Den Haag, 10 april 2017

Korte introductie privacy voor Kamerleden

Geachte Kamerleden,
Gefeliciteerd met uw verkiezing als Kamerlid. Er is een aanzienlijke kans dat u met privacy te maken krijgt in uw werk als volksvertegenwoordiger. Via deze brief willen we u ter informatie wat kernpunten over privacy aanreiken. Daarbij merken we op dat deze introductie enkele belangrijke begrippen en aspecten schetst en geen complete beschrijving is.

Privacy is een aspect van menselijke vrijheid

Ieder mens heeft een natuurlijke behoefte om sommige zaken privé te houden. De grenzen van privacy zijn weliswaar cultureel bepaald en kunnen in de tijd veranderen, maar de behoefte aan privacy is een menselijke eigenschap die bij iedereen van nature aanwezig is. Privacy is een aspect van menselijke vrijheid en autonomie. Door privacy kan je helemaal jezelf zijn zonder dat anderen daar een oordeel over hebben of je controleren. Privacy is een heel subtiel gevoel. Het idee dat er iemand meekijkt, is al reden genoeg voor mensen om hun gedrag aan te passen. Men noemt dit het 'chilling-effect'. Ook als er geen materiële consequenties zijn, lever je vanzelf vrijheid en autonomie in als je weet of het gevoel hebt dat anderen op je letten.

Privacy is een fundamenteel mensenrecht

Omdat de behoefte aan privacy een natuurlijke eigenschap is, is privacy erkend als mensenrecht en onder andere vastgelegd in het Europees Verdrag voor de Rechten van de Mens (EVRM). Het EVRM heeft directe werking in het Nederlands recht. Het recht op privacy is ook verankerd in artikel 10 van onze Grondwet. Dat recht op privacy is niet absoluut en kan worden ingeperkt. Maar dat kan alleen als dat strikt noodzakelijk is en aan bepaalde criteria is voldaan. De bewijslast om de privacy in te perken ligt dus bij degene die het wil inperken (de overheid) en niet bij degene om wiens privacy het gaat. De vraag kan dus niet zijn 'waarom mag ik dit niet van je weten als je toch niks te verbergen hebt', maar moet zijn 'waarom is het noodzakelijk dat de overheid dit van mensen weet'.

Wettelijk kader

Deze fundamentele rechten zijn verder uitgewerkt in de algemene Wet bescherming persoonsgegevens (Wbp) en de meldplicht datalekken. Daarnaast bestaan er specifieke regelingen voor bescherming van privacy zoals bijvoorbeeld het medisch beroepsgeheim, de telecommunicatiewet, de wet politiegegevens en de wet justitiële en strafvorderlijke gegevens.

De Wbp wordt op 25 mei 2018 vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy Richtlijn. Een Europese verordening betekent dat de regels in alle Europese lidstaten exact hetzelfde zijn. Een richtlijn geeft alleen algemene uitgangspunten en moet daarna nog een landspecifieke invulling krijgen. Voor gegevensverwerking in de opsporing is een aparte Europese richtlijn opgesteld die vanaf 6 mei 2018 gaat gelden.

Nieuwe wetsvoorstellen zullen zich dus binnen bovengenoemde kaders moeten afspelen.

Belangrijkste begrippen

De belangrijkste begrippen die u in bovengenoemd wettelijk kader rond privacy en persoonsgegevens tegenkomt, zijn doelbinding, grondslag, proportionaliteit, dataminimalisatie, opslagbeperking, beveiliging, transparantie en verantwoording. We stippen ze hieronder kort aan.

Als overheden of bedrijven de privacy van mensen willen inperken of van hun persoonsgegevens gebruik willen maken, mag dat alleen voor concrete, afgebakende doelen (doelbinding) en als er een wettelijke grondslag voor is. Die grondslag kan bijvoorbeeld expliciete toestemming van de betrokkene zijn of een wettelijke verplichting. Mensen moeten duidelijk geïnformeerd worden over de verwerking van gegevens en hun rechten (transparantie). Er mogen zoveel gegevens verwerkt worden dat het doel bereikt kan worden, maar niet meer dan dat (dataminimalisatie). De gegevens moeten afdoende beveiligd zijn en moeten worden verwijderd of geanonimiseerd als ze niet langer noodzakelijk zijn (opslagbeperking). De verwerker van de gegevens moet zich over het bovenstaande kunnen verantwoorden, onder andere aan de toezichthouder.

Belangrijke rechterlijke uitspraken

Als een wet door het kabinet en het parlement is vastgesteld, kan een rechter controleren of de wet in de praktijk rechtmatig uitpakt. Dat blijkt niet altijd het geval. Een recente belangrijke uitspraak van de Europese rechter is dat het niet is toegestaan om grote databases met gegevens van onverdachte burgers aan te leggen om die op een later moment te gebruiken voor opsporingsdoeleinden. Het belangrijkste argument is dat er teveel gegevens worden verzameld die niet absoluut noodzakelijk zijn. De uitspraak gaat specifiek over de bewaarplicht voor telecomgegevens, maar deze uitspraak kan verstrekkende gevolgen hebben voor nieuwe wetsvoorstellen, waaronder bijvoorbeeld het fotograferen en bewaren van kentekens langs de wegen. Mogelijk is ook het onlangs door de Tweede Kamer aangenomen wetsvoorstel waarmee de AIVD het internet grootschalig mag afluisteren en de verzamelde gegevens drie jaar lang mag bewaren onrechtmatig.

Met de huidige technologie is het makkelijk om snel veel gegevens te verzamelen die men op allerlei manieren kan inzetten. Het is in eerste instantie aan u om te beoordelen of dat noodzakelijk en proportioneel is voor concreet afgebakende doelen. In tweede instantie kan de rechter het besluit daarna wel terugdraaien, maar in dat geval is er door de burgers al schade geleden. Ook kan het het aanzien van de politieke besluitvorming schaden.

Beoordelingscriteria

Om te beoordelen of een inbreuk op de privacy in een wetsvoorstel gerechtvaardigd is, gelden er drie belangrijke criteria. Is het absoluut noodzakelijk dat privacy wordt geschonden en is dat voldoende onderbouwd (noodzaak)? Is er geen alternatieve manier om hetzelfde te bereiken die een minder grote inbreuk oplevert (subsidiariteit, dataminimalisatie) en staat de inbreuk wel in verhouding tot het doel dat nagestreefd wordt (proportionaliteit)? Deze criteria vloeien voort uit zowel het EVRM, de Wbp als ook de nieuwe Europese AVG.

Voorbeeld: om belastingen te kunnen innen, wil de belastingdienst gegevens over bijvoorbeeld het inkomen van iemand weten. Dat voldoet aan bovengenoemd kader, want er is een concreet doel, namelijk het vaststellen van de hoogte van de belasting, en er is een wettelijke grondslag te vinden in de Algemene Wet inzake Rijksbelastingen. Daarbij is door de wetgever indertijd vastgesteld dat het noodzakelijk is, proportioneel is en er geen andere manier is om de hoogte van de belasting vast te stellen.

Belangrijkste instrumenten

Om u bij de beoordeling te helpen, heeft u in ieder geval drie belangrijke instrumenten beschikbaar. Ten eerste is het voor het kabinet verplicht om bij elk wetsvoorstel waarbij een inbreuk op de privacy wordt gemaakt een Privacy Impact Assessment (PIA) te maken. Bij dit 'assessment' worden de risico's van de privacy-inbreuk ingeschat en gekeken of aan de wettelijke criteria wordt voldaan. U krijgt met een PIA snel inzicht waar de belangrijkste risico's voor privacy liggen. Zo'n PIA behoort aan het begin van het wetsontwerp te worden gemaakt, zodat het wetsvoorstel op de bevindingen kan worden aangepast.

Ten tweede is er een motie door zowel Eerste als Tweede Kamer aangenomen waarin criteria zijn vastgesteld waaraan wetgeving moet voldoen om het door beide Kamers goedgekeurd te krijgen. Aanvullend op de wettelijke criteria is hierin opgenomen dat er effectief toezicht moet zijn en dat er geëvalueerd moet worden of de wet waarmaakt wat de bedoeling was.

Als derde instrument kan de Kamer een hoorzitting met deskundigen plannen. Regelmatig is een wetsvoorstel dermate complex dat de noodzaak en proportionaliteit van de inbreuk lastig vast te stellen zijn. Door deskundigen over het onderwerp uit te nodigen en te ondervragen, kan er meer duidelijkheid ontstaan.

Bekende valkuilen

Bij nieuwe wetgeving blijken er enkele hardnekkige valkuilen te bestaan. We geven de belangrijkste hieronder.

Privacy by design
Inbreuk maken op privacy van mensen is vrijwel nooit het doel van wetgeving, maar vaak het gevolg om een ander doel te bereiken. Helaas wordt daardoor ook pas in een (te) laat stadium naar de gevolgen voor privacy gekeken. Het resultaat is dat privacy een sta-in-de-weg wordt gevonden, terwijl er mogelijk prima oplossingen te vinden waren als het direct in het beginstadium in het ontwerp was meegenomen. Dit laatste wordt ook wel aangeduid als 'privacy by design'.

Implementatie en toezicht
De privacy kan op papier goed geregeld worden, maar is sterk afhankelijk van de praktijk. Zo blijkt dat slechts 17% van de gemeenten aan de wettelijke eisen voor gegevensbescherming voldoet. Volgens de wet moesten ze hier 15 jaar geleden in 2002 al aan voldoen. Bij ziekenhuizen voldoet 44% nog steeds niet aan de eisen waaraan ze 9 jaar geleden al hadden moeten voldoen. Ook de politie houdt zich al 9 jaar niet aan de privacyregels en volgens de minister zal die situatie nog wel tot 2020 voortduren.

Zodra er meer bevoegdheden worden toegekend aan bijvoorbeeld politie en justitie, betekent dat in een rechtsstaat dat er er ook meer controle en toezicht moet komen om de 'checks and balances' in evenwicht te houden. Uit de hierboven gegeven voorbeelden blijkt duidelijk dat controle en toezicht ontoereikend zijn.

Geen noodzaak
Een derde risico ligt in het 'politiseren' van wetgeving. Er worden bevoegdheden of systemen ingericht die om politieke of electorale redenen interessant zijn, maar waarvan de noodzaak ontbreekt of op zijn minst onduidelijk is.

Voorbeeld: minister Schippers wil dat zorgverzekeraars de bevoegdheid krijgen om in medische dossiers te kijken als er een vermoeden van fraude is. Minister Schippers heeft nooit willen uitzoeken of dit wel noodzakelijk is en hoe groot het fraudebedrag is waar het om gaat. Cijfers van Zorgverzekeraars Nederland laten zien dat de bevoegdheid misschien noodzakelijk kan zijn om een bedrag van maximaal 1,4 miljoen euro te vinden. Dat is 0,002% van het Nederlandse zorgbudget van circa 73 miljard. De bevoegdheid lijkt dus niet proportioneel, vooral ook omdat het medisch beroepsgeheim een belangrijke voorwaarde is voor de toegankelijkheid in de zorg. Toch is het wetsvoorstel al wel door de Tweede Kamer aangenomen.

Belangrijk spanningsveld nu en in de nabije toekomst: big data

Een van de grootste uitdagingen op het moment zijn de regels rond ‘big data’. Regels rond het verzamelen van gegevens zijn netjes in de wet vastgelegd, maar over hoe de gegevens gebruikt mogen worden is nog weinig geregeld. Kenmerkend voor big data is dat de computer op basis van een grote hoeveelheid verzamelde gegevens beslissingen neemt. Om die beslissingen te nemen worden profielen of een algoritme gebruikt. Deze automatische beslissingen zijn maar beperkt betrouwbaar. De uitkomsten zijn niet objectief maar hangen van allerlei keuzes af die bij het verzamelen van gegevens of het opstellen van het algoritme zijn gemaakt. Zo worden er verbanden tussen bepaalde gegevens en het gedrag van mensen verondersteld, die in de praktijk misschien maar ten dele waar zijn. De verzamelde gegevens kunnen onjuist of te beperkt zijn en ook het algoritme kan verkeerde criteria bevatten of te streng zijn afgesteld. Wel kunnen deze automatische beslissingen grote gevolgen voor mensen hebben.

Voorbeeld: in 2013 constateerde Amsterdam 58.000 adresverschillen in de verschillende administraties die de gemeente aanhoudt. De conclusie was dat het hier om ‘spookburgers’ moest gaan die expres verkeerde adresgegevens opgeven zodat ze een maximale uitkering konden genieten. Miljoenenfraude met uitkeringen dus!

Bij nader onderzoek bleek de situatie anders te liggen. 5000 van de verschillen werden daadwerkelijk onderzocht. Het grootste deel bleken administratieve blunders van de gemeente zelf. Uiteindelijk werden zes fraudeurs gevonden wat overeenkomt met 0,12%. Het is de vraag of dit significant meer is dan in een willekeurige steekproef gevonden zou worden. Amsterdam had dus spookproblemen in plaats van spookburgers.

Big data is hier onzorgvuldig ingezet. De gegevens schoten tekort en de gehanteerde criteria selecteerden niet de fraudeurs. De gemeente maakte een fout door op basis van de uitkomsten van de automatische selectie al in het nieuws te brengen dat er zoveel gefraudeerd werd. Dit heeft uitkeringsgerechtigden ernstig gestigmatiseerd, want velen denken nog steeds dat het hebben van een uitkering gelijk staat aan frauderen.

Afrondend

We wensen u veel succes in uw werk de komende periode. We hopen dat bovenstaande korte introductie over privacy u daarbij behulpzaam kan zijn. U kunt deze korte introductie nalezen op onze website. Ook voor meer informatie over privacy en de actuele ontwikkelingen in de politiek over privacy kunt u de website raadplegen.

Vriendelijke groet,
Privacy Barometer.

 

 

reacties

Er zijn nog geen reacties gegeven.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

Deel deze pagina via:

27-06-17

Wilders herhaalt oproep voor preventief opsluiten

Geert Wilders (PVV) herhaalt de oproep van zijn partij om mensen preventief op te sluiten als zij "een mogelijk gevaar [vormen] voor de nationale veiligheid". Wilders zegt hiervoor een wetsvoorstel te zullen indienen. Volgens de PVV-leider moeten de veiligheidsdiensten iemand bij de minister van Binnenlandse Zaken kunnen voordragen voor opsluiting. Lees verder >>>

11-02-17

Tweede Kamer stemt in met gedrags­aanwijzing voor burgers bij overlast

De Eerste Kamer heeft op 24 januari 2017 ingestemd met het wetsvoorstel van Tweede Kamerlid Tellegen (VVD) waarmee burgemeesters bewoners een gedragsaanwijzing of huisverbod kunnen geven. Tellegen stelt dat hiermee woonoverlast tegen kan worden gegaan. De Tweede Kamer had op 22 december 2016 al in meerderheid voorgestemd. Lees verder >>>

Help mee!

LogoHelp mee om de immense archieven van de Nederlandse inlichtingen­diensten te redden. Vraag dossiers op in het belang van onze veiligheid, democratische controle op de diensten, burgerrechten en kennis over de betrokkenheid van de inlichtingendiensten.

Nieuwsbrief

Privacy Barometer brengt een paar keer per jaar een nieuwsbrief uit. Wilt u op de hoogte blijven, meldt u hier aan voor deze nieuwsbrief:  
Uw gegevens worden aan niemand ter beschikking gesteld, tenzij dat wettelijk vereist wordt. Het emailadres wordt alleen voor deze nieuwsbrief gebruikt.

of volg ons via

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.06 seconden