Nieuws

Jacob Kohnstamm en het nieuwe geld

Onze privacywaakhond krijgt een nieuwe baas. Sinds 2004 waakt Jacob Kohnstamm over de juiste toepassing van de Wet bescherming persoonsgegevens. Hij zag de afgelopen twaalf jaar de explosieve groei van een databerg die steeds meer dient als grondstof voor het verdienmodel van anderen. Kohnstamm waarschuwt bij zijn vertrek voor onderschatting van de risico's van een slordige omgang met 'het nieuwe geld'.

Als voorzitter van het College bescherming persoonsgegevens, dat inmiddels is omgedoopt tot de Autoriteit Persoonsgegevens, ontwaart Jacob Kohnstamm soms grote risico’s voor de persoonlijke levenssfeer, ook omdat de (semi)overheid niet altijd zorgvuldig omspringt met de aan haar toevertrouwde gegevens. Beveiliging van persoonsgegevens, big data en ‘profiling’, medische gegevens en persoonsgegevens bij de (digitale) overheid staan dan ook hoog op de prioriteitenlijst voor 2016.

Weten overheden wel voldoende over wat ze wel en niet met de persoonsgegevens in hun data mogen doen?

“Mijn indruk is dat overheden maar marginaal geïnteresseerd zijn in wat ze van de wet mogen met persoonsgegevens. Daar waar we onderzoek doen naar de wijze waarop overheden databases beveiligen en naar de mate waarin ze zich bewust zijn van de gevaren die schuilen achter het gebruik van gegevens buiten de context waarvoor ze zijn bedoeld, zien we dat er heel weinig bewustzijn is over de risico’s. We constateren dat er bij gemeenten ook vrij veel mis is met de beveiliging van gegevens en met het op orde hebben van de regels over wie wanneer en waarom gegevens in mag zien. Daar zit overigens volgens mij niets kwaads achter. Gemeenteambtenaren en gemeentelijke politici denken over het algemeen dat ze het beste met de mensen voor hebben en dat zal ook vast het geval zijn, maar de wet gaat nu juist op dit punt iets verder.”

Bij een onderzoek bij 13 gemeenten naar de beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld moest u vaststellen dat maar in twee gevallen de zaak op orde was. Nou hebben we 390 gemeenten, dus moeten we nu aannemen dat het hooguit bij zestig gemeenten op orde is en bij de rest niet?

“Ik denk dat dat een reëel beeld is. Dat wordt ook in de hand gewerkt door de decentralisaties waarbij relatief gevoelige gegevens bij gemeenten terecht komen en waarbij de wetgever – ondanks ons advies – tot nu toe geen wettelijke basis voor context- en domeinoverschrijdende gegevensuitwisselingen heeft gecreëerd. Als je formeel niet regelt welke informatie gemeenten over de domeinen mogen uitwisselen, wordt het voor gemeenten wel lastig; dan worden ze een soort spoorzoekers als het gaat over de vraag wat ze wel en wat ze niet mogen.”

Ik denk dat we meer gebruik gaan maken van onze boetebevoegdheid

“Mijn analyse is dat de noodzaak om het regeerakkoord uit te voeren in financiële zin zo groot was dat daarom te snel gehandeld is en onvoldoende is nagedacht. Het wettelijk verankeren van de mogelijkheid om domeinoverstijgend bij gegevens te kunnen en mogen komen is over het hoofd gezien. We hebben ook wel te horen gekregen van ambtenaren die met fraudebestrijding bezig waren die dachten ‘sodemieter op met je privacyregels’, omdat ze in een andere database zien dat iemand met bijstand daarnaast nog veel bezittingen heeft. Maar de wetgever heeft daar nu eenmaal van bepaald dat je een rechtsgrond nodig hebt. Je kunt niet lukraak met andere databases aan de gang.”

Als er maar marginale interesse is hou je die gemeenten niet makkelijk bij de les.

“Wij kunnen een last onder dwangsom opleggen en praten met de VNG, dat doen we ook heel intensief. Maar ik denk dat we ook meer gebruik gaan maken van onze boetebevoegdheid om voor elkaar te krijgen dat de diensten van gemeenten ook daadwerkelijk aan de Wet bescherming persoonsgegevens voldoen. Die boete is maximaal 820.000 euro per keer dat je vaststelt dat er iets mis is. Met de Europese verordening die er aan komt wordt de boete maximaal 20 miljoen of – in het geval van ondernemingen – vier procent van de wereldwijde jaaromzet, afhankelijk van wat het hoogst is”.

Bij een onderzoek bij negen zorginstellingen was de conclusie van de Autoriteit Persoonsgegevens onlangs dat er onvoldoende maatregelen waren om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, GGZinstellingen en huisartsenposten digitale patiëntendossiers konden inzien. Het lijkt erop dat er onder elke tegel die u optilt wat tevoorschijn komt. Geen wonder dus dat u om vijf keer zoveel personeel hebt gevraagd om uw werk goed te kunnen doen. Hoeveel extra mensen hebt u al gekregen? Sinds 1 januari moet u ook nog de Wet datalekken uitvoeren.

“Ons budget is de laatste vijf á zeven jaar niet gegroeid. Het is ongeveer 7,5 miljoen. Ik zou denken dat in een samenleving waarin persoonsgegevens een steeds grotere rol spelen het budget van de Autoriteit Persoonsgegevens daarmee een ongeveer gelijke tred moet houden. In de laatste vijf jaar is de hoeveelheid gegevensverwerkingen en de relevantie daarvan quadratisch gestegen. Voor het toezicht daarop doen we wat we kunnen en dat doen we ook steeds beter door onze bevindingen en aanbevelingen te verspreiden over de gemeenten, de ziekenhuizen en bij bedrijven waar met grote hoeveelheden persoonsgegevens wordt gewerkt. Ik heb goede hoop dat we die discussie uiteindelijk ook kunnen laten landen bij de Tweede Kamer en het kabinet. Want er zijn uiteindelijk twee mogelijkheden: je doet het erbij omdat het moet, maar je vindt het niet relevant of het is buitengewoon relevant. En ik voorspel: de bankencrisis is met het oude geld gemaakt door onvoldoende toezicht op financiële constructies en uiteindelijk in elkaar gedonderd. Op het moment dat we niet zorgen voor het waarborgen van het vertrouwen van de mensen in een heel erg door persoonsgegevens gedreven economie komt er een nieuwe crisis, maar dan als gevolg van ondeugdelijke omgang met het nieuwe geld; de persoonsgegevens.”

Is het zuur als uw adviezen niet worden opgevolgd?

“Als je er niet tegen kan dat je advies niet wordt opgevolgd moet je geen adviseur worden. Dat zei Herman Tjeenk Willink in een van zijn afscheidsinterviews als vicevoorzitter van de Raad van State en daar ben ik het mee eens. Het gebeurt overigens ook niet vaak dat adviezen niet worden opgevolgd. In meer dan de helft van de gevallen wordt wel degelijk rekening gehouden met onze advisering. Bij heel veel zaken waar wij onderzoek doen, bij de overheid of bij bedrijven, schrikt de verantwoordelijke als we langskomen en als we aangeven dat er iets niet in orde is gaan ze als een idioot aan de slag om te proberen de zaak in orde te maken. Er is een grote welwillendheid om er iets aan te doen. Het is niet van: we zitten hier weloverwogen de boel te vernaggelen.” “De drive om het conform de wet te doen is vaak nog te gering, maar dat gaat straks wel veranderen als in 2018 de Europese privacyverordening van kracht wordt. Overheden en bedrijven moeten dan intern een privacy waakhond aanstellen. Zo’n functionaris gegevensbescherming moet onafhankelijk zijn, rechtstreeks toegang hebben tot eindverantwoordelijken en van binnenuit bekijken hoe het gaat met het beschermen van de persoonsgegevens. We hebben als gezamenlijke Europese toezichthouders op de bescherming van persoonsgegevens ontzettend veel tijd en energie gestoken in het verkrijgen van nieuwe bevoegdheden omdat we denken dat persoonsgegevens daarmee eerder ‘chefsache’ worden. De gedachte dat wij bijvoorbeeld hier in Nederland net als de politie 40 duizend ambtenaren kunnen inhuren is natuurlijk niet reëel. Meer bevoegdheden helpen wél, net als gelijke regels in heel Europa en forse boetes.”

Ons budget is de laatste vijf á zeven jaar niet gegroeid

Als die nieuwe Europese verordening in 2018 ingaat is er zes jaar aan discussie aan vooraf gegaan, terwijl de technologische ontwikkeling razendsnel is doorgegaan. Toen de eerste draft verscheen moest de smartphone nog aan zijn opmars beginnen, was de ‘cloud’ nog mistig en had bijna niemand nog van apps gehoord. De wetgeving kan die ontwikkelingen toch gewoon niet bijhouden? Is het niet water naar de zee dragen?

“Nee! Er is juist ontzettend veel gedaan om te zorgen dat de definities en de principes in de verordening technologieonafhankelijk zijn. Het gekke is dat de principes geen grote wijzigingen hebben ondergaan sinds 1995. Die hebben de tand des tijds en de tand der techniek doorstaan. Er zijn nu wel allerlei handen en voeten aan toegevoegd. Gemeenten die bijvoorbeeld via apps op grote schaal bijzondere persoonsgegevens willen verwerken, zullen verplicht zijn om een privacy impact assesment te maken, net zoals dat twintig á dertig jaar geleden is afgesproken voor bijvoorbeeld de milieueffecten van gemeenteplannen. De eigen privacywaakhond moet kijken of het kan, of het mag en of het goed is wat er gedaan wordt. Individuen kunnen straks makkelijker naar de rechter om bijvoorbeeld schadevergoeding te eisen in zogeheten ‘class actions’. Ook dat is een grote verbetering.”

Sinds 1 januari moeten instanties en bedrijven datalekken bij de Autoriteit Persoonsgegevens melden. Wat is het beeld tot nu toe?

“In de loop van dit jaar hopen we inzicht te kunnen geven in de trends die we daarbij zien. In de eerste twee maanden hebben we ongeveer 500 meldingen van datalekken gekregen, waarvan er nogal wat gaan over medische gegevens. Bij ongeveer 250 zijn we nu aan het bekijken of er actie nodig is. We kijken heel scherp of de mensen over wiens data het gaat ook hadden moeten worden gewaarschuwd. Het is niet zo dat wij verplicht zijn op elke melding te reageren. De meldplicht is er vooral om de verantwoordelijken bewust te maken van het feit dat ze hun huishouden op orde moeten maken. Op het moment dat we zien dat er sprake is van grove onzorgvuldigheid en nalatigheid bij de bescherming van gegevens doen we alsnog onderzoek en kan er een last onder dwangsom of een boete volgen.”

Vanuit welk publiek belang controleert u economische spelers op hun omgang met persoonsgegevens?

“Macht gekoppeld aan persoonsgegevens kan er uiteindelijk toe leiden dat mensen in hun individuele ontplooiing en individuele vrijheid beperkt worden en het is een publiek belang om dat te voorkomen.”

U wordt door sommigen gezien als een ‘showstopper’

“Daar begrijp ik helemaal niets van. Wij zijn er niet om de pret te bederven. Een goeie ‘data protectie officer’ roept niet dat iets niets kan of mag, maar die zegt: als je het zo doet kan het wel! In het merendeel van de gevallen zeggen wij als Autoriteit dan ook: daar heb je gelijk in, maar denk even goed na hoe je het gaat doen.”

De wereld van de persoonsgevens is de afgelopen twaalf jaar spectaculair veranderd. Hoe ziet u de toekomst van dit dossier?

“Ik denk dat het bewustzijn over het belang van het zorgvuldig omgaan met persoonsgegevens zal toenemen. Mijn inschatting is dat de wal het schip zal keren omdat er nu een betere wettelijke bescherming komt en daarmee dus ook meer mogelijkheden voor individuen om zich tegen misbruik te verzetten. Het rumoer over de plannen voor het vermarkten van betalingsgegevens door bijvoorbeeld de ING, het elektronisch patiëntendossier, de ov-chipkaart, de AH-bonuskaart en het rekeningrijden laat zien dat het bewustzijn bij mensen zal toenemen en daarmee ook de terughoudendheid om hun gegevens af te staan. Als het vertrouwen van mensen in gegevensverwerkingen afneemt, zullen ze vaker zeggen ‘dat wil ik niet’. Ik denk daarom dat zorgvuldige omgang met persoonsgegevens voor bedrijven een unique selling point gaat worden. Maar dan is wel goede wetgeving en een robuuste toezichthouder nodig.”

  • P.J. Westerhof | 14 oktober 2016, 11:37

    Toch jammer dat de hamvraag niet gesteld is : ‘Wie betaalt de boete?’.
    Dat is immers steeds de functionaris (‘de verwerkingsverantwoordelijke of de verwerker’) en dus de organisatie. Welke de boete eenvoudig kan afwentelen op belastingbetaler/klant.
    Van directe persoonlijke aansprakelijkheid is geen sprake.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren