Tijd voor een metadata protection verordening
Interessante lectuur op de blog van Jaap-Henk Hoepman.
Bij het ontwerpen van informatiesystemen, smartphone apps, en dergelijke wordt privacy steeds belangrijker. In het ontwerp van de nieuwe Europese data protectie verordening wordt privacy by design zelfs verplicht gesteld. Dat is een lovenswaardig uitgangspunt, en zal op termijn hopelijk betekenen dat informatiesystemen in de toekomst verantwoorder met onze persoonlijk gegevens om zullen gaan.
Maar door te focussen op privacy by design verliezen we toch een belangrijk aspect uit het oog. Namelijk het feit dat privacy by design zich vooral richt op privacy bescherming binnen een organisatie, binnen één informatie verwerkend systeem. De globale infrastructuur, de netwerken en operating systemen waarvan die systemen gebruik maken, de pijlers waarop die systemen gebouwd worden dus, vallen buiten beschouwing. Het wordt nooit met zoveel woorden gezegd, maar eigenlijk beperkt privacy by design zich tot gewone data. Metadata wordt vaak buiten beschouwing gelaten.
En dat is een probleem. Metadata is soms nog gevoeliger dan gewone data. Immers metadata, gedragsgegevens in gewoon Nederlands, vertellen precies wat we doen en gedaan hebben. En wat we doen zegt veel over onze innerlijke drijfveren, wat we willen, waar we echt voor gaan. “Luister niet naar wat iemand zegt, maar kijk naar wat hij doet”. En infrastructuur creëert en verzamelt heel veel metadata, en is daarnaast ook nog eens zwak beveiligd.
Met al die metadata lekkende infrastructuur is het dweilen met de kraan open, en is het toepassen van privacy by design binnen organisaties voor applicaties, informatiesystemen en mobiele apps eigenlijk maar beperkt zinvol. Het wordt tijd om de infrastructuur zelf onder handen te nemen, privacy vriendelijk te maken. Door bijvoorbeeld privacy in standaarden standaard mee te nemen, en ze daarop streng te toetsen. Het wordt tijd dat af te dwingen. Het wordt tijd voor een metadata protection regulation.