ZBC Kennisbank

De AVG beschermt ons niet tegen de echte privacy risico’s

 

“Gegevens miljoenen Facebookgebruikers misbruikt voor campagne Trump”, kopten de media kortgeleden massaal, met als samenvatting: “Het omstreden databedrijf Cambridge Analytica gebruikte de informatie om het stemgedrag van Amerikaanse kiezers te beïnvloeden en Donald Trump verkozen te krijgen.”

Als het waar is, dat kiezers op een zo grote schaal beïnvloed kunnen worden, dan zullen vrijwel alle weldenkende mensen dit een onacceptabele inbreuk op hun persoonlijke levenssfeer en dus hun privacy vinden. En ze zullen ook van mening zijn, dat hier tegen opgetreden moet worden. Je zou denken, dat dit met de AVG in de hand toch niet zo moeilijk moet zij en vooral dat er torenhoge boetes uitgedeeld kunnen worden. Dat blijkt echter een illusie. Dit soort praktijken wordt juist door de AVG mogelijk gemaakt. De AVG staat profilering en datahandel onder condities juist toe. In dit artikel meer over hoe dit spel gespeeld wordt.

Menselijk gedrag is voorspelbaar

Alles wat we doen, zowel on- als offline, laat digitale sporen na. Vrijwel elke aankoop die we doen met een pasje, zowel online als bij Albert Heijn, vrijwel elke Google-search, vrijwel elke stap die we maken met een mobiele telefoon op zak, vrijwel elke ‘like’ wordt opgeslagen. Hoe wenselijk is deze opslag eigenlijk? Kunnen al die gegevens worden gebruikt om gedrag te manipuleren? Gevreesd moet worden van wel.
Menselijk gedrag is inherent onvoorspelbaar, zo heet het. Immers, mensen acteren niet louter rationeel. Maar met behulp van Kunstmatige Intelligentie worden algoritmes ontwikkeld, die niet alleen vele malen sneller dan mensen accurate voorspellingen kunnen doen, maar ook nog eens stukken betrouwbaarder. En de ontwikkelingen gaan snel. Big data analyse verovert de wereld.
In de jaren tachtig van de vorige eeuw ontwikkelden psychologen een model dat mensen probeerde in te delen op basis van vijf persoonlijkheidskenmerken, bekend als de ‘Grote Vijf’. Deze vijf factoren staan ook bekend als OCEAN, Openness, Conscientiousness, Extroversion, Agreeableness en Neuroticism, oftewel hoe open sta je tegenover nieuwe ervaringen, hoe perfectionistisch ben je, hoe sociaal ben je, hoe attent en meegaand ben je, en hoe snel ben je overstuur?
Op basis van kennis van de kenmerken van de persoon die we tegenover ons hebben, kunnen we in de praktijk een redelijk betrouwbare inschatting maken van het soort persoon dat hij is, van zijn behoeften, van zijn angsten en hoe hij zich zal gaan gedragen. De ‘Grote Vijf’ is een standaardmethode geworden van psychometrie. Lange tijd echter waren het verzamelen van data en het interpreteren hiervan het probleem met deze benadering.

Ontwikkeling algoritme

De Pool Michal Kosinski en zijn team van het Psychometrie Centrum van de Universiteit van Cambridge ontwikkelden een app met behulp waarvan verschillende psychometrie-vragenlijsten ingevuld kunnen worden. Op basis van de antwoorden van de respondenten werd hun ‘persoonlijkheidsprofiel’ berekend,  dat wil zeggen de gepersonaliseerde Grote Vijf-waarden. Deelnemers  konden  er ook voor kiezen hun Facebook-data te delen met de onderzoekers. Wat bleek, was dat op basis van simpele online activiteiten opvallend betrouwbare voorspellingen waren te doen over het persoonlijkheidsprofiel van de deelnemers en hoe zij zich zullen gaan gedragen.
En ofschoon elk stukje informatie op zichzelf hiervoor onvoldoende is, blijkt dat tientallen, honderden of duizenden gelinkte datapunten wel een stevige basis geven om accurate voorspellingen te kunnen doen. Kosinski en zijn team verfijnden hun modellen continue en in 2012 bewees Kosinsky dat op basis van gemiddeld 68 facebook-likes per gebruiker het mogelijk was om hun huidskleur te voorspellen (met 95 procent accuraatheid), hun seksuele oriëntatie (88 procent accuraat), en hun affiliatie met de Democratische of Republikeinse Partij (85 procent). Maar daar bleef het niet bij. Intelligentie, religieuze achtergrond, en alcohol-, sigaretten- en drankgebruik konden allemaal worden vastgesteld. Zeventig likes waren genoeg om meer over een persoon te weten dan vrienden, 300 likes waren ervoor nodig om meer te weten over iemand dan zijn of haar partner.

Vrienden op Facebook

Daarnaast bleek het gebruik van onze smartphone een ‘enorme psychologische vragenlijst die we constant invullen, zowel bewust als onbewust’, aldus Kosinski. Maar belangrijker nog dan die invul-vragenlijsten is dat de psychologische profielen gebruikt kunnen worden om naar gelijkgestemden te zoeken. In feite heeft Kosinski een soort mensen-zoekmachine uitgevonden. En die kunnen politieke partijen gebruiken bij het zoeken naar zwevende kiezers, die ze met gerichte vragen kunnen overhalen om op hun partij te stemmen. En dat is ook gebleken. Begin 2014 werd Kosinski benaderd door een zekere Alexandr Kogan, die zich voordeed als psychologisch onderzoeker. Vermoed wordt dat Kogan de app van Kosinsky heeft gekopieerd en heeft doorverkocht aan het bedrijf Strategic Communication Laboratories (SCL), de moeder van Cambridge Analytica.

Cambridge Analytica

Dit bedrijf verklaarde na afloop van de Trump verkiezing bij monde van zijn ceo Alexander James Ashburner Nix: ‘We zijn blij dat onze revolutionaire benadering van door data gedreven communicatie zo’n grote rol heeft gespeeld bij de verkiezing van Donald Trump.’ Het heeft er alle schijn van dat Cambridge Analytics ook een rol heeft gespeeld bij de Leave-campagne tijdens de Brexit, hoewel daar geen harde bewijzen voor zijn.
Volgens ceo Nix is het succes van Cambridge Analytica’s marketing gebaseerd op een combinatie van drie elementen: gedragswetenschap met behulp van het OCEAN-model, big data-analyses, en advertentie-targeting. Dat laatste komt neer op gepersonaliseerde advertenties, zo precies mogelijk gericht op de persoonlijkheid van een individuele consument. Volgens Nix heeft zijn bedrijf alle 220 miljoen volwassenen in de VS ‘gepersonaliseerd’.
De voorlopige conclusie lijkt toch te zijn, dat met behulp van de psychometrische methode van Cambridge Analytica stemgerechtigden van alle pluimages op specifieke wijze benaderd kunnen worden. en dus ook beïnvloed en dat stemgedrag en consumentengedrag nauwkeurig kan worden voorspeld op basis van ‘micro targeting’.

De AVG beschermt ons niet tegen de toepassing van big data

De AVG is opgesteld in een tijd, dat nauwelijks iets bekend was over big data analyses. Daarom gaat de AVG uit van feitelijke data en niet van afgeleide data. Een medisch dossier of een medewerkersdossier mag niet verkocht worden, omdat het gaat om feitelijke data. Als het echter gaat om voorspellingen over ons gedrag, dan zijn dit geen feitelijke gegevens en dus ook geen persoonsgegevens en vallen deze dus niet onder de AVG. Er is wel een illegale onregelmatigheid te vinden in de transactie tussen Facebook en Cambridge Analytica, maar wat daarna is gebeurd met de gegevens, valt niet onder de AVG.
Natuurlijk kun je zeggen, dat Cambridge Analytica niet onder de AVG valt. Maar ook in Nederland maken politieke partijen gebruik van de mogelijkheden van Facebook. In Maastricht kreeg je voor de gemeenteraadsverkiezingen informatie van Groen Links, als je profiel aangeeft dat je politiek of sociaal betrokken bent. En in Rotterdammers mochten degenen tussen de 18 en 55 die van tennis houden, rekenen op een boodschap van de VVD. Natuurlijk is dit nog geen micro targeting en is het vrij onschuldig, maar dit mag dus ongestraft.
Kortom, de AVG is al verouderd voordat hij in werking treedt De AVG is te veel gericht op de bescherming van het individu en niet op die van bevolkingsgroepen. De AP dreigt met hoge boetes als er een administratieve onregelmatigheid bij een bedrijf plaatsvindt, terwijl andere bedrijven ons ongestraft mogen manipuleren bij het kiezen van onze leiders. In deze context is een pragmatische aanpak van de AVG voor bedrijven, die privacy altijd al serieus genomen hebben, volledig op zijn plaats. (Zie ook ‘Pragmatische benadering AVG en privacy’.) Gelukkig biedt de AVG ook voldoende handvatten voor bedrijven, die zich wel netjes gedragen, om zonder al te veel inspanning te voldoen aan de AVG. (Zie ook ‘Je privacy in twee maanden op orde voor de AVG’.)

ZBC helpt organisaties die zich kunnen vinden in deze benadering, via coaching of cursussen om op pragmatische wijze hun privacy en informatiebeveiliging te verbeteren en om voor ISO 27001 of NEN 7510 gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 21 maart 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *