Privacy Jacob Kohnstamm en de bescherming van persoonsgegevens

‘Select before you collect’

Het beschermen van privacy op Europees niveau betekent de strijd aanbinden met eurocommissarissen en de lobby van het bedrijfsleven. Dat leert de ervaring van Jacob Kohnstamm.

HOEVEEL privacy de Nederlandse burger is gegund, wordt in Europa bepaald. Niet Den Haag maar Brussel trekt de grenzen waarbinnen bedrijven en overheden persoonsgegevens mogen verzamelen, opslaan en gebruiken. En in Brussel staat de bescherming van privacy vaak niet op de eerste plaats. Dit bleek bijvoorbeeld vorige week toen de WRR haar onderzoek Happy Landings: Het biometrische paspoort als zwarte doos presenteerde. De portee: ondanks privacybezwaren werd het biometrisch paspoort - met vingerafdrukken en gelaatsscan, opgeslagen in een centrale databank - toch ingevoerd. Het lijkt een Haags relletje. Maar dat het paspoort er kwam was het gevolg van een Europese beslissing, waar Nederland overigens een belangrijke aanjager van was.
Wie zijn vizier de afgelopen jaren vooral op Den Haag heeft gericht, zal weinig gemerkt hebben van de Europese invloeden op nationale privacykwesties. Het onderwerp staat nauwelijks op het netvlies van onze Haagse volksvertegenwoordigers. Dit komt, opvallend genoeg, niet doordat ze er niks mee te maken hebben. Er zijn wel degelijk gelegenheden waarbij Nederlandse parlementariërs invloed kunnen uitoefenen op wat er in Brussel gebeurt. Op dit moment wordt bijvoorbeeld de belangrijkste Europese privacyrichtlijn herzien. Voorafgaand aan die herziening hield de Europese Commissie een consultatieronde waarin iedere belanghebbende, waaronder nationale overheden, hun visie op een nieuw Europees privacybeleid kon geven. Die kans werd niet gegrepen. Inmiddels is de consultatietermijn verlopen en krijgt Nederland straks de opdracht de nieuwe EU-richtlijn in nationale wetten te vertalen.
Let de Tweede Kamer niet op? In elk geval geeft Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens (CBP) de volksvertegenwoordigers op dit punt een onvoldoende. ‘De Tweede Kamer is nog steeds waanzinnig slecht georganiseerd in de wijze waarop ze toezicht houdt op wat er in Brussel gebeurt’, zo stelt hij in zijn Haagse werkkamer. 'Gevolg is dat ze met richtlijnen worden geconfronteerd waar ze alleen maar ja of ja op kunnen zeggen.’ Betekent dit dat de eurobestuurders onvoldoende tegenspraak krijgen als hun regels de privacy van het individu dreigen te ondermijnen? Volgens Kohnstamm valt dat mee: 'Het Europees Parlement is erg scherp. Zo leidde voormalig europarlementariër Jeanine Hennis-Plasschaert als lid van de Europese Liberalen het initiatief om het afstaan van banktransactiegegevens aan de VS, de zogenaamde SWIFT-gegevens, aan banden te leggen. Ook de Europese volksvertegenwoordigers van GroenLinks en D66 zijn alert op privacyschending.’
Sinds februari dit jaar is Brussel regelmatig het werkterrein van Kohnstamm. Hij werd verkozen tot voorzitter van de Europese privacywaakhond WP29 (zie kader). De voorzitter van het College Bescherming Persoonsgegevens vervult nu een dubbelrol. Zowel voor Nederland als voor de Europese Unie is hij een van de belangrijkste beschermers van de persoonlijke levenssfeer. Het betekent een divers takenpakket. In Nederland ziet hij erop toe dat gemeenten niet aan onwettelijke etnische registratie doen. Namens Europa onderzoekt Kohnstamm of Uruguay zorgvuldig omspringt met persoonsgegevens die het land uit de Unie ontvangt.
Privacybescherming is een kwestie van constant tegen de stroom in roeien, zo blijkt uit zijn verhalen: 'Bestuurders denken nog steeds dat een probleem kan worden opgelost door een database vol gegevens aan te leggen. Dat zie je zowel op Europees als op nationaal niveau. Er zitten inmiddels 3,5 miljoen Britten in een DNA-databank. Ik betwijfel of de opsporing van misdadigers daarmee sneller gaat. Ik ben van het principe select before you collect. Dataverzameling moet een duidelijk doel dienen.’ Ook Nederland heeft last van verzamelwoede, volgens Kohnstamm: 'Piet-Hein Donner heeft als minister van Justitie destijds een onderzoek laten doen door de Erasmus Universiteit met de vraag of de opslag van telecommunicatiegegevens nuttig is bij strafrechtelijke zaken. Er werden ruim zestig casussen onderzocht. De conclusie was een eenduidig “nee”. Het bleek een ongewenste uitkomst van het onderzoek. Vervolgens werd een ronde gemaakt langs een aantal hoofdcommissarissen van politie. Die zagen dataopslag wel zitten. Het resultaat was een rapport met als titel Wie wat bewaart die heeft wat. Het tekent de mentaliteit die heerst.’
De paspoortkwestie is volgens Kohnstamm het laatste bewijs dat privacy vaak ondergeschikt is aan andere belangen: 'Als staatssecretaris van Binnenlandse Zaken had ik eind jaren negentig paspoorten in mijn portefeuille. Ik vond de privacybezwaren toen te groot om door te gaan met biometrie. Later heeft zowel het College Bescherming Persoonsgegevens als WP29 gewezen op de beveiligingsrisico’s van het biometrisch paspoort. Daar was weinig oog voor. Bovendien is ervoor gekozen om alle biometrische gegevens in een centrale database te stoppen. De meeste Europese landen kiezen voor decentrale opslag. Dat is beter te beveiligen. Nederland is bezweken voor pressie van de VS, die in de nasleep van 9/11 centrale opslag wensten om de war on terror te vergemakkelijken.’

IN ZIJN confrontaties met de Europese Commissie heeft Kohnstamm ook regelmatig met politiek spel te kampen. WP29 heeft, net als de onderzoekers van de Erasmus Universiteit, van meet af aan gesteld dat er onvoldoende noodzaak is om het bel- en mailgedrag van Europese burgers te registreren. Desondanks is de opslag van deze data de afgelopen jaren onverminderd doorgezet. Bovendien bleek uit recent onderzoek van WP29 dat er veel meer gegevens in de databases verdwijnen dan is toegestaan. De lidstaten gingen dus veel verder dan Europese regels voorschreven. Op initiatief van Cecilia Malmström, eurocommissaris van Binnenlandse Zaken, wordt nu ook die richtlijn herzien.
Klinkt alsof u op uw wenken wordt bediend.
Jacob Kohnstamm: 'Dat lijkt maar zo. In werkelijkheid lopen er twee discussies door elkaar. We hebben onderzoek gedaan naar hoe Europese landen omgaan met de dataretentierichtlijn. Onze conclusie was, simpel gezegd, dat het een rommeltje is. Ons rapport lijkt nu te worden misbruikt door de Europese Commissie die doet alsof de noodzaak om communicatiegegevens op te slaan is aangetoond en dat enkel de uitwerking beter moet. Maar dat is niet wat WP29 met het rapport wil zeggen. Ons standpunt blijft: die noodzaak moet nog steeds worden bewezen. Maar omdat we de werking van de richtlijn hebben geëvalueerd, wordt er in Brussel gezegd: zie je wel, ook de privacytoezichthouders vinden dataretentie wenselijk.’
Zijn de Europese 'checks and balances’ juist georganiseerd?
'De WP29 is een onafhankelijke commissie, maar ons secretariaat valt onder de directe politieke verantwoordelijkheid van Viviane Reding, eurocommissaris voor Justitie, Grondrechten en Burgerschap, die wij moeten adviseren op het gebied van privacy. Dit is een vermenging van verantwoordelijkheden. Het secretariaat voegt zich natuurlijk eerder naar de wensen van Reding dan naar die van Kohnstamm. Zij is veel belangrijker voor loopbaan en inkomen dan ik. Reding zegt een onafhankelijke WP29 belangrijk te vinden. Dan moet ze ons ook de juiste middelen geven. Met het aantreden van de nieuwe Europese Commissie heeft zich overigens wel iets bijzonders voorgedaan. De onderwerpen veiligheid en justitie zijn uit elkaar gehaald. Mensenrechten, en dus ook privacy, zitten bij Viviane Reding. Opsporing en veiligheid zitten bij Malmström. Dit komt de bescherming van privacy ten goede. Nederland doet nu juist het tegenovergestelde: het voegt deze twee beleidsterreinen samen onder één ministerie.’
U heeft vaak de wens uitgesproken dat het CBP meer bevoegdheden krijgt om privacyschending te bestraffen. Hoe zit het met de slagkracht van WP29?
'Wij hebben voornamelijk een adviserende functie. Op het moment dat niemand zich aan ons advies houdt, is het helaas einde oefening.’ Lachend: 'We hebben helaas niet het recht van staatsgreep. Ik zou graag zien dat de wil van de meerderheid van WP29 bepalend is op het moment dat er onenigheid is over de uitleg van de privacyrichtlijn. Maar daarvoor hebben wij de Europese Commissie nodig. Zoals het er nu naar uitziet, heeft Reding hier wel oren naar. Het zou een antwoord zijn op het probleem van nationale verschillen.’

HET VOORBEELD dat Kohnstamm kiest om zijn punt te illustreren komt uit onverwachte hoek: de wereld van de topsport. 'Ik ben van mening dat ook onze topsporters mensenrechten hebben’, lacht hij. 'De World Anti-Doping Agency (WADA) wil echter alles doen om het gebruik van doping te voorkomen. Wat is het gevolg? Topsporters moeten constant laten weten waar ze zijn en worden aan de internationale schandpaal genageld als ze een stickie hebben gerookt. Want WADA verbiedt het gebruik van marihuana. Nationale privacytoezichthouders zijn het er in abstracto over eens dat dit te ver gaat. Maar in de praktijk kiest elke Data Protection Authority zijn eigen lijn. De Fransen willen graag de Tour kunnen blijven organiseren, dus buigen ze voor WADA.’
Het bedrijfsleven is een van de andere grote tegenmachten waar Kohnstamm mee worstelt: 'De Apples, Googles en Microsofts van deze wereld zijn bijzonder geraffineerd. Ze doen bijvoorbeeld aan forum shopping: het opzoeken van de vestigingsplaats met de minste regels. Veel grote bedrijven zitten daarom in Ierland, het land met de kleinste Data Protection Authority van Europa. Als gevolg van financiële problemen werken daar nog maar vier personen. Een buitenkans voor het bedrijfsleven. Dit soort onevenwichtigheden wordt door de Europese Commissie nauwelijks aangepakt. Die zou moeten vaststellen hoeveel mankracht per land minimaal nodig is.’
Hoe diep het bedrijfsleven in de Europese besluitvorming zit, bleek toen WP29 werd gevraagd te adviseren over de nieuwe privacyrichtlijn. 'De Europese Commissie stelde een expertgroep samen die moest meedenken over nieuwe privacyregels. Deze bestond uit zes leden. Vier daarvan waren vertegenwoordigers van het Amerikaanse bedrijfsleven. Ik was de enige privacytoezichthouder die in de groep zat. De toenmalige Franse voorzitter van WP29 heeft de expertgroep toen laten ontbinden.’ Als een van de successen van WP29 noemt Kohnstamm verder het verloop van het SWIFT-dossier: 'Een van de afspraken is dat er een commissie vanuit Europa naar de VS gaat om de naleving van de SWIFT-afspraken te controleren.’ Of het biometrisch paspoort toch nog op het lijstje van successen komt te staan, moet zich uitwijzen. 'Het regeerakkoord beloofde betere bescherming van persoonsgegevens. De paspoortwet is hun eerste serieuze testcase.’


De Europese Privacywaakhond

Nederland heeft het College Bescherming Persoonsgegevens, de Europese Unie heeft de Working Party 29. WP29 ontleent zijn naam aan artikel 29 van de Europese privacyrichtlijn 95/46/EC. De richtlijn voorziet in een onafhankelijke commissie die bestaat uit vertegenwoordigers van alle Europese privacytoezichthouders. WP29 adviseert over alle kwesties waarbij persoonsgegevens betrokken zijn en ijvert voor gelijke privacystandaarden in de Europese lidstaten. De rol van WP29 kwam recent naar voren toen ze kritisch adviseerden over het afgeven van transactiegegevens van banken aan de Verenigde Staten, de zogenaamde SWIFT-data. Het Europees Parlement verwierp daarop het oorspronkelijke SWIFT-akkoord. Onlangs werd er alsnog een overeenkomst bereikt tussen de Verenigde Staten en de EU. SWIFT-II heeft extra privacywaarborgen zoals het vernietigen van de gegevens na gebruik en meer rechten voor EU-burgers bij misbruik. De meerderheid van het Europees Parlement was hiermee tevreden. De Europese Groenen stemde tegen. Ze vonden de overeenkomst 'absurd en ongrondwettelijk’.