Het onderwerp ‘privacy en veiligheid' roept vaak heftige reacties op. Enerzijds beweren de beschermers van onze (online) privacy dat de overheid als Big Brother ons doen en laten in de gaten houdt. Aan de andere kant staan degenen die vinden dat wie niets te verbergen heeft ook niets te vrezen heeft en dat de bestrijding van criminaliteit en terrorisme het waard is om wat privacy in te leveren. Gaat publieke veiligheid ten koste van privacy en omgekeerd?
door: Wil van Limpt
Het begrip privacy is in 1890 door de Amerikaanse jurist Louis Brandeis gedefinieerd als ‘The right to be let alone'. Dit recht om met rust gelaten te worden, vormt nog steeds de basis voor de moderne privacywetgeving. De bescherming van onze persoonlijke levenssfeer is in Nederland verankerd in de Grondwet. De Wet Bescherming Persoonsgegevens (WBP) stelt eisen aan de verwerking van onze persoonsgegevens. Zo mogen organisaties persoonsgegevens alleen verzamelen en gebruiken voor een vooraf bepaald doel en met toestemming van de betreffende persoon. Inbreuken hierop mogen alleen worden toegestaan om dwingende redenen van publieke veiligheid.
Rekenkracht
De technologische ontwikkelingen gaan razendsnel. De Wet van Moore bepaalt dat de snelheid van computers elke 18 maanden verdubbelt. De opslagcapaciteit van computers en de bandbreedte van communicatienetwerken groeien nog sterker en verdubbelen elke 12 maanden.
De rekenkracht van de huidige computers is het duizendvoudige van die van 20 jaar geleden toen de eerste Europese privacyrichtlijn in werking trad. Het verzamelen, opslaan en verwerken van persoonlijke gegevens via het internet is explosief gegroeid. Landsgrenzen bestaan niet op het internet. De overheid koppelt steeds meer bestanden met persoonsgegevens. Het is vaak niet duidelijk waar onze persoonlijke gegevens zich bevinden en wie ze kan inzien. Privacyvoorwaarden van internetbedrijven als Google en Facebook veranderen voortdurend maar blijven gericht op het zoveel mogelijk delen van persoonlijke gegevens.
Burgers
Als burgers niet meer weten wie, wat over hen weet en in welke situatie, is dit slecht verenigbaar met het recht op informationele zelfbeschikking. Iemand die zich afvraagt of zijn gedrag heimelijk wordt geobserveerd en of gegevens over dat gedrag worden opgeslagen zal zich wellicht niet veilig genoeg voelen om gebruik te maken van zijn burgerrechten.
Overheid
De positie van de overheid lijkt een lastige. Zij moet zowel de veiligheid als de privacy van haar burgers beschermen. Een veilige samenleving kan niet zonder de bescherming van de privacy van de burger. Tegelijkertijd moet de overheid ter bescherming van haar burgers een informatiepositie hebben die gewone burgers niet hebben.
Inlichtingendiensten
Inlichtingendiensten als de AIVD en de MIVD mogen op grond van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) onderzoek doen naar organisaties en personen over wie een ernstig vermoeden bestaat dat hun activiteiten een gevaar vormen voor het voortbestaan van de democratische rechtsorde of de veiligheid.
In de Wiv zijn een aantal waarborgen ingebouwd om onze privacy te beschermen:
- Inlichtingendiensten moeten verantwoording afleggen aan het parlement over de rechtmatigheid van hun activiteiten. De Tweede Kamer heeft hiervoor een Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ingesteld. Deze commissie brengt verslag uit aan de minister en het parlement. Informatie die geheim moet blijven wordt gedeeld met Tweede Kamercommissie voor de Inlichtingen- en veiligheidsdiensten (commissie Stiekem) waarin alle fractievoorzitters zitting hebben.
- Voor het gericht onderscheppen van het internetverkeer is toestemming van de minister van Binnenlandse Zaken vereist.
- De minister moet achteraf verantwoording afleggen over de effectiviteit van het gebruik van dit middel.
Vertrouwen
Op grond van de Wet Openbaarheid Bestuur kan een burger opvragen of, en zo ja welke persoonsgegevens door de AIVD of de MIVD zijn verwerkt.
Inlichtingendiensten kunnen door de aard van hun werkzaamheden niet al te transparant zijn. De huidige wetgeving biedt voldoende waarborgen om oneigenlijk gebruik en willekeur tegen te gaan.
Het sleutelwoord is vertrouwen. Transparantie, eenduidige en begrijpelijke regelgeving en parlementaire controle zijn nodig om de burger het vertrouwen in de goede intenties van de overheid te laten behouden.
De ‘gewone' internetgebruiker moet zijn privacy ook zelf beschermen door enkele basale veiligheidsmaatregelen te treffen zoals virusbescherming, het tijdig installeren van veiligheidsupdates en het gebruik van sterke wachtwoorden. Van individuele gebruikers kan echter niet verlangd worden dat ze de – bewust complexe – privacyvoorwaarden van internetbedrijven volledig kunnen doorgronden. De sector heeft gezien de hoge opbrengsten van het gebruik van persoonsgegevens geen enkele behoefte aan zelfregulering.
Herziening
Op dit moment wordt door de Europese Unie hard gewerkt aan één van de grootste Europese wetgevingsoperaties ooit. De herziening van de privacyrichtlijn uit 1995. Een nieuwe Europese privacyverordening zal de minder verplichtende richtlijn, naar verwachting in 2016, vervangen. Onder de huidige privacyrichtlijn is in de diverse lidstaten een lappendeken aan privacywetgeving ontwikkeld. Belangrijke uitgangspunten uit de richtlijn als doelbepaling en beperkingen in het gebruik van persoonsgegevens zijn door de meeste landen wel in hun landelijke privacywetgeving overgenomen. Complexe onderwerpen als anonimisering, The Internet of Things en profilering vanuit Big Data worden nu nog op totaal verschillende wijze benaderd door de EU lidstaten.
De Wet van Moore stop niet vandaag. Er komt een tsunami van data op ons af. Over 20 jaar zal het verzamelen, opslaan en verwerken van gegevens opnieuw het duizendvoudige van nu zijn. Het internet dringt steeds meer door in elektronische apparatuur. In 2009 hadden 2,5 miljard apparaten toegang tot het internet. In 2020 zullen dit er 30 miljard zijn. In het ‘Internet of Things' tijdperk zullen auto's, wegen, koelkasten, winkels, drones, en medische apparaten sensoren bevatten die via hun IP adres voortdurend signalen uitzenden over onze verblijfplaats en ons gedrag. Er kan zelfs een moment komen waarop de materie ons, als mens, boven de pet gaat en waarin computers op basis van ingewikkelde algoritmes bepalen hoe we ons (moeten) gedragen.
De nieuwe Europese privacyverordening is techniekneutraal en wordt niet te gedetailleerd uitgewerkt. Dit biedt ook op de langere termijn houvast. De verordening brengt meer evenwicht in de privacybelangen van het individu, de belangen van inlichtingen- en opsporingsdiensten en het belang van innovatie- en concurrentiekracht van (internet)bedrijven.
Compliant
Bedrijven en de overheidsorganisaties zullen onder de nieuwe privacyverordening transparanter moeten zijn over de verwerking van persoonsgegevens en meer verantwoording moeten afleggen. Het compliant worden aan de nieuwe privacyverordening zal leiden tot flinke extra kosten voor het bedrijfsleven. Deze kosten zijn gerechtvaardigd omdat door de nieuwe privacyverordening het vertrouwen van de burger in het digitale domein behouden blijft. Zonder vertrouwen van de burger is innovatie en groei van het internet niet mogelijk. Consumenten zullen bescherming van hun persoonsgegevens waarderen als een kwaliteitsaspect van de dienstverlening. Bedrijven kunnen zich onderscheiden door de privacy van hun klanten op het internet beter te beschermen. Een veilige samenleving, vrije stroom van informatie en een adequate bescherming van onze privacy zijn van groot belang voor onze democratische rechtsorde én voor onze economische ontwikkeling en concurrentiepositie. Dat heeft de Europese Unie goed begrepen.
* Wil van Limpt is docent Integrale Veiligheidskunde aan de Academie voor Veiligheid en Bestuur van Avans Hogeschool. Dit artikel is gebaseerd op de Avans Academielezing die hij op 23 oktober jl. heeft uitgesproken.