PrivacySmart Cities

Solid zet omgaan met persoonsgegevens op z’n kop

Het internationale project Solid ijvert voor een nieuwe en veilige manier om met persoonsgegevens om te gaan. Solid is een idee van Sir Tim Berners-Lee, de uitvinder van het wereldwijde web. Vlaanderen wil met Solid aan de slag en heeft daarmee een primeur in Europa. Ze willen persoonlijke datakluizen aanbieden. De burger zal hiermee zelf kunnen kiezen met wie en wanneer hij persoonsgegevens deelt. Die aanpak staat in contrast met hoe we nu omgaan met data. Onze persoonsgegevens worden momenteel haast eindeloos getransfereerd tussen IT-systemen.

Ruben Verborgh vertelt ons meer over datakluizen en de rol die ze spelen in een toekomst met meer veiligheid, kostenefficiënt besturen en een betere dienstverlening voor de burger. Verborgh is professor aan de Gentse universiteit en werkt als onderzoeker bij de befaamde University of Oxford mee met de organisatie achter Solid.

De dataverzamelaar

Ruben Verborgh: “Vandaag ziet men bedrijven die het meeste data hebben verzameld als het meest waardevol. Zo blijkt alweer dat gegevens een kostbaar goed zijn. We zitten momenteel in een situatie waarin de dataverzamelaar wint, zelfs al is hun aanbod niet echt interessant voor klanten. Hierdoor missen we kansen want we behalen niet het grootste potentieel. Beter is een wereld waar bedrijven niet zo moeten focussen op data verzamelen, wel op goede dienstverlening.”

Zoals we momenteel met data omgaan, is inefficiënt. We verplaatsen data te veel om veilig te blijven, wat het voor gebruikers zoals bijvoorbeeld lokale besturen ook moeilijk maakt om sluitende garanties te geven op het vlak van veiligheid.

Wat doen we dan met persoonsgegevens? Voor Ruben Verborgh is het helder: “Je persoonsgegevens zijn van jou. Zo simpel is het. Lang hebben we de groeiende hoeveelheid data willen herbergen door zo groot mogelijke systemen te ontwikkelen, maar het antwoord, of zelfs de vraag, ligt elders. Het is niet oké dat organisaties eindeloos data verzamelen. Houd de data bij de bron, bij de persoon zelf. Dan is ook een groot deel van de vragen rond privacy meteen opgelost. Natuurlijk moeten we privacy beschermen, maar het huidige gebrek eraan is een gevolg van een slechte omgang met data. Waarom moeten we data eindeloos rondsturen? De security-oplossingen hiervoor zijn eigenlijk lapmiddelen. Een slecht proces kan je niet rechtzetten.”

Ruben Verborgh, professor UGent en onderzoeker aan de University of Oxford: “Het is niet oké dat organisaties eindeloos data verzamelen. Houd de data bij de bron, bij de persoon zelf. Dan is ook een groot deel van de vragen rond privacy meteen opgelost.”

Van de datatrein…

Ruben Verborgh: “Zoals we momenteel met data omgaan, is inefficiënt. We verplaatsen data te veel om veilig te blijven, wat het voor gebruikers zoals bijvoorbeeld lokale besturen ook moeilijk maakt om sluitende garanties te geven op het vlak veiligheid. Het is moeilijk om te tracken of persoonsgegevens bij elke transfer correct behandeld zijn. Denk aan een trein met kostbare goederen. In constante verplaatsing lopen die goederen meer risico op diefstal dan in een kluis.”

…naar de datakluis

Bij Solid ontwikkelden ze een antwoord op dit probleem: “Onze prioriteit is om die datatrein te stoppen. Het alternatief is een datakluis voor iedere burger die daarmee eigenaar is van de eigen persoonsgegevens. Het wil zeggen dat alle data die over jou gemaakt worden op één digitale plek veilig opgeborgen zitten. Data vrijgeven doe je op basis van aanvragen.”

Voor lokale besturen, die veel diensten verlenen waar persoonsgegevens voor nodig zijn, zullen de datakluizen zeker en vast voor kostenefficiëntie zorgen.

“Verhuizen, een nieuwe job, kinderen worden geboren, noem maar op. Grote momenten in je leven komen samen met papierwerk, met daarop gegevens die zeer persoonlijk zijn.” Ruben gebruikt als voorbeeld het attest van goede zeden. “Met een datakluis kan je je nieuwe werkgever dit eenmalig laten inkijken. Het document zelf blijft gewoon staan.”

Consent is uitgehold

“De huidige pricacywetgeving zorgt ervoor dat je elke keer opnieuw expliciete toestemming moet verlenen wanneer een externe partij data over jou verzamelt. Heel het concept van consent is intussen uitgehold, haast niemand leest de kleine lettertjes en klikt gewoon op oké om ervan af te zijn. Met een eigen datakluis krijg je controle en dat is iets heel anders”, legt Verborgh uit. “Zo kan je vaste regels instellen voor bepaalde vragende partijen of voor bepaalde soorten aanvragen. Je kan ook een beheerder aanstellen. Denk aan medische aanvragen, daarvoor zou je kunnen kiezen om je huisarts die te laten beantwoorden, vanuit jouw datakluis.”

“Want controle is ook het recht om die controle uit te besteden. Dat kan momenteel niet, we worden nu voortdurend gevraagd om onze toestemming te geven, meestal op zaken die we maar half begrijpen of waar we geen zin in hebben om ze te doorgronden.”

Beter is een wereld waar bedrijven niet zo moeten focussen op data verzamelen, wel op goede dienstverlening.

Vereenvoudiging van dienstverlening

“Het verschil tussen consent en controle is vereenvoudiging, niet alleen voor de gebruiker maar ook voor beheerders zoals bijvoorbeeld een gemeentebestuur. Onder de GDPR mag iedereen op elk moment zijn of haar data terugvragen. Dat is een hele klus. De GDPR is ondertussen al drie jaar van kracht en de meeste organisaties kunnen nog steeds niet efficiënt omgaan met de regelgeving. Met datakluizen heb je dit probleem niet. Lokale besturen zullen in de toekomst dus beter kunnen antwoorden op vragen van de inwoners omdat ze van een heel pak werk verlost zullen zijn.”

Verborgh voegt toe: “Door papierwerk, goedkeuringen en wachttijden te vermijden, besparen we kosten. Voor lokale besturen, die veel diensten verlenen waar persoonsgegevens voor nodig zijn, zullen de datakluizen zeker en vast voor kostenefficiëntie zorgen.”

Vlaanderen pionier

“Het is geen fantasie meer, de datakluizen komen er”, zegt Ruben. De pilootprojecten worden momenteel uitgewerkt. Vlaanderen wil een voortrekker zijn in de zelfbeheerde digitale identiteit en datadiensten die de eigendomsrechten niet schenden. “Vlaanderen wordt een koploper in gestandaardiseerde datakluizen en legt een blauwdruk voor hoe we in Europa met data zullen omgaan”, aldus Ruben Verborgh.

“Wanneer onze pilootprojecten slagen, zullen er nieuwe internetstandaarden komen. Die vragen in eerste instantie om een extra investering, maar zorgen ook voor een kostenbesparing. De manier waarop we nu handelen, zorgt ervoor dat we blijven investeren in infrastructuur om alle data te kunnen blijven verzamelen, verzenden en bewaren. Er is steeds meer data. Dat is geen houdbare situatie die ons nu al te veel geld kost.”

Open technologie legt de basis

“Solid steunt op een reeks technische standaarden waarmee we de datakluizen maken. Het is geen nieuwe technologie, we bouwen op 30 jaar webstandaarden. Het is ook een open technologie, wat betekent dat iedereen ze kan implementeren en steeds verbeteren.”

Ruben Verborgh legt uit: “Open zijn is erg belangrijk. Om het concept van de veilige datakluis maximaal te beschermen, zal men kunnen kiezen waar die staat, bij welke aanbieder. Datakluizen zullen net als nutsvoorzieningen gereguleerd zijn, maar de gebruiker kan zelf een aanbieder kiezen.”

Bitnami