Gent is niet de enige plaats waar camera's de drukte monitoren. Ook aan de kust werden nieuwe camera’s in gebruik genomen met hetzelfde doel. Op het eerste zicht is de maatregel onschuldig: de camera’s staan ten dienste van de burger, zodat die zich op een veilige manier in de stad kan begeven. Toch leeft bij de bevolking de vrees dat bijvoorbeeld de ordediensten in verleiding komen om de technologie aan te wenden voor andere doeleinden dan het controleren van de drukte in de stad. Een recent voorbeeld hiervan zien we in Leuven. Daar nam het stadsbestuur in 2018 30 ANPR-camera’s (slimme camera’s die nummerplaten van voertuigen kunnen herkennen) in gebruik om het verkeer in de voetgangerszone van de stad te controleren. Een korte tijd later werden de camera’s ook aangewend voor het opsporen van criminelen.

Gevallen waarbij bestaande technologie geleidelijk aan voor andere doeleinden wordt ingezet dan oorspronkelijk bedoeld, heet function creep.

Zullen de tijdelijke camera’s in Gent ook leiden tot een permanent toezicht van de binnenstad? Of zal het stadsbestuur op een bepaald moment toch de camera’s weer verwijderen (zoals net gebeurde in de Gentse wijk de Brugse Poort).

‘Function creep’: een onweerstaanbare verleiding voor dataverzamelaars en -handelaars

Beeldherkenningssoftware geraakt meer ingeburgerd in de instrumenten van de overheid. Terwijl de klemtoon nu ligt op ‘crowd control’, zijn meer verregaandere toepassingen technisch mogelijk. In een interview met De Tijd zegt de CEO van Citymesh (het bedrijf dat het contract voor het installeren van de camera’s aan de Belgische kust gegund kreeg) dat het bedrijf in gesprek is met andere bedrijven over de implementatie van extra analyse-lagen in de software. Gezichtsherkenningssoftware is een mogelijkheid, maar op dit moment niet het doel.

Een gelijkaardige bezorgdheid leeft rond de contact-tracing-app die dit najaar waarschijnlijk in België wordt uitgerold. In een eerdere aanbeveling van het Kenniscentrum raadden we aan om op voorhand criteria te specificeren die aangeven dat een tijdelijke maatregel zijn doel bereikt heeft. Een publieke raadpleging van de werkgroep achter de Belgische corona-app, maakte duidelijk dat er een zeer strikt veiligheidsprotocol wordt gehanteerd met een helder bijhorend charter. Het Kenniscentrum formuleerde een reeks van opmerkingen bij de plannen, maar algemeen gesproken is de uitwerking solide. Niettemin blijft een aanzienlijk deel van de bevolking hier ook vrezen voor het ‘function creep’ mechanisme, waarbij de app in een verdere fase op een meer verregaande manier wordt ingezet.

(Het Kenniscentrum Data & Maatschappij zal in een volgende reeks blogposts de Europese afspraken en evoluties omtrent de contact-tracing-app verder belichten.)

It’s the data, stupid

Hoe komt het nu dat het mechanisme van ‘function creep’ zo vaak voorkomt? Dit heeft te maken met een kenmerk van data: eens die is verzameld (of de infrastructuur is opgezet om die te verzamelen), kan die in principe kosteloos worden gekopieerd en voor meerdere doeleinden worden ingezet. Data is een goedkope grondstof, in economische termen spreekt men van ‘Zero Marginal Cost’. Concreet: eens de camera’s geïnstalleerd zijn of de app is ontwikkeld en de gegevens beschikbaar zijn, is het heel verleidelijk om nieuwe toepassingen te vinden. Het heeft een beperkte kost en is relatief eenvoudig.

Dergelijk hergebruik is aantrekkelijk, maar zeker bij persoonsgegevens problematisch. We willen weten wat er met informatie over onze persoon gebeurt en willen daar ook graag controle over. De meeste privacy-schandalen gaan over onverwacht gebruik van persoonsgegevens, zoals Cambridge Analytica. Daarom is het wettelijk vastgelegd dat de persoonsgegevens alleen kunnen worden hergebruikt voor specifieke doeleinden, en moet dat voor elk nieuw doel opnieuw geëvalueerd worden.

De GDPR/AVG heeft de regels voor het gebruik van persoonsgegevens duidelijk vastgelegd: en de verantwoordelijkheid daarvoor ligt helemaal bij de dataverzamelaar. Alleen is er geen centraal overzicht van hoe die dataverzamelaars data verwerken. Die heeft geen aangifteplicht. Daarom is het als burger heel moeilijk om een zicht te krijgen op wat alle lokale besturen na de coronagolf met de camerabeelden en camera’s zelf zullen doen. Het zijn de gemeenten en steden zelf die een goed gebruik moeten garanderen, als dataverzamelaars. En dus zijn zij het die ons vertrouwen moeten winnen om gegevens te verzamelen.

De overheid als bewaker van onze privacy

Burgers zijn weinig bereid om hun data met overheden te delen om de verspreiding van het virus in te dammen, zo bleek uit onderzoek dat het Kenniscentrum Data & Maatschappij dit voorjaar uitvoerde. Dat wantrouwen heeft vermoedelijk te maken met een vrees bij de bevolking voor ‘function creep’. Ongevraagde functies, termijnen of doeleinden toevoegen aan toepassingen doet het wantrouwen in de overheid stijgen. Onderzoek toonde dit al eerder aan: als een overheid aan digitale toepassingen nieuwe doelen toevoegt, of het gebruikt verlengt, dan leidt dat tot een daling in vertrouwen in die overheid als dataverzamelaar.

Big tech bedrijven zoals Facebook maken zich vaak schuldig aan function creep. Zij maken vaak onder de radar aanpassingen en gaan geleidelijk aan steeds creatiever om met persoonsgegevens. Zolang er geen klachten komen, gaat het rustig verder. Een democratische overheid kan zo niet werken. Het vertrouwen in digitale oplossingen en de overheid is bovendien al laag. Bij privacy-ingrijpende coronamaatregelen, zoals het gebruik van camera’s of een app, zal de overheid moeten aantonen dat er geen sprake kan zijn van function creep. Indien hier geen aandacht aan wordt besteed, bestaat het risico dat burgers de technologie zullen proberen te omzeilen of zelfs helemaal links zullen laten liggen.

Hoe krijg je ‘function’ zonder ‘creep’?

Het komt er dus op aan voor de overheid om het vertrouwen van burgers te winnen en geen gebruik te maken van het mechanisme van de function creep. Wat zijn mogelijk stappen die een overheid hiertoe kan zetten? Een aantal strategieën:

• Kies voor de minst invasieve oplossing om een doelstelling te bereiken. Bv: als het gaat over het tellen van aantal passanten, dat kan ook zonder het gebruik van camera’s. Het kan verleidelijk zijn om camera’s die er al hangen hiervoor in te zetten, als het betekent dat de minder invasieve oplossing om extra infrastructuur vraag. Toch zou dit de voorkeur moeten krijgen.
• Wees transparant, bijvoorbeeld door een overzicht te geven waarvoor de vele camera’s om ons heen worden gebruikt. Dit kan door bij camera’s ter plaatse uitleg te geven of door een platform aan te bieden waarop inzage wordt gegeven wie wat met de gegevens doet. Een voorbeeld hiervan is PrivacyApp. Dit is een mobiele applicatie waarmee steden burgers kunnen informeren over de Smart City-toepassingen die actief gebruikt worden in de openbare ruimtes en wat hun functie is.
• Pas de bestaande strikte ‘need to know’-basis regelgeving toe en verschaf enkel toegang aan vooraf goedgekeurde personen of zelfs systemen (bv: bepaalde computers die enkel software/inloggegevens hebben die nodig is om toegang te krijgen.). Implementeer op deze systemen / voor deze data een logboek dat de toegang inventariseert.
• Geef privacy-invasieve oplossingen een duidelijke vervaldatum. In het geval van de coronamaatregelen: geef vooraf aan wanneer de contact-tracing-app zal verdwijnen of in welke situatie camera’s zullen worden verwijderd. De redenering dat het verlieslatend is om een camera te blijven gebruiken gaat in dit geval niet op.
• Consulteer je Data Protection Officer (DPO) om beter zicht te krijgen op wanneer je data wel en niet hergebruikt mag worden volgens de GDPR.
• Doe bij elke wijziging in de termijn of aard van je technologische oplossing opnieuw een beoordeling van het effect van verwerkingsactiviteiten op de bescherming van persoonsgegeven (een Data Protection Impact Assessment of DPIA).
• Betrek een burgerpanel in elke stap van het proces. Dit wil zeggen niet enkel ter controle van voorstellen, maar ook in de voorbereiding die leidt tot de voorstellen. Consulteer hen proactief, nog vóór nieuwe data of doelen worden toegevoegd. Een burgerpanel kan op verschillende manieren vorm krijgen en inspraak hebben, en kan permanent of tijdelijk van aard zijn.
• Stel een barometer op waarbij burgers al dan niet periodiek bevraagd wordt over technologie- en datagebruik. Een bekend voorbeeld hiervan is de Eurobarometer die het Europees Parlement op de hoogte houdt van de opvattingen van Europese burgers.