Stuurloos S01E11
Download als podcast: https://archive.org/download/11_20200709_20200709_2226/11.mp3
Vanavond hebben we het met Aike de Vries over privacy. Hij studeerde een aantal jaren geleden af op dit onderwerp, voor de studie rechten.
Hij introduceert het onderwerp alvast:
Privaatrecht, de voorloper van “publieke privacy bescherming”
Van oudsher viel in Nederland schade als gevolg van het naar buiten brengen van privé-gegevens van een persoon onder “onrechtmatige daad”. Via het privaatrecht was er dus een mogelijkheid om mensen, situatiespecifiek, aan te spreken op het schenden van privacy, nog voordat er “publieke” wetgeving was.
Digitalisering en de roep om specifieke wetgeving
Sinds het begin van het digitale tijdperk waarin we leven is het steeds gemakkelijker geworden om gegevens van (grote groepen) mensen te vergaren en verwerken. Verwerking van die gegevens wordt daardoor ook onpersoonlijker. Algoritmen vervangen mensen om verwerking van gegevens te versnellen.
Er kleven wezenlijke privacyrisico’s aan geautomatiseerde, digitale gegevensverwerking. In de jaren ’70 al begrepen ze dat er risico’s kleefden aan digitale opslag (en verwerking) van persoonsgegevens. Als gevolg daarvan groeide de vraag om specifieke privacywetgeving.
Wetsartikelen
Een eerste stap werd in 1981 gezet met het verdrag gegevensbescherming. Het verdrag had echter geen rechtstreekse werking, dus burgers konden er geen beroep op doen.
In 1983 werd Bescherming van de persoonlijke levenssfeer echter een grondrecht. Dit resulteerde in de Wet persoonsregistraties (Wpr) 1989.
In 1995 ondertekenden de Voorzitters van het Europees Parlement en de raad richtlijn 95/46/EG bescherming van natuurlijke personen i.v.m. verwerking van hun persoonsgegevens. Lidstaten werden hiermee verplicht wetgeving te creëren of aan te passen zodat deze voldeed aan de in het verdrag opgestelde eisen.
In Nederland leidde dit in 2001 tot de Wet Bescherming Persoonsgegevens (WBP), ter vervanging van de oudere Wpr. Aangezien een Besluit van het CBP een besluit is in zin van AWB, werd het ook de mogelijkheid om bezwaar en beroep hiertegen aan te tekenen.
In 2016 verandert de toezichthouder (CBP) weer van naam en wordt het de Autoriteit Persoonsgegevens (AP). Bevoegdheden worden uitgebreid tot het opleggen van een boete van 820.000 Euro. In datzelfde jaar wordt EU verordening 2016/679 over de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens (AGV) aangenomen door het Europees Parlement en de Raad.
De 99 artikelen tellende AVG is sinds 25 mei 2018 rechtstreeks van toepassing binnen alle EU lidstaten. De nieuwste toevoeging is de “verantwoordingsplicht” van verwerkers. Zo moeten zij kunnen aantonen dat ze aan de nieuwe wetgeving voldoen. Denk aan een verplicht verwerkingsregister, een datalekregister, een privacybeleid, aantonen van toestemming van dataverstrekking, etc. De boetes worden in dat jaar verhoogd tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
En nu?
Hoewel het aantal artikelen over de jaren is toegenomen, blijven de normen die gesteld worden in de privacywetgeving open voor interpretatie. Zeker in combinatie met de hoge boetes ligt het gevaar van willekeur op de loer.
Wordt je privacy nu beter beschermd dan in de tijd van voor de nieuwe privacy wetgeving? Dat is een interessante vraag. Daar waar binnen het privaatrecht elke situatie specifiek wordt bekeken, probeert de wetgever met de huidige privacywetgeving meer eenduidigheid te scheppen, maar de belangrijkste vraag is misschien wel of het gepresenteerde belang, het beschermen van natuurlijke personen als het gaat om hun persoonsgegevens, wel echt behartigd wordt.
De grootste private dataverwerkers werken immers internationaal en zijn vaak te groot om als kleine Nederlandse toezichthouder serieus onder druk te zetten. En wellicht de grootste privacyschender is de overheid zelf, die anonimiteit/privacy al jaren actief criminaliseert. Of het nu gaat om anonieme communicatie of betalen met contant geld; als het niet door de overheid te controleren is, is het wat betreft de overheid zo goed als crimineel.
In toenemende mate worden burgers gedwongen met de billen bloot te gaan en hun transacties via banken te laten lopen en hen dus deelgenoot te maken van al die privé-informatie. Welke boeken je leest, welke websites je bezoekt, wat je koopt of verkoopt en aan wie; alles wil de overheid van je weten. Alles zogenaamd voor onze veiligheid.
De burger wordt niet vertrouwd door de overheid, maar de burgers worden op hun beurt wel geacht diezelfde overheid blind te vertrouwen. De vele schandalen binnen diverse overheidsdiensten en de toenemende verwevenheid van topambtenaren en politici met machtige private bedrijven en het normaliseren hiervan, geeft echter minder reden om de overheid te vertrouwen dan ooit tevoren.
De gevolgen worden langzamerhand duidelijk zichtbaar. Veel mensen denken wel 3 keer na voordat ze een gevoelige term op internet opzoeken of een controversieel boek bij de bibliotheek lenen. Ook de angst om contant geld aan te nemen groeit. Zolang je je aan de steeds strengere regels houdt, is er niets aan de hand, maar dit geldt ook voor de strengste dictaturen.
De partij die wellicht nog het meeste merkt van de nieuwe wetgeving, is het mkb. Veel ondernemers zijn inmiddels geconfronteerd met onbegrijpelijke en vaak onnodig overkomende eisen en papierwerk als gevolg van de recente AVG. Er is veel onzekerheid over wat nu mag en wat niet, waar de grootste bedrijven uiteraard de middelen hebben om hiervoor specifiek experts in huis te halen.
En de grootste schenders van privacy dan?
De grootste schenders van de informationele privacy van burgers zijn vooralsnog overheden zelf en de grote dataverwerkingsbedrijven, banken, etc. Je hoeft er maar een willekeurig stuk “terrorisme” wetgeving bij te pakken om te zien hoeveel bevoegdheden overheden zich hebben toegeëigend om de privacyrechten van burgers te schenden. In veel gevallen is digitale anonimiteit van burgers beperkt dan wel verboden, om communicatie afluisterbaar te maken en transacties inzichtelijk. Mede als gevolg van de drang van overheden om transacties van burgers te willen kunnen volgen, drijven zij deze transactiedata in de datafuiken van banken en de grote gegevensverwerkers waar deze zaken mee doen. Overheden willen meer van hun burgers weten en zijn daarvoor afhankelijk van grote dataverwerkers, welke weer blij zijn met de data die burgers verplicht moeten vrijgeven. Is het dan niet naïef om te geloven dat de door dezelfde overheid in het leven geroepen privacywetgeving deze zorgelijke ontwikkeling een halt zal toeroepen?
Haal je de overheidsfactor weg, dan verliezen de grote private verwerkers hun onschendbare positie en krijgen burgers weer het recht om hun data(verkeer) te versleutelen en hun data te beschermen. Wordt het alternatief van private regulering dan niet een stuk interessanter?
Particuliere en private alternatieven voor de privacywetgeving
Volgens de Autoriteit Persoonsgegevens zijn de belangrijkste bepalingen in de huidige wetgeving (AVG) dat alleen minimaal noodzakelijke data verzameld wordt met een gerechtvaardigd, vooraf bepaald doel, dat de data actueel is, veilig wordt opgeslagen en dat transparant moet zijn naar de persoon om wiens data het gaat, wanneer en door diens data verwerkt wordt.
Laten we deze opsomming als leidraad nemen om te kijken hoe het zonder overheid kan.
Als het gaat om de techniek van het verwerken van gegevens, zijn de mogelijkheden zo goed als eindeloos. Of het nu gaat om hoe er verzameld wordt, hoe beveiligd, etc.
De vraag is voornamelijk hoe je er zonder overheid voor kunt zorgen dat personen en bedrijven zich aan die principes houden. Ook daar zijn er legio mogelijkheden. Zo lang de nadelen van “niet naleven” de voordelen overstijgen, zitten we in principe goed.
Dit zou je met gebruikersovereenkomsten, met keurmerken en eventueel met arbitrage prima kunnen regelen.
Denk aan keurmerken met betrekking tot dataverzameling, databeveiliging, etc. Bedrijven kunnen keurmerken aanvragen die vereisen dat privacy organisaties toegang krijgen tot hun datasystemen ter controle van het privacy beleid, etc. Aan de andere kant zouden burgers zelf gebruik kunnen maken van encryptie, VPN servers en andere technieken om hun persoonlijk gegevens en communicatie te beschermen. Mogelijkheden die nu nog ernstig beperkt worden door overheden.
Dergelijke oplossingen zullen in verreweg de meeste gevallen al voldoende zijn om mensen te beschermen in het kader van de verwerking van hun persoonsgegevens.