Een persoonlijk verlies voor de privacy

Source: M.H.A. (Tineke) Strik i, published on Friday, April 30 2010.

Een week geleden hielden Dwars en de Eerste Kamerfractie een symposium in de Eerste Kamer over privacy. Welke grenzen moeten we trekken als het gaat om de bescherming van onze privacy? En hoe krijgen we zelf meer greep op het gebruik van onze persoonsgegevens?

Het symposium was informatief en interactief en leverde veel enthousiaste reacties op. Enkele dagen later echter kwam de klap: Aaron Boudewijn, die een van onze workshops had ingeleid, bleek kort daarna te zijn overleden. Nauwelijks te bevatten dat de jongen die vorige week nog met ons samenwerkte, gisteren is begraven.

Aaron was 24 jaar en voerde een heldhaftige strijd tegen de opslag van vingerafdrukken in een centraal databestand. Hij adviseerde ook anderen over mogelijke stappen tegen de opslag van hun vingerafdruk, en met zijn missie wist hij ook de deelnemers van ons symposium te inspireren. Zijn strijd zullen we ook binnen GroenLinks voortzetten.

Ik wens zijn familie en vrienden heel veel sterkte.

Hieronder mijn inleiding van het symposium

Privacy symposium, Eerste Kamer, 23 april 2010

We hebben hier in de Eerste Kamer al vaak onze zegen gegeven aan wetten die een inbreuk op onze privacy legitimeerden. Volgens de grondwet en het mensenrechtenverdrag hebben burgers recht op respect voor ons privé- en gezinsleven, onze woning en correspondentie. De grondwet geeft opdracht aan de wetgever om regels te stellen voor de bescherming van onze persoonsgegevens, en over onze aanspraak op kennis wat er met onze gegevens gebeurt en hoe we de gegevens kunnen verbeteren.

De Eerste Kamer heeft een goede naam te verdedigen. Juist wij moeten alleen akkoord gaan met wetten die in overeenstemming zijn met de Grondwet en verdragen. We waren ferm bij de slimme energiemeters en we zijn nu heel kritisch over het elektronisch patiëntendossier. Dat zou binnenkort best eens kunnen worden afgewezen. Maar helaas is het bij veiligheidsthema’s anders, en dat heeft veel met de VVD te maken. Bij het kinddossier bijvoorbeeld is de partij fel tegen bevoogding en voor de grondrechten, maar bij boeven vangen gaan de bevoegdheden van politie en justitie nooit te ver. Dat zagen we bij de Paspoortwet en de Bewaarplicht van Telecom- en internetgegevens. Zo zie je dat privacy is geen vast objectief begrip is, maar dat je het kunt inkleuren en je afhankelijk van het politieke doel bepaalt of het moet worden beschermd of niet. Het beschermen van privacy is ook altijd een belangenafweging: dit belang staat vaak tegenover een ander legitiem doel, bijvoorbeeld (strafrechtelijke) handhaving van de rechtsorde of bevordering van de volksgezondheid.

Parlementaire controle?

Wij zijn dus als medewetgever verantwoordelijk voor een goede belangenafweging. Toch is het voor het parlement lastig om die zorgvuldig te maken, en wel om vier redenen:

Ten eerste: naast enkele wetten die alleen tot doel hebben om persoonsgegevens te bewaren en verwerken, komen er veel meer wetsvoorstellen langs waarbij gegevensverwerking niet het hoofddoel is, maar er wel meteen in wordt geregeld. Nu hebben we bijvoorbeeld de Wet Modern Migratiebeleid waarin het migratiebeleid wordt aangepast. Tegelijkertijd geeft de wet toestemming voor de koppeling van bestanden. De koppeling moet dan wel het doel van de wet dienen. Maar wat betekent dat? Dat geeft dus veel ruimte voor de uitvoering.

Ten tweede worden veel mogelijkheden om persoonsgegevens te gebruiken of uit te wisselen in lagere regels opgenomen. Wij zien dan alleen een algemene bepaling in de wet, maar hoe het wordt ingevuld, komt hier niet terug. Ten derde is er bij de uitvoering van Europese wetgeving niet altijd duidelijk wat nou precies moet van ‘Brussel’ en wat de regering er nog bij gesmokkeld heeft. Denk aan de Paspoortwet, waar de regering er twee extra vingerafdrukken en een centrale database bovenop heeft gedaan.

Tenslotte: we behandelen alleen afzonderlijke wetten, dus het verband daartussen en wat het gevolg is voor de privacy van de totale wetgeving is nauwelijks te zien. Ik durf te stellen dat niet alleen het parlement, maar ook de regering en uitvoeringsinstanties geen overzicht heeft van wat er allemaal mogelijk is en gebeurt aan opslag en uitwisseling van onze gegevens. Kortom: als het al lastig is voor een medewetgever om greep te houden op wat mag en wat niet, hoe moet dat dan voor de argeloze burger zijn?

Wat zou de norm moeten zijn?

Wat we als houvast hebben, is de belangrijkste norm waaraan we een wetsvoorstel toetsen. En dat is: is de inbreuk op de privacy noodzakelijk? Verkeren we in problemen omdat we dit wetsvoorstel nog niet is aangenomen en wordt uitgevoerd?

Dat vraagt om een kritisch blik. Het onderzoek “doelwit Europa” naar aanslagen of half gelukte aanslagen laat zien dat de politie de meeste plegers al in het vizier had, gewoon via het ambachtelijke opsporingswerk. Het gevaar van een onbeperkte hoeveelheid gegevens beschikbaar stellen is dat nog meer data en bevoegdheden juist het ambacht verzwakt, en er nog meer langs elkaar heen wordt gewerkt. We creëren heel veel hooibergen waarin de politie mag gaan zoeken.

Dat is gevaarlijk omdat het niet effectief is, maar ook stigmatiserend. Bijvoorbeeld migranten zitten in veel meer systemen vanwege het doel van de grensbewaking, maar hun gegevens worden ook voor strafrechtelijke opsporing gebruikt. Met profiling is de stigmatisering nog duidelijker: in een databestand wordt gezocht op bepaalde kenmerken van groepen mensen. Er is geen zoektocht naar een mens of een specifieke groep, maar naar een type mens.

Niet effectieve wetgeving is per definitie niet noodzakelijk. Als we kijken naar de bewaarplicht telecom- en internetgegevens, dan is dat het geval. Je kunt immers heel simpel via een buitenlandse provider communiceren, en dan vist de Nederlandse justitie achter het net. Zo’n wet, waarmee je dus alleen de hele domme boeven vangt, zou dus als niet noodzakelijk moeten worden afgestemd.

Wat is de norm?

Techniek is de norm in het privacydebat. Een groot contrast met de wijze waarop dit kabinet met gentechnologie omgaat, zeker als het gaat om menselijke cellen. Dan is het van belang eerst een ethische discussie te voeren en op basis daarvan grenzen te stellen. Zo niet bij privacy: elke nieuwe mogelijkheid die een nieuwe techniek biedt, gaan we uiteraard toepassen. Zonde om niet te gebruiken!

Tegelijkertijd weten we inmiddels dat de privacy vooral afhangt van hoe mensen met die techniek omgaan. Aan wie verstrek je het mandaat om in een databestand te kijken, maakt iemand fouten bij de invoering, vallen de gegevens in verkeerde handen? De menselijke factor is een zwakke schakel, en die kunnen we beter wantrouwen.

Bezinning

Onlangs is een nieuw kabinetsstandpunt verschenen als een soort herbezinning op de ontwikkelingen. Het bevat enkele goede elementen: meer privacy impact assessments, meer aandacht al bij het ontwerp van systemen. Een helpdesk voor professionals voor wanneer ze vragen hebben of ze toestemming moeten geven of niet. En vooral: beter informeren van burgers over de verwerking van hun gegevens, en meer mogelijkheden voor recht op inzage, bezwaar of klachten. En strengere handhaving, bestuurlijke boetes.

Maar ook: meer mogelijkheden om de doelbinding te laten varen. Als het noodzakelijk is voor de veiligheid dan móeten instanties gegevens delen (weer een subjectief begrip: wanneer is het nodig voor de veiligheid?). Het grote succes (?!) van automatische nummerplaatherkenning (ANPR) moet volgens de regering leiden tot nieuwe wetgeving om kentekens voor meerdere doelen te kunnen gebruiken.

Het wordt dus zaak om de goede elementen van dit kabinetsstandpunt te versterken, en de uitbreidingswensen van de regering uit de plannen te halen.

Overheid/burger

Privacy gaat om veel meer dan om het kunnen afschermen van je persoonsgegevens. Het heeft met vrijheid te maken, waardigheid, met autonomie. En juist daarom is het zo belangrijk dat je de zelfbeschikking laat bij de eigenaar van de persoonsgegevens. Hoe geef je burgers weer meer greep op hun eigen data? Tijdens de Paspoortwet heb ik aangegeven dat het een ongelijke strijd is: wij moeten ons uitleveren, want we hebben een paspoort nodig, maar de overheid hult zich in mist over wat er met onze data gebeurt.

Toch gaat het waarschijnlijk helemaal niet om een zwart wit tegenstelling van wij/zij: de burger versus de overheid. Er is immers niet een Bit Brother die wel het overzicht heeft. We laten ons leiden door techniek, koppelen dababestanden aan elkaar omdat we dat kunnen en passen onze wetgeving aan als de uitvoeringspraktijk tegen een beperking aanloopt. Maar alle departementen, instanties en bedrijven zitten in hun eigen kokertje met hun eigen doelstellingen, zonder een idee van het grotere effect.

Parlementaire enquête

Als we burgers weer meer greep op hun gegevens willen geven, zullen we dus meer transparantie en overzicht moeten scheppen. En wie kan dat beter doen dan een volksvertegenwoordiging? Juist: tijd voor een parlementaire enquête. Dat lijkt me nou een mooi onderwerp voor de eerste enquête in de Eerste Kamer.

Dat is dan ook het moment om burgers te laten nadenken hoe belangrijk ze het vinden om hun gegevens te beschermen. Laten we die maatschappelijke ethische discussie betrekken bij een herbezinning op onze wetgeving.

Want misschien moeten we erkennen dat de ethische normen ook onder invloed van de techniek flink in beweging zijn. Met name de nieuwe generatie is zo gewend om van alles prijs te geven aan internet, twitter en andere media, dat je je kunt afvragen: moet de overheid roomser zijn dan wijzelf? Wij maken het erg gemakkelijk om met ons mee te kijken. Je kunt bijna zeggen dat er geen ingewikkelde technieken meer nodig zijn om ons te volgen. Voorlopig blijf ik op het standpunt dat wat mensen zelf verkiezen om te delen met anderen, de overheid of bedrijven nog geen recht geeft om met deze gegevens aan de haal te gaan voor heel andere doeleinden.

Vandaag beginnen we met die reflectie, en ik kijk uit naar de uitkomst. Een inspirerende middag gewenst!