BITS OF FREEDOM

VERDEDIGT DIGITALE BURGERRECHTEN

 

Ot van Daalen

ot.vandaalen [at] bof [punt] nl

+31(0)654386680

 

E.J. Arkenbout

Ministerie van Justitie

 

Betreft Aanbevelingen Bits of Freedom t.a..v. evaluatie Wet bescherming persoonsgegevens

 

Amsterdam, 7 september 2009

 

Geachte heer Arkenbout,

 

  1. 1.De Stichting Bits of Freedom (“Bits of Freedom”) stelt het zeer op prijs dat zij in de gelegenheid wordt gesteld haar standpunten met betrekking tot de Wet bescherming persoonsgegevens (“WBP”) in het kader van de evaluatie hiervan met het Ministerie van Justitie te delen.  

     

  2. 2.Bits of Freedom beveelt in deze brief aan dat in het kader van deze evaluatie de volgende maatregelen worden genomen, of een aanzet daartoe wordt gedaan: 

     

  1. 3.Voordat Bits of Freedom deze aanbevelingen uitwerkt, maakt zij graag van de gelegenheid gebruik om kort de achtergrond hiervan te schetsen. Daarbij merkt zij op dat zij zich in deze brief beperkt tot meer structurele aanbevelingen: zij gaat niet in op details van de WBP die mogelijk ook voor verbetering vatbaar zijn. 

 

 

Zonder bescherming persoonsgegevens is burgerlijke vrijheid in gevaar

 

  1. 4.Zonder een goede bescherming van persoonsgegevens, zal het leven van iedere burger steeds gedetailleerder in kaart worden gebracht, en dit proces kan zeer moeilijk worden teruggedraaid: 

     

  1. 5.Naarmate het leven van iedere burger steeds gedetailleerder in kaart wordt gebracht, wordt de vrijheid van de burger verder beperkt: 

     

  1. 6. 

  2. 7.Naar de mening van Bits of Freedom is het dan ook noodzakelijk dat een juridisch kader wordt ontwikkeld dat waarborgt dat iedere burger in de informatiemaatschappij de vrijheid behoudt die hij voorheen genoot. Bij het formuleren van beleid op grond van dit uitgangspunt, staat voor Bits of Freedom centraal dat iedere ontwikkeling die inbreuk maakt op de privacy niet beschouwd moet worden als een geïsoleerde ontwikkeling, maar in plaats daarvan beschouwd moet worden als onderdeel van een complex systeem van reeds opgeslagen persoonsgegevens, beschikbare technologieën en bestaande juridische bevoegdheden van databankbeheerders en derden. 

     

  3. 8.Dit beschouwende commentaar leidt tot de volgende aanbevelingen. 

 

Veiligheid databanken zou verder moeten worden gewaarborgd

 

  1. 8.Het is van groot belang dat de vele databanken met persoonsgegevens die op dit moment bestaan en nog zullen worden aangelegd voldoende veilig zijn. Deze bevatten vaak zeer privacy-gevoelige gegevens. Verspreiding van deze gegevens is onwenselijk en zoals hierboven opgemerkt is het vaak moeilijk de verspreiding van deze informatie ongedaan te maken als deze informatie eenmaal openbaar is gemaakt. 

     

  2. 9.Het is echter niet vanzelfsprekend dat deze databanken, voldoende veilig zijn. Het goed beveiligen van databanken vergt een investering in tijd en geld. Beheerders van databanken zullen deze investering niet altijd willen maken. De WBP schrijft weliswaar voor dat de verantwoordelijke en een eventuele bewerker passende technische en organisatorische maatregelen neemt om persoonsgegevens te beveiligen (artt. 13 en 14 WBP), maar de WBP stelt geen effectieve sanctie op overtreding van dit voorschrift.  

     

  3. 10.In de praktijk zijn veel van deze databanken dan ook niet veilig. Geregeld is in het nieuws te lezen over USB-sticks, laptops en CD's met omvangrijke privacy-gevoelige databanken die kwijt zijn geraakt en in handen van onbevoegden zijn gekomen, of over organisaties die via hun website per ongeluk interne databanken ter beschikking stellen aan de buitenwereld. 

 

  1. 11.Bovendien is het van belang dat als er een breuk is in de beveiliging van deze databanken, waardoor daarin opgeslagen persoonsgegevens mogelijk in de openbaarheid komen, de betrokkenen daarvan op de hoogte worden gesteld. Alleen dan kunnen betrokkenen immers maatregelen nemen om misbruik van hun persoonsgegevens te voorkomen. Zij kunnen dan bijvoorbeeld creditcards blokkeren, hun wachtwoorden aanpassen etc. 

     

  2. 12.Het is echter ook niet vanzelfsprekend dat zo snel mogelijk nadat een breuk in een databank is geconstateerd, betrokkenen hiervan op de hoogte worden gesteld. Dit kan immers leiden tot reputatieschade, schadeclaims etc.  

      

  3. 13.Bits of Freedom beveelt daarom de volgende maatregelen aan om de veiligheid van databanken met persoonsgegevens te waarborgen: 

     

 

  1. 14.Voor de goede orde merkt Bits of Freedom op dat zelfs als de veiligheid van een databank met persoonsgegevens gewaarborgd is, dit niet automatisch betekent dat het aanleggen van die databank en het daaruit opvragen van gegevens, ook acceptabel is.  Grote terughoudendheid bij de aanleg en bevraging van databanken met persoonsgegevens is op zijn plaats, ook als deze goed beveiligd zijn. 

 

Een privacy effect rapportage zou moeten worden geïntroduceerd

 

  1. 15.Zoals hierboven is opgemerkt, dient iedere ontwikkeling die inbreuk maakt op de privacy niet op zich beschouwd te worden, maar in plaats daarvan beschouwd te worden als onderdeel van een complex systeem van persoonsgegevens, technologieën en bevoegdheden dat ook in de toekomst nog zal bestaan en zich verder zal ontwikkelen. 

     

  2. 16.Door op die manier een ontwikkeling te beschouwen, kan beter in kaart worden gebracht in hoeverre deze ontwikkeling een effect heeft op de privacy en de daarmee samenhangende individuele vrijheid, en kan bovendien meer inzicht worden verkregen in de complexe interactie tussen de verschillende ontwikkelingen binnen deze systemen. 

     

  3. 17.Bij de introductie van de wet- en regelgeving die de afgelopen jaren is ingevoerd, is onvoldoende op structurele basis onderzoek gedaan naar het effect van deze wetten op de privacy. Soms wordt de verenigbaarheid van wet- en regelgeving met de Grondwet en het EVRM wel besproken, maar de effecten op de privacy worden nooit systematisch in kaart gebracht. Dit hangt samen met de conclusie van de Adviescommissie Informatiestromen Veiligheid, dat geen “overzicht beschikbaar is van toepasselijke wetgeving ten aanzien van bevoegdheden en verantwoordelijkheden op het gebied van inwinnen en verschaffen van gegevens ten behoeve van het veiligheidsdomein” (zie rapport “Data voor Daadkracht”, 1 september 2007). 

     

  4. 18.Een oplossing die in andere landen is gekozen om op meer structurele basis te onderzoeken wat de effecten van wet- en regelgeving op de privacy zijn, is het verplicht stellen van een “privacy effect rapportage”. Zo moet de overheid in de Verenigde Staten en Canada bij het nemen van bepaalde maatregelen een “Privacy Impact Assessment” opstellen, waarin de gevolgen voor de privacy van deze regelgeving worden bestudeerd. In Nederland is een dergelijk instrument al in gebruik om “het milieubelang een volwaardige plaats te geven in besluitvorming” (aldus het Ministerie van VROM op haar website): een milieu effect rapportage is verplicht bij de bouw van olieraffinaderijen, kerncentrales, chemische installaties etc. 

     

  5. 19.Bits of Freedom beveelt daarom aan om bij wet voor te schrijven dat ieder voorstel tot wet- en regelgeving dat een substantiële inmenging vormt van het grondrecht op privacy zoals bedoeld in artikel 8 EVRM, vergezeld wordt van een “privacy effect rapportage”. Daarin zou onderzocht moeten worden wat het effect van deze maatregel zou zijn op de privacy. Overigens kan ook al zonder dat dit wettelijk verplicht is, door het Ministerie van Justitie een pilot worden gestart om hiermee ervaring op te doen. Bovendien kan alvast opdracht gegeven worden tot het doen van een onderzoek naar de implementatie van een dergelijke verplichting tot het opstellen van privacy effect rapportage. 

     

  6. 20.Een hiermee samenhangend instrument dat Bits of Freedom aanbeveelt, is om bij wet voor te schrijven dat toekomstige overheidsmaatregelen die een substantiële inmenging vormen op de privacy, beperkt worden in de tijd (een zgn. “sunset clause”). Na afloop hiervan kan vervolgens worden onderzocht of deze maatregelen voor voortzetting vatbaar zijn. 

 

  1. 21.Voor de goede orde merkt Bits of Freedom ook hier op, dat als een privacy effect rapportage ten aanzien van een bepaalde maatregel is opgesteld of is besloten tot voortzetting van een bepaalde wet, dit niet automatisch betekent dat het nemen van die maatregel ook acceptabel is.  Grote terughoudendheid bij het nemen van privacy-inbreukmakende maatregelen is op zijn plaats, ook als onderzoek is gedaan naar de effecten hiervan. 

 

Handhavingsbevoegdheden CBP moeten worden uitgebreid

 

  1. 22.Het CBP heeft op dit moment slechts zeer beperkte bevoegdheden om de WBP te handhaven. Zij kan een last onder bestuursdwang opleggen en een boete van EUR 4.500 per overtreding opleggen bij het overtreden van de meldplicht. Deze boete is heel laag en bovendien beperkt tot slechts een soort overtreding. Hierdoor heeft de WBP onvoldoende afschrikwekkend effect. 

     

  2. 23.Bits of Freedom beveelt daarom aan om de bevoegdheden van het CBP uit te breiden: 

     

  1. 24.Bits of Freedom kan zich overigens voorstellen dat dit wel begeleid zou moeten worden met maatregelen om de rechtszekerheid voor verantwoordelijken te vergroten, gelet op de open normen van de WBP. 

 

Tot slot: overige punten

 

  1. 25.Tot slot zij opgemerkt dat de aanbevelingen van Bits of Freedom grotendeels zijn toegesneden op de context van deze brief: namelijk de evaluatie van de WBP. Volledigheidshalve merkt zij een aantal punten op die buiten de context van deze brief vallen, maar wel de nodige aandacht verdienen. 

     

  2. 26.Ten eerste vindt Bits of Freedom (i) de toenemende hoeveelheid databanken met persoonsgegevens die door de overheid en het bedrijfsleven worden aangelegd, (ii) de toenemende koppeling tussen deze databanken en (iii) de toenemende bevoegdheden van opsporings-, inlichtingen- en veiligheidsdiensten om hieruit gegevens op te vragen, een zeer zorgwekkende ontwikkeling. Nederland kan hierdoor in korte tijd in een “controlemaatschappij” veranderen, waarin het leven van de burger constant wordt bijgehouden en de vrijheid van de burger onomkeerbaar is ingeperkt. Deze ontwikkelingen staan op gespannen voet met het grondrecht op privacy en zijn om de in deze brief kort toegelichte redenen onwenselijk. 

     

  3. 27.Ten tweede vindt Bits of Freedom de manier waarop het debat over de spanning tussen privacy en veiligheid wordt gevoerd, te eenzijdig. De stelling dat een burger die “niets te verbergen heeft, ook niets te vrezen heeft”, heeft een stevige plaats in het debat verworven. Deze stelling staat een open discussie over de hierboven geschetste lange-termijn effecten van privacy-inbreukmakende maatregelen echter in de weg. 

     

  4. 28.In verband hiermee vindt Bits of Freedom dat de stelling in het rapport van de Commissie Brouwer, dat “indien noodzakelijk voor de veiligheid, je moet delen” voorbijgaat aan de plicht van de overheid om de meest proportionele opsporingsmaatregel toe te passen. “Professionals” (zoals de Commissie Brouwer deze noemt) zouden slechts moeten delen als (i) de veiligheid van individuen concreet wordt bedreigd, (ii) het delen van persoonsgegevens dat risico kan wegnemen en (iii) –  deze eis ontbreekt in het advies van de Commissie Brouwer – er geen andere, minder inbreukmakende mogelijkheid is om dit risico weg te nemen. 

     

  5. 29.Tot slot herkent Bits of Freedom de constatering uit het rapport “Wat niet weet, wat niet deert” van de Rijksuniversiteit Groningen e.a., dat de burger onvoldoende gebruik maakt van de rechten die hem toekomen (zoals het inzagerecht op grond van artikel 35 WBP e.v.). De overheid zou een bijdrage kunnen leveren aan de bewustwording van de burger van zijn rechten, door hierover uitgebreider voorlichting te geven. 

 

Over Bits of Freedom

 

  1. 30.Bits of Freedom verdedigt burgerrechten in de digitale wereld, waaronder het recht op privacy. De organisatie staat onder leiding van Ot van Daalen. Het bestuur van Bits of Freedom bestaat uit Doke Pelleboer (ex-directeur van XS4ALL), Joris van Hoboken (onderzoeker bij het Instituut voor Informatierecht van de Universiteit van Amsterdam) en Karianne Thomas (advocaat bij advocatenkantoor Van Doorne). 

     

  2. 31.Bits of Freedom vertrouwt erop u hiermee voldoende te hebben geïnformeerd. Ik houd mij graag beschikbaar voor nader overleg, mocht hieraan behoefte bestaan. Ik ben bereikbaar via bovenstaande contactgegevens. 

 

Hoogachtend,

 

Ot van Daalen