De toepassing van AI en algoritmes geven het veiligheidsbeleid een te technologisch karakter. In de Nacht van de Sociologie waarschuwt de Rotterdamse hoogleraar Digital Surveillance Marc Schuilenburg voor de risico’s hiervan voor publieke waarden.
Begin dit jaar verscheen zijn boek Making Surveillance Public: Why You Should Be More Woke About AI and Algorithms. Daarin citeert hij de Britse socioloog Anthony Giddens: surveillance is een van de vier institutionele ontwikkelingen van de moderne tijd - naast industrialisatie, kapitalistische economie en militaire macht.
In haar klassieke betekenis staat surveillance voor ‘het oog houden op’ en is volgens Schuilenburg geleidelijk veranderd in ‘zichtbaar en voorspelbaar maken’. Dat wil zeggen dat nu met AI en algoritmes grote hoeveelheden data worden verzameld, die vervolgens worden geanalyseerd en geïnterpreteerd binnen het kader van veiligheidsbeleid.
Een ander verschil met de klassieke surveillance is dat de dataverzameling, voor het grote publiek, zelf steeds onzichtbaarder wordt.
‘Doordat data steeds meer deel uitmaken van vernetwerkte datastromen, is surveillance vloeibaar en continu geworden. De digitalisering via AI en algoritmes komt daar nog eens overheen.’ en de inzet van AI en algoritmes bij (big data) policing, ofwel het veilig maken van de samenleving, heeft geleid tot een intensivering van omvang en diepgang van surveillance. ‘Surveillance graaft dieper dan ooit in het privéleven van burgers. Ze worden van alle kanten en door iedereen bekeken.’
Dat bekijken gebeurt overigens niet alleen door politie en gemeenten; maar ook naast (private techbedrijven), boven (EuroJust, Europol) en onder de politie, door burgers zélf.
Een van de partijen die steeds vaker en indringender de Nederlandse veiligheidszorg faciliteren, is Amazon. Ruim 1,2 miljoen Nederlandse huishoudens hebben er een digitale deurbel van: de Amazon Ring Bel. Gebruik van een digitale deurbel is allesbehalve onschuldig, zegt Schuilenburg. Integendeel, ‘het zet de verhoudingen en de grenzen tussen privé en publieke belangen op scherp’.
Zowel Amazon als de politie kan door de Amazon Ring Bel meekijken wat er gebeurt rond een woning. Is dat wenselijk? Om die vraag te beantwoorden, moeten we, stelt Schuilenburg, ‘publiek maken wat tot dan onzichtbaar is gebleven’.
Publiek maken is synoniem voor het zichtbaar maken van wat wij niet (meer) als surveillance zien of ervaren. ‘We moeten dieper nadenken over zelfsurveillance van burgers met luxeproducten als de Apple Watch en Fitbit, waarbij dataverzameling en analyse automatisch plaatsvinden.
Ook moeten we meer aandacht hebben voor algoritmes die werken op basis van machine learning (computers leren zelf hoe ze moeten leren zonder expliciet geprogrammeerd te worden, red.) en zelf een weg zoeken door de datastromen heen waarbij zij niet alleen zich onttrekken aan het zicht van buitenstaanders, maar ook door de gebruikers zelf niet meer worden begrepen of kunnen worden uitgelegd.’
Niet goed doordachte AI-toepassingen kunnen nare gevolgen hebben. ‘De bias en zelfversterkende effecten van een toegepaste technologie kunnen bijvoorbeeld leiden tot onnodig verscherpt politietoezicht op bepaalde buurten of groepen.’
Hoe kunnen de publieke waarden beschermd worden? Volgens Schuilenburg is het cruciaal dat we ‘meer stemmen betrekken bij AI-kwesties die burgers aangaan. Ook dat is publiek maken.’ Aansluitend daarop zou er meer aandacht moeten komen voor het feit dat techniek als een mal werkt. ‘Een model waarbinnen de kennis van bepaalde groepen, de coding elite in het bijzonder, de overhand heeft en die van andere groepen wordt vergeten of als niet waardevol wordt gezien.’
Onder de coding elite verstaat Schuilenburg ‘de groep van dataprofessionals die al in het ontwerp- en ontwikkelproces van AI en algoritmes belangrijke keuzes maakt. De expertise van deze elite bemoeilijkt strikte controle.’
Dit alles kan ertoe leiden dat deze elite handelt ‘zonder oog te hebben voor de eigen geprivilegieerde positie en zonder rekening te houden met eventueel ongewenste neveneffecten, waaronder discriminatie, privacyschending of andere risico’s die samenhangen met AI en algoritmes.’
Er is kortom sterke behoefte aan democratische oefening bij de ontwikkeling en toepassing van AI, aldus kan een stem worden gegeven aan de silenced voices van zwakke, kwetsbare of gemarginaliseerde groepen als jongeren en minderheden.’
Volgens Schuilenburg is het hoog tijd om afstand te nemen van het dominante denken over AI en algoritmes, waarbij ‘de veronderstelde technisch-economische voordelen prevaleren en sociologische aspecten als macht, kennis en ervaringen onderbelicht blijven.’
Hoe snel zeer grote hoeveelheden data kunnen worden verzameld en na analyse en interpretatie worden toegepast, blijven belangrijke maatstaven om AI en algoritmes in te zetten. De praktijk laat evenwel zien dat niet al het mogelijke wenselijk is. ‘Wat als er veel eenvoudigere en menselijkere oplossingen gewoon onder onze neus liggen?’ Schuilenburg pleit voor ‘een sociologie die zich actief mengt in het debat over AI en algoritmes, ‘ook en misschien wel vooral met inzichten die pijn doen en niet in de smaak vallen bij de politiek en de kapitaalkrachtige techbedrijven.’
Alles bij de bron; SocialeVraagstukken
De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.
Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity teveel niet noodzakelijk informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.
Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren.
Alles bij de bron; Tweakers
Volgens het FD jaagt de Autoriteit Persoonsgegevens (AP) op de drie grote dataverzamelaars Experian, Focum en EDR vanwege het stelselmatig schenden van de privacy van Nederlandse burgers.
Deze zogenaamde kredietinformatiebureaus creëren profielen van miljoenen consumenten in Nederland en verhandelen de enorme databases die ze daarmee opbouwen.
De kredietinformatiebureaus verkopen de profielen van miljoenen consumenten aan bedrijven die het betaalgedrag willen analyseren. Dit gebeurt zonder medeweten van de consument en kan leiden tot bijvoorbeeld het weigeren van een huurwoning of het afkeuren van aankopen op een webshop, legt Johan Leupen, onderzoeksjournalist bij het FD, uit.
Het is onbekend van hoeveel Nederlanders zulke profielen zijn opgesteld en verkocht. Volgens Leupen heeft de eigenaar van EDR, Guus Franken, gezegd dat 'alle Nederlanders in feite hun betaalgedrag daar opgeslagen hebben'.
Terwijl de AP nu 'duidelijk stelling heeft genomen om deze bedrijven op te rollen', vertelt Leupen dat de waakhond dit niet 'van de daken' kan schreeuwen. De betreffende bedrijven verzetten zich namelijk en proberen boetebesluiten bij de rechter tegen te houden. Ze proberen deze rechtszaken doelbewust 'afgesloten te houden voor buitenstaanders', uit vrees dat klanten zullen weglopen als dit openbaar wordt.
Alles bij de bron; BNR [met podcast]
De fraudeaanpak om te controleren of studenten misbruik maakten van de uitwonendenbeurs van de DUO was discriminerend en onrechtmatig, zegt de Autoriteit Persoonsgegevens.
DUO gebruikte voor de fraudeaanpak een algoritme met drie selectiecriteria: onderwijssoort, afstand en leeftijd. Een mbo-opleiding gaf een hogere risicoscore dan hbo of wo, schrijft de Autoriteit Persoonsgegevens, evenals een kortere afstand tussen het woonadres van de student en dat van de ouders, en een lagere leeftijd van de student.
DUO gebruikte deze risicoscore om, met een handmatige selectie, te bepalen wie een controle en huisbezoek kregen. "Naar schatting van de AP heeft DUO tussen 2013 en 2022 21.500 studenten geselecteerd en gecontroleerd op fraude, mede op basis van de berekeningen van het algoritme", schrijft de toezichthouder.
Om onderscheid te maken tussen mensen, moet er een onderbouwde, objectieve rechtvaardiging zijn, schrijft het AP. DUO had deze niet, stelt het AP. "Daardoor heeft DUO direct gediscrimineerd op basis van onderwijssoort, afstand en leeftijd."
Alles bij de bron; Tweakers
De Kamer van Koophandel gaat vanaf 25 september de telefoonnummers afschermen van alle ondernemers die zijn ingeschreven in het Handelsregister. De wijziging is doorgevoerd doordat ondernemers klaagden over ongewenste benadering door commerciële partijen.
Het afschermen van de telefoonnummers is een onderdeel van de Datavisie Handelsregister, een wijziging van het Handelsregisterbesluit en de Handelsregisterwet. Hiermee wil de KvK wel bepaalde gegevens, zoals vestigingsadressen, openbaar houden en tegelijk ook de privacy van ondernemers waarborgen.
Sinds vorig jaar kunnen zzp'ers ook makkelijker hun adres laten afschermen, maar dan moeten ze wel een alternatief postadres opgeven. Met de verkoop van het Adressenbestand Online, waarin de persoonlijke woonadressen van zzp'ers instonden, is de KvK in 2019 gestopt naar aanleiding van kritiek van de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Meta heeft AI-modellen getraind met data van Australische Facebook- en Instagram-gebruikers. Het bedrijf heeft enkel publieke posts van meerderjarige gebruikers gescraped en ging hiervoor terug tot in 2007. Er was geen opt-outmogelijkheid omdat dit niet wettelijk verplicht is.
Melinda Claybaugh, de global privacy director van Meta, gaf de praktijk toe tijdens een hoorzitting met Australische politici. Ze vertelde dat Meta heel wat data nodig heeft om zijn AI-modellen te trainen. Dankzij grote hoeveelheden data zouden de AI-modellen naar verluidt veiliger zijn en zouden er minder biases moeten optreden.
Het bedrijf gaat nu verder met publieke gegevens van Britse Facebook- en Instagramgebruikers, zo heeft het laten weten. Gebruikers moeten nog steeds actief bezwaar maken tegen het gebruik van hun gegevens, maar krijgen hier wel langer de tijd voor. Ook zou het proces vereenvoudigd zijn.
De Britse privacytoezichthouder ICO houdt de situatie naar eigen zeggen in de gaten en heeft geen toestemming voor de dataverwerking van Meta gegeven. ICO zegt dat het aan Meta is om aan wetgeving te voldoen.
Alles bij de bronnen; Tweakers & Security
De geestelijke gezondheidszorg is gebaseerd op het vertrouwen tussen patiënt en therapeut. Spreken met een therapeut is moeilijk genoeg, maar nu wil de overheid die privacy doorbreken.
Vanaf de zomer van 2023, 1 juli om precies te zijn, werden behandelaren in de geestelijke gezondheidszorg (ggz) verplicht om de zogenaamde Honos+-vragenlijst, die ze al een tijdje over hun patiënten moesten invullen, ook daadwerkelijk te delen met de Nederlandse Zorgautoriteit (NZa), de overheid, voor een periode van minstens één jaar. Dat betekende dat de intieme, medische gegevens van achthonderdduizend patiënten binnen de ggz – zonder hun toestemming – werden verzameld.
De dataverzameling is onderdeel van het zorgprestatiemodel, een nieuw bekostigingssysteem dat in 2022 in de ggz is ingevoerd, en draait om de manier waarop verzekeraars de behandelingen betalen.
Op de vragenlijsten, waarin de persoonlijke gegevens van patiënten niet geanonimiseerd maar gepseudonimiseerd worden, dus in potentie herleidbaar zijn, wordt vervolgens een algoritme losgelaten. Daar rollen dan verschillende ‘zorgtypes’ uit. Zo hopen zorgverzekeraars te voorspellen hoeveel zorg deze patiënten ongeveer nodig hebben en hoe duur ze zullen zijn.
Het is soms ongemakkelijk om te zien hoe vertegenwoordigers van de NZa fundamenteel anders naar de wereld kijken dan veel behandelaren en patiënten. Het medisch beroepsgeheim, dat de patiënt de garantie biedt dat wat hij in vertrouwen tegen de behandelaar vertelt de spreekkamer niet verlaat, wordt niet langer gezien als het fundament waarop de geestelijke gezondheidszorg is gebouwd, maar als een kleinigheidje dat kan worden opgeofferd om de zorg efficiënter in te richten.
Privacy, het opbouwen van een vertrouwensrelatie, het vragen van toestemming voor het verzamelen van persoonlijke gegevens: het techno-optimisme walst het plat. Om de maatschappij te verbeteren, moet er nu eenmaal een databank worden opgetuigd, informatie worden uitgewisseld. Dus hup, iedereen meedoen, niet zo flauw de hele tijd, jullie willen toch ook dat de wachtlijsten krimpen en zoveel mogelijk mensen worden geholpen?
Alles bij de bron; DeGroene
Uit een studie van de Universiteit van Bazel blijkt dat veel zogeheten intelligent speelgoed gedragsgegevens van kinderen verzamelt.
‘Intelligent’ speelgoed maakt het mogelijk om op een interactieve manier te spelen, dankzij software en internettoegang. ‘Maar het privéleven van kinderen verdient bijzondere aandacht’, zegt Julika Feldbusch, de hoofdauteur van de studie.
Ze geeft het voorbeeld van de Toniebox, een muziekspeler die populair is bij kinderen. Als er poppetjes op de box geplaatst wordt, begint die audioboeken te lezen. Maar uit de studie blijkt dat het toestel ook exact registreert op welk moment het geactiveerd wordt en met welk poppetje, wanneer het kind stopt of wanneer het voortgaat. Het speelgoed stuurt die data door naar de producent.
De wetenschappers stelden ook risico’s vast bij ander speelgoed. Zo is er de ‘Tiptoi’, een populaire speelgoedstift, waarbij dataverkeer niet op een veilige manier versleuteld is. Wel is het zo dat de stift niet registreert wanneer een kind hem gebruikt. De onderzoekers zeggen dat de fabrikanten van speelgoed meer belang moeten hechten aan privacy en aan de veiligheid van hun producten, in functie van hun jonge doelgroep. Ze pleiten voor een privacylabel.
Alles bij de bron; DataNews
Burgerrechtenbeweging EFF heeft toezichthouder FTC opgeroepen tot het doen van onderzoek naar de manier waarop autofabrikanten informatie over het rijgedrag en de locatie van de automobilisten verzamelen, gebruiken en doorverkopen. Aanleiding is een brief van de Amerikaanse senatoren Ron Wyden en Edward Markey waaruit blijkt dat Honda en Hyundai gegevens over het rijgedrag voor een paar cent per automobilist aan datahandelaren doorverkopen.
Volgens de EFF stellen voorstanders dat dergelijke dataverzameling een manier is om premiekortingen te krijgen, maar wordt zelden vermeld dat de premie omhoog kan gaan. De EFF merkt op dat de drie autofabrikanten in de brief van de senatoren (GM wilde geen details over de verkoop van rijgedrag geven) niet de enigen zijn die data zonder echte geldige toestemming verkopen.
"En het is waarschijnlijk dat er andere datahandelaren zijn die met dit soort data werken. De FTC zou deze industrie verder moeten onderzoeken, net zoals het heeft gedaan met andere industrieën die dataprivacy bedreigen", aldus de EFF.
Alles bij de bron; Security
Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken.
Privacy First heeft deelgenomen aan beide consultaties en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers.
DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek.
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.
Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.
Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.
Alles bij de bron; PrivacyFirst