De Algemene Verordening Gegevensbescherming (AVG) verandert meer dan u denkt. Er komt nieuwe helderheid; iets dat beter past bij deze tijd. Met die aanpassing aan deze tijd, komt echter ook nieuwe complexiteit mee. Met deze blog probeer ik daar mijn vinger achter te krijgen en laat ik de lezer meedenken.
Rechtstreekse werking
De nieuwe privacywet – hier ook wel de AVG genoemd – gaat op 25 mei 2018 in en gaat dan voor de hele Europese Unie werken. Het is een Verordening (let op de hoofdletter), wat zoveel betekent dat het rechtstreekse werking heeft in alle lidstaten en bestaande nationale regelgeving – in Nederland de Wet Bescherming Persoonsgegevens, de WBP - zou vervangen. Ik schrijf ‘zou’, omdat tegelijk wordt gezegd dat het huidige Nederlandse privacyregime ‘beleidsneutraal’ wordt vervangen. Dat roept de vraag op of er nu wel of niet iets gaat veranderen. Mijn indruk: meer dan we vermoeden en ook meer dan de opstellers voorzien. Vandaar ook de introductie van de term ‘ketenprivacy’ in de titel. Maar dat is voor verderop.
Verenigingswerk
Afgelopen week was er een bijeenkomst van wat binnenkort de Nederlandse Vereniging voor Wetgeving gaat heten (een naamsverandering ten opzichte van de huidige ‘vereniging voor wetgeving en wetgevingsbeleid, nodig vanwege het feit dat ook dit vakgebied internationaliseert). De vereniging had de ambtelijke kok uitgenodigd die, in mijn woorden, vanuit Nederland als onderhandelaar heeft geholpen de soep te maken, de ambtenaar die als uitvoeringsspecialist de soep moet gaan uitserveren en een expert om de soep te proeven. Een leuke formule. Op dit punt van mijn blog gekomen doet zich een probleem voor: zeker gegeven het onderwerp van de bijeenkomst, mag ik de betrokken personen nu bij naam noemen of niet? Ik heb geen tijd om het te vragen en doe het dus niet, maar complimenten en dank voor de inspiratie. De foto boven de tekst is van mijzelf en waar het po slaat mag u zelf bedenken. Scheelt ook weer mogelijke centen en gedonder over de rechten.
Veel aandacht
Het eerste wat over de soep moet worden gezegd, is over de basis ervan. Die berust niet bij de Europese Unie. We hebben het over een pan die door het Europese Hof van Justitie is opgezet en als het ware nu wordt overgezet naar het fornuis van de EU. Dat is belangrijk, want het Hof heeft in een reeks van uitgesproken dat het recht op privacy niet kan het worden gezien als één belang naast anderen, maar moet worden gezien als zwaarder dan andere belangen. Je kan het niet zomaar terzijde zetten vanuit een willekeurige afweging: het gaat voor. Dat recht op privacy wordt door de verordening en door de wijze waarop deze onder meer in het EU-verdrag (met name art. 7, 8 en 16) is verankerd, nog eens versterkt. Dat geldt wat mij betreft ook door de wijze waarop de tekst van de Verordening is bediscussieerd op zowel nationaal als Europees niveau. De betrokkenheid van ambtenaren en parlementariërs is onmiskenbaar intensief geweest, met bijvoorbeeld meer dan 6000 amendementen vanuit het Europees Parlement; hier geen sprake van enig democratisch of juridisch tekort. Althans; niet over de inhoud ervan. Over het toezicht op de verordening valt wel het nodige op te merken, maar ook dat is voor later (ja, vrij lange blog, maar ik dit is toch wel ‘need to know’).
Vergeetrecht
Zoals gezegd moet het voorwerk voor de nieuwe verordening bij het Hoof worden gezocht. Een Hof dat privacy zwaarder laat wegen dan andere belangen. In een aantal uitspraken is dat bevestigt en de gevolgen zijn in beginsel niet mals. Eén van de uitspraken is bijvoorbeeld dat zoekresultaten (queries) op verzoek van de betrokkene verwijderd moeten worden: het recht om vergeten te mogen worden. En: dit ‘vergeetrecht’ geldt ook voor publieke documenten en ‘geautomatiseerde beslissystemen (algoritmes e.d.).
Een uitgangspunt dat in oktober 2015 extra actueel is geworden door het zgn. ‘Safe Harbour’ arrest, waarin uitgesproken werd dat de Europese Unie niet zomaar data beschikbaar mag stellen aan ‘derde landen’ die geen bescherming van persoonsgegeven hebben op vergelijkbaar niveau – en in dit concrete geval hebben we het over de Verenigde Staten. Met andere woorden; in de permanente spanning die er is tussen privacy en veiligheid kiest het Hof, en nu de AVG, voor privacy. Alleen bij expliciete uitzondering kan daar van af worden geweken.
Dit vergeetrecht is ook de basis voor de AVG. Een recht wordt aangevuld met een ‘recht op verzet’: als er bezwaar wordt gemaakt tegen het gebruik van gegevens moet dat worden gehonoreerd. Beperking op dat recht kan alleen via expliciete inhoudelijke eisen.
Alle telefoons op zwart?
Zoals vaker, is de beperking van het recht spannender dan het recht zelf. Zowel binnen de private als de publieke sector moeten beperkingen op het uitgangspunt van gegevens bescherming expliciet worden vastgelegd. Bij elke naam. Keer op keer. De uiterste consequentie hiervan is, zoals iemand zei, dat dan alle telefoons op zwart gaan. Zeker de social media apps zijn meer dan gevoelig op dit punt, want het is maar de vraag of het instemmen met de algemene voorwaarden van bijvoorbeeld Facebook opgevat kan worden als een alles dekkende expliciete instemming. Aan de ene kant is de verplichting tot expliciete vastlegging niet absoluut – er is sprake van een zogenaamde ‘risk based approach’. Aan de andere kant is de bescherming van persoonlijke gegevens in de afgelopen periode alleen maar strakker geworden, getuige ook de afspraken van het Hof.
Daarbij is veel nog onduidelijk over de houding van de ‘European Data Protection Board’. Tot nu toe was dat een vorm van samenwerking tussen de verschillende agentschappen op het gebied van gegevensbescherming. Met het ingaan van de ANG krijgt het een niet vrijblijvende vorm, inclusief een mandaat voor echt forse sancties – tot 4% van de wereldwijde omzet x-1. Hoe dat echter gaat werken, weet nog niemand.
Uitzondering
Er is overigens so wie so een uitzondering op deze expliciete vastlegging van de instemming: de nationale veiligheid en defensie (art. 72 AVR). Die uitzondering is wezenlijk voor het werkelijk effect van de AVG en toch wordt deze hier verder terzijde gezet, hoe makkelijk ook langs deze weg de persoonsbescherming kan worden omzeild (en tot mijn spijt moet ik zeggen dat dit ook voor het conceptverkiezingsprogramma van mijn eigen partij geldt).
Lastig
Bij de nieuwe AVG zijn tal van vragen te stellen. Die hebben zowel te maken met de democratische grondslag (het wordt nu echt Europees, ook het toezichtregime) als wanneer het om de implementatie gaat. De politiek heeft zich van oudsher weinig aangetrokken van privacy kwesties. Het wordt vooral als ‘lastig’ gedefinieerd. De manier van omgang ermee is in de praktijk vooral technisch en gericht op het produceren van schriftelijke bewijs, via kopietjes en documenten. Precies dit is het punt waar ik het in de praktijk op mis zie gaan en daar wil ik mij nu op richten.
Privacy heeft met omgangsvormen te maken: hoe zorgvuldig zijn we naar elkaar toe? Wordt er geen misbruik gemaakt, wordt mijn identiteit niet gestolen?, etc. Die zorgvuldigheid geldt in verhoogde mate bij een onbalans in de machtsverhoudingen, in bijvoorbeeld het verkeer met overheden, banken en andere grote bedrijven en instellingen. Daar gaat het makkelijk mis.
Kennen we elkaar nog?
Maar ondertussen is er nog een andere dimensie, die nog meer aangeeft dat een alerte houding richting gegevensbescherming meer omvat en belangrijker is dan alleen een zorgvuldigheidseis. Het draait om de vraag: kennen we elkaar nog? Zonder zekerheid van identiteit, zonder een integere gegevensstructuur, kunnen we onmogelijk het soort digitale ‘communities’ bouwen waar we het in de toekomst in grote mate van zullen moeten hebben.
In een krant werd afgelopen weekend een artikel gepubliceerd met de vraag: ‘Wat als je baas een algoritme is?’ Het ging over Uber en het feit dat een algoritme bepaalt welke ritjes je als chauffeur wel of niet maakt. Die vraag voelt ongemakkelijk, maar je weet toch aardig waar je aan toe bent. Nog veel ongemakkelijker vind ik het idee dat mijn identiteit waarschijnlijk in miljoenvoud over het internet verspreid is en op allerlei manieren gebruikt kan worden zonder zeggenschap van mijn kant. Als ik mijn naam terug zou willen halen, dan moet ik mij waarschijnlijk door laag na laag van bestanden heen boren; mijn privacyketen ontmantelen. Onbegonnen werk. Ondertussen heb ik geen klagen en niks te verbergen. Het gaat dus goed zolang het goed gaat. Maar oh wee, als dat niet meer zo is. Gaat de overheid, gaat de Verordening mij dan helpen?
Wegadministreren
Wat ik in mijn auditpraktijk in de zakelijke en juridische dienstverlening observeer doet me twijfelen. We hebben het probleem van de gegevensbescherming weggeadministreerd. Geef als dienstverlener iemand een formulier, iets van een privacyverklaring, zorg ervoor dat je kan bewijzen dat de ander dat inderdaad heeft ontvangen en klaar ben je. Een vinkje laten zetten op een website, geregeld. Hierin gaat het dezelfde kant op als wat al is gebeurd rond de ‘melding van ongebruikelijke transacties’. De huidige Wwft zorgt ervoor dat jaarlijks miljoenen identiteitsbewijzen worden verzameld en in dossiers worden weggeborgen, vooral door administratieve krachten. Ik zie hoe van bank tot makelaar tot notaris tot ambtenaar overal hetzelfde identiteitsbewijs opnieuw wordt gekopieerd en onvindbaar wordt verstopt. Een schaduw van de echte privacyketen. Zoals ik onlangs mocht ervaren bij het afwikkelen van de nalatenschap van mijn moeder, brak die keten al bij de eerste schakel. De scanner deed het niet. Ja maar, u heeft mijn ID al in tienvoud, mijn handtekening in duizendvoud. Daar kunnen wij niet bij, mijnheer.
Werk aan de winkel
Reken dus eens door wat dat allemaal kost. De combinatie van Wwft en WBP is in mijn ogen een van de meer succesvolle werkgelegenheidsprojecten van het Rijk geworden. Ondertussen ben ik niet onder de indruk van het maatschappelijk rendement van al die inspanning. Het aantal boetes en veroordelingen van beide wetten is na de eerste schokgolf een stuk kleiner geworden. Meer dan enkele tientallen veroordelingen per jaar valt er niet te scoren, waarbij het vooral blijft bij de constatering van administratieve tekortkomingen. Hoe goed ook het doel, dat kan niet genoeg zijn in verhouding tot de maatschappelijke kosten – waarbij in mijn ogen het echte probleem dus niet wordt geraakt.
Werk aan de winkel dus. We moeten komen tot andere, slimmere vormen van gegevensbescherming. Mogelijk kan blockchain daar een rol in spelen, al heb ik in mijn blog van eerder deze maand op de complicaties gewezen. Meer nog denk ik dat we naar andere vormen van communicatie moeten komen, ondersteund door slimme vormen van ‘datamining’. Expliciete instemming is een mooi principe, maar ik zou meer zijn voor vormen van directe transparantie, zodat een persoon op elk gewenst moment de eigen privacyketen zichtbaar kan krijgen om dan desgewenst actie te nemen. Wat mij betreft mag het dan net zo zeer gaan om een herinnerrecht als een vergeetrecht.
Peter Noordhoek