77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

Deze column staat in Het Financieele Dagblad van 1 mei 2020. Volg deze link voor mijn eerdere FD columns.

In hun poging Nederland van het corona-slot te halen en de winkel te openen kregen beleidsmakers er recent een nieuwe kopzorg bij. ‘s Lands hoogste bestuursrechter, de Raad van State, verduidelijkte namelijk dat burgers na privacyschendende overheidsbesluiten schadevergoeding kunnen claimen op grond van de Europese privacywet AVG.

 

Illustratie: Hein de Kort voor het Financieele Dagblad

 

Als daadwerkelijke schade ontstaat door ondoordachte datafantasieën van de staat, bijvoorbeeld omdat miljoenen mensen vanwege een onjuiste immuniteitstest of corona-app ten onrechte inkomsten missen, dan bloedt de overheid niet alleen in de media maar ook in de portemonnee. Waarschijnlijk onbewust creëert de Raad van State hiermee een welkome extra prikkel voor de Nederlandse overheid voor doordacht, zorgvuldig en grondrechten respecterend beleid in dit unieke coronatijdperk waarin een nieuw maatschappelijk schisma zich aftekent.

Immers, naast conventionele sociale scheidslijnen als inkomen, etniciteit en geslacht bepaalt straks immuniteit tegen het coronavirus de economische waarde en sociale kansen van burgers in het maatschappelijk verkeer. Van massaal testen van burgers, via temperatuurmetingen op de werkplek tot ‘immuniteitspaspoorten’, data en technologie helpen binnenkort bepalen wie volledige bewegingsvrijheid krijgt, wie voorzorg moet betrachten en wie zichzelf wekenlang moet opsluiten. Ontstaat zo een nieuwe klassenverdeling in de samenleving, met de Immunen als Übermensch?

Overbruggingsperiode

Overal ontwerpen overheden anderhalvemetersamenlevingen voor de mogelijk jarenlange overbruggingsperiode die ons te wachten staat. Frankrijk gaat 700,000 burgers per week testen. Duitse wetenschappers, aangemoedigd door hun overheid, werken aan ‘immuniteitspaspoorten’. In Nederland was er de gehaaste schoonheidswedstrijd voor een corona-app – met de welbekende ontnuchterende afloop, terwijl de onderliggende technologie Bluetooth als zodanig niet eens volstaat voor contactonderzoek. Even goed zijn alle overheidsmaatregelen variaties op hetzelfde thema: de onderverdeling van burgers in risicogroepen op basis van medische data.

‘Burgers hoeven niet meer de lange en ingewikkelde weg naar civiele rechter te bewandelen’

Ondergesneeuwd in de mediastorm rondom de coronacrisis, publiceerde de afdeling bestuursrechtspraak van de Raad van State op 1 april vier uitspraken die expliciet bevestigen dat burgers schadevergoeding kunnen vorderen van bestuursorganen bij privacyschendingen. Burgers hoeven niet meer de lange en ingewikkelde weg naar de civiele rechter te bewandelen. Nu staat de snellere en eenvoudigere route naar de bestuursrechter ook open, tot maximaal €25.000 per geval.

Tegelijkertijd kiezen de bestuursrechters voor een typisch Nederlandse traditie voor de bepaling van de hoogte van die vergoeding: declareren mag, maar alleen met een bonnetje of als er sprake is van een ‘aantasting van de persoon’. Traditiegetrouw is die bewijsvoering lastig, omdat de gevolgen van zo’n privacyschending niet altijd direct financieel zijn. Daarbij vinden rechters in het nuchtere Nederland meestal dat burgers geen geld moeten verwachten in zaken over eer en goede naam.

De Europese AVG lijkt overigens – ook volgens de lagere Nederlandse rechters – ruimhartiger rondom de toekenning van schadevergoeding voor niet-financiële schade. Over die Hollandse nuchterheid is het laatste woord niet uitgesproken en zullen Europese rechters zich vast ook nog buigen.

Pieter Baan Centrum

Desalniettemin betreft één van de vier uitspraken een onrechtmatige verstrekking van medische gegevens door de directeur van het Pieter Baan Centrum aan een regionaal medisch tuchtcollege. Ook al vernietigde dat college snel de gegevens, maken zij geen onderdeel uit van die procedure en zag verder niemand de data, leidde de kortstondige privacyschending vanwege de gevoeligheid van medische gegevens tot toekenning van €500 schadevergoeding aan de patiënt.

Als de datadromen van de overheid werkelijkheid worden, bestaan er in de nabije toekomst apps en andere technologieën die bepalen in welke risicogroep u valt op basis van medische persoonsgegevens. Een privacyfout is daarbij snel gemaakt, getuige de corona-app. Voor miljoenen Nederlanders kan dat aanzienlijke financiële gevolgen hebben, al helemaal als wij belanden in een wereld waarin de Immunen alle bewegingsvrijheid krijgen, terwijl de overgrote meerderheid thuis zit.

Massaschadeclaims

Datalekken vormen ook een reëel risico, getuige het lekken van medische data bij een van de zeven finalisten in de ‘appathon’ van het ministerie van VWS. Voor de Rijksoverheid lijkt €500 weinig, maar vermenigvuldig dat met miljoenen Nederlanders en het tikt behoorlijk aan. Loonkosten zijn zomaar een factor tien hoger. Bovendien staat de AVG het bundelen van individuele claims in massaschadeclaims in bepaalde gevallen expliciet toe, zodat niet ieder individu eigenstandig hoeft te procederen.

De AVG is een uitstekende meetlat voor de overheid, juist omdat de AVG niet slechts een afweerwet is voor het individu. De AVG biedt, zelfs met verwijzing naar epidemieën, de ruimte om privacybeperkend beleid in te voeren, zolang de overheid weloverwogen en zorgvuldig handelt conform kernprincipes van de AVG, zoals transparantie, eerlijkheid, proportionaliteit en dataminimalisatie.

De economische belangen om de samenleving te openen zijn reusachtig, maar de financiële consequenties van ondoordacht en schadelijk overheidshandelen staan daar nu tegenover. Bezint, eer ge begint aan een onderverdeling van Nederlanders in normalen en Übermenschen.