Met meer zelfcontrole meer zekerheid?

Door Victor Ruhlmann, 24 November 2007

Op 22 november is de Tweede Kamer begonnen met de evaluatie van de Wet op de Bescherming van Persoonsgegevens. Tijdens deze evaluatie staat centraal in hoeverre de wet in zijn huidige vorm ook in de toekomst een bijdrage kan blijven leveren aan de bescherming van persoonsgebonden en persoonsvolgende informatie. Er verschijnen regelmatig kritische beschouwingen waarin de wet nog steeds de bescherming zou moeten geven maar de praktijk leert dat het vaak anders gaat. Een grondige “verbouwing” lijkt daarom onvermijdelijk. De huidige wet gaat uit van het perspectief van herleidbare informatiestromen en transparante systemen van informatie-uitwisseling die met eenvoudig toezicht en doelgerichte controle tot de orde geroepen kunnen worden. De gang naar de rechter en het CBP zijn de wegen waar de burger zijn recht kan halen en hulp kan vragen om zijn bescherming weer te herstellen. De vraag blijft hoe de Wet Bescherming Persoonsgegevens nu en in de toekomst zijn waarde kan behouden.

Er zijn bekende ontwikkelingen die in dat verband aandacht en maatregelen vragen:

  1. De veelheid aan steeds sneller veranderende ICT toepassingsmogelijkheden zorgt ervoor dat persoonsgebonden informatie bijna overal kan ontstaan en steeds vaker ongevraagd verzameld en uitgewisseld kan worden. RFID (de techniek om goederen en mensen op afstand te kunnen volgen) is daar een scherp voorbeeld van.
  2. Informatie verzamelen, beheren en uitwisselen is nog steeds mensenwerk. Professioneel handelen, regelgeving en procedures zouden moet garanderen dat dit zorgvuldig en nauwkeurig gebeurt. De praktijk leert dat met name door tijdsdruk en onduidelijkheden fouten kunnen ontstaan. De burger ziet of merkt daar nadien de gevolgen van. Vervolgens is hij aan zet om de schade te herstellen en moet hij proberen van buiten toegang te krijgen tot het informatiesysteem van de betreffende organisatie. Wie het ooit heeft meegemaakt weet wat een moeite en doorzettingsvermogen dit vraagt. De toenemende koppeling van digitale bestanden en systemen zorgt ervoor dat het risico van fouten en onzorgvuldigheden zeker niet afneemt.
  3. Waar het gaat om veiligheid wordt de bescherming van persoonsgebonden informatie gauw ondergeschikt gemaakt. Alle betrokkenen in het netwerk waar informatiestromen ontstaan worden geacht zich aan te sluiten op het veiligheidssysteem. Ze worden geacht hun bijdrage te leveren aan het toegankelijk maken van persoonsgebonden informatie. Het verzamelen van deze persoonsgebonden informatie vindt vaak plaats met een beperkt toezicht en de kwantiteit lijkt daarbij belangrijker dan de doelgerichtheid.

Uitdagingen volop die het vinden van richtinggevende antwoorden belangrijk maken.Een doeltreffende wetgeving kan daaraan bijdragen.De leden van de samenleving ervaren in de dagelijkse praktijk de werking van de wetgeving op de maatschappelijke en technologische context. Soms verandert die context zo drastisch dat een aanpassing alleen niet voldoende is. De rol en taakverdeling moet dan opnieuw bezien worden. Zeker waar het gaat om persoonsgebonden en persoonsvolgende informatie.De eerder geschetste ontwikkelingen zijn goede argumenten om te pleiten voor meer zelfcontrole door de burger als deel van de wettelijke bescherming. Dit zou kunnen door de burger een juridische status te geven van eigenaar van zijn persoonsgebonden informatie en door aan het gebruik van technieken als RFID voorwaarden te verbinden. De burger zou via een wettelijke voorziening zelf inzage kunnen krijgen in gegevens die met zijn persoon samenhangen. Het recht op correctie en verwijdering zou onder voorwaarden mogelijk gemaakt moeten worden. Vrij beschikbare ICT toepassingen met controlemogelijkheden die hierbij van pas komen kunnen via de voorziening een juridische erkenning krijgen.

Natuurlijk vraagt dit alles van de burger de bereidheid om tijd te investeren
in deze zelfcontrole en kennis op te doen om er effectief gebruik van te kunnen maken.Gelet op de uitslag van de Big Brother Awards 2007 en de statistieken van recente onderzoeken waar een beeld ontstaat van een beperkte belangstelling voor privacy bij de “gemiddelde Nederlander” lijkt dit streven niet kansrijk. Maar daar tegenover zou je ook de vraag kunnen stellen of de voortgaande snelle veranderingen op het gebied van de digitalisering en de (negatieve) beeldvorming daarover bij veel mensen niet leidt tot een berusting en overgave vanuit de veronderstelling dat ze toch geen greep kunnen krijgen op wat er met informatie over hen gebeurt. Door de burger zelfcontrole aan te bieden wordt hem een nieuw perspectief geboden.

Het stimuleert de burger als “eigenaar” zijn informatie te controleren en direct initiatieven te nemen om mogelijke schade voor zijn privacy te herstellen. Zo kan hij van toeschouwer een deelnemer worden die in staat is om invloed uit te oefenen en die niet zonder meer genegeerd kan worden. De dialoog die dan ontstaat kan bijdragen aan een verbetering van de kwaliteit en doelgerichtheid van informatiestromen. Dat is de mogelijke toekomst.

Terug naar het heden blijft het belangrijk welke vragen de leden van de Tweede en Eerste Kamer straks moeten beantwoorden bij de evaluatie van de Wet Bescherming Persoonsgegevens. Het zou kunnen gaan om vragen als: Wat moet veranderd worden in vergelijking met de huidige situatie? Wat is daarvoor nodig als het gaat om de burger zelf en de informatie die bij zijn persoon hoort ? Is zelfcontrole een bruikbaar concept in een nieuwe rol- en taakverdeling? Wat is daarvoor noodzakelijk? Met nieuwe adequate wetgeving ontstaan geen absolute zekerheden en waarborgen. Maar in elk geval wordt er voor gezorgd dat de toekomst geen doolhof wordt waar de burger eerst de uitgang moet vinden en vervolgens mag hopen dat iemand dan bij de uitgang bereid is hem ook nog de sleutel te geven om het doolhof echt te kunnen verlaten.

Een bijdrage van Victor Ruhlmann

Victor Ruhlmann is beleidsmedewerker Werk, Inkomen, Zorg en Digitalisering.