Voor het internet leefde de gemiddelde moderne mens doorgaans een vrij anoniem bestaan: naast je persoonlijke kring wisten maar weinig mensen – laat staan bedrijven of overheden – wat je leuk vond, wat voor boeken je las, hoe je dag er uitzag, wie je vrienden waren en wanneer je hen sprak of zag. Toen kwam het internet, vol met waanzinnige diensten en allemaal gratis, omdat de makers ervan een nieuwe grondstof konden aanboren: jouw naam, leeftijd, uiterlijk, interesses, achtergrond, opleiding en gedrag. Die data in de vorm van eentjes en nulletjes vormen samen een verdomd goed beeld van wie jij bent. Voor Google, Meta, Amazon, Apple, Microsoft, de grootste bedrijven op aarde, is dat goud waard. Maar hoe is dat voor jou?

Stel: ik ben een gemiddelde internetgebruiker. Ik googel wel eens wat, gebruik één of meerdere social media van Meta, kijk soms een YouTube-filmpje en shop wel eens bij Amazon. Wat weten deze bedrijven over mij?

“Het blijft altijd een beetje eng om te zeggen, maar ga maar uit van alles – in ieder geval heel veel. Ik zou zeggen: doe eens een experimentje thuis. Kijk eens wat er allemaal in je zoekgeschiedenis staat en wat je daarvan over jou zou kunnen leren. Misschien googel je wel eens op symptomen van ziektes, je mentale gezondheid, of je hobby’s. Daar kun je al best veel uit afleiden, want je zoekgeschiedenis gaat over bijna alles. Het gaat ook best ver, hoeveel je kan leren over iemand op basis van op het eerste gezicht onschuldige gegevens. Neem Google Maps bijvoorbeeld: als jij een route plant naar een gaybar, dan doe je dat, omdat je wil weten hoe je moet fietsen. Maar voor Google is het een datapoint. Er komt nog bij dat het niet alleen over jouw gegevens gaat, maar ook over mensen die op jou lijken. Zo ben ik 34, hoogopgeleid, gespecialiseerd in rechten, en zit ik een beetje in de IT en tech – als ik al die dingen over iemand weet, kan ik al best een goede inschatting maken van wat voor interesses iemand heeft, op basis van andere mensen die hetzelfde profiel hebben.”

Maak je je daar zorgen over?

“Het is niet zozeer de gegevensverzameling als een heel strak gedefinieerde dienst, waar ik me zorgen over maak. Het is vooral dat al die verschillende diensten allemaal bij elkaar in een bak komen, omdat ze door hetzelfde bedrijf ontwikkeld worden, en dat daar dan lessen uit getrokken worden. Het is echt het totaalpakket en daarom is het lastig om ervan af te komen. Stel dat je kiest voor een zoekmachine die meer gericht is op privacy, zoals DuckDuckGo, dan weten ze misschien iets minder, maar nog steeds weten ze heel veel van die andere apps die je gebruikt, waar je bijvoorbeeld inlogt met je Facebook of Google-account. Of je gebruikt de Chrome-browser of een Android-telefoon, ook allebei van Google.”

Waarom is het erg dat die bedrijven mijn data hebben, ik heb toch niks te verbergen?

“Of je dat vervelend vindt, moet je natuurlijk helemaal zelf weten. Over dat idee dat je niets te verbergen hebt, ben ik altijd wat sceptisch. Je hebt toch ook gordijnen voor de ramen? In mijn ervaring hecht iedereen wel waarde aan privacy. We hebben in Nederland ook het briefgeheim: de overheid mag niet zomaar alle brieven en e-mails openmaken. En dokters hebben geheimhoudingsplicht over hun patiënten, dat is ook een privacyrecht. In de context van het internet is privacy lastiger, want het is veel vager en een beetje ongrijpbaar. Toch vinden we het belangrijk. Dat zag je bijvoorbeeld bij het lek van medische gegevens in borstkankeronderzoek afgelopen augustus.”

“Google, Amazon, Meta en Microsoft verdienen heel veel geld met jouw data en in wezen dus met jouw identiteit. Hoe ethisch verantwoord je dat vindt, daar kun je over twisten. En wat gebeurt er bijvoorbeeld als Google die data niet goed beveiligd heeft en er vindt een grote hack plaats? Dat maakt je vatbaar voor cybercrime, identiteitsdiefstal, oplichting, phishing, dat soort dingen. Daarnaast – en dit is Nederland gelukkig nog niet aan de orde – kun je je afvragen wat er gebeurt als een overheid dat soort data gaat opvragen. In Amerika kan de overheid dat legaal doen. Op internetfora voor vrouwen werd gezegd: je moet geen apps gebruiken die je menstruatie bijhouden, want met data van die apps zou je er achter kunnen komen dat een zwangerschap is afgebroken. Abortus is een misdrijf in allerlei conservatieve Amerikaanse staten. Daar moeten we heel erg voor oppassen.”

Is er geen tussenweg? Wel de apps gebruiken, maar nee zeggen tegen de gegevensverzameling?

“Er bestaat inderdaad een tussenweg. Er zijn allerlei privacy-opties die je in of uit kan schakelen, maar die worden bewust weggestopt. Die moet je echt met een vergrootglas gaan zoeken, en dat doen maar heel weinig mensen.”

Om jou te helpen je eigen gegevens beter te beschermen is er de Algemene Verordening Gegevensbescherming, de AVG. Die stelt bijvoorbeeld dat online platforms eerst toestemming moeten vragen voordat ze je gegevens mogen opslaan, zodat jij een weloverwogen beslissing kan maken of je dat oké vindt. Dat doen ze door op te schrijven wat voor gegevens ze allemaal van jou willen verzamelen in de vorm van een privacy policy. Die accepteer je voordat je de dienst kan gebruiken. Hoe effectief dat is, valt te betwisten – iedereen heeft vast eens op ‘ja’ geklikt toen Google, Instagram, Facebook, Amazon of een willekeurige andere website netjes vroeg of ze je gegevens mochten opslaan. En wanneer heb jij voor het laatst een privacy policy gelezen en geweigerd? Bovendien worden de gegevens óók gebruikt om de dienst beter te laten werken voor jou: zo weet YouTube precies wat voor filmpjes jij leuk vindt.

Is de burger wel degene die de verantwoordelijkheid moet dragen om zijn eigen gegevens te beschermen?

“Dat vraag ik me sterk af. Dat is ook één van mijn kritiekpunten op de AVG, even los van het feit dat ik daar helemaal voor ben – AVG, fantastisch ding. Maar er zitten wel bepaalde ideeën ingebakken die tegenwoordig niet meer opgaan. Zo gaat de AVG er bijvoorbeeld van uit dat jij altijd de privacy policy leest.”

Lees jij altijd de privacy policy? 

“Nee. Vaker dan de gemiddelde Nederlander, maar nog steeds niet altijd. Hier is ook wel eens onderzoek naar geweest, waarin ze bestudeerden hoeveel tijd iemand kwijt is aan het lezen van privacy policies als ze die allemaal zouden lezen, op basis van het gemiddelde aantal apps dat mensen gebruiken. Daar zou je dus onder de streep zo’n 200 tot 250 uur per jaar mee bezig zijn. Dat staat gelijk aan een volledige maand aan arbeid als je 8 uur per dag werkt. Dus dat is niet te doen. En zeker Big Tech-bedrijven stoppen heel veel info in hun privacybeleid, waardoor het nog moeilijker is te lezen. Ik kan bijvoorbeeld prima het privacybeleid van Zalando of Bol lezen. Dat is heel duidelijk: ze hebben mijn huisadres nodig, want ze moeten dat pakketje versturen en ze willen mijn bankgegevens hebben om de betaling te controleren. Dat snap ik. Als ik dat doortrek, wat wil Google van mij hebben? Alles. En waarom? Voor de verbetering van de Google-dienst. Het is ten eerste heel vaag en ondoorzichtig, en ten tweede een heel asymmetrische relatie: Big Tech heeft er meer aan dan jij.”

Veel Big Tech-bedrijven hebben waarschijnlijk al veel data van mij, zelfs als ik er nu mee stop. Is het al te laat voor mijn data?

“Het is nooit te laat. Artikel 17 van de AVG geeft iedereen het recht om vergeten te worden. Je kunt dus tegen Meta of Google via hun platform zeggen: ik wil dat je mij gewoon verwijdert. Maar ja, dan is je YouTube-feed ook opeens dramatisch.”

Doen ze dat dan ook echt?

“Dat weet je natuurlijk nooit zeker. Daar moet de Autoriteit Persoonsgegevens (AP) toezicht op houden. Sowieso is handhaving van privacywetgeving erg ingewikkeld. Boetes kunnen ook niet super hoog worden. Zeker als je Big Tech bent, en dus bij de grootste bedrijven ter wereld hoort, dan steek je die boetes van miljoenen of zelfs miljarden in je holle kies. Daarom wordt er nu gekeken of handhaving vanuit een mededingingsrechtelijk perspectief mogelijk is. Mededingingsrecht gaat over een gelijk speelveld creëren op de markt, zonder monopolie of kartelvorming. Big Tech-bedrijven hebben heel veel marktmacht, waar ze misbruik van kunnen maken, door bijvoorbeeld veel meer advertenties te laten zien. Dat is heel irritant, maar er is geen alternatief, want je zit toch al op YouTube. De Duitse mededingingsautoriteit (de Duitse Autoriteit Consument en Markt (ACM), red.) heeft een paar jaar geleden met de Duitse privacyautoriteit een rechtzaak tegen Meta gewonnen. Dat was echt een gamechanger. Bij mededingingsrecht kunnen boetes namelijk hoger zijn én heb je andere handhavingsmogelijkheden, bijvoorbeeld door tegen Google te zeggen: stoot YouTube maar af, zodat je minder macht krijgt op de markt. Zo ver is het nog niet, maar er liggen wel mogelijkheden.”