nieuws

Nederland had niet akkoord mogen gaan met nieuwe privacyregels EU

Minister Van der Steur op een bijeenkomst van de Europese JBZ-raad in januari (CC) Rijksoverheid

De Europese regels over het doorleveren en koppelen van persoonsgegevens door overheden zijn op initiatief van Nederland afgezwakt, ten koste van het fundamentele recht op privacy. Dat is een onacceptabele aantasting van de vrijheid van Europese burgers en bovendien in strijd met een motie van de Tweede Kamer. Dat schrijft het Platform Bescherming Burgerrechten aan het parlement.

Vorige maand ging het Europees Parlement na jaren onderhandelen akkoord met de nieuwe Algemene Verordening Gegevensbescherming (AVG). Een grote stap voorwaarts, zo meldden meerdere nieuwsmedia. Er komt eindelijk een einde aan de versnipperde Europese privacywetgeving en met de nieuwe regels zet Europa de standaard voor privacybescherming wereldwijd in de komende decennia.

Stokpaardjes daarbij zijn het roemruchte “right to be forgotten”, dat burgers het recht geeft om zoekresultaten over hun persoon onder bepaalde voorwaarden te laten verwijderen. Ook moeten bedrijven privacyfunctionarissen in dienst nemen, die toezicht houden op een rechtmatig gebruik van persoonsgegevens. Bedrijven, overheden en organisaties die persoonsgegevens verwerken, moeten bij privacywanbeleid fiksere boetes gaan betalen door de meldplicht datalekken.

Onderbelicht bleef echter een andere belangrijke wijziging van de regels, die het mogelijk maakt voor overheden om haast onbeperkt persoonsgegevens van hun burgers te koppelen. Het gaat om een recente aanpassing en is een resultaat van inspanningen door het Nederlandse kabinet in Brussel.

Opmerkelijke Nederlandse inbreng in EU-regels

Privacy Barometer schreef in januari dit jaar voor het eerst over de opmerkelijke Nederlandse inbreng op de Verordening. Minister van der Steur van Justitie meldde begin dit jaar aan de Tweede Kamer dat door Nederlandse voorstellen in de Raad van Ministers er in de Verordening verschillende mogelijkheden bij waren gekomen om persoonsgegevens van burgers verder te gebruiken voor andere doelen dan waarvoor ze oorspronkelijk zijn verzameld. Hoe? Door er een wet voor te maken.

Brief minister Van der Steur aan Eerste Kamer, 8e alinea

De exacte woorden van Justitie-minister Van der Steur luidden dat er is voorzien “in de mogelijkheid voor de publieke sector om gegevens verder te verwerken voor een ander gespecificeerd doel dan waarvoor ze oorspronkelijk zijn verzameld indien dit bij wet wordt geregeld”. Tijdens het laatste Algemene Overleg Privacy in de Tweede Kamer op 18 mei jl. bevestigde minister Van der Steur dit nogmaals in antwoord op Kamervragen van D66.

Exit doelbinding

Wat betekent dit? Met de door Nederland ingestoken uitbreidingen wordt het voor overheden zeer eenvoudig gemaakt om het zogeheten doelbindingsbeginsel opzij te schuiven. Doelbinding houdt in dat de overheid privé-gegevens van haar burgers slechts mag verzamelen en gebruiken voor een helder omschreven doel, en deze informatie vervolgens niet verder mag koppelen en gebruiken voor doeleinden die niets met het oorspronkelijke doel te maken hebben. Alleen op die manier krijg je als burger transparantie over wat er met de persoonsgegevens gebeurt die je aan de overheid geeft.

Hiermee wordt een waarborg aangetast die burgers beschermt tegen willekeurige inmenging in hun privéleven. Tijmen Wisman, voorzitter van het Platform Bescherming Burgerrechten licht toe: “De schotten die er tussen verschillende overheidsorganen en instituties bestaan, zijn onmisbaar in een democratische rechtstaat en zouden nooit ondergeschikt mogen zijn aan de macht van de wetgever. Het loslaten van het doelbindingsbeginsel opent de deur naar onbeperkte profilering van burgers.”

Wisman vervolgt: “Doelbinding is de basis van het gegevensbeschermingsrecht. Als je toestaat dat dit kan worden uitgesloten bij het verder verwerken van gegevens, dan verdwijnt de basis waarop je in de eerste plaats die gegevens hebt verzameld. Gegevensbeschermingswetgeving wordt soms vergeleken met milieuwetgeving. Waar milieuwetgeving de negatieve effecten van milieubelastende activiteiten beoogt te reguleren, beoogt gegevensbescherming dat te doen in het kader van verwerkingen van persoonsgegevens. Beide rechtsgebieden stellen hier normen voor. Het benieuwt mij hoe milieurechtjuristen zouden reageren op wetgeving waarin normen worden vastgelegd en waar in één van de regels wordt vastgelegd dat de wetgever het vrij staat om van deze regels naar eigen goeddunken af te wijken.”

Onbeperkt persoonsgegevens koppelen in het algemeen belang

Dit is een grote breuk met de vorige Europese Richtlijn uit 1995. Het gebruiken van persoonsgegevens voor andere doelen dan waarvoor ze oorspronkelijk zijn verzameld, was onder de oude Europese regels ook mogelijk, waardoor bijvoorbeeld de verregaande bevoegdheden van de Belastingdienst worden gelegitimeerd.

De redenen waarvoor dat mag, zijn met de nieuwe regels echter uitgebreid. In de oude regels uit 1995 staat een beperkt aantal doelen opgesomd waarvoor de staat middels wetgeving doelbinding mag loslaten: staatsveiligheid, landsverdediging, openbare veiligheid, het vervolgen van strafbare feiten en ten slotte belangrijke economische of financiële belangen van het land. In de nieuwe regels zijn daar twee extra doelen aan toegevoegd, namelijk “volksgezondheid” en “sociale zekerheid”, waarmee er in feite weinig maatschappelijke domeinen overblijven waar de overheid niet naar hartelust persoonsgegevens mag koppelen.

Maar de meest drastische wijzinging volgt pas daarna: in de nieuwe regels zijn deze doelen niet langer beperkt. Na het bovenstaande rijtje doelen is een lid toegevoegd waarin wordt gesteld dat doelbinding ook mag worden losgelaten voor “andere belangrijke doelstellingen van algemeen belang”. In tegenstelling tot de vorige regelgeving, is er niet langer sprake van een afbakening. Wisman: “Deze vage notie van ‘algemeen belang’ is een open formulering die afwijking van de huidige regels mogelijk maakt voor alles dat onder het onbepaalde ‘algemene belang’ kan worden geschaard.”

Kortom, de overheid kan bij het inzetten van haar informatiemacht voor nagenoeg ieder doel het doelbindingsbeginsel buitenspel zetten, door er een wet over aan te nemen. Onverenigbaar en daardoor onrechtmatig gebruik van persoonsgegevens lijkt met de nieuwe Verordening simpelweg te kunnen worden ‘gerepareerd’ door wetgeving, waardoor alle persoonsgegevens in het publieke domein met elkaar gekoppeld kunnen worden.

In strijd met de wens van de Tweede Kamer

Niet alleen zorgt deze uitbreiding van bevoegdheden voor een uitholling van het recht op privacy, ook druisen de door Nederland ingebrachte wijzigingen in tegen moties (Elissen; nr.38 en nr.19) die haar eigen parlement in 2012 aannam over de inbreng van Nederland in het opstellen van nieuwe Europese Gegevensbeschermingsregels. Een meerderheid van de Tweede Kamer eiste dat de nieuwe Europese privacyregels niet onder het huidige beschermingsniveau mochten komen. Ze formuleerde daarvoor twee concrete eisen: het verder koppelen van eenmaal verzamelde persoonsgegevens, mocht uitsluitend op basis van:

verenigbaarheid: de gegevens die worden verzameld, mogen alleen verder worden verwerkt voor doelen die redelijkerwijs samenhangen met het oorspronkelijke doel waarvoor ze zijn verzameld

en daarbij:

een wettelijke grondslag: er moet een wet worden aangenomen die de overheid de bevoegdheid geeft deze gegevens te verwerken voor het specifieke doel.

In de nieuwe Europese regels, aangepast op initiatief van Nederland, is de mogelijkheid gecreëerd om de eis van verenigbaarheid te laten vervallen. Het gebruiken van gegevens voor andere doelen dan waarvoor ze zijn verzameld is volgens de regels toegestaan, als de overheid er maar een wet over aanneemt.

Patstelling met EVRM

Bovengenoemde onderdelen van de nieuwe AVG staan op gespannen voet met wat het Europees Verdrag voor de Rechten van de Mens (EVRM) eist aan inbreuken op het recht op privacy. Wisman: “Dit kan leiden tot patstellingen tussen de nieuwe Verordening en het recht op eerbiediging van het privé-leven, zoals vastgelegd in artikel 8 van het EVRM. Gegevensverwerkingen kunnen namelijk wel in overeenstemming zijn met de gegevensbeschermingswetgeving van de EU, maar desondanks toch in strijd zijn met het EVRM – dat daar strengere eisen aan stelt.”

“Het Europees Hof van Justitie heeft eerder in een vonnis[1] bepaald dat overheden op basis van de regels uit de Gegevensbeschermingsverordening geen inbreuk op artikel 8 van het EVRM kunnen legitimeren. De implicatie van dat vonnis was dat wanneer een patstelling tussen de nieuwe Verordening en het EVRM zich voordoet, het EVRM prevaleert.”

Toepassingen

Waarom wil Nederland deze uitbreiding van informatiemacht? Wellicht omdat in ons land al een tijd dergelijke bestandskoppelingen plaatsvinden, op twijfelachtige wettelijke basis. Privacy Barometer noemde in haar stuk een toepassing van zo’n brede koppeling van persoonsgegevens: de sociale wijkteams van gemeenten, die sinds steeds meer zorg-, welzijn- en sociale taken werden gedecentraliseerd vanuit het Rijk, over de gehele doopceel van hulpbehoevende gezinnen beschikken en daardoor een enorme informatiemacht opbouwen. Er wordt dankbaar gebruik gemaakt van die data: meerdere gemeenten zetten op dit moment al profileringssoftware in om zaken als jeugdcriminaliteit en huiselijk geweld te voorspellen.

Er is tot op heden geen wettelijke basis voor het koppelen van al deze gegevens over onder meer werk, inkomen, schulden, bijstand, welzijn, gezinsproblematiek, jeugdzorg en -psychiatrie in één dossier. Critici, waaronder ook de Autoriteit Persoonsgegevens, vragen zich al sinds de plannen voor de decentralisatie bekend werden af hoe deze praktijk kan voldoen aan de eisen die gelden voor het delen van (medische) persoonsgegevens. De nieuwe Europese Verordening met haar uitzonderingsgronden op het vlak van sociale zekerheid en volksgezondheid lijkt daar de juridische grondslag voor te creëren.

Ook het risicoprofileringssysteem SyRI, dat groepen burgers screent op sociale zekerheidsfraude door persoonsgegevens uit verschillende domeinen te koppelen en te analyseren, werkt op dit moment nog op basis van een ingewikkelde juridische constructie, zodat er voor de wet geen persoonsgegevens worden verwerkt. Dit geldt ook voor het DIS, de grootste medische databank van Nederland. Met de wijzigingen in de Europese regels zijn zulke datakoppelingen een stuk eenvoudiger te realiseren – of beter gezegd te legaliseren, door er een wet over aan te nemen.

Had Nederland hiermee mogen instemmen?

Volgens Wisman heeft de Nederlandse regering door in plaats van de moties van de Tweede Kamer te honoreren en de huidige rechtsbeschermingsstandaard in ere te houden, de koppelingsbevoegdheden van overheden juist uitgebreid en daarmee zowel de wens van haar eigen parlement genegeerd als de privacybescherming van burgers in de EU deels uitgehold.

“De restricties die vanuit het gegevensbeschermingsrecht worden opgelegd aan het gebruik van persoonsgegevens zijn onontbeerlijk om de uitvoerende macht te begrenzen. Wanneer de overheid door middel van wetgeving de eisen van doelbinding en verenigbaarheid opzij kan schuiven, kan ze in feite een welhaast onbeperkte informatiemacht realiseren.”

De Nederlandse inbreng staat volgens het Platform Bescherming Burgerrechten haaks op de moties die de Tweede Kamer aannam over het privacybeschermingsniveau dat de nieuwe EU-regels moesten bieden. Deze twee moties zijn door het kabinet genegeerd bij de onderhandelingen in Brussel. Nog belangrijker, de wijzigingen die door Nederland zijn ingevoerd, druisen in tegen kernbeginselen van de democratische rechtstaat en werken ontwrichtend voor de machtsbalans tussen een overheid en haar burgers.

Download hier de brief die het Platform Bescherming Burgerrechten aan de leden van de Eerste Kamer stuurde. Tevens is de brief door Platformdeelnemer Privacy First ingebracht voor het Algemeen Overleg Privacy dat de Tweede Kamer op 18 mei jl. hield.

 

 

 

[1] Europees Hof van Justitie, Österreichischer Rundfunk and Others, C-465/00, C-138/01 en C-139/01, 20 mei 2003.