Bendert Zevenbergen over Privacy Engineering, Privacy-by-Design en de waarde van privacy

Als een agentschap van het Amerikaanse ministerie van defensie (DARPA) met substantiële financiering (pdf) aan een vier-en-een-half jarig onderzoeksproject begint naar de technologische methodes om privacy op Internet te waarborgen, dan weet je dat er iets groots aan de hand is. Het doel van het nieuwe Brandeis project is in essentie een poging om privacy te waarborgen terwijl het nut van grote gegevensverzamelingen behouden blijft. Ambitieuze Big Data projecten in de gezondheidszorg, geautomatiseerde steden, transport, energievoorziening et cetera, projecten die – zoals de onderzoekers juist concluderen – niet mogelijk zouden zijn zonder sterke privacy bescherming kunnen met de juiste waarborgen verwezenlijkt worden.

De academische discipline die het meest blij word van een zulke aankondiging, wordt “Privacy Engineering” genoemd. Universitaire opleidingen, nieuwe carrièrepaden en onderzoeksgroepen verschijnen regelmatig en met een grote snelheid en hoeveelheid. De EU laat ook niet op zich wachten en heeft het Internet Privacy Engineering Netwerk (IPEN) opgezet, waarbij een aantal van de meest prominente privacy onderzoekers van Europa zijn aangesloten. IPEN deelt niet alleen kennis en middelen, maar het doel is ook eigen privacytools te ontwerpen om data bescherming op internet te waarborgen. het netwerk wordt ook niet voor niets door de Europese Toezichthouder voor Gegevensbescherming (EDPS) als eerste actiepunt in haar Strategie voor 2015 – 2019 genoemd. Daarnaast hebben zij een aantal interessante bijeenkomsten (pdf) en presentaties (video) gehouden, en bijgedragen aan het rapport “Privacy and Data Protection by Design – from policy to engineering” dat door het EU Agentschap voor Netwerk en Informatie Veiligheid (ENISA) is gepubliceerd.

Privacy Engineering bouwt voort op een lange reeks academische publicaties die datahongerige technologie proberen te rijmen met gevensbeschermingswetten en algemene privacy zorgen. Belangrijke publicaties zijn bijvoorbeeld Agrawal et al.’s “Hippocratic Databases” uit 2002, waar de schrijvers een voorstel doen voor het ontwerp van databanken die privacy risico’s minimaliseren. Experimenten met statistische databanken door middel van openbaarmakingmethodes zoals Differential Privacy werden onder andere door Cynthia Dwork in 2006 ontwikkeld (en verder uitgewerkt in 2014) en beloofden een balans te vinden tussen privacy risico’s en nutsbehoud van databanken. Seda Gürses, Carmela Troncoso, and Claudia Diaz geven een aantal uitstekende voorbeelden van technische maatregelen om privacy te behouden in hun publicatie “Engineering Privacy by Design” uit 2011, en bieden een goed overzicht in 2012 waarin zij technologieën koppelen aan bepaalde aspecten van informatie privacy theorie.

Privacy Engineering gaat hand in hand met het meer politieke buzzword “Privacy-by-Design”, zoals Ann Cavoukian aantoont in haar praktische advies “Privacy Engineering: Proactively Embedding Privacy, by Design.” Na haar lange en roemrijke carrière als de Privacy Commissioner van Ontario in Canada, waar zij een belangrijke voorvechter was voor het begrip Privacy-by-Design, is het begrip nog lang niet passé. Graag spreken wij iedereen over de toekomst van Privacy Engineering, Privacy-by-Design, en de waarde van privacy bij de Amsterdam Privacy Conference in Oktober!