Het hele doen en denken van individuen wordt vastgelegd in digitale data. Die gegevens worden bewust en onbewust met een groot aantal partijen gedeeld. Dat levert veel voordelen op, maar brengt ook grote risico’s met zich mee. Zonder actie vanuit het bedrijfsleven, de overheid en het individu worden de grote digitale platforms steeds machtiger. Met de GDPR lijkt het individu de zeggenschap over de eigen data weliswaar terug te krijgen, de tools om echt de regie te kunnen pakken ontbreken vooralsnog. Een uitdaging die grote kansen schept.

Mensen delen elke dag ongelooflijk veel data. Bijvoorbeeld op het moment dat ze bij een kassa de pinpas bij een pinautomaat houden, of op een webshop het creditcardnummer en afleveradres invullen. Consumenten delen data bij het instelleren van een app op de smartphone, het intypen van een zoekterm op Google of het versturen van een berichtje via Whatsapp. Vaak hebben mensen er niet eens erg in dat ze data delen, bijvoorbeeld bij het liken van een post van een vriend op Facebook of het plaatsen van een filmpje op Instagram.

Kenmerk van het digitale tijdperk is dat steeds meer handelingen transacties worden. Elke vingerbeweging op de smartphone of tablet wordt ergens in de wereld opgepikt. Vrijwel altijd is dat noodzakelijk om via een app de gevraagde informatie of de juiste respons te geven. Met de opkomst van het internet of things dreigen ook alle andere activiteiten een transactie te worden. Een rondje hardlopen door het park? De Fitbit legt het vast. Loop je in de stad een restaurant binnen? Het wifi-netwerk detecteert het. Wie in de auto stapt voor een weekendje weg, heeft een ‘connected car’ die de route registreert. Het leven wordt steeds meer gedigitaliseerd. En de consument krijgt steeds mooiere en goedkopere diensten.

Betalen met data

De ruil is dat iedereen betaalt met data. Dat gaat ver. Het zijn niet alleen de contactgegevens, locatie en fysieke conditie die gedeeld worden. Mensen delen ook voorkeuren, interesses en meningen door zoekgedrag op internet, de likes op sociale media en de kledingstukken die tijdens het shoppen mee de paskamer in genomen worden. Al die data zijn zeer gewild. Ze verschaffen veel informatie over consumentengedrag in het algemeen, maar stellen bedrijven ook in staat om mensen gericht te benaderen met producten of diensten op maat. Kortom: individuele data en vervolgens aandacht voor adverteerders zijn veel geld waard. Maar wat geven mensen nu precies weg? En krijgt iedereen die deze producten of diensten niet langer nodig heeft zijn of haar data terug?

“Kenmerk van het digitale tijdperk is dat steeds meer handelingen transacties worden”

In de huidige economie heeft het delen van data nog een ander effect: de concentratie van macht bij enkele grote partijen. De digitale platforms die de meeste data verzamelen, beschikken over de beste mogelijkheden om hun producten en diensten nog verder te verbeteren. Dat leidt tot een nog grotere aantrekkingskracht in de markt en nog meer toegevoegde waarde voor gebruikers. Een zichzelf versterkend effect. Met andere woorden: ‘the winner takes it all’.
Neem als voorbeeld een platform als Airbnb. Hoe meer mensen woonruimte beschikbaar stellen, hoe aantrekkelijker het platform wordt voor mensen die tijdelijk woonruimte zoeken. Hoe meer mensen Airbnb raadplegen in hun zoektocht naar woonruimte, hoe aantrekkelijker het voor huizenbezitters wordt om hun aanbod op dit platform te plaatsen. Airbnb stelt de regels die vaak niet altijd helder zijn: wie komt er bovenaan te staan bij een zoekopdracht? Wanneer je niet snel genoeg reageert, dan kun je wegzakken. Omdat zowel huurders als verhuurders elkaar kunnen beoordelen, wordt de ‘lock-in’ steeds groter. Wie haalt het dan nog in zijn hoofd om de goede reviews op Airbnb achter te laten en over te stappen op een ander boekingsplatform?

Controle terug

De GDPR ofwel de Algemene verordening gegevensbescherming (AVG) biedt uitkomst. Deze Europese wetgeving die op 25 mei 2018 van kracht is gegaan, geeft het zeggenschap over de eigen data weer terug. Meer dan voorheen bepaalt het individu straks zelf welke data wel en niet wordt gedeeld. Iedereen heeft het recht om in te zien welke data een bedrijf of instituut heeft vastgelegd. Wie overstapt naar een ander platform of dienstverlener, mag die data meenemen. Wie geen diensten meer afneemt van partijen, heeft het recht om ‘vergeten’ te worden.

Wat betekent dat concreet? Niet zo heel veel. Bedrijven bieden nog steeds gratis producten en diensten aan in ruil voor data. Consumenten zullen weliswaar vaker de vraag krijgen om toestemming te geven voor het gebruik, maar die zal net zo eenvoudig worden gegeven. Anders is de dienst immers niet meer te gebruiken. Maar ook omdat mensen er niet of onvoldoende over (willen) nadenken. Digitale platforms als Google en Facebook zullen dus nog steeds gebruikersdata verkopen aan de hoogste bieder. Willen mensen dat die data verwijderd wordt? Dan zullen ze nog steeds zelf in actie moeten komen en heel veel moeite moeten doen.

Meer macht

Sterker nog: de grote digitale platforms zullen de kansen benutten om hun macht verder te vergroten. Bedrijven en instellingen die moeite hebben om aan GDPR te voldoen, kunnen een beroep doen op de diensten van de grote platforms zoals Facebook en Google. Steeds meer websites bieden mensen de mogelijkheid om in te loggen met hun Facebook- of LinkedIn-account. Het resultaat is dat deze digitale platforms nog meer data en nog meer macht krijgen. Mensen worden steeds afhankelijker van deze platforms om snel en gemakkelijk toegang te krijgen tot producten en diensten. Gemak dient immers de mens.’

“De burger krijgt de zeggenschap over zijn data terug, maar de tools daarvoor ontbreken”

In de markt ontstaan inmiddels nieuwe platforms die gaan helpen meer grip te krijgen op data. Dit doen ze door ‘met onze toestemming’ en ‘namens ons’ data op te vragen bij partijen waarmee zaken wordt gedaan, inclusief overheden. Vervolgens komen die gegevens onder beheer van het individu, maar wel weer in een nieuw platform dat actief aan deze data verdient. Uiteraard vloeit er een deel van de opbrengst naar de individuele gebruiker toe in de vorm van diensten, punten of geld. Dit zou ook moeten kunnen, maar zonder het moeten kopiëren van data van het ene platform van bedrijf of overheid naar een ander platform.

Beschikbaar bij de bron

Willen mensen daadwerkelijk de macht over hun data terug, dan is een fundamenteel andere aanpak nodig. Data delen betekent op dit moment data vermenigvuldigen en data verspreiden. Daarmee is per definitie de controle over de data kwijt. Wie wil dat partijen de verspreiding van data tegengaan of dat deze data vernietigd wordt, kan slechts hopen dat dit gebeurt. Een volledige garantie krijgt niemand. Dankzij de GDPR kan dat weliswaar wettelijk worden afgedwongen, maar het leed is dan vaak al geschied.

Laat de gegevens dus staan waar ze staan: bij de bron! Geef mensen zelf de macht om te bepalen wie wel en niet veilig toegang krijgt, ook al staan de gegevens bij een bedrijf of overheid. Wie toegang krijgt, mag data inzien op de momenten en op de voorwaarden die de eigenaar zelf bepaalt. Data delen wordt dan niets anders dan toegangsrechten op data beschikbaar stellen zonder ze onnodig te vermenigvuldigen en verspreiden. Het bedrijf of overheid geeft deze tool aan de gebruikers door dit in te bouwen in hun digitale diensten.

Digitale sleutelkastjes

Wat is daarvoor nodig? Een netwerk van digitale sleutelkastjes, één voor elk persoon of bedrijf. In het sleutelkastje hangen de sleutels waarmee andere partijen toegang krijgen tot de data van die persoon of dat bedrijf. De enige die de sleutel tot dat sleutelkastje heeft, is de eigenaar zelf. Alleen hij mag de sleutels tot de data verdelen, maar ze ook weer innemen.

Een dergelijke infrastructuur geeft mensen niet alleen meer regie in de digitale economie, maar vermindert ook de kans op misbruik van data. Hoe kleiner het aantal locaties waarop gegevens staan, hoe kleiner de kans dat deze in verkeerde handen valt. Data en de toegang daartoe worden uit elkaar getrokken. Hierdoor is er ineens meer ruimte voor kleinere platforms en kunnen gebruikers gemakkelijker actief zijn op meerdere platforms, omdat hun gegevens niet per definitie gemonopoliseerd kunnen worden door een klein aantal partijen die steeds machtiger worden hetgeen nieuwe initiatieven ontmoedigt.

Afsprakenstelsel

Hoe is een dergelijke infrastructuur te realiseren? Met een afsprakenstelsel voor identificatie, authenticatie en autorisatie, wat feitelijk standaardisatie betekent. Dat een dergelijk afsprakenstelsel kan functioneren in de business-to-businesswereld, blijkt in de logistiek. Onder de naam iSHARE is in deze sector samen met tientallen publieke en private partijen gewerkt aan afspraken voor een uniforme, simpele en gecontroleerde manier van data delen. Begin dit jaar hebben de eerste transacties op basis van iSHARE plaatsgevonden.

Waarom heeft juist de logistiek het initiatief genomen voor een dergelijk afsprakenstelsel? Omdat in deze sector behalve goederen ook veel data wordt uitgewisseld. Zonder die data zijn de goederen niets waard: niemand weet dan wat er in een doos of op een pallet staat, laat staan waar die heen moet of wanneer die aankomt. Door het delen van deze data te vereenvoudigen en te versnellen, verlopen logistieke processen efficiënter en effectiever. Dat is harde noodzaak, zeker met het oog op het klimaatakkoord van Parijs. Om de doelstellingen te halen, zal de efficiëntie met een factor zes moeten worden verbeterd.

Drempelloos delen

Wat is het grote voordeel van een afsprakenstelsel zoals iSHARE? Dat het mogelijk is om data te delen tussen partijen die elkaar voorheen nog niet kenden. Een afsprakenstelsel maakt het mogelijk om te identificeren wie de andere partij is, te controleren of die andere partij inderdaad die identiteit heeft en te waarborgen dat die partij alleen toegang heeft tot de gegevens die men met die partij wil delen. Met een uniform afsprakenstelsel hoeven deze partijen niet eerst bilaterale afspraken te maken over dit soort vraagstukken. Ze kunnen meteen zonder drempels, maar met vertrouwen starten met het delen van data. Een dergelijke opzet werkt net als betalen met de bankpas: niemand hoeft de winkelier persoonlijk te kennen om betaalgegevens te delen.

Wat in de logistieke sector kan, kan overal. In de zakelijke markt, maar ook binnen het privédomein van elke burger. Natuurlijk zitten daar allerlei juridische, technische, operationele en functionele haken en ogen aan vast, maar in de logistiek zijn daarover afspraken gemaakt die op papier zijn vastgelegd en in de praktijk zijn beproefd. Met andere woorden: niets hoeft het drempelloos data delen nog in de weg te staan.

Nieuw werkwoord

Wat zou een dergelijk afsprakenstelsel voor het individu kunnen betekenen? Dat iedereen op een veilige, betrouwbare en gecontroleerde wijze transacties kan afsluiten, zonder elke keer opnieuw alles te hoeven intypen. Ook ligt uniform vast wat partijen wel en niet met deze data doen. Net zoals vastligt hoe betalen, bellen of e-mail werkt. Mensen gaan dan ‘datadeelverzoeken’ ontvangen van websites, apps, apparaten, allemaal onder aansturing van onze medemens. Net zoals iedereen de laatste jaren iDEAL-betaalverzoeken ontvangt. Tevens houdt men overzicht over wie allemaal datadeeltoestemming heeft gegeven. Dat kan nu al bij Facebook, Twitter en Google. Maar straks ook bij de bank of het telecombedrijf.

Intrekken, aanpassen en updaten kan dan op één plaats, en niet op tientallen plekken zoals nu met de vele logins en wachtwoorden. Net zoals iedereen de afgelopen twintig jaar heeft leren e-mailen, sms-en, appen moet de komende twintig jaar het ‘datadelen’ worden geleerd. Een aantrekkelijker werkwoord moeten nog worden uitgevonden.

“Data delen betekent op dit moment data vermenigvuldigen en data verspreiden”

Dat afsprakenstelsels werken, bewijst het verleden. De gsm-standaard voor mobiele telefonie, de EAN-barcodes voor identificatie van artikelen, iDEAL voor het online betalingsverkeer, het TCP/IP-protocol voor internet: allemaal voorbeelden van succesvolle, breed geaccepteerde standaarden die verder gaan dan techniek alleen.

Tijd voor actie

De GDPR biedt mensen het recht om zelf te beschikken over hun eigen data, maar specificeert niet de daarvoor benodigde middelen. Nu deze wet van kracht is, is het moment aangebroken om ook het bijbehorende gereedschap te geven aan de partij die dat verdient: de eigenaar van de data. Overheid, wetenschap en bedrijfsleven zullen de handen ineen moeten slaan om het data delen voor nu en altijd goed te organiseren. Als het huidige momentum niet wordt benut, dan gaat een goede gelegenheid verloren om de burger meer vertrouwen in de digitale samenleving te geven. Daarmee ontbreekt een essentieel fundament onder de nieuwe economie.

Door Douwe Lycklama, founding partner, en Shikko Nijland, CEO & managing partner van Innopay.


Drempelloos data delen behoud van controle

Het kabinet wil de Nederlandse burgers in aanvulling op de Algemene Verordening Gegevensbescherming (AVG) nog meer regie over hun eigen data geven. In de Nederlandse Digitaliseringsstrategie staat dat nog deze kabinetsperiode daartoe afsprakenstelsels worden geformuleerd. Het hart van dergelijke afsprakenstelsel zijn afspraken over identificatie, authenticatie en autorisatie van mensen en bedrijven die data willen delen met anderen.

Een ‘soft’ infrastructuur op basis van afspraken geeft ons de tools in handen om drempelloos data te delen en tegelijkertijd de volledige controle over die data te behouden.

Download de whitepaper Drempelloos data delen behoud van controle.