Development

Privacy
privacy

Superscience: privacy moeilijk? Een mythe!

Tech kan privacy juist beschermen.

© Poly
17 mei 2022

Tech kan privacy juist beschermen.

Voor de ondermijning of zelfs teloorgang van privacy wordt technologie veelal als hoofdschuldige aangewezen. Opkomst, opzet en inzet van informatie- en communicatietechnologie heeft flinke gevolgen voor persoonlijke en gevoelige gegevens. Behoud en bescherming van privacy staan onder zware druk, ook omdat privacy als moeilijk wordt gezien. Maar dat is een mythe, weet dr. Jaap-Henk Hoepman te vertellen.

Het heeft nogal wat vertraging opgelopen tijdens de coronacrisis, maar de spirituele opvolger van Het Blauwe Boekje (uit 2018) is enkele maanden geleden verschenen. Auteur en universitair hoofddocent Hoepman heeft in zijn eerdere publicatie privacyontwerpstrategieën uiteengezet voor organisaties - bedrijven en overheden - die persoonsgegevens verwerken. Ontwerpers, bouwers en beheerders van systemen die zulke (gevoelige) data verwerken, waren toen de doelgroep.

Zelfhulpboek?

Met zijn nieuwste boekwerk lijkt hij een hele andere doelgroep en toon aan te slaan. Na het gewichtig klinkende ‘Privacyontwerpstrategieën. Het Blauwe Boekje’ van vier jaar terug is eind vorig jaar ‘Privacy Is Hard and Seven Other Myths’ verschenen. Een tegendraads betiteld werk, schijnbaar voor een lezerspubliek dat zelfhulpboeken wil. Maar de SEO-schijn van die trekkende titel bedriegt, het gaat wel degelijk serieus over privacy en hoe dat te realiseren. Antwoord: door middel van zorgvuldig ontwerp.

Privacy is ten onrechte dood verklaard en dat privacy realiseren moeilijk zou zijn, is een mythe, betoogt Hoepman in zijn Engelstalige publicatie. Hij kon geen Nederlandse uitgever met interesse vinden, ondanks alle belangstelling voor privacy en het feit dat het snijvlak van privacy en technologie een heel actueel en toekomstgericht thema is.

Hoepman is er echter al jaren mee bezig. De kiem voor zijn kritische maar toch ook optimistische beschouwing van het pijnpunt privacy is lang geleden al gelegd. Door brede interesse, vervangende dienstplicht, rare omzwervingen en toeval. “Ik heb ontzettend veel mazzel gehad”, vertelt hij aan AG Connect.

De universitair hoofddocent aan de Rijksuniversiteit Groningen en de Radboud Universiteit te Nijmegen is even in Nederland gestrikt voor een interview, want hij is sinds eind 2021 ook gasthoogleraar aan de Karlstad Universiteit in Zweden. En hij zit in de adviesraad van het Nederlandse Bits of Freedom, waakhond voor digitale burgerrechten. IT en recht, plus de keten security - privacy - identity, zijn Hoepmans werkterrein.

Privacy, IT en recht

Hoepman spreekt bescheiden tegen dat hij een vooruitziende blik heeft. Zijn loopbaan, wetenschappelijke inspanningen, advieswerk en doceren zijn niet gebaseerd op een veelomvattend plan. Wel heeft hij zich in de loop der jaren vastgebeten in de samenkomst van privacy, IT en recht.

Het is ooit begonnen met IT: Hoepman is als informaticus gepromoveerd op gedistribueerde algoritmes en fouttolerantie aan het gerenommeerde CWI (Centrum Wiskunde & Informatica). “Wat nu blockchain en distributed ledgers zijn. Dat was toen helemaal theoretisch en is nu gewoon ‘in de praktijk’.” Een vooruitziende blik valt dus niet helemaal te ontkennen?

Na zijn promotie kwam Hoepman via vervangende dienstplicht eind vorige eeuw in aanraking met de combinatie van IT en recht. Als onderzoeker aan de universiteit Groningen, waar hij nu weer terecht is gekomen; als universitair hoofddocent. Terwijl het hele idee van de vervangende dienstplicht was om weigeraars van militaire dienst een carrière-onderbreking te bezorgen, had het voor Hoepman juist een carrièresturend effect.

Tenminste, uiteindelijk. Want eerst heeft hij nog wat "rare omzwervingen” gemaakt, mede doordat er in 1996 na zijn studie en promotie niet echt werk was op zijn terrein. “Ik ben uiteindelijk bij KPN Research gaan werken, in beveiliging daar.” Wel wetenschap, maar toegepaste wetenschap. En niet helemaal zijn oorspronkelijke terrein, maar wel weer een interessante kruisbestuiving.

Terug naar universitaire wereld

Het werk daar kon hem toch niet binden: hij wou eigenlijk weg, terug naar de universitaire wereld wat meer inhoudelijk beloofde te zijn. Aan de universiteit van Twente heeft Hoepman het onderwerp privacy toegevoegd aan zijn palet, waar IT en recht dus al op zaten. Privacy by design, en identity by design. Bepaald niet onbelangrijke thema’s, zeker naar de toekomst toe.

Veel van de huidige ICT-systemen en techplatformen zijn niet bepaald ontworpen met privacy en beschermde maar toch ook goed afgeschermde identiteit in de basis. Controle van identiteit lijkt vaak ten koste van privacy te gaan. Bescherming van privacy lijkt anonimiteit en ongrijpbaarheid in de hand te werken. Beiden hoeven echter niet zo te zijn.

Hoepmans combinatie van interesses, expertises, werkvelden en overstappen tussen wetenschap en bedrijfsleven zijn deels te danken aan geluk, zo geeft hij aan. Bijvoorbeeld zijn stap terug naar de universitaire wereld eind vorige eeuw. “Het is nu veel moeilijker om universitair docent te worden. De eisen zijn strenger? De wetenschappelijke arbeidsmarkt is toen in twee à drie jaar helemaal omgeslagen”, waardoor Hoepman die overstap heeft kunnen maken. Dat was wel een ‘once in a lifetime’ kans, vertelt hij.

Bruggetje via PKI

Een kans die op zijn pad kwam en die hij zonder planning vooraf heeft aangegrepen. “Dat is ook wel mijn levensfilosofie: ik zie wel. Als een bootje op zee met hoge golven.” Toch heeft het er veel van weg dat Hoepman al langere tijd bezig is met varen op privacy. Hoe is hij daar dan op gekomen? “Goeie vraag” en hij valt even stil. “Ik denk via een bruggetje met PKI [public key infrastructure - red.].” Op de universiteit Twente, waar hij begin deze eeuw werkte, was er veel discussie over PKI “en of dat het probleem wel oplost”. Het probleem van vertrouwelijkheid van communicatie waarvoor beveiliging, privacy en identiteit essentiële ingrediënten zijn.

“Voor mij is privacy altijd samen gegaan met security, ondanks dat het gescheiden gebieden zijn. Maar het hangt wel heel erg samen.” Beide maken gebruik van veel van dezelfde onderliggende technieken, maar Hoepman geeft aan dat het perspectief echt verschillend is, namelijk bij security het belang van organisatie of bedrijf, en bij privacy het belang van de burger of klant.

Door oprukkende technologie lijkt privacy het onderspit te delven. Of dat nu is vanwege dataminende social media en techreuzen, of vanwege surveillerende overheden - en daar dwars doorheen nog de potentie van kunstmatige intelligentie. Als tegenwicht is er in Europa wel meer privacybeschermende wet- en regelgeving, maar zie dat maar eens behapbaar te krijgen. Die uitdaging is Hoepman aangegaan.

Techniek in combinatie

Rode draad is privacy en zijn voornaamste onderzoeksgebieden zijn privacyversterkende protocollen en privacy by design. Aanverwante onderwerpen zoals privacy bij het Internet of Things (IoT), smartcards en identiteitsbeheer genieten ook Hoepmans aandacht, net als cryptografie en informatiebeveiliging in het algemeen. Bij dat alles gaat het niet puur en alleen om de techniek, maar ook om de combinatie met wet- en regelgeving.

Elk van die onderwerpen is op zichzelf al complex, laat staan gecombineerd met recht. En dan privacy by design, makkelijker gezegd dan gedaan? Hoepman ziet het niet zo somber in. Getuige ook zijn nieuwste boek waarin hij dus acht mythes over privacy tackelt, als een ware ‘mythbuster’, maar dat niet slechts om een populair-wetenschappelijke publicatie voor een algemeen publiek op zijn naam te hebben staan.

‘Geen studieboeken voor’

“Er zijn nog altijd geen studieboeken”, klaagt Hoepman. Niet hoe je privacy by design kunt ‘doen’, niet hoe je privacybeschermende technologie kunt aanwenden. “Hoe je met technologie privacy ook juist kunt beschermen.” En dat terwijl het grote belang van privacy en de grote impact van technologie al jaren erkend worden.

Misschien gaat Hoepman zo'n studieboek maken? Hoewel hij ook andere ideeën heeft, waarvoor hij zichzelf zou moeten opsluiten om die echt tot uitvoering te kunnen brengen. Want ondertussen is Hoepman druk bezig, bijvoorbeeld in Groningen met het geven van het vak IT en recht. Níet aan informaticastudenten, maar juist aan rechtenstudenten. Ook zij moeten aan de kruisbestuiving van privacy, tech en recht.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (mei 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

2
Reacties
dr. Jan Holvast 17 mei 2022 16:45

Dat techniek kan helpen de privacy beter te beschermen is een wijsheid die zo oud is als het nemen van beveiligingsmaatregelen. Zo’n 25 jaar geleden kwam daar een nieuwe uitvinding bij in de vorm van privacy enhancing technologies (PET), destijds met veel bombarie gelanceerd door de toenmalige Registratiekamer. Het heeft voor de bescherming van de privacy allemaal niet zo veel opgeleverd. Dat ligt ook voor de hand omdat het bij het gebruik van gegevens, oftewel informatie, voornamelijk om twee zaken gaat: informatie is geld en informatie macht. Bedrijven en instellingen die daarop uit zijn, zullen zich echt niet inlaten met technieken die hen in hun streven belemmeren: kijk naar de techreuzen in hun streven naar winstmaximalisatie of kijk naar instellingen als de inlichtingen- en veiligheidsdiensten die uit zijn op het vergroten van macht, zoals een recent voorstel tot wijziging van de WIV wederom aantoont. Dat zij de techniek als beveiliging gebruiken is pure eigenbelang. Alleen instellingen waar geld en macht een kleinere of geen rol speelt kunnen baat hebben bij het meer inzetten van de techniek. Met dit in het achterhoofd moet iemand die roept dat privacy een mythe is, wel erg ver van de werkelijkheid afstaan.

Pietertje 17 mei 2022 13:16

Privacy by design is hoe het eigenlijk zou moeten zijn. Maar te veel partijen hebben belang bij het kunnen volgen van het individu. Niet alleen de Googles en commerciele bedrijven van deze wereld maar ook de overheden. De overheden zouden het heel eenvoudig kunnen verbieden maar even leunen op een telecomprovider om wat locatiegegevens te verzamelen van een gsm of wat inloggegeven van een FB is toch zo gemakkelijk want de terroristen en drugscriminelen staan aan de voordeur. Dat moet zeker kunnen maar uiteindelijk is elk individu een "potentieel crimineel". En dat mag niet gebeuren.
Bij de NSA bleek dat er nogal wat van de opzoekingen en traceringen familie en partners betrof. Tsja, zet een kat bij de melk...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.