MyData 2018Verslag conferentie augustus 2018

Dit verslag is als coproductie tot stand gekomen vanuit het programma Regie op Gegevens (Sanne Giesen) en DigitalWe (Marlies Rikken).

3

Het is waardevol om als inwoners en ondernemers – op een veilige en betrouwbare manier – gegevens te kunnen (her)gebruiken om zo zaken in het leven te regelen en privacy te beheren. Dat is de opgave waar wij als programma Regie op Gegevens (RoG) aan werken. Dit doen we in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Deze opgave past inhoudelijk bij de missie van MyData: ‘empowerment’ van personen ten opzichte van hun persoonlijke gegevens. Vanuit ons programma zijn wij aanwezig geweest op de MyData Conferentie 2018. Voor mensen die zelf niet aanwezig konden zijn, bieden wij graag dit verslag aan, dat wij samen met Digital We hebben opgesteld. Hierin vindt u meer informatie over MyData en een compacte weergave van wat er besproken is.

MyData is een internationaal kennisnetwerk waar ervaringen gedeeld kunnen worden, standaarden worden voorbereid en best practices kunnen worden opgehaald. Waar we als programma RoG in eerste instantie onze focus hebben op een normenkader voor gegevens uitwisseling binnen Nederland, zoeken we tegelijkertijd de samenwerking op met collega’s en organisaties die betrokken zijn bij EU-ontwikkelingen.

De MyData-principes sluiten goed aan bij de Nederlandse visie op het principe regie op gegevens. Daarom dragen we MyData en de MyData Global organisatie een warm hart toe, vanuit het streven naar een gedeeld doel.

De Nederlandse ‘MyData-node’ die momenteel getrokken wordt door DigitalWe en het PersonalData-initiatief – is actief betrokken bij MyData Global. Vanuit het programma RoG juichen we het zeer toe dat er vanuit Nederland partijen zijn aangehaakt bij deze ontwikkeling en we volgen het optuigen van de Global beweging met aandacht en interesse.

We kijken uit naar een vruchtbare samenwerking, waarin we gezamenlijk leren en delen, zodat het vrije verkeer van personen en hun gegevens optimaal en in Europees verband gefaciliteerd kan worden.

Douwe LeguitProgrammamanager Regie op Gegevens

Voorwoord

4

CANADAMADISONNEW YORKATLANTA

NEPALmydata.org/hubs

MyData Local HubsTAIWAN

JAPAN

BRAZILIË

KAMEROEN

FINLANDESTLANDZWEDENDENEMARKENNOORWEGENNEDERLANDBRUSSEL - BELGIËVERENIGD KONINKRIJKZWITSERLANDBERLIJN - DUITSLANDMESINFOS - FRANKRIJKBARCELONA - SPANJETURIJN - ITALIËSLOVENIËSLOWAKIJEGRIEKENLAND

Dit is de missie van MyData: ‘empowerment’ van personen ten opzichte van hun persoonlijke ge-gevens. Om dit te bewerkstelligen positioneert MyData zich als neutrale partij die ondernemers, het onderwijs, maatschappelijke organisaties, overheden en ontwikkelaars verenigt.

Geschiedenis MyDataMyData is ontstaan vanuit een studie in 2014 in opdracht van het Finse ministerie voor Transport en Communicatie naar het concept van ‘Mijn Data’ en de technische, juridische en zakelijke gevolgen van op die manier naar data kijken. Het onderzoek leidde tot zowel een visierapport, als een beweging, vorm-gegeven tijdens de MyData conferentie in 2016. Het visierapport ‘MyData – a Nordic model for human centered personal data management and processing’ dat in 2016 verscheen trok ook in Neder-land de nodige aandacht. Het was niet zo zeer revolutionair, maar verwoordde de gedachten rond Personal Data Management (PDM) op een sterke manier, gericht op mensen in hun kracht zetten ten opzichte van hun persoonlijke gegevens.

Na de conferentie van 2016 werd de focus gelegd op het realiseren van een wereldwijde community, ondersteund door lokale hubs. Inmiddels zijn er hubs

in meer dan 20 landen die fungeren als aanspreek-punt voor ontwikkelingen op het gebied van PDM.

Ook in 2017 en 2018 zijn er MyData conferenties georganiseerd, met tussentijdse bijeenkomsten bij lokale hubs om de beweging verder vorm te geven. Een belangrijke mijlpaal was de presentatie van de MyData Declaration in 2017, waarin de uitgangs-punten en principes zijn verwoord. De Aalto Univer sity, het Franse Fing en Open Knowledge Finland waren drijvende krachten hierachter. Daarnaast was het Finse investeringsfond Sitra betrokken als sponsor.

Medio 2018 is besloten om MyData te trans-formeren van een beweging naar een organisatie en MyData Global werd opgericht. Enerzijds om meer te kunnen bewerkstelligen, anderzijds om het organi seren van MyData conferenties, zowel centraal als bij diverse hubs, beter te kunnen onder-steunen. Zowel individuen als organisaties kunnen lid worden van MyData Global, waarbij zeggenschap 50/50 is verdeeld tussen deze twee typen leden. MyData wordt tot een NGO gemaakt onder het Finse recht (oprichting op 11 oktober 2018, Helsinki).

Vanuit de Nederlandse hub is intensief meegewerkt aan het business plan en de statuten van de organi-satie, om daarmee ook goed interactie te houden met de te varen koers. Belangrijke vervolgstappen van MyData Global zijn nu de verdere groei van leden, opbouwen van een kennisnetwerk en ontwik-keling van een eventcyclus. Ook wordt er gewerkt aan een Europese MyData agenda, als bijdrage aan het voorzitterschap van de Europese commissie van Finland in de tweede helft van 2019.

Meer over MyData

“to empower individuals with their personal data, thus helping them and their communities develop knowledge, make informed decisions, and interact more consciously and efficiently with each other as well as with organisations.”(MyData Declaration)

5

Make it happen and make it rightDe rode draad van de MyData conferentie was de ambitie om persoonlijk data management (PDM) waar te maken. Dit was terug te zien in zowel de cases, als het werk aan de realisatie van de MyData Global organisatie. Parallel daaraan liep het belang om PDM op een rechtmatige manier te realiseren: ‘make it right’. Dit kwam onder meer terug in de discussies over ethiek in data management en de im-pact van wetgeving. Een inspirerende spreker op dit punt was Mikko Hypponen, die haarfijn aangaf waar-om het -hoe gek dat misschien ook klinkt- gewéldig is dat bepaalde websites in de VS sinds de GDPR Europese gebruikers geen toegang meer geven.

Wie waren er aanwezig?De aanwezige bezoekers waren afkomstig uit ver-schillende groepen. Techneuten, maatschappelijke betrokkenen en deelnemers vanuit het bedrijfsleven leverden elk grofweg een derde van de aanwezigen. Ongeveer 10% van de bezoekers waren juristen (volgens de anonieme poll aan zaal tijdens de open-ing-keynote).

Het bereik van MyData wordt internationaler van aard, ook van buiten Europa waren er deelnemers aanwezig. Naast delegaties vanuit uit heel Europa, waren er bijvoorbeeld ook Japanse en Amerikaanse organisaties te gast. Er waren zélfs vertegenwoor-digers vanuit de grote platformen (GAFA – Google, Amazon, Facebook, Apple), terwijl zij niet per se in een positief licht staan rond dit onderwerp. Zowel Micro soft als Google waren inhoudelijk betrokken bij met name tracks rond interoperabiliteit en portabiliteit.

Voor het programma overzicht, de presentatie en presentatoren zie de website van de conferentie 2018.

MyData 2018 in vogelvlucht

6

Track: Ethiek

‘Ownership vs rights’Er bestaat nog steeds discussie rond eigenaarschap van versus zeggenschap over data. Eigenaarschap zou betekenen dat de persoon alle data zou moeten bezitten. Deze gedachte drijft de ontwikkeling van persoonlijke data kluizen waarin data wordt op geslagen. Aan de andere kant van het spectrum wordt gesproken over zeggenschap over persoon-lijke data. In dat geval staat ‘regie’ over data cen-traler als manier om oplossingen te ontwikkelen, dan uitgaan van ‘bezit’ van data. Bij ‘regie’ bepaalt de persoon wat er met data gebeurt, maar hoeft er niet per se ‘eigenaar’ van te zijn. Beide kanten van deze discussie hebben aanhangers en volgens beide gedachtes wordt op dit moment gewerkt aan oplossingen. Er is wel overeenstem-ming over het idee dat mensen meer invloed moeten hebben over persoonlijke data. Betrokkenen moeten inzicht hebben, informatie kunnen controleren en toestemming geven over wat er met data gebeurt. Een vraag die voor beide gezichtspunten nog be-antwoord moet worden is: ‘welke partij is verantwoor-delijk voor data?’. Is de eigenaar de verantwoordelijke, de verwerker, de gebruiker? En op welk moment in het proces?

‘Invloed van algoritmes’De invloed van algoritmes die beslissingen nemen op basis van data wordt steeds groter. De gegevens die gebruikt worden zijn van invloed op de diensten die we gebruiken. Personen krijgen ongevraagd allerlei labels opgeplakt die beïnvloeden waar ze toegang toe krijgen of wat ze te zien krijgen. Het wordt lastig om werkelijk neutrale of juist tegengestelde bronnen te vinden, personen krijgen steeds meer informatie die bevestigd wat ze ‘leuk’ vinden: de zogeheten ‘filter bubble’. Het is een fundamentele vraag of we dit wel moeten willen. Tegelijkertijd kunnen algo-ritmen ook ‘ontzorgen’ en faciliteren. Er zijn ook mensen die een advies als ‘misschien wil je dan deze serie ook wel kijken’ als service ervaren. Daarnaast

bieden algoritmen overheden de mogelijk heid om bijvoorbeeld fraude op te sporen of aan vroeg-signalering te doen. Kortom: een veelbewogen thema waar we nog lang niet over zijn uitgepraat.Tijdens de conferentie werd duidelijk dat bezoekers het belangrijk vinden dat het aan de mens is om betekenis te geven aan de uitkomsten van deze systemen. Als een automatisch systeem analyses oplevert, moet er nog steeds een persoon zijn om hier interpretaties op te doen. Het is daarbij belang-rijk om te weten hoe het algoritme tot een bepaald resultaat komt. Een ander punt is dat algoritmische analyses alleen mogelijk zijn als er grote hoeveelheden data beschik-baar zijn. Dat betekent dat de data van een enkele persoon niet per se veel waard is voor organisaties. Er ontstaat meerwaarde als de persoonlijke data van een individu wordt gecombineerd met de data van anderen. Een inspirerende spreker op dit gebied was Timo Honkela. Hij legde uit waarom interpretatie van taal zo belangrijk is en computer science nog in kinder-schoenen staat.

Track: PDM use casesMyData gaat niet alleen om het ‘op het rechte pad krijgen’ van de grote platformen (GAFA) door ze ‘compliant’ te maken. Er is ruimte om services op te zetten met nieuwe modellen en de manier waarop we als samenlevingen met persoonlijke data omgaan te veranderen. De nieuwe varianten op bijvoorbeeld social media moeten echter wel iets extra’s bieden voor de gebruiker. Het opschalen van de huidige oplossingen blijft namelijk een lastig punt. Om de massa te verleiden tot adoptie moeten de appli-caties gemakkelijk werken. Zo makkelijk dat het niet alleen interessant is voor de privacy-minded en early adopters. Het moet iets extra’s bieden dat de andere services niet hebben en mensen overhaalt tot gebruik.

Het landschap van PDM oplossingen is duidelijk nog niet stabiel, in het afgelopen jaar zijn specifieke oplossingen ook uit het speelveld verdwenen.

7

Initiatieven als Tippiq, HelloData, Dime en Leaflad zijn gestopt. Brede adoptie laat ook nog op zich wach ten. Wel wordt in verschillende landen met PDM oplossingen gewerkt en geëxperimenteerd. Voorbeelden van generieke PDM oplossingen die aanwezig waren bij MyData zijn Cozy.io, CitizenMe, digi.me en Schluss. Met name in de health sector wordt vooruitgang geboekt, deels uit noodzaak. Je wilt niet wachten op het leveren van patiëntgegevens in een kritieke situatie en tegelijkertijd is het infor-matie die zonder twijfel persoonlijk is. Een voorbeeld is digi.me die in IJsland een gedeelte van zorg-gegevens inzichtelijk maken. De ambitie is om 2020 alle zorggegevens inzichtelijk te maken voor burgers.

Dat niet in elk land dezelfde organisaties vertrouwd worden werd tijdens de conferentie bevestigd: In Japan worden banken naar voren geschoven door de overheid als plaats om persoonlijke data te managen. Om een ‘data bank’ te worden moet speciale certifi-cering aangevraagd worden. Daarnaast heeft elke bank een comité die het ethisch handelen van de bank controleert.

Track: PortabiliteitData portabiliteit is een van de pijlers die moet zorgen dat ‘MyData’ als concept gaat werken. Op

dit moment is portabiliteit beperkt tot het down-loaden van data om het vervolgens, als dat mogelijk is, ergens anders te kunnen uploaden. Echte data portabiliteit moet personen de mogelijkheid en de vrijheid bieden om data van de ene naar de andere serviceprovider te verplaatsen: platform-to-platform of service-to-service. Aan de andere kant is porta-biliteit ook een proces; de mogelijkheid om continu toegang te hebben tot je data en het te hergebruiken waar je wilt.

Brian Wallard, werkt al 4 jaar bij Google aan portabi-liteit. De GAFAs werken op dit gebied samen aan het ‘Data Transfer Project’. Het is een open source project om portabiliteit gemakkelijker te maken. Door de open source aanpak moet portabiliteit ook mogelijk worden voor kleinere organisaties. Het lastige hierbij is het delen met veel verschillende partijen, wat zorgt voor interoperabiliteitsissues. Voorlopig begint het data transfer project met email en foto’s, ze blijven nog weg van ‘controversiële data’. Een span-nende vraag van Google aan zichzelf: ‘willen we de persoonlijke zoekgeschiedenis van een gebruiker over dragen naar andere zoekmachines als iemand hierom vraagt?’.

8

Naast de mogelijkheden die portabiliteit biedt, heeft het ook een keerzijde, noemt Xavier Lefevre in zijn presentatie. Verbeterde portabiliteit maakt het niet alleen voor personen makkelijker om informatie ergens anders te gebruiken, maar ook voor organisaties. Het kan dus ook gebruikt worden om informatie juist ge-makkelijker, aan meer derde partijen door te geven. Hier worden door de wet uiteraard grenzen aan gesteld. Tijdens de ‘open space’ discussies kwam dit negatievere sentiment betreft portabiliteit ook terug. Mensen die financieel in nood zitten, zouden ge-makkelijk verleid kunnen worden om hun gegevens te verkopen of weg te geven voor het gebruik van diensten. In de extreme vorm zou het kunnen leiden tot wat men noemde ‘data prostitutie’.

Track: InteroperabiliteitOm personal data managent te laten werken, is er samenwerking nodig tussen veel verschillen-de partijen. Databronnen, serviceproviders, PDM oplossingen, data transporteurs moeten op elkaar aansluiten om te zorgen dat een persoon regie kan hebben over zijn of haar gegevens. Dit vergt technische koppelingen tussen partijen, maar daar-naast moet iedereen ook dezelfde taal spreken. Wat is daarvoor nodig? Hoe realiseer je een semantisch model waar iedereen mee kan werken? Deze as-pecten werden besproken in de interoperability track.

Er zijn verschillende niveaus van interoperabiliteit waaraan gewerkt moet worden, lichtte Joss Lang-ford toe in zijn sessie. Het is niet alleen een technisch vraagstuk. Naast technische en semantische in-teroperabiliteit, moet er ook op juridisch gebied en op organisatieniveau overeenstemming zijn over de omgang met data. Zodra je wilt koppelen met andere systemen, levert dit vele uitdagingen op. De beteke-nis van gegevens ligt vaak verborgen in ‘human read-able documents’. Deze moeten begrijpelijk gemaakt worden voor machines. Om interoperabiliteit te real-iseren zijn open architecturen noodzakelijk, volgens

Jeff Revill van Krowdthink. In zijn presentatie spreekt hij van een datamodel dat de ‘single source of truth’ is waar iedereen vanuit kan gaan. Uit eindelijk moet dit zorgen voor een ‘any to any’ situatie, waarbij iedereen kan koppelen met iedereen.

Naast open architectuur hebben ook de standaardi-satie instituten een grote rol in het huidige landschap van interoperabiliteit. UMA, eID, SAML en Oauth zijn voorbeelden van standaarden waar PDM-oplossingen op voort kunnen bouwen. Partijen als Kantara en W3C waren dan ook aanwezig om over standaarden te vertellen. Standaardisatie kan interoperabiliteit stimu-leren, zorgen voor een gelijkere markt en implemen-tatie van bepaalde techniek versnellen. Standaardi-satie kan echter ook verkeerd ingezet worden. Een belangrijke kanttekening die Collin Wallis in zijn sessie plaatste, is dat standaardisatie juist ook kan zorgen voor exclusiviteit. Wanneer een bepaalde techniek ge-forceerd wordt in een standaard, kan dit zorgen voor een monopolie en competitie uitsluiten. Dus ook al zijn er veel goede kanten aan open standaarden, is het belangrijk om ze op een juiste manier in te zetten. De experts op gebied van interoperabiliteit konden in elk geval overeenstemming bereiken: inter operabiliteit is niet meer of minder dan het eens worden over afspraken. Helaas is dat nou juist dat zo lastig wanneer veel organisaties moeten samenwerken!

Track: IdentiteitEen belangrijk thema op MyData 2018 (net als in 2017) was de digitale identiteit. Daarbij was er vooral veel aandacht voor de technologie van distributed digital identities (DDI), een thema dat vaak wordt gekoppeld aan blockchain. Mensen als Drummond Reed, Kaliya Young en Kim Hamilton Duffy ver-telden duidelijke verhalen over waar dit thema op dit moment staat en wat we kunnen verwachten. Het hele concept van Self Sovereign Identity (SSI) lijkt heel aantrekkelijk: identiteiten managen zonder governance, op basis van andere trust mechanismen,

9

zonder afhankelijkheid van een vaste vertrouwens-partij. Technologisch begint zich dit al goed te ontwikkelen. In de presentatie van Hamilton Duffy werd de status van de hele protocolstack duide-lijk geschetst. De hoop en verwachting is dat dit in 2019 in de richting van W3C standaardisatie kan gaan, maar zo ver is het nog niet. Interessant in deze ontwikkeling is dat de SSI een nette gelaagde architectuur heeft waardoor het om kan gaan met een veelheid aan opslaginfrastructuren, van IPFS tot Bitcoin Ledgers. Uport was een van de oplossingen die hier op bouwt op dit moment. Standaardisatie is wel een punt. Zoals Drumond Reed aangaf gedurende zijn sessie: “First, decentralization means SSI technical standards will be a combination of de jure (standards bodies) and de facto (community adoption). The SSI protocol is evolving so rapidly that it will become a de facto standard long before de jure.” Tegelijk legde Young ook de vinger op de zere plek: ‘in het hele eco-systeem van DDI/SSI missen nog de partijen die echt vertrouwen over identiteiten kunnen geven’. De SSI ontwikkeling kan leiden tot een explosie aan trust frameworks voor verschillende toepassingen en domeinen. Pas wanneer gevestigde partijen, zoals overheden, daarin gaan participeren zal dit leiden tot een bruikbare basis voor DDI in het economische verkeer. Zo ver is het nog lang niet.