De digitale hooiberg en het verwijderen van een speld

Iedereen moet de mogelijkheid hebben om zijn dromen na te jagen zonder bang te zijn dat zijn fouten hem achtervolgen, aldus Benjamin Netanyahu. Moet het dus niet makkelijker worden om je ‘digitale ik’ te (laten) verwijderen? *)

Premier Netanyahu eindigde zijn openingstoespraak van de conferentie, waarmee de Oeso vorig jaar in Jeruzalem de 30e verjaardag van de Oeso Privacy Guidelines vierde, met de opmerking dat iedereen de mogelijkheid moet hebben om zijn dromen na te jagen zonder bang te zijn dat zijn fouten hem achtervolgen. Hij vroeg zich af of het niet makkelijker zou moeten worden om je ‘digitale ik’ te (laten) verwijderen.

Wij laten vele keren per dag digitale sporen na in de datasystemen van overheden en bedrijven en op het internet. Niet alleen worden ons dagelijks gedrag en prestaties grotendeels vastgelegd maar ook onze uitspattingen, onze dromen en angsten, ons geluk en ons verdriet vinden hun weg naar de Digitale Hooiberg.

Volgens IDC had de mensheid in de zomer van 2010 naar schatting al zo’n 1,2 zettabyte aan digitale informatie opgeslagen (ofwel zo’n 1,2 miljard terabyte). Het is echter vooral de explosieve groei van de Digitale Hooiberg die opvalt. Nog maar een jaar eerder stond de teller nog op 0,8 zettabytes, oftewel een toename van 50 procent in één jaar tijd (The Guardian, 3 mei 2010). Uiteraard betreft het hier alle digitale informatie en niet alleen persoonsgegevens, maar dit feit maakt wel duidelijk dat het principe van dataminimalisatie als regulerend beginsel voor privacybescherming een illusie is geworden.

De moderne informatietechnologie biedt ook nog eens de mogelijkheid om al die gegevens in razendsnel tempo te verzamelen en te verspreiden. Met andere woorden, dataverwerking is ubiquitous geworden. Met de invoering van IPv6 zal dit fenomeen alleen nog maar toenemen. Security-goeroe Bruce Schneier noemde deze proliferatie van data de ‘vervuiling van het informatietijdperk’, daarmee een vergelijking trekkend met de milieuvervuiling in de 20e  eeuw als gevolg van industrialisatie.

Deze datavervuiling leidt ertoe dat bedrijven en overheden vaak niet meer zullen weten welke persoonsgegevens ze nou precies in huis hebben, laat staan dat ze weten waarom ze die in huis hebben of waar die gegevens zich exact bevinden. Gegevens zitten immers nog maar ten dele in mooi gestructureerde, goed beveiligde en zorgvuldig beheerderde databases. Van veel persoonsgegevens bestaan tegenwoordig vele talloze kopieën die zijn terug te vinden in, meestal slecht beveiligde, e-mailbestanden, sharepoints, harde schijven, usbsticks en smartphones.

Digitale brand door schuld

‘De overheid’ of ‘het bedrijf’ (de ‘verantwoordelijke’ in termen van de wbp) heeft nog maar zelden de volledige regie over de verwerking van de persoonsgegevens. Steeds vaker is de verwerking feitelijk het initiatief en de verantwoordelijkheid van individuen in de organisaties, buiten de supervisie (en soms ook het zicht) van het management.

Die toegenomen individualisering van gegevensverwerking heeft zich – naar mijn mening ten onrechte – nog niet heeft vertaald naar een individuele juridische verantwoordelijkheid. Het wordt langzamerhand tijd om eens te gaan nadenken over nieuwe schulddelicten gerelateerd aan zorgvuldig informatiebeheer. Zoiets als een ‘digitale brand door schuld’.

Het is overigens nog maar de vraag of het ‘recht om vergeten te worden’ realistisch is. Het lukte Thoetmosis iii al niet om de naam van zijn stiefmoeder Hapsjepsoet overal weg te laten hakken in de tempels van Karnak dus waarom zou het ons in onze wereldwijde informatiesamenleving dan wel lukken?

Het voorstel komt mij dan ook vooral voor als een staaltje symboolwetgeving waarmee eerder het morele uitgangspunt tot uitdrukking wordt gebracht dat iedereen, zoals Netanyahu zei, zijn dromen mag najagen zonder achtervolgd te worden door zijn digitale schaduw dan dat mensen daar ook een afdwingbaar recht op verwijdering van persoonsgegevens aan zouden moeten kunnen ontlenen.

Het volledig uitwissen van persoonsgegevens in onze huidige informatiesamenleving is eenvoudigweg veel te duur en er zijn te veel partijen bij betrokken. Een effectief recht om vergeten te worden staat daarnaast ook lijnrecht tegenover de gedachte dat decentrale opslag van persoonsgegevens juist privacybevorderend is. Hoe decentraler de opslag is geregeld des te moeilijker het dus zal zijn om de gegevens met ‘een druk op de knop’ uit te wissen. Voor het inzagerecht en het correctierecht zal dat trouwens niet anders zijn.

Het is dan ook niet verwonderlijk dat de Europese Commissie tevens lijkt in te zetten op een culturele verandering in de wijze waarop van organisaties omgaan met privacy en persoonsgegevens. Zij promoot accountability en privacy by design als nieuwe privacyprincipes. Deze principes appelleren vooral aan de ‘digitale duurzaamheid’ van organisaties.

Van technologieproducenten en aanbieders van innovatieve diensten van de informatiesamenleving zal mogen worden verwacht dat zij inzetten op privacy by design. Dat wil zeggen dat zij bij de ontwikkeling van hun technologie, producten en diensten al in een vroeg stadium rekening houden met privacy en bescherming van persoonsgegevens.

Uitvoeringsorganisaties zullen daarentegen vooral op accountability moeten inzetten en laten zien dat zij de privacy van burgers, klanten en werknemers serieus nemen door het implementeren van allerlei privacy controls in de organisatie.

Daarmee wordt privacy (hopelijk) minder een aangelegenheid voor juristen en meer een onderwerp van risicomanagement en brand trust. Het bedrijfsleven is hier in mijn ogen tot op zekere hoogte in het voordeel, omdat het creëren van brand trust een essentiële voorwaarde is voor continuïteit en waardecreatie.

De recente privacyschandalen in het internationale bedrijfsleven waren een wake-up call voor veel managers. Zij zagen opeens de waarde van hun aandelen met procenten tegelijk zakken, klanten spanden rechtszaken aan en de rekening voor het nemen van maatregelen liep soms in de vele honderden miljoenen (Wall Street Journal, 6 mei 2011).

Topmanagers gingen dan ook publiekelijk diep door het stof en aanpassingen conform de wens van de klant werden soms razendsnel doorgevoerd. En dat is niet verwonderlijk, want zowel de klant als het bedrijf zijn gebaat bij een sterke en langdurige relatie tussen beiden. Privacywensen van de klant werken in het bedrijfsleven dan ook als een sturingsmechanisme.

De overheid daarentegen zal het naar verwachting een stuk moeilijker hebben met deze nieuwe privacybeginselen. Zij moet immers opereren in het spanningsveld van verschillende, soms conflicterende, maatschappelijke belangen.

Politici zijn soms bang om al te veel nadruk te leggen op privacybescherming omdat het kiezers kan kosten. Iemand die niets te verbergen heeft, heeft immers van de overheid niets te vrezen, zo is de alom heersende opvatting.

Sommige politici zien ict vooral ook als een middel om de dienstverlening aan de burger te verbeteren (lees: de efficiency van de overheid te verbeteren). En dan kunnen ambitieuze ict-projecten op privacygerelateerde gronden nog wel eens met gierende banden tot stilstand komen, zoals we recentelijk hebben gezien bij het elektronisch patiëntendossier.

Louis Brandeis, de grondlegger van het privacyrecht, waarschuwde al voor een overheid die de common good plaatst boven persoonlijke vrijheid: ‘Experience should teach us to be most on our guard to protect liberty when the government’s purposes are beneficient.’

In tegenstelling tot hun collega’s in het bedrijfsleven trekken overheidsbestuurders zelden het boetekleed aan als het om privacy gaat. Zij voeren een paar (marginale) aanpassingen in het beleid door en proberen het dan vrolijk nog een keer, hopende dat de politieke tegenwind daarmee is gaan liggen.

En zo moddert de overheid verder als het gaat om privacy. Niet verwonderlijk dus dat Nederland volgens privacy-watchdog Privacy International al jaren behoort tot de categorie Systematic failure to uphold privacy safeguards (Privacy International, State of Privacy Map 2007). In het licht van het voorgaande is het dus nog maar de vraag of terecht is dat burgers meer vertrouwen hebben in de overheid dan in het bedrijfsleven als het gaat om de bescherming van hun persoonsgegevens (cbp, Niets te verbergen en toch bang, 2009).

Hoe dan ook, het privacyrecht is mondiaal in beweging gekomen. De opkomst van cloud computing, het Internet of Things, Ambient Intelligence, biometrie, sociale netwerken, zoekmachines, online behavioural targeting, location based services, internationale gegevensuitwisseling in het kader van veiligheid en criminaliteitsbestrijding en de daarmee gepaard gaande grotere transparantie van de burger en de consument plegen een forse aanslag op de houdbaarheid en effectiviteit van de (Europese) privacyregels.

Het is evident dat de wet- en regelgeving aangepast moet worden aan de eisen van de informatiesamenleving van de 21e  eeuw. Maar of de voorstellen die nu in Brussel, Den Haag en Washington op tafel liggen ver genoeg gaan om de problemen ook daadwerkelijk aan te pakken, valt nog te bezien.

*) Deze column is eerst afgedrukt in Jaarboek ICT en samenleving 2011 - De transparante samenleving

Redactie: Valerie Frissen, Linda Kool en Marc van Lieshout
Aantal pagina's: 272
Prijs € 29,50
ISBN 9789078 7 30088
 

De digitale hooiberg en het verwijderen van een speld

Gepubliceerd

12 jul 2011
Graag kort en bondig. Kwetsende, discriminerende en/of commerciële uitlatingen worden verwijderd.
 

Registreren en de nieuwsbrief ontvangen?

We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen en je kunt reageren op de artikelen.

Controleer nu je e-mail

Je ontvangt een bericht met instructies om je e-mailadres te bevestigen. Zonder deze bevestiging sturen we je geen nieuwsbrief, doe het dus gelijk even!

asdas sdf fs dfsdfsf sdffsd

Netkwesties © 1999/2018. Alle rechten voorbehouden. Privacyverklaring

Ehio Media content marketing
1
0
1