Deze column staat in Het Financieele Dagblad van 14 november 2019. Volg deze link voor mijn eerdere FD columns.
‘In de beperking toont zich pas de meester’. Misschien wel geïnspireerd door deze beroemde strofe van de Duitse schrijver, staatsman en homo universalis Johann Wolfgang von Goethe, publiceerde privacytoezichthouder Autoriteit Persoonsgegevens (AP) maandag voor het eerst een meerjarenbeleid voor toezicht op onze datasamenleving. Titel van deze strategie: ‘Focus AP 2020-2023’.
Naarmate onze samenleving steeds sneller dataficeert, daagt de privacywet Algemene Verordening Gegevensbescherming (AVG) de structureel onderbezette waakhond AP uit om zo’n beetje alles en iedereen overal en altijd in de gaten te houden. Met haar lezenswaardige strategie en zelfopgelegde focus op ‘datahandel, digitale overheid en artificiële intelligentie & algoritmes’ beperkt de AP zich tot de kern en toont zij een glimp van meesterschap in wording.
Toch heeft de AP de grootste uitdaging nog voor de boeg. Al sinds 1 januari 2016 kan de AP hoge boetes opleggen voor privacyschendingen. Ook is de strenge privacywet AVG sinds 25 mei 2018 in werking. Maar waar andere datawaakhonden in Europa na decennia van doormodderen eindelijk voldoende budget krijgen en stevig doorbijten, houdt de overheid hier de hand ferm op de knip en moet de AP haar tanden nog laten zien. Bovendien weifelt en wankelt de AP inhoudelijk op cruciale thema’s en lijkt zij onwenselijk geobsedeerd door toestemming als de ‘gouden grondslag’ voor dataverwerkingen. Zonder slagkracht en gezag dreigt de lovenswaardige strategie van de AP alsnog te stranden in goede bedoelingen.
Het moge duidelijk zijn: nieuwe auto’s zijn eigenlijk smartphones op wielen, de consumenten van ‘gratis’ internetdiensten zijn niet zozeer eindklant maar zelf het product, en de kerk stuurt geen krantje maar een digitale nieuwsbrief. De samenleving dataficeert en onze data staan in tienduizenden databanken. Niemand weet nog welke organisaties onze data verwerken, en wie wij ooit toestemming gaven om wat, ja wat eigenlijk, met onze data te doen. Privacywetgeving is altijd al van toepassing op deze praktijken, maar burgers en datatoezichthouders verzuipen al decennia in de datagolf.
Dat leidt nogal af van de kern van het probleem. Zo gaat het maatschappelijk debat nog veel te vaak over de lasten, en niet de lusten van de AVG. De AVG staat stilaan niet zozeer symbool voor de noodzakelijke tegenmacht van toezichthouders in een gezonde datasamenleving, maar – mede dankzij ongelukkige mediaoptredens van de AP – voor een onredelijke wet die de lokale korfbalclub ervan weerhoudt namen van scorende pupillen in het wekelijkse krantje te publiceren, vanwege twijfel over AVG-conforme toestemming.
In haar nieuwe strategie toont de AP zich eindelijk een toezichthouder die de korfbalclub links laat liggen, en juist wil optreden tegen nietsontziende databrokers, die onder pseudoniem van nietszeggende bedrijfsnamen steenrijk worden met de doorverkoop van onze data, onrechtmatig en behendig leeggeschraapt van het web en uit openbare databases zoals het Kadaster, het Handelsregister en van Twitter.
Opsporingssystemen
De AP wil ook een datawaakhond zijn die terugblaft naar ondoordringbare overheidsinstanties met opsporingssystemen als het Systeem Risico Indicatie (SyRi), waarin slecht beveiligde overheidsdatabanken aan elkaar worden geknoopt om vermeende fraudeurs met uitkeringen en toeslagen op te sporen. Kennelijk ben je al verdacht als je te veel water verbruikt, waarna ‘het systeem’ de uitkering van een bijstandsmoeder resoluut intrekt, totdat die arme ziel bewijst dat haar wc weken lekte en zij geen geld had voor reparatie.
‘De Nederlandse overheid houdt voor privacytoezicht te veel de hand op de knip’
Hoog tijd dus dat de AP met de publicatie van de nieuwe strategie eindelijk eens kwam tot des Pudels Kern, Goethe’s metafoor voor de duivel in zijn meesterwerk Faust. De AP moet nu werken aan haar slagkracht en gezag. Slagkracht is vooral een kwestie van budget, dat niet met een procentje, maar met een factor tien moet stijgen om complexe, jarenlange onderzoeken vol te kunnen houden. Gezag komt te voet en gaat te paard en is vooral een kwestie van consistente inhoudelijke analyse.
Inconsistent
Die consistentie ontbreekt nog vaak. Zo stelde AP een paar weken terug ineens dat bedrijven nooit een ‘gerechtvaardigd belang’ hebben om data te verwerken voor commerciële doeleinden, maar altijd onze toestemming moeten vragen. Die stellingname is maatschappelijk onwenselijk en juridisch onjuist. Er bestaat allang wetenschappelijke consensus over de problemen met toestemming: overladen met keuzes gaan mensen maar gewoon akkoord met dataverwerkingen, terwijl een beroep op ‘gerechtvaardigd belang’ bedrijven dwingt om meer waarborgen te treffen om de privacy van individuen te beschermen. De obsessie met triviale toestemming zorgt de facto vaak voor minder bescherming van eindgebruikers.
Een algeheel verbod op commerciële data-activiteiten zonder toestemming staat daarnaast op gespannen voet met vaste jurisprudentie van Europese rechters en eerdere normuitleg van de gezamenlijke Europese datatoezichthouders waartoe de AP behoort.
Met haar veelbelovende nieuwe strategie toont de AP eindelijk de meesterlijke beperking waar Goethe op doelt. Maar direct op die beroemde strofe volgt een minder bekend, maar minstens even belangrijk advies van Goethe: ‘slechts de wet kan ons de vrijheid geven’.
Het is nu aan de AP om met slagkracht en juridisch correcte handhaving ons te beschermen in de datasamenleving.