Peter Olsthoorn

Privacy weer vol in de schijnwerper

Bij de Consumentenbond heeft ex-chef van Bits of Freedom (BoF) Maurice Wessling een uitgebreide privacyactie op poten gezet. De andere helft van het BoF-duo staat bij privacywaakhond CBP mede aan het roer met acties. Ondertussen verscheen er een belangrijke, maar stroperige evaluatie van de privacywet, maar wel een helder rapport over privacy en veiligheid. Concrete acties doen de rest, of niet?

De opvallendste actie: Gegevens 2,2 miljoen mensen gekaapt als opening van de Volkskrant van zaterdag 14 februari 2009: Het College Bescherming Persoonsgegevens (CBP) onderzoekt of marketingbedrijf Advance in Hilversum (30 procent eigendom van Van den Ende & Deitmers) de wet overtreedt met massale verzameling en doorverkoop van data van miljoenen Nederlanders, verzameld met tv- annex internetprogramma's als Je Echte Leeftijd, Verjaardagsalarm en Volgens mama.

Het CBP begint zijn onderzoek naar aanleiding van bevindingen van de Volkskrant over de verwerking van 'bijzondere' persoonsgegevens zoals seksuele voorkeur en levensovertuiging. Die moet aan strenge eisen voldoen: verwerking mag alleen met uitdrukkelijk toestemming van personen in kwestie. Dit is nog onderzoek, geen veroordeling. Of alle 2,2 miljoen personen bijzondere data hebben opgegeven, zoals seksuele gegevens die zijn verkocht aan afnemers als Pfizer (Viagra) is ongewis. Pfizer ontkent dit.

Advance in haar privacyregels: De gegevensverwerking door Advance is in overeenstemming met de Wet bescherming persoonsgegevens aangemeld bij het College bescherming persoonsgegevens te Den Haag...Advance gebruikt de door haar verzamelde persoonsgegevens voor de volgende doeleinden:

indien overeengekomen, het verstrekken van de gegevens aan zorgvuldig geselecteerde partners van Advance met als doel om de persoonsgegevens te gebruiken om per post, telefoon, sms, e-mail en/of andere media informatie, activiteiten, nieuws, aanbiedingen van deze partners te versturen;

Met welke organisaties samen is de campagne tot stand gekomen?

Wessling: De campagne en de tien rechten zijn een initiatief van de bond. Dat gebeurt niet in samenwerking met andere organisaties. Wel hebben we met allerlei deskundigen en organisaties van gedachten gewisseld over de tien rechten. Kritiek en input gevraagd. Daar zijn nuttige suggesties uit voortgekomen waar we dankbaar gebruik van hebben gemaakt.

Waar komen die tien rechten vandaan?

Wessling: Op de eerste plaats wilden we met de tien rechten een raamwerk creëren waarmee we producten en diensten op het aspect privacy kunnen beoordelen. Maar meer in het algemeen zijn de tien rechten een manier om over privacy te praten zonder meteen diep in een technisch-juridische discussie te komen over de Wet Bescherming Persoonsgegevens [WBP]. We wilden een eigen vocabulaire ontwikkelen voor privacy.

Welke vervolgacties denkt de bond aan op het gebied van:
handhaving en afhandeling concrete klachten?
lobby en wetgeving richting politiek?
eigen onderzoek en aangifte/klachten?
reclame voor consumenten?

Wessling: We hebben verschillende acties in het verschiet: onderzoek en analyse op de privacy aspecten van specifieke diensten of grote politieke dossiers publieksacties waarbij we consumenten oproepen iets te doen of te laten het openen van meldpunten n.a.v. actuele gebeurtenissen

Maar we gaan ook consumenten informeren over hun rechten op privacygebied en tips geven wat ze kunnen doen om dat recht te halen. Wanneer je de evaluatie van de WBP leest dan zie je toch vooral dat er op het gebied van voorlichting en advisering op maat nog ontzettend veel moet gebeuren. Bovendien is de gang naar de rechter te hoogdrempelig, daar moet een alternatief voor komen.

De lobby richting marktpartijen, overheid en politiek is een integraal onderdeel van de campagne.

Treedt het College (CBP) krachtdadig genoeg op? Wat moet er verbeteren om tot een beter regime te komen?

Wessling: Het College heeft beperkte middelen en een groot werkveld. De vraag is eerder of de politiek een krachtige toezichthouder op het gebied van privacy wil. Op dit moment hebben wij daar onze twijfels over. Overheid en politiek geven natuurlijk ook tegenstrijdige signalen af over het belang van privacy.

De meest gehoorde kritiek is dat privacybescherming niet meer van deze tijd is. Mensen zetten alles op Hyves etc. De Consumentenbond volgt in de ogen van criticasters een ouderwetse lijn. Waarom vinden jullie dat dit niet juist is?

Wessling: Consumenten zijn inderdaad ambivalent hierin: ze geven makkelijk gegevens af en zijn onaangenaam verrast wanneer die persoonsgegevens in een andere dan door hen bedoelde context opduiken. Maar dat is ook een leerproces.

Mensen willen informatie delen, maar soms alleen met familie, soms alleen met vrienden of collega's en soms met de hele wereld. Wij willen in het algemeen dat consumenten de middelen en informatie krijgen om die sferen te scheiden wanneer ze dat willen en om risico's in te kunnen schatten van het delen en weggeven. We gaan consumenten echter niet vertellen dat ze geen gebruik moeten maken van internet of sociale netwerk sites.

Hoeveel privacyklachten kreeg de Consumentenbond in 2008?

Weinig. Onze eigen leden herkennen ons nog niet als een loket waar je met privacy vragen terug kunt. Daar gaan we ook aan werken.

'Privacy-gelul'

Vinden marketeers nu dat ze in verdrukking komen? Aan het artikel en reacties daarop inzake 'Advance en de Volkskrant' bij Marketingfacts.nl af te leiden, kan men weinig waardering opbrengen voor het groot publiceren van de beschuldiging.

De hoofdredacteur van reclameblad Adformatie, Leon Bouwman, sprak zelfs van 'privacy-gelul'. Wat hem betreft zijn acties voor privacy gezeur en hij geeft gaarne al zijn persoondata als dat efficiency oplevert. En, zo ervaart Bouwman, bedrijven gebruiken de data toch niet goed, want hij wordt nog altijd met 'mevrouw' aangesproken in direct mail.

Overigens zegt in datzelfde Adformatie de voorzitter van de Vereniging voor Reclamerecht (VvRr), Ebba Hoogenraad, over de zaak-Advance: het is ten zeerste de vraag of Advance toestemming heeft van de deelnemers voor het gebruik van bijzondere persoonlijke gegevens. Het aanvinken van een vakje bij de algemene voorwaarden is niet voldoende.

In een weerwoord zegt Advance wederom dat ze zich aan de wettelijke regels houdt, en ook aan de strengere regels van direct marketingclub DDMA. Die club staat onder leiding van Tom Kok. Hij was eerder voorzitter van D66, momenteel de fleste pleitbezorger van privacy in het parlement. Advance blijkt geen lid te zijn van de DDMA.

Niet anti-bedrijfsleven

We legden ons oor ook te luister bij Bart Schermer. Hij houdt zich voor de publiek-private lobby- en kennisclub ECP.nl al jaren bezig met privacy. Over de campagne van de Consumentenbond: Ik vind het wel een goed idee. De Consumentenbond is niet op voorhand anti-technologie of anti- bedrijfsleven. Het bekijken van concrete toepassingen spreekt mij wel aan. Ze gaan dit jaar allerlei diensten zoals het Elektronisch Patiënten Dossier, Hyves, Google ed. tegen hun nieuwe privacymeetlat leggen. Het zal mij benieuwen.

Inhoudelijk vindt Schermer de actie eerder ...oude wijn in nieuwe zakken. Nagenoeg alle punten zijn rechtstreeks terug te vinden in de Wbp. Aan de andere kant leeft de privacywet bij veel consumenten niet. Dus wat dat betreft kan het geen kwaad nog eens te wijzen op deze oude wijn.

Schermer vindt het punt van de bond over risicoaansprakelijkheid 'echt nieuw', maar plaatst daar ook vraagtekens bij. Ben je als bedrijf namelijk altijd aansprakelijk voor wat er met persoonsgegevens gebeurt? En past een omkering van de bewijslast hierbij? Is Hyves aansprakelijk voor de verwerking van persoonsgegevens door derden via haar netwerk? Moet Hyves in concrete gevallen onschuld bewijzen? En hoe bepaal je de schade?

Schermer zegt dit niet om bedrijven in bescherming te nemen: Een grotere aansprakelijkheid van de verantwoordelijken voor de verwerking is op zichzelf wél weer een goed idee. Geen halfzachte waarschuwingen meer van het CBP, maar gewoon harde boetes en bijbehorende naming & shaming. Als dit gekoppeld wordt aan een grotere verantwoordelijkheid van de consument voor zijn eigen gegevens en die van derden, dan zijn we op de goede weg.

Had het ECP niet met een privacyactie moeten komen? Schermer: Je moet het wat ons betreft altijd koppelen aan een concrete context. Zo zijn we rondom privacy bij het gebruik van sociale netwerksites wel actief via Digibewust (zie Watchyourspace.nl.

ECP vindt een privacyactie niet stroken met haar rol als 'neutraal platform' en had er volgens Schermer het geld ook niet voor. Ze kiest voor overleg: ECP.nl gaat grote informatieverwerkende partijen bij elkaar brengen om te kijken of zij op het gebied van privacybeleid en communicatie daaromtrent nog wat van elkaar kunnen leren. Dit project bevindt zich nog in een pril stadium maar ik verwacht er veel van.

ECP wil met de opgenomen organisatie EPN een 'roadmap vertrouwen 2.0' uitbrengen met daarin 'oplossingsrichtingen voor toekomstige privacyvraagstukken'.

En ook: Bezoekers kunnen de gegevens in hun Account op elk moment inzien en corrigeren door in te loggen op de Website. Alle gegevens in het Account kunnen worden verwijderd door zich uit te schrijven. Iedere Bezoeker heeft daarnaast het recht Advance te vragen om andere persoonsgegevens, die niet zichtbaar zijn voor de Bezoeker, te verwijderen of af te schermen.

Tien concrete punten

Juist één dag vóór de Volkskrant-opening, op vrijdag 13 december, begon de Consumentenbond met een grote privacyactie:

Persbericht
Nadere uitleg
Brochure

Privacy is vaak een te vaag begrip, zo betoogde in Netkwesties recent Genevieve Bell van Intel. Ze bepleitte een ander woord: geheimhouding. De bond heeft haar best gedaan privacy te concretiseren, in tien actiepunten:

  • 1. Anonimiteit waar mogelijk;
  • 2 Zeggenschap over hun eigen persoonsgegevens.
  • 3 Informatie over het gebruik van hun persoonsgegevens.
  • 4 Bewaking van het doelgericht gebruik en de bewaartermijn
  • 5 Toestemming voor ander dan noodzakelijk gebruik van persoonsgegevens (opt-in).
  • 6 Risicoaansprakelijkheid bij de verwerking van persoonsgegevens.
  • 7 Nauwkeurig gebruik van correcte data door bedrijven en overheden
  • 8 Laagdrempelige geschilbeslechting van klachten
  • 9 Educatie over rechten en risico's
  • 10 Toezicht en handhaving van de naleving van privacywetgeving 'met voldoende middelen'.

Opvallend is het eerste punt, gezien de schaal waarop van anonimiteit misbruik wordt gemaakt op internet. Ook trouwens om privacy te 'slopen' zoals met online anoniem publiceren van woonadressen en telefoonnummers etc. van opponenten.

De actie van de bond wordt geleid door Maurice Wessling, voorheen één van de twee professionals van de inmiddels niet meer actieve privacyclub Bits of Freedom. Zijn medestrijder Sjoera Nas werkt inmiddels voor het CBP dat de Advance-zaak oppakte.

Er leek sprake van een een-tweetje tussen Nas en Wessling gezien lancering op vrijdag en de Volkskrant-opening direct de ochtend daarop. Wessling ontkent dat het CBP iets met de lancering van de actie te maken heeft: De opmerking in de Volkskrant van zaterdag dat de bond dit samen met het CBP doet is niet correct. We vernamen voor het eerst van deze zaak uit de krant.

Er is sprake van heroprichting van Bits of Freedom of een soortgelijke privacylobby, zo vernamen we. Neemt de Consumentenbond nu eigenlijk de rol van BoF over, maar dan met een krachtiger en breder ondersteund geluid? Wordt een hernieuwde of nieuwe club overbodig?

De bond heeft een eigen rol en zal op onderdelen ook andere zaken benadrukken dan Bits of Freedom dat gedaan zou hebben. Overigens hebben Bits of Freedom en de bond voorheen samen gelobbyd tegen de bewaarplicht verkeersgegevens. Maar onderwerpen als de kwaliteit van privacyverklaringen en laagdrempelige geschilbeslechting zijn natuurlijk typisch onderwerpen waar de bond zich voor opwerpt.

We hebben 540.000 leden. We zullen ook zeker proberen hen te mobiliseren voor onze campagne.

Onbekend dus onbemind

Juist gisteren kwam Justitie met een evaluatie van de privacywet (Wbp) van de Universiteit Groningen en De Jong Beleidsadvies. In 2001 trad de wet in werking en na vijf jaar moest evaluatie volgen. Na wat voorbereidingen is het inmiddels bijna acht jaar later.

In niet minder dan 190 pagina's wordt getracht een oordeel te vellen. Dat valt niet mee, want van de drie uitgevoerde enquêtes is er één helemaal mislukt en eentje half en slechts één volwaardig. Conclusies zijn voorzichtig met allerhande stroperige en slag om de arm-formuleringen geformuleerd. Dat vraagt van ons wat stevige 'vertaling'. Bij deze:

De hoofdconclusie luidt dat doelstellingen van de Wbp, het waarborgen van evenwicht tussen het privacybelang en andere belangen en het versterken van de positie van personen van wie gegevens worden verwerkt, niet wordt gehaald.

Meer vaststellingen:

  • Er doet zich een soort Nimby-effect voor: privacy in het algemeen wordt door burgers niet zo van belang geacht. Maar als in een conflict de privacy van het individu aan de orde is, is het onderwerp opeens hoogst relevant. Burgers maken onderscheid tussen privacy in het algemeen, die in dat denkkader aan andere belangen, zoals veiligheid, ondergeschikt kan zijn, en de eigen privacy.
  • Privacy leeft niet. Zo maken weinigen gebruik van hun rechten tot inzage, correctie, aanvulling en verwijdering van verwerkte data.
  • Ook is een zeer geringe aantal geschillen bij rechterlijke colleges en het CBP aanhangig gemaakt.
  • Kenmerkend voor de Wbp is dat het gaat om een wettelijke regeling met open normen. Die behoeven nadere invulling. Deze ontbreekt nog veelvuldig, mede gezien de benodigde tijd.
  • Het meldingenregister bij het CBP is op zichzelf niet zinvol. Het is onbekend en niet transparant genoeg.
  • Bedrijven die niet melden en zich niet verdiepen in de wet vinden het allemaal best: Wat niet weet, wat niet deert.
  • Over het algemeen stelt men dat het allemaal wel goed zit en dat er geen problemen zijn met privacy.
  • Er is nog weinig jurisprudentie is over de wet en voor zover die er wel is, is die slecht ontsloten;
  • De wet heeft leeft in de rechtspraktijk niet erg en is lastig hanteerbaar;
  • Een op de toepassing van de wet gerichte privacygemeenschap en -cultuur ontbreken; kort.
  • Bijna de helft van de organisaties en branches beschikt niet over een privacycode
  • Veel bedrijven zeggen de wet te kennen, maar het is de vraag of ze zichzelf daarbij niet overschatten.
  • Er moet dus veel meer 'normontwikkeling', voorlichting en advisering op maat komen.
  • Aardige kwestie die wordt opgeworpen: De vraag is of je eerst moet voorlichten er dan meer handhaving komt, of juist andersom er meer vervolging van overtredingen moet zijn zodat er voorbeelden komen en kennis ontstaat.

In 2007 maakte het CBP een keuze om meer te doen aan toezicht en handhaving. In dat jaar ontving het CBP bijna 6.000 verzoeken om algemene voorlichting die ook om antwoord vragen. Er waren bijna 400 klachtzaken en verzoeken om bemiddeling. Het college deed vooral de ernstige overtredingen met een structureel karakter en met grote gevolgen voor een groot aantal burgers of groepen burgers. Op zich is dat een goede keuze geweest, want in aanvang was het college helemaal een papieren tijger.

Wel klare taal

Overigens verscheen er recent ook een rapport van de 'Adviescommissie veiligheid en de persoonlijke levenssfeer' met als titel 'Gewoon doen'. De inhoud is al net zo nuchter als de titel, in klare taal beschreven, zoals: neem maatregelen voor veiligheid waar nodig en wees open over wat dit betekent voor de privacy. En ga die privacy dan ook eens goed naleven.

Ook al zijn het kloeke adviezen, het blijft theorie. Maar die is tenminste helder, in tegenstelling tot in bovengenoemde evaluatie van de privacywet die dreigt vast te lopen in blubbertaal.

De Adviescommissie - onder leiding van ex-burgemeester Brouwer van Utrecht - is bijvoorbeeld eenduidig over de rol van het College Bescherming Persoonsgegevens (CBP): dit moet de handen vrij hebben voor toezicht en handhaving. De vele taken nu zijn ...niet gewenst. De slagvaardigheid en geloofwaardigheid van extern toezicht is er bij gebaat dat de toezichthouder zijn handen vrij heeft en geen taken vervult als advisering, voorlichting of facilitering.

Nog een advies: De Commissie adviseert het kabinet te bevorderen dat de 'professionals' die aan veiligheid werken zich kunnen wenden tot een externe vertrouwenspersoon voor hun beroepsgroep: een gezaghebbende persoon die fungeert als vraagbaak en klankbord met wie zij twijfels kunnen bespreken over hun risicobeoordeling of over de noodzaak persoonsgegevens te delen.

Of deze: Zorg voor integriteit van gegevens, systemen en het handelen van gebruiker...Het is onder meer essentieel al bij het formuleren van de opdracht ontwikkeling van systemen privacyrisico's te ondervangen. Privacyoverwegingen kunnen zonder probleem een plaats krijgen in de ontwikkeling van technologie. Slimmere omgevingen stellen steeds hogere eisen aan het realiseren van de noodzakelijke privacywaarborgen.

Nog eentje dan, een fraaie afsluiting: De Commissie adviseert dat overheidscampagnes zoals 'Wij werken aan uw veiligheid' aangevuld kunnen worden met de toevoeging 'en aan uw privacy'.

Leraren niet meer vogelvrij, of wel?

Een opvallende actie van het CBP was die gericht tegen Beoordeelmijnleraar.nl. Op de site werden namen, werkplekken en beoordelingen over leraren gepubliceerd. Dit was onrechtmatig volgens het CBP vorige week.

Dit mag wel: de toegang tot de namen en andere persoonsgegevens van leraren beperken tot personen die tot de school van de leraar behoren, en louter voor tevoren geregistreerde bezoekers.

Ook heeft de websitehouder de namen van leraren laten verwijderen uit de drie grote zoekmachines Google, Yahoo en Live en voorkomt het verder indexeren door deze zoekdiensten. De websitehouder moet bovendien alle verzoeken van leraren tot verwijdering van hun gegevens inwilligen.

Daarmee is de site goeddeels vleugellam gemaakt als schandpaal, zou je zeggen. Maar ondergetekende komt nog zonder registratie bij de beoordeling van de leraren van zijn vroegere school, louter na te hebben aangegeven 'dit is mijn school'.

Goede handhaving is nog een heel verhaal, al helpt de actie van de Consumentenbond wellicht om 'zelfregulering' van de markt op gang te brengen: bedrijven die regels met voeten treden worden eerst afgestraft in de markt door diezelfde consumenten.

[Peter Olsthoorn, 21 februari 2009]

Dossier

Gepubliceerd

21 feb 2009

Privacy

AVG en AP
Anonimiteit
Cybersecurity
Profilering
Algoritmes en privacy

Mediakwesties

Journalistiek
Desinformatie en deepfakes
Censuur, modereren en filteren
Vrijheid van meningsuiting
Uitgeven
Auteursrecht

Intelligence

AI en maatschappij
Inlichtingendiensten
Wetenschap
Geschiedenis
Kunst & Theater

Technologie

Internetinfrastructuur
Blockchain en crypto
Internettoegang
Datacenters
Internetpioniers

Actuele dossiers

Journalistiek
AVG en AP
Algoritmes en privacy
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Recente nieuwsbrieven

9 jun 2024
Netkwesties mail 237: Plasterk en de mediacratie.
5 mei 2024
Netkwesties mail 236: Joodse Raad; Leeftijdscheck bij p. sites; Verzet tegen wet bestrijding kinderp.
14 apr 2024
Netkwesties mail 235: Boek Huib Modderkolk; Datamacht DPG/RTL; Vaccineren tegen desinformatie; Massaclaim Google; Te woke

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0