Jacob Kohnstamm is als voorzitter van het College bescherming persoonsgegevens (CBP) die toeziet op naleving van de privacywet (Wbp) ook voorzitter van de Artikel 29-werkgroep, de club van Europese toezichthouders op de privacy. Hij werd recent voorzitter van het uitvoerend comité dat de internationale conferentie van alle privacywaakhonden in de wereld moet vormgeven. De laatste benoeming gebeurde gedurende een congres in Mexico met als hoofdsponsor Google, die hij juist daarvoor bestrafte voor onrechtmatig verzamelen van wifi-gegevens via StreetView.
U sprak tegen het publiceren van daderfoto's, vervolgens toch niet en was u foutief geciteerd. Is opheffing van privacy in dit tijdsgewricht een consequentie voor de dader of zelfs een deel van de straf?
"Bescherming van persoonsgegevens is een fundamenteel mensenrecht, dus voor slachtoffers en ook voor verdachten en veroordeelden. We moeten onderscheid maken tussen publiceren van vermoedelijke daders door particulieren en door de politie. En je hebt altijd afwegingen te maken naar plaats, tijd en situatie."
Initialen wel in de Nederlandse pers, niet in de buitenlandse, foto's met balkjes idem dito. De roep om pedoregisters online…
"Daar ga ik niet over als handhaver."
Europa krijgt nieuwe privacyregels waarvoor recent een voorstel kwam. Kohnstamm adviseerde als voorzitter van de Artikel 29-werkgroep in het kader van dit voorstel en we spraken hem vóór dat dit uitkwam. *)
U was de chef van de Regieraad ICT toen na 11 september 2001 veel antiterrorisme maatregelen in korte tijd werden ingevoerd met privacyaantasting, bijvoorbeeld met databank CIOT om persoonsdata aan o.a. mobiele nummers te koppelen. Hoe verhouden zich uw pleidooien nu voor meer privacy met zijn maatregelen toen die de privacy hebben aangetast? Spijt? Een zeker opportunisme?
"De Regieraad was er uitsluitend op gericht om informatieuitwisseling tussen politieregio’s technisch mogelijk te maken. Over de inhoud van de informatie-uitwisseling ging de Regieraad niet."
De afgelopen maanden is er een regen van privacylekken blootgelegd, ondermeer met Lektober 2011 tot en met het Sinterklaasjournaal (en afgelopen week weer met Nu.nl). Het houdt niet op. Jeuken uw handen? Wat doet u?
"Wij hebben als CBP al bij een heel aantal gevallen van datalekken opgetreden, maar in veel gevallen worden datalekken al gedicht voordat ze bekend worden. In die gevallen kunnen wij weinig met onze huidige bevoegdheden; wij kunnen tot op heden nog niet direct boete opleggen en moeten het doen met een last onder dwangsom, dat is een 'reparatoire' boete waarbij de verantwoordelijke altijd een termijn krijgt om de overtreding te beëindigen."
Cloud computing betekent dat onze data over de hele wereld zweven en straks moeten we naar een Chinese rechtbank voor onze privacy. Hoe dat te regelen?
"Met dat probleem zitten alle toezichthouders voor dataprotectie in de wereld. Dat punt staat dus wereldwijd hoog op de agenda. Overigens is volgens sommigen cloud computing niets nieuws en gebeurt dat al jaren met outsourcing en time-sharing. Dat laat onverlet dat we dit moeten regelen."
Begin 2009 pakte de Volkskrant op zaterdag groot uit over Advance dat met Je Echte Leeftijd werd verdacht van zeer ernstige privacyschending. Pas eind 2009 kwam er een uitkomst en in augustus 2011 zag u van verdere stappen af. Dat is toch efficiënt noch effectief?
"Dat onderzoek besloeg in totaal tien maanden. Ik begrijp de vraag maar die komt voort uit onkunde. Wij moeten onderzoek doen conform de Algemene Wet Bestuursrecht, met de mensen die wij hebben. Als we in de fout gaan, kunnen we ondanks een prachtig resultaat vervolgens nat gaan bij de bestuursrechter. We hebben ons te houden aan hoor en wederhoor in drie instanties en daarnaast reageert de wederpartij reageert vaak nog eens te laat."
U mag het onkunde noemen, maar snel en hard optreden zien we nauwelijks van het CBP…
"De procedure die we volgen moet op grond van de wet terwijl mensen van ons verwachten dat we optreden á la een actiegroep. Die kunnen even kijken op een site, stellen vast dat het klote is en kunnen er een stuk over schrijven of actievoeren."
Er zit toch nog ruimte tussen 1,5 jaar bezig zijn en dan de zaak maar afblazen en kordaat optreden met een flinke boete. U klaagde zelf in de Eerste Kamer dat u te weinig slagkracht kan tonen vanwege te geringe middelen naast de dwangsom?
"Dat heb ik vaak en in vele toonaarden gezegd. We kunnen nu enkel de gele kaart uitdelen en een last onder dwangsom opleggen bij volharding van de overtreding. Dat is echt te weinig. Bij zo'n flagrante overtreding als met de site ‘Je Echte Leeftijd’ door Advance moet je direct een straf kunnen opleggen.
Het vorige kabinet besloot om ons de mogelijkheid te bieden om ook te bestraffen met een boete. Nu wacht het kabinet op de nieuwe Europese Verordening voor privacy."
Kritiek is er bovendien dat de hele privacyhandhaving een gedrocht is waarmee behalve tachtig mensen hier ook een batterij aan advocaten en adviseurs een mooie boterham aan verdient, met uiteindelijk geringe opbrengsten. Wat vindt u van die kritiek?
"Wetgeving is nu eenmaal lastig. Het betekent dat je eraan moet houden, dat het geïnterpreteerd moet worden. Inderdaad hebben bedrijven en organisaties daar last van. Dat is ook precies zoals de wetgever het bedoelt: .zij moeten zorgvuldig omgaan met het verzamelen en verwerken van persoonsgegevens. Dus als er kritiek is op de wetgever dat bedrijven en instellingen in actie moeten komen, dan kun je dat beschouwen als een groot compliment. Zo was het bedoeld..."
Ook om het zo complex te maken?
"Het is helemaal niet complex. Het is juist eenvoudig: 1. Verzamel niets wat niet noodzakelijk is. 2. Beveilig de gegevens goed. 3. Ga er zorgvuldig mee om en 4. Geef burgers er inzage in. Dat is wat er staat."
Als het zo eenvoudig is, waarom moeten er dan batterijen juristen worden ingezet om het te doorgronden?
"Er stond ook in de wet dat je je als huurder als een goed huisvader hebt te gedragen. Er was ook een batterij juristen nodig om dat precies uit te zoeken en helder te krijgen. Zoals met zo veel wetgeving dat het geval is. Als je precies wilt uitleggen wat je met stopcontacten, verf en raamkozijnen mag doen dan heb je ook een wetgeving van hier tot ginder. Alle wetgeving is enigszins abstract en heeft interpretatie nodig, en jurisprudentie om helderheid te krijgen over verschillende praktische zaken. Neem onrechtmatige daad…"
Dat is een heel breed en vaag begrip, dar moet je vrijwel altijd voor naar de rechter…
"Goed dan: wetgeving die de AFM toepast, die de NMa toepast, de wetgeving die de Opta toepast. Of neem het Consumentenrecht. Allemaal redelijk abstracte normen die in de praktijk hun weg moeten vinden.
Ik heb echt schoon genoeg van dat soort kritiek, het zit me tot hier. Voor elke fatsoenlijke wet geldt die je technologieonafhankelijk wilt neerzetten geldt de noodzaak van een zekere mate van abstractie.
Dezelfde kritiek die u nu uit op het CBP gaat niet naar de AFM, gaat niet naar de NMa, en niet naar de Opta. Dat betekent dus gewoon dat mensen het vervelend vinden om serieus stil te moeten staan bij de bescherming van privacy en de regelgeving."
Er zal toch wel een reden voor die kritiek bestaan?
"Die kritiek op de abstracte normstelling verwerp ik. Wat wil je dan? Hele boekwerken zodat bij elke nieuwe technologie er passende wetgeving komt? Of moet je eenvoudige principes vaststellen? Het begint al met de kwestie wat een persoonsgegeven is."
De indruk is toch dat bijvoorbeeld in de VS het met toezicht door de FCC en FTC een stuk vlotter gaat dan hier…
"Dat is echte grote onzin."
Heldere hoorzitting in de Senaat en het Huis van Afgevaardigden, heldere maatregelen, snel ingevoerd…
"Daar heeft de FTC niets mee te maken. Dat is een zaak van het Amerikaanse parlement. Vertegenwoordigers daarvan zijn hier ook geweest want zijn kunnen weer leren van onze situatie.
Neem Facebook, de FTC is dik een jaar geleden begonnen met discussies en kwam na dertien maanden beraadslagingen, intern en met Facebook, met een uitspraak. Zo is de FTC maanden en maanden met Google bezig geweest en zijn ze door ons ingehaald. Bovendien heeft de FTC een hele andere rol en taak dan wij. Maar we werken wel intensief samen."
Een Amerikaanse uitspraak over Facebook. Er was intensief onderzoek van de Canadese privacytoezichthouder naar Facebook. De Scandinavische waakhonden kwamen samen met een belabberde uitspraak. De Ieren rapporteerden. Is dat alles niet te coördineren?
"Er vindt ook zeker coördinatie plaats tussen privacytoezichthouders, ook om niet over elkaar heen te buitelen. De Scandinaviërs hebben geen rechtsmacht. Ze kunnen vragen stellen en geen onderzoek doen. De Ieren hebben die macht wel en oefenen die ook uit."
Ja, op scherpe vragen van een 24-jarige student in Oostenrijk, Max Schrems. Die moet de boel wakker schudden waarna er onderzoek wordt gedaan….
"De Ieren waren al bezig met onderzoek. Daar kwamen 500 Oostenrijkse klachten bij want in Ierland heeft Facebook het Europese hoofdkantoor. De Ierse toezichthouder op de privacy werkt met 6 FTE maar is de enige die bevoegd is."
Maar u bent voorzitter van 27 verzamelde privacywaakhonden in Europa, WP 29, en kunt toch hulp bieden en coördineren?
"Dat is precies wat er nu is gebeurd. Vanuit WP 29 is een serie vragen verzameld waarop eerst antwoord moest komen alvorens er een uitspraak mogelijk was. Ook hier weer beschouwt iedereen ons als actiegroep en roept: het is klote met Facebook. Maar daar koop je niets voor."
Maar nu ontstaat de indruk dat studenten in Oostenrijk goed onderzoek deden wat jullie met 27 instanties nalieten?
"Dat is niet juist. De Ierse collega’s waren al bezig met Facebook. Dat studenten het veel sneller kunnen staat als een paal boven water. Zij zijn niet gebonden aan het bestuursrecht en kunnen snel tot conclusies komen zonder wederhoor."
Alles bij elkaar wekt dit de indruk dat het Europese privacytoezicht onvoldoende is…
"Nee, mensen willen iets anders, dat je snel en hard zegt: het is klote!"
Nou nee, maar wel ik heb Facebook maandenlang onderzocht en er is buitengewoon veel mist en er is opheldering nodig wat er met data gebeurt…
"Met enige regelmaat hoor je over Facebook: het is een schande wat daar gebeurt, maar zonder details. Ook de Oostenrijkse student kwam met allerlei zaken waarvan hij vond dat het niet deugde."
Max Schrems kreeg duizend pagina's met persoonsgegevens die Facebook over hem opgeslagen had. Kunt u met de nieuwe Verordening straks eisen dat Facebook dat niet meer doet?
"Dat kunnen gebruikers nu ook al eisen. Het probleem is dat er geen mogelijkheid is voor een club mensen om gezamenlijk een zaak te beginnen tegen Facebook in Europa.
Stel dat ik de Bijenkorf binnenkom en ik wordt direct door een Bijenkorf-mijnheer herkend en naar de Björn Borg afdeling geleid, dan voel ik me unheimisch en denk ik: "Kerel, waar heb je die voorkeur voor Björn Borg-kleding vandaan en heb je mij gewaarschuwd dat je mijn gegevens ging verzamelen?
Maar ik denk niet dat ik dan naar de rechtbank stap en een paar duizend euro ga uitgeven om de Bijenkorf aan te klagen. Dat is bij Facebook net zo. Het individu dat gaat procederen heeft hiervoor weinig materiële drijfveren want er is geen financiële relatie tussen Facebook en de eindgebruiker. Je moet aantonen dat je schade hebt die er veelal niet zal zijn, behalve immaterieel. Het heeft zin als dan ook de toezichthouder het goed kan onderzoeken en aan het eind een echt hoog bedrag als boete kan opleggen."
Als 150 miljoen Europeanen bij Facebook opgeslagen persoonsgegevens opvragen, voltrekt zich daar een ramp. Als je nu een e-mail naar het juiste Facebook-adres stuurt om je verzamelde data te verstrekken, krijg je een automatisch bericht terug dat Facebook dat niet doet. Onjuist?
"Dat kan ik niet beoordelen, maar indien Facebook een deelnemer geen inzage geeft in zijn eigen gegevens is het daarmee in overtreding want net als mijnheer Schrems heeft iedereen binnen de Europese Unie het recht om die data op te vragen en zijn bedrijven verplicht daar inzage in te bieden.
Ook een andere grote zaak, tegen Google vanwege het verzamelen van wifi-gegevens via StreetView, is door meerdere toezichthouders nationaal aangepakt en met steeds andere effecten, bij elkaar weinig. Het CBP heeft Google ferm aangepakt maar het heeft volgens Google geen internationale gevolgen, ook al heeft u dat wel gezegd…
"Dat heeft Google anders wel gezegd; ze hebben aangegeven de opt-out wereldwijd aan te bieden. Als ze dat wereldwijde aanbieden overigens niet doen dan hebben wij geen bevoegdheden want we kunnen niet verder gaan dan de wettelijke bevoegdheden in Nederland. Of de opt-out die Google biedt effectief is moeten we nogbeoordelen. Want mensen moeten weten dat ze bezwaar kunnen maken tegen het verzamelen van wifi-gegevens van hun routers en vervolgens moeten ze er ook effectief bezwaar tegen kunnen maken door een voorvoegsel aan de netwerknaam van hun router toe te voegen."
Dat is opt-out, Google mag die data verzamelen tenzij je dat verhindert, en dat ook nog zelf technisch nagaat en regelt…
"Het gaat alleen om de combinatie van het MAC-adres, het unieke nummer van de wifi-router en de locatieberekening; dat is weliswaar een persoonsgegeven, maar dat maakt nog geen grote inbreuk. De wetgever zegt dat voor dergelijke gevallenGoogle dan iedereen moet informeren en een opt-out mogelijkheid moet bieden. Dat moet Google nu ook doen, al wordt de uitvoering ervan nog onderzocht.
Dat argument gebruiken bedrijven ook, bijvoorbeeld met cookies, maar u hoeft niet te voorzien in een recht en mogelijkheden om persoonsgegevens te verzamelen. Google kan dat ook nalaten, pech gehad, dan maar geen wifi-data…
"Nee, zo simpel is het niet. Artikel 8f van de Wet bescherming persoonsgegevens laat toe dat als er een gerechtvaardigd belang is, bedrijven en instellingen gegevens mogen verzamelen. Dat geldt niet voor het verwerken van gevoelige gegevens, dan is voorafgaande toestemming vereist en dat is het geval met cookies. Door het plaatsen van cookies kan je gevolgd worden over meerdere websites en kan je internetgedrag in kaart worden gebracht.
De cookies dan. Onder leiding van Verhoeven, uw partijgenoot van D66, en Van Bemmel van de PVV, is er wetgeving geformuleerd met daarin de vereiste van een opt-in met een vereiste van ondubbelzinnige toestemming om cookies te mogen plaatsen op de pc. Juristen zeggen dat het kwakzalverij is en niet conform de Europese richtlijn. Daar is een probleem mee in de Eerste Kamer. Wat vindt u?
"Ik zit hier niet als D66'er. Hierover hebben wij intensief contact gehad met meerdere partijen, waaronder de PVV, en die heeft uiteindelijk het amendement ingediend.."
Dus de PVV werd als gedoogpartij voor de kar gespannen?
"Dat bepaalde ik niet. D66 en PvdA, zo heb ik vernomen in de wandelgangen, besloten om de PVV hierin het voortouw te laten nemen. Dat is politiek ook niet onverstandig want dan kun je een meerderheid creëren."
Mij ging het om het goed vertalen van de Europese richtlijn. Van Bemmel is één van de weinig Kamerleden die van de digitale technieken het nodige weet. En het doorgrondt. We schreven brieven die voor iedereen openbaar zijn."
U zei toch ook dat er uitgebreid gebeld was?
"Wij zijn gebeld door politici wat zo vaak gebeurt en onze mensen staan hen altijd te woord."
Heeft de Tweede Kamer de Europese ePrivacy richtlijn juist geïnterpreteerd en geformuleerd?
"Jawel, want er staat heel duidelijk dat er ondubbelzinnige toestemming nodig is voor cookie-plaatsing. Dat is ook op een correcte manier verwoord in het amendement. De industrie zegt dat het zo ondoenlijk tot uitvoering te brengen is omdat je zo ondersneeuwen in de pop up-schermen. Dat is niet waar. Onze technologen zeggen dat er allerlei hele serieuze en goede alternatieven zijn om dat te regelen."
Ook hier weer: waar stoelen adverteerders, uitgevers en datahandelaren het recht op om jarenlang van elke computer gegevens te nemen?
"Die vraag is juist en daarom wordt het ook een opt-in. De kritiek vind ik niet steekhoudend. Ik heb een hoorzitting gehouden met de Europese industrie over hun zelfregulering, een code of conduct met een opt-out. Zij antwoordden me dat het niet hun taak is om leden te vertellen hoe ze binnen de wet moeten blijven.
De kritieken, ook de juridische, maken onderdeel uit van een krachtige lobby van de industrie. Uiteindelijk slaat dat als een boemerang naar de industrie terug. Mensen willen controle over hun gegevens en niet dat ze ongewild een stempel op hun voorhoofd krijgen."
Alma Whitten, directeur Privacy van Google, vertelde me opt-in ook niet als een groot ideaal te zien want surfers zullen in ruil voor beloften ('een lekker ijsje') cookies toelaten. Veel partijen verzamelen nu met prijsvragen persoonsgegevens en opt-in is dan een wassen neus. Die partijen gaan dan vrijuit…
"Nou, dat moet nog maar blijken… "
Duizenden kleine bedrijven verzamelen op dit manier gegevens om ze te verhandelen. Er is een wirwar, een schimmig geheel van online dat- en reclamebedrijfjes die onder de radar acteren. Ontsnapt het klein grut aan uw aandacht?
"Natuurlijk zijn we daarmee bezig. We kunnen echter maar een beperkt aantal onderzoeken en handelend optreden. Ik denk dat de nieuwe Verordening ons meer houvast zal bieden. We zullen bedrijven meer gaan aanspreken op de eisen van transparantie en aansprakelijkheid. In die e-mails en op hun websites zal heel duidelijk moeten zijn welke verwachtingen mensen over bescherming van hun persoonsgegevens mogen hebben."
Dan maak je een ondoorgrondelijke verklaring van tien klantjes en klaar is Kees…
"U heb gelijk dat wat nu gebeurt met privacyverklaringen en algemene voorwaarden veelal flauwekul is. Zo'n opmerking dat gegevens aan 'zorgvuldig geselecteerde derden mogen worden verstrekt' heeft niet met bescherming van doen, integendeel."
Als je zo'n opmerking al kunt vinden op de site en ergens onderin de verklaring. Ik heb een aantal van die privacyverklaringen bestudeerd en als specialist heb ik er al moeite mee. Waarom mag dat allemaal?
"Dat wordt straks hopelijk beter. Er zijn drie stappen te nemen. De eerste is de verplichting voor grotere doorzichtigheid van wat ze doen en laten. Dat normale mensen in een korte tijd begrijpen wat ze doen en laten.
Ten tweede moet je gezamenlijke klachten of zelfs rechtszaken, class actions, mogelijk maken van een aantal georganiseerde gedupeerden via bijvoorbeeld Bits of Freedom.
Ten derde moet je de bevoegdheden van de toezichthouder versterken. Ik vind dat met technologie de ondoorzichtigheid onoverkomelijk groot is door de complexiteit - de meeste mensen begrijpen van die technologie geen bal - dat je de toezichthouder er met een knuppel harder tegen moet laten optreden."
Toch leggen veel landen vast dat burgers het met die cookies zelf maar moeten uitzoeken met hun browserinstellingen?
"Het is heel raar dat wordt gezegd dat burgers een eigen verantwoordelijkheid hebben en zomaar alle gegevens verstrekken. Ze hebben gewoonweg geen flauw benul. Het is zo ondoorzichtig en de markt is zo curieus: je hebt als individu geen contract met Google of Facebook. Je krijgt wat, gratis, en ze regelen zaken met derden, de adverteerders.
Stel dat je tegen de auto-industrie zegt: "Ga je gang maar, de burger moet er voor zorgen dat die auto het doet en veilig rijdt. En dan de standaard instellingen zo maken dat als je wegrijdt met je auto de remmen het niet doen je dan zelf verantwoordelijk bent want dat is de fabrieksinstelling nu eenmaal. Had je die remmen maar moeten laten veranderen. Geen hond die dat accepteert, maar op internet is dat de gewoonte."
Aan de andere kant: velen verstrekken die gegevens aan bijvoorbeeld Facebook en Hyves en maken zich niet druk. Een aantal mensen roept dat privacy zwaar overtrokken, en iets is voor oude mensen, en nu komt er nog een strenge Verordening?
"Mensen vinden het niet a priori goed, maar ze hebben gewoonweg geen benul. Ook jongeren niet, tot ze erachter komen. Als je tegen pubers vertelt: goed, nu zorg ik ervoor dat je moeder morgen alles van je kan zien wat je op Facebook doet, dan is meteen Leiden in last. Dan zeggen ook pubers: pas als ik het goed vind, mogen ze gegevens hebben.
Door die ondoorzichtigheid in de markt kunnen ze dat momenteel niet goed zelf bepalen, en doordat technologie doorgaans niet transparant is, dus dubbele ondoorzichtigheid, weten ze niet wat er gebeurt.
Kun je het een puber kwalijk nemen dat er een blootfoto of dronkemansfoto op internet staat zonder dat ze besef hebben dat ze daar later met solliciteren veel last van kunnen ondervinden?"
Dat brengt ons op het vergeetrecht dat Eurocommissaris Viviane Reding beloofde in te voeren. Je moet alles kunnen wissen wat je zelf en wat derden van je online zetten. Hoe gaat u dat vergeetrecht straks handhaven?
"Dat is een prachtige vraag, maar eerst maar eens zien hoe dat vergeetrecht concreet vorm moet krijgen. Ik heb tot nu toe geen overtuigend voorstel gezien hoe dat in praktijk moet worden gebracht. Handhaven kan ik alleen als er een norm is. In januari weten we meer."
Wat vindt u?
"De gedachte van het ‘vergeetrecht’ in abstracto prachtig dat je een schone lei moet kunnen maken en niet je leven lang achtervolgd kan worden. Dus het concept is mooi, maar de vertaalslag is moeilijk."
Is dan een 'verworvenheid' van de digitale maatschappij dat je altijd met je verleden geconfronteerd zult blijven worden (overigens net als met het Kinddossier)?
"Ik schrijf vergeetrecht niet af, maar ik ben verantwoordelijk voor handhaving van wettelijke bepalingen. Ik ben ook voor 'rechtvaardigheid'. Maar hoe ga ik dat handhaven? Waar te beginnen en te eindigen met die schoonmaakoperaties?"
Wat heeft u geleerd van het werken met de huidige Europese regels zodat het met de nieuwe Verordening wat eenvoudiger wordt om het uit te voeren?
"Nee, niet veel nieuws. De normen van de huidige richtlijn van proportionaliteit en subsidiariteit, dus niet bovenmatig veel verzamelen en alleen voor een helder doel, geen verstrekking aan derden etcetera. Die normen blijven gewoon staan in de nieuwe Verordening.
Wel vinden we dat er nu een Verordening moet komen die direct geldig is voor de hele Europese Unie. En geen Richtlijn die elke Europese staat vervolgens gaat interpreteren voor eigen wetgeving.
Ten tweede komt er een coördinatiemechanisme ingeval van verschil van mening tussen verschillende toezichthouders. Dat moet kunnen oordelen: zo is het en niet anders.
Ten derde houd je maar één DPA [dataprotectietoezichthouder] die bevoegd is om een zaak aan te pakken en je niet eindeloos bezig bent om te bepalen wie er wat gaat doen.
Ten vierde moet je als toezichthouders allemaal dezelfde bevoegdheden krijgen, iets dat nu niet het geval is. Dan kun je, vijf, beter samenwerken en er kan jurisprudentie ontstaan voor de hele Europese Unie.
Komt er een Europees boetestelsel in de Verordening?
"Ja, die komt er."
Moet er ook niet Europese handhaving komen in plaats van 27 bureautjes in de Europese landen?
"Dat zou kunnen maar de standaard is dat als het nationaal kan dan moet je dat doen. In bijna alle zaken met overheden speelt het nationaal en ook een groot deel van de private zaken is ook nationaal. Een deel is grensoverschrijdend zoals Google en Facebook.
Een Europese toezichthouder krijgt nu weinig politiek draagvlak. Je zou toch ook regionale kantoren moeten hebben in de Europese Unie. Wat maakt het dan uit of je door de kat of de hond gebeten wordt? Ik geloof niet dat het veel voordelen biedt. Belangrijk is wel een Europees mechanisme voor coördinatie, vanuit een eigen secretariaat en met bevoegdheden."
Het feit dat er meer slagkracht wordt geregeld betekent toch dat het nu onvoldoende is?
"Als je de pakkans heel gering maakt en in het geval je eens een partij pakt je die ook geen straf kunt opleggen dan word je niet serieus genomen. Nu eindigen negen van de tien onderzoeken die wij doen met een rapport van bevindingen. Nog voordat wij kunnen doorpakken naar een dwangsom, zeggen negen van de tien partijen: we schikken ons wel naar jullie wensen."
Met tachtig mensen kun je toch heel wat doen?
"Nee, daarvan is helft in te zetten voor toezicht, de helft voor de publieke sector en twintig voor de private sector. In de praktijk betekent dit dat we bij overheden en bij bedrijven elk ongeveer vijf onderzoeken per jaar kunt doen. Meer niet, en dat is niet erg veel."
Buitengewoon weinig…
"Ja, en dat zijn mensen die keihard werken om te zorgen dat er uiteindelijk uitspraken komen die door de rechter worden goedgekeurd. De wet geeft ons twee hoofdtaken. De eerste is adviseur voor alle wetsvoorstellen waarin persoonsgegevens een rol spelen. Dit kost ongeveer 30 procent van onze tijd. De andere 70 procent besteden we aan handhaving van de privacywet en regels."
U doelt op de Opta die zich vaak teruggefloten ziet door de bestuursrechter in Rotterdam?
"Nee, niet specifiek, maar er zijn toezichthouders die een paar keer nat zijn gegaan."
U kiest voor zekerheid?
"Ik zeg m'n mensen dat ze wel risico's mogen nemen als we die maar tevoren scherp op het netvlies hebben. Je moet het wel steeds interpreteren. We hebben net een prachtige zaak gewonnen over het Burgerservicenummer op de Rijkspas. Google heeft ons in totaal ongeveer vijf manjaren gekost aan onderzoek en rapportage."
De indruk is dat het College de laatste anderhalf jaar vaak op de trom roffelt om het gezicht te laten zien?
"Jawel, maar dat is een foutieve interpretatie van wat mensen terecht waarnemen. We hebben 3,5 jaar geleden de bakens verzet. We behandelden eerst zo'n zesduizend individuele verzoeken van uitleg, advies en bijstand per jaar. Maar sinds de koerswijziging is handhaving onze hoofdtaak. Als we menen dat de Wbp op ernstige wijze wordt overtreden, en structureel, en bovendien heel veel mensen erdoor geraakt worden, dan gaan we er voor."
U bedoelt dan zaken als Google StreetView, Je Echte Leeftijd…
Ja, maar het eerste echte grote voorbeeld dat alle vóórpagina's heeft gehaald was het verstrekken van alle medische gegevens door Arbo-bedrijven en - artsen in de geprivatiseerde Arbo-sector aan de werkgevers. De codes om online in te loggen werden gewoon ook even aan de werkgevers verstrekt. Dus konden werkgevers via internet medische dossiers van werknemers inzien.
Een onaangekondigd bezoek ter plaatse bij een Arbo-bedrijf had een groot effect. De sector schrok zich rot en begon aan een zelfreinigende actie. Dan haal je dus een enorm effect want de medische dossiers, de meest gevoelige informatie, van miljoenen werknemers waren niet beschermd. Dat is effectiever dat adviezen verstrekken."
Uw laatste woord?
"Bescherming van persoonsgegevens is essentieel en overstijgt het individuele belang. Het gaat om het sociaal kapitaal van de samenleving dat we moeten beschermen."
*) Het interview vond plaats in december en is om diverse redenen nu pas gepubliceerd, met aanpassingen van gedateerde uitspraken..
Het meest opmerkelijke van dit interview, behalve dan het uitgesproken taalgebruik en de soms wat verongelijkte toonstelling van CBP-voorzitter, is wat mij betreft de opmerking dat privacywetgeving niet ingewikkeld is en dat de wetgeving juist eenvoudig is.
Dat is, zacht gezegd, tamelijk eigenwijs. Die opmerking gaat in tegen de bevindingen van een handvol evaluaties van de privacywet. Iedere keer weer blijkt dat de wet lastig en ingewikkeld wordt gevonden, overigens niet alleen door degenen die zich eraan moeten houden maar toch ook door de mensen die erdoor worden beschermd en de toezichthouders die de wet handhaven.
De privacywet is natuurlijk niet eenvoudig. En dat blijkt eigenlijk al meteen als we kijken naar de vier hoofdregels of uitgangspunten die de CBP-voorzitter noemt.
In de wet staat dat alleen gegevens mogen worden verzameld die noodzakelijk zijn. Maar de vraag wat dan als noodzakelijk kan worden aangemerkt, en wat niet, blijkt in de praktijk helemaal geen eenvoudige vraag te zijn. Er is nogal wat discussie over welke gegevens nodig zijn om een goede zoekmachine aan te bieden.
En ook is het helemaal niet zo eenvoudig om te bepalen wat nou echt nodig is om een sociaal netwerk op te tuigen of een gratis e-maildienst aan te bieden, om advertenties te personaliseren, om creditcardfraude te voorkomen, om overkreditering en stille armoede te voorkomen, om witwaspraktijken effectief aan te pakken, om zwartwerkers op te sporen, enz.
Hetzelfde geldt voor wat heeft te gelden als zorgvuldig gebruik van persoonsgegevens en toch ook voor wat heeft te gelden als een goede wijze van beveiliging.
Is een usb-opslagmedium veiliger dan een dropbox? In sommige opzichten misschien wel, in andere opzichten toch niet. De wet staat vol met abstracte normen en open begrippen, die naar hun aard op verschillende manieren kunnen worden geconcretiseerd.
Dat is wel degelijk lastig en ook verre van eenvoudig. Al was het maar omdat niet de toezichthouder, maar de wetgever en uiteindelijk de rechter daarover het laatste woord hebben. De ontkenning daarvan komt mij niet geloofwaardig voor. En trouwens ook niet erg zinvol.
In het interview met Jacob Kohnstamm wordt steeds teruggegrepen op twee thema's: een soort van verenigd Europa voor privacybescherming, en het al dan niet falen van het CBP. Met andere woorden: doet het CBP het wel goed in het huidige klimaat, en zijn de mechanismen voor handhaving voldoende om een vuist te maken tegen de privacyschendende maatschappij?
Wat mij opvalt is dat mensen zich kennelijk steeds meer gaan interesseren voor privacybescherming. De Big Brother Awards worden goed bezocht, er waren veel bezwaren tegen het EPD, Bits of Freedom krijgt een steeds krachtigere stem, en de 'Tweets', 'Likes' en andere sociale media-uitingen die over privacy gaan vliegen ons om de virtuele oren. Het komt m.i. juist doordat mensen zich bewuster worden van hun privacy en hun rechten dat we het CBP op de vingers kijken.
Aan interviews of krantenberichten valt wat mij betreft bovendien niet te toetsen of er sprake is van falen of presteren van een organisatie als het CBP. Ik geloof namelijk gerust dat de organisatie zelf zijn stinkende best doet om de diverse klussen te klaren. En dat het CBP hierbij gebonden is aan regels lijkt me, hoewel soms lastig, niet meer dan noodzakelijk om rechtsonzekerheid te voorkomen.
Wat mij opvalt is dat privacykwesties nog louter over online gaan. Privacyschendingen buiten internet lijken niet meer voor te komen.
Wanneer het dan over online privacy gaat, wordt alles op een hoop gegooid; dat wat de overheid doet, dat wat de reuzen (Facebook, Google) en de rest van de markt (voornamelijk online advertising partijen).
De overheid en de reuzen worden op een andere manier benaderd dan de rest. Dit terwijl hun activiteiten veel meer invloed op privacy hebben en verder gaan dan wat een online advertising partij doet. Waarom geen aparte benaderingen hiervoor?
Vervolgens moet ook inhoudelijk scherper onderscheid worden gemaakt. Cookies plaatsen is iets heel anders dan gebruik van mac-adressen van modems en IP-adressen, maar wordt hier wel in één adem mee genoemd. Alleen is het gebruik van IP adressen en mac-adressen van modems niet zo 'in your face' als retargeting banners van een schoenenboer. En daar wringt die gekochte schoen...
In 1996 (!) maakte we websites met een knop naar de C:/ schijf. Als iemand daar dan op klikte zag hij zijn eigen schijf in de webbrowser en leek het net alsof deze 'op internet' stond. Dit was natuurlijk niet zo, maar het joeg enorme schrik aan.
Hetzelfde geldt voor cookies tegenwoordig. Het lijkt wel heftig, maar dat is het niet. En de dingen die echt heftig zijn kunnen we niet zien. Het CBP kan zich beter eens goed richten op wat er onder de radar gebeurt.