Interview

‘De cloud vraagt om wetten uit de 21ste eeuw, niet de 20ste’

Brendon Lynch, privacydirecteur van Microsoft

Zijn bedrijf verzamelt steeds meer persoonlijke gegevens van klanten, en moet die beschermen tegen steeds machtigere opsporingsdiensten. „We kunnen niet speculeren op wat Trump precies gaat doen.”

Foto Niels Blekemolen

Wie oogst de meeste data? Meestal zijn het de grote Amerikaanse advertentiebedrijven Facebook en Google die in de schijnwerpers staan vanwege de enorme hoeveelheden persoonlijke gegevens van gebruikers die ze verzamelen. Maar er is nog een bedrijf dat gevoelige gegevens op grote schaal opslaat: Microsoft. Begonnen als producent van Windows en Office groeit de softwaregigant uit tot een van de machtigste internetbedrijven.

Tel maar op: 400 miljoen Windows 10-gebruikers, 400 miljoen mensen die via outlook.com mailen, 300 miljoen Skype-leden en straks nog eens 400 miljoen LinkedIn-leden omdat Microsoft dit zakelijk netwerk voor 23 miljard dollar overnam.

Daarbij komt nog de informatie van 80 procent van alle bedrijven die kantoorpakket Office gebruiken en hun gegevens opslaan op Microsoft-servers en big data-technologie gebruiken – analysesoftware om efficiënter te werken.

Het is nogal een verantwoordelijkheid die rust op Microsofts chief privacy officer Brendon Lynch (48). De hoogste privacybaas van het bedrijf was vorige week in Nederland om Microsofts visie op de çloud voor het „algemeen belang van de hele wereld” toe te lichten. Zo luidt de titel van een (papieren) boek met beleidsadviezen waar Microsofts topman Satya Nadella als mede-auteur voor tekende.

A cloud for global good is een publieke lobbypoging om ervoor te zorgen dat Microsoft zijn groeiende netwerk van datacentra beschermt tegen cybercriminelen en spionage door overheidsdiensten. „Mensen gebruiken alleen technologie die ze vertrouwen”, zegt Lynch.

Met big data kun je veel voorspellen, maar niet alles. Zo gaf Microsofts eigen zoekmachine Bing in oktober Hillary Clinton 91 procent kans om de volgende president van de Verenigde Staten te worden. Het werd echter Donald Trump en vandaar dat Microsoft, net als veel andere Amerikaanse technologiebedrijven, diezelfde dag nog in de pen klom om Trump erop te wijzen dat een ‘gezonde balans tussen privacy en publieke veiligheid’ nodig is.

Trump lijkt opsporingsdiensten juist méér bevoegdheden te willen geven om in data te kijken. Zo steunde hij begin dit jaar de FBI toen die Apple wilde dwingen toegang te geven tot de iPhone van een aanslagpleger. „Boycot de iPhone”, twitterde Trump vanaf zijn eigen iPhone.

Het is dit soort uitspraken dat Brendon Lynch en zijn collega’s bij andere techbedrijven grote zorgen baart. Lynch zou, als een echte lobbyist, nooit hardop zeggen dat Trump met zijn handen van de cloud af moet blijven. Liever heeft hij het over ‘discussie’ en ‘stevige dialoog’.

Het laatste wat de Amerikaanse techsector kan gebruiken is een nieuwe Snowden-affaire; opsporingsdiensten die datastromen afluisterden en spionagesoftware in servers en webdiensten plaatsten. De onthullingen van klokkenluider Edward Snowden zorgden voor argwaan in Europa en leidde tot een nieuw dataverdrag tussen de VS en de EU, Privacy Shield, dat elk jaar opnieuw afgewogen wordt.

Lynch: „We waren het eerste bedrijf dat Privacy Shield ondertekende.” Begrijpelijk, want Microsoft haalt meer dan de helft van zijn omzet uit het buitenland. Europese klanten verliezen past niet bij de ambitie om in 2018 jaarlijks 20 miljard dollar aan de cloud te verdienen. Dat komt neer op eenvijfde van de omzet, en is meer dan grote hit Windows ooit opbracht.

Microsoft onderhandelt op dit moment met de Europese Commissie over de voorwaarden van de overname van LinkedIn. Mogelijk pijnpunt is het combineren van data van LinkedIn met andere Microsoft-diensten als Skype en Office. Lynch: „Daar kan ik nog niets over zeggen omdat de deal nog niet rond is.” Begin december moet daarover meer duidelijkheid zijn. De Europese Commissie kan de deal ook nog blokkeren.

U werkt al 12 jaar voor Microsoft. Is het bedrijf veranderd wat betreft privacy?

„Bill Gates begon in 2002 al met het trustworthy computing-initiatief. Dat was er vooral op gericht pc’s beter te beschermen tegen softwaregevaren. Sinds die tijd heeft de technologie zich ontwikkeld maar Gates zag wel dat betrouwbaarheid essentieel is om klanten te behouden.”

Is er, drie jaar na Snowdens onthullingen nu meer vertrouwen in clouddiensten?

„Het Privacy Shield-verdrag met Europa is een goed voorbeeld van hoe we uit dat tijdperk gekomen zijn. In de VS zijn hervormingen doorgevoerd zodat we transparanter kunnen zijn. We zijn er nog niet. Je gegevens moeten net zo veilig zijn als in een brief die bij je thuis ligt. Dat vraagt om wetten uit de 21e eeuw, niet de 20e; de digitale versies verdienen dezelfde bescherming als hun equivalenten in de analoge wereld al decennia hebben.”

Maar Trump wordt president en overheden in Nederland en andere Europese landen willen meer afluisterbevoegdheden.

„We kunnen niet speculeren op wat Trump precies gaat doen. Ook onder zijn presidentschap blijft het belangrijk dat er geen overmatig gebruik is van data van onze klanten door opsporingsdiensten.

We willen leven in een veilige maatschappij maar ook in een maatschappij waar onze privacyrechten gerespecteerd worden. Opsporingsdiensten moeten binnen de wet hun werk kunnen doen, Microsoft wil zijn klanten beschermen tegen massale verzameling van gegevens.”

Zijn zulke ontwikkelingen een bedreiging voor de inkomsten van Microsoft?

„Ik denk dat, als er een te verregaande wet wordt ingevoerd, het wel een impact zou kunnen hebben. Maar zo ver zijn we nog niet. Ondertussen beschermen we de gegevens van onze klanten, soms door gesprekken met overheden te voeren en soms met rechtszaken.”

Microsoft publiceert, net als andere techbedrijven, een transparantierapport waarin het zoveel mogelijk informatie deelt over dataverzoeken van overheden en veiligheidsdiensten. Helemaal transparant is dat nog niet, erkent Lynch. Zo mag Microsoft vaak niet publiceren dat opsporingsdiensten toegang tot data vragen. Overheden kunnen zogeheten gag-orders uitvaardigen, een zwijgplicht voor het bedrijf in kwestie. Lynch: „Het aantal gag-orders stijgt en de zwijgplicht geldt vaak voor lange periodes. Dat is niet goed.” Microsoft klaagde in april het Amerikaanse Ministerie van Justitie aan om af te kunnen dwingen dat het bedrijf zijn klanten kan informeren als de federale overheid Microsoft om klantgegevens vraagt. Het kreeg daarbij steun van onder meer Google en Apple.

Het jaar van de Snowden-onthullingen viel voor Microsoft samen met het vertrek van topman Steve Ballmer, exponent van de oude Microsoft-generatie. Ballmers vertrek heeft het bedrijf geen kwaad gedaan. In drie jaar tijd wist de huidige topman Nadella de beurswaarde te verdubbelen tot 480 miljard dollar. Nadella moderniseerde Microsoft: hij normaliseerde de relaties met oude vijanden als Google en de gemeenschap van gebruikers van het open source-besturingssysteem Linux. Hij verhuisde alle diensten naar de cloud. De wereld verandert in één grote Windows-computer, met sinds kort ook een datacentrum in Noord-Holland.

Microsoft verhuurt rekenkracht en software aan zakelijke klanten. Met alleen opslag van data kun je je als technologiebedrijf niet onderscheiden. Daarom verkoopt Microsoft zijn klanten software om meer waarde uit hun gegevens te halen. Het toverwoord is kunstmatige intelligentie; zogeheten deep learning-technologie herkent patronen in uiteenlopende soorten data. Met die bevindingen kunnen bedrijven efficiënter werken of nieuwe producten ontwikkelen. De intelligent cloud, zoals Microsoft dit terrein noemt, beslaat al eenderde van de omzet. Ook Amazon en met name Google investeren veel in kunstmatige intelligentie op hun servers.

Die techniek is ook terug te vinden op onze eigen computers, in de vorm van Microsofts digitale persoonlijke assistent Cortana. Die moet concurreren met Googles, Apples en Amazons persoonlijke assistenten, technologieën waarvan de grote bedrijven veel verwachten de komende jaren. Digitale persoonlijke assistenten beloven het leven een stuk eenvoudiger te maken , maar hebben daarvoor wel veel persoonlijke gegevens nodig. „Hoe meer data hoe beter voor kunstmatige intelligentie”, erkent Lynch. „De belofte van kunstmatige intelligentie om de samenleving te verbeteren door mensen veel werk uit handen te nemen, is afhankelijk van de gegevens die het systeem kan benutten.”

Data over hartslag

Cortana kan bijvoorbeeld uit e-mails van Outlook opmaken dat je een vlucht hebt geboekt. Als Cortana vervolgens de vlucht automatisch in je agenda wil plannen, moet ‘ze’ wel bij informatie over persoonlijke afspraken kunnen. Lynch: „Dat kan natuurlijk heel handig zijn maar er zijn ook mensen die dat niet willen.”

Microsoft heeft toegang tot zeer gevoelige informatie over individuen. Lynch draagt zelf bijvoorbeeld een Microsoft Band; een armbandje met allerlei sensoren. „Die meet mijn hartslag . Dat kan gevoelige informatie zijn en dus hebben we daaromheen veel bescherming gebouwd.”

Microsoft laat gebruikers zelf veel privacy-instellingen aanpassen en zet bijvoorbeeld standaard het verzamelen van locatie-data in de meeste apps uit. „Openheid over de keuzes, en vrijheid om zelf de mate van privacy te bepalen zijn cruciaal.”

Maar kunnen mensen zelf inschatten wat de gevolgen zijn van bepaalde instellingen - als ze die al weten te vinden?

Lynch staat op van zijn stoel en tekent op een whiteboard een driehoek die de machtsbalans moet voorstellen tussen bedrijven, overheden en individuen. „In de tijd voor het web - laten we het voor de grap 1984 noemen - hadden individuen veel controle over hun data. Het was vrij makkelijk om bij te houden waar je privé-informatie was en wie daar toegang toe had.”

Door de opkomst van internet kregen bedrijven en overheden meer invloed, zegt Lynch. „Nu moeten we weer opnieuw een balans vinden. Soms komen overheden juist voor het individu op, door bijvoorbeeld het ‘recht om vergeten te worden’ in te voeren.” Dat is een Europese regel waardoor zoekmachines en andere internetdiensten op verzoek gevoelige informatie over personen moeten verwijderen.

Naast overheden zal ook het individu een nieuwe, actievere rol moeten spelen om zijn eigen privacy te bewaken, verwacht Lynch. Maakt Microsoft zich er zo niet te makkelijk vanaf door veel verantwoordelijkheid bij klanten neer te leggen ?

Lynch: „Mijn broer, hij is een dertiger, kan goed omgaan met technologie en kan prima zelf wat instellingen aanpassen. Maar mijn moeder in Nieuw-Zeeland, die in de 70 is, wil technologie gebruiken die gewoon veilig is. Microsoft moeten allebei deze groepen kunnen bedienen. Dat maakt mijn werk complex. Maar dat is nou net wat ik zo leuk vind aan privacy.”