Please sue us

Privacyzorgen over Big Data bij opsporing

Zonder goede uitleg mag minister tapstatistieken AIVD niet geheim houden

Hoe kan Big Data gebruikt worden voor een effectiever veiligheidsbeleid zonder dat daarbij de privacywaarborgen verloren gaan? Hoe kunnen we straks genieten van de voordelen zonder de nadelen te ervaren? Vragen die ons bezighouden, en vragen die de regering stelde aan de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Hier volgen de belangrijkste conclusies en aanbevelingen van de WRR.

Wat is Big Data eigenlijk?
Het rapport Big data in een vrije en veilige samenleving van de WRR geeft geen definitie van Big Data maar beschrijft een drietal hoofdkenmerken om duidelijk te maken waar het bij Big Data om gaat:

  • Data: het gaat om grote hoeveelheden gestructureerde en ongestructureerde data uit verschillende bronnen.
  • Analyse: de analyse is ‘data-driven’ en zoekt geautomatiseerd naar correlaties. De grootste potentie wordt verwacht van realtime en voorspellende analyses.
  • Gebruik: de analyses moeten leiden to ‘actionable knowledge’ (ingrepen in de realiteit op basis van bestandsanalyses.

Dit zijn meteen ook de drie fasen van een standaard Big Data toepassing: eerst gegevens verzamelen, ze vervolgens analyseren en er dan iets zinnigs mee proberen te doen.


Wordt Big Data al gebruikt in het veiligheidsdomein?
De Raad heeft zeven verschillende cases van datagebruik binnen het veiligheidsdomein goed bekeken. Van het Criminaliteits Anticipatie Systeem (CAS) van de Amsterdamse politie (vorig jaar nog goed voor een Big Brother Award) tot de Infobox Crimineel Onverklaarbaar Vermogen, en van de analysetechnieken van de Belastingdienst (zie ook dit stuk van Maurits Martijn) tot aan het controversiële Systeem Risico Indicatie (SYRI). Ook Smart Borders en Smart Cities komen natuurlijk aan bod.

De auteurs merken op dat in die cases Big Data vaak nog maar een beperkte rol speelt. Er wordt bijvoorbeeld nog amper gebruik gemaakt van datagestuurde analyses en in plaats van effectievere opsporing gaat het vaak gewoon om automatisering waardoor standaard processen goedkoper gedaan kunnen worden. Wel wordt er al verschrikkelijk veel data aan elkaar gekoppeld.

Is Big Data wel effectief?
De potentiële voordelen van Big Data liggen volgens het rapport op het gebied van efficiëntie, het terugkijken in de geschiedenis, het real-time analyseren en op het voorspellen van misdaad.

Daar staan een aantal potentiële problemen tegenover. De analyse van data is volgens de Raad bijvoorbeeld nooit neutraal omdat het theoretisch kader altijd vooronderstellingen bevat. Verder kun je uit correlatie geen causaliteit afleiden en ontkom je er niet aan dat er in Big Data-analyses altijd fouten zullen zitten. En als je gaat zoeken in grote hoeveelheden data vind je altijd wel correlaties, maar of die ook betekenisvol zijn weet je niet.

Omdat Big Data gebaseerd is op patroonherkenning in grote hoeveelheden data is het eigenlijk alleen maar geschikt voor veiligheidsvraagstukken die een regelmatig karakter hebben. Als een vraagstuk heel weinig voorkomt (denk aan terreur) dan is er onvoldoende materiaal beschikbaar om een betekenisvol patroon te ontdekken. Het rapport is daarmee (impliciet) bijzonder kritisch over de te verwachten effectiviteit van de plannen van Plasterk voor een sleepnet voor de geheime diensten:

“Datamining – de voor Big Data kenmerkende analysevorm – is niet voor alle vormen van misdaadbestrijding even geschikt. Datamining is voor het voorkomen van terroristische aanslagen waarschijnlijk een ineffectieve methode. Patroonherkenning werkt het beste bij overtredingen die een vast en terugkerend patroon laten zien. Omdat elke terroristische aanslag uniek is, is het nagenoeg onmogelijk om een goed profiel te maken. In combinatie met een gering aantal aanslagen levert dit te hoge foutpercentages op.”

Wat zijn de risico’s van Big Data?
De WRR staat ook stil bij de grote risico’s van het gebruik van Big Data. Zo leiden data-gedreven oplossingen altijd tot social sorting en liggen daarbij discriminatie en profilering op de loer. Het is bijna per definitie onmogelijk om privacy en Big Data met elkaar te rijmen. Het gaat bij Big Data vaak om miljoenen kleine individuele privacyschendingen (zo klein dat mensen zelden naar de rechter stappen) die samen, bij elkaar opgeteld, wel degelijk een grote schending zijn. Verder is er altijd een kans op function creep: het inzetten van de data of methodologie van één succesvol Big Data project in een ander project met een andere context. Ook is er het gevaar van een chilling effect (met alle negatieve gevolgen voor de democratie van dien) als mensen zich anders gaan gedragen doordat de overheid private data voor veiligheidsdoeleinden gaat gebruiken. Tot slot uiten de auteurs hun zorgen over de informatieongelijkheid die in de hand wordt gewerkt door Big Data. Ze benoemen daarbij de transparantieparadox: het feit dat burgers steeds transparanter worden voor de overheid en bedrijfsleven, terwijl deze organisaties in de manier waarop ze de data in hun analyses gebruiken niet open zijn naar burgers.

Een horizonbepaling, beter toezicht en de menselijke maat
Big Data is volgens de Raad niet meer te stoppen. We moeten dus nadenken over hoe we de risico’s kunnen inperken. Het rapport komt daarvoor met een aantal aanbevelingen. Zo zou er rondom het gebruik van Big Data een wettelijk te omschrijven zorgplicht moeten gaan gelden en moeten Big Data projecten door een externe toezichthouder worden ge-reviewed waarbij die toezichthouder ook meteen moet controleren of aan de zorgplicht wordt voldaan. Daarnaast moeten grote dataverwerkingsprojecten binnen de overheid (en in het veiligheidsdomein) een horizon van 3 tot 5 jaar krijgen: als het project niet blijkt te werken, dan moet het weer worden opgedoekt. Ook wordt er aanbevolen om geautomiseerde beslissingen (“computer says no“) te beperken en juridisch vast te leggen dat de verantwoordelijkheid voor de juistheid van een Big Data-beslissing bij de gegevensverwerker blijft. De overheid mag de computer of het algoritme dus niet de baas maken of de schuld geven.

Reguleren we het verzamelen of het gebruik van data?
Volgens de auteurs van het rapport is hun belangrijkste conclusie dat de focus van de huidige wet- en regelgeving op de fase van het verzamelen van gegevens in het Big-Data tijdperk niet meer volstaat. Hun voornaamste aanbeveling is dan ook om het regulerend kader te verbreden van het verzamelen van gegevens naar de regulering van de analyse en het gebruik van de gegevens.

Hoewel wij het een goed idee vinden om de analyse en het gebruik van data beter te reguleren vinden we dat dit niet ten koste mag gaan van het reguleren van het verzamelen van de data. Anders gezegd: het beperken van hoe data gebruikt mag worden kan wat ons betreft niet als oplossing dienen voor het fundamentele probleem dat Big Data heel slecht te verenigen is met fundamentele uitgangspunten van (Europese) privacywetgeving zoals doelbinding.

In een artikel in de verkenning Exploring the Boundaries of Big Data, die tegelijkertijd met het rapport is uitgekomen, schrijft Joris van Hoboken (naast academicus ook voorzitter van Bits of Freedom) over deze spanning:

The most productive way to address this tension would be to see use-based regulation not as an alternative to regulation of collection, but as a complimentary regulatory strategy that can help address some of the new challenges to privacy inherent in the possibilities of large-scale data analytics.

Naar onze smaak hebben de auteurs van het rapport te weinig naar deze suggestie geluisterd en blijven ze te ambivalent over dit punt. Zo staat er in de factsheet met aanbevelingen dat “de aandacht moet worden verlegd van het reguleren van het verzamelen van data [..] naar de regulering van [..] de fases van de analyse en het gebruik van Big Data.” Die aandacht verleggen lijkt ons geen goed idee, juist niet binnen het veiligheidsdomein. Het is essentieel om zowel het gebruik als het verzamelen te reguleren.

Verder praten met de minister
Toen wij de net aangetreden minister van Veiligheid en Justitie naar een visie op privacy vroegen kregen wij van hem de verzekering dat hij ons (en de rest van de ‘Privacycoalitie’) daarbij zou betrekken. In zijn toespraak bij het in ontvangst nemen van het rapport deed hij deze belofte nogmaals. Wij kijken er dus naar uit om betrokken te worden.

Meer lezen?
Op de website van de WRR vind je meer informatie. Je kunt een aantal zaken ook direct als PDF downloaden: de factsheet met aanbevelingen, de samenvatting, het volledige rapport en tot slot de bijbehorende wetenschappelijke verkenning.

Wat vind jij?
Bits of Freedom vind het goed om te lezen dat de wetenschappelijke adviseurs van de regering zo kritisch zijn op de rol van big data in een vrije en veilige samenleving. Wat vind jij? Kan Big Data ons helpen bij een effectievere opsporing zonder dat dit ten koste gaat van privacy? En wat vind je van de discussie over verzamelen versus gebruik? Laat het ons en de WRR weten.

  1. zorgenkind

    Via alle kentekencamera’s langs de weg is het allang mogelijk om iedereen te volgen door het hele land. Zelfde geld voor OV chipkaart. Zelfde geldt voor pinbetalingen, etc, email verkeer, website bezoek.

    Je leeft feitelijk in een open inrichting met permanente observatie.

    Is er een politicus die durft toe te geven dat we het doelbewust veel bonter maken dan de destijdse Stasi, en dat totaalcontrole lekker makkelijk is wanneer creativiteit ontbreekt om iets beter te verzinnen?

    Iedereen is het er gelukkig wel over eens. De Stasi was verkeerd.
    Echter om verschillende redenen:

    Burgers omdat de Stasi te veel controle uitoefende, maar:

    Huidige overheden omdat de Stasi te weinig controle uitoefendende.

  2. Klaske Wijkstra

    De aanbevelingen van de WRR zijn wel goed bedoeld, maar zullen de burgers niet de nodige autonomie teruggeven die zij de laatste jaren zijn kwijtgeraakt. Ik vind het al heel wat dat men zich realiseert dat data-analyses niet neutraal zijn. Het is wrang dat burgers voor de overheid nu wel transparant zijn, maar dat het omgekeerde totaal niet het geval is. Niemand weet hoe beslissingen op een departement tot stand komen, onder welke invloeden de ambtenaren staan. Een vriend heeft 36 jaar op een departement gewerkt. Heel veel goeroe’s kwamen langs om de ambtenaren ‘wijzer’ te maken. Van sensitivity-training en ‘spiral dynamics’ tot schilderen met kinderen, je kunt het zo gek niet bedenken. Allerlei soorten bedrijven en ook it-goeroe’s zoals Van Grieken mochten hun waar aanprijzen. Op deze manier, via het aantrekken van mensen met een prachtig netwerk, heeft Google vaste voet gekregen bij overheidsinstellingen. En nog steeds gaat Google daar mee door. Met filantropie heeft dat uiteraard niets te maken. Het gaat om het beheersen van de markt. Ook zorgwekkend: de informatiesystemen van alle Nederlandse gemeenten zijn in handen van maar twee softwarebedrijven.
    De totstandkoming van het EPD is ook zo’n ondoorzichtige zaak geweest. Er was wel een Nederlandse gegadigde die een mooi systeem had bedacht voor opslag en beheer van gegevens bij de burger zelf, maar dat systeem is om onduidelijke redenen niet gekozen. Nu zitten wij met een lek systeem dat nauwelijks meer te repareren is. De documentaire ‘Big Data’ van de BBC maakte duidelijk dat voor geld individuele profielen compleet met ziektegeschiedenissen kunnen worden opgekocht.
    Transparantie bij politieke beslissingen en bij beleidsmaatregelen, dat is wat wij willen. Bovendien moet iedere burger eigenaar van haar/zijn gegevens worden en moeten die alleen met toestemming kunnen worden gedeeld. Daarvoor moet je dus bij fase één zijn: het verzamelen moet worden aangepakt.
    Ambtenaren, de vierde macht, moeten kritischer worden om de vijfde macht, de it bedrijven , het hoofd te kunnen bieden.

    • Hans de Zwart

      Dank voor weer een hele mooie reactie. Is dat verhaal van Van Grieken ergens gedocumenteerd?

    • K.W.

      Beste Hans,

      Daar ben ik een antwoord op schuldig. In de vorm van een rectificatie nog wel. Navraag gedaan en nu blijkt dat mijn bron Van Grieken op het departement ontmoette als een bevlogen en zeer talentvolle ict-er die digitale tools kwam aanreiken met het ideaal om zo de democratie te helpen bevorderen. Dat was voordat hij bij Google werkte. Hier dus mijn excuses, ook aan Van Grieken, want die volgorde kende ik niet. Er waaide een wind van ‘nieuw’ en ‘anders’ en daardoor vielen de ict-ideeën in goede aarde.
      Google is geen ideëele instelling, al doet men, zoals zoveel Amerikaanse bedrijven, vast wel aan filantropie. Begonnen als garagebedrijfje dat slimme algoritmes voor hun zoekmachine ontwikkelde, is het uitgegroeid tot een miljardenbedrijf met een monopoliepositie. Aanvankelijk was het hoofddoel : informatie beschikbaar stellen aan iedereen. Dat doel is al lang overschaduwd door een ander doel: winst maken. Google/Alphabet houdt nu Android in zijn greep en heeft zich tot voor kort als standaardzoekmachine aan de meeste operationele systemen opgedrongen. Heel langzaam begint daar verandering in te komen. Google Analytics is vreselijk populair, het zit in vele apps, websites, dienstverlenende programma’s. (Flurry Analytics van Yahoo zie je soms). Het is juist die monopoliepositie die Google zo machtig maakt. Ict heeft een enorme impact op ons leven.
      En het is niet neutraal zodra het wordt toegepast. Ook de zoekmachine van Google is dat niet, zoals een radiodocumentaire uit de iWonder serie van de BBC duidelijk maakte. Algoritmes, ranking en click-gedrag veranderen de resultaten. Google zegt dat de zoekresultaten een reflectie zijn van de mensheid , maar dat is niet waar.
      Google heeft wel mooie praatjes, maar vergeet, dat zijn programma’s neveneffecten hebben die wij meer en meer als ongewenst beschouwen. Problematisch wordt het als dit bedrijf samenwerkt met overheden en als het zich met politiek bemoeit. Verkiezingen kunnen bv. door programma’s worden beïnvloed. Als ik in de uitstekende docu van VPRO/Tegenlicht over Slimme Steden zie, hoe bloedserieus (Singapore) en met hoeveel vuur (Amsterdam, Eindhoven) smart technologie wordt gepromoot, terwijl er geen spoor van twijfel of kritiek is, dan denk ik: hier klopt iets niet. Als je als burger je autonomie, je competenties en je privacy niet wilt verliezen, dan moet je hierbij wel vragen stellen.
      Aan Van Grieken zou ik willen vragen of zijn democratische idealen niet in conflict komen met het bedrijf waarvoor hij nu werkt.

  3. overweging

    Een ander aspect is veiligheid bij toepassingen met Big Data.

    Bij zelfsturende auto’s kan aan de enerzijds het aantal ongevallen worden gereduceerd. Anderzijds brengt het beslissingsproblemen. Wat moet de auto doen als er plotseling voor hem een doos uit een auto valt of een obstakel tegenkomt en hij kan niet meer stoppen en naast en achter hem rijden auto’s met of zonder kinderen of ouderen? Hoe vindt dan de afweging plaats wie mag blijven leven?

    Met auto’s zijn enorme belangen gemoeid, zoals bijvoorbeeld autofabrikanten, transport, garages, olie en pompstations, garages, onderdelen, leasemaatschappijen, voorraadfinanciering, belasting en accijnzen, ict bedrijven. Indien hier geen ethische en politieke uitspraak over wordt gemaakt dan bepaalt het bedrijfsleven wie mag blijven leven en wie niet.

  4. Bas

    Als je de fasen van (big) data nog wat verder detailleert (totstandkoming, opslag, verspreiding, verzameling, waarneming, analyse, duiding, beeldvorming, handeling), kun je in elk van die fasen mogelijke maatregelen aanwijzen om de nadelen of gevaren te voorkomen of te beperken.

    Het lijkt evident dat maatregelen in de eerdere fasen effectiever zijn dan die in de latere. Toch is dat niet de kant die het opgaat. Steeds meer systemen brengen gegevens tot stand (Android, Tesla), slaan ze op (computers, televisies) of verspreiden ze (Barbie, Nest), voor een heel groot deel zonder noodzaak voor de functionaliteit en zonder belang vanuit de gebruiker. FBI en Europol noemen het IoT terecht een goudmijn voor opsporing, terwijl de gegevens in kwestie er in de eerste plaats al niet hadden moeten zijn.

    Vanaf de verspreiding is er geen houden meer aan; op dat punt is de totstandbrenger/eigenaar van de gegegevens de controle erover kwijt. Met in het achterhoofd dat bewaren inmiddels goedkoper is dan weggooien, kunnen alle daarop volgende fasen later alsnog worden losgelaten op de data van nu. Wie zegt dat de maatregelen die we nu nemen, blijven gelden?

    Verderop in de keten is ook iets heel interessants gaande: we leggen duiding van de data steeds meer in handen van systemen: volautomatische schifting wie een opleiding, verzekering of hypotheek krijgt, het geprezen en verguisde Chinese burgerpuntensysteem, en, inderdaad, criminaliteitsanticipatie. Dit alles vergroot de impact van verzamelde data (vooral bij missers) en beperkt controles of correcties daarop.

    Bottom line: used based regulation is too little too late. Geef mensen de mogelijkheid (terug) om de gegevensstroom bij de bron af te stoppen. Daar horen de maatregelen thuis.

  5. K.W.

    Beste Hans,
    Daar ben ik een antwoord op schuldig, in de vorm van een rectificatie.
    Navraag gedaan en nu blijkt dat mijn bron Van Grieken op het departement ontmoette als een bevlogen en zeer talentvolle ict-er, die digitale tools kwam aanreiken om zo “de democratie te helpen bevorderen”. Dat was voordat hij bij Google werkte. Hierbij mijn excuses, ook aan Van Grieken, want de juiste volgorde kende ik eerst niet. Er waaide een wind van ‘nieuw’ en ‘anders’ en daardoor vielen de ict-ideeën in goede aarde.
    Google is geen ideëele instelling, al doet met zoals veel Amerikaanse bedrijven vast wel aan filantropie. Aanvankelijk was het hoofddoel: informatie beschikbaar stellen aan iedereen. Nu is dit een miljardenbedrijf met als voornaamste doel is het maken van winst en het behouden van een monopolie. Met de kaping van Android en de zoekmachine als standaard in de meeste OS-en en het alomtegenwoordige Goole Analytics lijkt dat te zijn gelukt, maar toch komt daar langzamerhand verandering in.
    Ict is, zodra het wordt toegepast, niet neutraal. Ook de zoekmachine van Google is dat niet, zoals een radiodocumentaire in de iWonder serie van de BBC onlangs duidelijk maakte. De algoritmes zetten ranking in werking en door click-gedrag veranderen de resultaten. Volgens Google zijn de resultaten een reflectie van de mensheid, maar dat is niet waar. Programma’s hebben neveneffecten die wij meer en meer als ongewenst beschouwen. Verkiezingen kunnen bv. door programma’s worden beïnvloed.Extra problematisch wordt het waar dit bedrijf samenwerkt met overheidsinstellingen. Toen ik in de uitstekende VPRO/Tegenlicht docu ‘Slimme Steden’ zag hoe bloedserieus (Singapore) en met hoeveel vuur (Amsterdam, Eindhoven) de Boodschap van Smart werd gebracht, zonder ook maar een spoor van twijfel, dacht ik: hier klopt iets niet. Wie zijn/haar autonomie, competenties en privacy niet helemaal wil verliezen moet hierbij wel vragen stellen. Singapore en China als voorbeeld? Niet de beste democratiën. Aan Van Grieken zou ik willen vragen of zijn democratische idealen niet in conflict komen met het bedrijf waarvoor hij nu werkt.

  6. Peter

    Vandaag op de voorpagina van het FD de successen van Big Data en criminaliteitsbestrijding. Helaas achter een pay wall: http://fd.nl/economie-politiek/1150701/big-data-legt-onzichtbare-criminaliteit-bloot

    Ben benieuwd hoe Bof dit artikel beschouwt in het licht van deze blog?

    • Hans de Zwart

      Ik zou graag een perspectief geven, maar ga niet de paywall omzeilen. Dat is dus een stukje informatie dat ik moet missen.

  7. PETER

    zitte nou mijn reactie te verwijderen bof

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.