Interview: Rence Damming, Privacy Officer van KPN

02 juli 2015 Consultancy.nl

Privacy is dood. Anoniem zijn bestaat niet meer. Het recht om vergeten te worden wél. Maar hoe doe je dat met alle sporen die je (online) achterlaat? Over privacy en de dood zijn we nog lang niet uitgepraat. Volgens Rence Damming, Privacy Officer bij KPN, is privacy springlevend. “En dat moet vooral zo blijven”. Damming kreeg vijf vragen voor z’n kiezen.

Dankzij de nieuwste technologie gaat de wereld vooruit. Iedereen heeft er baat bij. Tegelijkertijd is iedereen – soms ook terecht – bang dat z'n privacy wordt geschonden. Hoe kunnen we ethisch en met respect voor privacy omgaan met nieuwe technologie?
'Eigenlijk is het simpel. In Nederland ben je baas over je eigen gegevens. Jij bepaalt of jouw gegevens gebruikt mogen worden. Als iemand anders iets met jouw data wil doen, dan moet die partij of organisatie daar toestemming voor vragen. En er transparant én duidelijk over zijn. Veel organisaties werken met een voorwaardenformulier dat je moet accepteren om toegang te krijgen tot een bepaalde dienst. Daarmee zijn ze transparant. Maar als je eerst 600 pagina's kleine lettertjes moet doorworstelen, is dat niet duidelijk. Je klikt dus maar gewoon om te accepteren. Want de enige andere keuze is om de dienst niét te krijgen.

Facebook

Zo heeft bijna heel Nederland zijn persoonlijke gegevens aan Facebook 'verkocht' in ruil voor onmisbare gratis diensten als Facebook en Whatsapp. Als Amerikaans bedrijf wordt Facebook namelijk eigenaar van jouw data en mag ermee doen wat ze wil. Hoe dat kan uitpakken? Een bedrijf verkoopt mokken met de foto van jouw kind. Zoek maar eens op de Facebookcup-actie.'

'Het privacybeleid van KPN is gebaseerd op 3 pijlers: duidelijkheid, betrouwbaarheid en de mogelijkheid om zelf te kiezen. Het gebruik van data moet gekoppeld zijn aan een duidelijk doel. Bijvoorbeeld voor het leveren van een mobiele dienst. Of het versturen van een factuur. De klant kiest zelf of we zijn data mogen gebruiken. We verzamelen nooit zomaar persoonsgegevens zonder dat klanten het weten. Of zonder daar toestemming voor te geven. Data-analyses doen we anoniem en met een duidelijk doel: bijvoorbeeld voor netwerkmanagement of beheer van zendmasten.'

Rence Damming

KPN is aanjager van nieuwe technologie, dus ook van Big Data en Internet of Everything. Tegelijk zijn jullie in bezit van de persoonsgegevens van bijna heel Nederland. Hoe valt dit verantwoord te rijmen?
'KPN bezit geen data. Wij verwerken en transporteren ze van a naar b. De Wet bescherming persoonsgegevens – dé privacywet – ziet erop toe dat we verder niks met die data doen. Bedrijven in de telecomsector hebben daar bovenop nog te maken met de Telecomwet: daarin staat nog explicieter beschreven wat we wél en niet mogen. Bijvoorbeeld: geen kennisnemen van de inhoud van de communicatie, geen gesprekken horen, geen kennis nemen van wie met wie belt. We registreren gegevens uitsluitend om onze diensten zo goed mogelijk te kunnen leveren en facturen te sturen. De regels zijn strikt. En terecht. We doen alles op het vlak van IT en telecommunicatie. Stel dat we data zouden manipuleren, dan zouden we de baas van het land zijn.'

Kun je een voorbeeld geven van een ontwikkeling waarbij het issue ethiek en privacy extra aandacht vroeg? En hoe is KPN daarmee omgegaan?
'Een bekend voorbeeld was het Deep Packet Inspection- of dpi-dossier in 2011. KPN probeerde uit te leggen hoe we omgaan met data van onze klanten, maar we werden vervolgens in verband gebracht met het onbevoegd aftappen van klanten. Daarvan was absoluut geen sprake, want we nemen nooit kennis van de inhoud van de communicatie van onze klanten. Later heeft het CBP dit ook bevestigd. We hebben hierdoor een belangrijke les geleerd: je moet duidelijk uitleggen waarom en waarvoor je gegevens van je klanten verwerkt. Je kunt namelijk volledig transparant zijn over wat je precies met gegevens doet, maar als dit leidt tot een ondoorzichtige brei aan privacyvoorwaarden, leest niemand het. Laat staan dat het begrepen wordt. Mede aan de hand van dit issue hebben we de 5 gouden regels voor privacy opgesteld.’

5 gouden regels voor privacy

'We zijn terughoudend als het gaat om gebruik van data, zoals Big Data of Internet of Everything. Anderzijds zijn we verplicht om ons voortdurend te blijven ontwikkelen. Al is het alleen al om ons netwerk steeds beter en sneller te maken. Als dé transporteur van communicatie hebben we daarin een grote maatschappelijke verantwoordelijkheid. Zonder onze netwerken liggen bijvoorbeeld Schiphol, het metronetwerk en het havenbedrijf stil. Daarom exploreren we continu wat de mogelijkheden zijn met data. We zien de kansen en de mogelijkheden. Maar we kijken altijd wat binnen de wet- en regelgeving past én uitsluitend met toestemming van onze klanten.'

Welke tips zou je organisaties geven om te blijven innoveren met respect voor privacy?
'Gebruik onze gouden regels. Graag zelfs! Bied je klanten duidelijkheid. Maak dingen niet groter dan ze zijn. Neem big data: het is een trending topic, een marketing term. Je kunt veel slimme dingen doen met geanonimiseerde data zonder dat je je op het vlak van big data begeeft. En misschien wel het allerbelangrijkste: zorg dat je klanten op je kunnen vertrouwen. Ga je niet goed om met data en privacy, dan verlies je niet alleen klanten, maar ook je goede naam. '

KPN

Je hebt een uitgebreid CV in privacy. Waarom vind je het thema zo interessant?
'Privacy gaat iedereen aan. Het is een hot maatschappelijk issue, waar ik me helemaal in gevonden heb. Ik ken ook de andere kant van privacy vanuit mijn eerdere functie als stalking prevention specialist. En als telg uit een politiefamilie. Iedereen is vóór opsporing. Maar niemand is ervoor om zomaar verdacht te worden. Dat speelveld blijft me boeien.'

Nieuws

Meer nieuws over