Security gaat altijd boven privacy roept de een. Nee, het één kan juist niet zonder het ander, roept de ander. Zo draaien we al een paar jaar rondjes rond onze uitgangsstellingen. Het lijkt een discussie zonder einde.

Op de keper beschouwd is er helemaal géén tegenstelling tussen privacy en veiligheid, dus je kunt niet het één inleveren om het ander te krijgen. Het zijn sterk overlappende begrippen. In Orwell’s “1984”, dat synoniem geworden is met het verlies van privacy, zie je dat heel goed. Het boek heeft als onderwerp het verlies van waarheid, vrijheid en veiligheid in de totale dictatuur van ‘Big Brother’. Eén van de machtsmiddelen die Big Brother inzet is spionage tegen de eigen burgers. Het is echter bij lange na niet het belangrijkste middel van Big Brother: dat is de manipulatie door de taal, newspeak. En zoals het boek zeer duidelijk maakt; daar is geen ontsnappen aan. De hoofdpersoon houdt uiteindelijk van Big Brother. De burgers uit 1984 hebben helemaal geen behoefte aan privacy, ze hebben niets te verbergen omdat ze gehersenspoeld zijn. De schijntegenstelling tussen privacy en security is zélf een goed voorbeeld van Orwell’s hoofdthema; het besturen van de geest en het gedrag beïnvloeden door manipulatie met de taal.

Verdachtmakingen als van de ex-leefbare en tegenwoordige VVD-coryfee Teeven (“alleen slechteriken willen dingen in het geniep doen” en ex-PvdA minister Ter Horst met de schijnkeuze tussen privacy en security zijn hier een goed voorbeeld van. Deze daadkrachtverslaafde politici willen hun beleid erdoor hebben en tegenspraak moet van tafel, koste wat het kost. Het is een manipulatie waar we massaal in trappen – van Bruce Schneier tot Bits of Freedom. We zijn dus in goed gezelschap. Het gaat dit soort politici echter helemaal niet om veiligheid óf privacy; ze willen gewoon hun geurvlag zetten en hun zin doordrijven.

De enig terechte reactie op deze Haagse fratsen zou homerisch gelach zijn, maar dat is slechts weinigen gegeven. Daarvoor is deze mindfuck te effectief. Om te ontsnappen moeten we het verhaal helemaal duidelijk en helder hebben, en dan maar helemaal uit de doeken doen.

Veiligheid is een gevoel. Je voelt je veilig, of je voelt je niet veilig – dan voel je je bedreigd. Er is vast wel een correlatie met ‘objectieve’ veiligheid - de afwezigheid van een daadwerkelijke bedreiging - maar de mogelijkheid tot objectiviteit is niet hoog. Als er veel aandacht is voor een bepaald gevaar, dan zullen meer mensen bang zijn dan voor een gevaar waar niemand het over heeft. En gevaar waar je aan gewend raakt, zul je niet meer als zodanig ervaren. Suggestie en gewenning dus. Dat maakt het een ingewikkeld veld.

Nu is de één gevoeliger voor suggestie dan de ander, we zijn niet allemaal hypochonder. Dat kun je voor jezelf testen; lees een aantal artikelen over een bepaalde wazige ziekte, en je voelt je gelijk een stuk minder senang. Of begin op een verjaardagsfeestje over hoofdluis, en voor je het weet zitten diverse mensen op hun hoofd te krabben. En jij zelf ook. Bedenk dit de volgende keer als je ergens bang voor bent; relativeer en objectiveer. Veiligheid is immers van nature een zeer subjectief begrip, en daardoor ben je extra gevoelig voor manipulatie.

Privacy is volgens Wikipedia een ‘afweerrecht’, een recht om dingen niet te tonen of mee te maken. Privacy gaat daarom meestal over angst; zoals in de discussies rond de kilometerkastjes of slimme meters goed te lezen is: mensen denken dat wanneer de vastgelegde gegevens niet kloppen ze bestraft zullen worden voor iets wat ze feitelijk niet gedaan hebben. De suggestie van mogelijke fraude is daarom een zeer effectief propagandamiddel. O jee, voor je het weet betaal je te veel! Angst is niet objectief, en privacy dus ook niet. Zo wil je niet dat je baas weet wat je in je slaapkamer doet of in je wilde jeugd gedaan hebt. Daarbij maakt het weinig uit wat de baas er van vindt. Privacy is op de keper beschouwd de verzameling grenzen die je veiligheid moeten waarborgen.

De angst waar privacy over gaat, hangt samen met schaamte; het verborgen houden van gedrag of gedachten omdat het niet veilig voelt dat anderen weten dat je het doet of denkt. Je zou er immers mee geconfronteerd kunnen worden, dat iemand het niet accepteert en je er vervolgens op aanspreekt. Of erger. In die zin is privacy een beschermingsmechanisme tegen de normen en waarden van anderen (die zich kunnen uiten in geroddel of openlijke afkeuring). Dit betekent dat de behoefte aan privacy samenhangt met de overheersende normen en waarden; als er meer zaken ‘niet kunnen’, zal er meer behoefte zijn aan privacy – om ze toch te kunnen doen. Dat is de directe relatie tussen privacy en vrijheid.

De vrijheid die door privacy mogelijk gemaakt wordt, is onmisbaar voor het anders denken en het anders zijn. Afwijken van de heersende normen en waarden is randvoorwaardelijk voor de ontwikkeling van de maatschappij; zonder privacy stagneert de samenleving, zoals TNO-er Dr. Hoepman terecht vaststelt.

In de relatie van burger tot burger gaat het vooral over schaamte. In de discussie over overheid en privacy komt er een dimensie bij: macht. Een complicerende factor. Je houdt dingen stil omdat je bang bent voor de gevolgen, feitelijk voor de macht van de overheid. Nu gooien best veel mensen allerlei privézaken vrijelijk op internet – het populairste argument van de anti-privacy kruisvaarders – maar er zijn weinig mensen die op Facebook melden hoe en voor hoeveel ze de belasting getild hebben. De belastingdienst heeft immers macht en gebruikt die ook.

Als de overheid op meer gebieden haar macht doet gelden, zal de burger meer zaken in het verborgene houden. Als de dreiging is dat de overheid je uit het ouderlijk gezag zet omdat je een aso bent, dan zul je zaken die met asociaal gedrag geassocieerd zouden kunnen worden, voortaan maar stiekem doen. Je weet immers nooit hoe een anonieme beslissingsambtenaar denkt; het zou maar zo een superburgerlijke moralist kunnen zijn. Daarom zien sommigen het Elektronisch Kinddossier als zo’n grote bedreiging voor de veiligheid van het gezin; je weet immers niet welke consequenties er aan verbonden zijn als er ingevuld wordt dat je wel eens een sigaretje in de woonkamer hebt gerookt, computergames speelt of geen sociaal netwerk hebt.

Nu de overheid zich op de normen en waarden heeft gestort en dus openlijk zedenmeestert, is het einde zoek. Dit verklaart de gevoeligheid van het onderwerp; uit angst en kwetsbaarheid (voor misbruik en incompetentie) neemt de burger uit voorzorg ruime veiligheidmarges, en waar die ruime marges kruisen met plannen van bestuurders en politici leidt dit tot irritatie en frustratie. Zoals recent goed te zien bij VVD-er Teeven: “Overheidsdienaren moeten altijd en overal bij mensen naar binnen kunnen lopen. Zo maak ik hoogstpersoonlijk van Nederland een veilig land. En wie dit niet leuk vindt, moet maar emigreren of springt voor de trein”. Hier spreekt de frustratie, naar ik mag hopen. Want als hij dit serieus meent, en mij dus vertelt dat ik moet oplazeren uit mijn land, moet hij toch wat meer meenemen dan die grote bek.

Schaamte en macht zijn voor privacy dus heel belangrijk, zeker aangaande zaken die cultureel gezien taboe zijn verklaard. Hier hebben we te maken met de traditionele normen en waarden; vraag een gemiddelde Nederlander naar zijn banksaldo of slaapkamervoorkeuren, en het antwoord zal iets zijn in de trant van ‘flikker op’. Nu had ons land ooit een schuldcultuur, waarin geheimhouden niets hielp tegen het alziend Opperwezen, dat is inmiddels meer een schaamtecultuur geworden. Oftewel, schaamte stuurt ons gedrag en zeker nu de overheid weer de zedenmeester uithangt, willen we extra bescherming tegen normen en waarden die we niet onderschrijven. De overheid zet dan ook, zeer consequent, schaamte (‘naming and shaming’) in om het gedrag van burgers te beïnvloeden.

Er zijn ook mensen die deze angst niet lijken te hebben. Een hacker die voor de bragging rights gaat, zal alleen maar blij zijn met de extra aandacht door naming and shaming. De schaamteloze ‘generatie exhibitionist’ gooit zelf allerlei zaken op het internet die anderen privacygevoelig achten. Dit is géén uiting van categorisch minder behoefte aan privacy, zoals bij hoog en bij laag beweerd wordt, maar eerder een uiting van de behoefte aan andere normen en waarden. Een homo die uit de kast is gekomen, heeft een deel van zijn seksuele gedrag publiek gemaakt, maar dat betekent helemaal niet dat hij geen behoefte heeft aan privacy. Wat hij doet is duidelijk maken dat hij vindt dat homoseksualiteit niet iets is om je voor te schamen, en dus bekend mag zijn. Oftewel, het is een uiting van andere normen, niet meer dan dat. En je ziet ook dat ‘uit de kast komen’ andere mensen ertoe aanzet om dat ook te doen.

Als je weet dat heel veel mensen doen wat jij zou willen doen, dan zul je het eerder doen – meer informatie leidt tot ruimdenkendheid en daarom tot minder behoefte aan privacy. Je zult mensen niet snel over je aambeien vertellen, tot je merkt dat vrijwel iedereen ze wel eens heeft. Onder invloed van Internet zullen er nog de nodige taboes sneuvelen, deze eeuw. De kleinburgerlijke normen en waarden die onze premier wil versterken, zullen in het informatietijdperk geen stand houden.

Met het terugtreden van de huidige generatie machthebbers zal het belang van schaamte in de privacydiscussie dus afnemen. Daardoor neemt het soortelijk gewicht van het veiligheidscomponent van privacy toe, een aspect dat ook autonoom al wint aan belang. Dat zie je bij de discussie over de slimme elektriciteitsmeters: inbrekers kunnen zien dat je op vakantie bent en je TV stelen. Op dit soort scenario’s zijn vooral mensen alert die al redelijk gewend zijn aan de informatiemaatschappij en de kwetsbaarheden kennen. Dat zie je ook terug op security.nl – het zijn juist de IT-ers die de boel niet vertrouwen, of het nu een EPD, een kilometerkastje of een slimme meter betreft. Natuurlijk zijn de scenario’s soms erg vergezocht, de zorg en de emotie zijn echter wel heel reëel.

Privacy is in deze gedachtegang een afweer tegen diefstal, waarbij identiteitsdiefstal steeds belangrijker wordt; zeker gezien het probleem van identiteit in de digitale werkelijkheid. Op Internet besta je immers alleen halfslachtig en indirect, via je IP-adres, via je e-mail adres (je feitelijke identiteit op dit moment), een paar pseudoniemen en avatars en meer en meer via je sociale profielen op allerlei sites, in de wereld van Web 2.0 en Identity 2.0. Omdat deze identiteit op een wankele basis rust, is deze zeer kwetsbaar. Daarom is online privacy extra belangrijk.

Een door de overheid opgelegde digitale identiteit kan deze wankele basis niet verstevigen. Het maakt hem juist wankeler. Bedenk maar eens wat je over een paar jaar met de DigID of de digitale handtekening van iemand anders kunt doen. Want dat gebeurt nu; de overheid legt je een digitale identiteit op, die rechtsgeldig kan handelen. En als het daarmee fout gaat, dan is dat per definitie jouw eigen schuld en draai jij op voor alle mogelijke gevolgen totdat jij onomstotelijk bewezen hebt dat het niet zo is. Waarschijnlijk nog langer, omdat bewijs nog vaak niet tot correctie van de fout leidt. Dit omkeren van de bewijslast lijkt wel standaard te worden bij digitale zaken.

We zijn op dit moment nog zoekende naar de nieuwe normen en waarden, passende bij het informatietijdperk. In deze onzekerheid is niet zo goed te zien wie je kunt vertrouwen; je kunt wél zien wie niet te vertrouwen is en dat zijn mensen en partijen die overduidelijk aantonen er geen barst van te begrijpen. Die kunnen we onze veiligheid in ieder geval niet toevertrouwen. En in deze lijst staat de politiek, vrijwel zonder uitzondering, bovenaan.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns