Blog

Wat doe je als de duivel je vertelt dat de hemel bestaat?

Ondanks de GDPR is de digitale weerbaarheid en de aanpak van privacy in Europa nog niet op orde, dat snapt China beter dan wij. Voor een inhaalslag zijn twee dingen nodig: daadkracht en een brede bewustwording. Laten we de AVG de Algemene Verordening Gegevensbescherming, Digitale Veiligheid en Weerbaarheid noemen.

GDPR/AVG is veel meer dan bescherming van onze privacy. Laten we de AVG de Algemene Verordening Gegevensbescherming, Digitale Veiligheid en Weerbaarheid noemen.

In het voorjaar van 2016 trad de GDPR, de Europese gegevensbeschermingswet in werking. Europa zette daarmee een hele belangrijke in de bescherming van de (grond)rechten van haar inwoners en in de bevordering van het digitaal handelsverkeer. Handel en recht gingen hand in hand. Het belang van de wet in is nauwelijks te overschatten. In ruim vijf jaar is de GDPR wereldwijd uitgegroeid tot dé gouden standaard als het gaat om gegevensbescherming. De wet is voor veel landen inspiratie geweest om hun eigen wetgeving op dit gebied vorm te geven. Het meest recente voorbeeld is China. In augustus van dit jaar heeft het Chinese Volkscongres de wet bescherming persoonsgegevens (PIPL), aangenomen. Een wet die meer dan schatplichtig is aan de GDPR.

China komt dus met een wet bescherming persoonsgegevens. Dat zinnetje lijkt eerder het begin van een mop dan serieus nieuws. Vrienden van mij schoten bijna allemaal in de lach als ik hier over sprak. China en privacy is (voorzichtig uitgedrukt) geen gouden combinatie. Er zijn weinig landen waar privacy en de vrijheid van meningsuiting (zeker gericht tegen het overheidsbeleid) zo onder druk staat als in China. En juist daarom is het interessant om te kijken wat er nu in China gebeurt. Waarom komt China met een wet bescherming persoonsgegevens? Heeft China het licht gezien of is er iets anders aan de hand? Wat doe je, als de duivel je verteld dat de hemel bestaat…?

Ik ben gaan zoeken naar wetteksten en achtergronden. Maar ook naar m’n eigen aannames en overtuigingen. Om te snappen wat er nu gebeurt. Om te ontdekken dat China niet de karikatuur is die wij er vaak van maken. Om te ontdekken dat China, als het over gegevensbescherming gaat, een heleboel zaken beter lijkt te begrijpen dan wij in Europa en in Nederland.

De Chinese wet gegevensbescherming (PIPL) is vrij algemeen geformuleerd en bevat veel interpretatieruimte, net als de GDPR overigens. Al te harde conclusies trekken, zonder de wetstoepassing nog te kennen, is daarmee best lastig. Neemt niet weg dat het interessant is om in te zoomen op de wet. Om te beginnen is het duidelijk dat de PIPL geen ‘losse’ wet is. Er wordt in China momenteel gebouwd aan een veel bredere stelsel rond gegevensbescherming, cybersecurity en informatiebeheer. Het is ook geen smalle sectorwet. De PIPL heeft juist een breed werkingsgebied en heeft betrekking op de opslag, het beheer en de verwerking van alle “persoonsgegevens” van Chinese inwoners, door zowel bedrijven als door overheden, binnen en buiten China.

China heeft bij het opstellen van de PIPL weliswaar ruimhartig geknipt en geplakt uit de GDPR, maar lang niet alles is klakkeloos overgenomen. Ook het karakter van de wet is anders. Juist die verschillen zijn interessant om meer te begrijpen van de aanleiding, drijfveren en achtergronden van de wet.

Om te beginnen valt op dat de PIPL, ondanks de vele overeenkomsten, toch een heel ander karakter heeft dan de GDPR. De officiële doelstellingen van de wet zijn gericht op het beschermen van de rechten en belangen van individuen, op het reguleren van gegevensstromen en om de rechtmatigheid en het redelijk(?) gebruik van gegevens te waarborgen. Het karakter van de wet lijkt echter veel meer gericht op de nationale veiligheid, de digitale weerbaarheid van de overheid en de digitale soevereiniteit van China. Meer op het beperken van systemische risico’s en de invloed van grote techbedrijven, dan op de privacy van het individu. De stabiliteit van de samenleving lijkt voorop te staan.

De wet richt zich nadrukkelijk op de digitale kwetsbaarheid en – weerbaarheid. De risico’s rond informatiebeveiliging en gegevensbescherming hebben wereldwijd voor bedrijven en overheden een alarmerend niveau bereikt. Ook in China. De gevolgen van de cyber-incidenten/acties hebben ernstige gevolgen voor het functioneren van bedrijven, instellingen, het vertrouwen in de overheid en de stabiliteit in de samenleving. Deze wet reageert daar nadrukkelijk op. Ook de toenemende invloed van (commerciële) digitale platform wordt in de wet begrensd.

Dit doet de wet onder meer door extra (strenge) regels te stellen aan grote en invloedrijke online platforms. Door onafhankelijk toezichthouders. Door te eisen dat alle overheidsgegevens en gegevens rond vitale infrastructuur in eigen land bewaard moeten worden. Door verantwoordelijke managers en bestuurders hoofdelijk aansprakelijk te stellen voor privacy schendingen. Door inwoners het recht te geven om geautomatiseerde besluitvorming te weigeren. Door kinderen extra te beschermen en door een soort digitaal erfrecht te introduceren.

China lijkt zich goed bewust dat de bescherming persoonsgegevens niet alleen noodzakelijk is voor de bescherming van individuele belangen en grondrechten, maar dat standaarden voor gegevensbescherming ook noodzakelijk zijn voor economische groei, internationale handel, voor sociale – en maatschappelijke stabiliteit en digitale weerbaarheid.

Informatiebeveiliging, cybersecurity en privacybescherming worden in de wet als onlosmakelijk verbonden strategische thema’s gezien. Niet helemaal zelf bedacht, want in de GDPR zijn die thema’s ook op een uiterst slimme manier met elkaar verbonden. Veel slimmer dan je op het eerste oog misschien ziet. Het is duidelijk dat China dat begrepen heeft. Misschien wel beter dan de meeste overheden in Europa.

Ondanks de GDPR kun je niet anders kunt concluderen dat de digitale weerbaarheid en de aanpak van privacy in Europa nog niet op orde is. En dat terwijl deze elementen cruciaal zijn voor een goede en betrouwbaar functionerende informatievoorziening en voor datagestuurd werken. Wij móeten een inhaalslag maken. En dat is geen persoonlijke opvatting, dat is één van de conclusie uit de recent verschenen I-strategie van onze Rijksoverheid.

Voor die inhaalslag zijn twee dingen nodig: daadkracht en een brede bewustwording. Voor die bewustwording is het zaak dat we (net als China) gaan snappen dat de GDPR/AVG veel meer is dan bescherming van onze privacy. Zolang we denken dat wij de GDPR/AVG opzij mogen schuiven als onze intenties goed zijn, dan houden we elkaar voor de gek. Zolang we ons zelf wijsmaken dat iedereen z’n gegevens al lang heeft weggeven aan Facebook en dat het dus niet meer uitmaakt dat de overheid ook meekijkt, zolang blijven we stilstaan en zolang groeit onze (digitale) kwetsbaarheid. Als overheid en als samenleving.

Ik pleit er niet voor om de Chinese wetgeving over te nemen. Daarvoor zitten er te grote ‘gaten’ in de wet. Ik wil wel dat we over ons eigen handelen en onze aannames onder ogen zien. Onze zelfgenoegzaamheid en het misplaatste gevoel van superioriteit als het gaat om gegevensbescherming.

Misschien helpt het als we de AVG geen privacywet meer noemen. Want dat dekt de lading niet. Laten we de AVG de Algemene Verordening Gegevensbescherming, Digitale Veiligheid en Weerbaarheid noemen. Dan snappen we misschien beter wat we weg gooien, de volgende keer als we de regels buigen. Dan snappen we misschien beter dat China wel eens de lachende derde kan zijn. Dat wij de hemel misschien wel ontdekt hebben, maar hem vervolgens ook ontkennen.

Andre Huykman is gemeentesecretaris/algemeen directeur van de gemeente Zoetermeer

  • Hans IJsselstein | 21 september 2021, 14:16

    Het is een mooi artikel over de strategische waarde van data. Ik zou echter 2 zaken willen nuanceren: de rol van China en de betekenis van AVG.
    Meer dan ‘Het Westen’ onderkent China de macht van Big Tech en ziet zij de strategische waarde van data. Het China van Xi is bezig om zich te onttrekken aan de macht van buitenlandse Tech giganten en de controle van de eigen grote bedrijven weer terug te veroveren en onder te brengen bij de Communistische Partij (CP). Het begon met het aan banden leggen van de Chinese taxi app Didi, het onder controle brengen van betaalsystemen zoals WeChat en AliPay, en het strenge eisen stellen of het verbieden van de beursgang bij buitenlandse beurzen. De volgende stap is het strenge eisen stellen aan het verzamelen van data door dit onder te brengen in een door de Partij beheerst instituut. China onderkent de strategische waarde van data, maar begrijpt dat niet alle data even strategisch is. Vandaar dat data onderverdeelt wordt in 5 klassen op basis van strategische betekenis.
    Het lijkt er op dat de werkelijke reden van hun privacy wetgeving bedoeld is om de machtsfactor data onder controle te brengen bij de CP. En zoals je stelt is een belangrijke factor, dat Xi de weerbaarheid wil vergroten en de kwetsbaarheid verminderen
    De AVG is ontwikkeld in een tijd dat lerende algoritmes nog nauwelijks strategische waarde had. Dat komt, zoals je stelt met name tot uitdrukking in de formele doelstelling van de wet, die gericht is op het beschermen van de rechten en belangen van individuen. Daarmee schiet het zijn doel voor bij m.b.t. de strategische waarde van data. Zo staat het doelbindingsprincipe op gespannen voet met het leren van algoritmes. Algoritmes zijn juist des te betrouwbaarder als er veel data ter beschikking staan voor hun leerproces. Een ander spanningsveld heeft betrekking op het principe van minimale gegevensverwerking. Voor de doeltreffendheid van AI is het juist noodzakelijk dat het wordt gevoed met een zo groot mogelijke hoeveelheid aan data. Hierdoor ontstaat er vooral bij kleine bedrijven grote terughoudendheid bij het toepassen van kunstmatige intelligentie.

  • Christian Verhagen | 27 september 2021, 00:00

    Mooie blog en interessant verhaal. We kunnen ongetwijfeld veel leren van de Chinezen en moeten ons als Europa inderdaad niet te veel op de borst slaan. De Chinezen zijn beter in het onderkennen van de waarde van data, en daarmee ook de macht. En die macht kun je beter reguleren lijken de Chinezen te denken. Waarschijnlijk niet zozeer om de burger te beschermen, maar juist de positie van de overheid. Het is de vraag in welke mate de regels ook zullen gelden voor het handelen van de Chinese overheid. Voor de zekerheid koop ik nog maar even geen Chinese telefoon.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren