Verslag EU Privacy bijeenkomst 2 van de Werkgroep Privacy

In navolging op onze informatieavond Algemene Verordening Gegevensbescherming vond op donderdag 20 oktober de tweede EU privacybijeenkomst van de werkgroep privacy plaats.

Leden van de werkgroep privacy hadden stellingen bedacht rondom een aantal belangrijke privacythema’s die deze avond centraal stond.

- De Algemene Verordening Gegevensbescherming
- De opslag van medische gegevens in de cloud
- De hack-bevoegdheid door de politie in de Wet computercriminaliteit III

Een panel van deskundigen reageerden vanuit hun expertise en ervaring op deze stellingen. Daarnaast was er gelegenheid voor het publiek om te reageren en vragen te stellen aan het panel.

​Voorstelronde 
In het panel zaten:

  • Romeo Kadir, algemeen directeur Stichting Privacy Nederland, een erkende ANBI, en directeur van het Nederlands Privacy Compliance Instituut (NPCI), welke zich tot doel stellen om de privacy en dataprotectie in Nederland te bevorderen.
  • Jochem de Groot, Government Affairs Manager voor Microsoft in de Beneluxlanden.
  • Nico van Eijk, hoogleraar Informatierecht, Media- en Telecommunicatierecht aan de Faculteit der Rechtsgeleerdheid van de universiteit van Amsterdam.

Samenvatting van het verslag

De Algemene Verordening Gegevensbescherming (hierna: AVG)
De voorzitter van de Landelijke Werkgroep privacy start de paneldiscussie met de opmerking dat de AVG niet door iedereen positief ontvangen is. Het is de zwaarst belobbyde Europese wetgeving ooit met 4000 – 1 amendementen.

Stelling I:
Hoe kijken de panelleden aan tegen de AVG?
Het panel is verdeeld over de AVG: 
Romeo Kadir is positief over de AVG. De AVG helpt de bewustwording bij bedrijven te vergroten dat ‘personal life’ gerespecteerd moet worden. Zo is in de AVG een verhoogd klachtrecht opgenomen.  
De panelleden zijn ook krtisch over de AVG. Jochem de Groot: vraagt zich af of nieuwe wetgeving, zoals de AVG op langer termijn wel houdbaar is omdat de technologische ontwikkelingen erg snel gaan. Ook voorziet Jochem problemen bij de implementatie van de AVG. De verordening geeft lidstaten ruimte voor een eigen lokale uitleg. Er ontstaan daardoor onderling veel verschillen tussen de uitleg en toepassing van privacyregels tussen de lidstaten.
Nico van Eijk vindt de AVG weinig geslaagd. Het document mist flexibiliteit, het heeft een te groot aantal bepalingen terwijl het belangrijke thema’s zoals daadwerkelijke handhaving laat liggen. Daarnaast wordt het onderwerp privacy in de verordening ‘gecommercialiseerd’. Er worden zaken in de verordening geregeld waar ook al algemene regels voor zijn, zoals consumentenrecht, arbeidsrecht en marktregels
De vraag zou moeten zijn wat willen we precies met deze wetgeving bereiken? Wat is het doel van de privacyregels en hoe handhaven we ze? Een alternatief voor de AVG is een normatief regelgevend kader met slechts een paar bepalingen.

In het Amerikaanse systeem worden privacyzaken tussen consumenten en bedrijven die producten en diensten aanbieden gehandhaafd door de Federal Trade Commisson (FTC) Het ligt ook voor de hand om fricties ten aanzien van privacy binnen markt/consument kaders aan de orde te stellen. Vraagstukken met betrekking tot online-privacy worden daar aangepakt via misleidende of oneerlijke handelspraktijken. Wanneer zou worden gekozen de Amerikaanse traditie als voorbeeld te nemen, zou er mogelijk effectiever gehandhaafd kunnen worden, sneller sancties opgelegd kunnen worden en meer focus op preventie en gedragsverandering bij bedrijven.

Stelling II: 
Een lid van de werkgroep leidt de volgende stelling in door het bespreken van zijn ervaring als hoofd ICT –er van een zorginstelling die bij gevoelige jeugddossiers betrokken is.
De stelling is wanneer het om gevoelige data gaat de overheid een infrastructuur moet garanderen die aan bepaalde normen moet voldoen, zoals privacy by design. Daarnaast zou de overheid actiever moeten helpen om deze infrastructuur uit te leggen. De sprekers reageren op deze stelling vanuit een hun eigen invalshoek.

Volgens Jochem de Groot is een heldere rubricering van alle data van belang en een duidelijk beleid daarover. Het is noodzakelijk om een gelaagde structuur in te bouwen en niet alle informatie als vertrouwelijk te rubriceren.
Nico van Eijk ondersteunt de stelling in het geval er zeer gevoelige informatie wordt verwerkt, zoals bij de jeugdzorg. Er is dan meer noodzaak om met een veilige infrastructuur te werken. Op decentraal niveau kan de kennis die nodig is voor een goede beveiliging niet verondersteld worden.
Romeo Kadir benadrukt dat de focus bij privacyproblemen erg ligt op de systemen, maar dat net zo belangrijk is, de toename van privacy-bewustwording bij mensen zelf. Op dit moment is de mens een faalfactor als het gaat om privacy. Systemen zijn in beginsel waardenloos, de mens is noodzakelijke voorwaarde voor waardenbewaking en waardenbescherming.

Stelling III
Het volgende lid van de werkgroep stipt verschillende onderdelen van de Wet Computercriminaliteit III aan. 1. Het binnendringen van geautomatiseerde werken, 2. diefstal van data  en 3. De hackbevoegdheid van de politie. Vanwege de dreiging van terrorisme is de vraag hoe houden we Nederland veilig? Zijn deze instrumenten daarvoor echt noodzakelijk?

Zowel Nico van Eijk en Jochem de Groot zijn zeer kritisch over de ‘extraterritoriale hackbevoegdheid’ in de Wet Computercriminaliteit III. Deze bevoegdheid maakt het mogelijk dat Nederland heimelijk kan binnendringen in een geautomatiseerd werk dat zich in het buitenland bevindt. Er wordt een opsporingsbevoegdheid toegepast op het territorium van een andere staat zonder diens hulp en medeweten. Dit staat op gespannen voet met het soevereiniteitsbeginsel. Ook zijn de panelleden kritisch over de wijze waarop het ‘toezicht is geregeld en het gebrek aan waarborgen en checks and balances’ in deze wet. De panelleden  onderbouwen dit met een aantal voorbeelden:

  • De Centrale Toetsingscommissie zal toezien op de naleving van deze wet. Deze commissie bestaat echter uit politie en OM en voldoet daarom niet aan de scheiding der machten.
  • De hackbevoegdheid van de politie is zeer ruim omschreven, namelijk alle geautomatiseerde werken en voor misdrijven waarvoor voorlopige hechtenis mogelijk is. 
  • Daarnaast is het de vraag of de ernst en het ingezette middel wel in verhouding zijn met elkaar. Denk aan de uitspraak over de dataretentierichtlijn. Het accent daarin ligt op de proportionaliteit van de bewaarplicht. Het massaal verzamelen zelf wordt niet direct afgewezen maar er worden strenge eisen gesteld aan de onderbouwing van de noodzaak en effectiviteit van ‘mass surveillance’.
  • Bij de bevoegdheid van de politie om malware te instaleren ontbreken eveneens duidelijke waarborgen, toezicht en checks en balances.

Toekomst
Tot slot wordt aan de panelleden gevraagd hoe zij de toekomst rondom privacy zien. Geen van de panelleden is negatief door het optimisme rondom voortschrijdend inzicht over privacy bij burger, ondernemingen en overheid.