Ongestraft starnakel dronken over de A4

"Vergelijk het met iemand die starnakel bezopen met 180 kilometer per uur op de A4 rijdt, en de politie kan alleen waarschuwen dat hij dat niet nog een keer mag doen. Wij kunnen als College Bescherming Persoonsgegevens aan overtreders van privacyregels een last onder dwangsom opleggen, terwijl we boetes van Neelie Kroes-achtige hoogten zouden moeten kunnen opleggen.

Voor degenen die overtredingen begaan zijn onze mogelijkheden voor straffen een rotzorg. Het is bijvoorbeeld te gek voor woorden dat wij moesten procederen om ziekenhuizen die de wet overtreden een sanctie op te kunnen leggen."

Was getekend Jacob Kohnstamm (foto). Zijn aanval vormde ook de verdediging tegen kritiek op zijn College Bescherming Persoonsgegevens (CBP) dat die niet genoeg en goed zichtbaar optreedt. Volgens Kohnstamm treedt het CBP vooral op de achtergrond op, wat volgens hem effectiever is dan op de bühne. In één zaak heeft het CBP afgelopen jaren hard op de trom geroffeld, met het lekken van de zaak tegen Advance aan de Volkskrant. Het onderzoeksrapport liet vervolgens een klein jaar op zich wachten en de uitkomsten kregen nauwelijks meer aandacht.

Kohnstamm deelde ook documentatie uit; dat wil zeggen een vel met daarop een schema van grote en kleine internetbedrijven die op verschillende wijze online data van gebruikers exploiteren en verhandelen. Het leek afkomstig van een onderzoek, maar achteraf bleek het te gaan om een van internet geplukt A4'tje met een schema van het bedrijf Improve Digital plus een weinig verhullende presentatie van reclameclub IAB over online reclame en persoonlijke data.

Zonder toelichting leek het inbrengen van het schema louter effectbejag van Kohnstamm. Maar het was bedoeld als een eenvoudige onderbouwing van zijn stelling dat burgers weerloos zijn tegenover het online marketinggeweld: "Ze vullen het kruisje wel in dat ze de privacyverklaring hebben gelezen, maar als ze dat al hebben gedaan, is het volstrekt ondenkbaar dat er enig inzicht is wat het betekent als er staat dat de website de gegevens kan delen met 'zorgvuldig geselecteerde derden'."

Bovendien is het geen vrije keuze volgens Kohnstamm: surfers voelen zich vaak gedwongen om snel akkoord te gaan zodat ze tenminste toegang krijgen tot een gewenste dienst en/of website.

Behalve internetbedrijven die vrijwel ongelimiteerd en vooral ongekend veel persoonlijke gegevens exploiteren zijn er nog de uitdijende, gekoppelde bestanden van overheden. Tezamen dreigen ze individuen met levenslange achtervolging met profielen en willekeurige gekoppelde data. Dat moet anders.

Eerste Kamer in actie

Dus was er op maandag 21 februari 2011 een bijzondere hoorzitting over privacy in de Eerste Kamer met als deskundigen:

• De Europese privacybaas Peter Hustinx;
• Nederlandse privacychef Kohnstamm, momenteel ook voorzitter van de Europese chefs in WP 29;
• Corien Prins namens de WRR;
• Geert Munnichs van het Rathenau Instituut;
• Thomas Meijer en Thomas Wijsman van de Algemene Rekenkamer

Vanuit de Eerste Kamer zagen we ondermeer de Kamerleden Van de Beeten (voorzitter, CDA), Franken (CDA), Dupuis (VVD), Dutler (VVD), Tan (PvdA), Hamel (PvdA) en Slagter (SP).

Het was een hoorzitting in een reeks Evaluatie Wet bescherming persoonsgegevens die op 17 mei 2011 wordt afgerond. Het begon al in 2007!

Uit gesprekken met Eerste Kamerleden blijkt dat, in tegenstelling tot bij de Tweede Kamer, er een grote collectieve zorg aangaande privacy bestaat. Of die zorg in daden zal worden omgezet, valt te bezien. Temeer daar de Eerste Kamer niet enkel een geheel andere invulling krijgt (met de PVV), maar ook de toon en inhoud zullen veranderen.

De weldaad van debatten gespeend van partijpolitieke prietpraat is dan wellicht over, terwijl mogelijk ook privacy minder zorgen baart; ofschoon ook binnen de PVV er, getuige de opspraak van personen - van het vermeende vreemdgaan van partijleider Wilders tot en met de openbaargemaakte strapatsen van PVV-vertegenwoordigers - privacy een onderwerp van betekenis kan zijn. In de VS loopt privacyzorg al dwars door de politieke gelederen.

Krachtig Rathenau-rapport

Munnichs stoelde zijn betoog op het rapport Databases. Over ICT-beloftes, informatiehonger en digitale autonomie dat overheidsadviseur Rathenau eind 2010 publiceerde. Het is een analyse van de opzet en uitvoering van databanken door de overheid met de OV-chipkaart en de kilometerheffing; elektronisch patiëntendossier (EPD); elektronisch kinddossier (EKD), het Schengen Informatie Systeem en de  gemeentelijke basisadministratie (GBA), plus de opbouw van klantprofielen op internet door bedrijven.

Zijn grief, samengevat: "De databanken brengen aanzienlijke risico's mee voor individuen. Dat is vooral het gevolg van de ontwerpfase waarin het belang van de burger vaak ondersneeuwt. Het inzage- en correctierecht zijn veelal niet verankerd ofwel ernstig beperkt. De burger is het kind van de rekening."

Soms gaat het goed zoals met de kilometerheffing, aldus Munnichs, toen gekozen werd voor de ' dikke variant' waarbij automobilisten wel inzage zouden krijgen in afgelegde trajecten etc., maar systeemexploitanten niet. "ICT kan de positie van de burger ook versterken. Het is belangrijk dat het doel van systemen simpel wordt gehouden."

In dezelfde sector noemde hij commerciële partij TomTom als goed voorbeeld van zorgvuldig ontwerp. Verder is het commercieel treurig gesteld met de privacybescherming volgens Rathenau: "Consumenten hebben geen idee wat er aan gegevens over hen circuleren en wat ermee wordt gedaan."

Te complexe systemen

De Rekenkamer liet in de Eerste Kamer een eerder geuit geluid horen over te complexe systemen gebouwd vanuit een overheid met te hoge ambities die vanuit de technologiesector sterk worden gestimuleerd. Gevolg is een spiraal van alsmaar complexere systematiek die uiteindelijk gebrekkig werkt, en veel te duur en onbeheersbaar wordt. De politiek doet niet anders dan haast maken en ambities verder opschroeven.

Lopende die projecten, of eigenlijk al vanaf het ontwerp, is ook de naleving van de privacywet (WBP) een ondergeschoven kind. "Het algemene probleem van de informatiehuishouding van de overheid is dat er een enorme hoeveelheid data wordt gecreëerd zonder dat men goed weet hoe daarmee om te moeten gaan. Er is te veel vertrouwen op de voordelen van dataverzameling."

Maar er is niet een-twee-drie een 'Handboek Soldaat' te bedenken hoe je grote projecten goed aanpakt. In de discussie kwam de methode als Privacy Impact Assessment (PIA), al veelvuldig toegepast in Engeland en de VS, en ook door de Europese Commissie, als oplossing ter sprak: in alle fasen van projecten ga je na of privacy wordt geborgd. Ook Privacy-enhancing Technologies kwamen over het voetlicht.

Privacy en andere rechten van burgers zijn te vaak ondergeschikt bij systeemontwerp. Dat moet veranderen. Met inzet van 'privacy by design', 'privacy-enhancing technology' en 'privacy impact assesment' zou het bijvoorbeeld met de OV-chipkaart veel beter zijn gelopen. Dan waren de rechten en mogelijkheden voor burgers met de OV-chipkaart niet volledig ondergesneeuwd aan de belangen van de vervoersbedrijven zoals nu het geval is.

Grote aanpak WRR

Maar de Eerste Kamer tastte op dit punt in het duister, en blijft dat doen daar niet duidelijk is welke garanties deze technische privacymethoden bieden om bij systeemontwikkeling het 'ondersneeuwen' van burgerbelangen te voorkomen. Prins beloofde dat de WRR met haar rapportage aan de regering (op 15 maart 2011) met een 'overkoepelend afwegingskader' zal komen.

Volgens haar ligt het probleem in de opzet, maar vooral ook in de uitvoering van systemen die overheden en instellingen hanteren om meer grip te krijgen op burgers en hun deel van de maatschappij. Alsmaar uitdijende informatiebergen zijn het gevolg, zonder zicht op de risico's van bijvoorbeeld gebrekkige datakwaliteit.

De WRR publiceerde inmiddels serie onderzoeken, ondermeer naar de risico van keuzes gemaakt met het biometrisch paspoort. Inmiddels zijn er zoveel gekoppelde systemen en dijt het datagebruik over grenzen van systemen heen zodanig uit, dat er grote zorgen rijzen bij de WRR over de gevolgen hiervan voor de 'relatie burger-overheid'.

Weer baas over je data

Om nog maar niet te spreken van de gevolgen van nimmer verdwijnende data, bijvoorbeeld samengebracht in het EKD maar ook in de Verwijsindex Risicojongeren. Het 'eens een dief altijd een dief' wordt de norm en dat is niet goed volgens de WRR en haar ingeschakelde onderzoekers. Veel te veel data blijven hangen en zijn later van invloed zoals bijvoorbeeld met het elektronisch kinddossier dat probleemjongeren een brandmerk meegeeft waar ze, als ze niet oppassen, nooit meer vanaf komen.

Voor de WRR doet Ybo Buruma onderzoek en komt binnenkort met kritiek op de grote bewaardrift van vooral overheden met verzamelde persoonsgegevens. Het 'recht op vergeten' vindt Prins van groot belang. Dat vergeetrecht, aldus Corien Prins, blijft niet beperkt tot online profielen.

De Kamerleden waren het daarmee eens, maar vroegen wel of dit nobele streven werkelijk haalbaar is. Ze zijn ook 'opgevoed' met het idee dat wat ooit op internet gepubliceerd is, 'nooit meer weg gaat'.

Dit pleidooi voor een vergeetrecht op internet is een opvallende stelling van de voornamelijk vijftig- en zestig-plussers die de discussie voerden, en die zelf nauwelijks door een online profiel laat staan strafblad of ander belastend digitaal bestand worden achtervolgd.

Ze maken zich vooral zorg om jongeren en sociale media, en om bedrijven die op grote schaal data verzamelen. Persoonsgegevens maken onvermoede zwerftochten over het internet en de burger heeft er een enkele zeggenschap meer over. Dat moet veranderen, te beginnen met de data die hij vrijwillig heeft gepubliceerd bij sociale media.

Een profiel moet je kunnen meenemen naar een ander netwerk, net zoals je telefoonnummer kunt meenemen naar andere providers. Of je moet het geheel kunnen laten wissen zonder dat er nog een spoor van achterblijft of elders opduikt.

Veel geld om in data

De beweging hiervoor wordt aangevoerd door Europese Commissaris voor Justitie Viviane Reding, aldus Hustinx, die persoonlijk vorige week van Redings collega Neelie Kroes (Digitale Agenda) vernam dat ook zij te porren is voor zo'n recht op beheer van je eigen data.

Hustinx was erg optimistisch over de aandacht voor privacy, die alsmaar groeit: "De relevantie van privacybescherming was nog nooit groter dan nu." Er komt in elk geval een verbetering van de balans tussen tot stand tussen privacy en veiligheid. De laatste won veel terrein sinds de aanslagen in de VS op 11 september 2001. Ondermeer de naleving van de Europese Grondrechten helpt.

De nadruk bij Hustinx ligt overigens op 'dataprotectie', bescherming van data tegen oneigenlijk gebruik. Onderdeel van de heroverwegingen vormen de regels voor internet die verouderd zijn. Maar hij ziet ook beren op de weg. Op de vraag van Dutler of de mooie wensen haalbaar zijn in de praktijk: "Probleem is dat er heel veel geld verdiend wordt met data."

Hoge boetes nodig

Volgens Kohnstamm is de 'pakkans' veel te gering voor bedrijven en instellingen (en overheden?) die fouten maken met privacy of regels bewust met voeten treden. Het CBP komt niet verder dan een 'last onder dwangsom' opleggen en kan dat maar beperkt doen. Kohnstamm zou hoge boetes willen uitdelen, want die vormen ook de beste stok achter de deur. De Europese ict-cheffin Kroes is het volgens hem daarmee eens: "Recent sprak ik haar hierover en ze begreep heel goed wat ik bedoelde en gaf me gelijk."

Maar de Europese opperbaas Hustinx daarentegen steunde Kohnstamm niet helemaal. Hij vindt weel dat er harder opgetreden moet worden ("geen zachte heelmeesters"), maar dat hij genoeg middelen heeft bij grote privacyschendingen. Zo stapt hij naar het Europese Hof om bedrijven en overheden aan te pakken. Wel zei hij dat het Europees beter in de hand wordt gehouden dan in veel nationale staten.

ICT-autoriteit of niet?

Munnichs bepleitte de komst van een ' ICT Autoriteit', een overkoepelend Nederlands orgaan dat ict bij de overheid moet sturen. Die zou een structureel toezicht moeten uitoefenen op de keuzes die overheden maken met ict-systemen.

Kamerlid Franken keerde zich er hard tegen: "Dat wordt weer zo'n groot huis met een koperen plaats op de deur en een batterij personeel. Wat schieten we daar mee op in de praktijk?" En later: "Waarom kun je gewoon niet in de markt auditors verplicht laten inschakelen om systemen te toetsen?"

Waar de WRR en de Rekenkamer wel mee konden gaan in de vorming van een mogelijke ICT Autoriteit, of hoe die mag heten, was Kohnstamm er fel tegenstander van. Hij vreest dat zijn CBP daar dan in op zal gaan en de zelfstandige rol verliest.

Een andere suggestie was peer review te laten toepassen op grote ict-projecten, gedurende verschillende fases, om na te gaan of ze nog in de pas lopen met de opzet. In Engeland is dat met succes opgezet.

Over de noodzaak om ict-systemen veel beter op te zetten, en privacy adequater te regelen, waren deskundigen en Eerste Kamer het wel eens, maar niet over de manieren waarop dat mogelijk is. Ondertussen passeerden wat scherpe details zoals van de Belastingdienst. Deze hanteert als norm volgens de Rekenkamer-deskundigen dat 75 procent van haar dossiers 'op orde' moet zijn maar dat streven wordt meer dan eens niet gehaald.

EPD hard aangevallen

En Kamer en deskundigen lieten doorschemeren dat wat hen betreft het EPD er in de voorgestelde vorm niet gaat komen. Dat wordt, als het aan de wijze ouderen van de Eerste Kamer ligt, een rondje uithuilen en opnieuw beginnen. De deskundigen gaven hen daarvoor voldoende munitie.

Als betere variant werd het Duitse systeem genoemd van de Gesundheitskarte die geheel is opgezet vanuit de belangen van patiënten en waarbij de privacydiscussie grondig is gevoerd.

Slimme scepticus

Kamerlid Hamel, voorheen zeventien jaar lang bestuursvoorzitter van het Universitair Medisch Centrum Groningen en zijn voorganger AZG, gooide nog wat olie op het EPD-vuur met zijn grote twijfel over de inhoud van de medische informatie zelf.

Los van de terechte aandacht voor privacy en beveiliging ziet hij grote problemen ontstaan met het verzamelen, weergeven en vooral interpreteren van observaties en andere handelingen van medici."Het probleem begint bij de informatie zelf."

En ook de Rekenkamer droeg een sceptisch steentje bij met de opmerking dat bij de Belastingdienst een streven bestaat om 75 procent van de dossiers 'op orde' te hebben. "En dat streven wordt meer dan eens niet gehaald. Dat leidt dus tot hele grote problemen."

Overigens heeft diezelfde Belastingdienst een eigen databank voor persoonsgegevens omdat er in de GBA te veel fouten staan met namen en adressen. Om nog maar niet te spreken van de tragiek met de ict bij de politie waar systemen nog altijd ontoereikend zijn.

Conclusie: paradox

Zo ontstond op de valreep nog een aardige paradox als conclusie van dit debat: terwijl de aandacht voor privacyschendingen en risico's daarop weer flink toeneemt na een decennium verslapte aandacht, zijn systemen ondertussen dusdanig uit hun voegen gegroeid en een eigen leven gaan leiden dat grip op het geheel waartoe de Eerste Kamer relatief intensief in actie komt, al lang niet meer haalbaar is.

Tot zolang: fingers crossed dat de schade meevalt; dan wel misschien eens het principiële debat voeren of de privacy nog zoveel aandacht verdient en of die zorgen dan anno 2011 juist gericht zijn.