GroenLinks bereidt privacydebat in Eerste Kamer voor - Hoofdinhoud
Gisteren onderhield de Eerste Kamer zich met minister Donner en staatssecretaris Teeven over de wijze waarop dit kabinet met onze privacy omgaat. De privacy passages in het regeerakkoord waren lichtpuntjes vergeleken met de overige duistere teksten.
Ter voorbereiding van dit debat, organiseerde de privacywerkgroep en ik een bijzonder boeiende expertmeeting in de Eerste Kamer. Binnen GroenLinks is weinig verschil van mening: burgers moeten meer greep op hun eigen data krijgen. Nu nog even het beleid aanpassen. Hieronder mijn inleiding van 29 april. De volgende blog dan het resultaat in de Kamer
Inleiding GroenLinks Miniconferentie Privacy 29 april
Wie bladen opslaat of tv kijkt kan er niet meer omheen: onze bewegingen, handelingen en communicatie wordt gevolgd, opgeslagen en doorgegeven en voor andere doeleinden gebruikt. Waren dit soort denkbeelden eerst voorbehouden aan doemdenkers, inmiddels ben je naïef als je nog ontkent dat we een surveillancesamenleving zijn. De verantwoordelijken zitten in alle hoeken van de staat, de samenleving en het bedrijfsleven, maar zijn ze ook aan te spreken op hun daden? Er zijn vele dwarsverbanden en uitruilen, maar is er ook een regisseur? En wat is de positie van burgers?
We staan vanochtend stil bij wat GroenLinks als partij daarvan moet vinden en wat ze kan doen. De privacywerkgroep heeft dit initiatief genomen en aansluiting gezocht bij het debat dat de Eerste Kamer gaat houden met de regering over de rol van de overheid bij de verwerking en uitwisseling van digitale persoonlijke data. De bijeenkomst vindt om nog een goede reden plaats in deze prachtige zaal. In deze hectische politieke tijden waarin verdragen niet langer een logisch referentiekader zijn, ontleent de Eerste Kamer zijn bestaansrecht aan een gewetensvolle toetsing van de wetgeving aan de grondrechten en internationaal recht, maar ook aan zaken als effectiviteit. De Tweede Kamer is gevoeliger voor de politieke wil, maar voor ons komt die pas aan de beurt als het mag en kan.
Bij regels rondom bescherming persoonsgegevens speelt de afweging tussen politieke wil, de bescherming van burgerrechten en de effectiviteit vaak een rol. Dan kan het betekenen dat de stemverhoudingen hier anders liggen dan aan in de Tweede Kamer. Zo was er een meerderheid voor het Electronisch Patientendossier aan de overkant, en toen de voorzitter hier vroeg: ‘willen de leden die voor het wetsvoorstel opstaan’, bleef iedereen zitten.
Nadat we in de afgelopen termijn een aantal afzonderlijke wetsvoorstellen hadden behandeld die stuk voor stuk onze privacy aantasten, besloten we een expertmeeting te organiseren. Aan de hand daarvan hebben we een lijstje met criteria opgesteld, waar elke inbreuk aan zou moeten voldoen:
1; Noodzaak (effectiviteit en hanteerbaarheid)
2; Proportionaliteit; Pivacy impact assessment
3; Controle door audits en rechtsbescherming
4; Horizonbepaling, zodat er een review na korte tijd komt.
Deze criteria zouden wij voortaan hanteren en we vroegen ook de regering om deze uitgangspunten over te nemen. En we hebben er ook het kabinetsstandpunt over bescherming persoonsgegevens van november 2009 aan getoetst. En dan zie je maar weer hoe flexibel deze criteria ook zijn, want de regering noemde ze keurig in haar beantwoording van onze vragen, maar gaf er vervolgens een heel andere draai aan. Binnen deze criteria vond de regering het bv passend om professionals te verplichten om in het belang van de veiligheid gegevens uit te wisselen, toezichtgegevens gemakkelijker te laten uitwisselen tussen toezichthouders, politie en OM en om het systeem van de automatische nummerplaatherkenning voortvarend ter hand te nemen. Dit laat zien hoe lastig het is om criteria te hanteren als concrete normen. Praktisch altijd wordt wetgeving gemaakt op basis van een afweging van belangen. Het belang van de staat bij de bescherming van de openbare orde of de burger bij zijn veiligheid heeft een bepaald gewicht, net zoals het belang bij het zelfbeschikkingsrecht over je eigen gegevens of bij het rechtsbescherming. Maar het is allang niet meer zwart wit veiligheid versus privacy. Efficiency speelt een rol bij dienstverlening en in de gezondheidszorg, maar ook vooral in het bedrijfsleven. En ook daar zijn onze gegevens geliefd om het consumentengedrag te doorgronden en het aanbod van de producten nog passender te maken. Het belang van het bedrijfsleven dus. En de gegevens die bedrijven verzamelen, komen allemaal weer beschikbaar voor de opsporing, kortom voor de veiligheid.
Wie stelt paal en perk aan deze ontwikkelingen? Het is de overheid die het moet doen, maar die is zelf belanghebbende. Treedt de rechterlijke macht hier op als bewaker van de grondrechten en nut en noodzaak? Het Europees Hof voor de Rechten van Mens heeft in de Marper zaak weliswaar grenzen gesteld, en getoetst of de opslag van vingerafdrukken van bepaalde groepen burgers noodzakelijk was in een democratische samenleving. Een inbreuk kan alleen noodzakelijk zijn als het niet met willekeur en onvoldoende argumentatie gepaard gaat. En de opslag van gegevens moet goed zijn beschermd tegen misbruik. Toch heeft deze heldere uitspraak nauwelijks gevolgen gehad voor de Nederlandse wetgeving. Nederlandse rechters spreken zich niet uit (komen er wel ontvankelijke zaken?). In andere lidstaten met constitutionele rechters zie je een ander beeld: daar worden grenzen getrokken, bijvoorbeeld het Duitse hof dat zich keert tegen datamining. Ik verwacht dat het Hof van Justitie zich ook nog kan ontwikkelen tot een waakhond, de bescherming van het Handvest voor de Grondrechten biedt daarvoor handvatten.
Op het gebied van migratierecht zie je juist dat het de rechterlijke macht is die de politiek keer op keer op de vingers tikt en de grenzen aangeeft. Ten aanzien van bescherming persoonsgegevens lijkt in Nederland en ook op Europees niveau de politiek vrij spel te hebben. De adviezen van officiële adviesorganen, de EDPS en het CBP worden keer op keer in de wind geslagen. Toch lijkt er in Nederland een kleine kentering te zijn ten aanzien van de opslag van biometrische gegevens. Een centrale databank voor de vingerafdrukken komt er voorlopig niet. Maar is deze opleving van privacybewustzijn een eendagsvlieg of niet? Wij hebben hier de minister gedwongen de termijn voor de bewaarplicht te verlagen van een jaar naar zes maanden. Op dit voorstel is in de Tweede Kamer echter averechts gereageerd. De VVD wil nu juist anderhalf jaar, en CDA wil het houden zoals het is. Hoe het nieuwe kabinet in al deze kwesties staat, weten we nog niet, een verwacht kabinetsstandpunt is onlangs uitgesteld.
Wat vindt GroenLinks? En tegen welke dilemma’s lopen we dan op?
Allereerst dient de overheid zelf uit de mist te treden. Laten zien wat ze weet van ons en wat ze daarmee doet.
Ten tweede: de wettelijke bevoegdheid om onze gegevens op te slaan, moet zijn afgebakend naar een specifiek doel en met beperkte bewaartermijnen. Privacy impact assessments voorafgaand aan de introductie van nieuwe bevoegdheden stelt ons in staat om tijdig te beoordelen of we de mogelijke inbreuken in evenwicht vinden met het doel. Als gegevens voor een ander doel worden gebruikt, kan dat alleen met instemming van de persoon zelf. Dat is iets anders dan een wet ergens publiceren en er dan van uitgaan dat iedereen op de hoogte is gebracht. Maar dat betekent per definitie dat datamining uit den boze is. Kunnen we dat zo hard stellen? Of komen er dan echt zware belangen in het geding die niet op een andere manier zijn te bedienen? Een dergelijke wet loopt na enkele jaren af, tenzij is gebleken dat het doel van de gegevensopslag is gehaald. Daarmee voorkomen we ineffectieve en toch opdringerige wetten eindeloos van kracht blijven.
Ten derde dienen wij, als rechtgeaarde eigenaren, inzage te krijgen in de registratie door de overheid: zijn onze gegevens correct, aan wie zijn ze verstrekt? Wij willen de data kunnen corrigeren en bezwaar maken tegen opslag. Daarvoor moet het glashelder zijn wie ervoor verantwoordelijk is. Daar kunnen wij correcties aan doorgeven en die kunnen we ook aansprakelijk stellen voor een foutief gebruik.
De overheid moet de regie over opslag en uitwisseling van persoonsgegevens, ook binnen en met de private sector. Bepaal doelstellingen en randvoorwaarden en organiseer toezicht. De regering stelt voor om het externe toezicht te verstevigen, maar wel meer achteraf in te zetten. Het interne toezicht bij bedrijven zou versterkt worden dmv privacy officieren. Het aantrekkelijke hiervan is dat wellicht het bewustzijn en verantwoordelijkheid van bedrijven zelf wordt vergroot hierdoor. Maar kan dat niet beperkt blijven tot zo’n officier? En dient die niet ook de belangen van het bedrijf daar tegenover af te wegen? Kortom: wat is het meest doelmatige toezicht? Het zit ‘m niet alleen in hoge boetes, bedrijven zouden er zelf belang bij moeten hebben.
Ten vijfde dragen we de overheid op om de technologie niet eenzijdig te benutten om ons te volgen, maar vooral om ons te beschermen tegen ongewenst gebruik van onze gegevens. Meer privacy by design dus.
Verder dient de regering bij te dragen aan het privacy bewustzijn van burgers. In Nederland is het daarmee vergeleken met andere volken droevig gesteld. Wijs burgers op de risico’s van het overdragen van persoonsgegevens aan bedrijven en overheden. Informeer hen uitgebreid over hun mogelijkheden de regie over hun privacy te krijgen. Vrijheid kan er uit bestaan dat je je intiemste details vrijwillig prijs geeft op digitale fora. En tegelijkertijd dat je afschermt met wie je belt of mailt. Het recht op privacy is het recht op zelfbeschikking.
Tenslotte: het wordt steeds duidelijker dat niemand meer het overzicht heeft. En de overheid zou het wel moeten willen hebben, om enigszins grip te houden en sturing te geven. De Kamer zou moeten stil staan bij de ontwikkelingen, alle belangen moeten doorgronden en wegen en op basis daarvan keuzes maken. Er is wel eens voor minder een parlementaire enquéte gestart.