Bart Jacobs is hoogleraar Security, Privacy en Identity aan de Radboud Universiteit (RU) en won in oktober de Stevinsprijs voor zijn werk. Hij maakt zich sterk voor privacy in de digitale wereld, ook op onze eigen universiteit. ‘Nederlandse universiteiten zijn direct op hun rug gaan liggen voor grote technologiebedrijven.’
De hoogleraar verschijnt op passende wijze in beeld, namelijk via een geauthenticeerde videoverbinding, waardoor je zeker weet met wie je belt. Hij is niet bang dat hij wordt gehackt, maar hij licht toe: ‘Strikt genomen kennen wij elkaar niet en had je een of andere grappenmaker kunnen zijn.’ Zijn voorzichtigheid sluit naadloos aan bij zijn expertise op het gebied van digitale identiteit.
In het begin van zijn carrière richtte Jacobs zijn onderzoek meer op het oplossen van technische vraagstukken rondom gegevensbescherming. Jacobs vertelt dat hij zich later pas ging bezighouden met de maatschappelijke discussie omtrent privacy. Dat deed Jacobs zowel in zijn onderzoek als door het bekleden van verschillende nevenfuncties. Het belang dat zijn werk heeft gehad voor de samenleving leverde hem de Stevinprijs op, een van de hoogste onderscheidingen in de wetenschap. Jacobs is kritisch over de impact van grote technologiebedrijven op de samenleving en hij waarschuwt voor de gevaren van het uit handen geven van onze data aan grote technologiebedrijven als Facebook. Ook binnen zijn eigen universiteit uit hij zich kritisch over de onomkeerbaarheid van de overstap naar Microsoft. Wat beweegt hem in zijn onderzoek en maatschappelijke betrokkenheid op het gebied van privacybescherming?
Digitale identiteit
Je staat er misschien niet bij stil als je inlogt met je Facebook of Googleaccount op een andere website, maar privacywaakhond Jacobs zou je aanraden hier wel twee keer over na te denken. Met een serieuze toon verkondigt hij waarom hij bezwaar maakt tegen deze manier van inloggen. ‘Facebook kan zien welke websites een persoon bezoekt. Zo krijgt dit bedrijf bakken met gegevens over jou om een digitaal profiel op te bouwen. Vervolgens kan Facebook jou op zijn eigen sites doelgerichter manipuleren met bijvoorbeeld advertenties’, licht de hoogleraar zorgelijk toe. Doordat het niet echt transparant is wat er met je gegevens gebeurt zodra jij ze uit handen geeft, kan je moeilijk jouw eigen privacy bewaken. Jacobs is überhaupt sceptisch over hoe inloggen op dit moment werkt wat privacy betreft. Als je namelijk een specifiek account gebruikt voor die website kunnen Facebook en Google niet zien dat jij er bent geweest. Wel slaat het bedrijf achter de website de gegevens van jouw account op in een database en vaak moet je volgens de hoogleraar veel meer gegevens aan een bedrijf geven dan noodzakelijk is. De omgang met online gegevensverzameling is volgens Jacobs dus erg privacygevoelig. ‘Daarom vind ik het belangrijk dat er bij het ontwerpen van digitale omgevingen wordt nagedacht over de gevolgen voor de privacy van de gebruiker.’
Het is dan ook geen verrassing dat de hoogleraar onderzoek doet naar alternatieve manieren om in te loggen. Om de gegevens van mensen beter te beschermen en de grote technologiebedrijven als Google en Facebook in macht te beperken heeft hij een technologie ontwikkeld. ‘Hiermee geef je niet alle informatie van jezelf aan een bedrijf maar alleen wat in die context relevant is,’ legt de hoogleraar uit. In zijn eigen ontwikkelde app genaamd IRMA (I Reveal My Attributes), maakt hij gebruik van deze technologie. Om te verduidelijken hoe attribuut-gebaseerd inloggen werkt, geeft Jacobs het voorbeeld van een videogame met minimale leeftijdsgrens: ‘Bij deze manier van inloggen laat je alleen het gegeven dat jij achttien jaar oud bent als informatie van jezelf zien om toegang te krijgen tot de game.
De makers van de game hebben dan geen database meer nodig met overbodige informatie, zoals je geslacht.’ Jacobs probeert met zijn wiskundige achtergrond te onderzoeken op welke manier de gegevens zo versleuteld kunnen worden dat de game ze niet kan zien, maar er wel op kan vertrouwen dat de leeftijd correct is. ‘Je beschermt de privacy van mensen door ze controle te geven over welke gegevens zij vrij willen geven,’ concludeert Jacobs.
Tech-kolonialisme
Niet alleen de individuele gebruiker moet worden beschermd. Jacobs bepleit in het debat over privacy ook dat we op politiek niveau moeten waken voor kwaadwillende digitale machten. Volgens hem wordt de macht achter de technologie namelijk een steeds belangrijker geopolitiek thema, met name in Europa: ‘Er wordt ook wel gesproken van tech-kolonialisme.’ De hoogleraar vertelt teleurgesteld dat er geen grote Europese digitale platformen zijn. ‘Ik vind dat we in Europa onze eigen technologie moeten ontwikkelen en niet moeten overnemen wat ze in de Verenigde Staten of China hebben bedacht’, stelt Jacobs. Volgens hem is het belangrijk dat we onze eigen privacystandaarden kunnen aanhouden en niet afhankelijk zijn van de wetgeving in die landen. Jacobs duidt het probleem: ‘Ongeveer negentig procent van alle Europese data, waaronder ook gevoelige gegevens, staat opgeslagen op Amerikaanse servers.’ Met het oog op de politieke instabiliteit in dat land voegt hij daar spottend aan toe: ‘Dat geeft toch een klein beetje een ongemakkelijk gevoel.’
‘Door de softwareoverstap heeft een partij uit de Verenigde Staten gegevens van de universiteit in handen.’
Zuchtend vertelt hij dat ook de RU zich slachtoffer heeft laten maken van de Amerikaanse digitale macht. ‘Door de softwareoverstap naar Office 365 heeft een grote partij uit de Verenigde Staten in een klap talloze gegevens van de universiteit in handen,’ merkt hij teleurgesteld op. Jacobs stelt dat er gevaar op de loer ligt: ‘In het geval dat een Amerikaanse president bepaalt dat Amerikaanse IT-bedrijven geen Iraanse persoonsgegevens zouden mogen verwerken, dan zijn Iraanse studenten opeens niet meer welkom aan onze universiteit. Zonder dat we daar enige zeggenschap over hebben.’ Klaarblijkelijk is Microsoft niet het enige probleem, ook ons mailsysteem mag aan buitenlandse inmenging geloven. ‘Het Amerikaanse bedrijf Proofpoint scant mails op verdachte links en krijgt daarmee toegang tot het interne berichtenverkeer op de RU.’ Jacobs is zeer bezorgd over deze ontwikkelingen: ‘De universiteit geeft door de overschakeling een bepaalde autonomie op.’
Aanwezigheidsplicht voor werkgevers
Naast de internationale verhoudingen, bekommert Jacobs zich ook om de privacy binnen de universiteit. ‘Op de universiteit verlopen steeds meer processen digitaal en daar komen allerlei extra gegevens bij kijken,’ vertelt hij. ‘Die gegevens zouden kunnen worden gebruikt. Als docent zou ik bijvoorbeeld na een paar weken een waarschuwing kunnen krijgen dat er studenten zijn die nooit of alleen ‘s nachts inloggen, wat mij erop kan wijzen dat er iets niet goed gaat met de student. Je kunt echter betwisten of het gebruik van deze gegevens relevant is voor het leerproces van de student’, suggereert Jacobs terecht. De hoogleraar vindt het belangrijk dat de universiteit zich bezighoudt met de gevaren voor privacyschending die digitalisering met zich meebrengt. Toch staan veel van deze gegevens nu bij private partijen, die daar dus middels hun bezit meer controle over hebben. Met moeite vertelt hij wat voor horrorscenario zich kan voordoen: ‘Zij kunnen er profielen van maken om door te verkopen aan toekomstige werkgevers.’ De hoogleraar voegt hier aan toe: ‘Werkgevers zien dan bijvoorbeeld dat jij iemand bent die het hele semester niks doet en vlak voor het tentamen gaat leren.’ Jacobs zou dit misbruik van de gegevens vinden en bovendien privacyschending. ‘Ik pleit voor het binnen de leeromgeving houden van studiegerelateerde gegevens, zodat die data niet bij werkgevers terecht komen.’
Publieke waarden
De verschillende horrorscenario’s waar de hoogleraar over vertelt, kunnen volgens hem allemaal worden voorkomen als er ‘publieke waarden’ in onze digitale systemen worden opgenomen. Afgelopen jaar bracht de hoogleraar met de Vereniging van Nederlandse Universiteiten een advies uit over hoe dit in het onderwijs mogelijk zou zijn. In het advies komen privacy, transparantie van achterliggende technieken en bescherming tegen misbruik en manipulatie naar voren als belangrijke publieke waarden. ‘Het is nou eenmaal moeilijk en duur om je eigen ICT-beheer te regelen. Voor grote partijen als Microsoft is dit makkelijker. Zij staan bovendien te trappelen om dit over te nemen’, geeft Jacobs als verklaring voor het gebrek aan waarborging van deze waarden in het onderwijs. De hoogleraar vindt daarom dat de verantwoordelijkheid van de besluiten meer zou moeten liggen bij het bestuur in plaats van bij de ICT-afdeling: ‘ICT’ers kijken juist naar de technisch gezien makkelijkste opties. Als je eenmaal met zo’n private partij in zee gaat kom je er echter vaak niet meer vanaf.’ Hij vervolgt: ‘Microsoft heeft er namelijk geen enkel belang bij dat hun systemen verenigbaar zijn met andere waarbij bijvoorbeeld de privacy meer wordt gewaarborgd,’ stelt Jacobs verontrust. De hoogleraar is daarom kritisch op alle Nederlandse universiteiten omdat zij volgens hem te weinig hebben geprobeerd om waarden zoals privacy te waarborgen. Hij verwijst naar ons buurland om te illustreren dat dit beter kan: ‘In Duitsland zijn de universiteiten veel actiever geweest, daar hebben ze een gezamenlijke cloudinfrastructuur opgezet.’
De Nederlandse universiteiten hebben te weinig geprobeerd hun privacy te waarborgen.
In Duitsland hebben universiteiten de keuze gemaakt om publieke waarden beter te waarborgen. Zelfs als politici en bestuurders deze vaak niet zien, wil Jacobs laten zien dat zo’n keuze er altijd is. Met de gewonnen Stevinpremie gaat hij samen met José van Dijck, hoogleraar op het gebied van de Digitale samenleving en winnaar van de Spinozaprijs, een digitaal sociaal platform creëren, waarbij privacy en transparantie het uitgangspunt zijn. ‘Mensen zouden via dit platform besloten groepen kunnen maken, van bijvoorbeeld een afdeling op de universiteit, waarin veilig gecommuniceerd kan worden zonder dat het op Amerikaanse servers staat,’ vertelt hij. Hij concludeert bezorgd maar hoopvol: ‘Als we autonomie over onze samenleving willen houden, moeten we keuzes maken en onze investeringen aanpassen.’
Dit artikel verscheen eerder in ANS-krant 4.