211service.com
De EU lanceert een markt voor persoonsgegevens. Dit is wat dat betekent voor privacy.
Foto door David Werbrouck op Unsplash
De Europese Unie is al lang een trendsetter op het gebied van privacyregelgeving. De Algemene Verordening Gegevensbescherming (AVG) en strenge antitrustwetten nieuwe wetgeving hebben geïnspireerd rond de wereld. Decennia lang heeft de EU de bescherming van persoonlijke gegevens gecodificeerd en gevochten tegen wat zij zag als commerciële exploitatie van privé-informatie, waarbij ze haar regelgeving trots positioneerde in tegenstelling tot het luchtige privacybeleid in de Verenigde Staten.
De nieuwe Europese data governance-strategie (pdf) kiest voor een fundamenteel andere benadering. Hiermee zal de EU een actieve speler worden bij het faciliteren van het gebruik en het te gelde maken van de persoonsgegevens van haar burgers. De strategie, die in februari 2020 door de Europese Commissie werd onthuld, schetst beleidsmaatregelen en investeringen die in de komende vijf jaar moeten worden uitgerold.
Deze nieuwe strategie betekent een radicale verschuiving in de focus van de EU, van het beschermen van individuele privacy naar het promoten van het delen van gegevens als een burgerplicht. Het zal met name een pan-Europese markt voor persoonsgegevens creëren via een mechanisme dat een datatrust wordt genoemd. Een datatrust is een steward die de gegevens van mensen namens hen beheert en fiduciaire plichten heeft jegens zijn klanten.
Het nieuwe plan van de EU beschouwt persoonsgegevens als een belangrijke troef voor Europa. Deze benadering roept echter enkele vragen op. Ten eerste plaatst het voornemen van de EU om te profiteren van de persoonlijke gegevens die het verzamelt, de Europese regeringen in een zwakke positie om de sector te reguleren. Ten tweede kan het oneigenlijke gebruik van datatrusts burgers juist hun rechten op hun eigen data ontnemen.
Het Trusts-project , het eerste initiatief van het nieuwe EU-beleid, zal tegen 2022 worden uitgevoerd. Met een budget van € 7 miljoen zal het een pan-Europese pool van persoonlijke en niet-persoonlijke informatie opzetten die een one-stop-shop moet worden voor bedrijven en overheden die toegang willen krijgen tot informatie van burgers.
Wereldwijde technologiebedrijven mogen de gegevens van Europeanen niet opslaan of verplaatsen. In plaats daarvan moeten ze er toegang toe krijgen via de trusts. Burgers zullen gegevensdividenden verzamelen, die niet duidelijk zijn gedefinieerd, maar die geldelijke of niet-geldelijke betalingen kunnen omvatten van bedrijven die hun persoonlijke gegevens gebruiken. Nu de ongeveer 500 miljoen EU-burgers klaar staan om databronnen te worden, zullen de trusts de grootste datamarkt ter wereld creëren.
Voor burgers betekent dit dat de gegevens die door hen en over hen worden gecreëerd, op openbare servers worden bewaard en worden beheerd door gegevenstrusts. de Europese Commissie stelt zich voor de trusts als een manier om Europese bedrijven en overheden te helpen de enorme hoeveelheden gegevens die in de regio worden geproduceerd te hergebruiken en waarde te extraheren, en om Europese burgers te helpen profiteren van hun informatie. De projectdocumentatie specificeert echter niet hoe individuen zullen worden gecompenseerd.
Data trusts werden voor het eerst voorgesteld door internetpionier Sir Tim Berners Lee in 2018 en sindsdien heeft het concept veel belangstelling getrokken. Net als de trusts die worden gebruikt om iemands eigendom te beheren, kunnen datatrusts verschillende doelen dienen: het kunnen ondernemingen met winstoogmerk zijn, of ze kunnen worden opgezet voor gegevensopslag en -bescherming, of om voor een goed doel te werken.
IBM en Mastercard hebben een datatrust opgebouwd om de financiële informatie van hun Europese klanten in Ierland te beheren; het VK en Canada hebben datatrusts in dienst genomen om de groei van de AI-industrieën daar te stimuleren; en onlangs kondigde India plannen aan om zijn eigen openbare gegevensvertrouwen op te richten om de groei van technologiebedrijven te stimuleren.
Het nieuwe EU-project is gemodelleerd naar het digitale systeem van Oostenrijk, dat de door en over zijn burgers geproduceerde informatie bijhoudt door hen unieke identificatiecodes toe te kennen en de gegevens op te slaan in openbare opslagplaatsen.
Helaas garanderen data trusts niet meer transparantie. Het vertrouwen wordt beheerst door een handvest dat is opgesteld door de insteller van het vertrouwen, en de regels kunnen worden opgesteld om prioriteit te geven aan iemands belangen. De trust wordt geleid door een raad van bestuur, wat betekent dat een partij met meer zetels aanzienlijke controle krijgt.
Het Trusts-project zal ongetwijfeld te maken krijgen met een aantal bestuurskwesties. Publieke en private actoren vaak zie niet oog in oog als het gaat om het runnen van kritieke infrastructuur of het beheren van waardevolle activa. Technologiebedrijven geven de voorkeur aan beleid dat kansen creëert voor hun eigen producten en diensten. Gevangen in een belangenconflict, kan Europa de kwestie van privacy over het hoofd zien.
En in sommige gevallen zijn data trusts gebruikt om individuen hun rechten te ontnemen om de gegevens die over hen zijn verzameld te controleren. In oktober 2019 verwierp de Canadese regering een voorstel van Alphabet/Sidewalk Labs om een datatrust op te richten voor het slimme stadsproject van Toronto. Sidewalk Labs had het vertrouwen op een bepaalde manier ontworpen die de invloed van het bedrijf op de gegevens van burgers veilig stelden . En het datavertrouwen van India kreeg kritiek omdat het de overheid onbeperkte toegang gaf tot persoonlijke informatie door autoriteiten te definiëren als informatiefiduciairs .
Een mogelijke oplossing zou kunnen zijn om een ecosysteem van datastewards op te zetten, zowel publiek als privaat, die elk verschillende behoeften vervullen. Sylvie Delacroix en Neil Lawrence , de bedenkers hiervan bottom-up benadering , vergelijken datatrusts met pensioenfondsen, die zeggen dat ze strak gereguleerd moeten zijn en verschillende diensten moeten kunnen leveren aan aangewezen groepen.
Wanneer het in de praktijk wordt gebracht, zal het EU Trusts Project waarschijnlijk het privacylandschap op wereldschaal veranderen. Helaas geeft deze nieuwe aanpak Europese burgers niet noodzakelijk meer privacy of controle over hun informatie. Het is nog niet duidelijk welk vertrouwensmodel het project zal nastreven, maar het beleid biedt momenteel geen enkele mogelijkheid voor burgers om zich af te melden.
Tijdens een recente antitrusthoorzitting van het congres in de Verenigde Staten erkenden vier grote platformbedrijven publiekelijk het gebruik van bewakingstechnologieën, marktmanipulatie en krachtige overnames om de data-economie te domineren. De allerbelangrijkste les uit deze onthullingen is dat bedrijven die handelen in persoonlijke gegevens niet kunnen worden vertrouwd om deze op te slaan en te beheren. Het loskoppelen van persoonlijke informatie van de infrastructuur van de platforms zou een beslissende stap zijn in de richting van het terugdringen van hun monopoliemacht. Dit kan door middel van datastewardship.
Idealiter zou het Trusts-project de wereld een meer rechtvaardige manier laten zien om de echte waarde van persoonlijke gegevens vast te leggen en te verspreiden. Er is nog tijd om die belofte waar te maken.
Correctie: in het originele stuk suggereerde de auteur dat Sidewalk Labs de gegevens van burgers wilde controleren. Die beschrijving is aangepast om invloed uit te oefenen.
Anna Artyushina is een wetenschapper op het gebied van openbaar beleid, gespecialiseerd in gegevensbeheer en slimme steden. Ze is een PhD-kandidaat in wetenschappelijke en technologische studies aan de York University in Toronto.