Ook na de implementatie van de AVG zal behoefte blijven bestaan aan een genuanceerde omgang met dit recht. Of verstokte privacy-fetisjisten dat nu leuk vinden of niet.
Privacy, een boeiend onderwerp al was het maar omdat we er nogal ambivalent mee om plegen te gaan. Zo maken we dagelijks gebruik van internet en sociale media hoewel we weten dat al onze gegevens, privacygevoelig of niet, vervolgens in een digitale eeuwigheid verdwijnen en naar andermans believen met derden wordt gedeeld.
Daarentegen zijn we verontwaardigd als blijkt dat de Belastingdienst onze privacy onvoldoende bewaakt of, erger nog, als bekend wordt dat Amerikaanse veiligheidsdiensten over onze persoonsgegevens kunnen beschikken als die voorkomen in bestanden van Nederlandse bedrijven die gebruik maken van Amerikaanse dienstverleners. Kennelijk maakt het nogal wat uit of we onze privacy zelf met een korreltje zout nemen dan wel derden, en al helemaal overheden, dat doen. In Amerika is dat verschil in omgang met privacy al veel langer onderwerp van discussie. Interessante vraag daarbij is of iemand die zelf persoonsgegevens op internet plaatst nog wel een “reasonable expectation of privacy” kan hebben. Diverse Amerikaanse rechters vinden van niet, zelfs niet als je als gebruiker van een sociaal medium wel de aangeboden privacy-instellingen hebt ingeschakeld. Wie daar zijn waterige hobby’s op een mobieltje vastlegt weet dus een ding zeker: sijpelt het door dan zal privacy het lek niet kunnen dichten.
Op een recent symposium over privacy van iBestuur ging het vooral over de impact van de april vorig jaar in werking getreden Europese Algemene Verordening Gegevensbescherming (AVG) voor de Nederlandse regelgeving. Aanpassingen van onze regelgeving moeten mei 2018 jaar klaar zijn. Een bewerkelijke klus die, zoveel was snel duidelijk, nog lang niet klaar is. Vanwege de forse Europese sancties op te late implementatie een belangrijk aandachtspunt maar dat geldt ook voor diverse inhoudelijke thema’s. Bijvoorbeeld hoe straks hier en elders in Europa op een evenwichtige en liefst uniforme wijze inhoud te geven aan de omgang met onze privacy door overheden, bedrijfsleven en medeburgers. En ook hoe te voorkomen dat het recht door een te dogmatische benadering kan ontaarden in een niet door enige relativering gehinderde hype waarvan we meer last dan lust gaan krijgen. Want ook ons recht op privacy vereist een genuanceerde benadering. Een benadering die het bijvoorbeeld mogelijk maakt om direct in te spelen op maatschappelijke ontwikkelingen en daarmee verband houdende behoeftes aan snelle informatiekoppeling en uitwisseling. Ook na de implementatie van de AVG zal de discussie over onze privacy immers niet alleen maar gaan over even duidelijke als onaanvaardbare datalekken bij overheden en bedrijven maar ook, en misschien zelfs wel in toenemende mate, over mogelijkheden tot snelle informatie-uitwisselingen in het kader van de bestrijding van criminaliteit en terrorisme.
Het recente “Deltaplan aanpak van ondermijnende (tussen haakjes: een nogal curieus adjectief want criminaliteit is per definitie maatschappelijk ondermijnend) criminaliteit proeftuin Brabant” Brabant” waarin met zoveel woorden wordt aangedrongen op verbetering en vereenvoudiging van informatie-uitwisseling alsook de discussie de vorige week met Schippers over het gebruik van DNA materiaal dat voor medische doeleinden is verzameld en opgeslagen voor strafrechtelijk onderzoek, zijn daar voorbeelden van. Wat goed is voor de bescherming van onze privacy is dat nu eenmaal niet per definitie ook voor de bestrijding van criminaliteit of terrorisme. Of, zoals Obama ooit zei, 100% privacy en 100% veiligheid gaan eenvoudig niet samen.
Ook andere onderwerpen vragen in dit verband om aandacht. Bijvoorbeeld hoe te komen tot een uniforme toepassing van de nieuwe privacyregels in Europa zodat aan bedrijven van buiten Europa die in enige lidstaat werkzaamheden willen verrichten, steeds dezelfde eisen worden gesteld. De vraag aan de op het symposium aanwezige 2e man van de Nederlandse Autoriteit Persoonsgegevens of daarop Europees beleid wordt ontwikkeld, moest het doen met het weinig overtuigende antwoord “daar gaan we wel vanuit.” Op de vraag of bedrijven straks verlost zullen zijn van de zogenoemde “Standaard Contractual Clauses”, een in de praktijk onwerkbaar gebleken bedenksel uit de Brusselse krochten bedoeld om potentiele privacy-schendingen contractueel te voorkomen, kwam zelfs helemaal geen antwoord. Zoveel is zeker, niet alleen regelgevend maar ook beleidsmatig is er voor eind mei 2018 nog het nodige werk aan de winkel.
Zeker tenslotte is wat mij betreft ook dat het recht op privacy geen absoluut recht kan en mag zijn en dat ook na de implementatie van de AVG behoefte zal blijven bestaan aan een genuanceerde omgang met het dat recht of verstokte privacy fetisjisten dat nu leuk vinden of niet. Gelukkig dus maar dat tenminste een van de sprekers op het iBestuur symposium ook daar nog eens nadrukkelijk op wees.
