Conferentie gemist? Lees nu het verslag:
JAN BROUWER CONFERENTIE 20 JANUARI 2020
WIE ZORGT VOOR PUBLIEKE WAARDEN IN DE DIGITALE SAMENLEVING?
In de niet-digitale wereld speelt de overheid een grote rol in het bewaken en beschermen van publieke waarden, maar in de digitale wereld is de overheid terughoudend, en waar zij al regulerend optreedt (bijv. AVG) is zij daartoe niet altijd voldoende toegerust. Tegelijkertijd groeit de zorg dat deze waarden onvoldoende zijn geborgd in handen van grote commerciële spelers. Dat is het thema van de Brouwer Conferentie 2020, ingegeven door de toekenning van de Brouwer Vertrouwensprijs 2019 aan de stichting ‘Privacy by Design’. Zij ontwikkelde de app ‘IRMA’, waarmee persoonsgegevens selectief gedeeld kunnen worden. Bart Jacobs van ‘Privacy by Design’ zal de conferentie afsluiten.
Na het welkom van voorzitter Louise Gunning benadrukt dagvoorzitter en KHMW-directeur Drs. I.C. (Inge) Bryan (voorheen Nationale Recherche en AIVD, nu Deloitte) dat er veel aspecten zitten aan het begrip cybersecurity en dat het best lastig was om die in één programma te vatten. Als inleiding op het programma geeft zij het publiek mee dat het bij informatiebeveiliging gaat over vertrouwelijkheid, integriteit en beschikbaarheid van data (Confidentiality, Integrity en Availability, CIA). En dat het er bij het treffen van maatregelen in het cybersecuritylandschap om gaat drie zaken te adresseren: de mens, het proces en de technologie.
Helemaal geen data
Prof. dr. mr. E.M.L. (Lokke) Moerel, senior of counsel bij Morrison & Foerster en hoogleraar Global ICT Law aan Tilburg University bijt daarna het spits af. Zij constateert dat het, als het om privacybescherming gaat, het allerveiligste is om helemaal geen data te hebben, dan kan je ze ook niet kwijtraken. Maar zo werkt het natuurlijk niet meer; in onze nieuwe digitale wereld speelt Kunstmatige Intelligentie (ook wel artificial intelligence – AI) een steeds belangrijkere rol. Voor het trainen van AI heb je grote hoeveelheden data nodig en dat zijn meestal persoonsgegevens. Moerel: ‘Vroeger hadden we software die we programmeerden en dan kwam eruit wat je erin gestopt had; AI is ook in de kern software, maar het verschil is dat de algoritmes nu zelflerend zijn. Op dit moment is veel AI nog een black box, waarbij we niet altijd weten hoe het algoritme tot zijn output komt. Als het om aansprakelijkheid gaat zit daar het cruciale punt: het kan zijn dat een algoritme een foute uitkomst geeft of discriminerend is. Als je op basis daarvan besluiten neemt, kan dit grote impact op individuen hebben.
De privacyregels vereisen dat nieuwe technologieën die persoonsgegevens verwerken worden ingericht op basis van privacy-by design. Er dient verder een Data Protectie Impact Assessment te worden uitgevoerd, waarbij de potentiële impact voor individuen en de maatschappij als geheel dient te worden meegenomen, ethics-by-design dus. Privacy- en ethics-by-design betreft niet het kiezen tussen opties A en B, maar het ontwikkelen van optie C om de negatieve impact op het individu en de maatschappij te mitigeren. Je moet dus innoveren om de privacy te adresseren!
Data-obesitas
Het thema van de dag is dat er dat er zorgen zijn dat onze publieke waarden onvoldoende zijn geborgd in handen van grote commerciële spelers. Maar, constateert Moerel, niet alleen grote bedrijven maar ook de overheid heeft weinig incentive voor innovatie op dit vlak. Beide lijden aan ‘data-obesitas’; ze willen zoveel mogelijk gegevens verzamelen en systemen aan elkaar koppelen, terwijl privacy-by-design juist mee brengt dat er minder gegevens worden verzameld.
Nu moet je nog voor iedere online dienst weer een nieuwe account aanmaken met weer een nieuw wachtwoord. Onze gegevens slingeren veel te veel rond met een grote kans op fraude. Zo vragen websites als leeftijdscontrole nu nog om een geboortedatum in te vullen. Daarmee geven gebruikers meer persoonlijke informatie weg dan nodig, en tegelijkertijd is het systeem onbetrouwbaar omdat gebruikers ook een valse datum kunnen invullen. Moerel verwijst naar de innovatie waarvoor Bart Jacobs de Brouwerprijs voor heeft gekregen, een soort DigID-achtige app, waarmee burgers zich ook bij bedrijven kunnen identificeren. Het bedrijf krijgt vervolgens alleen de relevante informatie te zien. Wil je slechts aantonen dat je boven de achttien bent, dan sluist de app alleen die informatie door en niet ook je geboortedatum.
Als het gaat om de rol van de overheid, want daar gaat het deze middag ook over, constateert Moerel: ‘een van de kerntaken van de overheid is het waarborgen van de rechtszekerheid zodat er veilig zaken kan worden gedaan: zijn mensen wie ze zeggen dat ze zijn en zijn ze betrouwbaar?’ In de fysieke wereld is hebben we daar een heel systeem voor. Iedereen heeft een paspoort, bedrijven zijn geregistreerd bij de Kamer van Koophandel, we hebben het kadaster, notarissen, etc. Wat betreft betrouwbaarheid hebben we de BKR-regeling en verklaringen van goed gedrag. Het wordt tijd om dit ook in de digitale wereld goed te regelen.
Zijn publieke waarden veilig in private handen?
Prof. dr. M.J.G. (Michel) van Eeten, hoogleraar Governance of Cybersecurity aan de TU Delft, neemt vervolgens het woord en wijst ons erop dat aan het thema van vandaag een misleidende gedachtegang ten grondslag ligt: ‘We vragen bijvoorbeeld zelden: zijn publieke waarden veilig in publieke handen? Waarom denken we dat de overheid in staat is publieke waarden te realiseren en te beschermen?’ Hij stelt dat publiek belang niet bestaat, maar dat de publieke sector bestaat uit deelbelangen, en illustreert dat met een voorbeeld: minister Grapperhaus van Justitie en Veiligheid vindt het zorgelijk dat Facebook overgaat op end-to-end-encryptie, want dat bemoeilijkt de opsporing. Terwijl andere overheden zich juist sterk maken vóór de invoering van encryptie! De strijd tussen Grapperhaus en Facebook is geen strijd tussen publieke en private waarden, het is een strijd tussen twee vormen van publieke waarden: veiligheid en aan de andere kant óók veiligheid.
De moraal van het verhaal, zegt Van Eeten, is niet: vertrouw de bedrijven. ‘De moraal is: zie dat ook bedrijven publieke waarden als innovatie, toegankelijkheid, betaalbaarheid en veiligheid genereren, en vaak ook nog effectiever en efficiënter kunnen beschermen dan overheden. Maar het gaat uiteindelijk om checks and balances en overheidsingrijpen kan noodzakelijk zijn om die te verbeteren.’
Zes mechanismen
Vervolgens illustreert Michel van Eeten dat met onderzoek in Delft waaruit blijkt dat meer dan 99 procent van alle cybercrimegevallen wordt opgelost door private partijen zonder dat de overheid daar weet van heeft of dat aanstuurt. Zes mechanismes spelen een rol: 1. groepsdruk (bijvoorbeeld providers laten zien hoe ze presteren t.o.v. hun referentiegroep, andere providers dus); 2. reputatie-effecten (verschil met 1: je haalt er een extern publiek bij), 3. aansprakelijkheid (partijen spreken elkaar aan op het creëren van ongewenste praktijken); 4. intermediaire aansprakelijkheid (van intermediair tussen degene die schade lijdt en die schade veroorzaakt, bijv. netwerkbeheerders); 5. sociale normen (aanpakken van zaken ‘omdat het zo hoort’) en 6. Certificering en standaarden (privaat bedacht, uitgevoerd en gemonitord, door bedrijven zélf). Al deze mechanismen zijn te gebruiken om private partijen veiligheid te laten creëren, besluit Van Eeten.
Elektronische identiteit
Het onderwerp waar Prof. dr. B.J. (Bart) Jacobs, hoogleraar Beveiliging en correctheid van programmatuur aan de Radboud Universiteit Nijmegen, en winnaar van de Brouwerprijs van vorig jaar zich over buigt is zeer actueel, namelijk digitale identiteit. Hij spitst het toe op de vraag: ‘Is onze digitale identiteit handelswaar?’ en refereert aan een nieuwe website, goed-id.org, waar het o.m. gaat over de centrale opslag van persoonsgegevens. In dat verband licht Jacobs eerst de werking toe van de door de stichting Privacy by design (voortgekomen uit de universiteit) ontwikkelde app IRMA (I Reveal My Attributes). In IRMA kunnen gebruikers een electronisch paspoort aanmaken met gegevens (attributen) die ze voor allerlei onlinediensten selectief kunnen onthullen. IRMA is aangesloten op de Basis Registratie Persoonsgegevens en draait op open-source software zodat iedereen kan zien hoe het werkt. Dankzij de Brouwerprijs is er een extra programmeur aangesteld waardoor IRMA zich snel verder kon ontwikkelen.
IRMA is vooral opgepikt door de decentrale overheid (40 à 50 gemeenten), die dichter bij de burgers staat en ziet wat er nodig is in de digitale wereld. Dat staat op gespannen voet met de centrale overheid die veel meer dirigistisch probeert te bepalen wat er moet gebeuren, terwijl IRMA een initiatief van onderop is.
Dat werpt twee vragen op, aldus Jacobs: Moet zo’n elektronische identiteit in handen zijn van de overheid, een bedrijf of een non-profitorganisatie? En moeten attributen centraal of decentraal worden opgeslagen? Bij het centrale model loopt alles via een bedrijf (bijvoorbeeld Facebook), dat precies bijhoudt waar allemaal wordt ingelogd. Bij het decentrale model geeft de gebruiker per keer gericht gegevens. De onderliggende vraag bij het beantwoorden van deze vragen luidt: ‘In wat voor samenleving willen wij leven, wat zijn de machtsverhoudingen in de samenleving en wie beslist daarover?
Tot slot spreekt Bart Jacobs zijn grote erkentelijkheid uit richting de KHMW en de jury van de Brouwerprijs en promoot IRMA bij de aanwezigen: ‘Draag uit, draag bij en doe mee met deze snelgroeiende club!’
Brouwer vertrouwensprijs 2020
Als sluitstuk van de conferentie wordt de Brouwer vertrouwensprijs 2020 uitgereikt, aan het project Slecht Nieuws van DROG. Slecht Nieuws is een gratis online game met als doel mensen weerbaar te maken tegen de verspreiding van valse informatie. DROG gaat de 100.000 euro gebruiken voor het aansnijden van nieuwe maatschappelijke thema's, aanboren van nieuwe onderzoeksgebieden, en het bedenken van nieuwe interventies.
Dit verslag werd opgesteld door Karin van den Boogaert, Science On Air.
