Opinie: Dataretentiewetsontwerp - Test before you invest!
31.05.2022
Er zijn twee wetsontwerpen in de maak die telecombedrijven en sociale media platformen verplichten om gegevens van specifieke groepen te verzamelen en aan ordediensten door te geven.
Apps zoals Signal zouden mogelijk illegaal worden en er is de vrees dat de fiscus kan meekijken. De voordelen voor veiligheid zijn duidelijk, de mogelijke nadelen vereisen nog meer werk. EDRi waarschuwt voor een intens emotioneel debat, dat voor de argeloze toeschouwer zal overkomen als een (valse) keuze tussen het indijken van online misbruik en het beschermen van de persoonlijke privacy.
We moeten dit debat voeren op basis van kennis van mogelijke voor- en nadelen in plaats van emotie en dat kan door dit wetsontwerp te testen. Als we willen blijven innoveren met wetgeving in innovatie, dan zullen we dit op een meer innovatieve manier moeten doen; met bespreekbare en testbare prototypes. Het toetsen van beleid aan de praktijk kan gebeuren door middel van Policy Prototyping. Prototyping als methode is al helemaal ingebed in innovatie maar nog niet in ICT-beleid.
Situatie
Door een eerder arrest hebben ordediensten op dit moment geen wettelijk kader meer om persoonsgegevens te laten verzamelen door telecombedrijven en sociale mediaplatformen. Dit arrest maakte een einde aan het bijhouden van ‘metagegevens’ van hun gebruikers (dus: wie communiceerde wanneer met wie, zonder de exacte inhoud van de communicatie te weten)?
Het Belgische ontwerp gaat in op een mogelijke uitweg beschreven in dat arrest. Aangezien verzameling van metagegevens niet meer kan, zullen bedrijven voortaan alleen doelgericht gegevens bijhouden op vraag van politiediensten. Deze gegevens worden verzameld als er een redelijk vermoeden is, of wanneer een criminele activiteit in een ruimte kan worden afgebakend. Het ontwerp vraagt twee zaken; bedrijven zullen een aantal metagegevens moeten bijhouden en wanneer ze dit doen, moet dit op een manier die AvG-conform is.
De voordelen op korte termijn zijn duidelijk en overtuigend: het is immers, zoals EDRi aanhaalt, moeilijk om tegen maatregelen te zijn die pedofilie of terrorisme bestrijden. Wat dit voorstel doet op lange termijn is echter veel minder duidelijk en net daar wringt het schoentje. Hoe beïnvloedt dit voorstel bedrijven die aan dataminimalisatie doen, werkt dit datahergebruik in de hand en zijn er haalbare manieren om achterpoorten te installeren?
Signal verzamelt de gevraagde metagegevens niet. Dit wil zeggen dat ze hun eigen encryptie zullen moeten voorzien van een achterpoort opdat ze in specifieke gevallen gegevens zullen kunnen bijhouden. De vraag is of dit model voor Signal nog wel geloofwaardig is als ze hun eigen encryptie moeten opheffen op politiebevel. Een tweede probleem is dat zo’n achterpoort de totale sterkte van een versleuteling verlaagt.
Eén van de verdiensten van Signal is dat ze encryptie en dataminimalisatie mainstream hebben gemaakt; WhatsApp van Meta doet het nu ook. SOLID en het Datanutsbedrijf werken met een gelijkaardig principe; gegevens worden opgeslagen en doorgegeven op een need-to-know basis. Dit wetsvoorstel zet initiatieven die aan dataminimalisatie doen onder druk. Het is noodzakelijk om te onderzoeken of we de voordelen van het ontwerp kunnen bewaren zonder deze privacy-vriendelijke initiatieven te ondermijnen.
Hoe doe je aan policy prototyping? Je kiest een stuk voorgestelde wetgeving en behandelt dit als een prototype. Dit wil zeggen dat je het voorstelt aan belanghebbenden die er in de toekomst mee te maken zullen hebben. In plaats van deze partijen de tekst te laten lezen maak je er een vragenlijst of methode van die gebruikt zou kunnen worden als het wetsontwerp al geïmplementeerd zou zijn. Vervolgens laat je belanghebbenden je prototype-vragenlijst gebruiken. Dat wil zeggen dat je doet alsof de wetgeving al geïmplementeerd is en de vragenlijst gebruikt om bijvoorbeeld een eerste compliance check te doen. Met het Kenniscentrum hebben we al geëxperimenteerd met een vragenlijst om te determineren of je huidige AI-applicatie in de verboden of hoog risico categorie valt van de AI Act. Het doel is om feedback te verzamelen die concreter is en aangeeft waar een ontwerp nog onduidelijk is.
Zorgt dit voorstel voor meer datahergebruik en werkt het beter voor bedrijven waar al veel data wordt hergebruikt? Deze nieuwe verplichting is eenvoudiger voor een dominant platform zoals WhatsApp dat deze kosten kan betalen door data te hergebruiken voor advertenties. Wat nog meer is, het moederbedrijf Meta heeft dataminimalisatie niet als unique selling point in tegenstelling tot Signal. Dus zou dit ontwerp de positie van Meta nog meer versterken en kleinere spelers nog minder kansen geven?
Het werk van telecombedrijven en sociale mediatoepassingen zal uitdagender worden omdat ze nu moedwillig een achterpoort moeten installeren. Deze zwakke schakel zullen ze op zo’n manier moeten beveiligen dat zo min mogelijk niet-criminelen of niet-slachtoffers een gevaar lopen dat hun privacy geschonden wordt. Het klinkt mooi op papier, maar het is nog helemaal niet duidelijk hoe dit moet gebeuren. Ook hier zou onderzocht moeten worden wat Belgische en niet-Belgische bedrijven voorstellen en of dit haalbaar en wenselijk is.
Wat moeten we dan doen?
Als we willen blijven innoveren met wetgeving in innovatie, dan zullen we dit op een meer innovatieve manier moeten doen; met bespreekbare en testbare prototypes. Met policy prototyping maak je een prototype van een wetgeving als startpunt. Dit gebruik je om te testen of het prototype wel werkt samen met stakeholders die er een gevolg van ondervinden. Los van deze methode zou het al helpen om bij nieuwe ontwerpen te vragen om meer aandacht voor de gevolgen van een juridische ingreep op lange termijn.
Met dit wetsontwerp zijn de voordelen op korte termijn duidelijk, maar de haalbaarheid en de nadelen zijn dit nog niet. Het debat wordt hierbij snel emotioneel waardoor het een discussie over 1 dilemma zal worden: vertrouwelijkheid en privacy of veiligheid? Je krijgt twee kampen en consensus vinden wordt moeilijk. Dit soort discussies zijn jammer want het gaat niet meer over de voorwaarden waarbinnen dit wetsontwerp wel nog zou kunnen of welke nadelen we moeten vrijwaren.
Auteur
Coördinator Kenniscentrum
Photo by Immo Wegmann on Unsplash