Bits of Freedom leeft weer en stuurt een brief naar het Ministerie van Justitie met aanbevelingen om de privacy van burgers te waarborgen. Het doel van justitie is geen samenleving zonder misdaad, het is een samenleving zonder misdaad maar mét vrijheid.
Ik had Ot van Dalen al gesproken vlak voor de herstart en ik ben blij dat een goede groep mensen het op zich heeft genomen om te waken over de privacy in Nederland. De verontwaardiging en de bewustwording is in Nederland ver onder de maat.
De brief
De beperkingen in de vrijheid die geschetst worden in de brief:
- Ten eerste zullen burgers hierdoor terughoudender zijn in het vormgeven van hun eigen leven, in de wetenschap dat hun leven wordt vastgelegd en in de gaten wordt gehouden, en uit angst voor chantage, represailles etc.
- Ten tweede leidt dit tot een verstoorde machtsbalans tussen de burger en de beheerders van deze databanken: de beheerders van deze databanken weten vrijwel alles over een burger, maar de burger weet vrijwel niets over de beheerders van deze databanken.
- Ten derde is niet uitgesloten dat de burger verstrikt raakt in een Kafkaësk web van digitale informatie dat over hem of haar beschikbaar is, nu deze informatie deels incorrect is en het vaak moeilijk is om deze informatie te corrigeren.
- Tot slot is niet uitgesloten dat deze infrastructuur misbruikt wordt tegen de burger. Dit zal nu nog incidenteel van aard zijn. Op termijn kan dit structurele vormen aannemen, net zoals het persoonsregister in de Tweede Wereldoorlog is gebruikt voor de Jodenvervolging. Zoals hierboven is aangegeven is het veel moeilijker digitale informatie te vernietigen dan deze te genereren en te verspreiden, dus op het moment dat deze informatie misbruikt gaat worden is het al te laat en kan dit niet meer worden teruggedraaid.
Deze zijn reëel en zullen begrepen worden door de ontvangers van deze brief maar om de gevolgen van privacyinperking bij het grote publiek concreet te maken moeten deze denk ik een stuk invoelbaarder worden verwoord. Zeker als je bedenkt dat de rhetoriek van de tegenpartij gaat over ontploffende winkelcentra en kinderverkrachters.
Daarna komt de aanbeveling: “Veiligheid databanken zou verder moeten worden gewaarborgd”. Daar is niks op af te dingen maar het gaat mee in het paradigma waarin de aanleg van databanken al als voldongen feit wordt aangenomen. In de veiligheid is het bekend dat de enige veilige databank geen databank is. Alle andere vormen van persoonsgegevens zijn in zeker zin radioactief met een hoge besmettingsgraad en halfwaardetijd (Schneier en Doctorow noemen de incidenten in Groot-Brittanië een “privacy Tsjernobyl”). Zodra gegevens zijn opgeslagen kom je er lastig vanaf. Er zwerft altijd nog wel ergens een backup-DVD of een USB-stick rond.
Deze afweging staat als nagedachte aan het einde van dit segment terwijl het misschien wel de inleiding zou moeten zijn:
Voor de goede orde merkt Bits of Freedom op dat zelfs als de veiligheid van een databank met persoonsgegevens gewaarborgd is, dit niet automatisch betekent dat het aanleggen van die databank en het daaruit opvragen van gegevens, ook acceptabel is. Grote terughoudendheid bij de aanleg en bevraging van databanken met persoonsgegevens is op zijn plaats, ook als deze goed beveiligd zijn.
Een tussenweg is om per databank alle gegevens anoniem op te slaan en de benodigde persoonsgegevens apart versleuteld te associëren met de geheime dataset en die koppeling met extreme terughoudendheid en alleen waar nodig te maken. Dat is denk ik ook wat er bedoeld word met “privacy by design”. Maar dan nog zullen lekken blijven optreden en een meldingsplicht en een afschrikwekkende sanctie zijn inderdaad de enige maatregelen die dan helpen. Waarom zouden anders implementeerders niet de goedkoopste en makkelijkste oplossing kiezen?
Verder wordt gepleit voor de introductie van een privacy effect rapportage omdat:
Zoals hierboven is opgemerkt, dient iedere ontwikkeling die inbreuk maakt op de privacy niet op zich beschouwd te worden, maar in plaats daarvan beschouwd te worden als onderdeel van een complex systeem van persoonsgegevens, technologieën en bevoegdheden dat ook in de toekomst nog zal bestaan en zich verder zal ontwikkelen.
Informatiestructuren bouwen op elkaar door en zijn simpel aan elkaar te koppelen. Het privacy effect van nieuwe maatregelen kan dan ook erg ingrijpend zijn. Systeemdenken is dus belangrijker dan ooit (maar dat wisten we al).
De aanbeveling van een “sunset clause”, eigenlijk een houdbaarheidsdatum voor maatregelen, is denk ik essentieel zodat we niet vastzitten op een glijdende schaal naar beneden, maar dat het af en toe ook mogelijk is om dingen terug te draaien zonder dat daar complete rampen voor nodig zijn.
De handhavingsbevoegdheid van het CBP uitbreiden lijkt me ook goed. Het wordt hoog tijd dat onze burgerrechten tanden krijgen.
Interessant ook dat Nederland inderdaad een controlesamenleving kan worden omdat het bedrijfsleven heel efficient iedereen in kaart brengt en dan gedwongen deze gegevens af moet staan aan de overheid als deze erom vraagt, zoals gesignaleerd aan het einde van de brief:
(i) de toenemende hoeveelheid databanken met persoonsgegevens die door de overheid en het bedrijfsleven worden aangelegd, (ii) de toenemende koppeling tussen deze databanken en (iii) de toenemende bevoegdheden van opsporings-, inlichtingen- en veiligheidsdiensten om hieruit gegevens op te vragen, een zeer zorgwekkende ontwikkeling.
Maar kwalijkst is inderdaad de toon die het publieke debat over privacy in Nederland heeft genomen en het ontbreken van een goed weerwoord tegen de handhavingslobby:
De stelling dat een burger die “niets te verbergen heeft, ook niets te vrezen heeft”, heeft een stevige plaats in het debat verworven.
Ik hoop dat BoF ook het voortouw neemt om de negatieve toon waarop het debat nu gevoerd wordt om te buigen. Niet iedereen die iets wil verbergen is een misdadiger (of een piraat). Het heeft ook niet geholpen dat de organisatie de laatste jaren stil lag en dus geen woordvoerder had terwijl er altijd wel een politiewoordvoerder of commissaris te vinden was om de andere kant van het verhaal te belichten.
Goed dus dat ze weer bezig zijn. De enige vraag die openstaat is of de mensen in Nederland niet te bang geslagen zijn door populistische media en politici om te kunnen luisteren naar rationele argumenten.