Deze blog is eerder op 10 augustus 2016 gepubliceerd op datacentered.nl

Onlangs las ik een zeer inspirerend artikel/interview van Maurits Martijn over hoe de huidige privacy wetgeving hopeloos geërodeerd is en hard aan vernieuwing toe is. Hij sprak daarover met Bert-Jaap Koops van de Universiteit Tilburg. Professor Koops doet onderzoek naar de wisselwerking tussen technologie en recht en wil uitvinden hoe privacy wetgeving vernieuwd moet worden omdat het bestaande private en publieke recht steeds minder van toepassing is voor onze moderne digitale maatschappij.

Typologie van privacy
In een publicatie van het Tilburgse ‘Institute for Law, Technology and Society (TILT)’ wordt het onderzoek dat de groep deed, beschreven. Zij keken bij 9 landen hoe de constitutionele bescherming van privacy was ingericht en geordend: de US, Canada, de UK, Nederland, Duitsland, Italië, Tsjechië en Slovenië. Uit deze vergelijking vond men verschillende filosofieën en wijzen hoe privacy in het bestaande recht is gedefinieerd.

Daarnaast deed men onderzoek naar de verschillende typen privacy die men kon classificeren. Dit leidde tot een twee dimensionele structuur met enerzijds 8 basis typen privacy (bodily, intellectual, spatial, decisional, communicational, associational, proprietary and behavioral privacy) en daaroverheen het 9e type van informatie privacy dat de andere 8 typen in meer of mindere mate overlapt.

Privacy heeft dus verschillende verschijningsvormen en informatie privacy speelt overal een rol maar is niet generiek genoeg om elk aspect van privacy te (her-)definiëren. Daarnaast blijkt dat in de 9 onderzochte landen bescherming van privacy vaak een zelfde basis heeft maar zeker ook verschillende invullingen en interpretaties kent.

Juist vanuit die verschillende interpretaties die men heeft, kan een goede invulling worden ontwikkeld voor een nieuwe privacy-opzet in onze digitale maatschappij. Hierbij komt natuurlijk ook aan de orde hoe privacy grondwettelijk wordt beschermd. En welke bevoegdheden én grenzen aan opsporingsdiensten moeten worden gesteld in deze nieuwe digitale wereld.

Digitale huisvredebreuk
Het privacy-recht is hopeloos verouderd omdat dat vanuit het verleden was gebaseerd op de fysieke private of publieke ruimte. Kortom, in onze private ruimte zijn we beschermd en in de publieke ruimte feitelijk niet. In de publieke ruimte is de basis anonimiteit en openbaarheid en in je eigen huis ben je als individu beschermd. Dat was natuurlijk vroeger ook altijd de situatie. In alle wet- en regelgeving is deze basisindeling altijd het vertrekpunt geweest.

Zodra je thuis komt en de deur achter je dichttrekt, ben je door wet- en regelgeving goed beschermd. Als de politie je huis wil doorzoeken, hebben ze daar een huiszoekingsbevel voor nodig. Maar als je op de openbare weg bent, mag de politie je zonder meer staande houden, je identiteit opvragen, je fouilleren en de goederen die je bij je hebt onderzoeken. Dat geldt dus ook voor je mobiele telefoon.

‘A man’s phone is his castle.’ 
In het interview doet Bert-Jaap een mooie uitspraak. Hij stelt dat de oude zegswijze ‘my house is my castle’ vroeger inderdaad gold, thuis was je veilig en door de wet beschermd tegen invallen en ongewenst bezoek. Daar had je je boeken, je foto’s en je brieven. En je privacy. Allerhande privé zaken waren daar opgeborgen, van dagboeken tot agenda’s en van documenten tot telefoonnummers.

Maar in feite zijn al die privé zaken digitaal geworden en neem je ze mee in je mobiele telefoon. Dus je kunt stellen dat je telefoon je ‘mobiele’ kasteel is geworden waar dezelfde privacy voor zou moeten gelden als je huis. Edward Snowden vatte het recent mooi samen met de woorden: ‘We used to say a man’s home is his castle. Today a man’s phone is his castle.’

Erosie van privaat en publiek
Privacy is niet meer op te delen tussen privaat en publiek. In hoeverre zijn smartmeters al een inbreuk op je privacy? Met de komst van het slimme huis zal de privacy in je huis steeds minder worden door alle apparaten die je volgen en je gedrag zien en herkennen. Daarnaast zijn we in de publieke ruimte steeds minder anoniem. Onze telefoons worden gevolgd. Via wifi-tracking weten we wie waar is. Slimme camera’s met gezichtsherkenning weten wie wanneer waar is geweest. Kortom privaat en publiek zijn verouderde begrippen in de wereld van privacy.

Nu het onderscheid tussen privé- en publieke ruimte is geërodeerd en het onderscheid feitelijk betekenisloos is geworden, komt Bert-Jaap met een zeer interessante gedachte. Hij noemt het ‘huisrecht 2.0’, een nieuw soort privacybescherming die het onderscheid tussen private en publieke ruimte loslaat. Het ‘digitale huis’ is een metafoor en geen fysiek object meer: ‘Als het huisrecht het recht is om te bepalen wie er wel en wie er niet in jouw huis mag, dan kun je dat ook over de computer zeggen.’

Je virtuele digitale huis
In Italië bestaat inderdaad een huisrecht dat aangeeft dat de eigenaar van een huis mag bepalen wie er wel en wie er geen toegang toe heeft. Sommige Italiaanse juristen vinden al dat het dan ook niet meer gaat over jouw computer als fysiek apparaat, maar om de metafoor van computer als knooppunt in een netwerk van jouw digitale ruimte. Je smartphone, je email en je cloud-omgeving horen daar dan (dus) ook bij. Een hele interessante denkrichting.

Als onze wet- en regelgeving zou worden aangepast in die richting, geeft dat veel meer basis voor een goede privacy bescherming. Jij bent baas over je digitale huis met virtuele muren om jouw digitale data heen. En zoals Bart-Jaap zegt dat je daar dan het zogeheten ‘ius excludendi’ kunt uitoefenen: die wil ik binnen hebben en die niet.

Blockchain
Natuurlijk is wet- en regelgeving nooit 100% waterdicht, maar ‘huisrecht 2.0’ geeft een veel betere basis voor onze digitale maatschappij. En met de toepassing van blockchain techniek kunnen we onze data die we extra willen beschermen steeds beter beveiligen. Zie ook mijn vorige blog over multi cloud applicaties, waar we versleutelde bestanden verspreiden over een groot aantal computers. Als onverhoopt iemand een stukje data zou zien, heeft men er weinig aan, omdat het slechts een klein stukje onbegrijpelijke data zal blijken. Zolang men niet alle onderdelen én de sleutel in handen heeft, zal de inhoudelijke informatie onbeduidend zijn.

De ideeën over de nieuwe digitale privacy wetgeving samen met de komst van enerzijds gedistribueerde clouds en daarnaast op blockchain-techniek versleutelde data zullen ons de komende jaren weer (meer) eigenaar van onze data en content laten worden. Waarmee het ongewild mee kijken of hacken van onze informatie wordt voorkomen. Een hele opluchting . . .

Photo by Tobias Schmücker on Unsplash

———————   Translated by ChatGPT ——————

This blog was previously published on datacentered.nl on August 10, 2016.

‘A man’s phone is his castle.’

Recently I read a very inspiring article/interview by Maurits Martijn about how current privacy legislation has become hopelessly eroded and is badly in need of renewal. He discussed this with Bert-Jaap Koops of Tilburg University. Professor Koops researches the interaction between technology and law and aims to discover how privacy law must evolve, because existing private and public law is becoming less and less applicable to our modern digital society.

Typologies of privacy

In a publication by Tilburg’s Institute for Law, Technology and Society (TILT), the research conducted by the group is described. They examined how constitutional privacy protection is organized and defined in nine countries: the US, Canada, the UK, the Netherlands, Germany, Italy, the Czech Republic, and Slovenia. From this comparison, they identified several philosophies and approaches to how privacy is defined in existing legal systems.

They also examined different types of privacy that could be classified. This led to a two-dimensional structure with eight basic types of privacy (bodily, intellectual, spatial, decisional, communicational, associational, proprietary and behavioral privacy) and, overlaying them, a ninth type: informational privacy, which overlaps with the other eight to varying degrees.

Privacy therefore has different manifestations, and informational privacy plays a role everywhere, but is not generic enough to (re)define every aspect of privacy. In addition, the nine countries studied appear to share similar foundations for privacy protection, yet show significant differences in interpretation and implementation.

It is precisely from those different interpretations that a well-founded approach to a new privacy framework in our digital society can be developed. This naturally includes how privacy should be protected constitutionally, and what powers and limits must be imposed on investigative authorities in this new digital world.

Digital trespassing

Privacy law is hopelessly outdated because it was historically based on physical private and public space. In short: within our private space we are protected, and in the public space we are essentially not. In public space the default is anonymity and openness, while at home one is protected as an individual. That, of course, was always the situation in the past. This basic distinction has always been the starting point for legislation and regulation.

Once you arrive home and close the door behind you, you are well protected by law and regulation. If the police want to search your house, they need a warrant. But when you are out in public, the police may stop you, ask for identification, search you, and inspect the belongings you carry. This also applies to your mobile phone.

“A man’s phone is his castle.”

In the interview, Bert-Jaap makes a striking observation. He notes that the old saying “my house is my castle” used to hold true: at home you were safe and legally protected against intrusion and unwanted visitors. There you kept your books, photos, and letters. Your privacy. All kinds of private matters were stored there—diaries, calendars, documents, phone numbers.

But in fact all of these private items have become digital and we carry them with us on our mobile phones. So one could say that your phone has become your “mobile” castle, and the same privacy protections should apply to it as to your home. Edward Snowden summarized this beautifully: “We used to say a man’s home is his castle. Today a man’s phone is his castle.”

The erosion of private and public

Privacy can no longer be divided into private and public. To what extent are smart meters already an invasion of your privacy? With the rise of the smart home, privacy in the home will diminish as devices monitor and recognize your behavior. Meanwhile, we are becoming less anonymous in public space. Our phones are tracked. Through wifi-tracking we are located. Smart cameras with facial recognition know who was where and when. In short, private and public are outdated concepts in the context of privacy.

Now that the boundary between private and public space has eroded and effectively lost its meaning, Bert-Jaap presents a very interesting idea. He calls it “house right 2.0,” a new form of privacy protection that abandons the divide between private and public space. The “digital home” is a metaphor, no longer a physical object: “If house right is the right to determine who may and who may not enter your home, then you can say the same about your computer.”

Your virtual digital home

In Italy there indeed exists a concept of house right that states the owner of a house may decide who is allowed or denied access. Some Italian jurists already argue that this right no longer concerns the physical computer as a device, but rather the metaphor of the computer as a node within a network representing your digital space. Your smartphone, your email, and your cloud environment would therefore belong to it as well. A very interesting line of thought.

If our laws and regulations were adjusted in this direction, they would provide a much firmer foundation for effective privacy protection. You would be the sovereign of your digital home, with virtual walls around your digital data. And as Bert-Jaap notes, you could exercise the so-called ius excludendi: this person is allowed inside, that person is not.

Blockchain

Of course, legislation is never 100% watertight, but “house right 2.0” would provide a much better basis for our digital society. And through the application of blockchain technology, we can protect the data we want to safeguard even more effectively. See also my previous blog about multi-cloud applications, where encrypted files are distributed across a large number of computers. If someone were to access a portion of the data, it would be meaningless, because it would only be a small fragment of incomprehensible information. As long as not all components and the key are obtained, the underlying information remains insignificant.

The ideas surrounding new digital privacy legislation, combined with the emergence of distributed clouds and data encrypted through blockchain technology, will once again allow us to reclaim ownership of our data and content in the coming years. Unwanted access or hacking of our information will thereby be prevented. A great relief…