Over de Wbp-evaluatie schreef ik al eerder. De eerste resultaten zijn inmiddels gepubliceerd. En uiteraard begint het College bescherming persoonsgegevens zich er actief tegenaan te bemoeien. Op de voorpagina en in de zaterdagbijlage van het NRC van een week of wat geleden kreeg Cbp-voorzitter Kohnstamm de ruimte om te pleiten voor meer dwang- en sanctiebevoegdheden voor zijn college. Meer bevoegdheden zouden volgens hem nodig zijn om ervoor te zorgen dat de privacywet beter zou worden nageleefd.
Met mijn Leidse collega Mommers heb ik daarop een korte reactie gegeven die in het Financieel dagblad van afgelopen donderdag stond. Uit het Wbp-evaluatieonderzoek dat wij hebben gedaan blijkt dat het probleem misschien niet zozeer het gevolg is van de beperkte bevoegdheden van het college is, maar veeleer moet worden verklaard doordat de wet voor velen onbegrijpelijk is en daardoor niet goed naleefbaar. En daar kunnen meer bevoegdheden voor het Cbp niets aan veranderen.
Financieel dagblad 31-05-2007
De Wet bescherming persoonsgegevens (Wbp) stelt regels over wat wel en niet mag met persoonsgegevens: gegevens die herleidbaar zijn tot natuurlijke personen, zoals het Burger Service Nummer en telefoonnummers. Deze wet zou dus vragen moeten beantwoorden als: wat mag een opticien doen met de gegevens over uw ogen? Waarvoor kan Albert Heijn de gegevens gebruiken over uw dagelijkse boodschappen? Wat mag KPN doen met de gegevens over uw bel- en e-mailgedrag?
De Wbp bevat vanwege het brede toepassingsbereik veel vage normen. Een voorbeeld: persoonsgegevens mogen worden verwerkt voor zover dat noodzakelijk is ter behartiging van de gerechtvaardigde belangen van degene die verantwoordelijk is voor die verwerking, tenzij de belangen van degene om wie het gaat prevaleren. In het recht zijn vage normen niet ongebruikelijk en bovendien niet ongewenst. Zij maken het voor rechters mogelijk om te beslissen over onvoorziene situaties.
De wetgever wilde in het geval van de Wbp met vage en algemene normen voorzien in een passend wettelijk regime voor de vele sectoren waarin persoonsgegevens worden verwerkt, en de snelle technologische ontwikkelingen die het gebruik van persoonsgegevens beïnvloeden. Met de Wbp in de hand zouden vragen over het gebruik van gegevens over boodschappen en internetgebruik beantwoord moeten kunnen worden.
In werkelijkheid zijn de bepalingen van de wet in zó algemene termen gesteld, dat ze voor een normaal mens onbegrijpelijk zijn. De wetgever meende indertijd dat de vage en algemene normen concreter zouden worden gemaakt via binnen specifieke sectoren op te stellen gedragscodes en via rechterlijke uitspraken. Er is vandaag de dag echter slechts een handvol privacygedragscodes, en de rechter is maar in een beperkt aantal gevallen gevraagd aan te geven hoe de wet in concrete situaties moet worden toegepast.
Daardoor is nu bijvoorbeeld nog steeds onduidelijk wat iemand over een ander mag publiceren op een webpagina en of een smoelenboek op intranet toelaatbaar is. Enkele jaren geleden concludeerde het hoogste rechtscollege van de Europese Unie al dat een belangrijk deel van de privacyregels niet van toepassing is op internet, omdat de wetgever indertijd bepaalde ontwikkelingen niet had voorzien. Dat geeft stof tot nadenken over de vraag of de Wbp onze privacy tegen de uitwassen van de controlemaatschappij beschermt.
In de praktijk blijken nieuwe strafwetgeving en het gedrag van burgers de goede bedoelingen van destijds te ondergraven. Zo verandert de Wbp niets aan het feit dat gegevens over internet- en telefonieverkeer moeten worden vastgelegd, en dat vrijwel elke sollicitant voor z’n eerste gesprek wordt ‘gegoogeld’. Wij concluderen hieruit dat de ambities van de wetgever met de Wbp te groot zijn geweest. De effectiviteit van de wet is daardoor beperkt, en handhaving vaak onmogelijk.
Zwaardere sancties op overtreding van onbegrijpelijke regels zijn vanzelfsprekend geen oplossing. Andere regels opstellen kan niet zomaar, omdat de Wbp gebaseerd is op een dwingende Europese richtlijn. Desondanks is het hoog tijd voor de formulering van duidelijker en specifieker regels op het gebied van persoonsgegevens. Zonder begrijpelijke wetgeving kan het grondrecht op bescherming van onze persoonlijke leefomgeving niet beschermd worden.
Dr Laurens Mommers en dr Gerrit-Jan Zwenne zijn verbonden aan eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij. Zwenne is daarnaast partner bij Bird & Bird Advocaten en behandelt regelmatig privacyzaken. Mommers is werkzaam bij Legal Intelligence. Beiden werkten mee aan de eerste fase van de evaluatie van de Wbp, in opdracht van het WODC van het ministerie van Justitie, die op 15 mei naar de Tweede Kamer is gezonden
Bescherming privacy vereist meer sancties
Dimitri Tokmetzis NRC 15-05-2007 (voorpagina)
Het College Bescherming Persoonsgegevens (CBP) heeft als toezichthouder op de naleving van de privacywet zwaardere sanctiemiddelen nodig om zijn wettelijk taak uit te voeren. CBP-voorzitter Jacob Kohnstamm vindt dat de huidige Wet bescherming persoonsgegevens niet meer goed is te handhaven.
Volgens hem raakt de privacy van de burgers door de snelle technologische ontwikkelingen en het wegvallen van juridische waarborgen in de knel. De zes jaar oude wet gaat ervan uit dat overheid en bedrijven niet méér data verzamelen dan nodig voor hun taakuitoefening. Door internet, koppeling van overheidsbestanden, vervoerssystemen als rekeningrijden en OV-chipkaart, biometrisch paspoort en cameratoezicht komt echter veel meer informatie vrij over burgers dan bij invoering van de wet is voorzien.
Deze informatiestromen beperken is onmogelijk werk, aldus Kohnstamm. Volgens hem moet strenger worden toegezien hoe overheid en bedrijven ermee omgaan. Hiervoor hoeft, aldus Kohnstamm, de wet niet direct te worden afgeschaft. Hij wil liever dat het CBP meer sanctiemogelijkheden krijgt. Nu kan het een boete van zon 6000 euro opleggen of een dwangsom die activiteiten van een bedrijf of overheidsdienst stillegt. Kohnstamm wil instrumenten waarmee hij sturend kan optreden. Dat betekent ten minste hogere boetes. Volgens Kohnstamm is Nederland hard op weg een controlestaat te worden. De tijd is rijp voor een fundamentele discussie over de snel voortschrijdende technologie en privacy.
De burger lijkt zich minder zorgen te maken over inbreuken op de persoonlijke levenssfeer. Uit recent onderzoek van het Comité 4 en 5 mei blijkt dat een ruime meerderheid van de bevolking graag privacy opoffert als Nederland daardoor veiliger wordt.