Tijdens de uitreiking van de Nederlandse Privacy Awards ontving Nicpet de aanmoedigingsprijs – een erkenning voor de inzet om privacy-enhancing technologies (PET’s) breder toepasbaar en toegankelijk te maken in Nederland. Die prijs vormde de aanleiding voor dit gesprek met Freek Bomhof. Als data scientist bij TNO, waar hij zich richt op Responsible AI en Data Sharing, én als voorzitter van het kernteam van Nicpet, bevindt hij zich op het snijvlak van technologische innovatie, publieke waarden en praktische toepassing. In dit interview reflecteert hij op de betekenis van de prijs, de rol van Nicpet als praktijkgemeenschap en de ambities om privacybescherming structureel te verankeren in het Nederlandse datalandschap.
De aanmoedigingsprijs is ook echt dat: een aanmoediging. Het bevorderen van de adoptie van PET’s is soms een moeizaam proces. Nicpet staat op basis van die ervaringen voor een aantal keuzes rondom aanpak en focus, mede omdat de financiering aan het veranderen is. Deze aanmoediging is een duidelijk signaal dat het goed is dat er een organisatie zoals Nicpet bestaat.
De publieke partijen bij Nicpet zijn toepassers en kunnen daarmee de marktvraag stimulreen. Ook zijn zij in een aantal gevallen ook betrokken bij het invullen van wetgeving en beleid, waarmee ze ook invloed hebben. Maar dat kunnen zij niet alleen: de interactie met private aanbieders is essentieel om te weten wat er dan in de praktijk mogelijk is. De private toepassers is weer een aparte doelgroep, die tot nu toe minder expliciet aandacht heeft gekregen. Zij zitten grotendeels met dezelfde uitdagingen als publieke toepassers en kunnen daarom veel van elkaar leren. Door de steeds hechtere samenwerking die Nicpet nastreeft met het CoE-DSC (Center of Excellence Data Sharing & Cloud) komen ook de private toepassers nadrukkelijker in beeld.
In feite is elke toepassing van PET’s in de publieke sector een goed voorbeeld, omdat daarbij vrijwel in alle gevallen de publieke waarde ‘privacybescherming’ een belangrijke reden was. Bij toepassingen in het veiligheidsdomein is ook de publieke waarde ‘vertrouwelijkheid’ van belang. Wel is het zo dat PET’s vaak in specifieke gevallen worden ingezet, als de aard van het vraagstuk zo is dat je het zonder PET’s bijna niet op een verantwoorde manier geregeld kunt krijgen.
Een heel mooi voorbeeld van een structurele toepassing van PET’s is te vinden bij Stichting RINIS. Zij verzorgen grootschalige data-uitwisseling in het sociaal domein in opdracht van een aantal uitvoeringsorganisaties. Daarbij hebben ze naar hun huidige portfolio gekeken en zich de vraag gesteld: ‘zou deze uitwisseling onder de huidige omstandigheden nog door de ballotage komen?’. Ze hebben dié uitwisselingen die inderdaad tegenwoordig veel beter zouden kunnen, ook daadwerkelijk opnieuw ingericht, maar dan met PET’s. Omdat het hier om data uit het sociaal domein gaat, hoeft het geen betoog dat dit heel privacy-gevoelig kan zijn. Een duidelijke publieke waarde dus!
Het is helaas zo dat PET’s nog heel vaak als ‘puntoplossing’ worden ingezet: één specifieke dataverwerking is zo gevoelig dat deze beter met PET’s kan worden ingevuld. Dat betekent dat ook elke keer opnieuw moet worden bedacht hoe deze ingericht moet worden. Het gaat dan meestal niet om de techniek, maar vooral om de juridische, ethische en praktische randvoorwaarden. Ook al is elke situatie verschillend, het beter herhaalbaar maken van die ontwerpen kan de introductie van PET’s aanmerkelijk vereenvoudigen.
Een goed voorbeeld is de inzet van synthetische data. Dit is een specifieke soort PET waarbij data wordt ‘nagemaakt’ en daarmee kan worden gebruik bij het testen van systemen of het opleiden van eindgebruikers, of voor onderzoek door derden. De bescherming van Synthetische data is in sommige gevallen niet 100%, er is een klein restrisico. Hoe meet je dat risico en welk risico is nog acceptabel voor de toepassing? Als zo’n afwegingsmethodiek kan worden gestandaardiseerd, wordt het veel makkelijker om deze oplossing in te zetten, omdat veel denkwerk niet opnieuw hoeft te worden gedaan.
De missie van Nicpet is (helaas) nog lang niet volbracht: namelijk dat de toepassing van PET’s (in de publieke sector) wordt vereenvoudigd omdat er voldoende kennis en ervaring is. Dus daar gaan we mee door, op verschillende manieren: het blijven verzamelen en delen van best practices, het maken van materiaal wat kennisleemte opvult, het verzamelen van relevante achtergrondkennis, het monitoren van technische ontwikkelingen.
Eén richting waar Nicpet zich meer op zal gaan richten ligt ook besloten in de toegenomen samenwerking met het eerder genoemde CoE-DSC: als PET’s als een soort ‘standaardoptie’ in dataplatformen kan worden ingebouwd, wordt het veel makkelijker om ze in te zetten. Dan heb je niet meer de individuele puntoplossingen, maar hoef je bij wijze van spreken maar één schakelaartje om te zetten. Een Data Space of een Federatief Data Stelsel waarin dit mogelijk is, zou echt een grote stap zijn. Dan heeft Nederland opeens een heel veel structurelere manier om goed met gevoelige data om te gaan, én heeft Nederland ook opeens een uniek exportproduct.
