In het kader van de Europese verkiezingen organiseerde Platformdeelnemer Meldpunt Misbruik ID-plicht een debatavond over twee actuele Europese plannen. Het biometrische grenssysteem dat de Europese Commissie van plan is op te zetten, en de nieuwe Gegevensbeschermingsrichtlijn en – verordening. Welke kant gaat het EU-privacybeleid de komende jaren op?
In Cultuur- en Debatcentrum De Pletterij in Haarlem is Raf Jespers te gast, advocaat bij bureau Progress Lawyers en auteur van het boek Big Brother in Europa. Daarnaast zijn twee aspirant-Europarlementariërs uitgenodigd; D66’er Paul Breitbarth, naast Statenlid in Zuid-Holland werkzaam bij het CBP en CDA’er Dirk Gotink. Het vierde panellid en initiatiefnemer van de avond is Johan van Someren van Meldpunt Misbruik ID-plicht. Van Someren is journalist en houdt zich al sinds de invoering van de identificatieplicht in de jaren 90 bezig met het onderwerp biometrische identificatie. Hij schreef onlangs een uitgebreid artikel over slimme grenzen in de kranten van de Wegener Pers. De avond werd gehost door Annemieke Windt, journaliste en HBO-docente journalistiek.
De lange arm van het nieuwe Europese Smart Borders systeem
Fort Europa, de verzamelterm voor de maatregelen die Brussel in de afgelopen twee decennia nam om de stroom van in de eerste instantie illegalen, maar al snel in feite alle reizigers vanuit en naar de EU te controleren, krijgt als het aan de Europese Commissie ligt binnenkort een nieuw wapen tot haar beschikking. Dit in de vorm van ‘Smart Borders’, een biometrisch entry-exit systeem dat een EU-breed overzicht moet geven van wie de EU in- en uitreist. Van alle niet-Europese reizigers worden datum en plaats van binnenkomst, adres van de contactpersoon binnen de EU, en biometrische gegevens, zoals tien vingerafdrukken en een digitale foto opgeslagen. Bij het uitreizen wordt de persoon ‘uitgecheckt’, zodat het systeem kan zien wie al dan niet onrechtmatig in de EU verblijft.
“Het gaat om een surveillancesysteem dat zich zowel binnen als buiten de EU uitstrekt”
Volgens Johan van Someren behelst ‘Smart Borders’ echter meer dan enkel een grenscontrole. “Hoewel de term ‘smart borders’ dat wel suggereert, gaat het hier om een surveillancesysteem dat zich zowel binnen als buiten de EU uitstrekt.” Buiten de EU gaat het over de opslag van miljoenen (biometrische) gegevens in navolging van wat Amerika doet met US-VISIT.
Maar ook binnen de grenzen van de EU strekt het systeem zich uit, door middel van politiediensten die via bestaande bevoegdheden gebruik zullen willen maken van de gegevens in het Visa-systeem. Allereerst is biometrie een prominent wapen in de strijd tegen illegaliteit – de Nederlandse overheid zet op dit moment een register op met foto’s en vingerafdrukken van vreemdelingen, dat voor strafrechtelijke doeleinden kan worden gebruikt. “De politie Rijnmond is tegenwoordig uitgerust met mobiele vingerscanners om op straat de identiteit van mensen te controleren om te kijken of ze illegaal vreemdeling zijn. Om dat allemaal te kunnen checken is een database nodig.” 
Het grenssysteem zal zich binnen de EU vertakken, voorspelt Van Someren. Niet alleen in de zoektocht naar illegalen. Er bestaan reeds verschillende Nederlandse wetten die politie en opsporingsdiensten bevoegdheden geven om Nederlandse burgers te identificeren door middel van het afnemen en/of controleren van vingerafdrukken. Van Someren noemt de Wet Identificatieplicht, de Wet Identiteitsvaststelling Veroordeelden, Verdachten en Getuigen en ook zijn er nog steeds plannen voor een centrale database met foto’s en zelfs vingerafdrukken als deze techniek verbeterd kan worden) zoals geregeld in de Paspoortwet van 2009 die ook voor strafrechtelijke doeleinden kan worden geraadpleegd.
Volgens D66-kandidaat Breitbarth moet het entry-exit systeem zo snel mogelijk van tafel. “De EU geeft 1 miljard euro uit aan een systeem dat volgens de officiële lezing enkel ten doel heeft bij te houden of men langer dan 90 dagen (de geldigheidsduur van een visum) in de EU verblijft. Voor dit grenssysteem moet echter niet alleen naam, adres en paspoortdata worden afgegeven, maar ook tien vingerafdrukken. En dat dient maar één doel, namelijk een opsporingsdatabase. Voor grenscontroles voldoen in principe twee of vier vingerafdrukken, waarmee ik niet zeg dat we dat wel zouden moeten doen.”
In het huidige voorstel staat dat na twee tot drie jaar wordt bepaald vanaf welk moment politie en justitie toegang krijgen tot het visasysteem. De Europese Ministerraad dringt er echter sterk op aan dat de vingerafdrukken al vanaf dag één beschikbaar komen voor strafrechtelijke opsporing, vertelt Breitbarth. “Daarmee is voor mij de aap uit de mouw; er worden eenvoudigweg zoveel mogelijk vingerafdrukken verzameld.”
“De logica luidt: wat technologisch kan, dat doen we maar”
Raf Jespers schreef het boek Big Brother in Europa, over de opkomst van grootschalige overheidsurveillance in de EU. In het scenario dat Van Someren en Breitbarth schetsen, herkent hij de wijze waarop de EU in de afgelopen tien jaar grootschalige surveillance op haar bevolking toepast. “Vingerafdrukken, dat was ‘vroeger’ iets voor criminelen. Daar kwamen zo’n 20 jaar geleden de asielzoekers bij, en nu dus iedereen. De grens tussen schuld en onschuld is overschreden, controlemaatregelen die vroeger voor criminelen waren, zijn veralgemeend.”
Hij legt kort uit hoe dat in Europa zijn beloop heeft gehad. “De digitale technologie biedt de mogelijkheid om permanente controle uit te oefenen, een zeer recent fenomeen dat na 9/11 is omarmd en een stroomversnelling terecht is gekomen. In diezelfde periode is de impact van de Europese Unie op nationale wetgeving flink vergroot; het wetgevingsproces speelt zich verder van de burger af dan voorheen. Hierdoor kon men verregaande maatregelen als het biometrisch paspoort eenvoudiger doorvoeren.”
“De logica daarbij luidt: ‘Wat technologisch kan, dat doen we maar’. Dat is niet de logica van de fundamentele rechten en vrijheden, die de basis moet vormen voor dit soort maatregelen. We mogen ons er ook niet bij neerleggen dat de technologie de bepalende factor wordt in dit beleid. Die moet blijven, het respect voor privacy.” Daarbij haalt hij het recente arrest van het Europese Hof van Justitie aan, dat op 8 april jl. de Europese Dataretentierichtlijn uit 2006 onrechtmatig verklaarde. De Richtlijn verplichtte lidstaten alle telefonische internetcommunicatiegegevens van burgers te bewaren, maar werd door het Duitse Constitutionele Hof in strijd met de Grondwet verklaard, een vonnis dat het Europees Hof bevestigde. “In feite een historisch arrest. Het Hof stelt in de kern dat het massaal gegevens over burgers bewaren niet kan. Het is in strijd met artikel 7 en 8 van het Handvest voor de Grondrechten van de EU.”
De nieuwe Europese Databeschermingsregels, een stap in de goede richting?
De EU werkt op dit moment aan twee grote pakketten met regelgeving, die de regels over hoe men in de EU met persoonsgegevens omgaat, moeten moderniseren. Het gaat om een ingrijpende verandering. De huidige Richtlijn komt uit 1995 en biedt in de digitale jungle van 2014 geen goed hanteerbaar wetskader meer voor persoonsgegevensbescherming. Het was hoog tijd voor een update. Daartoe presenteerde de Eurocommissaris voor Justitie in 2012 twee teksten; een algemene Verordening Gegevensbescherming, en een aparte Richtlijn voor de verwerking van persoonsgegevens door de politiële en justitiële sector.
Juist in dat onderscheid schuilt een gevaar volgens Johan van Someren, die het onderwerp inleidt met een sceptische analyse (PDF). “Wat we de laatste tien jaar gezien hebben is dat wetgeving eerder lijkt voort te komen uit de mogelijkheden van de techniek en risico- en managementdenken in de politiek, dan dat wettelijke beginselen als doelbinding en proportionaliteit bepalend zouden zijn.” De regelgeving is volgens Van Someren doelbewust ambivalent, waarbij de privacybescherming bij gegevensverzameling voor politie en justitie stukken zwakker is.
“Vergelijk het met het vervangen van alle deursloten door één uniform slot”
De Richtlijn voor politie en justitie dreigt massale persoonsgegevensverzameling zoals die de praktijk vormt bij de Dataretentierichtlijn niet in te perken, maar deze juist te faciliteren, aldus Van Someren. “De Richtlijn stelt dat er een Europees geldende minimumstandaard van gegevensbescherming moet komen. Dat stelt me allerminst gerust, omdat dit steevast gepaard gaat met de mededeling dat die standaard nodig is om in een politieel, justitieel kader gegevens effectief te kunnen uitwisselen. Vergelijk het met vervangen van alle sloten door een uniform slot, met het etiket ‘hoogwaardig en privacybeschermend’.”
Ook om de Verordening die de nieuwe regels voor bedrijven en organisaties met persoonsgegevens moeten omgaan, is heel veel te doen. Privacyvoorvechters hekelen de enorme lobby vanuit internetgiganten, die op hun beurt weer vrezen dat de mogelijkheden om de grondstof voor hun core business – te weten onze persoonsgegevens – te verwerken, worden beperkt. Waaruit maar weer eens blijkt hoe groot de rol is die de uitwisseling en verwerking van onze persoonsgegevens in het digitale tijdperk speelt.
Er zijn in oktober 2013 stemmingen geweest in het Europees Parlement. Daarbij is het Parlement akkoord gegaan met de Privacyrichtlijn (voor politie en justitie) die nu verder in nationale wetgeving moet worden geïmplementeerd.
Ook stemde het Europees parlement in eerste instantie in met de Verordening voor bedrijven, maar op de eerste tekst die de Europese Commissie aandroeg, kwam zoveel kritiek en bijbehorende amendementen, dat op dit moment nog steeds niet helemaal duidelijk is hoe de definitieve verordening voor bedrijven eruit gaat zien. Het is wachten op de Europese Commissie, die met een aangepaste tekst moet komen, waarna het Europarlement opnieuw stemt.
Hoe dan ook bevat de huidige Verordening voor bedrijven een aantal progressieve maatregelen die burgers meer zeggenschap over hun gegevens geven. Jespers noemt er drie: “Zo verplicht de verordening bedrijven mensen te informeren als er gegevens over hen worden bewaard. Ook krijgt men de mogelijkheid om alle over hem of haar opgeslagen gegevens bij een bedrijf te laten wissen, het zogenaamde right to be forgotten. Het derde is privacy-by-design; als men een instrument maakt dat persoonsgegevens verwerkt, dan moet privacy het uitgangspunt zijn.”
De twee kandidaten voor het Europarlement gebruiken de gelegenheid om een aantal voor- en tegenargumenten over de nieuwe regels uit te wisselen. CDA-kandidaat Dirk Gotink licht de keus van zijn partij toe: “Voor de Richtlijn voor politie en justitie was een grote meerderheid in het Europarlement voor, bij de Verordening voor bedrijven was dat een kleine meerderheid. Bij de laatste is het CDA tegen; het gaat ons daarbij vooral om profiling en de mogelijkheid van bedrijven om waar nodig onder bepaalde voorwaarden om gebruik te maken van informatie.” Breitarth zet daar het standpunt van D66, dat vóór de Verordening voor bedrijven is, tegenover: “Wij zijn tegen meer ruimte voor overheden en bedrijven om die gegevens te verzamelen.” Volgens Gotink is Internet echter de markt van de toekomst. Hij noemt het een belangrijke weg om Europa uit de crisis te helpen. “We hebben nieuwe groeiplatformen nodig, nieuwe ruimte voor ondernemers om ideeën in de maak te zetten. Daar is nu eenmaal heel veel data voor nodig.” Volgens Breitbarth is dat echter niet mogelijk om dat zonder grootschalige privacy-inbreuken te doen: “Zelfs geanonimiseerde gegevens zijn vanwege de grote hoeveelheid data over personen, herleidbaar tot een individu.”
Het Europees Parlement tijdens de behandeling van het passagiersgegevensverdrag met de VS in april 2012. © European Union 2012 – European Parliament
Een vraag uit het publiek brengt de discussie aan het eind van de avond weer terug op de bevoegdheden van politie en opsporingsdiensten. Kan de EU en het Europees Parlement een vuist maken tegen grootschalige, wereldwijde spionageprogramma’s als PRISM?
Kan de EU wel een vuist maken tegen grootschalige spionageprogramma’s als PRISM?
Van Someren is sceptisch. “Allereerst is er de dominantie van de VS, die ook afzonderlijke lidstaten onder druk zet om persoonsgegevens van burgers uit te wisselen. Daarnaast wordt het wensenlijstje van politie, justitie en veiligheidsdiensten nog teveel bepaald door de massale verzamelwoede, waarbij terrorismebestrijding geen uitzondering vormt, maar de norm is geworden. Wat we zien is dat juist vanuit die grondslag enorme grootschalige spionage-activiteiten zijn uitgerold, zoals PRISM.”
Volgens Raf Jespers zou een onderwerp als PRISM globaal moeten worden aangekaart, maar ontbreekt daarvoor de urgentie. “De VS weigerde een verdrag te sluiten met Duitsland, dat naar aanleiding van het afluisteren van Bondskanselier Merkel heldere afspraken wilde over deze praktijken.”
Een echte discussie over de voors en tegens van de nieuwe regels voor politie en opsporingsdiensten komt deze avond niet van de grond, wellicht omdat de partijen van beide aanwezige Europarlement-kandidaten voor deze Verordening zijn. Wel reageert Breitbarth dat de NSA-schandalen wel degelijk hoog op de Brusselse agenda staan: “Het Europees Parlement is vooralsnog het enige parlement geweest dat daadwerkelijk een onderzoek naar deze schandalen heeft ingesteld, waarvan het rapport met aanbevelingen met bijna algemene stemmen is aangenomen. Daarmee moet het volgende parlement na de verkiezingen aan de slag.”
Ondanks dat beide kandidaten voor het Europarlement stellen dat ze op dit moment niet honderd procent tevreden zijn over de nieuwe regels die eraan komen, zien zowel Breitbarth als Gotink de nieuwe EU-regels als een grote stap vooruit. Gotink: Dit is een historische ontwikkeling. Het is uniek dat er nu een beleid komt dat gegevensbescherming over zoveel landen harmoniseert en een standaard zet. Misschien is het nog niet helemaal goed, maar het is ontzettend belangrijk dat het er komt.”
“Het Europese privacymodel is op dit moment het beste systeem, en dat moeten we uitdragen”
Europa vervult er bovendien een voortrekkersrol mee op het wereldtoneel, stelt Breitbarth. “Niet-EU landen nemen ook ons privacymodel als voorbeeld. In Zuid-Amerika, Zuid-Afrika en mondjesmaat in landen in Azië, neigt men op dit moment ook naar privacywetten gebaseerd op het grondrechtenmodel, de ‘tegenhanger’ van het model in de VS, waar privacy een economisch recht en de rechtsbescherming zwakker. Het Europese systeem is het beste systeem op dit moment om privacy van burgers in dit tijdperk te beschermen, en dat moeten we uitdragen.”
