Overheden krijgen onder de nieuwe Europese privacyregels fors verruimde mogelijkheden om persoonsgegevens van burgers te gebruiken voor andere doelen dan waarvoor ze zijn verzameld. Dit is in strijd met internationale verdragen en met moties die de Tweede Kamer aannam om het huidige niveau van rechtsbescherming te behouden.
Het Platform Bescherming Burgerrechten wees de Tweede en Eerste Kamer in 2016 en onlangs de Eerste Kamer nogmaals op de aantasting van de rechtsbescherming in de nieuwe Algemene Verordening Gegevensbescherming. De Uitvoeringswet AVG, die de nieuwe Europese regels implementeert in de Nederlandse wet, staat als hamerstuk geagendeerd in de Eerste Kamer en zal bij aanname de Wet Bescherming Persoonsgegevens vervangen als belangrijkste privacywet in ons land.
Het nieuwe pakket privacyregels uit Brussel biedt overheden aanzienlijk meer bevoegdheden om persoonsgegevens van burgers onverenigbaar te verwerken. Hierbij worden persoonsgegevens die voor één doel zijn verzameld, zonder toestemming van de persoon in kwestie voor een ander doel gebruikt.
Big Data toepassingen zoals profilering, waarbij persoonsgegevens uit verschillende bronnen worden samengevoegd, zijn op dit moment nog vaak in strijd met privacywetgeving vanwege het verbod op onverenigbare verwerkingen. Dit wordt door aanjagers als een doorn in het oog ervaren, zo blijkt onder meer uit een overheidsrapport uit 2014. Hierin wordt gezinspeeld op het versoepelen van Europese regels, zodat de Nederlandse overheid geen wettelijke beperkingen meer heeft bij het samenvoegen van persoonsgegevens uit een breed scala aan publieke en private bronnen.
De versoepelde regels moeten onder meer ruimte bieden voor de zogeheten Kaderwet Gegevensuitwisseling, die een brede wettelijke basis legt voor gegevensuitwisselingen ten behoeve van fraudebestrijding, handhaving van openbare orde, de voorkoming, opsporing en vervolging van strafbare feiten en andere overtredingen en misdrijven.
Aardverschuiving in het privacyrecht
Onverenigbare verwerkingen mochten onder de nu nog geldende Europese regelgeving uit 1995 slechts op incidentele basis voor een beperkt aantal doelen plaatsvinden. Met de nieuwe Europese regels zal dit ingrijpend veranderen. Door middel van wetgeving kan onverenigbare verwerking voortaan structureel plaatsvinden en mogen overheden op grote schaal persoonsgegevens verder gebruiken voor doelen die ze zelf bij wet mogen vastleggen. De zogeheten doelbinding, een kernbegrip in het privacyrecht, wordt daarbij buiten spel gezet.
Het Platform Bescherming Burgerrechten stelt over het artikel dat deze bevoegdheden creëert: “Hoewel de Uitvoeringswet AVG haast nonchalant vermeldt dat dit lid ‘een enigszins gewijzigd juridisch kader voor verdere verwerking’ biedt, heeft er in feite een aardverschuiving plaatsgevonden.” Tevens wijst de brief op een andere bepaling van de AVG, “waarin is vastgesteld dat de nationale wetgever nagenoeg alle regels waarin het gegevensbeschermingsrecht voorziet, aan mag passen in nationale wetgeving – inclusief de regels omtrent doelbinding.”
Met de invoering van de AVG wordt de privacywetgeving versoepeld op een wijze die in strijd is met de eisen die internationale verdragen als het EVRM en Conventie 108 stellen over het onverenigbaar verwerken van persoonsgegevens. Nederlandse wetgeving mag niet in strijd zijn met deze internationale afspraken, zo schreef het Platform aan de Senaat.
In strijd met moties Tweede Kamer en internationale verdragen
Zeer opmerkelijk daarbij is dat de veranderingen in de AVG deels op initiatief van de Nederlandse regering zijn aangebracht. Dit is in strijd met de wens van de Tweede Kamer, zo stelt het Platform in haar brief. Forse kritiek van de Autoriteit Persoonsgegevens (AP) en de European Data Protection Supervisor (EDPS) op een conceptversie van de AVG, leidde in 2012 tot verschillende moties van de Tweede Kamer. Deze droegen de regering op zich tijdens de onderhandelingen over de AVG in te spannen om het beschermingsniveau zoals dat vastlag onder de Richtlijn uit 1995, intact te houden. (link)
De moties bevatten onder meer de expliciete opdracht om “er zorg voor te dragen dat de verordening zal voorzien in een bepaling die verwerking van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld, uitsluitend mogelijk is in geval van verenigbaarheid en op basis van een wettelijke grondslag.” (link)
Toch verkondigde toenmalig minister Van der Steur in januari 2016 dat er op initiatief van Nederland in de definitieve tekst van de AVG was “voorzien in de mogelijkheid voor de publieke sector om gegevens verder te verwerken voor een ander gespecificeerd doel dan waarvoor ze oorspronkelijk zijn verzameld indien dit bij wet wordt geregeld”, waarmee de eis van verenigbaarheid uit de motie werd genegeerd en onverenigbare verwerkingen voortaan kunnen worden gelegitimeerd door er simpelweg een wet voor aan te nemen.
Naast het ruim baan geven aan profilering van burgers, scheppen de wijzigingen in de AVG ook ruimte voor zaken als gemeentelijke wijkteams, die sinds de samenvoeging van verschillende taken in de zorg en het sociale domein beschikken over een brede verzameling persoonsgegevens van burgers die eerst bij verschillende instanties afzonderlijk werden bewaard. De Autoriteit Persoonsgegevens had forse bezwaren tegen het samenvoegen van persoonsgegevens uit deze domeinen in één bestand; hiervoor zou altijd toestemming van de betrokken burger moeten worden gegeven. Met de wijzigingen in de AVG lijkt dat binnenkort niet meer te worden vereist.
Privacy Barometer schreef in januari 2016 voor het eerst over de opmerkelijke Nederlandse inbreng op de nieuwe regels uit Brussel.
Lees hier over de eerdere waarschuwing van het Platform aan het parlement.
Download de brief die het Platform (PDF) onlangs aan de Eerste Kamer stuurde.