'Mensen hebben totaal geen idee hoe ver het gaat'

‘Dat moet je maar aan je eigen advocaat vragen.’ Dat antwoord kreeg Serge Egelman (37) van een Google-dochter die appmakers helpt om bugs op te sporen. Egelman had geïnformeerd naar het privacybeleid en naar wat met de gegevens van gebruikers gebeurde.

‘Ik wilde weten of ze zich aan de wet houden, maar kreeg de vriendelijke suggestie bij mijn eigen advocaat aan te kloppen’, zegt hij in een videogesprek vanuit de Verenigde Staten. ‘Dat was... vreemd. Laat me zeggen dat die reactie me weinig vertrouwen gaf.’

Egelman nestelt zich graag in de rol van luis in de pels. Aan de universiteit van Berkeley in Californië leidt hij een team van computerwetenschappers dat onderzoek doet naar hoe smartphoneapplicaties omgaan met privacy. Al jaren houdt hij de tactieken tegen het licht waarmee de internetindustrie op grootschalige wijze data van mensen verzamelt en verpatst. En al meermaals riep hij de sector en zijn toezichthouders ter verantwoording.

Vorig jaar rondden hij en zijn medewerkers een onderzoek af naar duizenden apps die zich op kinderen richten, met onder meer spelletjes en educatieve programma’s. Omdat in de Verenigde Staten alleen privacywetgeving bestaat die kinderen jonger dan 13 beschermt, wilde Egelman weten of die regels wel degelijk worden toegepast.

De resultaten waren ontluisterend. Van de bijna 6.000 apps die Egelman analyseerde en waarvan velen miljoenen keren waren gedownload, bleek meer dan de helft gegevens van kinderen door te sturen naar advertentiebedrijven.

→ Lees ook: Zijn data een hype of worden ze echt het goud van de 21ste eeuw?

Dankzij de verkregen e-mailadressen en gedetailleerde locatiebepalingen konden die bedrijven de kinderen profileren en bestoken met gerichte reclame. Nochtans gingen de ouders ervan uit dat de apps veilig waren omdat ze uit de familievriendelijke hoek van de Google Play Store kwamen, waar kinderen ze zelf in enkele stappen kunnen downloaden.

‘Er is een compleet gebrek aan transparantie’, zegt Egelman. ‘Mensen beseffen misschien wel dat ze online een en ander prijsgeven, maar ze hebben geen idee hoever het gaat.’

Voor Egelman zijn er meerdere definities van privacy, en die zijn allemaal compatibel.

‘Je kan privacy beschouwen als controle. De mogelijkheid om controle te hebben over informatie die anderen hebben over jou. Privacy kan ook over reputatie gaan: de mogelijkheid om de informatie die over jou bestaat te cureren zodat die accuraat is, of toch het beeld over jou geeft dat je wil geven. Of geheimhouding: de mogelijkheid om te voorkomen dat anderen informatie over je hebben. Of privacy als de kans op afzondering: vrij zijn van ongewenste intrusies, en dus niet bestookt worden met op maat gemaakte advertenties.’

Als smartphoneapps zonder toestemming intieme gegevens doorsluizen, zoals het geval is bij een groot deel van de populairste Belgische apps die Egelman voor De Tijd onder de loep nam, zit je met een schending van de privacy over de hele lijn, oordeelt hij.

‘Zeker die laatste definitie. Als je wordt bestookt met advertenties die op jou als individu zijn toegespitst, kan je dat een intrusie van je autonomie vinden. Al die data worden verzameld en gebruikt om er zaken uit af te leiden. Vaak zijn die afleidingen griezelig accuraat, maar vaak ook niet. Als dingen voor jou voorspeld worden die gewoon niet correct zijn, kan je reputatie daaronder lijden. En je hebt geen controle over wat anderen over jou weten.’

Zijn gerichte advertenties per definitie erg? Als je dan toch reclame te zien krijgt, dan liever relevante, zou je kunnen denken.

Serge Egelman: ‘Als dat het enige is dat met je persoonlijke gegevens gebeurt, en je vindt dat prima, dan is dat uiteraard een persoonlijke keuze. Maar het is onmogelijk te zeggen of je data alleen voor reclame worden gebruikt.’

Advertenties zijn toch het businessmodel van het internet? In ruil krijgen we handige technologie.

Egelman: ‘Ja, maar daarvoor is niet dat hele surveillancesysteem en die verregaande profilering nodig. Een businessmodel op basis van advertenties is prima, maar het moet verantwoord in elkaar zitten.'

'En mensen moeten de kans krijgen goed geïnformeerde beslissingen te nemen over wat met hun data gebeurt. Bijvoorbeeld: als ze je advertenties willen tonen op basis van locatie, hebben ze eigenlijk alleen je ruime regio nodig. Ze hoeven je exacte gps-coördinaten niet te kennen, dat kan gewoon op basis van je IP-adres.’

‘Meer data verzamelen dan je eigenlijk nodig hebt, is illegaal volgens de Europese GDPR-regelgeving. Bovendien is het onverantwoordelijk. Als je de data niet nodig hebt, verzamel ze dan niet. Dan ben je als bedrijf ook niet kwetsbaar als gegevens worden gestolen.’

Weten we eigenlijk of zulke gepersonaliseerde advertenties werken? Is het dit allemaal waard?

Egelman: ‘Dat is maar zeer de vraag. Enkele recente academische studies geven aan dat maar erg marginale voordelen te halen zijn uit gerichte advertenties in vergelijking met de traditionele reclame voor de massa. Los van de kosten om de infrastructuur voor die surveillance te bouwen zijn de returns beperkt. Het lijkt er dus op dat het argument om data te verzamelen voor reclame niet opgaat.’

Voor welke andere doeleinden capteren databedrijven die tonnen persoonlijke gegevens? Wat komt er na de reclame?

Egelman: ‘Het gaat nu al veel verder. Er duiken constant nieuwe praktijken op. Er zijn hefboomfondsen die locatiedata kopen zodat ze kunnen meten hoeveel mensen bepaalde winkels binnenwandelen om voorspellingen te maken over kwartaalresultaten van grote retailers. Dat is op zich interessant, en misschien minder zorgwekkend. Maar het roept toch ethische vragen op. Je bespioneert mensen om de markt te kunnen kloppen. De vraag die we ons dan moeten stellen is: vinden we dat aanvaardbaar?’

‘Er zijn al genoeg voorbeelden van hoe het tot veel grotere persoonlijke inbreuken kan leiden. Neem gezondheidsapps waarmee vrouwen hun menstruatiecyclus tracken. De intieme gegevens die vrouwen in de app delen, kunnen worden gebruikt om te voorspellen wanneer ze zwanger worden om ze vervolgens advertenties voor babyspullen te tonen. Die data kunnen zelfs terechtkomen bij werkgevers die ermee kunnen voorspellen of huidige of toekomstige werkneemsters zwangerschapsverlof gaan nemen. Zo zouden ze kunnen beslissen iemand niet aan te nemen of te ontslaan voor ze het nieuws aankondigen, en zo geld uitsparen.’

‘Je hebt uiteraard ook het steeds intensievere gebruik van data door politieke campagnemakers. Stel: er vindt een evenement plaats voor een publiek dat voor een een politicus of voor een partij interessant is. Dan kunnen campagnemakers bij een datamakelaar gegevens kopen, zodat ze weten wie op dat moment op die plek aanwezig zal zijn op basis van de gps-coördinaten van de aanwezigen. Ze kunnen die mensen dan identificeren, op mailinglijsten zetten, om donaties vragen, advertenties tonen, en ga zo maar door. Eigenlijk verrassen weinig zaken me nog.’ (lacht)

U bent erg kritisch voor toezichthouders in de Verenigde Staten en de Europese Unie. Zijn ze tandeloos?

Egelman: ‘In de kern is dit een beleidsprobleem, inderdaad. Het gaat om een falen van de markt. Er is asymmetrie van informatie. Consumenten hebben niet alle informatie die ze nodig hebben om geïnformeerde beslissingen te nemen. En dat is ‘by design’: de bedrijven die dit doen, hebben een incentive om consumenten die informatie niet te geven. In de economie is dat een klassiek marktfalen. En de oplossing voor een falende markt is regulering.’

‘Het grootste probleem is dat de regulatoren fel tekortschieten. In de Verenigde Staten hebben de bevoegde agentschappen te weinig middelen en krijgen ze niet meer macht of budget van het Congres. In de Europese Unie is de situatie gelijkaardig: de databeschermingsautoriteiten zijn onmachtig. GDPR wordt ongebreideld met de voeten getreden. Er is ook gewoon te weinig wil. Regelgevers willen niet als businessonvriendelijk worden beschouwd. Zo krijg je regulering die totaal niet wordt afgedwongen, en zo signaleer je aan bedrijven dat ze gewoon de wet mogen overtreden zonder enige repercussie.’

→ Lees ook: Doe de test | Hoe lek is uw smartphone?

‘Kijk naar de schikkingen die Facebook en YouTube onlangs troffen in de Verenigde Staten. Beide bedrijven moesten vanwege privacy-inbreuken boetes betalen die lager waren dan de winsten die ze uit hun overtredingen haalden. (Facebook moest 5 miljard dollar betalen en YouTube 170 miljoen, red.) Als je een fractie van wat je hebt gestolen als boete betaalt, is dat geen straf maar een reden om voort te doen. Als ik een bank overval en ik moet de helft van de buit teruggeven, heb ik een heel winstgevend model. Dan ga ik er nog een overvallen.’

Heeft uw onderzoek naar kinderapps, dat in de Verenigde Staten veel media-aandacht kreeg, tot enige actie geleid?

Egelman: ‘Nee, helaas. De meeste maatschappijen in deze wereld vinden het goed dat kinderen op een of andere manier worden beschermd. Ook in de Europese GDPR-regels is een heel hoofdstuk aan kinderen gewijd. Maar ondanks de wetgeving in de Europese Unie en de Verenigde Staten wordt die massaal overtreden en hebben regulatoren blijkbaar geen enkele zin daar iets aan te doen. Ik vind dat ongelooflijk frustrerend.’

U noemt privacy weleens een luxegoed, iets voor wie het zich kan veroorloven. Hoezo?

Egelman: ‘Een concreet voorbeeld is het geval van Google, dat via zijn Play Store Android-apps aanbiedt die data verzamelen op een manier die eigenlijk niet mag omdat ze de privacy bedreigt. Toen we die resultaten aan Google bezorgden, antwoordde het dat het dat ging oplossen. Maar dat zou pas bij de grote release van de volgende versie van Android zijn.’

‘En dus geldt de oplossing alleen voor mensen die een toestel hebben dat de nieuwste versie van Android heeft, terwijl de meeste mensen nog jaren met de vorige versie zullen zitten vanwege hun contracten met providers. De oplossing beschermt dus alleen de mensen die een splinternieuw toestel kopen. Zo wordt privacy een luxegoed.’

‘Als Google met een veiligheidsprobleem zit, stuurt het updates uit naar toestellen zonder dat er een grootschalige upgrade voor nodig is. Dat doet het niet voor privacyproblemen, wat aangeeft dat het die niet zo belangrijk vindt. Wat misschien niet zo verrassend is omdat het een advertentiebedrijf is.’

U hebt geregeld contact met data-reuzen zoals Google en Facebook. Vertrouwt u hen nog?

Egelman: ‘Het is ingewikkeld. Het zijn grote organisaties. Het is niet zo dat iedereen in die organisatie dezelfde mening deelt. Ik ken veel mensen die bij Google uitstekend werk leveren rond privacy en veiligheid. Maar helaas zijn zij niet diegenen die over het businessplan beslissen.’

Baart het u zorgen dat zo veel data door de handen van een kleine groep bedrijven gaat?

Egelman: ‘Ik lig eigenlijk meer wakker van de kleine, onbekende databedrijven. De Googles en Facebooks lopen door hun omvang in het vizier van regulatoren, politici, juristen, activisten en journalisten. Zij worden gedwongen teams rond privacy en wetgeving te vormen die de praktijken tegen het licht houden en de wettelijkheid bewaken.'

'Al die kleine bedrijven waar je nog nooit van hebt gehoord en die nooit in de schijnwerpers komen, lopen vrij rond en doen wat ze willen. Die zijn veel zorgwekkender.’

Maken de schandalen mensen bewust van die onzichtbare datahandel? Is er iets veranderd in de hoofden na de affaire rond Cambridge Analytica?

Egelman: ‘Het is in elk geval goed dat de zaak veel publiciteit heeft gekregen. De constante media-aandacht helpt. We praten nu al enkele jaren veel meer over privacy, en dat is goed. Hoe meer dagen in het nieuws, hoe meer mensen erover nadenken en zo het beleid kunnen beïnvloeden.’

Dankzij de moderne technologie leven we in een datatijdperk, dat zijn beloften en valkuilen heeft. Kunt u er nog optimistisch over zijn?

Egelman: ‘Moeilijk. We moeten als maatschappij normen vastleggen zodat onze persoonlijke data niet op een ongepaste manier worden gebruikt. Als we kunnen realiseren dat onze gegevens alleen nog ethisch worden ingezet, dan dan is de datarevolutie uiteraard een goede zaak.’

Wat ziet u als u een smartphone ziet? Een fantastische computer die ons leven comfortabeler maakt? Of een toestel waarmee we constant worden gevolgd?

Egelman: ‘Ik zie het allebei. Het is onredelijk dat alle verantwoordelijkheid over de privacy vandaag bij het individu ligt. Het individu moet al het werk doen. De ontwikkelaars en de platformen moeten veel meer van die verantwoordelijkheid dragen en mensen meer controle geven. Facebook speelt dit spel nu al een decennium: het creëert steeds complexere manieren om gebruikers een vorm van controle te geven over hun privacy, met als grootste gevolg dat niemand ze toepast.’

Velen hebben de bladzijde al omgeslagen en de privacy opgegeven, lijkt het. Is dat terecht?

Egelman: ‘Zeker niet. Anders zouden we dit gesprek niet hebben. Er is nog hoop.’