Peter Olsthoorn

Waarom we inlichtingen- en privacywetten helder moeten formuleren

De privacywet is te grof geformuleerd. En hetzelfde dreigt voor het uitbreiden van bevoegdheden voor AIVD/MIVD. Professor Gerrit-Jan Zwenne bepleit helderheid waarover we precies praten.

“Ik ben niet tegen vage begrippen en open normen. Die zijn noodzakelijk. Maar ik vind dat er meer aandacht moet zijn voor de instrumenten die ons in staat stellen die begrippen en normen in te vullen en te concretiseren.”

Dat klinkt ‘erg academisch’, erkent professor Zwenne, ook advocaat bij Bird & Bird en die intensief bloggend over zijn werk. Maar als je niet zorgvuldig formuleert en wetten vormgeeft, plavei je de weg naar misère.

Maandag kwam de Evaluatie Wet op de Inlichten- en veiligheidsdiensten 2002 uit van de commissie-Dessens (zie naast dit artikel) met als uitkomst meer bevoegdheden voor de diensten enerzijds en meer controle anderzijds. Dat klinkt evenwichtig.

Volgens Zwenne, hoogleraar Recht in de Informatiesamenleving in Leiden is dat juist niet het geval. In de Volkskrant zei hij gisteren: “'Verregaande inbreuken op de privacy moeten gepaard gaan met verregaande waarborgen. Daarvoor lijkt weinig aandacht in het rapport van de commissie… geef ons alsjeblieft meer dan het vage begrip 'nationale veiligheid'.”

Immers, de NSA rekte haar praktijken ongelimiteerd op met een beroep op die nationale veiligheid, onder het ontbreken van elke controle. Zwenne: “In een democratische samenleving mogen burgers in beginsel alles, tenzij dat uitdrukkelijk is verboden. Voor veiligheidsdiensten moet het uitgangspunt zijn: ze mogen niks -tenzij het uitdrukkelijk is toegestaan.”

Niet in een hokje

In privacydiscussies worden mensen snel weggezet als voorstander van privacy of voorstander van meer veiligheid dan wel meer exploitatie door bedrijven. Die tegenstelling doet steeds minder opgeld.

Zeker Zwenne is niet in een hokje in te delen. Wel uit hij momenteel meer kritiek op overheden dan op bedrijven, en uitdijende bevoegdheden en de NSA-praktijken tonen de rechtvaardiging daarvoor.

Selectief citeren leidt soms wel tot die indruk van een bepaalde kant. Zo tekende NRC met de jongste Snowden-onthulling over het inbreken op internet fora de term ‘ongelooflijke privacyinbreuk’ uit zijn mond op. Dat deed

Grof begrip persoonsgegeven

In april 2013 sprak Zwenne zijn oratie De verwaterde privacywet uit voor de Universiteit Leiden. Zij blijft actueel.

Immers, de kern van zijn betoog is dat je privacybegrippen niet absoluut kunt vaststellen dus ook wetgeving al snel discutabel is indien die wel van absoluut interpreteerbare begrippen uitgaat.

De wet moet begrijpelijk, werkbaar en uitvoerbaar zijn. Dan kun je die naleven en kunnen toezichthouders handhaven. Als ze niet goed uitleggen hoe en waarom ze begrippen hanteren en in de praktijk brengen, dan schieten ze tekort.

De discussie is academisch, dus eerst het voorbeeld in zijn oratie voor een eenvoudiger begrip: de talloze vingerafdrukken in het dagelijks verkeer kunnen we niet herleden tot personen. Dus zijn ze geen persoonsgegevens.

Dat worden ze wel bijvoorbeeld in handen van het Forensisch Instituut die ze scant met een databank met vingerafdrukken.

Dus of sprake is van een persoonsgegeven hangt af van

1. Kun je er een identiteit uit herleiden?

2. Is dat met een redelijke inspanning mogelijk?

3. Welke persoon of organisatie beschikt over dat gegeven?

Wat dat laatste betreft: de ene persoon kan met bepaalde data over een ander wel een identiteit distilleren en de ander niet. En daarom moet je het gedrag van de degene die wel (met een redelijke inspanning) met gegevens een identiteit kan vaststellen, aan regels houden. En de ander mag z’n gang gaan. Zo relatief is de noodzaak tot bescherming, die dus afhankelijk is van de context.

IP-adres niet altijd persoonsgegeven

Van hieruit komt Zwenne ook tot de conclusie dat je een IP-adres niet altijd tot persoonsgegevens kunt bestempelen. De ene keer kun je er de identiteit van een persoon mee achterhalen, de andere keer niet. Je persoonlijke internetaanbieder kan dat met het combineren van abonneedata eenvoudig doen. Maar niet zo eenvoudig voor gezinsleden van de abonnee die op dezelfde pc surfen.

Dat toezichthouders als het College Bescherming persoonsgegevens een IP-adres ineens altijd als persoonsgegeven beschouwen, stuit Zwenne dan ook danig tegen de borst.

Het College kwam tot deze ommezwaai via de de Europese club van toezichthouders WP Art. 29 die vaststelde dat een IP-adres gebruikt kan worden om onderscheid te maken in dienstverlening. Bijvoorbeeld om, voor een dienst als Uitzending Gemist, Nederlanders wel toegang te bieden en surfers over de grens niet.

Als een IP-nummer wordt gebruikt voor onderscheid des persoons, dan is het dus ook een persoonsgegeven. En bovendien kan de identiteit soms in combinatie met andere data toch worden vastgesteld. Noem het IP-nummer dan maar altijd persoonsgegeven.

Niet juist, vindt Zwenne. Immers, de identiteit wordt niet vastgesteld. Of is niet vast te stellen zonder flinke inspanning. Zoals met een rechtszaak om schending van auteursrecht – bijvoorbeeld in muziek en filmruil – vast te stellen.

GeenCommentaar aangepakt

Zwenne noemt een paar voorbeelden waarbij het College volgens hem in de fout ging, zoals zaak tussen GeenCommentaar en GeenStijl

De privacywet kent veel open begrippen en die zijn in de loop der jaren niet specifiek ingevuld, ondanks andere verwachtingen. Om nu de nieuwe Europese privacyregels weer op die discutabele begrippen te grondvesten, ziet Zwenne niet zitten.

Een opgerekt begrip ‘persoonsgegeven’ verhindert dat de wet begrijpelijk, werkbaar en uitvoerbaar wordt in de naleving en handhaving. Dan is ook de bescherming van de privacy in het geding.

Zwenne meent tot slot: “De privacywet gaat ons allemaal aan. De privacywet moet daarom voor iedereen begrijpelijk kunnen zijn. De begrippen ervan moeten zonder onevenredige inspanning kunnen worden opgehelderd. Als er één wet géén ‘wet voor specialisten’ of ‘superspecialisten’ mag zijn, dan is dat de privacywet.”

Als dit criterium opgeld moet doen, dan is er overigens nog een aardige boom op te zetten over de nieuwe regels en hoe die, louter door inbreng van vaak juridisch geschoolde specialisten, tot stand komt…

Gepubliceerd

4 dec 2013

Privacy

AVG en AP
Anonimiteit
Cybersecurity
Profilering
Algoritmes en privacy

Mediakwesties

Journalistiek
Desinformatie en deepfakes
Censuur, modereren en filteren
Vrijheid van meningsuiting
Uitgeven
Auteursrecht

Intelligence

AI en maatschappij
Inlichtingendiensten
Wetenschap
Geschiedenis
Kunst & Theater

Technologie

Internetinfrastructuur
Blockchain en crypto
Internettoegang
Datacenters
Internetpioniers

Actuele dossiers

Journalistiek
AVG en AP
Algoritmes en privacy
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Recente nieuwsbrieven

9 jun 2024
Netkwesties mail 237: Plasterk en de mediacratie.
5 mei 2024
Netkwesties mail 236: Joodse Raad; Leeftijdscheck bij p. sites; Verzet tegen wet bestrijding kinderp.
14 apr 2024
Netkwesties mail 235: Boek Huib Modderkolk; Datamacht DPG/RTL; Vaccineren tegen desinformatie; Massaclaim Google; Te woke

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0