Cqure Platformblog

Telkens weer verdedigen bewindslieden hun geheime en opsporingsdiensten met het argument dat ze uitsluitend metadata verzamelen. Maar die term is misleidend. Hiermee wordt de suggestie gewekt dat het geen privacygevoelige gegevens betreft. Alsof het daarmee geen gevaar voor de privacy is, omdat ze niet in de berichten kijken, of althans zeggen dat niet te doen.

Metadata leveren waardevolle gegevens op, veel meer dan menigeen denkt. Gegevens die dan ook nog eens betrouwbaardere informatie opleveren. Het interessante is dat metadata niet liegen. Waar de bespiedde persoon de inhoud van een e-mail kan coderen of in een afgeluisterd gesprek kan liegen, zijn de patronen die metadata opleveren een heel stuk harder. Verzamel de gegevens over langere tijd en de (gedrags)patronen zijn snel duidelijk. In sommige opzichten zijn metadata daarmee waardevoller dan de inhoud.

Waar we vanaf moeten is het idee dat het “maar metadata” zijn. Metadata worden vaak omschreven als “Gegevens over gegevens”. Maar volgens de site van het CBP zijn persoonsgegevens: 'alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. Met andere woorden ook metadata zijn persoonsgegevens op basis van deze definitie en Europese wetgeving. Bits of Freedom hanteert een term die mij veel meer aanspreekt en duidelijk maakt waar we echt mee te maken hebben: “gedragsgegevens”.

Gedragsgegevens dekt de lading zo veel beter. Het is niet langer een abstract en vaag begrip, maar het is duidelijk en helder wat het is. Gedragsgegevens geven gedragspatronen weer en zijn daarom privacygevoelig en daarom ook zo waardevol. Zodra de patronen bekend zijn is heel duidelijk dat hier sprake is van de privacygevoelige informatie. Met andere woorden gedragsgegevens zeggen onder andere:

  • Wie je bent
  • Waar je bent (werk en privé)
  • Hoe vaak je daar bent
  • Hoe lang je daar bent
  • Welke sites je bezoekt
  • Hoe lang je deze sites bezoekt
  • Bij welke webwinkels je koopt
  • Wie je relaties zijn
  • Met wie je het meeste contact hebt
  • Welke manier van communiceren je gebruikt
  • Welke type telefoon je hebt
  • Welk OS je gebruikt
  • Hoe je voortbeweegt
  • Hoe lang je reist (van en waar naartoe)
  • Welke browser je gebruikt
  • Etc etc

Breid deze lijst uit en vul eens voor jezelf in. Heb je echt niets te verbergen? Wil je echt dat jouw gedrag zo gedetailleerd bekend wordt? Denk dan ook eens vanuit de positie van een opsporingsambtenaar, zij staan immers bekend om hun vertrouwen in de mensheid, ze gaan altijd uit van het goede van de mens en maken nooit fouten. Heb je dan echt niets te verbergen, kan er echt niets op een verkeerde manier uitgelegd worden? Als je denkt dat dit geen probleem is, zou je het dan ook goed vinden als een ambtenaar aangesteld wordt die je 24 uur per dag volgt en alles netjes opschrijft wat je doet, hoe lang en met wie? Zou je je dan op je gemak voelen? Je komt al heel snel tot de conclusie dat het onderscheid tussen metadata en de inhoud een puur theoretisch verhaal is.

Het eerste incident moet nog bekend gemaakt worden, dat deze data gebruikt of misbruikt worden voor doeleinden waarvoor deze niet bedoeld is (daar hebben we function creep weer). Of dat deze gegevens in de handen van criminelen terecht komen. Ik denk dat dat slechts een kwestie van tijd is.

Volgens mij moeten we in de gehele discussie terug naar de essentie van het verhaal: gedragsgegevens zijn privacygevoelig. En privacy is heilig, zij is essentieel voor een vrije samenleving. De gedragsgegevens kunnen en zullen verkeerd geïnterpreteerd worden, de gegevens kunnen en zullen in de verkeerde handen terecht komen. Er zullen verkeerde conclusies getrokken worden en de gegevens zullen gebruikt worden waarvoor ze oorspronkelijk niet bedoeld zijn. En dan hebben we het nog niet eens over de doeltreffendheid van het grootschalig verzamelen, bewaren en analyseren van deze gedragsgegevens. Er is nog geen enkel bewijs dat dergelijke acties ook maar een terroristische aanslag hebben voorkomen.

“It's ok, it's for freedom”: Video

Dit artikel verscheen eerder op de website van Vidar Security