04/08/16

Privacy in een virtuele omgeving: juridische uitdagingen voor VR en augmented reality

Na een eerste en minder geslaagde campagne in de jaren ’90 is Virtual Reality (VR) eindelijk weer hip. Deze keer zou het wel eens beter kunnen lukken. De technologie heeft immers gigantische sprongen voorwaarts gemaakt: gebruikers krijgen scherpe beelden te zien, wat resulteert in een betere gebruikerservaring met een kleinere kans op de schele hoofdpijn die twintig jaar geleden nog je deel was als ‘early adopter’. Daarenboven is het actieveld uitgebreid: naast de spelletjeswereld zien nu ook filmstudio’s, autobouwers, vastgoedbedrijven, modehuizen, de reissector en anderen het potentieel.

Ook augmented reality – het projecteren van digitaal gegenereerde beelden op een voor de rest waarheidsgetrouwe weergave van de realiteit – heeft kennelijk eindelijk zijn succesnummer gevonden met het spelletje Pokemon GO: iedere occasionele wandelaar heeft al kunnen vaststellen dat hij opeens het gezelschap heeft gekregen van ontelbare jagers op virtueel speelgoed dat enkel op het schermpje van hun smartphone zichtbaar is. De doorbraak lijkt dus een feit.


VR, augmented reality en schadebeheersing

Toch loeren er naast de commerciële risico’s – zijn er wel genoeg praktische toepassingen en/of games om de kopers te overtuigen? – ook juridische uitdagingen om de hoek.

Een eerste evident probleempje zit in de noodzaak om de gebruiker diets te maken dat hij weliswaar virtueel door een andere wereld waart, maar dat hij zich in werkelijkheid toch ook vooral op een echte fysieke plaats bevindt, waarin tafels, vazen en tv-schermen staan, of in zelfs straten, auto’s en rivieren. De nodige disclaimers en praktische waarschuwingen zijn dus nodig om de gebruiker op zijn verantwoordelijkheid te wijzen. Maar in een wereld waarin Youtube al bijna tien jaar montages bevat van gebruikers die hun tv-scherm met een Wii-mote ruïneren is dat wellicht geen onoverkomelijk probleem.  


Hoe virtueel wordt uw privacy?

Een grotere uitdaging is de naleving van regels op het gebied van privacy en informatiebeveiliging. De gebruikte apparatuur – of het nu gaat om uw smartphone of om een gespecialiseerde VR-headset - voegt namelijk noodzakelijkerwijs een nieuw kanaal toe waarlangs de gebruiker in de gaten wordt gehouden. Bijkomende sensoren moeten opmeten waar de gebruiker zich bevindt, waarnaar hij kijkt, hoe hij zich gedraagt en – afhankelijk van de toepassing -  zelfs wat hij zegt of hoort.

Wat er daarna gebeurt hangt heel erg van de context af. Als die gegevens zuiver lokaal worden gebruikt – bijvoorbeeld een computer in de huiskamer berekent wat de gebruiker moet zien en past de beelden in de headset aan – dan is er niet echt een privacy probleem. Maar in online toepassingen zoals multiplayer games moet minstens een deel van de gegevens via het Internet worden verstuurd; anders kunnen andere gebruikers immers niet zien wat je doet of zegt. Daarbij worden onvermijdelijk persoonsgegevens naar derden gestuurd, en dan begint het schoentje te wringen…


De wet en de realiteit

Zowel onder de huidige Belgische Privacywet als onder de toekomstige Europese Privacyverordening moet er immers aan een hele reeks voorwaarden worden voldaan. De gebruikers moeten voldoende informatie krijgen over welke gegevens zullen worden ingezameld en met wie deze gegevens worden gedeeld.

Indien gegevens naar bestemmingen buiten Europa worden verzonden – wat niet onwaarschijnlijk is, vermits ook in dit wereldje de grote leveranciers vooralsnog uitsluitend niet-Europees zijn – moeten er bovendien bijkomende waarborgen worden getroffen om de juridische bescherming van de data te verzekeren.

Daarbij moet men beseffen dat sommige gegevens behoorlijk gevoelig kunnen zijn en onderworpen zijn aan bijzondere beschermingsregels. Het hoeft geen betoog dat de fysieke locatie van een gebruiker best goed afgeschermd wordt, vooral bij games waarbij een deel van de gebruikers mogelijk minderjarig is.

En het is wellicht ook geen goed idee dat een headset-leverancier systematisch inzage krijgt in alle VR-toepassingen die de gebruiker uitprobeert: vermits vanzelfsprekend ook de porno-industrie snel op de VR-kar is gesprongen, zullen minstens een deel van de gebruikers toch het meest intieme deel van hun privacy willen afschermen.


Hoe moet het verder?

Het naleven van de Belgische en Europese privacywetgeving in een augmented reality omgeving is allesbehalve eenvoudig. Dat ligt niet aan de slechte wil van fabrikanten of aan slechte wetgeving, maar minstens ten dele aan het open karakter van de apparatuur: het is momenteel voor niemand duidelijk waarvoor de technologie gebruikt zal worden.

Blijven het vooral hebbedingetjes voor gamers? Zullen we binnenkort het WK voetbal ter plaatse bekijken met een VR-bril? Worden de klassieke conf calls vervangen door virtuele meetingzalen? Gaan we voor de beoordeling van bouwplannen van een huis voortaan even ter plaatse kijken, waarbij het nieuwe gebouw keurig wordt weergegeven op het scherm van onze tablet, geprojecteerd over de realiteit op straat? In een dergelijke open omgeving is het erg moeilijk om vooraf exact vast te pinnen wat er mag en niet mag, ook in privacy policies.


Flexibiliteit en oplettendheid

De sleutelwoorden voor zowel producenten als gebruikers zijn bijgevolg flexibiliteit en oplettendheid.

Flexibiliteit in de zin dat de juridische voorwaarden wellicht regelmatig bijgesteld moeten worden, in volle transparantie naar de eindgebruikers, zodat nieuwe toepassingen mogelijk blijven.

Maar ook oplettendheid: producenten mogen niet blindelings gegevens inzamelen vanuit een je-weet-nooit-waarvoor-het-kan-dienen-reflex.

Het privacy by design en privacy by default-principe van de Europese Privacyverordening wordt dus ook hier het ordewoord: de VR-omgevingen en augmented reality applicaties zullen zodanig gebouwd moeten worden dat privacybescherming ingebouwd en standaard geactiveerd is. Alleen op die manier kunnen gebruikers er vertrouwen in hebben dat hun privacy geen virtueel begrip wordt. 

dotted_texture