Wanneer ik een lezing heb gegeven over Chinese apps en mobile payment, is de eerste vraag die uit de zaal komt altijd dezelfde: “Maar hoe zit dat dan met privacy?” Ik leg vervolgens uit dat in China privacy veel minder gevoelig ligt dan in het Westen. Tenminste… tot voor kort.
Ik hoop dat er geen Chinezen zijn die me het antwoord ernstig kwalijk nemen. Want dat overkwam Robin Li, de chief executive officer van Baidu, namelijk wel toen hij in maart iets vergelijkbaars zei: “Ik denk dat Chinezen meer open zijn en minder gevoelig met betrekking tot hun privacy. Als ze hun privacy moeten inleveren voor gemak, veiligheid of efficiency, doen ze dat in veel gevallen.”
Die opmerking zorgde voor nogal wat ophef onder Chinese internetgebruikers. Sina Weibo hield een poll over Li’s stelling en binnen enkele uren hadden meer dan 10.000 mensen gestemd: 86 procent van hen is het niet met Li eens. Nu kunnen Chinezen wel verontwaardigd zijn over de uitspraken van Robin Li, maar wat laat hun gedrag zien? Verschillende studies hebben de afgelopen jaren aangegeven dat de bezorgdheid om privacy-schending bij Chinese consumenten ver onder het wereldwijde gemiddelde ligt.
Volgens Luisa Tam van de South China Morning Post wordt het verschil in privacy-perceptie tussen ons en onder andere Chinezen veroorzaakt door cultuurverschillen. Wij hechten grote waarde aan individualisme en het al dan niet vrijgeven van privacy zou een manier zijn om onze relatie met anderen te beheren; het helpt ons om grenzen te bepalen. In het collectivisme van de Chinese cultuur zijn die persoonlijke ruimte en grenzen niet of nauwelijks aanwezig. Veel westerlingen die China bezoeken, zijn verbaasd door de persoonlijke vragen die ze krijgen over thema’s als inkomen, leeftijd en relaties.
Respect voor privacy is volgens Tam ook gebaseerd op vertrouwen. Aangezien vertrouwen nagenoeg ontbreekt in de Chinese samenleving wordt privacy vaak niet gegeven. Het Chinese woord voor privacy – yin si – betekent zelfs letterlijk ‘persoonlijke geheimen’. Dus kan nogal wat negatieve connotaties hebben.
Of Richard Li en ik nu gelijk hadden of niet, het is duidelijk dat de aandacht voor privacy aan het toenemen is in China. Opmerkelijk is daarbij dat men zich niet zozeer zorgen maakt over de data die de overheid verzamelen, maar vooral over wat de bedrijven allemaal met gegevens doen...
...Er is veel aan te merken op de streken van China’s internetbedrijven. Maar een organisatie die bekend staat om het verzamelen van persoonlijke gegevens is natuurlijk de Chinese overheid. In het verleden had elke burger in het overheidsarchief een dang an, een envelop met alle persoonlijke informatie, welke nu plaatsmaakt voor digitale alternatieven. In Xinjiang wordt door politie DNA verzameld en spyware op telefoons geïnstalleerd. Er zijn plannen om door het land meer dan 600 miljoen beveiligingscamera’s op te hangen. Internetbedrijven moeten, indien gevraagd, persoonlijke data delen met de overheid en zelfs Apple laat, om te voldoen aan China’s cybersecurity-wetgeving, data van Chinese iCloud-gebruikers opslaan op Chinese servers. En dan is er nog het veelbesproken sociale kredietsysteem.
Dezelfde Cyber Security-wet is echter ook een verbetering voor de bescherming van de privacy, aangezien het vereist dat dataverzameling legaal, gerechtvaardigd en noodzakelijk dient te zijn. De nieuwe regelgeving van dit jaar heeft daaraan toegevoegd dat dataverzameling minimaal en beperkt in tijd en gebruiksvormen dient te zijn. Nu zijn dit natuurlijk wel grenzen die met name van toepassing zijn op de private sector en minder op de overheid.
China heeft nog een lange weg te gaan, zowel inzake bescherming van de consument als met betrekking tot het besef bij diezelfde consument over de gevaren en manieren om zich te beschermen, maar er zit zeker beweging in.
Soms is het tijd voor een on-ironische verwijzing naar Big Brother uit de beroemde handleiding 1984. Want de nieuwe plannen van de Noorse regering zijn weinig minder dan de opmaat voor een Alziende Overheid.
Kennelijk heeft de Noorse overheid nu ook een onuitsprekelijke hekel aan privacy en het jagen op belastinggeld gaat verrassend goed samen met Spelen Met Des Burgers Privé.
Belasting heffen hoeft immers niet alleen door het tanken, autobezitters geld aftroggelen kan ook door alle auto's uit te rusten met GPS en ze te monitoren. Ingezonden brief op ZeroHedge:
'The Norwegian Data Protection Authority is now arguing that GPS based taxation, for the amount of kilometers driven by car, can be done within 5-6 years! Norwegians trust the government way too much, because they believe that this system will eliminate the need for road tax, fuel tax, toll roads and reduce the cost of car insurance. No way will the tax be reduced! GPS based taxation is a governments dream! Who is to stop them from issuing parking fees or speeding tickets?'
Het Handelsregister is een van de weinige basisregistraties in Nederland. Het kent veel persoonsgegevens die openbaar zijn. Dat deze data, zoals naam en adres van ondernemers van eenmanszaken openbaar zijn, staat op gespannen voet met de privacy. De privacyregels zijn juist door de implementatie van de Wet Algemene Verordening Gegevensbescherming (tools) in mei 2018 aangescherpt. Om de privacy te waarborgen zou de Handelsregisterwet ook hierop moeten worden aangepast.
Op 6 maart 2017 is het wetsvoorstel over de wijziging van de Handelsregisterwet 2007 echter al aan de Tweede Kamer aangeboden en de wet is nu in behandeling. Om dit proces niet te vertragen, stelt staatssecretaris Keijzer van Economische Zaken en Klimaat in een nota aan de Tweede Kamer (pdf) voor om de bescherming van privégegevens beter te regelen in een separaat wetsvoorstel. Daarin zal ook het advies van de Autoriteit Persoonsgegevens over verbeteringen in de Handelsregisterwet worden meegenomen.
Nadat vorige week gegevens van Duitse politici en beroemdheden op internet werden gepubliceerd, is de verontwaardiging groot. Veel adresgegevens, telefoonnummers en creditcardgegevens van Bondsdagleden werden openbaar, en in tientallen gevallen zelfs persoonlijke foto's en chatcommunicatie.
Opsporingsdiensten hebben een inval bij een 19-jarige man in Heilbronn gedaan, die als getuige is gehoord en zelf zegt contact te hebben gehad met de hacker. Een deel van de gegevens is al vanaf begin december via een twitteraccount online gezet, in de vorm van een adventskalender.
Elke dag ging één luikje open. Daarin verscheen telkens een nieuwe link naar persoonlijke informatie van bekende Duitsers. Het begon met de gegevens van journalisten, YouTubers en tv-figuren.
De climax volgde vlak voor Kerstmis met het openbaar maken van de woonadressen, e-mailadressen en de mobiele telefoonnummers van honderden parlementsleden en lokale politici. Van de CDU werden 410 politici getroffen, van coalitiepartner SPD 230. Die Linke zag de gegevens van 91 politici op het net gezwierd, liberale FDP 28.
Van de bondskanselier zelf werden onder meer een faxnummer, een e-mailadres en verschillende brieven op straat gegooid, maar geen politiek gevoelige informatie.Van andere slachtoffers werden ook de identiteitskaart- en kredietkaartgegevens verspreid. Op 28 december stopte het account met tweeten.
De hackaanval heeft ook een discussie losgemaakt over internetveiligheid. Zijn de wetten nog wel afdoende en de opsporingsdiensten voldoende toegerust voor het beveiligen van gevoelige data?
Om illegale migratie tegen te gaan zijn luchtvaartmaatschappijen verplicht om gegevens over passagiers aan de Koninklijke Marechaussee te verstrekken, maar deze data levert vooral veel waarschuwingen over verkeersovertreders op. Dat staat in een onderzoek van onderzoeksbureau Panteia naar het gebruik van passagiersgegevens voor de grenscontrole (pdf).
Luchtvaartmaatschappijen moeten aan de Marechaussee bepaalde gegevens verstrekken van alle passagiers en bemanningsleden die van buiten het Schengengebied en van buiten de Europese Unie naar Nederland vliegen. Het gaat dan om gegevens uit het reisdocument aangevuld met enkele gegevens over de vlucht en de boeking. Deze gegevens staan bekend als Advance Passenger Information (API).
Met de API-gegevens kan de Marechaussee kijken of iemand aan boord van een vlucht in verschillende opsporingsregisters voorkomt of op verschillende watchlists staat. Ook wordt er gekeken naar mensen die vanwege een combinatie van persoons- en vluchtgegevens matchen met een profiel. De screening die op deze manier plaatsvindt kan een match opleveren, die vervolgens wordt gevalideerd.
Het aantal alerts dat in 2017 betrekking had op illegale immigratie kwam uit op 421 passagiers (3,6 procent van alle alerts in dat jaar). In 120 gevallen werd een persoon de toegang tot Nederland geweigerd. In het eerste kwartaal van 2018 gaat het om 46 mensen. Zo'n 14 procent van de alerts in 2017 had betrekking op passagiers van wie het reisdocument als vermist of gestolen stond geregistreerd.
Cijfers van de Marechaussee laten zien dat een groot deel (38 procent) van de in totaal 11.000 alerts die in 2017 werden gegeven gaat over passagiers die gesignaleerd staan vanwege een verkeersboete (Mulderfeit). Het gaat dan om passagiers die na herhaalde betaalverzoeken nog steeds één of meerdere verkeersboetes niet hebben betaald.
De API-verplichting staat los van het PNR-wetsvoorstel dat vorig jaar aan de Tweede Kamer werd aangeboden. Dit wetsvoorstel verplicht luchtvaartmaatschappijen om Passenger Name Record (PNR) gegevens aan te leveren. PNR-gegevens bevatten informatie die luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en te controleren. Naast persoonsgegevens als naam en geboortedatum gaat het bijvoorbeeld ook om betalingsgegevens, reisgenoten, bagage en plek in het vliegtuig.
Winkeliers gebruiken een geautomatiseerd systeem dat prijzen per uur kan aanpassen. De grootste webwinkels in Nederland nemen die zogeheten dynamic pricing-diensten af van Omnia Retail. Omnia volgt voor hen de prijsontwikkeling via vergelijkingssites, als beslist.nl, Kieskeurig.nl, Tweakers.net en Hardware.info. Daarbij geeft Omnia ook de rangorde van de aanbiedingen door.
Antoine Brouwer introduceerde destijds bij MediaMarkt de digitale kaartjes die door prijsdata van Omnia werden gevoed. MediaMarkt was de daarmee eerste in Europa. Waar online prijzen per uur veranderen, gebeurt dat in de winkels na sluitingstijd. Bij Fonq bijvoorbeeld gebruiken ze Omnia om prijzen zes keer per dag te veranderen. Daarnaast ‘schraapt’ Fonq met spiders informatie over voorraden bij concurrenten bij elkaar...
...Om te kijken welke prijsstrategie het beste werkt, kunnen winkeliers groepen consumenten een verschillende aanbieding doen. Prijsdiscriminatie of personal pricing ligt echter gevoelig. De techniek is er, maar winkels zijn huiverig omdat consumenten zich snel gemanipuleerd voelen.
Amazon probeerde het tijdelijk in 2000 door kennelijk geïnteresseerde – want terugkerende – klanten een hogere prijs voor dvd’s te vragen. Als je de cookies weggooide die eerder bezoek hadden vastgelegd, zakte de prijs weer. Er zijn ook gevallen bekend waar sites andere prijzen bieden als je op een smartphone inlogt of vanaf een ander adres.
Hoewel klanten meestal negatief reageren, dringt personal pricing door in het dagelijks leven. De bonuskaart van Albert Heijn geeft klanten persoonlijke bonusaanbiedingen op producten die ze vaker kopen. Er zijn tankstations waar je ’s ochtends goedkoper kunt tanken dan ’s avonds en sportscholen die korting geven in de ochtend en ook de NS doet zoiets met reizigers in daluren.
Joost Poort en Frederik Zuiderveen Borgesius van de Universiteit van Amsterdam onderzochten vorig jaar in hoeverre de nieuwe Europese privacyregels prijsdiscriminatie toestaan. Als je persoonlijke gegevens – of het nu je IP-adres is of je postcode – gebruikt worden om prijzen te veranderen, moet de winkelier je daarvan op de hoogte stellen.
In nieuw onderzoek constateren ze dat consumenten minder moeite hebben met prijsdiscriminatie in de vorm van kortingen. Dat verklaart de populariteit van kortingcoupons waarmee webwinkels een persoonlijk tintje aan hun prijzen kunnen geven, zonder dat het zichtbaar is voor ‘buitenstaanders’.
Allemaal dezelfde bestemming, toch een andere prijs. Je vliegticket is het toppunt van dynamic pricing. Bijna elke passagier aan boord betaalt een ander bedrag voor hetzelfde product – een reis van A naar B.
In een gemiddelde economy-klasse zitten al snel vijf of zes tariefgroepen – al dan niet met extra’s als een voorkeurstoel, extra bagage of een maaltijd.
Het levert frustraties op bij het boeken van een vlucht. Je ziet de prijs snel veranderen, zonder duidelijke oorzaak. Passen ‘ze’ de tarieven aan terwijl je zit te surfen? Of omdat je zit te surfen? En waarom zie je op een andere computer vaak een andere prijs voor hetzelfde ticket?
Kredietbeoordelaars meten de financiële gezondheid van miljoenen Nederlanders en honderdduizenden bedrijven. Hun scores bepalen mede of je in aanmerking komt voor een telefoon- of energieabonnement, een lening, creditcard of hypotheek. Ook zodra je iets op afbetaling koopt, wordt voorspeld hoe groot de kans is dat je niet betaalt.
In de buitenwereld domineren negatieve verhalen over kredietbeoordelaars. Afgewezen worden is vervelend. Het beklemt dat instanties persoonlijke data verzamelen die op kritieke momenten tegen je gebruikt worden. Al los je een betaalachterstand op, de ‘negatieve registratie’ achtervolgt je nog vijf jaar. En fouten corrigeren duurt lang – waardoor mensen een hypotheek of droomhuis mis kunnen lopen.
De werkwijze van de kredietbeoordelaars verschilt. Hoe toetsen ze? Om te kijken welke formules ze toepassen, vroeg ik mijn gegevens op bij vier ervan – BKR, Experian, Focum en Dun & Bradstreet (voor bedrijven) – en ging op bezoek voor uitleg.
Een Duitse rechtszaak uit 2016 waarbij een online modewinkel veroordeeld werd omdat ze met het plaatsen van een facebook like button op hun site de EU Data Protection Directive, vorig jaar vervangen door de AVG, geschonden hadden leidt nu tot een Europees debat over mogelijke privacy schending door social media widgets. De modewinkel is met hulp van facebook in beroep gegaan tegen de uitspraak en de behandelende Duitse rechtbank heeft nu advies gevraagd aan het Europese Hof van Justitie in deze zaak. Daar wordt nu gedebatteerd of het verzamelen van gegevens als IP-adres en type browser door widgets als de like button in strijd is met de huidige AVG.
De vraag die daarbij met name beantwoord moet worden is wie er verantwoordelijk is voor het verzamelen van de betreffende data...
...De zaak heeft betrekking op de DPD van 1995 in de EU en niet op de AVG (GDPR), die er eerder dit jaar van kracht ging als opvolger van de wet uit 1995. De nieuwe AVG is wel gebaseerd op een aantal elementen van de DPD. De verwachting is dan ook dat de uitspraak of aanbevelingen van het Europese Hof van Justitie in deze Duitse beroepszaak van grote invloed zullen zijn op toekomstige uitspraken in vergelijkbare zaken. Een uitspraak van dit hof uit juni 2018 oordeelde al dat eigenaren van facebook fanpagina's samen met facebook zelf verantwoordelijk zijn voor de bescherming van gebruiksgegevens. Ze zijn ook verplicht om die gedeelde verantwoordelijkheid aan alle bezoekers, lid van facebook of niet, duidelijk te maken.
