Privacy is ieders goed
‘Arguing that you don’t care about privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.’[1]
Edward Snowden
Wat als…
Op een mooie ochtend tekenen een echtpaar de overnameakte van hun nieuwe woning in Delfzijl. Nadat zij ingetrokken zijn in hun prachtige stekje ontdekken zij een duidelijke knik tussen de zolder en het dak. Na een korte observatie beginnen zij met grote belangstelling aan de sloop van het plafond. Met grote verbazing ontdekken zij een stapel dikke boeken. Daarin vinden zij een gedetailleerd verslaglegging uit een verre verleden. Zo treffen zij onder andere boekhoudingen, notities van bijeenkomsten en persoonlijke brieven. Alle opgetekende stukken stammen af van vlak voor de Tweede Wereldoorlog. Uit hun eigen speurwerk blijkt dat het gaat om documenten van Joodse gemeenschap in Delfzijl, waarin iedereen met naam, adres en familiebanden staat opgenomen. Later ontdekt het echtpaar dat de eerdere bewoner van de woning een Joods rabbijn was die na het uitbreken van de oorlog in 1940 opgeschreven informatie goed opgeborgen had. Deze moedige man wilde zijn gemeenschap beschermen. Gezien de omstandigheden die in het verre verleden zich voordeden konden deze gegevens door de Duitse bezetter als benodigde informatie worden gezien om iedere persoon van Joods komaf op te sporen en in de meest erge geval te deporteren naar een concentratiekamp. [2]
Het recht hebben op je eigen privacy dan wel de bescherming van je persoonsgegevens is een zeer moeilijk te vatten begrip. Volgens The Guide to American, is dit “omdat het niet nauwkeurig te omschrijven valt.” David F. Linowes, hoogleraar in de politieke economie en overheidsbeleid, voegt daaraan toe: “Er bestaat geen algemeen aanvaarde definitie van privacy”.[3]
Privacy is meer dan bescherming van persoonsgegevens. Het omvat gegevens over onze handelen en de beweegredenen achter deze handelingen. In de veelzijdige aanwezigheid van het woord privacy wordt het in een van de woordenboeken als volgt gedefinieerd “the quality of being secluded from the presence or view of others”. [4]
Het begrip privacy is zo oud als de mensheid zelf. Echter zoals vele begripsbepalingen kent het woord privacy verschillende uitleggingen naar gelang het tijdperk, de samenleving en het individu.[5] Voor wat wij hedendaags als bescherming van persoonsgegevens beschouwen werd voor het eerst gedefinieerd in de beroemde studie (The Right to Privacy) geschreven door Louis Brandeis en Samuel Warren in 1890.[6] De beide auteurs waren van mening dat het recht op privacy inhield “het recht om met rust te worden gelaten”. Professor Masanari Sakamoto van de Universiteit van Hirosjima schreef echter dat deze definitie “niet zo gelukkig was met het oog op de latere ontwikkeling van het recht”. Volgens Sakamoto is privacy een positief begrip waarin zowel de afzondering van anderen opgesloten ligt als de betrokkenheid bij hen.[7]
Blik op de wereld
Wereldwijd worden werknemers bij het gebruik van het internet en email op het werk constant gecontroleerd. Uit het jaaroverzicht 2007 van de American Management Association kwam men tot de conclusie dat “Of the 43% of companies that monitor e-mail, 73% use technology tools to automatically monitor e-mail”.[8] Overheden wereldwijd investeren miljoenen in een enig vorm van bewakingsapparatuur. In 2001 werd aan het Europees Parlement een rapport overhandigd waarin werd geconcludeerd dat er een mondiaal systeem bestaat voor het opvangen van berichten. Volgens dit systeem (ECHELON) zijn een aantal landen in staat om per satelliet verzonden telefoon-, fax-, internet- en e-mailboodschappen op te vangen en te controleren.
Juridische kaders en belang van bescherming
Het alomvattend begrip ten aanzien van de bescherming van onze persoonsgegevens vindt haar grondslag in onze grondwettelijke bepalingen.[9] Zo vinden wij tevens een ruime bepaling over het belang van de bescherming van onze privéleven aangewezen door het Europees Hof voor de Rechten van de Mens. Artikel 8 EHRM is zeer ruim geformuleerd waarbij het respect voor privéleven familie- en gezinsleven woning en correspondentie de hoofdlijnen zijn. Echter blijft het niet enkel daarbij aangezien door de ruime formulering men tevens kan zeggen dat het gaat om integriteit van toegang tot informatie, raadpleging van publieke documenten, het briefgeheim en bescherming van persoonlijke gegevens.[10] Zo is het begrip privéleven zeer ruim gedefinieerd. Uit het arrest Niemietz [11] blijkt dat het EHRM hierin ook leest het recht om relaties met andere mensen aan te gaan en te ontwikkelen. Echter met bovenstaande spitsvondigheden alleen red je het niet. Gegevens liggen aan de basis van informatie en informatie ligt aan de basis van de uitoefening van overheidsmacht.[12] Met andere woorden wanneer een entiteit al dan niet gerechtvaardigde macht wil uitoefenen dan dient men op een juiste wijze geïnformeerd te zijn over de beschikbare informatie.
Technologie als component van het probleem
Gezien de hedendaagse technische ontwikkelingen en de grote invloed die ze hebben op onze dagelijks leven moet er aandacht worden besteed aan de invloed ervan. Zoals reeds uit de inleiding gebleken is werd de persoonlijke levenssfeer reeds bedreigt alvorens de computers en smartphones hun intrede deden.[13] Zoals het welbekend is verwacht de overheid dat burgers tegenwoordig digitaal communiceren. Zo maakt de overheid en het bedrijfsleven dankbaar gebruik van de geavanceerde verzamelingstechnieken van persoonsgegevens.[14] Tevens niet te vergeten dat ons maatschappelijke en sociale leven steeds vaker beheerst wordt door machtige technologiereuzen zoals Facebook, Google en Appel. Met de groei in technologische mogelijkheden brengen deze ontwikkelingen tevens grote bedreigingen met zich mee. Zo neemt de massale surveillance door de komst van technologie toe. Immers, alles wat wij in de digitale wereld doen wordt geregistreerd. Overal heb je te maken met sensoren, camera’s, detectiesystemen die vastleggen wanneer en hoe laat je ergens bent geweest en natuurlijk het internet op zich. Om het technische gevaar in de praktijk aan te wijzen is er naar aanleiding van dit essay gekeken naar hoe men omgaat met de informatie op een OV-chipkaart. Voor het jaar 2005 had men als student slechts een papieren Ov-Studentenkaart, waarop je foto werd geplakt door een postkantoormedewerker en vervolgens geplastificeerd. Destijds werden geen gegevens door een derde over een reiziger verzameld. Wanneer je de bus instapte keek men enkel of de persoon overeenkwam met de foto die afgebeeld werd op het kaartje. Met andere woorden je kon redelijk anoniem reizen zonder dat men nodige en onnodige gegevens over je ging verzamelen. Vanaf 2005 werd de OV-Chipkaart langzaam in iedere stad ingevoerd. Men begon vanaf dat moment met registratie van onder andere de volgende gegevens: NAW, geboortedatum, geslacht, bankrekening, telefoonnummer, de reishistorie etc. [15] Tot 2012 werden deze gegevens zeven jaar bewaard in een door een derde entiteit beheerde systeem. [16] Uit de privacyverklaring blijkt dat de persoonsgegevens opgeslagen worden in een centrale database van Trans Link Systems. Door massaal gegevens te registeren weet de Nederlandse spoorwegen (NS) niet alleen dat je de trein van Groningen naar Amsterdam hebt genomen maar tevens hoe laat je bij welke station bent opgestapt en eventueel met wie. Hiermee genereert de NS een grote goudmijn aan informatie over de reisbewegingen van personen. Deze gegevens kunnen zij onder andere gebruiken voor commerciële doeleinden. Dit staat tevens opgenomen in hun eigen privacyverklaring.[17]
Maatschappelijke belangen als component van het probleem
De Algemene Verordening Gegevensbescherming (AVG) is het huidige vertrekpunt waaraan verwerkers van persoonsgegevens zich aan dienen te houden. De nadere invulling van de wijze waarop men de wetgeving hanteert wordt vormgegeven door open normen. Verwerkingsverantwoordelijken dienen in de praktijk hier invulling aan te geven. Uit de praktijk is naar voren gekomen dat het geven van nadere invulling op de wijze waarop persoonsgegevens verwerkt moeten worden een moeizaam proces kan zijn.[18] Het moeizame karakter hiervan heeft te maken met soms tegenstrijdige belangen van verschillende partijen die bij uitvoering van de wetgeving in de maatschappij een ander rol innemen. Zo hebben overheden andere belangen dan bedrijven of andere entiteiten die als rechtspersonen aan het verkeer deelnemen. In de praktijk blijkt ook dat dit een van de maatschappelijke problemen is waarbij de complexiteit van de uitvoering voor grote administratieve lasten zorgt.[19] Vanuit de kant van de burger is het ook vaak lastig om op een duidelijk en transparante manier erachter te komen welke gegevens verwerkt worden, waar die opgeslagen worden en voornamelijk welke partijen daartoe toegang hebben. Praktijkvoorbeeld die dit maatschappelijke kwestie naar voren haalt heeft zich kortgeleden voorgedaan. Gezien de huidige coronapandemie heeft de overheid aan de burgers een mogelijkheid geboden om zichzelf te laten testen. Bij de afname van een test worden allerlei gegevens opgeslagen zoals voor- en achternaam, adres of verblijfplaats, geboortedatum, geslacht, Burgerservicenummer (BSN), telefoonnummer, de uitslag van de test, etc. [20] Op 16 september 2020 werd in een nieuwsuitzending openbaar gemaakt dat callcentermedewerkers van de coronatestlijn toegang hebben tot het GGD-systeem waarbij zij met slechts achtenraam en geboortedatum kunnen achterhalen wie er allemaal getest zijn. Deze callcentermedewerkers werken voor Teleperformance via uitzendbureaus Olympia en YoungCapital. Het nieuwsbericht citeert een medewerker die zegt “Met achternaam en geboortedatum kun je zo de uitslag van iemand vinden”, “Ik heb laatst nog aan een ex-collega gevraagd of hij even de testuitslag van een kennis kon opzoeken”, zegt een van hen. Het een en ander laat zien dat vanwege een maatschappelijk probleem de belangen van verschillende partijen anders kunnen wegen. Zo heeft de GGD een belang om zo veel mogelijk mensen op zo’n korte termijn te kunnen testen. Aan de andere kant moet men de voorgeschreven normen ten aanzien van de bescherming van persoonsgegevens niet uit het oog verliezen. Bij crisissituaties kan het zich voordoen dat entiteiten het niet zo nauw nemen met de verwerking van persoonsgegevens zoals het uit het bovenstaande voorbeeld reeds bleek.
Oplossing(en)
Alvorens er wordt gekeken naar de oplossingen dient men zich te realiseren dat in de wereld van verwerking van persoonsgegevens grote belangen een rol spelen. Men moet begrijpen dat in de huidige platformeconomie persoonsgegevens worden bezien als een goudmijn. Wanner je kijkt naar bijvoorbeeld Facebook dan merk je op dat Facebook zelf geen content creëert. Facebook gebruikt de content van de gebruikers om advertenties te verkopen. Wanneer je kijkt naar de grootste taxibedrijf Uber dan valt op dat Uber zelf geen enkel taxievoertuig bezit. Uber maakt gebruik van de voertuigen van de chauffeurs om eigen positie te verstevigen. Hiermee kun je enigszins concluderen dat tegenwoordig verzamelen en verwerken van persoonsgegevens als een verdienmodel wordt aangemerkt door de grootste bedrijven. De AVG legt de verantwoordelijkheid en de verantwoordingsplicht bij de organisaties of overheden neer. Dit wordt ook wel de verantwoordingsplicht genoemd. In de praktijk betekent dit dat de verwerker van persoonsgegevens zelf moet aantonen dat zij de AVG naleven. Wat veel bedrijven en instanties doen is gebruik maken van vage juridische formuleringen om puur vanuit het oogpunt van de wetgever te laten zien dat zij zich aan minimale bepalingen houden. Dit kan opgelost worden door burgers de vrijheid te bieden om zelf te bepalen of een bedrijf of instelling zijn/haar gegevens mag verwerken. Tegelijkertijd moet het niet zo zijn dat medewerking afhankelijk is van genot van de dienstverlening. Zowel voor de technische als de maatschappelijke kant van het probleem zou de oplossing liggen in het beheer van de gegevens. Namelijk, men dient zelf te bepalen waarom zij hun gegevens willen gaan delen. Om tot een juiste besluitvorming te komen moet men vooraf op een transparante wijze geïnformeerd worden over de verwerking van persoonsgegevens.
[1] Dit heeft Edward Snowden gezegd tijden een onlinegesprek op Reddit, te vinden op www.reddit.com onder just days left to kill mass surveilance (laatst geraadpleegd op 9 september 2020).
[2] De Correspondent, ‘wanneer data dodelijk kunnen zijn’, te vinden op www.decorrespondent.nl onder artikelen/ nummer 8243 (laatst geraadpleegd op 11 september 2020.
[3] Ontwaakt!, ‘Wat is privacy’, te vinden op www.wol.jw.org onder zoeken / titel van het onderwerp (laatst geraadpleegd op 9 september 2020).
[4] Wordnet, te vinden op www.wordnetweb.princeton.edu, (laatst geraadpleegd op 9 september 2020)
[5] Lukás 2016, p. 256.
[6] Richardson 2017, p. 10.
[7] Ontwaakt, ‘Wat is privacy’, te vinden op www.wol.jw.org onder zoeken/ titel van het onderwerp (laatst geraadpleegd op 9 september 2020).
[8] American Management Association, ‘The Latest on Workplace Monitoring and Surveillance’, te vinden op www.amanet.org onder artikcles / totel van het onderwerp (laatst geraadpleegd op 11 september 2020).
[9] Artikel 10 lid 3 Grondwet en Artikel 8 Handvest Grondrechten EU.
[10] Gellert & Gutwirth p. 524.
[11] EHRM 16 december 1992, nr. 13710/88, ECLI:NL:XX:1992:AD1800.
[12] Councle of Europe, ‘Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data’, Strasbourg: 28.I.1981.
[13] Kranenborg & Verhey 2018, p. 5.
[14] Kranenborg & Verhey,2018, p. 10.
[15] Translink, ‘privacyverklaring’ te vinden op www.ov-chipkaart.nl onder privacy/ onze privacyverklaring (laats geraadpleegd op 12 september 2020).
[16] Tokmetzis 2012, p.33.
[17] Translink, ‘privacyverklaring’ te vinden op www.ov-chipkaart.nl onder privacy/ onze privacyverklaring (laats geraadpleegd op 12 september 2020).
[18] Kranenborg & Verhey,2018, p. 10.
[19] Kranenborg & Verhey,2018, p. 10.
[20] rtl-nieuws, ‘Wat gebeurt er met mijn gegevens als ik me laat testen op corona?’, te vinden op www.rtlnieuws.nl onder corona-update stel je vraag (laatst geraadpleegd op 12 september 2020).
Afbeelding: Markus Spiske