Foto: Robert v.d. Molen

Stel, je wilt weten hoeveel auto’s er over een bepaalde weg rijden. Je kunt een systeem bouwen dat alle voorbijkomende kentekens registreert. Maar je kan ook kiezen voor een systeem dat voor elke auto slechts een turfje zet. Beide systemen hebben dezelfde functionaliteit: ze tellen auto’s. Maar de eerste is een privacy nachtmerrie. Het tweede systeem is zo ontworpen dat het geen persoonlijke gegevens kan vastleggen. Privacy kan je niet achteraf op een systeem plakken. Je moet het al in de ontwerpfase als eis meenemen. Deze ontwerpfilosofie heet privacy-by-design. Kunnen we toewerken naar Tada-by-design?

Privacy-by-design

Hoe je een privacy-vriendelijk systeem bouwt, is het onderzoeksveld van Jaap-Henk Hoepman. De Universitair Hoofddocent aan de Radboud Universiteit deelde zijn inzichten op een bijeenkomst ‘Tada in de praktijk’ van de Gemeente Amsterdam, die op 20 februari plaatsvond. “Privacy-by-design is gestoeld op het principe dat technologie niet neutraal is”, zegt Hoepman. “Technologie draagt waarden met zich mee.” De autogordel bijvoorbeeld, is een uiting van de waarde die we hechten aan veiligheid. Hoepman vervolgt: “Dat betekent dat als je een nieuw systeem ontwikkelt, je je moet verhouden tot de waarden die je aan die technologie mee wilt geven.” Bij privacy-by-design wordt privacy in elke stap van het ontwikkelingsproces meegenomen: tijdens de ontwikkeling, de ingebruikname, het onderhoud en zelfs in de ontmantelingsfase.

Hoe dan?

Maar hoe maak je het toepassen van privacy concreet? Hoepman deed dat door het formuleren van acht privacy-by-design strategieën. “Privacy is een zachte term met ethische en juridische componenten”, zegt Hoepman. “Voor techneuten is dit moeilijker te implementeren dan strikt technische eisen als security of performance. Daarom moet je die abstracte juridische normen concreet maken in technische ontwerpeisen.” Om dat te realiseren ging Hoepman terug naar de basis: “Wat is een informatieverwerkingssysteem? In de kern is het een database: een grote tabel met individuen en attributen.” Anders gezegd, het is als een Excel sheet met in de eerste kolom de namen van personen en daarachter een aantal gegevens over hen: leeftijd, adres, kleur ogen, et cetera. Op die tabellen kan je strategieën toepassen om privacy te vergroten.

Eén zo’n strategie is bijvoorbeeld minimaliseren: Verzamel niet alle mogelijke gegevens maar bedenk vooraf welke gegevens je daadwerkelijk nodig hebt. Zoal in het bovengenoemde voorbeeld hoef je geen kentekens te verzamelen om auto’s te tellen. Een andere strategie is abstraheren: denk na over de mate van detail van de gegevens die je verzamelt. Je kunt een slimme elektriciteitsmeter van minuut tot minuut uitlezen. Maar daarmee verzamel je onbedoeld ook data over het gedrag van bewoners: wanneer ze de was draaien of hoe laat ze het licht aandoen (en dus hoe laat ze thuiskomen). Voor het doel van de meter – het opmaken van de elektriciteitsrekening – is maandelijks uitlezen afdoende.

Is Tada-by-design mogelijk?

Hoepman’s methode is zeer gedetailleerd. De levensloop van een systeem wordt onderverdeeld in de verschillende stadia van ontwerp tot ontmanteling. En tijdens elk stadium wordt gekeken hoe de acht privacy-by-design strategieën kunnen worden toegepast. Tijdens de bijeenkomst kwam van het publiek de vraag of zo’n methode ook voor Tada mogelijk is. Hoepman antwoordde daarop: “Wat je probeert met die Tada principes is vergelijkbare gesprekken op te starten als die gevoerd zijn over privacy. Uiteindelijk hoop je systemen te ontwerpen die aan die principes verstand doen. Met de privacy-by-design strategieën heb ik geprobeerd een vertaalslag maken. De privacy regels die in de wet tamelijk zacht geformuleerd zijn, vertalen in iets wat ontwerpers concreet kunnen toepassen. Ik denk dat het Tada principe ‘menselijke maat’ iets is waar een gemiddelde ingenieur niet zo veel mee kan. Daarvoor moet je de Tada waarden concreet maken. De eerste stap die je kan zetten is hele concrete casussen formuleren om te kijken wat het in de techniek betekent. Vervolgens neem je de uitkomsten van die concrete casussen en probeer je die te generaliseren. Het doel is om tot abstracte principes te komen die nog wel concreet en technisch genoeg zijn zodat ontwerpers er iets mee kunnen.”

Een volgende mogelijke stap om Tada concreet te implementeren bij de gemeente is de zes principes uitwerken in concrete casussen. Heb jij een casus die je op basis van Tada principes wilt uitwerken? Neem contact met ons op.