In de NRC van gisterenavond verzucht Frank Kuitenbrouwer zich over wat er allemaal mis gaat met privacy en privacybescherming. En daarbij gaat hij ook in op het opiniestukje dat ik met Mommers schreef in het Financieele dagblad. Daarin stelden wij onder meer dat privacywetgeving te ambitieus is. Kuitenbrouwer trekt dat stukje een beetje uit zijn verband, dus dat vraagt om een reactie die ik op enig moment (zeg: dit weekend) wel ga schrijven.
Zal erop neerkomen dat ik probeer uit te leggen waarom de Wet bescherming persoonsgegevens (Wbp) volgens mij niet goed werkt, namelijk omdat deze wet bijna alles wil regelen, wat een beetje teveel van het goede is.
Een voorbeeld is de meldplicht (van artikel 27 Wbp): die verlangt dat alle verwerkingen van persoonsgegevens worden gemeld bij de toezichthouder, tenzij de voldoen aan de strenge voorwaarden van het zgn. Vrijstellingsbesluit. Gevolg is dat bijvoorbeeld een heel gewoon videobewakingssysteem moet worden gemeld als de beelden langer dan 24 uur worden bewaakt. Een nogal overspannen verplichting die voorzover ik kan overzien massaal wordt genegeerd.
Een ander voorbeeld is het standpunt (van onder meer de Nederlandse toezichthouder) dat het gebruik van cookies ertoe leidt dat de Nederlandse wet van toepassing is, omdat er daarmee persoonsgegevens worden verwerkt met behulp van geautomatiseerde middelen (nl. uw PC) die zich bevinden in Nederland. Zou betekenen dat websites als die van The Financial Times, die inderdaad vanuit Nederland goed benaderbaar is en die cookies plaatst, aan de Wbp zouden moeten gaan voldoen. Ik vind dat allemaal getuigen van een te grote (want wereldomvattende) ambitie van de privacywet. De wet is daardoor beperkt naleefbaar, beperkt handhaafbaar, moeilijk uitvoerbaar.
Er zijn wel meer voorbeelden, zoals het ‘gevoelige karakter’ van he intranet-smoelenboek of het voortdurend in omvang toenemende begrip van persoonsgegevens. Alles bij elkaar heb ik het gevoel dat de Wbp werkbaar moet worden gemaakt door eens goed te kijken naar wat nou werkelijk bijdraagt aan privacybescherming, en wat uiteindelijk alleen maar bureaucratische flauwekul is.
Als het gaat om de meldplicht: waarom zou de wet er niet vanuit kunnen gaan dat alleen de echt risicovolle verwerkingen worden gemeld, dus wel de grootschalige verwerkingen van gezondheidsgegevens of strafrechtelijke gegevens, maar niet de personeelsadministratie van een multinational of het standaard video-bewakingsysteem. Ofwel: waarom niet een genormeerde meldplicht in plaats van wat nu heet de genormeerde vrijstelling?
Wat ik maar wil zeggen is dat de privacybescherming wellicht meer is gediend bij een werkbare wet met realistische ambities, dan een onwerkbare wet waar maar weinigen aan kunnen of willen voldoen. Ik denk dat een bescheiden ‘reality check’ wel gepast is. In het kader van de evaluatie van de wet zou dat wat mij betreft als eerste moeten gebeuren.