Afgelopen week kreeg ik 204 mailtjes binnen van een en dezelfde afzender. Dat gegeven had voldoende moeten zijn om me achter de oren te doen krabben. Maar ik verkeerde in een bui van ongeremde nieuwsgierigheid en opende er een. Zag er normaal uit. Wat zou dat attachment zijn? Het zal de aantrekkelijkheid van de bestandsnaam zijn geweest in combinatie met een acute aanval van domheid: ik klikte op "emanuel.exe". Daarna kon ik vrijwel geen enkel programma meer openen. Een virus.

Via het startmenu, dat nog wel toegankelijk was, probeerde ik Norton Antivirus erop los te laten. Het had geen effect. De ellende - een variant van het bekende Navidadvirus - had zich in een Windowsbestandje (wintask.exe) genesteld. En dat bewuste bestandje was nodig om Norton te kunnen draaien. Maar er gloorde hoop.

Bezitters van de meeste anti-virusprogramma's, ook die van Norton, hebben de mogelijkheid hun computer online te laten testen op overdraagbare ziekten. Mijn Internet Explorer kreeg ik met enige moeite aan de praat en ik logde in. Ik was als een aangereden patient die op een stretcher het ziekenhuis wordt ingereden. Ik vond alles best, als ik maar werd geholpen. Even later zag ik de bestandsnamen voorbijkomen die Norton onder de loep nam: onschuldige programma's maar ook brieven, belastingopgaven et cetera. Er ging een lichte huivering door me heen. Als ze die bestandjes kunnen screenen, kunnen ze ze vast ook lezen.

Nu is Norton is een betrouwbare club, voor zover ik weet. Bovendien is het bedrijf gehouden aan het Burgerlijk Wetboek en nog wat andere (grond)wetten. Men mag niet zomaar je gegevens in kaart brengen en verhandelen. De nieuwe Wet Bescherming Persoonsgegevens (WBP), die dit jaar van kracht is gegaan en de oudere WPR vervangt, stelt bovendien: 'Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.' Norton mag de gegevens in dit geval dus helemaal niet opslaan, zou je denken.

Maar er dreigt gevaar. Een clausule in de WBP maakt gerommel mogelijk: persoonsgegevens mogen worden bewerkt en voor langere duur worden bewaard 'voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen teneinde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.'

In de reguliere gezondheidszorg wordt van deze ontsnappingsroute - volg de bordjes 'wetenschappelijk onderzoek' - veelvuldig gebruik gemaakt. We kennen het voorval van de patholoog Van Velzen, die duizenden organen (dragers van persoonlijke DNA-codes) na obductie achterhield en in potjes bewaarde voor toekomstig wetenschappelijk onderzoek. De nabestaanden wisten van niets, omdat ze er nooit expliciet naar hadden gevraagd en de arts niet verplicht is om alle details uit eigen beweging te verstrekken. Dit is nog maar het topje van de ijsberg. Er liggen 1,4 miljoen bloedsamples bij het RIVM, zonder dat de donoren er weet hebben.

Sommige Nederlandse ziekenhuizen (het AZL en het Diaconnessenziekenhuis Meppel bijvoorbeeld) stellen op hun sites dat ze afgenomen lichaamsmateriaal voor allerlei wetenschappelijk onderzoek gebruiken. Wie daar bezwaar tegen heeft, moet, vanaf de weinig comfortabele plek op de stretcher, zelf informeren waarvoor bijvoorbeeld afgenomen bloed wordt gebruikt. Het gevolg is dat alleen mondige, wakkere en kritische mensen bezwaar maken tegen dit nader gebruik van lichaamsstoffen.

Als ik de WBP goed begrijp, mogen ook computerartsen de onmondigheid van hun klanten interpreteren als 'stilzwijgende instemming'. Bij het vervangen of scannen van een harde schijf mag deze bijvoorbeeld worden doorgelicht voor historisch, statistisch of wetenschappelijk onderzoek. Ergens op een site of in een folder moet de computerarts dan wel zeggen dat de mogelijkheid bestaat om bezwaar te maken tegen dit 'nader gebruik' van de verkregen informatie of informatiedragers.

Zo'n zinnetje ontslaat de reparateur van de plicht om toestemming te vragen. De persoonsgegevens mogen vervolgens langdurig opgeslagen worden, zonder dat de klant er weet van heeft. De Europese wetgeving, met name de Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, biedt op dit punt geen bescherming. In deze richtlijn staat dat de lidstaten het privacyprobleem zelf maar moeten oplossen. 'De Lid-Staten voorzien in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard.'

Zelfs als je, zoals ik, wetenschappelijke onderzoek doorgaans toejuicht, moet je erkennen dat dit ver gaat. Onder de paraplu van wetenschappelijk en historisch onderzoek is namelijk veel mogelijk. Wat dacht je bijvoorbeeld van de 'microhistorie', een inmiddels erkende methode in de geschiedwetenschappen waarbij de tijdgeest wordt uitgelegd aan de hand van het leven van een enkel individu. Met deze methode kun je ook uitleggen wat er zoal op een harde schijf staat door de schijf van een geanonimiseerd persoon te beschrijven. Je zult die persoon maar zijn en ontdekken dat ze je persoonlijke brieven hebben gepubliceerd zij het onder een andere naam.

Het zou beter zijn om bezwaarregelingen in de WBP te vervangen door een toestemmingseis. Alleen als expliciet toestemming is gegeven door de betrokkene mag er extra historisch, statistisch of wetenschappelijk onderzoek op de afgestane data worden gedaan. Dat beschermt onmondigen en dommeriken zoals ik die klakkeloos op alle knoppen drukken in de hoop dat daarmee de computer gemaakt wordt. De online scan van Norton verhielp het probleem overigens niet. Een bevriende computerdokter wist, na lang wikken en wegen, het probleem wel te verhelpen. Zelden voelde ik mij zo opgelucht. Zou hij ook een kuur tegen computerverslaving hebben?

Erno Eskens