column

Weet het CBP wel waar ze ja tegen zegt?

Kastjes in auto’s en woningen die risicogedrag registreren en opslaan voor de verzekeraar; volgens privacywaakhond CBP mag het, zolang het om een geïnformeerde toestemming gaat. De vraag is of de toezichthouder weet waarmee ze instemt, stelt Tijmen Wisman.

Deze week kwam het plan van Achmea in het nieuws om klanten kortingen te verlenen als zij instemmen met de installatie van meetkastjes in auto en huis die privégegevens registreren en deze doorgeven aan de verzekeraar. Het College Bescherming Persoonsgegevens (CBP), de privacywaakhond van Nederland, heeft gezegd dat deze voorstellen niet in strijd zijn met de Wet Bescherming Persoonsgegevens (WBP). Als voorwaarde stelde hun woordvoerder: ‘Mensen moeten weten waar ze ja tegen zeggen en wat ze ervoor terugkrijgen.’ Eén van de voorwaarden voor rechtmatige toestemming is dat deze geïnformeerd is. De vraag is of de mensen bij het CBP wel weten waar ze ja tegen zeggen.

Het argument van Achmea luidt dat veiligheid van de verzekerde ten voordele strekt van zowel de verzekerde als de verzekeraar. In theorie zou dus het installeren van een conventionele rookmelder voldoende moeten zijn. Echter, de rookmelders die Achmea op het oog heeft zijn van Nest Labs. Deze rookmelders registeren niet slechts rook, ze zijn ook uitgerust met bewegingsdetectoren en een microfoon. De eis van Achmea is dat alle gegevens die worden verzameld door Nest aan hen worden gecommuniceerd. Nu de vraag: wat zal het effect op uw premie zijn wanneer Nest één, of meerdere keren doorgeeft dat het alarm is afgegaan? Wordt een rookmelder die veelvuldig afgaat gezien als indicatie voor een risicovolle klant? Daarnaast rijst de vraag wat Achmea verder met deze gegevens zal doen? Ze geeft aan het niet te delen met derde partijen, maar hoe zit dat met haar dochter Zilveren Kruis? Is deze zorgverzekeraar, nu of in de toekomst, wellicht geïnteresseerd in de tijden waarop u naar bed gaat en opstaat?

Volgens de website van Nest worden gegevens gebruikt ‘voor het aanbieden, ontwikkelen en verbeteren van Nest-producten en services, inclusief informatie voor beoordelingen en aanbevelingen over producten, veiligheid of uw energiegebruik’. Deze doelomschrijving van Nest is erg ruim en niet welbepaald, een eis die wel voortvloeit uit de WBP. De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het CBP) in de EU vallen, gaven in één van hun communicaties uit 2013 aan dat een doel dat vaag of algemeen is omschreven – zoals het verbeteren van gebruikerservaring, of marketingdoelen – zonder verdere uitleg niet aan de eis van doelbinding kan voldoen.[1] Een duidelijke doelomschrijving is onontbeerlijk voor geïnformeerde toestemming. De doelomschrijving van Nest is onduidelijk. Hierover blijft het CBP stil.

In een presentatie van de NSA, die dankzij Snowden in de openbaarheid kwam, is te zien hoe Google zich 14 januari 2009 aansloot hij het roemruchte surveillance programma PRISM. Dit stelde de NSA in staat om de gegevens van de grootste techgiganten te gebruiken voor hun spionage-activiteiten.  Precies vijf jaar later, op 14 januari 2014, kocht Google Nest Labs. Daarmee rijst de vraag of de privacy-gevoelige gegevens die worden verzameld door de kastjes van Nest kunnen worden ingezien door de inlichtingendiensten van de VS. Op 6 oktober jongstleden is een interessant vonnis gewezen door het Europese Hof van Justitie. Hierin werd bepaald dat persoonsgegevens door Facebook Ireland niet langer mogen worden doorgegeven aan Facebook in de VS, omdat Snowdens onthullingen hebben aangetoond dat de manier waarop inlichtingendiensten binnen PRISM omgaan met de gegevens aldaar, onverenigbaar is met Europese wetgeving en specifieker de bescherming van de persoonlijke levenssfeer.

Achmea’s plan komt er op neer dat verzekerden onder financiële prikkels apparatuur installeren die privacygevoelige gegevens van mensen in hun eigen huis verzamelen, welke vervolgens door Nest Labs op ontransparante wijze worden verwerkt en hoogstwaarschijnlijk voor Amerikaanse inlichtingendiensten toegankelijk zijn. Het recht op bescherming van de persoonlijke levenssfeer dat als apart recht pas werd geïntroduceerd in de belangrijke mensenrechtenverdragen die na WOII zijn getekend, werd destijds gezien als een recht dat mensen moest wapenen tegen de totalitaire neigingen van regeringen. Het willen controleren van het gedrag van het individu in de privésfeer is kenmerkend voor een totalitaire samenleving, of deze controle nu door een publiek danwel een privaat collectief wordt uitgeoefend.  Hoe is het mogelijk dat het CBP dat toezicht houdt op wetgeving die de bescherming van de persoonlijke levenssfeer beoogt te waarborgen, goedkeurt dat een verzekeraar samen met één van de machtigste bedrijven ter wereld het leven van verzekerden achter de voordeur gaat registeren, controleren en manipuleren? Te meer, nu deze gegevens over het privéleven van Nederlandse burgers mogelijk worden uitgeleverd aan het militair-industriële surveillancecomplex van de VS. De vraag is of het CBP wel weet waar het ja tegen zegt.

Tijmen Wisman is voorzitter van het Platform Bescherming Burgerrechten en universitair docent aan de rechtenfaculteit van de Vrije Universiteit Amsterdam

Dit artikel verscheen op 9 oktober 2015 in het Reformatorisch Dagblad

[1] Article 29 Data Protection Working Party, Opinion 4/2007 on purpose limitation, 00569/13/EN; WP 203, Adopted on 2 April 2013, p. 15.