De Europese wetgeving rond privacybescherming is helder en voor iedereen gelijk. In juridische zin maakt het niet uit of je privacygevoelige gegevens met derden deelt via een touchscreen, een toetsenbord of een slimme luidspreker. De juridische positie van de derde partij die jouw privacygevoelige data aanraakt, is afhankelijk van wat die partij ermee doet. 

Ayuto is – als operator van de Emma Zorgt dienstverlening – te kenmerken als verwerkingsverantwoordelijke voor de AVG. Met die verantwoordelijkheid komt de verplichting om zaken rondom gegevensverwerking netjes op orde te hebben. Wij vragen niet meer gegevens dan noodzakelijk en bewaren die gegevens niet langer dan nodig. Wij houden een verwerkingsregister bij en hebben een data protection impact analyse (DPIA) gemaakt. Op onze website publiceren wij een degelijke privacy statement en wij organiseren bewustwordingssessies rondom informatieveiligheid met onze medewerkers. Wij programmeren onze software volgens het privacy by design principe en de basis-settings in onze applicaties zijn privacy by default ingericht. Om zo maar een paar dingen te noemen.

In het Nederlandse taalgebied gebruiken wij de smartspeakers en achterliggende AI van Google. Om die reden wordt Google in deze tekst regelmatig als concreet voorbeeld aangehaald. Wij werken met Google omdat hun conversational AI-platform veel bruikbare basisintelligentie levert en Nederlandstalig is. Het is prachtige technologie en Google faciliteert hiermee een groot potentieel van oplossingen voor de zorg. Maar er zijn twee privacy-issues die aandacht vragen.

Issue 1: transparantie over gegevensdeling

Techbedrijven in het algemeen verwerken zeer veel data van gebruikers en leggen verbanden tussen die data door een breed scala aan technische koppelingen en analyses. Google – in onze case – verdient daar veel geld mee en is zodoende belanghebbende geworden. Het bedrijf positioneert zich daardoor in juridische zin als mede-verwerkingsverantwoordelijke. Die situatie is in de privacywetgeving voorzien en gereguleerd.

De verwerkingsverantwoordelijkheid voor dataverwerking in de Europese Economische Ruimte ligt bij Google Ireland Ltd., de Europese vestiging van Google. Dit Ierse bedrijf heeft alleen bestaansrecht, wanneer het zich netjes houdt aan de Europese wetgeving rond privacybescherming, de GDPR (of in het Nederlands de AVG). Google Ireland Ltd. ligt onder een vergrootglas en zijn belangen in Europa zijn relatief groot. Daarom heeft Google zijn privacy policy zeer behoorlijk op orde. 

Wel zouden techbedrijven (in relatie tot smartspeakers zijn dat met name Amazon, Apple, en Google) meer aandacht moeten besteden aan transparantie. De basis-settings van veel Google-services bijvoorbeeld blijken niet privacy by default te zijn ingericht, wat vanzelfsprekend argwaan wekt. Google biedt veel mogelijkheden om gegevensdeling te beperken, maar standaard staat alles gewoon aan.

Issue 2: techbedrijven luisteren mee

Niet zo lang geleden was er paniek in de tent omdat Amazon, Google en Apple ons massaal zouden afluisteren via hun smart speakers. De werkelijkheid bleek gelukkig veel genuanceerder, maar de toon was gezet. Ook hier speelt transparantie een allesbepalende rol.

Voor alle duidelijkheid, spraakassistenten via smartspeakers luisteren inderdaad altijd mee, maar ze nemen niet altijd alles op wat je zegt. Ze luisteren eigenlijk maar naar één ding, hun ontwaakwoord. Voor Google is dat ‘Hey Google’ of ‘Oké Google’. Pas als je die woorden hebt gezegd, gaat er door Google Assistant echt geluisterd worden naar wat je zegt. En wat je zegt, wordt ‘by default’ ook geregistreerd als een transcriptie, een stukje geschreven tekst. Die tekst is de basis van een spraakopdracht aan Assistant. De transcriptie van je gesproken tekst kun je automatisch per direct, of na een bepaalde periode (3 maanden of 18 maanden) door Google Assistant laten verwijderen. Maar je kunt er ook voor kiezen om de transcriptie te behouden tot je besluit om hem handmatig te verwijderen.

De intentie waarmee techbedrijven sommige van die voice-transcripties analyseren en interpreteren is prima. Het is bedoeld om slimme spraakassistenten nog slimmer te maken. Als een smartspeaker iets hoort wat hij niet begrijpt, wordt een transcriptie van het geluidsfragment naar een taalexpert gestuurd, die er vervolgens chocola van moet maken. Met die menselijke interpretatie is de spraakassistent weer een stukje slimmer geworden. Het is eigenlijk hetzelfde als ‘dit gesprek kan worden opgenomen voor trainingsdoeleinden’, de bekende melding die je hoort als je een klantenservice belt. Tot zover geen schokkend nieuws.

Een op de 500 spraakopdrachten (0,2%) komt op die manier bij Google terecht. En heel soms stuurt een smart speaker per ongeluk een fragment naar Google, waarin meer dan de bedoelde spraakopdracht is te lezen. Privéinformatie wordt weliswaar gemaskeerd en vervormd. Maar toch worden heel soms gesprekken geregistreerd waarin mensen seks hebben met elkaar, waarin een medisch detail wordt prijsgegeven of andere persoonlijke informatie onbewust wordt gedeeld. 

De taalexperts die die informatie onder ogen krijgen, werken vanzelfsprekend onder een geheimhoudingsplicht. Maar enige tijd gelden klapte een Belgische taalexpert van een Google contractant uit de school over wat hij zoal te horen kreeg. En op dat moment kwam pijnlijk naar voren dat Google vergeten was te vertellen dat geluidstranscripties door mensen kunnen worden beoordeeld en geïnterpreteerd met het doel om de service te verbeteren. Ook de andere techbedrijven hadden overigens verzuimd dit te doen. 

Wederom bleek transparantie de achilleshiel van de techbedrijven te zijn. En dat is jammer, want het is niet nodig. We maken grotendeels gratis gebruik van de services van deze bedrijven. En we weten ondertussen allemaal wel dat je onderdeel bent van het product als je er niet voor betaalt. Dus waarom zou je als techbedrijf niet wat proactiever communiceren over hoe je met de gegevens van je gebruikers omgaat en waarom je dat doet?

Hoe nu verder met smart speakers in de zorg?

De twee besproken issues zijn goed te ondervangen door de juiste keuzes te maken in de privacy-instellingen van de Google-services en in het bijzonder die van de spraakassistent en de smart speaker. Het potentieel van deze technologie voor de zorg is zodanig groot, dat het de moeite waard is om die privacy-instellingen goed in te richten. Wij zien het inrichten van die instellingen als een basistaak binnen onze dienstverlening. Als wij samen met een zorginstelling een project inrichten voor duizend gebruikers, zorgen wij dat bij al die gebruikers de afgesproken privacy-instellingen worden geconfigureerd.

Wij begrijpen heel goed waar de kwetsbaarheden van onze gebruikers de ambities van onze technische leveranciers kruisen. En wij weten ook exact hoe we die twee werelden via privacy-settings van elkaar kunnen scheiden. Ons doel is om die prachtige technologie positief te laten werken voor mensen die zorg nodig hebben.

Ayuto helpt patiënten en zorgverleners met oplossingen vanuit een voice-first strategie. Om langer veilig en zelfstandig thuis te kunnen wonen, om gericht te werken aan een gezonde leefstijl of om beter te kunnen omgaan met eenzaamheid. Voice-first helpt zorgverleners bovendien om efficiënter te werken in betere omstandigheden.