Het platform moet volgens de onderzoekers onder directe controle staan van de eigenaar van de data. Dit biedt een oplossing voor het tegengaan van data-lekken, de ontransparante manier van opereren door adverteerders en datahandel met derde partijen (Chaudhry et al.,2015). Als oplossing wordt een persoonlijke data opslag genoemd, in handen van de gebruiker. Met zicht op het begrip wat persoonlijke data betekent en onthult, hebben
Shilton et al. (2009) een prototype ontwikkeld van een data vault, met een soortgelijk ontwerp als (Chaudhry et al., 2015). In het onderzoek van Mun et al. (2010) kunnen gebruikers door het gebruik van de data vaults niet alleen aangeven wie toegang heeft tot de data, maar ook met wie de data gedeeld wordt. Tot slot wordt vastgelegd wie de data heeft bewerkt of ingezien en hoe de data gebruikt wordt.
1.1.1 Huidig onderzoek in relatie met eerdere bevindingen
Dit bachelor-onderzoek legt de nadruk op de randvoorwaarden voor het inzichtelijk ma-ken van persoonlijke data die verzameld wordt, met een zelfde motivatie als hierboven beschreven door Chaudhry et al. (2015), Shilton (2009) en Mortier et al. (2013). Dit moet de mogelijkheid bieden om interactie met persoonlijke data mogelijk te maken. Op deze manier kan inzicht leiden tot meer controle en bewustzijn over de risico’s van de verzameling en verrijking van persoonlijke data. De effecten van het delen, verza-melen en verrijken van data op de privacy van gebruikers zal geschetst worden. Een conceptuele tool, de Grip op Persoonsgegevens (GoP), moet zorgen dat gebruikers op een overzichtelijke manier inzicht krijgen in de door organisaties verzamelde, verrijkte en gedeelde persoonlijke data.
1.2
Wetenschappelijke relevantie
In de eerdere bevindingen kwam niet naar voren dat verrijkte data wordt meegeleverd door organisaties en een compleet overzicht te vinden is van alle data die bestaat over een gebruiker. Shilton et al. (2009) noemen het genereren van data om te zien welke data er uit de al verzamelde persoonlijke data kan worden afgeleid, maar deze acties worden niet door de data-verzamelende organisaties uitgevoerd. De GoP ondersteunt het inzicht in de persoonlijke data die verrijkt en verzameld wordt door organisaties.
Mortier et al. (2013) wijzen op het belang van een gemeenschappelijk dataformaat, de privacy-aspecten van een onderzoek naar data en ethische kwesties samenhangend met big data. Mortier et al. (2013) zijn van mening dat de macht van organisaties over privacygevoelige data beperkt moet worden.
1.3
Onderzoeksvraag
Onderzocht zal worden of een tool of mechanisme ontwikkeld kan worden voor burgers om controle en overzicht te krijgen over de data die verzameld wordt door organisaties, inclusief de koppeling met andere gegevens die door andere organisaties zijn verzameld (b.v. derde partijen). De hoofdvraag luidt:
wat zijn de randvoorwaarden met betrekking tot dataverstrekking om als individu inzicht te krijgen in de informatie die verzameld en verrijkt wordt door organisaties?
Hierbij zal worden gekeken hoe een dergelijke beschikbaarheid van data eruit zal gaan zien voor het individu en wat de inzichten zijn die hiermee worden vergaard. Wat is het formaat van de data, en hoe wordt de kwaliteit van de data gewaarborgd? Wie controleert de kwaliteit van de data? Hoe wordt de dataverwerking georganiseerd? Hoe wordt dit in de praktijk ge¨ımplementeerd? Hoe wordt de privacy van gebruikers gewaarborgd? Nadat een beeld is gevormd van de beschikbaarheid, zal onderzocht worden wat de effecten van de randvoorwaarden zijn op organisaties om meer inzicht te krijgen in de door hen verzamelde en verrijkte data. Ter ondersteuning zal ook gekeken worden naar de implicaties van het ontworpen mechanisme op de privacy van gebruikers.
1.4
Onderzoeksopzet
Om de onderzoeksvraag te kunnen beantwoorden is onderzoek gedaan naar de GDPR, privacy statements en data-vormen die verzameld worden om een beeld te krijgen van wat de huidige situatie is. Hierna is gekeken naar de reeds bestaande oplossingen om inzicht te krijgen in de verzamelde en verrijkte persoonsgegevens. De bevindingen over de huidige situatie en literatuur zijn besproken met experts (Piratenpartij en Bits of Freedom (BoF)) om de uiteindelijke onderzoeksrichting op te stellen. Vervolgens is een conceptuele tool ontwikkeld om individuele gebruikers inzicht te verschaffen over hun verzamelde en verrijkte data. In het rapport wordt naar deze tool verwezen als de Grip op Persoonsgegevens (GoP). Verder is gekeken naar de implicaties voor organisaties en privacy van burgers. Dit is gedaan aan de hand van de GoP en de verkregen literatuur
Inhoud 5
op dat vlak. De randvoorwaarden van de GoP, opgesteld door middel van literatuuron-derzoek, zijn voor verificatie besproken worden met experts. Dit is gebeurd aan de hand van kwalitatief onderzoek in de vorm van gestructureerde interviews met een snowball -opzet. Tot slot zijn de bevindingen gedocumenteerd, discussiepunten aangedragen en conclusies getrokken op basis van de interviews en het theoretisch onderzoek.
Theoretisch Kader
2.1
Problemen met privacy
’If you are not paying for it, you are the product.’ (Chaudhry et al., 2015) Wanneer gebruikers niet betalen voor applicaties of services, kan dit resulteren in handel met per-soonlijke data (Chaudhry et al.,2015). De data die verzameld wordt kan inzicht geven in gewoontes, het aantal keer dat de gebruiker contact opneemt met familie en vrienden, et cetera. Wanneer data over locatie, gewoontes en routines bekend wordt, kunnen mensen dit tegen elkaar gaan gebruiken. Ook kan data verzameld of gebruikt worden zonder dat de gebruiker dit weet of toestemming heeft gegeven (Shilton, 2009). In het geval van onder andere personalisatie van advertenties wordt gezegd dat het verzamelen van data een risico is voor de samenleving (Tene & Polonetsky,2012). Wanneer gebruikers ingedeeld worden in categorie¨en door de automatische beslissingen van algoritmen van organisaties, kan dit zorgen voor een informatiebubbel, ofwel een ’echo chamber’ (Tene & Polonetsky,2012).
2.1.1 Dataverzameling door organisaties
Onder persoonlijke data wordt zowel publieke als private data over gebruikers verstaan die is geproduceerd door gebruikers (Mortier et al., 2013). Het gaat om onder andere koopgedrag, financi¨en en communicatie. Door deze data te verwerken kan het worden gebruikt voor bijvoorbeeld online advertenties, verkoop en voorspellingen (Mortier et al.,
2013). Verder bestaan er tools die in real time kunnen bijhouden wat gebruikers doen op een webpagina (Angwin,2010). Locatie, inkomen, winkelgedrag en zelfs gezondheid kunnen hiermee worden verzameld door organisaties. De profielen die worden opgesteld van gebruikers, worden onder andere verhandeld (Angwin,2010).
Inhoud 7
Facebook is het meest ge¨ınteresseerd in data van persoonlijke profielen, vriendennetwerk en internetverkeer (Fuchs,2012). Met de data van persoonlijke profielen wordt de naam, locatie, contactinformatie, genoten opleidingen en werk, persoonlijke voorkeuren, inte-resses en foto’s bedoeld. Facebook-gebruikers die foto’s uploaden, berichten schrijven en versturen en andere gebruikers opzoeken zijn een winstgevende bron voor de organisatie (Fuchs,2012). Deze groep van gebruikers produceert en gebruikt data op het platform en wordt hierom een groep van prosumers genoemd. De data van prosumers wordt ver-kocht aan adverteerders. De waarde wordt gebaseerd op persoonlijke data en interacties op Facebook (Fuchs,2012). Facebook heeft onder andere namen en namen van vrienden aan adverteerders en tracking-organisaties verstrekt (Steel & Fowler,2010). Verder heb-ben de applicaties op Facebook identificatienummers van gebruikers gedeeld met derde partijen (Steel & Fowler,2010).
Smartphones dragen bij aan het delen van persoonlijke data (Thurm & Kane, 2010). Ze bevatten namelijk telefoonnummers, locatie, de naam van de gebruiker, en een uniek nummer. Deze data, onder andere ook leeftijd en geslacht, wordt gedeeld met de ap-plicaties op de telefoon, die de informatie weer met derden kunnen delen. Dit is met smartphones moeilijk tegen te gaan, want veel applicaties hebben geen privacybeleid dat gebruikers kunnen lezen (Thurm & Kane,2010).
2.1.2 Gebruikers
In het onderzoek van Ackerman, Cranor en Reagle (1999) is onder andere onderzocht hoe mensen reageren op situaties waarin hun persoonlijke informatie wordt verzameld. De respondenten gaven een hoog niveau van bezorgdheid aan over de veiligheid van hun data, zowel in het algemeen als op het internet. De respondenten konden gegroepeerd worden als privacy fundamentalisten1, privacy pragmatisten2 en gematigd bezorgden3 (Ackerman et al.,1999).
De meeste respondenten gaven aan dat ze geen moeite hadden om data te verstrekken over hun favoriete eten, tv-programma, e-mailadres of leeftijd. Rond de vijftig procent van de respondenten hadden nauwelijks zorgen bij het beschikbaar stellen van hun voor-en achternaam voor-en adres. Evoor-en aantal voelde zich nog comfortabel om informatie te gevvoor-en over hun gezondheid, inkomen en telefoonnummer. Echter alle respondenten uitten hun bezwaren wanneer hun creditcard-nummer of burgerservicenummer werd gevraagd
1
Deze groep is erg huiverig om data te verstrekken aan websites, ook al zijn er privacy-regelingen.
2
Deze groep is minder bezorgd om hun privacy dan de fundamentalisten. Ze hebben vaak specifieke punten waar ze kritisch zijn, maar de kritische houding neemt af wanneer er privacy-regelingen worden aangehouden.
3Deze groep is vrijwel altijd bereid om hun data aan organisaties op het internet te verschaffen, al
(Ackerman et al.,1999). Uit dit onderzoek blijkt dat hoe persoonlijker de data wordt, hoe minder mensen zich op hun gemak voelen deze informatie te verstrekken op het internet (Ackerman et al.,1999).
Een aantal factoren zijn belangrijk voor het gevoel van privacy volgens de respondenten. Het delen van data met derden werd als de meest belangrijke factor gezien. Ook factoren als ’is de data gebruikt waardoor iemand ge¨ıdentificeerd kan worden’, het soort data die verzameld is, en wat het doel is waarvoor de data verzameld is worden als belangrijke punten gezien. Zie voor meerdere factoren en hun mate van belangrijkheid het onderzoek vanAckerman et al. (1999).
2.1.3 Flow van informatie
Nissenbaum (2011) beschrijft twee soorten manieren voor omgang met privacy op het vlak van persoonlijke data. Als eerste de notice-and-consent, deze manier is gefocust op transparantie van data en de keuze voor de gebruiker om akkoord of niet akkoord te gaan met privacy-regelingen van organisaties. Nissenbaum(2011) vindt deze aanpak niet toereikend genoeg, en beschrijft het als een take-it-or-leave-it -houding van organisa-ties. Verder vindt Nissenbaum(2011) privacy-regelingen vaak te lang en vindt het niet realistisch om te verwachten dat gebruikers dit lezen voordat ze een dienst gebruiken. Dit is een onderdeel van de transparantie-paradox. De lange privacy-regelingen zijn no-dig voor tekstuele volleno-digheid en eventuele rechtelijke inmenging, maar voor gebruikers is een praktische aanpak vaak beter. Dit kan bijvoorbeeld in de vorm van een samen-vatting. De oplossing voor deze notice-and-consent -manier is de contextuele aanpak van privacy.
Deze contextuele aanpak van privacy heeft te maken met een gepaste flow van informa-tie. Dit betekent dat de context bepaalt in hoeverre gebruikers het gevoel hebben dat hun privacy geschonden wordt. Het gaat daarbij om in hoeverre de verwachte normen van privacy worden overschreden. Als een gebruiker bijvoorbeeld iets bestelt bij een post-service, zou het misschien niet goed voelen om het documentnummer van hun pas-poort te moeten verlenen. Echter, wanneer dit voor zou komen in een gepaste situatie, bijvoorbeeld het bestellen van vliegtickets, wordt dit voor normaal aangenomen. Bij deze laatste manier blijft de gepaste flow intact (Nissenbaum,2011).
2.2
Literatuur over bestaande tools
Het grootste probleem rondom privacy houdt in dat de gebruiker, de eigenaar van de persoonlijke data, niet weet wat er met zijn of haar data gebeurt. De data wordt
Inhoud 9
gebruikt voor onder andere analyse van koopgedrag, inzichten in financi¨en, persoonlijke profielen op sociale netwerksites en delen met derde partijen. Door deze informatie kunnen organisaties inspelen op hun consumenten, aannames doen, gerichte advertenties verspreiden et cetera. Hoe meer er naar gedetailleerde persoonlijke data wordt gevraagd, hoe meer bezorgdheden zich vormen bij gebruikers.
2.2.1 Data vaults en boxen
Als oplossing voor de voorafgaand beschreven problemen heeft een aantal onderzoekers getracht een oplossing te vinden. Mun et al. (2010) ziet het probleem als het verliezen van de controle over persoonlijke data omdat dit direct wordt ge¨upload naar onder andere organisaties. Als oplossing voor dit probleem introduceren de onderzoekers de Personal Data Vault (PDV). Dit systeem zorgt voor een veilige opslag, waarbij alleen het individu volledige toegang heeft tot zijn data en selectief kan zijn in het delen van subsets van data met anderen. Door de toepassing van Granular ACL kan nog dieper gekeken worden naar het verlenen van toegang. Trace-audit geeft de mogelijkheid om te bekijken wie de persoonlijke data ingezien heeft, hoe vaak dit is gedaan en hoe de data gebruikt wordt. Hierdoor kan de gebruiker meer inzicht verkrijgen in de consequenties van het delen van zijn of haar data. De Rule Recommender past de PDV aan op het geldende privacy-beleid. De PDV is flexibel in gebruik, biedt meer controle en zorgt dat gebruikers betere beslissingen kunnen maken over het delen van hun data (Mun et al.,
2010).
De randvoorwaarden voor de PDV zijn participant primacy, data legibility en het ver-bonden blijven met de tool op lange termijn. Respectievelijk betekent dit dat gebruikers meer controle krijgen over hun data en kunnen beslissen met wie ze het delen, het inter-preteren van hun data om goede beslissingen te kunnen maken en het up-to-date blijven met hun data op de lange termijn (Mun et al.,2010).
Gevaren bij de PDV zijn afluisterpraktijken tijdens de upload van data, wanneer een derde partij toegang heeft, de PDV zelf een systeemfout heeft, of een derde partij een data-lek over het hoofd heeft gezien. De PDV kan op een server worden gehost, of in een cloud. Er is authenticatie nodig van de gebruiker om toegang te krijgen tot de PDV en een interface is nodig voor de gebruiker zelf en de derde partijen (Mun et al.,2010).
Chaudhry et al. (2015) willen een platform maken dat onder de controle staat van het individu en persoonlijk is, zodat gebruikers meer inspraak hebben in het verzamelen, beheren en consumptie van hun data. Dit noemen de onderzoekers de Databox. Hier
halenChaudhry et al.(2015) legibility4, agency5en negotiability6 aan. De Databox moet een betrouwbaar platform zijn, genoeg faciliteiten hebben om goed met de data om te kunnen gaan en gecontroleerde toegang bieden voor derde partijen. Zaken die volgens de onderzoekers moeten worden geregeld voordat een Databox gebouwd kan worden zijn de beschikbaarheid van de tool, vertrouwen, complexiteit, usability en kosten om de tool te realiseren (Chaudhry et al.,2015).
Shilton et al. (2009) spreken van een Personal Data Stream om data te beheren. Deze toepassing zorgt dat de gebruiker controle heeft met wie, wanneer en welke locaties worden gedeeld. Via een mobiel systeem wordt data in de data vault opgeslagen, filters zorgen ervoor dat niet alle derde partijen alle gevoelige data te zien krijgen. De data die derde partijen inzien wordt teruggekoppeld naar de data vault. Shilton et al.(2009) hebben ook een optie bedacht om verrijkingen van de persoonlijke data door derde partijen te vinden door het gebruik van een systeem dat de verrijking van de data simuleert. Op deze manier krijgt de gebruiker een idee van welke data er verzameld en verrijkt wordt op basis van hun PDV. Bij deze tool is het voor organisaties het beste om alle data te anonimiseren, zo min mogelijk data verzamelen, het doel van data-analyse uit te leggen aan gebruikers en limieten aan de opslag van data stellen (Shilton et al.,
2009).
Narayanan, Toubiana, Barocas, Nissenbaum en Boneh (2012) zijn kritisch over deze PDV en Databox idee¨en, omdat decentrale oplossingen volgens hen nooit toegepast zijn. Hun oplossing voor het gebrek aan toepassing is onder andere het betrouwbaarder ma-ken van de platforms door een licentie in te voeren. Verder zou de data versleuteld moeten worden en in verdeelde tabellen van een database opgeslagen moeten worden. De waarden die bij het verwerkelijken van deze oplossingen horen zijn het bewaren van de privacy van gebruikers, utiliteit, lage kosten en innovatie (Narayanan et al., 2012). Volgens de onderzoekers zou door het invoeren van de decentrale systemen het nemen van beslissingen over data veel moeilijker worden, omdat meer informatie niet betekent dat het nemen van een beslissing makkelijker wordt. Verder kan het installeren van de tool voor sommige gebruikers een uitdaging zijn. Het systeem zou ook onder andere langzamer werken doordat het decentraal werkt en de synchronisatie van de gegevens veel tijd in beslag kan nemen (Narayanan et al.,2012).
2.2.2 Alternatieve platforms
Bogdanovic, Vicente en Barcel´o(1999) beschrijven een internetplatform, Diaspora. Fuchs
4
Het inspecteren en bespreken van de persoonlijke data door het individu zodat er begrip ontstaat over hoe data wordt verzameld en verwerkt.
5
Mogelijkheden om data te overzien en controleren.
6
Inhoud 11
(2012) beschrijft Diaspora als een platform dat de commodificatie van persoonlijke data kan terugdringen. Het account op het platform is een data-knoop die de gebruiker zelf in handen heeft, waar hij of zij data kan delen, maar wel beschermd is tegen dominantie van organisaties. Diaspora zorgt dat de gebruiker voldoende keuzevrijheid heeft om haar data te delen. Verder is de gebruiker beheerder van de data en is het platform makkelijk te gebruiken (Fuchs, 2012). Andere oplossingen van Fuchs (2012) zijn de mogelijkheid om te kiezen (opt-in) en watch-platforms om organisaties te controleren en documente-ren. Deze oplossingen zijn er om asymmetrische informatie te bestrijden en organisaties druk op te leggen om zichzelf transparanter te maken.
Alle hierboven beschreven toepassingen zoals Diaspora, de Databox en PDV, bekijken de data en het delen van data vanuit de gebruiker. Dit onderzoek kijkt naar het mogelijk maken van het aanleveren van de verzamelde data door organisaties, zodat individuen direct inzicht hebben in hun data. Verder wordt in de bovenstaande toepassingen nau-welijks aandacht besteed aan inzichten in verrijkte data, alleen de persoonlijke data waarover de gebruiker zelf beschikt. Ten slotte hebben de onderzoeken de tool en rand-voorwaarden bedacht op basis van literatuur, maar voegen geen validatie door experts toe om het onderzoek kracht bij te zetten. In dit onderzoek zullen deze ontbrekende onderdelen worden toegevoegd.
Methode
3.1
Brainstormen met experts
3.1.1 Bits of Freedom (BoF)
Door contact te leggen met Bits of Freedom (BoF) is informatie verkregen over hun projecten (zie voor de e-mail Appendix A.1). BoF is bezig met een soortgelijke tool als de GoP. De tool heet My Data Done Right, en helpt gebruikers om meer grip te krijgen op hun persoonlijke data (zie Appendix A.1.1). Deze informatie is gebruikt als sturing voor het onderzoek.
3.1.2 Piratenpartij
Ook de Piratenpartij is benaderd met dezelfde e-mail (zie Appendix A.1). Er is gevraagd om sturing voor het onderzoek, met nadruk op de randvoorwaarden van het mechanisme dat inzicht moet leveren in de dataverwerking door organisaties, de GoP.
De Piratenpartij is van mening dat de GDPR goede handvaten biedt voor de bescherming van de mensenrechten in de digitale samenleving, maar dat de toepassing diplomatisch moet worden uitgevoerd. De GDPR kan nog niet controleren op basis van het doel van de organisatie en of dit altijd wordt nageleefd, maar de partij verwacht dat dit binnen twee jaar mogelijk is.
Ook is gesproken over copyright en de Sleepwet en wat men te verbergen heeft. Een woordvoerster gaf hierbij de opmerkingen dat het niet ’verbergen’ is, maar ’beschermen’ van persoonlijke data. Zie voor de uitwerking van dit gesprek Appendix A.1.2.
Inhoud 13
3.2
Privacy-beleid social media
Er is gekozen om van een aantal van de grootste sociale netwerk-sites het privacybeleid te analyseren, om te kijken of hier een gap gevonden kon worden met de GDPR. De ge¨update versies zijn gebruikt, waarbij de organisaties de GDPR in acht nemen. De organisaties die behandeld zijn komen uit de top 5 van meest gebruikte sociale netwerk-sites: Facebook, Twitter, LinkedIn, Google en Youtube (Moreau,2018). Youtube heeft hetzelfde privacybeleid als Google en is daarom niet apart behandeld. Er is gekozen voor sociale netwerksites omdat dit soort organisaties een bron van persoonlijke data zijn en hierdoor ook het meest kunnen afleiden uit de data die gebruikers zelf verschaffen.
3.3
Categorie¨
en voor randvoorwaarden
Er is gezocht naar categorie¨en waarin de voorwaarden ingedeeld konden worden. Hierna is onderzoek gedaan naar vergelijkbare situaties als de GoP. Artikelen die ook in het the-oretisch kader werden aangehaald zijn ook gebruikt om randvoorwaarden op te stellen, naast de sturing die uit de brainstorms is ontvangen. Verder is een overzicht opgesteld met de data-elementen van de GDPR en de koppeling van de organisaties (Google, Lin-kedIn, Twitter en Facebook). Hierbij is gekeken aan welke voorwaarden van de GDPR de organisaties voldoen en welke onderdelen voor dit onderzoek moesten worden toe-gevoegd. Er is toegespitst op de architectuur en governance van de GoP. Op basis van de randvoorwaarden zijn stellingen opgesteld die gepeild zijn bij de experts tijdens interviews ter validatie van de randvoorwaarden.
3.4
Mening van experts: opstellen van het gestructureerde
interview
In de vorm van een gestructureerd interview zijn de randvoorwaarden gevalideerd door experts. Het interview heeft een vast formaat met stellingen aangehouden die op een Likert-schaal beoordeeld zijn: van ’helemaal mee eens’ (5) tot ’helemaal niet mee eens’ (1). Er is gevraagd om de randvoorwaarden in de vorm van stellingen te beoordelen, net als de relevantie van de GoP en in hoeverre de randvoorwaarden realiseerbaar zijn. Ook was er een gelegenheid om opmerkingen te plaatsen en aan te geven of onderdelen misten. Een volledig overzicht van de interview-opzet is in Appendix B te vinden. Het interview is door de beknoptheid in de vorm van een digitaal formulier afgenomen. Hiervoor is gekozen omdat Bits of Freedom een kleine beschikbaarheid had van medewerkers
op dat moment. Verder kon het zo zijn dat de experts die zijn aangedragen door de Piratenpartij ook druk bezet waren, dus zodoende is voor deze opzet gekozen. Hier is een snowball -opzet aangehouden, waarbij de experts en partijen naar andere experts konden verwijzen.
Bij een gestructureerd interview moet aan elk van de respondenten dezelfde vragen in dezelfde context worden gesteld (Bryman, 2016). Verder werden hier gesloten vragen voor gebruikt met een vastgesteld aantal antwoorden die de respondent kon geven. Op deze manier is er geen misinterpretatie voorgekomen bij de interviewer. Ook zorgden de gesloten vragen ervoor dat de data sneller te verwerken was. Verder zorgen gesloten vragen ervoor dat de data goed te interpreteren is en vergeleken kan worden. Tot slot zorgen gesloten vragen vaak ook voor een verduidelijking van de vraag zelf wanneer naar de antwoord-opties wordt gekeken (Bryman, 2016). De antwoorden waaruit de respondent mag kiezen mogen niet overlappen om onduidelijkheid te voorkomen. Er is echter geen spontaniteit in de antwoorden van de experts mogelijk wanneer gesloten vragen gebruikt worden. Hierop is geanticipeerd: er is ruimte gemaakt voor open vragen waar de respondenten opmerkingen konden maken (Bryman, 2016).
Het interview is een self administered interview geweest. Dit houdt in dat er minder open vragen gebruikt zijn, de vragen een makkelijke opzet aanhielden en er niet veel vragen waren (Bryman, 2016). De voordelen aan een interview door middel van een vragenlijst zijn dat het de onderzoeker minder tijd kost, de interviews snel verspreid kunnen worden en er geen variabiliteit in de interviews voorkomt. Dit betekent dat er geen verschillen zijn in de vorm waarin het interview wordt afgenomen. Verder heeft de interviewer geen invloed gehad op de antwoorden van de respondent. Op deze manier voelden de respondenten minder sociale druk om het gewenste antwoord te geven bij het interview (Bryman, 2016). Tot slot kostte het opgestuurde interview de respon-denten minder tijd en moeite dan een offline interview (Bryman, 2016). Nadelen zijn dat er geen mogelijkheid was voor respondenten om vragen te kunnen stellen, en de interviewer kon de respondenten ook niet op weg helpen om tot een antwoord te komen. Duidelijkheid in de vragen en stellingen die werden opgesteld hebben dit voorkomen. Ook is volgensBryman(2016) een nadeel aan een zelf afgenomen interview dat sommige vragen de interesse van de respondenten niet aanspreken. Dit was in het geval van de randvoorwaarden minder een probleem, omdat het interview als validatie is gebruikt en bij experts is afgenomen. Verder zijn de persoon en aanvullende data onbekend, bij dit onderzoek werd elke respondent als deskundige gezien.
Er is gekozen voor een snowball -opzet omdat de interviews gebruikt werden als validatie en daarom een specifieke doelgroep nodig was. Er was niet genoeg kennis paraat om de experts zelf te kiezen, daarom is gekozen om doorverwijzingen van de Piratenpartij
Inhoud 15
en Bits of Freedom te accepteren. Bryman (2016) zegt dat snowballing alleen gebruikt wordt wanneer probability sampling niet toereikend is. Dat werd gedacht zo te zijn, tot-dat een LinkedIn groep over privacy en security op basis van de AVG/GDPR gevonden werd. Probability sampling gaat er vanuit dat de steekproef een goede vertegenwoordi-ging is van de doelgroep en dat er willekeurig respondenten kunnen worden uitgezocht om de onderzoeksvraag te kunnen beantwoorden. In Appendix A.2 staat de e-mail die is verstuurd naar experts. De e-mail is een uitleg van het onderzoek met het verzoek mee te doen aan het gestructureerde interview als validatie voor de randvoorwaarden die aan de GoP worden gesteld. In Appendix B staat het formulier dat gecre¨eerd is met Google Forms.
Er is gezocht naar een LinkedIn groep van GDPR-ge¨ınteresseerden, om zo het interview te verspreiden. De groep die gevonden is heet ’Privacy en Security groep Nederland (AVG, GDPR)’ en wordt beheerd door een expert. De groep bestaat uit rond de 6000 ge¨ınteresseerden in de AVG/GDPR en vormt een goede bron van experts en aspirant-experts. Het bericht zoals ook naar de experts persoonlijk is gestuurd is in de groep geplaatst, samen met de link naar het gestructureerde interview. Vervolgens is een telefoongesprek ingepland met de beheerder van de groep om inzichten uit te wisselen met betrekking tot zijn eigen big data-platform en dit onderzoek. De inzichten worden gebruikt voor validatie van de randvoorwaarden en de sectie vervolgonderzoek. Het gesprek is samengevat in Appendix B.2.
3.5
Betrouwbaarheid
Experts kunnen andere meningen hebben en naar andere experts doorverwijzen elke keer dat deze opzet wordt herhaald. Verder zegt Bryman(2016) dat een snowball niet representatief is voor de populatie, maar in dit geval worden experts gevraagd om hun mening te geven, waardoor de populatie of doelgroep kleiner wordt. Door het plaatsen van het interview in de LinkedIn groep van experts, is gezorgd dat dit onderzoek op een grotere schaal is uitgevoerd. De groep, oftewel steekproef, omvat meer dan 6000 leden. Door de methode van de zelf-afgenomen gestructureerde interviews kan de response rate laag zijn. Daarentegen is de doelgroep klein en zijn de interviews als validatie gebruikt. Ook zorgt de gestructureerde opzet van de interviews voor een duidelijke conclusie met weinig interpretatiefouten van de interviewer (Bryman,2016).
3.6
Reproduceerbaarheid
Om het onderzoek nogmaals op dezelfde manier uit te voeren, moet het reproduceerbaar zijn. Het eerste punt van de reproduceerbaarheid van dit onderzoek is dat de snowball -opzet niet elke keer dezelfde uitkomsten heeft. Hierdoor kunnen de uitkomsten van het gestructureerde interview verschillen met wat bij dit onderzoek is gevonden.
Verder kunnen de experts ook anders doorverwijzen. Door het interview duidelijk te structureren kan dit opnieuw worden gebruikt, maar alleen als dezelfde soort randvoor-waarden worden gevonden. Dit moet aan de hand van literatuur gedaan worden. Door het plaatsen van het interview in de LinkedIn expert-groep op het onderwerp van pri-vacy en security, wordt ervoor gezorgd dat dezelfde pool mensen opnieuw kan worden gevraagd deel te nemen aan het onderzoek.
3.7
Validiteit
De resultaten van een onderzoek zijn intern valide wanneer de resultaten die worden gemeten daadwerkelijk het gevolg zijn van de veranderingen die dit onderzoek wilde voortbrengen. Hiervoor moeten de systematische fouten zoveel mogelijk beperkt worden. Dit is onder andere gedaan door het uitvoeren van het zelf-afgenomen interview. Op deze manier wordt de bias van de interviewer zo veel mogelijk beperkt (Bryman,2016). Het is mogelijk dat verschillende experts voor een bias hebben gezorgd. Dit kan wanneer experts verschillende niveaus van kennis hebben. Verder kan het voorkomen dat experts sociaal geaccepteerde antwoorden geven, wat ook zorgt voor een bias. Dit wordt echter niet verwacht omdat dit onderzoek een anoniem gestructureerd interview aanhoudt. Externe validiteit houdt in dat de groep respondenten representatief is voor de populatie. Omdat er alleen gekeken wordt naar een groep van experts, is dit onderzoek extern valide. Toch zijn er te weinig respondenten geweest (n=14), en de kwaliteit van de expertise kan niet worden gewaarborgd. Dit komt omdat de groep van experts op LinkedIn voor ge¨ınteresseerden is bedoeld en het niveau van expertise uiteen kan lopen.
Hoofdstuk 4
Resultaten
4.1
GDPR
4.1.1 Uitvoering van GDPR voor betrokkenen
Voor de aanleiding en doelstelling van de GDPR wordt verwezen naar Appendix A.3. De GDPR verstaat onder persoonlijke data elke soort informatie die gekoppeld is aan een identificeerbaar natuurlijk persoon, ook wel de betrokkene1 genoemd (Europese Unie,
2016).
4.1.1.1 Principes
De dataverzameling moet transparant verlopen, alleen voor het ge¨ınitieerde doel gebruikt worden, en up-to-date zijn. Verder mag niet meer informatie worden verzameld van de persoon dan nodig is. Dit heet data minimization. Ook mag de data, wanneer niet meer nodig voor het proces, niet oneindig lang behouden worden (Europese Unie, 2016). De data moet na de periode die relevant was voor het bereiken van het gestelde doel worden verwijderd. De organisatie mag alleen de data verwerken wanneer dit wettelijk legaal is. De betrokkene moet instemmen met de voorwaarden en er mogen geen bijzondere gegevens worden verwerkt.
Bijzondere gegevens zijn onder andere geloof, politieke voorkeur, gezondheid of seksuele voorkeur. Dit soort gegevens mogen in principe niet verzameld worden. Kenmerken
1Een betrokkene is iemand die kan worden ge¨ıdentificeerd door verwijzingen zoals een naam, een
identificatie nummer, locatie, online identificatie of aan factoren die in verband staan met de fysieke, psychologische, genetische, mentale, economische, culturele of sociale identiteit van die persoon ( Euro-pese Unie,2016).
waaraan de organisatie een persoon kan identificeren, zoals biometrische en genetische gegevens, mogen ook niet verwerkt en verzameld worden. Echter onder sommige om-standigheden, zoals medische doeleinden die door de overheid worden ondersteund, of wanneer de betrokkene de data zelf online zet, mag dit wel (Europese Unie,2016).
4.1.1.2 Geleverde informatie
De betrokkene heeft een aantal rechten over haar data, waaraan de verwerker en be-heerder direct aan moeten voldoen wanneer ze data verzamelen. Allereerst, de data die ontvangen wordt, moet op een duidelijke en begrijpbare manier worden aangeleverd. Wanneer de data direct van de betrokkene wordt verzameld, heeft de betrokkene recht op de identiteit- en contactgegevens van de beheerder, samen met die van de eindver-antwoordelijke voor de databeveiliging. Verder mag de betrokkene oproepen tot uitleg van het doel en legale onderbouwing van de dataverzameling, en eventuele reden voor interesse van derde partijen. Ook informatie over welke partijen (of groepen partijen) de persoonlijke data ontvangen en informatie over overdrachten van de data naar derde partijen moet verstrekt worden (Europese Unie,2016).
Wanneer de data niet direct van de betrokkene wordt verzameld, maar het bijvoorbeeld verrijkte data is, hoeft de organisatie alleen haar contactgegevens en die van de beveili-ging van de data achter te laten, samen met het doel waar de data voor gebruikt wordt, de legale onderbouwing voor verzameling van data, en welke categorie¨en persoonlijke data verzameld zijn. Ook moeten de ontvanger van de data en eventuele derden partijen genoemd worden (Europese Unie,2016).
4.1.1.3 Rechten van betrokkenen
De betrokkenen hebben recht op toegang tot hun data. Ze hebben recht op toegang tot informatie over het doel van de dataverzameling, de categorie¨en data die verzameld zijn, de details van die data, de ontvangers, de periode van opslag en het recht op het wissen of afschermen van data. Verder mogen de betrokkenen ook klachten indienen en indien er geen data (direct) is verzameld, en informatie eisen over hoe die data verkregen zou kunnen worden door de organisatie (Europese Unie,2016). Wanneer data fout genoteerd is, heeft de betrokkene het recht om deze data te wijzigen. Tot slot mag de betrokkene ook verzoeken om ongewenste data te verwijderen. Daarnaast bestaat ’the right to be forgotten’. Dit houdt in dat data onmiddellijk verwijderd moet worden wanneer het niet langer nodig is voor onderzoek, de betrokkene haar toestemming om de data te verzamelen en gebruiken intrekt, de data onwettelijk verkregen is, of als er een
Inhoud 19
Figuur 4.1: Rechten van betrokkenen (Youtube-Mingers CTCM,2017)
wettelijke verplichting geldt. Zie Figuur4.1voor een korte samenvatting van de rechten van gebruikers (Youtube-Mingers CTCM,2017).
De organisatie hoeft verrijkte en verzamelde gegevens niet te verstrekken wanneer de data verzameld en verwerkt wordt, maar wel wanneer de betrokkene om inzage vraagt. Echter, wanneer de organisatie de data heeft verrijkt door middel van informatie over anderen of met een organisatie-eigen algoritme, hoeft die specifieke data niet verstrekt te worden. Het laatste is een belangrijk punt in dit onderzoek. Het doel is om direct de informatie te kunnen overzien, zonder dat de betrokkene zelf actie moet ondernemen om haar data op te vragen bij een organisatie en ook alle data te zien krijgt.
4.2
Verzameling van data
4.2.1 Privacy- en gegevensbeleid
Hier wordt gekeken naar de huidige situatie bij vier verschillende social media platfor-men: Facebook, Twitter, LinkedIn en Google. Deze beschrijvingen dragen bij aan het opstellen van de randvoorwaarden. Er zal na het schetsen van de huidige situatie worden gekeken naar de overlappingen en verschillen met de GDPR en de GoP.
4.2.1.1 Facebook
In haar gegevensbeleid geeft Facebook inzicht in wat voor informatie er verwerkt wordt van gebruikers. Ten eerste worden de dingen die de gebruikers doen en aanbieden ver-zameld. Dit wil zeggen dat wanneer een account in gebruik wordt genomen, inhoud gecre¨eerd wordt. Bijzondere gegevens worden verzameld wanneer de gebruiker deze zelf op Facebook plaatst, maar worden wel beschermd op basis van de EU-wetgeving, zegt
Facebook (2018). Verder worden gegevens over netwerken en verbindingen verzameld, zoals mensen, pagina’s, accounts en groepen waarmee de gebruiker verbonden is. Ook verzamelt Facebook contactgegevens wanneer die worden ge¨upload of gesynchroniseerd. Wanneer een gebruiker een transactie doet bij een product van Facebook, verzamelt de organisatie betalingsgegevens; het nummer van de creditcard/betaalkaart, account-en verificatiegegevaccount-ens account-en details over de facturatie. Informatie over de gebruiker op het profiel van een ander wordt verzameld en toegevoegd aan het gebruikersprofiel. Ook apparaat-informatie wordt verzameld; apparaatkenmerken, apparaatbewerkingen, unieke identifiers (voor accounts, spellen en applicaties), apparaatsignalen, gegevens over apparaatinstellingen, informatie over de netwerkverbinding (zoals IP-adres) en cookies. Partners van Facebook geven de activiteiten van de gebruiker door aan Facebook, on-geacht of de bezoeker van de website een Facebook-account heeft of niet, en of diegene is aangemeld bij Facebook of niet (Facebook,2018).
De informatie wordt gebruikt om onder andere producten aan te bieden, je profiel te personaliseren, gerichte aanbevelingen te kunnen doen en de diensten te verbeteren. Dit houdt in dat advertenties worden gepersonaliseerd. Hiervoor wordt de locatie van de gebruiker gebruikt. Verder deelt Facebook de informatie met derden, om ze te helpen om de effectiviteit en verspreiding te meten van advertenties en dergelijke (Facebook,
2018). Ook wordt de informatie gebruikt om de veiligheid, integriteit en beveiliging te bevorderen, te communiceren met de gebruikers en te innoveren (Facebook,2018). Facebook-gebruikers kunnen zelf instellen met wie ze hun data willen delen, maar open-bare informatie is voor iedereen te zien. Informatie over de gebruiker die wordt gedeeld door anderen valt niet onder de privacy-instellingen. De informatie van de gebruiker wordt gedeeld met applicaties, websites en integraties van externe partijen. Facebook
(2018) noemt dat de organisatie nooit informatie van gebruikers zal doorverkopen aan externe partners, maar delen het wel met partners die onder andere gebruikmaken van analyseservices en adverteerders, al wordt er geen persoonlijk identificeerbare data ge-deeld met deze laatste groep.
Inhoud 21
4.2.1.2 Twitter
Twitter (2018) geeft aan dat wanneer gebruikers ervoor kiezen om informatie te delen over zichzelf, zij dat verzamelen. Deze soorten data gaan onder andere over account-informatie zoals gebruikersnaam en e-mailadres, publieke account-informatie2, contactinforma-tie3, directe berichten4en betalings-informatie zoals kaartnummer en factuuradres. Twit-ter benadrukt ten zeerste dat de gebruiker verantwoordelijk is voor de data die ze op internet zet en dat er goed moet worden nagedacht of die informatie echt openbaar ge-maakt zou moeten worden. Er kunnen verschillende keuzes gege-maakt worden in het delen van persoonlijke data, wat Twitter als conclusie in een opsomming laat zien (Twitter,
2018). Verdere informatie die door Twitter verzameld wordt is onder andere informa-tie over locainforma-tie (IP-adres, apparaatinstellingen), interacinforma-ties van de gebruiker met links, cookies en log data5.
De informatie die gedeeld wordt, wordt alleen gedeeld met toestemming van de gebrui-ker. Wanneer de informatie zonder toestemming wordt gedeeld, is deze informatie niet te herleiden naar de gebruiker zelf in de vorm van namen, e-mailadressen en telefoon-nummers. Dit heet ook wel non-personal information. De verrijkte data kan worden opgevraagd.
4.2.1.3 LinkedIn
LinkedIn(2018) verzamelt gegevens die door de gebruikers zelf verstrekt worden bij regi-stratie (naam, e-mailadres, mobiel nummer, wachtwoord en eventueel creditcardnummer wanneer wordt gekozen voor een premium-service). Dit houdt in dat het profiel van de gebruiker wordt opgebouwd uit: opleiding, werkervaring, vaardigheden, foto’s, plaat-sen, wanneer een gebruiker ergens solliciteert, salaris en adressen van gesynchroniseerde contacten. Verder worden gegevens over de gebruiker via anderen verzameld, deze per-sonen kunnen in het netwerk van de gebruiker zitten, of partners zijn van LinkedIn. Ook verzamelt LinkedIn data die gebruikers achterlaten bij de services; clicks, zoek-opdrachten, aanmeldingsgegevens, cookies, apparaatgegevens en IP-adressen. LinkedIn ontvangt de URL van de weblocaties voorafgaand en direct na het bezoek aan de service,
2Zoals profielinformatie, tijdzone en taal, datum, en de applicatie en versie van Twitter op het
apparaat. Tweets die de gebruiker leuk vindt of gere-tweet heeft behoren ook tot deze data.
3
Zoals e-mailadres, telefoonnummer en contactgegevens wanneer de gebruiker deze uploadt.
4
Deze extensie kan worden gebruikt wanneer de gebruiker priv´e wil communiceren. De acties van de gebruiker worden op deze manier niet openbaar gemaakt. Deze berichten worden wel geanalyseerd op inhoud om ongewenste zaken te voorkomen.
5
Log data wordt verzameld als een gebruiker bijvoorbeeld de website van Twitter bezoekt, zijn account gebruikt om contact te leggen met derde partijen of een website van een derde partij bezoekt waar Twitter deel van uitmaakt. De data bestaat uit onder andere IP-adressen, browser type, besturingssysteem, locatie, de pagina’s die daarvoor bezocht zijn, zoektermen en cookies.
besturingssysteem, webbrowser, invoegtoepassingen, apparaat-id en -functies en eventu-ele internetprovider. Verder verzamelt de service berichten van gebruikers, die ze ook automatisch scannen. De gegevens die onderwijsinstellingen en werkgevers verstrekken worden ook gekoppeld aan het profiel van de gebruiker.
LinkedIn gebruikt de data om hun services te verbeteren en personaliseren, voor commu-nicatie tussen gebruikers, afgestemde advertenties, marketing, ondersteuning voor klan-ten, beveiliging, onderzoek en inzichten samen te voegen. LinkedIn geeft wel aan dat gebruikers de keuze hebben om zich af te melden voor sommige functies. De data wordt gedeeld met gekoppelde services van LinkedIn, dienstverleners en de overheid (wanneer dat nodig is). LinkedIn is duidelijk en volledig in het beschrijven van de rechten van gebruikers.
4.2.1.4 Google
Onder persoonlijke gegevens verstaat Google (2017) alle informatie die de gebruiker aan de organisatie verstrekt en waarmee de gebruiker persoonlijk ge¨ıdentificeerd kan worden. Dit kan door verstrekking van naam, e-mailadres of factureringsgegevens of andere gegevens die aan dergelijke informatie kunnen worden gekoppeld door Google.
Google (2017) verzamelt alle gegevens die gebruikers aan de organisaties verstrekken wanneer ze een account aanmaken. Dit kan informatie bevatten over persoonlijke gege-vens, zoals naam, e-mailadres, telefoonnummer of creditcardnummer. Daarnaast verza-melt Google de gegevens op basis van het gebruik van Google services, zoals YouTube, een website bezoeken via de zoekmachine of bij het gebruik van een advertentieservice. De gegevens die in dit soort gevallen verzameld worden zijn: apparaatgegevens6, log-bestandgegevens7, locatiegegevens, unieke applicatienummers, lokale opslag8 en cookies (Google,2017). Termen waarnaar gezocht worden, video’s die bekeken worden, spraak-en audiogegevspraak-ens, aankoopactiviteitspraak-en, communicatie, activiteitspraak-en op sites spraak-en applica-ties van derden en browsergeschiedenis worden ook opgeslagen door Google. Onder de opgeslagen locatiegegevens vallen GPS, IP-adres, sensorgegevens van het apparaat en informatie over zaken dichtbij het apparaat (zoals WiFi-toegangspunten).
Google (2017) gebruikt de gegevens om service te leveren, onderhouden, beveiligen, te verbeteren, nieuwe services te ontwikkelen en om de gebruikers te beschermen. Wanneer gepersonaliseerde advertenties worden getoond, wordt de informatie niet gekoppeld aan
6
Besturingssysteem, unieke appraat-ID’s, mobiele netwerkgegevens en telefoonnummer.
7Deze gegevens omvatten: details over het gebruik van de dienst (zoals zoekoprachten),
telefoon-logbestandsgegevens, IP-adres, gegevens over apparaatgebeurtenissen (crashes, hardware-instellingen, browsertype, datum en tijd.
8
Inhoud 23
de bijzondere gegevens, zoals religie, seksuele geaardheid of gezondheid. De geautomati-seerde systemen analyseren wel de inhoud van gebruikers, inclusief e-mails, om relevante product-functies te leveren. Google kan persoonlijke gegevens uit een service combineren met gegevens uit andere Google-services om de gebruikservaring te verbeteren (Google,
2017).
Persoonlijke informatie wordt onder een aantal uitzonderingen gedeeld met externe par-tijen; wanneer de gebruiker toestemming heeft gegeven (vooral voor het delen van bij-zondere gegevens), wanneer de informatie gedeeld wordt met domeinbeheerders, voor externe verwerking of om juridische redenen. Google maakt duidelijk dat ze niet-persoonlijk identificeerbare informatie openbaar en met partners delen. Deze informatie wordt meestal gebruikt om trends te laten zien in het gebruik van verschillende Google-services. Google deelt geen gegevens waarmee gebruikers persoonlijk ge¨ıdentificeerd mee kunnen worden, tenzij de gebruiker hier toestemming voor geeft (Google,2017). Google heeft in haar privacybeleid een aantal opties staan die terugverwijzen naar de GDPR, gebruikers kunnen verschillende opties updaten, beheren en bekijken, zoals advertentie-instellingen, gegevens die gedeeld worden en persoonlijke gegevens. Google(2017) geeft aan dat gebruikers altijd een kopie van gegevens kunnen verkrijgen of gegevens uit het account verwijderd kunnen worden.
Tabel 4.1: Verschillen en overeenkomsten van de besproken organisaties met de GDPR. Een kruisje in de Tabel betekent dat de organisatie aan de beschreven
data-elementen voldoet.
GDPR data-elementen Google Facebook LinkedIn Twitter
Verwerken van speciale gegevens X X X X
Recht op inzien van data X X X X
Recht op het wissen van data X X X X
Data portabiliteit mogelijkheden X X X X
Recht op het opleggen van
beperkingen op data verwerking X X X X
Recht op het indienen van klachten X X X X
Transparantie over het doel waarvoor
de data wordt gebruikt X X X X
4.3
Verschillen en overeenkomsten
Voordat de randvoorwaarden voor de (GoP) worden opgesteld, wordt eerst gekeken naar de overeenkomsten en verschillen van de organisaties met de GDPR. Dit wordt gedaan om te kijken of er eventuele gaps zijn tussen de regelingen. Hierbij worden de kenmerken van de GDPR getoond, waarbij wordt aangegeven of de organisaties daaraan voldoen, zie Tabel 4.1. Als toevoeging worden de kenmerken van de GoP in Tabel 4.2 opgeno-men. Wanneer wordt gekeken naar Tabel 4.1, is te zien dat alle organisaties de GDPR aanhouden. Hier kan een opmerking worden geplaatst bij het feit dat alle organisaties speciale gegevens verwerken en gebruiken. Dit is volgens de GDPR niet de bedoeling, maar wel toegestaan wanneer gebruikers de data onder andere zelf verstrekken.
Elke organisatie brengt de gebruiker op de hoogte van hun rechten. In het privacybeleid van geen van de organisaties wordt expliciet genoemd dat er zo min mogelijk data wordt verzameld om het doel te bereiken (data minimization). In Tabel 4.2worden de aanpassingen van de GoP genoemd. Hierbij is gefocust op wat de GoP moet kunnen realiseren wat niet met de GDPR overeenkomt. In de GDPR staat dat de gebruiker zelf aan organisaties moet vragen om haar data te kunnen inzien, daarin zal de GoP verandering brengen. Verder hoeft volgens de GDPR niet alle verrijkte data meegeleverd te worden als het ook andere gebruikers betreft. Wel moeten de organisaties wanneer ze de data aan de gebruiker leveren, de data zo begrijpelijk mogelijk structureren (Europese Unie,2016). De GoP zal ervoor zorgen dat alle inzichten vanuit alle organisaties te zien zijn als toevoeging op de huidige regeling van de GDPR.
Tabel 4.2: Verschillen en overeenkomsten van de besproken organisaties met de GoP. Een kruisje in de Tabel betekent dat de organisatie aan de beschreven voorwaarden van
de GoP voldoet.
GoP aanpassingen Google Facebook LinkedIn Twitter Alle verrijkte data kunnen inzien
De data zo begrijpelijk mogelijk structureren X X X X Uit heterogene bronnen data samenvoegen
4.4
De GoP
Organisaties willen van alles van de gebruiker weten, maar op dit moment wil de gebrui-ker weten welke data de organisaties van hen hebben en willen. De GoP moet zorgen dat gebruikers het overzicht en de regie kunnen houden. De gebruiker moet haar data
Inhoud 25
in kunnen zien, ook als dit verrijkte data is en niet overeenkomt met de GDPR. Alle data moet zo begrijpelijk mogelijk beschikbaar zijn voor de gebruikers en een overzicht bieden van alle data die over hen te vinden is op het internet uit verschillende bronnen.
4.4.1 Vergelijking bestaande tools met GoP
In de literatuur op het gebied van bestaande tools worden een aantal randvoorwaarden gesteld die ook bij de GoP gebruikt zouden kunnen worden, omdat de motivatie en rich-ting van het onderzoek overlappen. Chaudhry et al.(2015) noemen legibility, agency en negotiability. Ook zou het platform vertrouwen moeten uitstralen, er controle uitgeoe-fend kunnen worden over welke data met welke organisatie gedeeld wordt, en dat het platform de mogelijkheid biedt dat de gebruiker de data zelf kan structureren en inzien (Chaudhry et al.,2015). Dit wordt verlangd om te zorgen dat de gebruiker meer controle heeft over haar persoonlijke data. Mun et al. (2010) spreken van verschillende design principes, zoals participant primacy, data legibility en een verbintenis met de data op lange termijn. Dit laatste houdt in dat gebruikers up to date blijven met hun data en de status ervan controleren (Mun et al.,2010;Shilton,2009;Shilton et al.,2009). Participant primacy wil zeggen dat gebruikers controle moeten nemen over hun data en beslissingen zouden mogen maken over het delen van die data. Data legibility zorgt ervoor dat mensen beter kunnen begrijpen wat hun data betekent en wat de risico’s zijn, waardoor gebruikers betere beslissingen kunnen maken over het delen en behouden van persoonlijke gegevens (Mun et al.,2010;Shilton,2009;Shilton et al.,2009).
Verder zullen de regels die zijn opgenomen in de GDPR aangehouden moeten worden als randvoorwaarden. Wanneer de organisaties rechtstreeks gedwongen worden alle ver-zamelde en verrijkte data aan te leveren, wordt verwacht dat hier weinig draagvlak voor zal zijn. Deze handelingen zullen veel inzet vragen van organisaties.
4.5
Randvoorwaarden van de GoP
De randvoorwaarden kunnen worden onderverdeeld in categorie¨en. Deze indeling is ge-baseerd op de artikelen vanNarayanan et al.(2012) enHall en Khan(2003). Narayanan et al.(2012) leggen de focus op de gebreken van de decentrale systemen die in het theo-retisch kader worden besproken, zoals de PDV en Databox. Hall en Khan(2003) leggen de nadruk op de algemene voorwaarden aan het invoeren van een technologische veran-dering. De categorie¨en zijn technologie, privacy en controle, utiliteit, kosten, innovatie, relatie met gebruikers, organisatorische en overheidszaken. Deze zullen samen worden gevoegd in de overkoepelende begrippen architectuur van de GoP en governance.
Figuur 4.2: Health-CPS architecture (Zhang et al.,2017)
In het geval van de GoP komt de data bij meerdere organisaties vandaan en wordt via de interface van de GoP aan de gebruiker geleverd. Een soortgelijke situatie doet zich voor in de gezondheidszorg. Hier is sprake van een grote hoeveelheid data die op grote schaal gegenereerd wordt. De data heeft vele vormen en een diepere betekenis (Zhang, Qiu, Tsai, Hassan & Alamri,2017). Een van de grootste problemen is de heterogene data die samengevoegd moet worden vanuit meerdere partijen om zo inzicht te kunnen bieden (Zhang et al.,2017). Dit is wat met de GoP bereikt zou moeten worden: uniformiteit van informatie en structuur.
4.5.1 Architectuur
Bij de GoP draait het om verwerking van data die vanuit organisaties geleverd wordt en toegankelijk is voor gebruikers. Hierbij is de vraag hoe zo een architectuur eruit moet zien. Zhang et al. (2017) beschrijven een door cloud en big data ondersteunde architectuur met een dataverzameling, datamanagement en data-service onderdeel, zie hiervoor Figuur 4.2. Hierdoor is het mogelijk om grote hoeveelheden heterogene data uit verschillende bronnen samen te voegen om inzicht te kunnen bieden aan de artsen in ziekenhuizen et cetera.
Inhoud 27
Zoals in Figuur 4.2 beschreven is, bestaan er drie onderdelen van de architectuur van
Zhang et al.(2017): dataverzameling, data-management en data-service. De dataverza-meling bestaat uit bronnen en adapters en zorgt dat er een uniform systeem komt om heterogene data uit verschillende bronnen op te slaan. Dit is toegepast op ziekenhui-zen, maar hier wordt ook data vanaf het internet bij opgenomen (Zhang et al., 2017). Doordat de data verzameld wordt en door een adapter wordt verwerkt en beveiligd, kan de data doorstromen naar het management-onderdeel van het systeem. De GoP zou zo gevormd kunnen worden dat de organisaties de data leveren aan de gebruiker, en de GoP dit omzet naar een vaste vorm, net als in deze Health-CPS architecture.
Hierop volgt het management van de data. Dit onderdeel bevat een distributed file storage (DFS) en een distributed parallel computing (DPC) module. De DFS module waarborgt de kwaliteit van de data door middel van een beschrijving van de data, een vastgestelde definitie van de data (zoals attributen, type en relatie met andere data-objecten) (Zhang et al.,2017). De DPC module analyseert en verwerkt de data die door de DFS module is geleverd. Voor het afbeelden van de informatie is een applicatie nodig (Zhang et al.,2017).
4.5.1.1 Technologie
Wanneer data uit verschillende bronnen afkomstig is, kan dit voor problemen zorgen. De data kan fouten bevatten, met elkaar overlappen of tegenspreken (Rahm & Do,
2000). De problemen die zich onder andere voordoen zijn data-benaming en structuur. De structuur omvat verschillende typen data en andere fouten (Rahm & Do, 2000). Ook de waarden van de data kunnen in verschillende vormen gerepresenteerd worden, zoals valuta. Om dit op te lossen moeten de tabellen met data ge¨ıntegreerd worden en opgeschoond (Rahm & Do, 2000). Wanneer data consistent is, is het van goede kwaliteit (Hashem et al.,2015). De data moet daarnaast ook gestructureerd zijn om in een cloud -omgeving bruikbaar te zijn (Hashem et al.,2015).
4.5.1.2 Organisatie
Om een uniform formaat voor data aan te houden, moet een protocol opgesteld worden. De Europese Unie of de Internet Engineering Task Force (IETF) zou het protocol moeten opstellen om het op een grote schaal te kunnen handhaven. De vraag is echter over welke tijdspanne deze ontwikkeling moet plaatsvinden, aangezien het invoeren van de GDPR twee jaar heeft geduurd. Op dit moment moet gedacht worden aan het opstellen van een formaat waarin de data kan worden geleverd aan de GoP en de manier waarop de GoP de data zal tonen aan de gebruiker. De GoP zelf moet ook nog worden ontwikkeld. Verder
Figuur 4.3: Het model van de GoP
moet het ook makkelijk zijn voor organisaties om de data aan de gebruiker te leveren. De organisaties zullen op dit moment de data volgens de voorwaarden van GDPR aan de GoP moeten leveren. Dit wil zeggen in een begrijpelijke vorm voor gebruikers. De GoP kan de data zelf verder verwerken en opschonen zoals Zhang et al. (2017) beschreven. Ook moeten organisaties de data zelf, zonder aanvraag van de gebruiker, de data up-to-date houden, zoals de GDPR al verlangt (Europese Unie,2016). De GoP zal als een zogezegd doorgeefluik fungeren. De gebruiker vraagt via de interface om haar data te mogen inzien. De GoP stuurt deze aanvraag door aan alle organisaties die data hebben van die betreffende gebruiker, om deze data op hun beurt te ontvangen en verwerken om weer aan de gebruiker te tonen, zie Figuur 4.3. Op deze manier vraagt de gebruiker nog steeds haar data op volgens de GDPR, maar nu massaal in plaats van aan elke organisatie apart. Op de lange termijn is een uniform formaat wellicht in te voeren.
Inhoud 29
4.5.1.3 Beveiliging
Een optie om data van gebruikers te beveiligen is door berichten en andere data te versleutelen en in verdeelde tabellen op te slaan (Narayanan et al., 2012). Net als bij de Databox zou een authenticatie voor gebruikers moeten gelden (Mun et al.,2010). De toepassing van adapters, beschreven door Zhang et al. (2017) is ook een mogelijkheid.
Hashem et al.(2015) stellen dat een beleid gevormd moet worden dat alle privacy-zaken van gebruikers omvat. Dit is voor nu de GDPR.
4.5.1.4 Utiliteit
Door de GoP kunnen gebruikers de door organisaties aangeleverde data direct overzien. De GoP moet wel makkelijk in gebruik zijn, zodat gebruikers niet veel barri¨eres zien. De GoP moet laagdrempelig zijn. Dit is nodig omdat volgens Narayanan et al. (2012) cognitieve factoren het gebruik van dit soort systemen kunnen hinderen. Het installeren van software kan als barri¨ere worden gezien. Verder kan een overschot aan informatie zorgen voor een cognitieve overload. Meer data betekent niet dat er betere beslissingen gemaakt kunnen worden (Narayanan et al., 2012). Oftewel, het gebruik van de GoP moet zo simpel mogelijk worden gemaakt. De interface en usability dragen hier aan bij (Chaudhry et al.,2015).
Het gebruik van de GoP door gebruikers moet zo effici¨ent mogelijk verlopen. De ge-bruiker vraagt via de interface haar persoonlijke data op aan de GoP, waarna de GoP het verzoek verstuurt aan alle aangesloten organisaties. Er zou zelfs toegevoegd kunnen worden dat de gebruiker via de interface verschillende partijen kan autoriseren om de data te mogen inzien, bewerken en leveren aan de GoP, net zoals bij de data vault.
4.5.2 Governance
De vraag die volgt op de vorm van de GoP is wie de GoP gaat beheren en wie het gebruik ervan afdwingt. Narayanan et al. (2012) stellen dat er een betrouwbare derde partij zou moeten komen die tussen de gebruiker en organisaties komt te staan. Wanneer een andere organisatie wordt ingezet om de data weer te geven aan de gebruiker, zou de data niet direct vanuit de data verzamelende-organisaties komen. Een voordeel hieraan is, is dat een onafhankelijke instantie de GoP beheert.
Wanneer een orgaan van de EU ook de organisatie gaat leiden wordt de GoP beheerd door het geheel van de politiek leiders van Europa, wat de GoP een publieke organisatie maakt. Wanneer de GoP privaat wordt gehouden, wordt de organisatie mogelijk door
ondernemers en shareholders beheerd. Dit is wellicht geen goede zaak, want het zou voor kunnen komen dat de dataverzamelende organisaties de GoP willen be¨ınvloeden en daarom shareholders worden (Boyne,2002). Bij een publieke organisatie wordt de GoP door belastingen bekostigd, dus de gebruiker zal niet direct hoeven te betalen. Door minder financieel belang zal de motivatie lager liggen dan bij een publieke organisatie (Boyne,2002). Echter zou het leveren van data op verzoek van de gebruiker ook gratis zijn, en zal waarschijnlijk weinig verschil maken (Europese Unie,2016).
Toch heeft elke publieke organisatie ook private invloeden en andersom. ’All organizati-ons are public because political authority affects some of the behaviour and processes of all organizations.... Public pertains to the effects of political authority’ (Boyne, 2002). Bijkomende aspecten zijn wellicht dat er minder ge¨ınnoveerd zal worden, maar de EU zal ook eisen opstellen die verwacht worden van de organisaties. Er zullen ook poli-tieke invloeden spelen. Meedoen met de GoP zal wellicht verplicht worden en over een groot gebied gelden. Ook zullen de organisaties die hun plicht verzaken eventueel repu-tatieschade oplopen wanneer het publiek zich negatief uitlaat over de GoP en partners (Rainey, Backoff & Levine, 1976). Het beheren en afdwingen van het leveren van de persoonlijke data aan de GoP zal dus in de handen liggen van de EU. De GoP zal een publieke organisatie moeten zijn.
4.5.2.1 Autoriteit Persoonsgegevens
In de oude Wet op Persoonregistratie stond een verplichting voor bedrijven om te melden aan de Autoriteit Persoonsgegevens (AP) dat zij persoonsgegevens hebben vastgelegd. Deze verplichting is in het kader van de GDPR vervallen.
Persoonsgegevens zijn alle vormen van informatie over een persoon, ook gegevens die indirect in verband staan met die persoon. Voorbeelden zijn naam, adres, woonplaats en postcode. Gevoelige gegevens zijn onder andere iemands ras, gezondheid of gods-dienst (Authoriteit Persoonsgegevens (AP), 2016). Voor gebruikers kost het toch veel moeite om bedrijven te bellen, ondanks de GDPR, zegt een hoogleraar juridisch kennis-management (BNR webredactie,2018). Pas wanneer er fouten gemaakt worden op dit gebied binnen bedrijven, komen gebruikers in actie. Het is ingewikkeld om organisaties te bellen, dit komt doordat gebruikers niet weten welke organisatie persoonsgegevens van hun verwerkt (BNR webredactie,2018). Volgens de hoogleraar zou hierom weer een register moeten komen zoals bij de AP van voor de GDPR. Volgens hem zouden burgers door middel van hun burgerservice-nummer via de AP een uitvraag kunnen doen aan de betreffende partijen (BNR webredactie, 2018). Een juriste (Appendix B.3) vraagt zich hierbij af of dit realiseerbaar is voor organisaties. De organisaties zouden van elke
Inhoud 31
klant een melding moeten maken. Bij kleine organisaties is dit een behapbaarder aantal dan bij bijvoorbeeld de ABN-AMRO bank, zegt de juriste (zie appendix B.3). De AP bestaat op dit moment nog, maar is aangepast aan de AVG/GDPR. Om de informatie van voor de GDPR te verkrijgen is gezocht naar oude versies van de website van het AP. De GoP zou zo een register kunnen gebruiken om aanvragen van gebruikers te versturen, om zo het uitvoeren van alle rechten van gebruikers te versimpelen.
4.5.2.2 Interface
De interface staat los van de GoP, zie Figuur4.3. Hiervoor is gekozen omdat de interface zowel publiek als privaat georganiseerd kan worden. De eisen die aan de GoP worden gesteld gelden niet per se voor organisatie van de interface. De interface heeft niets te maken met de organisaties die zijn aangesloten. Bijvoorbeeld start-ups zouden interfaces kunnen ontwikkelen die aansluiten op de GoP.
4.5.3 Relatie met gebruikers en privacy
Transparantie van de organisaties door middel van het aanleveren van de data waarover ze beschikken zorgt voor meer vertrouwen (Tene & Polonetsky,2012). Gebruikers heb-ben de zekerheid nodig dat de GoP ze beschermt tegen data-aanvallen en dat de software betrouwbaar is (Chaudhry et al.,2015). Ze halen aan dat open bronnen en visualisatie een grote rol kunnen spelen bij het opbouwen van vertrouwen bij gebruikers.
Zoals eerder is gezegd, moet gezorgd worden dat de gebruiker al haar persoonlijke data aangeleverd krijgt om in te zien. De GDPR stelt dat organisaties de data niet hoeven mee te leveren als het onderdelen van persoonlijke data van andere gebruikers bevat, of indien de organisatie de data als organisatie-eigendom mag zien. Dit laatste geldt als de organisatie de data heeft verwerkt met een organisatie-eigen algoritme. Dit is misschien op te lossen met goede beveiliging van de data zoals encryptie, maar zal een groot privacy-issue zijn. Als een individu alle data over zichzelf kan inzien, zijn repercussies bij een geslaagde hack van de GoP aanzienlijk. Verder is beschikbaarheid belangrijk volgens Chaudhry et al. (2015) in het belang van de Databox, maar dit is ook toe te passen op de GoP. De organisaties moeten data kunnen aanleveren en de gebruiker moet die resultaten kunnen bekijken. De GoP moet te allen tijde beschikbaar zijn. Dit kan door de cloud verwezenlijkt worden (Chaudhry et al.,2015).
