Ten strijde tegen de datahonger van big tech
Apparaten als smartphones en laptops zijn onmisbaar in ons dagelijks leven. Met het gebruik hiervan delen we enorme hoeveelheden data, zoals foto's, persoonlijke informatie en locatiegegevens. Ondanks beschermende wetgeving hebben grote techbedrijven steeds meer macht over de manier waarop gegevens worden verzameld en verwerkt. TU Delft-onderzoekers Seda Gürses en Lilika Markatou werken aan het blootleggen van de praktijken van Big Tech en het ontwikkelen van nieuwe privacy protocollen en systemen om deze macht te beteugelen en gebruikers beter te beschermen.
Big brother is watching you. Deze leuze uit de dystopische roman 1984 van George Orwell uit de jaren 40 van de vorige eeuw is nog altijd actueel. Waar Orwell doelde op camerasystemen van overheden die burgers dag en nacht in de gaten houden, zijn het vandaag de dag vooral techbedrijven die in hun onstilbare honger naar data onze levens binnendringen via apparaten als smartphones, laptops en smartspeakers. De infrastructuur om deze data-verslindende diensten uit te voeren, is geconcentreerd in de handen van slechts een paar bedrijven, zegt Seda Gürses, onderzoeker computer science and privacy engineering aan de faculteit Techniek, Bestuur en Management (TBM). “Er zijn eigenlijk maar vier bedrijven die een immense controle over deze infrastructuur hebben: Amazon, Microsoft en Google voor clouds, en Google en Apple voor smartphones. Samen hebben zij enorme macht.”
Cloud als productieomgeving
Deze techbedrijven bieden clouddiensten niet alleen aan voor opslag van data, maar ook als productieomgeving. Gürses: “In deze omgeving gebruiken engineers en ontwikkelaars data om software te ontwikkelen of te verbeteren. Het probleem is dat hoe meer de omgeving hen ondersteunt bij het uitvoeren van hun taken, hoe minder de ontwikkelaars in staat zijn om zelf te beslissen hoe ze omgaan met de privacy van gebruikersgegevens in het ontwerp. Om het werk van ontwikkelaars makkelijker te maken, neemt deze omgeving steeds vaker die beslissingen voor hen. Toen ik me dit een paar jaar geleden voor het eerst realiseerde, was dat een eyeopener. Ik zag hoe grote techbedrijven waren overgestapt van een businessmodel gebaseerd op het profileren van gebruikers voor gericht adverteren, naar het verkopen van een productieomgeving aan bedrijven en overheden. Deze bedrijven kunnen nu zelfs privacy maatregelen introduceren en dataverzameling minimaliseren om deze omgeving te verankeren.”
Protocol voor digitaal contactonderzoek met behoud privacy
Dit aspect van de macht van Big Tech werd voor Gürses openlijk zichtbaar tijdens de ontwikkeling van een privacyprotocol voor digitaal contactonderzoek tijdens de Covid-pandemie. “In tegenstelling tot de voorstellen voor digital contact tracing apps van startups, stond in ons protocol – DP3T – de privacy van individuen centraal. Digitaal contactonderzoek vereist dat je bijhoudt of je in contact bent geweest met een besmet persoon. De locatie van dat contact doet er niet toe en zou dan ook niet moeten worden vastgelegd. DP3T gebruikte dat uitgangspunt om de gegevensverzameling te minimaliseren tot enkel het meten van de nabijheid van andere telefoons; opgeslagen op de telefoon zelf. Dit zorgde er ook voor dat de applicatie nutteloos zou worden als mensen de app niet meer zouden gebruiken. Deze principes zouden idealiter moeten leiden tot een betere privacybescherming.”
Privacy in het voordeel van techbedrijven
Maar toen Google en Apple kozen voor dit protocol om gegevens te minimaliseren, gebeurde er iets dat niet enkel kan worden beschouwd als een overwinning voor de privacy, zegt Gürses. “De bedrijven waren enthousiast over het protocol, maar wel om andere redenen dan wij. Het gaf hen namelijk een plaats aan tafel bij beleidsmakers en de zorgsector. Omdat 99 procent van de telefoons draait op besturingssystemen van Google of Apple, sommeerden overheden die apps voor digitaal contactonderzoek wilden lanceren, Google en Apple als het ware aan de onderhandelingstafel. En Google en Apple kwamen. Ze gebruikten het privacybeschermende protocol om hun invloed te vergroten op het gebied van volksgezondheid. Dit was paradoxaal: door privacy engineering toe te passen beschermden deze bedrijven niet alleen de privacy van gebruikers, maar versterkten ze ook hun macht ten opzichte van overheden.”
Betere richtlijnen en systemen
De inzichten van Gürses vormen voor Lilika Markatou, assistant professor Cybersecurity bij de faculteit Elektrotechniek, Wiskunde en Informatica (EWI), nuttige context om te werken aan nieuwe richtlijnen en systemen. “Vanuit de grote techbedrijven hoeven we weinig te verwachten als het gaat om het beschermen van privacy van gebruikers. Dan is het zaak dat we beleid ontwikkelen en systemen ontwerpen die ervoor zorgen dat dat wel gebeurt. Denk aan nog strengere privacyprotocollen, maar ook nieuwe systemen, zoals versleutelde databases. Daar werk ik aan: systemen die het mogelijk maken data uit te wisselen zonder dat deze in handen kunnen komen van techbedrijven. De kunst is om deze systemen niet alleen te ontwikkelen, maar ook te integreren in de maatschappij. De meeste mensen vinden het nu nog prima dat hun data ergens in de cloud hangen. Ik hoop dat mensen zich meer bewust worden van de risico’s.”
Grote privacy risico’s
Achter het werken aan verbeterde privacysystemen zit voor Markatou dan ook meer dan een wetenschappelijke drive. “Ik vind het technische aspect heel interessant, maar het onderwerp zelf raakt me ook. Ik vind dat iedereen het recht heeft dat zijn of haar data privé zijn en dat we technologie op een veilige manier kunnen gebruiken. Het idee dat iemand mijn mails kan lezen of foto’s kan zien vind ik heel akelig. Het kunnen inzien van iemands data kan ook gewoon echt heel gevaarlijk zijn, bijvoorbeeld als het gaat om persoonsgegevens waarmee identiteitsfraude kan worden gepleegd. En het delen of lekken van informatie over iemands seksuele of politieke voorkeuren kan leiden tot enorme veiligheidsrisico’s.”
Momentopnames verbinden
Terwijl Markatou werkt aan deze innovaties, houdt Gürses zich bezig met het in kaart brengen van hoe big tech bedrijven werken aan nieuwe technologieën. En dat is best een opgave. Gürses: “De bedrijven zijn enorm en opereren het liefst in het donker, dus we moeten op allerlei manieren proberen te vast te leggen hoe ze te werk gaan en of ze zich houden aan wetgeving. We lezen bijvoorbeeld white papers die de bedrijven publiceren en de protocollen die ze gebruiken en checken of nieuwe tools en services voldoen aan privacywetgeving. Ook kijken we naar de historie: hoe gingen de bedrijven de afgelopen decennia te werk? Dit kan een indicatie geven voor de toekomst. Zo verzamelen we allemaal losse momentopnames die we met elkaar proberen te verbinden.”
Beleidsmakers en maatschappij informeren
Gürses vindt het haar plicht als wetenschapper om zowel beleidsmakers als de maatschappij te informeren over hoe techbedrijven te werk gaan. “Uiteindelijk is het aan de gebruiker om beslissingen te nemen, maar mensen moeten zich bewust zijn van de risico's. En dat zijn ze vaak niet, omdat het moeilijk is om te volgen en te beoordelen hoe deze reuzen zich ontwikkelen. Wanneer Google, Apple, Amazon of Microsoft nieuwe privacy technologieën lanceren, gaan we er vaak van uit dat dit een goede zaak is, vooral omdat ze een groot bereik kunnen hebben. Maar eigenlijk zouden er alarmbellen moeten afgaan als ze deze technologieën introduceren om hun macht verder te concentreren. Dat is wat mij drijft in mijn werk. Door te begrijpen hoe techbedrijven privacywetten en technologieën als instrument inzetten, heb ik geleerd om altijd verder te kijken dan wat bedrijven beweren te doen.”
Minder afhankelijk van grote techbedrijven
Ondanks de grote uitdagingen is Markatou hoopvol gestemd als het gaat om het vinden van oplossingen om de macht van de grote bedrijven in te dammen. “Het is een enorme opgave, omdat we in ons dagelijks leven nog steeds ontzettend afhankelijk zijn van deze bedrijven. Vraag een volle zaal wie er gebruik maakt van de services van Apple, Google, Amazon of Microsoft en iedereen steekt zijn hand op. Het vraagt om een heel ecosysteem van onderzoekers, beleidsmakers en de industrie om verandering in gang te zetten richting een wereld waarin onze privacy beter wordt gewaarborgd.”