Hooibergen vol privacygegevens

In hoeveel databestanden zit een Nederlander nu?

 

‘Mensen die werken, maatschappelijk actief zijn, daarvan zijn allerlei persoonlijke gegevens in zo’n 2500 verschillende databestanden opgeslagen. Zelfs van een kluizenaar zitten tal van persoonlijke gegevens in zeker 250 databestanden. Over 10 jaar is dat een veelvoud.’

 

Wisselen de datacentra gegevens aan elkaar uit?

 

‘Hoe vaak de bestanden worden gekoppeld, om nog meer over iemand te verzamelen, is onduidelijk. Het wordt kafkaësk als je niet meer onbespied door het leven kunt.’

 

Het is de overheid die veel regels ontwerpt om meer informatie over burgers te verzamelen ten koste van de privacybescherming.

 

‘Als de politiek besluit dat iets moet gebeuren, dan gebeurt het, ook al adviseren de Raad van State, het CBP en andere organisaties dat de bescherming van de persoonlijke levensfeer in het geding is. We zijn geen actiegroep en hebben geen primaat op staatsgrepen als ons advies niet wordt opgevolgd.’

 

Het adagium is: veiligheid gaat voor privacy. Werkt het?

 

‘Serieuze strafrechtelijke onderzoeken naar criminaliteit ondervinden nauwelijks hinder van beperkingen als het gaat om de privacybescherming. Het heeft geen zin om in het kader van het bestrijden van terrorisme enorme databestanden aan te leggen over allerlei zaken. Het wordt dan zoeken naar een speld in een zelf gebouwde hooiberg. Dat werkt dus niet. Echte terroristen, zoals de moordenaar van Theo van Gogh, die komen wel voor in die grote databestanden, maar ze worden er telkens niet op tijd uitgefilterd. Databases blijken maar marginaal te helpen in de strijd tegen terrorisme.’

 

Toch is de roep om nog meer informatie groot. Zo willen de AIVD en de coördinator terrorismebestrijding alle gegevens verzamelen van passagiers die vanaf en naar Schiphol vliegen.

 

‘Het is veiligheid boven alles. De politiek doet steeds nieuwe beloftes over het creëren van nieuwe bevoegdheden om maar te bewijzen dat er alles aan wordt gedaan om Nederland veiliger te maken, maar je kunt het niet waarmaken. Steeds weer worden er nieuwe hooibergen gebouwd om spelden in te gaan zoeken.’

 

Moet u de politiek niet waarschuwen voor die praktijk?

 

‘We hebben kritisch gekeken naar alle verkiezingsprogramma’s voor de komende verkiezingen als het gaat om de bescherming van de persoonlijke levenssfeer. Die komt er wederom bekaaid van af.’

 

Wie zijn de boosdoeners?

 

‘Uitzonderingen ten positieve zijn: de ChristenUnie, D66, GroenLinks, de Partij voor de Dieren en deels de SP. Van concept-verkiezingsprogramma’s van deze partijen hebben wij als CBP met tevredenheid kennisgenomen. Anders ligt dat met PvdA, CDA en VVD. Die partijen hebben minder concrete punten opgenomen in hun programma’s over de bescherming van de persoonlijke levenssfeer. De slechtste partij voor de bescherming van de privacy is de PVV van Geert Wilders. Deze partij heeft geen enkel punt over privacybescherming in haar verkiezingsprogramma staan.

 

‘Binnen partijen zie je vaak de strijd tussen de roep om meer veiligheid door het registreren van tal van zaken, versus de bescherming van de privacy van het individu. Vooral bij de VVD was dat tot zeer recent erg zichtbaar. De nummer 3 van de lijst, Fred Teeven, vond de afgelopen jaren privacy een overbodige luxe als het ging om veiligheid, ook als het registreren van veel persoonsgegevens ten koste ging van massa’s onschuldige burgers.

 

'De nummer 4 van de VVD-lijst, Jeanine Hennis-Plasschaert, zorgde er eigenhandig in het Europees Parlement voor dat de Verenigde Staten niet langer onbeperkt én zonder toezicht financiële gegevens van Europese burgers kan opeisen in het kader van hun terrorismebestrijding. Hennis-Plasschaert vertegenwoordigt duidelijk het liberale gedachtegoed binnen de VVD als het gaat om de privacybescherming van het individu tegen de oppermachtige overheid.

 

‘U kunt zich voorstellen dat ik het structureel oneens ben met de standpunten die Fred Teeven afgelopen jaren binnen de VVD heeft ingenomen’, stelt Kohnstamm, die er dan vilein aan toevoegt: ‘Overigens, ‘n aardige man die Teeven.’

 

5 jaar geleden is de identificatieplicht ingevoerd. Heeft dat een veiliger Nederland opgeleverd?

 

‘We hebben vooraf gezegd “niet doen” tegen de regering, De ID-plicht heeft in 5 jaar tijd niet veel opgeleverd als het gaat om de bestrijding van criminaliteit, het handhaven van de openbare orde of terrorismebestrijding. De ID-plicht is een boete-verdubbelaar geworden voor studenten. Je rijdt zonder achterlicht, daar krijg je een bekeuring voor en meteen nog een boete eroverheen voor het niet bij je hebben van een paspoort of ID-kaart. Het enige resultaat van de die ID-plicht is dubbele boetes.’

 

Maar dan lijkt het toch zinnig dat u zegt: laten we ophouden met die ID-plicht.

 

‘Het CBP is geen actiegroep’, zegt Kohnstamm kortaf. ‘We hebben genoeg te doen als het gaat om het bijsturen van nieuwe regels die de privacy kunnen aantasten en het handhaven op bestaande datacentra. We hebben niet de tijd om hele nota’s naar de Kamer te sturen en brieven naar de ministers over alles dat is ingevoerd en niet werkt.’

 

Via Binnenlands Bestuur kunt u het kort houden. Afschaffen die identificatieplicht?

 

‘Het heeft weinig opgeleverd, die ID-plicht behalve veel rompslomp’, concludeert Kohnstamm nukkig.

 

Hoe komen we af van bureaucratische regelgeving die niet effectief is en onnodig de privacy schendt?

 

Kohnstamm veert op: ‘Drie dingen moeten we afspreken. Eén: sta nieuwe bevoegdheden of regelgeving pas toe als oude bevoegdheden bewezen niet meer werken. Twee: er moet een direct causaal verband zijn tussen de nieuwe bevoegdheid en het doel waarvoor het dient. Drie: maak van elke regeling een tijdelijke, voor een paar jaar. Als na een gedegen evaluatie blijkt dat het werkt, dan wordt de bevoegdheid permanent en anders afgeschaft.’ Als dit ei is gelegd, kijkt Kohnstamm vrolijk op. Hij vervolgt: ‘Na 9/11 is er een diarree aan veiligheidswetgeving ontstaan. De commissie-Suyver heeft de effectiviteit en de samenhang ervan onderzocht. Het resultaat is niet erg bevredigend.’

 

Wordt er wel eens een regeling geëvalueerd en bij niet functioneren gestopt?

 

‘Nog nooit gezien. Hooguit steekt de rechter ergens eens stokje voor omdat rechten of grondrechten van burgers worden geschonden.’

 

Klinkt somber.

 

Optimistisch zet Kohnstamm nieuwe ideeën uiteen om tot een betere privacybescherming te komen. ‘We moeten er naar toe dat we bij iedere nieuwe dienst of product waarbij gegevens van burgers worden opgeslagen er geen massale dataverzamelingen ontstaan. De overheid wil effectiever en goedkoper werken, dan moeten we de bijvangst van massale hoeveelheden data beperken. We kunnen dat doen door, wat zo mooi in het Engels heet: privacy by design. Als knappe koppen met fraaie technologieën innoverende producten en diensten ontwerpen, kunnen ze ook ervoor zorgen dat het technologisch mogelijk is om de inbreuk op de persoonlijke levensfeer te beperken door veiligheidskleppen in te bouwen. Laat de politiek dat verplicht stellen.

 

'En dan is er ook de mogelijkheid om te doen aan, weer zo’n Engelse term, privacy impact assement. Het houdt in dat iedereen die data over mensen wil verzamelen eerst een analyse moet schrijven over de risico’s van privacy- inbreuken en hoe die worden gepareerd. Kan de politiek ook vastleggen.’

 

Ik zie nog geen verbetering, eerder een tsunami aan nieuwe regelingen, databases die alles van mensen volgen en vastleggen.

 

‘Het besef moet groeien dat datamining geen oplossing is voor maatschappelijke problemen. Je creëert hooibergen en dan mag je de speld gaan zoeken’, herhaalt Kohnstamm. ‘Neem de gemeenten. Die gaan de komende tijd meer werken met digitale projecten om goedkoper te kunnen gaan werken. Zo zie je daar de strijd tussen fraudebestrijding versus sociale zekerheid. Om uitkeringsfraude aan te pakken is de drang om databestanden te koppelen groot, zonder een echte noodzaak of zonder dat het wettelijk is geoorloofd.

 

'De neiging is groot om data over het aantal kilo’s huisvuil per week dat een huishouden aan de weg zet te verzamelen óf het watergebruik per woning te registreren en dat te koppelen aan de uitkeringsbestanden om te zien of er toch niet onrechtmatig wordt samengewoond en een stel dus geen recht heeft op twee uitkeringen. Natuurlijk wordt er wel eens uitkeringsfraude gepleegd, maar er zijn andere middelen om dit op te op te sporen. Door databestanden te willen koppelen, maak je van iedereen die een uitkering aanvraagt een potentiële fraudeur. Het is een foute manier van denken. Het CBP staat het dan ook niet toe.’

 

De mogelijkheden voor het College Bescherming Persoonsgegevens om op te treden zijn beperkt?

 

Kohnstamm kan deze opmerking zichtbaar niet waarderen: ‘We zijn de afgelopen 3 jaar van waarschuwen en voorlichten gegaan naar handhaven en dat is een succes. Op grote advocatenkantoren worden nu al cursussen georganiseerd met als thema: “Wat te doen als het CBP bij je binnenvalt?” Het CBP wordt steeds serieuzer genomen, want wij snijden in hun vlees en dat vinden ze niet leuk’, zegt Kohnstamm met genoegen. Nu mogen we zoals dat formeel heet “een last onder dwangsom” opleggen. Het wil zoveel zeggen als: hef de overtreding van de privacywetgeving binnen 6 weken of 6 maanden op, afhankelijk van de overtreding, anders krijgt u een boete en die kan fors zijn. Het is zoiets als een gele kaart trekken.’

 

En de rode kaart?

 

‘Daar zijn we mee bezig. De Tweede Kamer heeft hiervoor eind vorig jaar het licht op groen gezet. De minister moet het nu regelen. Wij willen de rode kaart kunnen trekken en per overtreding een boete kunnen uitdelen van maximaal 450.000 euro. Als bij een bedrijf, overheid of instelling meerdere overtredingen tegelijkertijd worden geconstateerd dan kan het een veelvoud van dit bedrag zijn. Om vervolgens ook echt effectief te kunnen zijn, moeten er meer mensen bij. Idealiter moeten we vijf keer zoveel werknemers hebben om effectief te kunnen handhaven, van tachtig naar vierhonderd man’, becijfert Kohnstamm, die snapt dat in tijden van bezuinigingen de politiek niet staat te trappelen.

 

Aan wie had u graag een rode kaart uitgedeeld?

 

Zonder blikken of blozen: ‘Verschillende arbodiensten die stelselmatig in strijd met de wet handelden door medische gegevens van zieke werknemers te verstrekken aan hun werkgevers, terwijl deze gegevens onder het medisch beroepsgeheim vallen. Zij hebben na een onderzoek van ons hun werkwijze aangepast, maar daar had wat mij betreft zo een boete uitgedeeld kunnen worden. Helaas kan dat nu nog niet.’

 

Er komen verkiezingen, een nieuw kabinet. Iedereen wil D66 erin hebben. Kunt u als minister niet beter de privacy beschermen?

 

Breed lachend: ‘Ik ben nog niet gebeld, maar als ze bellen, ga ik er over nadenken.’

 

Omstreden operaties

 

• Elektronisch Patiënten Dossier
• Elektronisch Kinddossiers
• Het nieuwe paspoort met biometrische gegevens en vingerafdrukken die worden opgeslagen in een centrale database voor opsporingsdoeleinden
• Slimme energiemeters
• De identificatieplicht
• Bewaarplicht voor providers en telefoonbedrijven van internet- en telefoniegegevens van al hun klanten voor een periode van minimaal 6 maanden
• Camera’s met gezichtsherkenning

 

CV Jacob Kohnstamm

 

Jacob Kohnstamm (1949) is sinds 2004 voorzitter van het College bescherming persoonsgegevens (CBP) en sinds 2009 voorzitter van de Europese privacytoezichthouders. Hij is 40 jaar lid van D66, was advocaat zat in de Eerste en Tweede Kamer en was staatssecretaris van Binnenlandse Zaken.