Wordt een multinational gechanteerd door hackers of worstelt een topbestuurder met ict-privacyvraagstukken? Dan wordt opvallend vaak de Nederlandse hoogleraar en advocaat Lokke Moerel ingeschakeld voor juridisch advies. Toch moet ze in Nederlandse bestuurskamers nog vaak eerst ‘een bruggetje’ over. ‘Goh, gaat dit meisje ons echt uitleggen hoe onze digitale strategie beter moet?’
Het moment waarop de carrière van Lokke Moerel een vlucht nam? Toen ze als jonge advocaat een opdracht kreeg waar ervaren collega’s de neus voor ophaalden.
De pas afgestudeerde Moerel werkte begin jaren negentig op een advocatenkantoor op de afdeling gespecialiseerd in intellectuele eigendom. De cultuur destijds: octrooizaken over grote dure machines, die zijn voor de ervaren advocaten, daar zit het grote geld. Auteursrecht – op muziek, op boeken – daar is geen geld te verdienen, dat is voor de jonkies. En zo kreeg Moerel een zaak van een bedrijf dat wilde optreden tegen het kopiëren van hun tekstverwerkingsprogramma.
‘Tekstverwerkingsprogramma’, klonk het op de werkvloer. ‘Ha! Typen is voor secretaresses.’
De naam van het bedrijf achter dat tekstverwerkingsprogramma, en daarmee een van de eerste grote klanten van de jonge Moerel? IBM.
Daarna ging het hard. Zo hard dat Eelco Blok, voormalig bestuursvoorzitter van KPN, Moerel typeert als ‘internationale grootheid op haar terrein’ en Corien Prins, de voorzitter van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR), Moerel omschrijft als ‘superrelevant op een van de belangrijkste thema’s van deze tijd’.
Doordat Moerel voor haar promotie de privacy- en ict-wetgeving van zo’n beetje alle landen ter wereld uit haar hoofd leerde kennen, is ze een veelgevraagd adviseur bij multinationals en overheidsinstanties. Wordt een internationaal bedrijf gechanteerd door hackers? Dan vliegt Lokke Moerel in als teamleider en juridisch expert. Wil een telecombedrijf geld verdienen aan gebruikersgegevens én zich netjes aan de privacywetgeving houden? Moerel bedenkt een oplossing. En dan is ze ook nog één dag in de week hoogleraar aan de Universiteit van Tilburg, en lid van de gezaghebbende Cybersecurityraad, die het kabinet onder meer adviseert hoe we ons beter moeten wapenen tegen de cyberspionage van landen als Rusland en China.
Vraag het aan mensen die haar kennen, en ze benadrukken allemaal hoe benaderbaar Moerel is, ondanks haar notering in toplijstjes met invloedrijke Nederlanders. Maar, zeggen haar kennissen ook, Moerel is zeker geen allemansvriend die met alle winden meewaait. Als Moerel iets vindt, dan zal ze het je in niet mis te verstane woorden laten weten ook. Dat zal ook de verslaggever van deze krant merken, wanneer Moerel aan haar keukentafel een pijnlijk college geeft over de cookiemuren van de websites van de uitgever van onder meer de Volkskrant, waarover later meer.
Wie is Lokke Moerel?
23 september 1965 geboren te Zwolle als Liselore. Een naam waarvan haar kleine zus als dreumes ‘Lokke’ maakte, en die naam beklijfde. Moeder is maatschappelijk werker, vader notaris. ‘Mijn ouders gaven me op jonge leeftijd al veel verantwoordelijkheid. Bij een feestje zeiden ze nooit hoe laat ik thuis moest zijn. Wel vroegen ze altijd langs hun neus weg of ik de volgende dag moest tennissen. En tsja, ik was toen B1-speler en bloedfanatiek, dus maakte ik het nooit laat.’
Jaren tachtig Rechtenstudie in Leiden en Cambridge.
1989-2015 Partner bij De Brauw Blackstone Westbroek Advocaten en Linklaters, in Londen.
2011 Promotie Universiteit Tilburg, op de verschillen en overeenkomsten van ict-wetgeving tussen landen, en hoe multinationals daarmee om moeten gaan bij het opzetten van wereldwijde bedrijfssystemen.
2013 - nu Hoogleraar Global ICT Law in Tilburg. Aanstelling van 1 dag per week.
2015 - nu Lid Cyber Security Raad, die de regering adviseert over cybersecurity.
2015 - nu Voorzitter raad van toezicht Mauritshuis. Eerder was ze toezichthouder bij het WNF, Pink Ribbon en Vereniging Rembrandt.
Moerel is getrouwd en heeft drie kinderen en twee border terriers vernoemd naar figuren uit Lord of the Rings (Gimli) en Star Wars (Chewie). ‘Tja, dat zal je leren je kinderen de namen te laten kiezen’.
U komt geregeld bij bedrijven wanneer ze slachtoffer zijn van een hack. Wat treft u dan aan?
‘Chaos. Wie doet dit? Wat willen ze van ons? Samen met forensisch specialisten inventariseer ik eerst hoe de systemen zijn geïnfiltreerd en welke data zijn gestolen. Is het lek al gedicht of vloeit er nog steeds informatie weg? Het is echt oppassen. We zien steeds vaker afleidingsmanoeuvres waarbij iedereen bezig is met een opzichtige hack, terwijl de data waar de hacker echt op uit is via een ander kanaal worden gestolen. Als de patronen vreemd zijn of we denken dat de hackers ‘state sponsored’ zijn door landen zoals China, dan benaderen we de FBI om te kijken of die vergelijkbare patronen ziet bij andere bedrijven. Zodra je weet dat informatie is gestolen, gaat de stopwatch aan voor de notificatieplichten, die per land verschillen. Grote les: je moet wereldwijd al je klanten, partners, onderaannemers, en autoriteiten tegelijk inlichten. Er is geen autoriteit die accepteert dat je een andere autoriteit eerder hebt ingelicht. Het zijn extreem hectische dagen waarop ik totaal de controle over mijn agenda verlies.’
Bedrijven en overheden hebben hun cybersecurity geregeld niet op orde. Onlangs bleek nog dat het interne netwerk van honderden Nederlandse bedrijven en van het ministerie van Justitie en Veiligheid en de luchtverkeersleiding maandenlang wagenwijd open stond voor kwaadwillenden.
‘Omdat een update niet bijtijds was geïnstalleerd. Pijnlijk.’
U bent lid van de Cybersecurityraad, die de regering adviseert en erop hamert dat de cyberveiligheid beter moet. Toch blijven dit soort problemen telkens weer de kop opduiken.
‘Vergeleken met een paar jaar geleden is er meer bewustzijn, maar we zijn er inderdaad nog lang niet. Met cybersecurity is het op beleidsniveau soms net als met het milieu: iedereen roept hoe belangrijk het is, maar het lijkt wel of er eerst iets goed mis moet gaan voordat er echt actie komt.’
In een TEDx presentatie op YouTube fileert u de makers van apps en websites die gebruikers vragen hun ellenlange voorwaarden te accepteren. Wat is daar zo erg aan?
‘De gebruiksvoorwaarden van YouTube tellen 18.357 woorden. Macbeth van Shakespeare telt 17.121 woorden. Denkt u echt dat mijn kinderen voordat ze op ‘oké’ klikken eerst een tekst zo lang als Macbeth gaan lezen? Niemand doet dat. En dus hebben mensen geen idee waarmee ze akkoord gaan, wat die apps allemaal van je bijhouden. Vanochtend op Buienradar gekeken? Dat is een app van RTL. Dan gingen je gegevens door naar alle RTL-bedrijven en de uitgevers waarmee RTL samenwerkt, zoals Sanoma, de Telegraaf-groep en ook de uitgever van de Volkskrant zelf, DPG Media. Je gegevens gaan verder naar 248 advertentienetwerken en alle socialemediabedrijven.’
Dan weten al die bedrijven dat ik weleens een filmpje van een mooi doelpunt heb geliket en krijg ik vervolgens vaker advertenties voor voetbalkleding te zien. Moet ik me daar nou druk om maken?
‘Ja dus. Mensen denken vaak: ik heb niks te verbergen, wat kunnen ze nou met mijn likes en surfgedrag? Het gaat niet om die banale gegevens, maar wat je daaruit met kunstmatige intelligentie kan afleiden. Ze kunnen op basis van deze gegevens een inschatting van je persoonlijkheid maken en zelfs je real-time emotionele gemoedstoestand inschatten, of je angstig, depressief, of geagiteerd bent. Het Cambridge Analytica-schandaal was wat dat betreft een wake-upcall. Uiteindelijk had dit bedrijf van veel Amerikanen vier- tot vijfduizend datapunten, waardoor ze niet alleen hun politieke voorkeur wisten, maar ook wie te beïnvloeden was en zelfs op welk onderdeel. Hoe meer je over iemand weet, hoe makkelijker je hem of haar kunt manipuleren.’
Politieke propaganda is van alle tijden. Ook vóór het internet maakten politici er al gebruik van.
‘Maar toen kreeg iedereen dezelfde propaganda te zien. Dan kon je het er samen over hebben: hé, we zien allemaal dit televisiespotje, kan dat wel door de beugel? Degene die de boodschap brengt, kan dan ter verantwoording worden geroepen. Maar bij microtargeting zie jij iets anders dan ik, en ik weer iets anders dan mijn buurvrouw. En je hebt geen idee waarom juist jij die boodschap krijgt voorgeschoteld en wat die afzender bij je probeert te bereiken. Als we niet oppassen, worden we marionetten, terwijl we niet goed kunnen zien wie er aan welke touwtjes trekt. Ik concludeerde een tijd geleden al dat we microtargeting voor politieke boodschappen moeten verbieden. Twitter laat helemaal geen politieke advertenties meer toe, maar daarmee zijn we er niet. De betaalde advertenties vallen in het niet bij de gewone posts, memes en video’s op sociale media met politieke desinformatie. De reguliere media zijn verantwoordelijk voor de inhoud die ze brengen, maar de sociale media ontlopen dit. Dit is niet acceptabel. Als we dit niet onder controle krijgen, wordt onze democratie een speelbal van de spindoctors van degenen die het minder nauw met de waarheid nemen.’
U bent een dag in de week hoogleraar. De rest van uw tijd werkt u vooral bij het internationale advocatenkantoor Morrison & Foerster, met grote techbedrijven als klant. Dan bent u toch ook in dienst van de ‘dark side’, waarbij u grote bedrijven juist helpt om nog meer macht te vergaren?
‘Ha, zo kun je dat bekijken. Maar ik dacht op een gegeven moment: ik kan hier wel aan de kant blijven staan roepen dat het allemaal niet deugt, maar op deze manier heb ik meer invloed. Ik word vaak betrokken in het ontwerpstadium, waardoor je nog echt een verschil kunt maken. Er zijn innovatieteams met vaak jonge mensen, die ik hoop te inspireren het anders te doen. Verder probeer ik in mijn werk gebruikers in ieder geval meer controle te geven over welke gegevens ze delen met websites en bedrijven. Dat er een echte keuze is, die je op elk moment via een gebruiksvriendelijk dashboard zelf kunt veranderen. Het rare is: zodra je gebruikers die mogelijkheid geeft, gaan ze je bedrijf meer vertrouwen en zijn ze vaak bereid méér gegevens met je te delen. Dat noemen we de controleparadox.’
Elke website een supergebruiksvriendelijk privacydashboard, waarna mensen minstens zo makkelijk hun gegevens weggeven. Dan helpt u die bedrijven toch juist om meer kennis over ons te verzamelen?
‘Ik ben niet tegen gepersonaliseerde digitale diensten zolang de gegevens alleen worden gebruikt om die dienst te leveren en te verbeteren. Ik wil op mijn videokanaal aanbevelingen van series die ik waarschijnlijk leuk vind. Ik wil van de NS horen of mijn trein die ik altijd neem vertraging heeft. Maar ik wil niet dat die data vervolgens de hele wereld over gaan en ik er geen controle meer over heb. Dit is in feite wat de Europese privacywet AVG vereist, maar ondanks de hoge boetes blijft handhaving onaanvaardbaar achter. Als we niet in actie komen, is het lastig om bepaalde zaken nog terug te draaien. Mag ik in dat verband iets zeggen over de website van de Volkskrant?’
Wat is daarmee?
‘Jullie schrijven geregeld kritisch over grote techbedrijven die onze privacy te grabbel gooien. Terecht. Maar dan nu de site van de Volkskrant, die heeft een cookiemuur, waardoor ik alleen op de site kan als ik alle cookies accepteer. De krant plaatst vervolgens tientallen cookies die informatie, zoals welke artikelen ik lees, doorsluist naar externe advertentiebedrijven, waaronder die van Google en Facebook. Na eerdere kritiek hebben jullie nu een cookieverklaring, onderaan verstopt, met een link waar een betalende abonnee de digitale versie van de papieren krant kan lezen, zonder dat tracking cookies worden geplaatst. Zelfs de abonnee die deze optie vindt, moet dus nog steeds naar de website voor het laatste nieuws, en heeft daar geen optie de tracking cookies uit te zetten. Het is in strijd met de wet, maar ik vind het vooral Volkskrant onwaardig. Wél kritisch schrijven over Cambridge Analytica en Facebook, maar ondertussen zelf alle informatie van bezoekers van jullie site klakkeloos doorgeven.’
Mediabedrijven zeggen dan dat ze zonder de inkomsten van die cookies geen kwaliteitsjournalistiek kunnen bedrijven.
‘Aperte onzin. Ik uitte ook al eens publiekelijk kritiek op de cookiemuur van NRC. Die stuurden me direct een brief op hoge poten of ik dat eens even wilde komen toelichten, anders zouden ze maatregelen nemen. De ceo en het hoofd digitaal trokken bleek weg toen ik ze liet zien welke advertentienetwerken allemaal hun bezoekersgegevens afroomden. Ze zeiden: dit past niet bij ons, hoe kan het anders? Binnen een paar maanden stapten ze over op contextueel adverteren: niet meer door bezoekersdata te delen met advertentienetwerken, maar door advertenties af te stemmen op de inhoud van artikelen. Dus bij een nieuwsbericht over golf een advertentie over golfkleding. Kunstmatige intelligentie voorspelt welke advertenties het beste worden bekeken bij welke berichten. Dit is niet nieuw, bijvoorbeeld The New York Times doet het ook. Al met al doen ze het nu goed, maar ook daar glipt er nog af en toe een tracking cookie binnen via een aangeleverde advertentie. Het is lastig een site helemaal schoon te houden.’
Wat doet het afschaffen van zo’n site vol cookies met de inkomsten?
‘Bij een overgang naar contextueel adverteren zien we meestal een daling aan onlineadvertentie-inkomsten van minder dan 5 procent. Het dalingspercentage van de totale omzet is veel lager, want er zijn natuurlijk ook nog inkomsten van abonnees en van adverteerders voor de papieren krant. Het is dus een huilverhaal dat je zonder cookies geen kwaliteitsjournalistiek kunt bedrijven. Mijn voorspelling is dat NRC door deze beslissing juist meer abonnee-inkomsten gaat krijgen. Ze hebben nu echt een beter verhaal dan jullie uitgever.’
Reactie DPG Media, uitgever van onder meer de Volkskrant:
‘Het data- en cookiebeleid heeft continu onze aandacht. Op dit gebied handelt DPG Media zoals de rest van de markt en binnen de kaders van de wet- en regelgeving. Wij verkopen geen data aan derden. Wij herkennen ons dan ook niet in de cijfers die Lokke Moerel noemt in dit interview. Desalniettemin staan wij altijd open voor dialoog, want ideeën ter verbetering zijn natuurlijk welkom.’
Reactie RTL, waar Buienradar onderdeel van is:
‘Als je de Buienradar-app gebruikt worden er niet meer of minder gegevens verzameld of gedeeld dan bij andere apps of websites van andere nieuwsmedia. In de privacyverklaring van RTL leggen we uit wat er met je gegevens gebeurt als je de apps van RTL gebruikt. Alle gegevens die we verzamelen worden gebruikt om profielen op te stellen van gebruikers zodat we onze content, inclusief advertenties, kunnen afstemmen op hun interesses. Zo kan een gebruiker op basis van het surfgedrag opgenomen worden in een bepaalde categorie, zoals ’mannen in de leeftijdscategorie 30 tot 45 jaar met een interesse in voetbal’. Deze groep krijgt andere advertenties te zien dan de categorie ‘vrouwen in de leeftijdscategorie 20 tot 30 jaar met een interesse in reizen’. RTL deelt deze profieldata met de in zijn privacystatement genoemde partijen. Voor alle duidelijkheid: de profielen die op deze manier worden ingezet bevatten uitsluitend anonieme data en hebben altijd betrekking op een groep van gebruikers.’
De Autoriteit Persoonsgegevens wil niet reageren op de vraag of deze sites zich aan de privacyregels houden.
‘Moeder en fulltime werken? Zo hé, jij bent ambitieus!’
Lokke Moerel op een podium, met om haar heen een zaal vol toeschouwers: allemaal mannen. Het valt op in de video van On2IT, waarbij Moerel een presentatie geeft over cybersecurity. ‘In mijn werkveld – cybersecurity, bestuurskamers – zijn vrouwen inderdaad in de minderheid. Het wordt de laatste jaren gelukkig wel beter.’
Toch denkt ze geregeld: als ik een man was geweest, was dit anders gegaan. Toen Moerel moeder werd en besloot fulltime te blijven werken, kreeg ze regelmatig de reactie: ‘Wat ben jij ambitieus zeg.’ ‘En dat was niet positief bedoeld.’ Of: ‘Hoe moet dat dan met de kinderen als je fulltime werkt?’ Waarop Moerel antwoordde: ‘Nou, weet je wat het grote geheim is? Je werkt vier dagen. En dan nog één.’
Ander voorbeeld. Gaat ze naar een diner, belandt ze naast mannen die eerst hun hele cv opsommen, om dan te zeggen: ‘Laten we het nu ook over jou hebben: wat doet je man?’ ‘Vergeleken met mijn werk voor Amerikaanse bedrijven loopt Nederland echt achter. Hier moet ik bij een bestuur altijd eerst dat bruggetje over. Goh, gaat dat meisje ons vertellen hoe we onze digitale strategie beter moeten inrichten? Daarna pas de kentering: o, ze weet ’t echt.’
Haar internationale advocatenkantoor omschrijft ze als ‘op alle aspecten veel diverser en inclusiever dan willekeurig welk Nederlands kantoor’. ‘Er zijn partners die als vluchteling in Amerika zijn gekomen, gay zijn is er de normaalste zaak van de wereld. Vrouw zijn is al helemaal niet bijzonder. En dan zie je pas hoe prettig dat is. Omdat iedereen zo divers is, moet je veel beter naar elkaar luisteren om tot gemeenschappelijke visies en diensten te komen. Op dit punt lopen we in Nederland echt achter.’
Geen fan van de like-knop
Ooit tikte Lokke Moerel er zelf geregeld op: de like-knop. Maar dat doet ze steeds minder. ‘Populariteit was vroeger impliciet, nu is het een zichtbare ranglijst wie de meeste likes krijgt. Ik vind vooral het effect op de jeugd hiervan zorgelijk. Onderzoek laat zien dat vooral kinderen die toch al laag zelfbeeld hebben, in zak en as zitten als een bericht niet genoeg likes krijgt. Dat kan toch niet de bedoeling zijn.’ Ze is niet de enige die bedenkingen heeft bij het beroemde duimpje. Zelfs de uitvinder ervan, de Amerikaan Justin Rosenstein, heeft spijt van zijn creatie en waarschuwt voor de verslavingsgevoeligheid van sociale media. Moerel: ‘Facebook neemt nu gelukkig zelf ook zijn verantwoordelijkheid door te experimenteren met het weghalen van die likes, om te voorkomen dat hordes mensen zich ongelukkig voelen omdat ze te weinig duimpjes bij hun berichten zien.’
