Gastblog Cees Zwinkels | ICT-Recht en de rechtsstaat: Het recht op privacybescherming

door Cees Zwinkels, ICT-jurist

Privacybescherming beschouwen wij als een recht, wat we te allen tijde moeten kunnen opeisen en uitoefenen. Denk hierbij bijvoorbeeld aan de betekenis van artikel 8 EVRM. De lijst van jurisprudentie vanuit Luxemburg is inmiddels lang.

De vraag in deze blog is of wij privacybescherming in onze rechtsstaat in elke situatie kunnen en moeten opeisen. Privacybescherming wordt hier uitgelegd als het recht op zeggenschap over de eigen persoonsgegevens.

ICT-grootmachten

Als het gaat om de privacybescherming bij het gebruik van internet zien we de volgende ontwikkelingen. Ik schets deze staccato. Er zijn inmiddels vele publicaties verschenen. Dit is het beeld.

Er is op onze planeet een technologische ‘kolonisatie’ ontstaan. Vijf grootmachten beheersen direct en indirect minimaal 60% van de data op het wereldwijde internet. Het gaat hierbij niet alleen om Facebook (sociale platforms; inclusief Whatsapp en Instagram) en Google (algoritmen), maar ook om Microsoft (Officetools) en Apple (consumentenverkoop).

Uitgaande van de brede opvatting van de gebruikers dat op internet alle diensten zo veel mogelijk gratis moeten worden aangeboden kiezen de grootmachten ieder en gezamenlijk voor een verdienmodel, gebaseerd op verkoop van data van de internetgebruikers. Het huidige verdienmodel is bedoeld voor het genereren van zo veel mogelijk data over de gebruikers van internet. De aanstormende algoritmen in combinatie met de verzamelde data zijn de basis voor het bouwen van heel veel detailprofielen, die ook verkocht worden.

De afnemers van de data en de profielen zijn al lang niet meer slechts commerciële bedrijven, maar ook overheden, de gezondheidszorg en de sociale zekerheidssector.

Empires

Hieronder versta ik de grootmachten, die over hun landsgrenzen heen hun macht uitbreiden ten behoeve van hun heerschappij in de wereld. De bekende voorbeelden zijn de USA, Rusland en China. Internetverkeer wordt voortdurend onderschept om inzicht te krijgen in criminaliteit en terrorisme. En de empires met regimes (China en Rusland) kiezen openlijk voor het afluisteren en het beluisteren van burgers en bedrijven om hun gehoorzaamheid af te dwingen. In navolging van de empires doen ook de natiestaten, zoals Turkije en Iran, hun best om de burgers in het gareel te houden ten behoeve van hun regimes.

ICT-Recht en de rechtsstaat: De AVG

Juristen kunnen de ontwikkelingen hierboven niet of nauwelijks omkeren. Sterker nog, naar mijn mening, zijn de gedragingen van de ICT-multinationals en de empires een gegeven.

Ook is een gegeven dat er geen wereldwijd internetrecht bestaat en er voorlopig ook niet zal komen. Wat is er dan nog wel mogelijk? Juristen in de EU hebben vanaf 2016 een belangrijke kapstok gekregen om de discussie te kunnen voeren met de ICT-grootmachten en de empires. En dat is de AVG (Algemene Verordening Gegevensbescherming). Er wordt in Nederland veel aandacht, tijd en geld besteed aan het praten over de complexiteit van de AVG. Dat bestrijd ik naar aanleiding van alle praktijkvragen, die ik wekelijks behandel. Laat ik de essentie van de AVG samenvatten in een paar kernregels. Als een organisatie (een bedrijf of overheid) persoonsgegevens van iemand verwerkt, zal zij moeten aantonen dat zij daarvoor een juridische rechtmatigheidsgrond heeft. De twee belangrijkste gronden zijn het uitoefenen van een wettelijke taak of over toestemming beschikken van de natuurlijke personen, wiens persoonsgegevens worden verwerkt. De weg van toestemming verkrijgen is regelmatig complex. Wil iedereen wel toestemming geven? Het antwoord is regelmatig nee. Het inrichten van toestemming is lastig. De toestemming moet specifiek zijn. Anders gezegd, de doeleinden waarvoor toestemming wordt gevraagd, moeten SMART geformuleerd zijn. Tevens geldt dat toestemming tussentijd weer in getrokken kan worden.

De derde grondslag, die van de afweging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke versus het recht op privacy van betrokkenen, kan betekenis hebben in de situatie van de reguliere bedrijfsvoering. Denk bijvoorbeeld aan het inrichten van allerlei sensoren in gebouwen en daarbuiten om gegevens te verwerken. Een bekend voorbeeld zijn de camera’s.

De tweede kernregel binnen de AVG is het gaan waarborgen van de informatiebeveiliging om de te verwerken gegevens te beschermen tegen hacking en andere ongewenste incidenten. In bijvoorbeeld Richtlijn 2016/680 (de evenknie van de AVG en voor het verwerken van de strafrechtelijke persoonsgegevens) is opgenomen dat logging van verwerking van gegevens verplicht is om achteraf vragen over rechtmatigheid te kunnen beantwoorden.

Ik hecht minder waarde aan het basispakket van rechten van betrokkenen in de AVG. Het recht op gegevenswissing (het verbieden van links) met inmiddels veel jurisprudentie blijft voor mij een theoretisch gebeuren, omdat de ICT-bedrijven en de empires gewoon doorgaan met de betreffende gegevens elders een plaats te geven op internet.

Er zijn slechts twee rechten van betekenis voor hen, wiens persoonsgegevens tegen hun zin worden verwerkt. Op de eerste plaats komt het individuele recht op inzage in de door derden verwerkte persoonsgegevens. Daarnaast – en niet minder belangrijk – moet de derde mededelen – middels transparante communicatie - aan betrokkenen vooraf dat hun persoonsgegevens verwerkt worden.

De effectuering van de rechten van betrokkenen is naar mijn mening niet de werking van de AVG. Los van de stevig op te leggen boetes op grond van de EU-verordening zijn de strafrechtelijke instrumenten elders opgenomen en de laatste jaren stevig uitgebreid. In Nederland staan dan centraal het Wetboek van Strafvordering en het Wetboek van Strafrecht. Een voorbeeld zijn de extra instrumenten, die de politie, het OM en de rechters beschikbaar hebben gekregen om computercriminaliteit te bestrijden. Er zullen naar verwachting veel meer strafrechtelijke zaken gevoerd gaan worden. En dat is ook de enige angst die bestuurders van de ICT-grootmachten en binnen de empires hebben. Boetes van miljarden euro’s of dollars worden immers veelal binnen uiterlijk 6 maanden terugverdiend! Bestuurders staan echter niet graag voor de rechter. Laat staan dat ze in de gevangenis willen belanden.

En het in Nederland en in de EU straffen van en soms zelfs oppakken van de representanten van de empires wint ook aan betekenis in geval van bekentenissen. Dat vinden de machthebbers elders niet leuk.

Kortom, we kunnen in de situatie van schending van de privacybescherming de AVG gebruiken als toetsingskader om het geconstateerde onrecht ten gevolge van het handelen van ICT-bedrijven en de empires te analyseren. De bokshandschoen is echter het strafrechtelijk optreden tegen de bestuurders van bedrijven en (semi) overheden, ook in Nederland, en tegen de machthebbers van de regimes elders.