Wie gedacht had dat de privacy veilig zou zijn bij een liberaal kabinet had het tijdens Rutte I mooi mis: de kabinetsleden van de Volkspartij voor de Vrijheid en Democratie waren zo mogelijk nog erger dan Donner en consorten in hun donkerste dagen. VVD-ministers bleken een broertje dood te hebben aan de saaie discussie over persoonsgegevens. Het aantal voorstellen en wetten dat inbreuk pleegde op de autonomie van burgers nam de afgelopen twee jaar halsoverkop toe.
Nu de namen van Opstelten, Schippers en Schultz van Heagen Maas Geesteranus opnieuw in het lijstje staan is het wellicht aardig en misschien zelfs noodzakelijk om ze een aantal handvatten mee te geven voor de volgende periode. Privacy is namelijk veel meer dan alleen een functie in je facebookprofiel; er zijn belangrijke beginsels die in ogenschouw genomen dienen te worden bij het afwegen tot in hoeverre je als overheid de burger in de gaten houdt. Melanie, Ivo en Edith, letten jullie even op?
Voor Melanie: subsidiariteit
In 2008, aan de vooravond van de invoering van de OV-chipkaart, stuurde het College ter Bescherming van Persoonsgegevens (CBP) een brief aan de staatssecretaris. Hierin werd beschreven op welke manier de privacybescherming van het OV-chipsysteem gegarandeerd moest worden. De brief bevatte onder andere richtlijnen over hoe informatie ontdaan moest worden van persoonsgebonden gegevens (heeft de vervoerder niets mee te maken) en een herinnering aan de wet waarin staat dat klanten te allen tijde geïnformeerd dienen te worden over de privacyaspecten van zo’n systeem.
Privacy is meer dan alleen een functie in je facebookprofiel...
De meeste richtlijnen gingen uit van het subsidiariteitsbeginsel – is het beoogde doel ook te bereiken met minder inbreuk op de privacy? Want of het nu per se nodig is om een systeem met een RFID-chip in te zetten voor iets banaals als betalen voor de bus en trein, daar blijven de vervoerders het antwoord nog op schuldig. De OV-chipkaart slaat namelijk persoonlijke informatie en reisproduct op dezelfde chip op. Dit terwijl je voor het doel (betalen) niet meer nodig hebt dan een chip met slechts een reisproduct. Wil de conducteur controleren of het echt jouw kaart is dan volstaat een foto op de voorkant, en die hoeft niet gekoppeld te zijn aan de chip. Toch moest en zou er een integratie van deze informatiebronnen komen, die achteraf weer gescheiden zouden moeten worden.
Inmiddels is in twee rapporten aangetoond dat vervoerders slordig of opportuun omspringen met de koppeling van deze gegevens. De database van de OV-chipkaart voor studenten bleek niet veilig bij het GVB en de NS lapte alle vier de richtlijnen aan zijn laars. De NS wist het als bonus ook nog eens klaar te spelen de gegevens van houders van een anonieme (!) chipkaart op te slaan en te gebruiken voor marketingdoeleinden.
Voor Ivo: proportionaliteit en doelmatigheid
Kort geleden kwam over de telex het volgende in een reeks lumineuze ideeën binnen: wat nu als we de recherche toegang geven tot het DNA-materiaal dat wordt verzameld in ziekenhuizen? Als een verdachte van een (nu nog ernstig) misdrijf toevallig een keer een moedervlek heeft laten weghalen dan kunnen we zijn DNA gelijk met de haren op de jurk van mevrouw Verscharen vergelijken. Dat deze nietsvermoedende meneer ervan uit ging dat zijn weefsel een zekere mate van autonomie behield na de operatie is blijkbaar onterecht. Dat er bovendien zoiets bestond als een beroepsgeheim voor artsen vergeet Ivo even.
Het feit dat er dergelijke DNA-databases zijn aangelegd om zeer delicate gegevens bij te houden is op zich al een heel indringende gedachte. Het is echter verdedigbaar omdat het nodig kan zijn om medische informatie op te zoeken bij behandeling of voor onderzoeksdoeleinden. In dit soort gevallen mogen de patiëntgegevens alleen door een arts worden opgevraagd en onderzoekers moeten het met geanonimiseerde data doen. Deze data zijn alleen bedoeld voor bovengenoemde doeleinden en niet voor iets anders.
Als het op de bescherming van persoonsgegevens aankomt hebben de VVD-bewindslieden niet bepaald een smetteloos C.V.
In het verleden is gebleken dat Ivo moeite heeft de proportionaliteit van een maatregel af te wegen tegen de inbreuk op de privacy. De Nederlandse overheid is al wereldkampioen telefoon tappen , slaat op wie er cannabis gebruikt en ook de computer van de burger is potentieel doelwit van grasduinende rechercheurs. Deze minister moet gaan inzien dat het doel niet altijd de middelen heiligt. Zeker gezien zulke inbreuken op de privacy het gevoel van ongemak bij de burger alleen maar vergroten, zonder werkelijke verbeteringen mee te brengen – Edith, luister je ook even mee?
Voor Edith: rentmeesterschap
Als we even stilstaan bij de vraag wie er eigenlijk met onze persoonlijke informatie vertrouwd wordt, is het onprettige gevoel compleet. Neem DigID, de plek waar de burger belangrijke zaken kan afhandelen met de overheid op een vertrouwelijke en beschermde wijze. Helaas bleek dit systeem vorig jaar oktober zo lek als een mandje. De zeer vooruitstrevende wijze waarop de overheid in Nederland haar burgers van diensten wil voorzien dreigde binnen korte tijd onbruikbaar te worden en het is nog steeds niet duidelijk of het nu veilig is of niet. Het gemak waarmee een eenzame nerd in een computerkelder de overheid voor de gek kan houden is echter schokkend.
Overheden en grote instellingen beheren steeds meer digitale datasets met gevoelige informatie van burgers. Dit terwijl het (online) beheren en beschermen van dit soort complexe data niet bepaald de primaire expertises zijn van dit soort instellingen. Het beheren van grote hoeveelheden gevoelige informatie brengt een enorme verantwoordelijkheid met zich mee en de overheid moet bij haar burgers kunnen garanderen dat hun gegevens veilig zijn bij haar. Bij de invoering van het EPD, een systeem dat zulke sappige informatie bevat dat verzekeraars, werkgevers en farmaceuten ervan gaan watertanden doet Edith er goed aan zich te bezinnen eer te beginnen.
Privacy was de afgelopen jaren nooit de winnaar in de afwegingen van onze overheid en de VVD-ministers hebben op dit vlak absoluut geen smetteloos C.V. Misschien kunnen de liberale bewindslieden het vertrouwen van de burger alleen nog maar terugverdienen door zelf eens wat vertrouwen in de burger te hebben.
Sicco. Ik heb niet veel aan te merken op de inhoud van je betoog, maar ik vind toch de keuze voor je tussenkopjes wat merkwaardig. Vooral subsidiariteit en rentmeesterschap zijn begrippen (waarden) die ik bij uitstek niet met liberale politiek associeer. Omdat je de begrippen niet echt toelicht, vroeg ik me af wat de gedachte achter die keuze is.
Subsidiariteit, proportionaliteit en rentmeesterschap zijn in dit stuk concepten die ik de bewindslieden mee wil geven bij het beoordelen van ingewikkelde dossiers. Op de een of andere manier lijken ze de inbreuk op autonomie voor lief te nemen omdat ze het misschien wel moeilijk vinden om er over te vergaderen.
Deze tussenkopjes zijn niet uit de bus komen rollen na het lezen van het VVD-programma; het zijn belangrijke beginselen bij het beoordelen van privacygevoelige thema's.
Dat als uitleg, nu de reactie op je ietwat verhulde mening.
Ik ben het niet met je eens dat subsidiariteit 'bij uitstek' niet een liberaal begrip is. Een goede vriend van mij wees me er op dat het 'juist' een liberaal thema is: de overheid moet trachten zo min mogelijk inbreuk op het leven van burgers te maken.
Dat je rentmeesterschap in deze context misschien eerder aan de christendemocraten zou toeschrijven kan ik begrijpen. Toch is rentmeesterschap meer dan alleen een fijne christelijke traditie - het gaat staat ook voor betrouwbaar en eerlijk beheer: bijvoorbeeld van persoonsgegevens. Dit vond ik de beste noemer om mee te beschrijven dat je als overheid enorme verantwoordelijkheid hebt over gevoelige informatie die niet van jou is.
Als dat je definitie van subsidiariteit is, begrijp ik je keuze. Ik betwijfel alleen of die definitie zo breed gedragen is en hoezeer het dan niet gewoon hetzelfde betekent als privacy