Online privacy en veiligheid: Europa ook verdeeld over social media
Terwijl in Nederland grote ophef ontstond over plannen voor het invoeren van hoge boetes voor mensen die criminelen aan de digitale schandpaal nagelen, werden in de straten van Londen op grote beeldschermen de gezichten getoond van relschoppers. In het ene EU-land is de privacy van misdadigers belangrijker dan het rechtvaardigheidsgevoel van hun slachtoffers, terwijl in de andere lidstaat inlichtingendiensten in opdracht van de overheid inzoomen op het mobiele telefoonverkeer en uitlatingen van burgers op Twitter en Facebook.
Verdeeldheid binnen Europese landen
Verschillende Europese landen gaan heel anders om met het spanningsveld tussen veiligheid, privacy en de vrijheid van meningsuiting en de rol die nieuwe media daarbij spelen. De onenigheid over de aanpak van problemen beperkt zich binnen de EU duidelijk niet alleen tot de financiële sector.
Verdeeldheid binnen Europa manifesteert zich op vele terreinen, zo ook online. De Fransen bedenken wet na wet om hun entertainmentindustrie te beschermen tegen piraterij en de Walen willen het liefst een verbod op Google News omdat hun krantenuitgevers anders inkomsten mislopen. In Duitsland is consumentenveiligheid heilig en op internet richt zich dat met name op de bescherming van persoonsgegevens, terwijl voor de Britten geen enkele wet heilig is in de strijd tegen terroristen en relschoppers. De uitdagingen van de nieuwe digitale werkelijkheid zijn voor alle lidstaten gelijk, maar in de aanpak is eenheid ver te zoeken.
De Britse geheime dienst MI5 werd door de overheid gevraagd te helpen bij het ontcijferen van chatberichten van BlackBerry Messenger in verband met de rellen. Relschoppers zouden veel gebruik maken van versleutelde BlackBerry berichten om locaties af te spreken en elkaar te waarschuwen. Scotland Yard overwoog zelfs even Twitter plat te leggen tijdens het hoogtepunt van de rellen in Londen. De Britse politiedienst kwam er al snel achter dat het niet de juridische bevoegdheid had om zo’n drastische maatregel te nemen. Om een voorbeeld te stellen werden twee Britten tot 4 jaar gevangenisstraf veroordeeld omdat zij in de week van de rellen via Facebook zouden hebben opgeroepen tot plunderen.
Digitale schandpaal
In Nederland sprak privacywaakhond CBP (College Bescherming Persoonsgegevens) in diezelfde periode over boetes die kunnen oplopen tot 25.000 euro voor mensen die beelden van verdachten op internet zetten. Dat leidde direct tot verhitte politieke discussies, vooral de PVV werd kwaad, maar het CBP liep enkel vooruit op wat al in het regeerakkoord was vastgelegd. Aansluitend op wensen vanuit Europa is in het regeerakkoord, dat wordt gesteund door de PVV, sterk ingezet op een betere privacybescherming. Daarvoor heeft het kabinet een wetsvoorstel in de maak waarin de sanctiemogelijkheden van privacywaakhond CBP flink worden uitgebreid.
Inmiddels heeft het CBP duidelijk gemaakt dat de hoge boetes alleen in uitzonderlijke gevallen mogen worden uitgedeeld. Het CBP zegt juist voorstander te zijn van een website met beelden van daders, maar dan moeten de beelden wel vooraf door de politie worden gekeurd. Dat is volgens CBP-voorzitter Jacob Kohnstamm de beste manier om te voorkomen dat verdachten onnodig aan een digitale schandaal worden genageld. Het Amsterdamse bedrijf Mediamatic liet zich niet bang maken door de dreigementen van het CBP en zette onlangs beelden online van 3 inbrekers. Het was de vierde keer in 3 weken dat inbrekers hun slag sloegen in het gebouw van Mediamatic. De dieven namen onder meer computers, laptops en contant geld mee.
Twitterrellen en Facebookrevoluties
De Britse autoriteiten lijken zich minder te bekommeren om de privacy van criminelen en vandalen. De digitale schandpaal leidt in het Verenigd Koninkrijk niet tot verhitte discussies. De Britse autoriteiten leken zelfs bereid te zijn om social media diensten geheel af te sluiten. Een stap die doet denken aan de situatie in Egypte, toen de overheid daar aan het begin van de Arabische lente sites en netwerken liet platleggen, met hulp van Westerse providers. Het van oorsprong Britse Vodafone haalde zich de woede op de hals van de demonstrerende Egyptenaren en hun miljoenen sympathisanten wereldwijd door zonder protest gehoor te geven aan de oproep van de Egyptische regering. Met name het mobiele internetverkeer tussen de demonstranten werd daardoor vrijwel onmogelijk.
Twitter en Facebook hebben laten weten geen gehoor te zullen geven aan de oproep van Britse ministers om mensen te bannen van hun netwerken of om hun sites te sluiten als er onrust uitbreekt. Achteraf bleek overigens uit onderzoek van de Britse krant The Guardian dat Twitter maar een marginale rol heeft gespeeld bij het ontstaan van de rellen. Twitter werd vooral gebruikt door verontwaardigde burgers om na afloop op de rellen en plunderingen te reageren.
Like-knop
Van een heel andere orde is de discussie in Duitsland over de privacy van Facebookgebruikers. Exploitanten van websites moeten in een deel van het land het ‘vind ik leuk’-icoontje van Facebook van hun site verwijderen. Volgens de privacytoezichthouder in de Noord-Duitse deelstaat Sleeswijk-Holstein verzamelt Facebook op onwettige wijze gegevens van websitebezoekers.
In Duitsland werd altijd al uiterst kritisch gekeken naar privacykwesties op internet, maar privacywaakhond Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein geldt als een van de strengste voorvechters voor privacy in Europa. Volgens Thilo Weichert, voorzitter van de betreffende Duitse privacywaakhond, worden Facebookdiensten betaald met data van de gebruikers. Daarom moeten alle websites hun ‘like-buttons’ verwijderen. In zijn strijd tegen Facebook werkt het instituut van Weichert samen met de nationale privacywaakhond. Bedrijven en personen krijgen vijf weken de tijd om aan de oproep te voldoen, anders dreigt een boete van maximaal 50.000 euro.
Facebook kan via fanpagina’s en de like-knop inderdaad veel informatie over internetgebruikers verzamelen. Wie eenmaal op zo’n knop klikt, kan tot 2 jaar na dato worden gevolgd door de analysesystemen van Facebook. Gebruikers worden hierover niet expliciet geïnformeerd. In een reactie op het tumult in Duitsland stelt Facebook dat het zich houdt aan de Europese privacyregels.
Street View
Dat Duitsers erg gesteld zijn op hun privacy ondervond ook Google. Het bedrijf stelde zijn dienst Street View beschikbaar in meer dan 30 landen. Street View is een toepassing waarmee men op internet straten kan bekijken. Google verzamelt daarvoor beelden met speciale auto’s. In Duitsland heeft Google de dienst inmiddels moeten staken, omdat het in dat land aan te veel voorwaarden moest voldoen. In België kwam de dienst in opspraak, omdat gegevens van WiFi-gebruikers werden onderschept tijdens opnames voor Street View. Volgens Google ging dat per ongeluk. De Belgische justitie wil het conflict nu schikken voor 150.000 euro.
In Nederland kan het CBP zich vinden in een door Google voorgestelde ‘opt-out regeling’ voor Street View. Gebruikers die niet willen dat de gegevens van hun router worden gebruikt voor locatiebepaling in Google-diensten, moeten daarvoor hun ssid (Service Set Identifier) laten beginnen met ‘no map’. Met de ssid-naam kunnen draadloze netwerken geïdentificeerd worden. Gebruikers kunnen hun eigen ssid-naam kiezen en door er ‘no map’ voor te zetten zouden de netwerken veilig zijn voor de Street View auto’s van Google. Het internetbedrijf moet van het CBP nog wel zijn WiFi-database in Nederland opnieuw opbouwen en alle huidige gegevens onomkeerbaar vernietigen. Ook moet Google via diverse media bekend maken dat het van 2008 tot en met 2010 wifi-gegevens in Nederland heeft verzameld of een boete betalen die kan oplopen tot 750.000 euro.
Supercookies
Onlangs laaide de discussies over supercookies in Europa weer op, nadat Amerikaanse media melding maakten van het gebruik ervan door msn.com. Microsoft, eigenaar van alle MSN-websites, stelde dat ze per ongeluk in gebruik waren genomen en dat alle codes inmiddels zijn verwijderd.
Een cookie is een klein databestand dat door websites gebruikt wordt om het inloggen voor de gebruiker te vergemakkelijken, computerinstellingen te onthouden, maar ook om informatie over het surfgedrag van internetgebruikers te vergaren. Gewone cookies zijn redelijk eenvoudig door de gebruiker zelf te verwijderen, bij supercookies is dat niet het geval. Supercookies zijn moeilijk te traceren en herstellen zich nadat ze door de gebruiker zijn verwijderd, zie ook het artikel van Bas Groot.
IAB Nederland, de brancheorganisatie voor online adverteerders, maakt zich zorgen om de hardnekkige supercookies omdat ze een smet werpen op het gebruik gewone cookies, die volgens de organisatie vele voordelen bieden voor gebruikers. Het IAB verwerpt het gebruik van supercookies en vraagt haar leden hetzelfde te doen. De PVV gaat verder en vindt dat supercookies moeten vallen in dezelfde categorie als spam of computervirussen en dat het gebruik ervan helemaal verboden moet worden. PVV-Kamerlid Jhim van Bemmel ziet in het gebruik van supercookies een vorm van computervredebreuk. Hij heeft er Kamervragen over gesteld aan de ministers Verhagen van Economische Zaken en Opstelten van Veiligheid en Justitie.
Gebruikers moeten zelf beslissen
In juni stemde de Kamer al voor strengere eisen aan cookies. Bedrijven moeten internetgebruikers nu toestemming vragen voor het plaatsen van cookies. PvdA-Kamerlid Martijn van Dam meent dat aanvullende actie daarom niet nodig is. “Supercookies, flashcookies, gewone cookies, het valt allemaal onder de nieuwe regels. Die gelden voor welke techniek er ook verzonnen wordt.” Een absoluut verbod van supercookies lijkt hem niet nodig en ook niet haalbaar, gezien de EU-regels. Gebruikers moeten volgens het Kamerlid zelf kunnen beslissen wat er met hun gegevens gebeurt. “Als ze toestemming geven voor cookies, dan vind ik het prima.”
Ook de European Network Security Agency (ENISA) maakt zich zorgen over de privacy van internetgebruikers. Supercookies kunnen per webpagina tot 512 KB en per domein zelfs tot 10 MB aan data verzamelen. Een normale cookie bevat niet meer dan 4 KB aan gegevens. Flashcookies, onderdeel van de Adobe Flash-plugin, werken zelfs buiten de browser om en worden steeds vaker gebruikt om privacyregelgeving te omzeilen. ENISA wil daarom dat ook servers, die de cookies plaatsen, de gebruiker daarover informeren.
Privacy versus winst
Facebook verdient dit jaar zo’n $4 miljard aan advertenties en het aantal Facebookfanpagina’s groeit sterk. De toegevoegde waarde van diensten als Google en Facebook ligt voor adverteerders niet enkel in het feit dat ze online advertenties kunnen aanbieden voor een paar cent per klik. Belangrijker is dat zij deze advertenties onder de aandacht brengen bij een specifieke doelgroep. Dit kunnen Google en Facebook alleen doen, omdat zij jarenlang grote hoeveelheden klantgegevens hebben verzameld. En dat zullen ze blijven doen.
“Facebook is een supercommercieel bedrijf dat steeds nieuwe mogelijkheden voor adverteerders ontwikkelt,” zei Steven Jongeneel van Social Embassy, onlangs tegen het Financieele Dagblad. Jongeneel adviseert bedrijven die willen adverteren op sociale media. Privacybeschermers stellen de handel in persoonlijke gegevens van Facebook aan de kaak. Jongeneel ziet privacy als een van de grootste ‘bommetjes onder Facebook’, maar de netwerksite zal volgens hem altijd het randje blijven opzoeken van wat is toegestaan. Adverteerders zijn allemaal druk bezig een schare groep fans op te bouwen via Facebook. “Daar moeten bedrijven nu in investeren, anders adverteren ze voor een leeg restaurant,” aldus Jongeneel.
Taggen
Of privacykwesties een bom zullen leggen onder de toekomst van Facebook valt nog te bezien. Waarschijnlijk zal het zo’n vaart niet lopen en komt het bedrijf zelf met oplossingen. Het is immers in het grootste belang van Facebook dat consumenten zich veilig en prettig voelen op de netwerksite. Intussen toont Facebook zich dan ook niet geheel onverschillig als het gaat om privacykwesties. De netwerksite introduceerde in juni een functie die gebruik maakt van facial recogntion software. Wanneer iemand een foto plaatst op Facebook, controleert die software of er mensen uit de vriendenlijst op de foto staan. Zo ja, dan doet Facebook de suggestie om die persoon te ‘taggen’ in de foto. De naam van die persoon wordt dan aan de foto gekoppeld.
Volgens de Duitse privacy-autoriteiten is deze verwerking van persoonsgegevens niet toegestaan en ook in Nederland is de functie mogelijk in strijd met de Wet bescherming persoonsgegevens. Met nieuwe privacyinstellingen hoopt Facebook de bezwaren weg te nemen. De privacyinstellingen van de netwerksite worden nu zo aangepast, dat het voor gebruikers makkelijker is om aan te geven wie bepaalde content mag zien. Ook kan bij de privacy instellingen gekozen worden voor de optie waarbij iemand eerst toestemming moet geven voordat een foto zichtbaar wordt waarin hij of zij is ‘getagged’.
Blokkade of voorsprong
Het is nog niet duidelijk welke kant het opgaat in Europa en in welk kamp Nederland gaat zitten. Wordt de veiligheid van de natie zoals in Engeland boven de belangen van de burgers gesteld of worden er steeds meer blokkades opgeworpen voor de industrie om de privacy van burgers te beschermen, zoals in Duitsland? Mogelijk wordt het probleem praktischer benaderd en krijgen economische belangen de overhand. Veel zal afhangen van hoe de internetreuzen zelf met deze problemen omgaan, de innovaties die ze gaan bedenken en de misstanden die ze mogelijk nog voor ons in petto hebben.
Het is niet waarschijnlijk dat Groot-Brittannië een veiligere staat wordt door het gebruik van Big Brother-praktijken. Evenmin is het waarschijnlijk dat Duitsland zijn leidende positie op economisch vlak kan behouden als het een belangrijke opkomende sector in de kiem smoort, door zich blind te staren op privacy. Natuurlijk moeten autoriteiten hun burgers beschermen tegen bedreigingen, maar een zeker risico zullen die burgers zelf moeten dragen. Toen bleek dat het toenemend gebruik van auto’s leidde tot meer dodelijke ongevallen, werden auto’s niet verboden. Ze zijn inmiddels wel veiliger geworden en ze hebben de wereld veranderd. Nieuwe technologieën brengen nieuwe risico’s met zich mee. Dat is altijd al zo geweest. Tegenover de bedreigingen staan nieuwe kansen. Naties die zulke kansen het snelst benutten, behouden niet zelden voor lange tijd een belangrijke voorsprong.
Als de EU-lidstaten in deze kwesties eensgezind zouden optrekken, dan zou dat grote voordelen kunnen hebben voor bedrijfsleven en consumenten en voor de economie in zijn geheel. Wanneer de spelregels in alle landen hetzelfde zijn, kunnen nieuwe diensten makkelijker worden uitgerold. Meer mensen kunnen er dan eerder van profiteren. Helaas heeft Griekenland ons duidelijk gemaakt dat een verenigd Europa nog lang geen vanzelfsprekendheid is.