In zijn nieuwste boek Privacy Is Hard and Seven Other Myths. Achieving Privacy through Careful Design bespreekt Jaap-Henk HoepmanJaap-Henk Hoepman is Universitair Hoofddocent bij de Digital Security groep van de Radboud Universiteit Nijmegen en de sectie IT-recht van de Rijksuniversiteit Groningen. Daarnaast is hij gasthoogleraar in de PRISEC – Privacy And Security groep aan de Universiteit van Karlstad, Zweden. acht hardnekkige mythes op het gebied van privacy en gegevensbescherming. De mythes die in het boek de revue passeren zullen de lezers van dit tijdschrift niet vreemd in de oren klinken. Het zijn stuk voor stuk mythes die je als je je (beroepsmatig) met privacy bezighoudt met enige regelmaat hoort. Zo gaat Hoepman bijvoorbeeld in op de mythe – de hardnekkigste, aldus Hoepman – dat je toch niets te verbergen hebt, of dat bepaalde verwerkingen geen kwaad zouden kunnen omdat er slechts metadata verwerkt worden. Interessant is dat Hoepman zich met dit boek juist uitdrukkelijk niet enkel op de doorgewinterde privacyprofessional richt, maar dat hij het boek met een breder publiek in gedachten geschreven heeft. Oorspronkelijk bedacht als studieboek wil Hoepman met dit boek voor programmeurs (in spe), maar bijvoorbeeld ook voor beleidsmakers, inzichtelijk maken hoe (on)bewust gemaakte keuzes een rol spelen bij privacy en de bescherming daarvan in ons dagelijks leven. De centrale gedachte in het boek is dat de architectuur van een systeem en de wijze waarop het systeem ontworpen is, fundamentele impact heeft op óf en hoe dat systeem onze privacy respecteert en beschermt of niet. Deze gedachte sluit aan bij eerder werk van de auteur, namelijk het boek Privacyontwerpstrategieën, ook wel bekend als het Het Blauwe Boekje.Jaap-Henk Hoepman, Privacyontwerpstrategieën (Het Blauwe Boekje), mei 2018, online beschikbaar via: cs.ru.nl/~jhh/publications/pds-boekje.pdf. Hiermee probeerde Hoepman eerder al vanuit een praktische insteek organisaties te helpen privacy by design concreet te maken en te implementeren.
Het boek heeft een logische structuur, waarbij Hoepman in elk hoofdstuk telkens één mythe behandelt en ontkracht. De hoofdstukken zijn telkens op een vergelijkbare manier opgebouwd. Veelal aan de hand van een concrete casus introduceert Hoepman eerst de mythe en zet hij de oorsprong en de problematische kanten daarvan uiteen. De voorbeelden die Hoepman aanhaalt zijn herkenbaar, aansprekend en vaak ook actueel. Zo wijst hij bijvoorbeeld op het verschijnsel dat je voor haast iedere online aanschaf of dienst verplicht een account vol persoonsgegevens aan moet maken en belicht hij de privacyaspecten van contact-tracingapps in het kader van de bestrijding van de COVID-19-pandemie. Vervolgens laat de auteur aan de hand van verschillende (technische) concepten en ontwerpstrategieën zien dat het vaak ook anders kan en dat (meer) privacyvriendelijke alternatieven voor handen zijn. Zo grijpt hij de eerdergenoemde mythe dat je toch niets te verbergen hebt aan om in te gaan op verschillende encryptietechnieken en uit te leggen hoe je databases zo kunt bouwen dat data juist wel hun vertrouwelijke karakter behouden.
Waar Hoepman naar mijn mening met dit boek in uitblinkt, is dat hij telkens op een knappe manier een link weet te leggen van een concrete casus naar de achterliggende theorieën en normatieve/juridische kaders over privacy. Zo legt hij bijvoorbeeld overtuigend uit waarom de gedachte dat je niets te verbergen hebt, niet alleen problematisch is vanuit privacy als individueel grondrecht, maar bovenal ook vanuit maatschappelijk perspectief. Hij legt uit dat de mogelijkheid iets over jezelf te kunnen verbergen een randvoorwaarde is om de sociale relaties aan te kunnen gaan waarop een samenleving gebaseerd is. Daarmee toont zich dat dit boek inderdaad voor een breed publiek interessant is. Waar de privacyprofessional op een laagdrempelige en toegepaste manier wat leert over ingewikkelde technische concepten zoals, ik noem maar wat, polymorfe encryptie en statistical disclosure control, leert de programmeur over wat het recht op privacy precies is en wat bijvoorbeeld het verschil is tussen een hard en een soft privacy approach.
Het een na laatste hoofdstuk, waarin Hoepman de titelmythe privacy is hard behandelt, leest als een soort Greatest hits-hoofdstuk. Hoepman gaat daarin de ontwerptechnieken langs die hij eerder in het hiervoor genoemde Blauwe Boekje uit de doeken deed. Interessant is dat hij daarbij telkens teruggrijpt naar de eerdere hoofstukken uit het boek en duidelijk maakt hoe deze strategieën hun uitwerking vinden in de privacyvriendelijke alternatieven die hij daar behandelt.
Wat dit boek van Hoepman tot slot sterk maakt, is dat hij geen mogelijkheid onbenut laat om ook de nodige systeemkritiek te uiten, bijvoorbeeld waar het gaat om surveillance capitalism en technosolutionisme. Technologie ontwikkelt zich volgens Hoepman niet in isolatie en heeft op zichzelf geen eigen doel of bestemming, maar wordt telkens gevormd door de overtuigingen en agenda’s van de mensen die haar ontwikkelen. Wanneer er bijvoorbeeld vanuit privacyoverwegingen voor wordt gekozen om een verwerking lokaal op een apparaat van een gebruiker te laten plaatsvinden (bijvoorbeeld om advertenties te kunnen personaliseren), dan neemt dat de bezwaren die je bij het onderliggende verdienmodel kunt hebben nog niet weg. Naast systeemkritisch, toont Hoepman zich daarmee eigenlijk ook zelfkritisch door op de beperkingen van privacy by design-oplossingen te wijzen. Niet de oorzaken, maar de symptomen worden bestreden. In het laatste hoofdstuk roept Hoepman daarom op tot een bredere heroverweging. De computers, netwerken en systemen die we gebruiken zijn inmiddels alweer bijna 50 jaar oud en hoe we deze gebruiken en welke rol deze hebben in onze samenleving, is fundamenteel veranderd. Hoepman lijkt zichzelf daarmee al een onderwerp voor zijn volgende boek te geven.