Je street view schoonvegen

Noviteit Google Street View, die gewiekste uitbreiding van Google Maps, kon indertijd – de introductie vond plaats vanaf 2006, 2007 – niet overal op een warm onthaal rekenen. De weerstand van Duitsland, dat als ‘Blurmany’ bekend kwam te staan door het grote aantal geblurde straatopnames, was op z’n heftigst in Molfsee, een plattelandsdorp vlak bij Kiel.

‘We kregen veel brieven van verontruste burgers en we onderhandelden met de mensen van Google,’ zegt Marit Hansen, sinds 1995 medewerker van het Unabhängiges Landeszentrum für Datenschutz (ULD) in Kiel en sinds 2015 als commissaris eindverantwoordelijk. Gegevensbescherming (Datenschutz), in jargon data security, is haar vak. Het expertisecentrum waarvan zij als afgevaardigde van de deelstaat Sleeswijk-Holstein leidinggevende is, informeert, adviseert, bemiddelt en is grofweg verantwoordelijk voor gegevensbescherming in de regio.

‘De mensen in Molfsee zagen het niet als een principieel probleem,’ zegt ze. ‘Ze beklaagden zich niet over de machtspositie van één bedrijf dat zich alle straatinformatie toe-eigent. Het ging hen om hun privacy en reputatie. Ze vroegen zich bijvoorbeeld af hoe hoog hun heg moest zijn om inkijk te voorkomen. Of ze zeiden: iedereen kan zien dat ik mijn tuin heb verwaarloosd. En: hoe lang blijven die beelden beschikbaar? Natuurlijk was er angst voor inbrekers. Een ander argument was: Google heeft geen vergunning, dus moet het wel verboden zijn. Maar nergens in de Duitse wet staat dat je toestemming nodig hebt om straatopnames te maken voor de verbetering van plattegronden.’

Toch bleek het gedrag van Google laakbaar, aldus Hansen. ‘Ze tapten wifiverbindingen af, terwijl ze rondreden om opnames te maken en sloegen niet-versleutelde wachtwoorden op. Bovendien logen ze daarover tegen onze parlementariërs, die natuurlijk woest waren. Pas in tweede instantie gaf Google toe dat er wel degelijk een databreuk was. Sindsdien communiceren ze beter, is mijn indruk.’

Het mag duidelijk zijn: in haar werk heeft ze te dealen met zowel de argumenten en grillen van min of meer argeloze plattelanders als die van doorgewinterde specialisten met kennis, geld en uithoudingsvermogen. ‘Mijn uitgangspunt is: technologie kan heel bruikbaar en behulpzaam zijn, maar je moet je bewust zijn van de kansen en de risico’s. En veel daarvan is terug te voeren tot het design. De vraag is: hoe steekt het in elkaar, hoe ontwerp je technologie die het verschil maakt?’

Hansen (1969) studeerde computerwetenschap in Kiel. Ze behoort tot de pioniers in Duitsland op het gebied van databescherming en maakte van nabij mee hoe het vak tot bloei kwam. ‘Toen ik in 1988 begon, waren de faciliteiten op de faculteit heel beperkt. We hadden mondjesmaat toegang tot e-mail en konden bestanden uitwisselen. Dat ging via modems en was erg duur. Maar we kenden de protocollen, die waren simpel, en besloten onze eigen dienst op te zetten en te hosten.’

De oprichting van organisatie Toppoint – die nog altijd bestaat (‘der Hacker- und Makerspace in Kiel’) – viel ongeveer samen met een grote studentenstaking uit protest tegen de slechte onderwijsomstandigheden, vertelt ze. Hansen en haar studiegenoten benutten die om te debatteren over de politieke implicaties en de relevantie van hun vakgebied . ‘Databescherming was een van de onderwerpen. We nodigden experts uit, onder wie de toenmalige commissaris gegevensbescherming van de deelstaat. Maar ook na de staking bleven we lezingen organiseren over het onderwerp. We hielden conferenties met vooraanstaande deskundigen. Daar kwamen veel mensen op af, geestverwanten, terwijl Kiel niet bepaald centraal gelegen is. Daar is een kiem gelegd voor de Duitse internetcultuur.’

Hansen: ‘Ik denk het wel. Als scholier vond ik computers omslachtig. Ik dacht dat ze bedoeld waren om dingen aan te leren die mensen ook kunnen. Tot ik begreep waartoe machines rekenkundig in staat zijn met redelijk eenvoudige programmering. De pure logica! Computers bleken heel efficiënt en betrouwbaar, en ze waren leuk om mee te werken. Ik zag ook de gevaren. Ik verdiepte me in het werk van Joseph Weizenbaum, een Duits-Amerikaanse informaticus, hij was een early warner.

Eind jaren zestig ontwikkelde hij Eliza, een chatbot waarmee hij wilde aantonen: kijk eens hoe dom die computer is. Je typte een vraag en je kreeg antwoord, meestal in de vorm van een vraag – zoals een psychotherapeut die herformuleert wat jij zegt. Maar de uitkomst was dat mensen Eliza serieus namen en een machine hun diepste geheimen toevertrouwden. Een ander voorbeeld was David Chaum. Hij deed onderzoek naar het versleutelen van informatie. Al in de jaren zeventig bedacht hij designoplossingen voor gegevensbescherming, feitelijk mijn onderwerp. Anonimiseren bijvoorbeeld.’

‘Ik denk dat de garantie dat data niet te herleiden is tot individuen nogal wezenlijk is, zeker als het voor communicatiedoeleinden is. Wat dat betreft vind ik de Covid-app hoopgevend. Die is ontwikkeld met onder meer Apple en Google: een privacyvriendelijke tracing app met wisselende identifiers in plaats van één statische. Elke tien of vijftien minuten verandert die. Wij zeggen al jaren dat het zo ook kan, alleen wilde niemand eraan. Maar de eerste stap is nu gezet.’

U bent de eerste computerwetenschapper, las ik, die leidinggeeft aan een ULD. Wat is daar zo bijzonder aan?
‘Vroeger maakten juristen de dienst uit in data protection. Bij ons was Helmut Baümler, mijn voormalige baas, een van de eersten die het belang van technologie en technologen inzag. Die waren voorheen dienstbaar aan andere disciplines, ze schreven een rapport en dat was dat.

Hij begreep dat je de kloof tussen rechts- en computermensen moet zien te overbruggen, wil je de technologie naar je hand kunnen zetten. In die ontwikkeling heeft trouwens ook een Nederlander een belangrijke rol gespeeld: John Borking. Hij vond dat je technologie moest promoten en muntte samen met Canadese onderzoekers de term privacy enhancing technology. De afkorting – PET – had een vriendelijke connotatie en een frase als ’petify your solution’ bekte lekker.

Het onderzoek van de Canadezen werd in 1995 op een conferentie in Kopenhagen gepresenteerd. Baümler, mijn baas, was daarbij. Het bracht een ommekeer teweeg: technologie was niet langer de slechterik, maar kon onderdeel van de oplossing zijn. Nu, 25 jaar later, is die gedachte veel meer gemeengoed. Ook de introductie van de Europese wetgeving in 2018, de Algemene Verordening Gegevensbescherming, heeft daaraan bijgedragen. Data protection by design and default [gegevensbescherming in ontwerp en standaardinstellingen, red.] is daarin een belangrijk onderwerp. We zijn er nog niet, maar er is veel progressie.’ 

‘Dat weet ik niet. Het is sowieso niet iets wat Duitsers over zichzelf zeggen, wat goed is trouwens. Duitsland is een groot land. In sommige opzichten heeft dat voordelen. We praten al decennia over Datenschutz. Hessen had in 1970 al de eerste wet gegevensbescherming. Bij ons gaat de lancering van een wet gepaard met eindeloos veel wegingen door juridische teams. Die commentaren kunnen honderden pagina’s beslaan over alle mogelijke deelaspecten. Goed argumenteren is een kwaliteit die essentieel is voor die werkwijze. Dat geldt ook voor ons vakgebied.

Alle zestien Duitse deelstaten hebben hun eigen ULD, Beieren heeft er zelfs twee, en er is ook nog een landelijke. Er zijn er dus achttien. Als we met alle commissarissen bijeenkomen en debatteren over een probleem kan dat knap omslachtig en irritant zijn. Maar daarna kun je er bijna zeker van zijn dat je niks over het hoofd hebt gezien.

Ik zie ook elders goeie ontwikkelingen. Nederland geldt op het moment als een rolmodel omdat de staat er vorig jaar in slaagde vergaande aanpassingen op de Officesoftware van Microsoft af te dwingen. Dat is nogal wat. Uiteindelijk geloof ik vooral in een bundeling van krachten, niet alleen landelijk, maar ook op Europees niveau. We hebben massa nodig tegenover de macht van de techgiganten.’