interview

'Big data en privacy zijn wel degelijk te verzoenen'

©AFP

Moeten we de handdoek in de ring gooien en ons erbij neerleggen dat onze privacy voorgoed verloren is? Nee, zegt de Belgische ingenieur Yves-Alexandre de Montjoye. Wetgeving kan wel degelijk een dam opwerpen. ‘En Europa is daarin de gangmaker.’

Yves-Alexandre de Montjoye: 'We kunnen niemand verplichten zijn smartphone links te laten liggen als hij zijn privéleven wil afschermen.' ©Bryce Vickmark

De naam Yves-Alexandre de Montjoye doet wellicht niet meteen een belletje rinkelen. De man werkt dan ook het liefst achter de schermen - niet ongebruikelijk voor iemand die zich met privacy en gegevensbescherming bezighoudt. De 35-jarige Belgische ingenieur is een van de vertrouwenspersonen van Margrethe Vestager, de Deense Europese commissaris voor Mededinging, die zonder aarzelen internetgiganten als Apple, Google en Amazon durft aan te pakken.

Yves-Alexandre de Montjoye

Na zijn ingenieursstudies aan de UCL behaalde hij diploma’s aan de École Centrale Paris (ECP) en de KU Leuven.

Daarna trok De Montjoye (35) richting de Verenigde Staten. Eerst naar het Santa Fe Institute, een interdisciplinair onderzoeksinstituut in de staat New Mexico.

Vervolgens naar het Massachusetts Institute of Technology (MIT), een van de meest prestigieuze technische universiteiten ter wereld. In het MIT Media Lab werkte hij aan zijn doctoraat onder de hoede van Alex ‘Sandy’ Pentland.

Het Amerikaanse tijdschrift Forbes noemde Pentland een van de zeven grootste wetenschappers op het vlak van big data ter wereld, naast onder meer Larry Page van Google.

De Montjoye werkte als adviseur voor de Bill and Melinda Gates Foundation en voor de Verenigde Naties. Vandaag doceert hij aan het Imperial College in Londen. ‘Dat bood me de gelegenheid naar Europa terug te keren en een team van onderzoekers rond mij te verzamelen.’

Hoewel hij geen plannen heeft om naar België terug te keren, werd hij onlangs in ons land aangesteld als extern adviseur van de Gegevensbeschermingsautoriteit, de vroegere Privacycommissie.

Als specialist in big data heeft de Montjoye zopas een studie afgerond waarvan de conclusies velen koude rillingen zullen bezorgen. Amper vier gegevens over ruimte en tijd die onze smartphone verzamelt, volstaan om ons te identificeren in een massa van anderhalf miljoen mensen. Net zo gemakkelijk kan onze kredietkaart geïdentificeerd worden te midden van 1 miljoen andere kaarten. Dat geeft een idee van de hoeveelheid privé-informatie die we elke dag toevertrouwen aan de internetgiganten. De Montjoye schreef het rapport in opdracht van Vestager. De resultaten werden vorige maand bekendgemaakt, samen met aanbevelingen om te vermijden dat alles wat we elke dag zo gul rondstrooien, niet tegen ons wordt gebruikt.

De conclusie lijkt voor de hand te liggen: we moeten bang zijn voor de internetgiganten.

Yves-Alexandre de Montjoye: ‘We krijgen vaak de indruk dat de situatie zwart-wit is: ofwel pluk je de vruchten van die big data en heb je geen privéleven, ofwel is het net omgekeerd. Technisch gesproken is dat fout. Het is mogelijk een compromis te vinden. Bij die zoektocht laten we ons inspireren door de sector van de computerbeveiliging. Die werkt met een zogenaamd rood team en een blauw team: aanvals- en verdedigingsmodellen. We gaan aan de slag met gegevens die anoniem pretenderen te zijn, maar die toch kwetsbaar zijn en geïdentificeerd kunnen worden. Het kan gaan om jonge bedrijven of onderzoeksinstellingen die diensten aanbieden om data zogezegd ‘anoniem’ te bewaren. Een ander facet van ons onderzoek is het zoeken naar betere en alternatieve manieren om gegevens te beschermen. Nogmaals, big data hoeven niet noodzakelijk te betekenen dat we onze privacy moeten prijsgeven.’

Maar als slechts vier gegevens over ruimte en tijd al voldoende zijn om ons te identificeren, is dat toch bij voorbaat een verloren strijd?

Vroeger kon je statistische gegevens anoniem verzamelen en bewerken. Maar toen was er nog geen internet.
Yves-Alexandre de Montjoye
Data-expert en docent Imperial College Londen

De Montjoye: ‘Dat maakt de uitdaging juist interessant! Twintig jaar geleden was alles veel eenvoudiger. Je had een hoop gegevens, je voegde er wat ruis aan toe en maakte ze anoniem. Door allerlei kunstgrepen waren de individuen niet te identificeren. Op basis daarvan konden we tellingen doen en nationale statistieken produceren. We konden statistische studies uitvoeren zoals die van de econoom Thomas Piketty, over welk percentage van de rijkdom in handen was van de rijkste 1 procent van de bevolking. Dat gebeurde allemaal in de anonimiteit. Toen werkte dat prima. Maar toen was er geen internet, en verstuurden we de harde schijven nog met de post. Wat onze studie over die tijds- en ruimtelijke metagegevens aantoont, is dat de traditionele anonimisering niet meer werkt.’

Maak het eens concreet. Hoe kunnen al die gegevens dan anoniem worden gemaakt?

De Montjoye: ‘Toegegeven, er is geen sluitende oplossing. Wel kan de toestand aanzienlijk verbeteren, laten we zeggen met 80 à 95 procent. Een zogenaamde trade-off is haalbaar, een afweging waarbij het ene toeneemt en het andere afneemt. In dit geval kunnen we een compromis bereiken tussen enerzijds het ontwikkelen van diensten die de big data gebruiken, en anderzijds de bescherming van de privacy. Vandaag is die trade-off er niet, maar met de ontwikkelingen van de voorbije vijf jaar moet er een goed evenwicht tussen beide kunnen worden gevonden.’

Wie garandeert dat de internetgiganten die nieuwe oplossingen naar eer en geweten zullen gebruiken?

De Montjoye: ‘Dat is een moeilijke. Persoonlijk vind ik dat Europa de privacy ter harte neemt. De General Data Protection Regulation (GDPR), de Europese privacyrichtlijn die sinds mei 2018 van kracht is, is weliswaar niet perfect, maar ze is wel een reusachtige stap voorwaarts. Overheidsbeslissingen zijn nodig om alles wettelijk en correct te doen verlopen.

Het alternatief is de Amerikaanse aanpak: de verantwoordelijkheid bij de burger leggen. Dat is verkeerd. Dat werkt niet. Dan word je als internetgebruiker voortdurend geconfronteerd met pop-ups die enkel wat uitleg geven. Als je vertrouwen wil creëren, is wetgeving nodig.’

Sinds de GDPR van kracht is, worden we nochtans om de haverklap geconfronteerd met pop-ups. Geen kat die de kleine lettertjes nog leest.

De Montjoye: ‘Wel, dat vind ik jammer. Veel mensen associëren de gegevensbescherming met die pop-ups. Maar dat is alleen de zichtbare, en allicht vervelende kant van de zaak. Het gaat over veel meer dan dat. De GDPR is nog maar een jaar van kracht, en intussen zijn de eerste boetes uitgedeeld. Frankrijk heeft er een gegeven aan Google, onder meer omdat de toestemming die het verwierf om persoonsgegevens te verwerken ongeldig was. Denemarken heeft er een gekregen omdat een taxibedrijf de gegevens van zijn klanten niet echt anoniem maakte. Het zal misschien nog even duren, maar de impact van die regelgeving zal echt wel duidelijk worden.’

‘Zelfs als we met de Amerikanen praten, komt de GDPR meteen ter sprake. Californië heeft al een wet goedgekeurd die heel erg lijkt op wat Europa doet. Er woedt nu een discussie over de vraag of die ook op federaal niveau moet worden toegepast. Dat is een goede zaak. Het bewijst dat we in de goede richting gaan, en Europa is op dat vlak echt wel de gangmaker.’

In de GDPR is sprake van de overdraagbaarheid van gegevens van de ene dienst naar de andere. Wat met de gegevens die een bedrijf ter beschikking heeft, maar waarmee de klant niets meer te maken wil hebben?

De Montjoye: ‘De GDPR staat twee dingen toe: toegangsverzoek en overdraagbaarheid. Het eerste laat toe na te gaan welke gegevens zijn verzameld. Het tweede maakt het mogelijk om gegevens over te dragen van de ene dienst naar de andere. Met je vraag bedoel je allicht wat er dan kan worden overgedragen. Wel, de gegevens die je vrijwillig of actief hebt ingegeven, zijn overdraagbaar. Daarnaast zijn er de zogenaamde ‘observed’ gegevens, die automatisch worden verzameld. Bijvoorbeeld de liedjes die je hebt geliket of de gegevens die je telefoon verzamelt. De tendens is dat ook die worden overgedragen. Ten slotte zijn er de zogenaamde ‘inferred’ of afgeleide gegevens die de dienstverlener verzamelt voor zijn eigen doeleinden, zoals je muzikaal profiel. Die zijn niet overdraagbaar. In ons rapport stellen we echter voor om bedrijven die een dominante positie bekleden te verplichten om al hun gebruikersgegevens over te dragen.’

Maar laat ons even teruggaan naar de oorspronkelijke leverancier van de gegevens. Kan die daarvan een kopie bewaren?

Zodra iemand toegang heeft tot zijn gegevens, kan hij ermee doen wat hij wil.
Yves-Alexandre de Montjoye
Data-expert en docent Imperial College Londen

De Montjoye: ‘Die oorspronkelijke gegevens blijven bestaan, tenzij je als gebruiker vraagt dat ze worden gewist. Dat recht heb je, behalve voor gegevens die voor maatschappelijke doeleinden moeten worden bewaard, zoals voor fraudebestrijding.’

We hebben al veel gepraat over bedrijven, maar kunnen ook individuele gebruikers stappen ondernemen om hun privégegevens te beschermen?

De Montjoye: ‘Natuurlijk. Daar werken we ook aan. Zodra een individu toegang heeft tot zijn gegevens, kan hij ermee doen wat hij wil. Hij kan ermee akkoord gaan dat ze aan andere diensten worden doorgegeven, maar hij kan ook toestaan dat ze worden gebruikt voor onderzoek. In 2013 heb ik een systeem ontwikkeld dat dat toelaat voor persoonlijke data. Maar er zijn ook andere, marktgerichte toepassingen mogelijk. Een bedrijf dat een nieuw product wil lanceren, of een universiteit die een nieuw onderzoeksproject wil opstarten, zou gebruikers ervan kunnen overtuigen om hun gegevens openbaar te maken. Natuurlijk moet dat gepaard gaan met een structuur die die informatie tegelijk ook permanent beschermt.’

‘Toegegeven, het gaat om een massa aan informatie. We kunnen ook niet verwachten dat iedereen zorgvuldig gaat bepalen welke gegevens hij wel of niet wil doorgeven. Maar alles is nog erg nieuw. We gaan er elke dag op vooruit. Hier in Londen vind je al start-ups die je helpen bij die sortering.’

Welke zekerheid hebben we dat Amerikaanse reuzen zoals Facebook de Europese spelregels volgen?

De Montjoye: ‘Heel wat Amerikaanse groepen hebben de GDPR-regelgeving al overgenomen. Cameron Kerry, die adviseur was van het Amerikaanse ministerie van Handel onder president Barack Obama, heeft in een artikel eens gezegd dat de huidige discussie over privégegevens een paar jaar geleden nog onmogelijk was. Er is een echte mentaliteitswijziging aan de gang.’

Sommigen opperen dat het monopolie van Facebook doorbroken moet worden. Ik vind dat geen goed idee.
Yves-Alexandre de Montjoye
Data-expert en docent Imperial College Londen

‘Neem nu Facebook, waaraan je bijna niet kunt ontsnappen omdat het ook Instagram en WhatsApp omvat. In Duitsland heeft het Bundeskartellamt, de mededingingsregulator, verboden dat de gegevens van de apps onderling worden uitgewisseld zonder de toestemming van de gebruiker. Volgens die uitspraak is het bezitten van een Facebook-account niet hetzelfde als je toestemming geven, omdat je als consument geen keuze hebt. In de Verenigde Staten zijn er vergelijkbare uitspraken geweest.’

‘Op de vraag of iemand recht heeft op privacy als hij een smartphone gebruikt, heeft een rechter positief geantwoord. Burgers kunnen niet worden verplicht een smartphone links te laten liggen als ze hun privéleven willen afschermen.’

Bijlage nieuwe inzichten

Op zaterdag 11 mei vindt u bij de weekendeditie van De Tijd de bijlage 'Nieuwe Inzichten' met nieuwe inzichten van grote denkers over democratie, klimaat, (on)gelijkheid, demografie en privacy. 

Alle artikels uit deze unieke bijlage vindt u op de dossierpagina van 'Nieuwe Inzichten'. 

‘Sommigen opperen dat het monopolie van Facebook doorbroken moet worden als het zich niet aan de spelregels houdt. Ik vind dat geen goed idee. Het is veel efficiënter om de uitwisselbaarheid van gegevens goed te regelen. We kunnen zelfs nog een stap verder gaan. Eigenlijk zouden alle internetbedrijven over de gegevens van iedereen moeten kunnen beschikken. In het rapport dat we aan Vestager hebben overhandigd, staat dat we een onderneming kunnen verplichten om de gegevens waarover ze beschikt openbaar te maken, zodat de concurrenten een gelijkaardige service kunnen ontwikkelen. Op die manier kunnen we de concurrentie onbelemmerd laten spelen. Er bestaat geen betere manier om monopolies te vermijden.’

Lees verder

Advertentie
Advertentie