Voordat iemand controle kan hebben over gebruik van persoonlijke informatie door derden, moet hij of zij eerst inzicht hebben in eventuele privacy problemen die kunnen ontstaan. En over welke data gaat het eigenlijk? Wie gebruikt het, wanneer en waarom?

Samen met Milena Kooij en Johanneke Siljee van TNO  en Joris Janssen van Sense-OS werken mijn collega Bob Hulsebosch en ik aan manieren om een gebruiker controle te geven over het gebruik van zijn of haar persoonlijke data door derden. Dit doen we in het project SWELL met de focus op mobiele apps voor ‘well-working’ en ‘well-being’ en data gemeten door sensoren.
In totaal onderscheiden we vier typen van manieren om transparantie voor te gebruiker te bewerkstelligen. De verschillen tussen de typen zijn subtiel.

1. Informeren: privacy policy tekst, welkom e-mail, visuals/iconen, veel gestelde vragen, consent vragen, merk/label
2. Aandacht vragen: meldingen en pop-ups, quizvragen, tracken en tracen van commerciële activiteiten.
3. Waarschuwen: reminders, meldingen wanneer informatie wordt bekeken, trends en gedrag van anderen rond privacy instellingen.
4. Inzicht geven: overzicht van persoonlijke informatie, kunnen zien wat anderen zien van jou data, overzichten van partijen/personen waarmee informatie wordt gedeeld

Aanvullend zijn daar verschillende manieren om een gebruiker controle te geven, bijv. de mogelijkheid om gegevens te bekijken, aan te passen en te verwijderen. Om nauwkeurigheid van gegevens in te stellen (bijv. precieze locatie via coördinaten vs globale locatie via naam van een stad) of de mogelijkheid te bieden om te liegen.

Moet je nu als app-aanbieder al die zaken gaan installeren? In het algemeen niet. Kies een aantal manieren die passen bij jou visie op privacy, bij het doel van de app, bij de ‘gevoeligheid’ van de informatie die wordt gebruikt en bij de ‘afstand’ van de gebruiker tot degenen die de informatie gebruikt. En dan geldt natuurlijk ook dat er verschillende soorten gebruikers zijn: mensen die onbezorgd zijn over hun privacy, die daar pragmatisch instaan en mensen die behoorlijk paranoïde zijn over privacy. Algemene regel: hoe gevoeliger de informatie en hoe meer afstand tot de gebruiker van informatie, hoe meer controle mogelijkheden de gebruiker zou moeten krijgen en manieren om inzicht te krijgen in het wie, wat, waar van het delen van persoonlijke gegevens.
We ontwikkelden hiervoor een model met 5 oplopende niveaus van gebruikers controle en transparantie, dat we op dit moment valideren via een enquête (NB U kunt nog meedoen tot 15 januari 2015).

Als het gaat om gevoeligheid van persoonlijke informatie verwachten we dat algemene persoonsgegevens het minst gevoelig en informatie zoals actuele gezondheidsdata in combinatie met bijv. locatie het meest gevoelig. Of je gemakkelijk informatie deelt hangt af van het wie en wat. De eerste resultaten van onze enquête laten zien dat het model redelijk stand houdt. Gevoeligheid van informatie hebben we geoperationaliseerd door bereidheid om informatie te delen. We hebben voor vijf soorten informatie (algemeen, ID document, financiën, locatie, gezondheid) gevraagd naar de bereidheid om te delen met verschillende groepen: vrienden, collega’s, werkgever, coach, overheid, bedrijf. Dan worden ‘algemene gegevens’ gemiddeld genomen het gemakkelijkst gedeeld (79% zegt ja) en financiële informatie liever niet (5%).  En men deelt in de regel het gemakkelijkst met vrienden en het minst gemakkelijk met bedrijven. De figuur hieronder geeft een overzicht van de voorlopige bevindingen. Bij het delen van informatie over je identificatie document en ook bij gezondheidsgegevens zie je duidelijk dat er redenen zijn om informatie te delen: voor het delen van ID document met werkgever en overheid is een wettelijk kader en als je de hulp van een coach zoekt om je gezondheid te verbeteren is het logisch om gezondheidsgegevens te delen.