Privacy in verandering

Door Victor Ruhlmann, 30 May 2007

Het College Bescherming Persoonsgegevens geeft recent aan dat de huidige handhaving van de wet op de bescherming van persoonsgegevens achterhaald is. De Eerste Kamer blijft tegenstander van het voorliggend wetsvoorstel waarmee het BurgerServiceNummer ingevoerd moet worden. In het wetsvoorstel zijn volgens de senaat te weinig waarborgen voor een zorgvuldige en transparante omgang met geregistreerde gegevens van elke burger. Twee actuele berichten over een ontwikkeling die al langer gaande is.

De huidige wetgeving rondom registratie van en toegang tot persoonsgegevens kent een verouderde statische benadering met strikte voorschriften, beschermende ‘kaders’ en beperkte sanctiemogelijkheden. De wet kenmerkt zich vooral door een hiërarchische visie over de toegang en inzage in persoonsgegevens. Wat niet mag is niet toegestaan en daarmee verboden. Wat dit verbod nog waard is in de immer toenemende digitalisering van de gehele samenleving is zeer twijfelachtig. Een pleidooi voor hogere boetes door het CBP getuigt van een gebrek aan oplossingsvermogen en ambitie. Zinvoller is het om met bondgenoten (zoals de Eerste Kamer) druk uit te oefenen op de politiek om te komen tot een herziening van de bestaande wetgeving.

In het nieuwe wettelijk kader moeten in elk geval twee principes centraal staan:

1. Het recht op inzage en mogelijkheid tot correctie van (verkeerd) geregistreerde gegevens voor elke burger. Eventueel via een intermediair zoals het CBP.
2. In plaats van uitsluitend verbieden is het zinvol de registratie en uitwisseling van gegevens te definiëren vanuit de aantoonbare schade die kan ontstaan voor de betreffende burger en zijn persoonlijke levenssfeer.

Deze nieuwe wet moet ruimte geven aan de burger om zijn persoonsgegevens te kunnen beschermen. Vanuit de ondersteuning die de wet hem geeft kan hij als ‘eigenaar’ van zijn gegevens wellicht effectiever communiceren met de overheid, bedrijven en instanties. De nieuwe wet zou er aan kunnen bijdragen dat de gebruikers, verantwoordelijken en toezichthouders zich meer bewust worden van de waarde en noodzaak van de ‘bescherming’ van de geregistreerde gegevens van elke burger. Ook zou het hen wellicht kunnen stimuleren een coalitie te gaan vormen om dit recht ook in de toekomst een bestaansrecht te geven. Het wachten is nu op de politici, beleidsmakers en beslissers die de urgentie gaan inzien en zich hiervoor willen gaan inzetten.

Een bijdrage van Victor Ruhlmann

Victor Ruhlmann is beleidsmedewerker Werk, Inkomen, Zorg en Digitalisering.

Reacties

Commentaar is gesloten

  1. Hans 30 May, 2007 15:36:26

    Naar aanleiding van de twee principes die je noemt:

    1. Het recht op inzage en correctie bestaat al. Wanneer dat via een intermediair als bijvoorbeeld CBP zou moeten, zou dat betekenen dat het CBP op de een of andere manier over een grote centrale database met alle gegevens zou moeten beschikken. In de functie van intermediair zou CBP immers in staat moeten zijn, te controleren of alles gebeurt volgens de afgeproken regels. Ik vraag me af of dat wenselijk is.
    2. Aantonen van schade die kan ontstaan lijkt me lastig. Zou je niet liever zaken regelen voordat er sprake is van aantoonbare schade?

  2. Diederick van Velzen 31 May, 2007 22:04:17

    Het meten van de snelheid op de weg is al een privacyschending. Alleen de consensus is dat met het normaal vindt. Zo is iedereen het er over eens dat er om de vijf meter in Nederland een heuvel in de weg zit. Het is allemaal heel gewoon en niemand merkt dat er iets vreemds aan de hand is. Elke heuvel in de weg werkt onbewust op de mens in. Het is iets van de Overheid. Het klinkt misschien overdreven maar zo werkt (massa & associatie)psychologie. Het onbewust aanspreken. Overal zoveel mogelijk verkeersborden neer zetten. Psychologie. Het creert ‘authority’ in het onbewust. Mensen leven zo onbewust dat men deze zaken niet begrijpt of doorziet. Veelal zullen ze geen eens beseffen dat ze slachtoffers zijn. Sinds enige tijd rijd ik weer door rood op punten waar dat absoluut(!) geen gevaar oplevert. Dat geeft in psychologische zin een transformatie. De machine/overheid bepaalt niet meer of ik door kan rijden maar op eenvoudige kruispunten bepaal ik gewoon weer zelf of het veilig is. Het geeft een mens meer eigenwaarde.

  3. Diederick van Velzen 31 May, 2007 22:48:18

    Ps. Tegenwoordig betaal ik ook geen boetes meer. Ik ga ze gewoon uitzitten. Gezien het gevangenissen tekort is dit geen probleem gebleken.

  4. Buurman 31 May, 2007 23:16:20

    @ Diederick van Velzen:
    Interessant idee, burgerlijke ongehoorzaamheid om de eigen verantwoordelijkheid (waar het vrige kabinet zo op aandrong) terug te claimen. Ik zie alleen niet precies in hoe dat een oplossing vormt voor de eroderende privacy. Leg eens verder uit?

  5. Buurman 31 May, 2007 23:35:27

    Vandaag stond trouwens een aardig stukje hierover in het Financieel Dagblad. Ik plak het hieronder:
    Privacywetgeving is zelf het probleem

    De bestrijding van uitwassen in de controlemaatschappij begint met begrijpelijke wetgeving. Voorzitter Jacob Kohnstamm van het College Bescherming Persoonsgegevens zie onlangs dat de Wet bescherming persoonsgegevens niet meer goed te handhaven is. Hij pleit voor zwaardere sancties, maar uit onderzoek blijkt dat de wet zelf een probleem vormt. Deze is op vele punten onduidelijk en zelfs onbegrijpelijk, en sluit onvoldoende aan op technologische en maatschappelijke ontwikkelingen.

    De Wet bescherming persoonsgegevens (Wbp) stelt regels over wat wel en niet mag met persoonsgegevens: gegevens die herleidbaar zijn tot natuurlijke personen, zoals het Burger Service Nummer en telefoonnummers. Deze wet zou dus vragen moeten beantwoorden als: wat mag een opticien doen met de gegevens over uw ogen? Waarvoor kan Albert Heijn de gegevens gebruiken over uw dagelijkse boodschappen? Wat mag KPN doen met de gegevens over uw bel- en e-mailgdrag? De Wbp bevat vanwege het brede toepassingsbereik veel vage normen. Een voorbeeld: persoonsgegevens mogen worden verwerkt voor zover dat noodzakelijk is ter behartiging van de gerechtvaardigde belangen van degene die verantwoordelijk is voor die verwerking, tenzij de belangen van degene om wie het gaat prevaleren. In het recht zijn vage normen niet ongebruikelijk en bovendien niet ongewenst. Zij maken het voor rechters mogelijk om te beslissen over onvoorziene situaties.

    De wetgever wilde in het geval van de Wbp met vage en algemene normen voorzien in een passend wettelijk regime voor de vele sectoren waarin persoonsgegevens worden verwerkt, en de snelle technologische ontwikkelingen die het gebruik van persoonsgegevens beïnvloeden. Met de Wbp in de hand zouden vragen over het gebruik van gegevens over boodschappen en internetgebruik beantwoord moeten kunnen worden.

    In werkelijkheid zijn de bepalingen van de wet in zo algemene termen gesteld, dat ze voor een normaal mens onbegrijpelijk zijn. De wetgever meende indertijd dat de vage en algemene normen concreter zouden worden gemaakt via binnen specifieke sectoren op te stellen gedragscodes en via rechterlijke uitspraken. Er is vandaag de dag echter slechts een handvol privacygedragscodes, en de rechter is maar in een beperkt aantal gevallen gevraagd aan te geven hoe de wet in concrete situaties moet worden toegepast.

    Daardoor is nu bijvoorbeeld nog steeds onduidelijk wat iemand over een ander mag publiceren op een webpagina en of een smoelenboek op intranet toelaatbaar is. Enkele jaren geleden concludeerde het hoogste rechtscollege van de Europese Unie al dat een belangrijk deel van de privacyregels niet van toepassing is op internet, omdat de wetgever indertijd bepaalde ontwikkelingen niet had voorzien. Dat geeft stof tot nadenken over de vraag of de Wbp onze privacy tegen uitwassen van de controlemaatschappij beschermt.

    In de praktijk blijken nieuwe strafwetgeving en het gedrag van burgers de goede bedoelingen van destijds te ondergraven. Zo verandert de Wbp niets aan het feit dat gegevens over internet en telefonieverkeer moeten worden vastgelegd, en dat vrijwel elke sollicitant voor z’n eerste gesprek wordt ‘gegoogled’. Wij concluderen hieruit dat de ambities van de wetgever met de Wbp te groot zijn geweest. De effectiviteit van de wet is daardoor beperkt, en handhaving vaak onmogelijk.

    Zwaardere sancties op overtreding van onbegrijpelijke regels zijn vanzelfsprekend geen oplossing. Andere regels opstellen kan niet zomaar, omdat de Wbp gebaseerd is op een dwingende Europese richtlijn. Desondanks is het hoog tijd voor de formulering van duidelijker en specifieker regels p het gebied van persoonsgegevens. Zonder begrijpelijke wetgeving kan het grondrecht op bescherming van onze persoonlijke leefomgeving niet beschermd worden.

    De auteurs Dr Laurens Mommers en dr Gerrit-Jan Zwenne zijn verbonden aan eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij.

  6. Diederick van Velzen 1 June, 2007 07:56:58

    Is de overheid door mij ge-autoriseerd om macht over mij uit te oefenen ? In mij geval niet. Ik heb nooit schriftelijk nog verbaal aangegeven dat ik behoefte had aan begeleiding in mijn leven. Via consensus en opvoeding kunnen zulke zaken wel naar binnen worden geschoven. Het is vergelijkbaar met godsdiensten.

    De term ‘burgerlijke ongehoorzaamheid’ is dus iets wat ik niet goed begrijp. Ik kan niet aan iets ongehoorzaam zijn wat geen autoriteit is in mijn leven. Ik weet niet wanneer deze term voor het eerst zijn intrede heeft gedaan. In ieder geval ‘federale ongehoorzaamheid’ bestaat niet. Maar het is leuk bedacht.

    Vroeger liep ik zelf alleen naar de kleuterschool. Op een zeker moment was daar een ‘zebra-pad’. Felle witte balken op de straat zodat je precies wist waar je je voeten moest plaatsen om over te steken. Je leerde hoe je moest oversteken. Eerst links kijken dan rechts en dan nog eens links. Ik wist dus precies hoe ik mijn hoofd moest draaien voor het oversteken.

    Zo is in Nederland ook de gordel en nummerplaat verplicht. En verdomd als die calvinistische Neanderlaenders het niet zijn om als eerste in 1898 de nummerplaat verplicht te stellen. Je hoeft er geen pasfoto’s naast te plaatsen maar toch kan men nu aardig alles volgen en registreren.

    De gordel in de auto werd verplicht(1975, alleen voorin) Maar daar kon het niet bij blijven. En dus ook achterin verplicht.

    Geschreeuw als ‘Gordels om, ook achterin’ is dan ook een juiste houding van ‘de overheid’ ten aanzien van de gemiddelde ‘burgers’. Je laten afblaffen en dat zo laten is erger dan iemand afblaffen.

    Als men geen gordels draagt en het risico loop op letsel is dat geheel de persoonlijke zaak en verantwoordelijkheid van de individuele volle verstand persoon zelf. De ‘Nanny-state’ heeft daar verder niets meer mee van doen. Dat een moeder zich bezorgd maakt om een kind is gezond. Maar dit soort pathologische uitwassen zijn anno 1950 – 2050 eventjes gangbaar.

    Terugkomend op de vraag hierboven van menselijk initiatief(eigen wil/echt bestaan) versus overheidsbemoeizucht(autoriteitsdrang). De ‘privacy erosie’ gaat alleen door zolang de consensus daar ontvankelijk voor is. Dat wil zeggen dat zolang schaapachtig wordt aangezien wat erosie is; erosie gewoon doorgaat.

    ‘Burgerlijke ongehoorzaamheid’(zelf transformatie / bewustwording van zelf iemand te zijn) erodeert het autoriteits-idee in persoonlijke zin (maar ook maatschappelijk)en daarmee autoriteit(overheid) zelf. De overheid en haar ‘onderdanen’ staan altijd op gespannen voet met elkaar door de geschiedenis heen. Als een overheid dus te dominant wordt en bijvoorbeeld privacy schennist is erosie nodig; maar dan : (autoriteits) overheids-erosie.

    Privacy schennis is het probleem niet. De schenniser is het probleem.

  7. Diederick van Velzen 1 June, 2007 19:12:39

    schenniser /schender ;)

  8. Victor Ruhlmann 2 June, 2007 00:34:24

    Beste Hans,

    Terecht geef je aan dat er bij veranderingen van de huidige situatie ook gekeken moet worden naar technische zaken. Ook moet er vooraf naar de werking en effecten gekeken worden van beoogde veranderingen in de juridische context Maar nog belangrijker is volgens mij dat er eerst antwoord geformuleerd worden op wezenlijke vragen als:
    Wat zou de politiek en samenleving willen veranderen in vergelijking met de huidige situatie en wetgeving ? Waartoe moeten noodzakelijke en gewenste veranderingen leiden ? Wat willen de betrokkenen afzonderlijk en van elkaar in de vernieuwde digitale communicatie en interactie ? Waar liggen risico’s en kansen om dit te bereiken ?Op welke wijze kan de huidige (wettelijke) infrastructuur daarbij gebruikt worden? En waar zijn aanpassingen of veranderingen gewenst ?

    Met de visie die daaruit ontstaat kunnen veranderingen in gang gezet worden. Technologische ontwikkelingen blijven daarbij een aandachtspunt maar bieden ook kansen. Ze kunnen er voor zorgen dat de burger als lid van de samenleving, individu, belanghebbende en gebruiker zelf een rol kan gaan spelen in de uitwisseling, toezicht en beheer van zijn persoonlijke gegevens.Het huidige beleid en de wetgeving geven hem die ruimte (nog) niet. Ook zorgen beleid , wetgeving en politieke keuzes ervoor dat, zoals ook enkele reageerders betogen, overheden het “verkeer” steeds meer proberen te regelen en te bepalen. De “digitale” burger mag wel meedoen maar moet er dan op vertrouwen dat de overheid voor hem juist beslist en oordeelt . Is hij het daar niet mee eens dan mag hij gebruik maken van een juridisch bureaucratisch systeem van bezwaar en beroep dat zijn belangen zou moeten dienen. Ook is er nog een toezichthouder met beperkte mogelijkheden. De Eerste Kamer kiest, vanuit de ontwikkelingen rondom de invoering van het Burger Service Nummer terecht voor een kritische opstelling als het gaat om de keuzes m.b.t wezenlijke vragen die verder reiken dan systeemtechnische keuze mogelijkheden. Slechts enkele andere politici laten zich positief horen in deze belangrijke discussie.

    Het artikel is een oproep om de huidige status quo te beëindigen en mogelijkheden te zoeken voor een fundamentele wijziging van de bestaande hiërarchie en verhoudingen. Deze leiden nu alleen tot stilstand in de dynamiek van gebruik, uitwisseling, toezicht en bescherming . Hierdoor kunnen er in de interactie en communicatie tussen de burger en een overheidsinstantie of organisatie belemmeringen ontstaan. De burger kan hier aantoonbare “schade” van ondervinden. Een voorbeeld hiervan is de onduidelijkheid door de onjuiste registratie van sofi-nummers versus het nog niet bestaande Burger Service Nummer bij de Belastingdienst. Dit leidt regelmatig tot het niet ontvangen van toeslagen waar de betreffende burger wel recht op heeft. Hij of zij heeft vaak alleen een bezwaar of beroep mogelijkheid om haar gelijk te halen Situaties als deze zouden voorkomen kunnen worden.

    Geef daarom de burger , met huidige en toekomstige technologische mogelijkheden eigen verantwoordelijkheden en geef hem regie in een structuur van registratie en uitwisseling waarin hij kan zien wat er met zijn persoonlijke gegevens gebeurt en waarin hij ook zelf kan optreden. Hij kan met zijn verruimde mogelijkheden de overheid en organisaties ook ondersteunen om beter te functioneren als deze bereid zijn om te leren van fouten en vergissingen. Ook kan er een winst ontstaan in doelmatigheid bij de uitvoering wanneer de burger zelf gegevens kan gaan beheren. Een intermediair zou kunnen optreden waar verschil van inzicht de communicatie en interactie blijven belemmeren. Ook kan het als een filter fungeren wanneer er bij verschillen van mening iets anders blijkt te spelen dan strikt genomen het verkeer van personeelsgegevens.

  9. Harrie Emmens 12 June, 2007 23:06:01

    Victor, jouw twee genoemde principes zijn in feite juist.

    Probleem is hoe gaat dat allemaal in de praktijk werken. Het is mij na het lezen van jouw stuk en het commentaar daar op wel duidelijker dat de wet bescherming persoonsgegevens veel duidelijker geformuleerd moet worden. De rechten en plichten van elke belanghebbende partij op de dynamische markt van vraag en aanbod moet veel duidelijker beschreven worden. Je kunt immers niet zaken zodanig formuleren dat ze verschillend door een ieder geïnterpreteerd kunnen wordenen waardoor er een spraakverwarring en allerlei ellende ontstaat.

    Als deze wel duidelijk liggen kun je ook het terrein afbakenen waarbinnen strafbare feiten worden gepleegd, welke vervolgens door een partij aan een rechter voorgelegd kan worden.

    Met deze stok achter de deur zullen bedrijven en instanties zorgvuldiger met persoonsgegevens omgaan en hebben dan ook zelf er belang bij om deze regelmatig bij gebruik door de betrokken persoon te laten toetsen.

    Bedrijven en instanties zijn nu wel zo slim om van de mazen in de wet te profiteren. Bij deze staat immers het bedrijfsbelang voorop.

    Ik zie niet anders dan dat het College van Bescherming Persoonsgegevens een database zou moeten kunnen beheren, waarin deelnemers exact aangeven aan welke instellingen en bedrijven zij machtiging geven om een aantal gegevens daaruit te mogen gebruiken. De gegevens zou daarbij in die database per instelling en bedrijf benoemd moeten worden.

    Het CBP verleent de instelling of bedrijf vervolgens de vergunning tot wederopzegging. Voor medewerkers van het CBP zou maar beperkt inzage moeten zijn voor alle gegevens in de data-base. Die beperking wordt voor deze inzake een betrokken bedrijf of instelling tijdelijk opgeheven bij eerste aanlevering van gegevens of bij wijziging of verwijdering ervan.

    Bij correctie of verwijdering van gegevens door een deelnemer voor een bedrijf of een instelling moet direct een automatisch bericht voor deze gegenereerd worden met de aanduiding voor welke gegevens voortaan niet meer door het CBP vergunning wordt verleend om te gebruiken.

    Zo’n bedrijf of instelling heeft daarbij enkele dagen het recht van bezwaar. Eventueel bezwaar wordt direct naar een deelnemer doorgestuurd. Die moet binnen 2 tot 3 weken aangeven of hij eens is met dat bezwaar. Indien eens gegevens in database handhaven, indien oneens gevens daar uit verwijderen.

    Het recht op correctie door een deelnemer moet bij die bedrijven worden beperkt, waarmee een deelnemer een verbintenis heeft afgesloten voor onbeperkte tijd, waarbij tegen betaling een prestatie wordt geleverd. Bij zo’n verbintenis is zowel van het bedrijf of de instelling goedkeuring nodig om uit de database van het CBP een aantal gegevens te schrappen.

    Ter afsluiting

    Het vorenstaande van mij is misschien verre toekomstmuziek. Echter met moderne softwaretechnieken kunnen misschien de belangen van burgers enerzijds en bedrijven en instellingen anderzijds beter op elkaar afgestemd worden. Rechten en plichten moeten wel duidelijk worden beschreven en juridisch afdwingbaar zijn, want anders blijf je nog 100 jaar alleen over privacy praten zonder dat er aan de huidige situatie iets verandert.

  10. Kaj 11 December, 2007 17:11:16

    Vrijheid van meningsuiting bestaat alleen in haar volste gedaante. Internet daarin tegen is een complex geheel van meningen, publicaties, digitale goederen en verbanden. Een zorgvuldige analyse zal waarschijnlijk meer of andere categorieën opleveren, dan deze voor de vuist weg opsomming. Maar het idee is dat internet meer is dan een berg meningen en dat er met de verschillende aspecten ook verschillend omgegaan kan worden. Waarbij de vrijheid van het virtueel zwerven op het internet niet geschonden mag worden. Soms is het toch immers nodig om onderzoek te doen naar worden als \\\”bomb\\\”, \\\”terrorisme\\\” en anderen om zelf een gefundeerd antwoord te kunnen geven op deze verschijnselen. Echter toen ik het begrip \\\”kinderporno\\\” voorbij zag komen kwam ik op de vraag, welk onderdeel van internet hierin is wat mij pijn doet. Volgens mij gaat het dan om het vrije en onzichtbaar virtueel verkeer van \\\”materiaal\\\” wat dit fenomeen op internet zo leeft als een in mijn ogen een \\\”kwaadaardig gezwel\\\”. Niet de meningen van een pedofiel. Daarom hoeft er naar mijn idee geen subjectieve discussie aan vooraf te gaan om tot richtlijnen te komen waar het internet in mag bestaan en groeien en waar we kunnen spreken van ernstig misbruik van dit complexe netwerk. Is het alleen nodig om alle omzwervingen van personen vast te leggen zodat we altijd achteraf kunnen beoordelen of iemand strafbaar is geweest? De vraag blijft dus gerechtvaardigd, welke middelen gebruik je om mensen aan deze richtlijnen te toetsen? Moet ik sowieso op straat lopen met een gps zender, zodat mijn gaan en staan altijd via een database gecheckt kan worden. En waarom zou dat in de virtuele gangen van het internet wel moeten? Kort samenvattend, meningen, transport en vrijheid surfen is niet gelijk aan elkaar te stellen.
    Maat L