Het grotere plaatje voor de AVG-gefocuste privacyprofessional
In een eerder blog gaf ik toe dat de Algemene verordening gegevensbescherming (“AVG”) mijn beste vriend was. Ik ken hem van binnen en buiten en weet precies waar zijn sterke en minder sterke kanten zitten. Hoewel ik dus duidelijk groot fan ben van de AVG, mis ik de laatste jaren soms wat perspectief in de juridische privacywereld. Dat zal ik toelichten.
Privacyprofessionals en -juristen zijn sinds 2018, en eigenlijk daarvoor al, buitengewoon gefocust op de AVG. Dat is belangrijk, want er moe(s)t veel gebeuren. Maar er is focus, en er is blindstaren. Soms merk ik dat professionals zo verdronken zijn in het implementeren van administratieve verplichtingen en of iets al dan niet op een bepaalde manier geregistreerd moet worden, dat het grote plaatje wordt vergeten. Wat was het doel van dit stuk regelgeving? En zijn we op deze manier bezig om dat doel te bereiken?
Privacy is een grondrecht. Vastgelegd in artikelen 7 (recht op eerbiediging van het privéleven) en 8 (recht op bescherming van persoonsgegevens) van het Handvest van de Grondrechten van de Europese Unie (“Handvest”). Die staan op zichzelf. De AVG beschermt (onder meer) het grondrecht op bescherming van persoonsgegevens en wil een balans creëren tussen het faciliteren van vrij verkeer van persoonsgegevens en het beschermen van het grondrecht op bescherming van persoonsgegevens. Dat doel moeten we helder voor ogen blijven houden. Niet alleen op zichzelf, juist ook in relatie tot andere digitale uitdagingen.
De opdracht om privacy te waarborgen in een steeds meer digitaliserende samenleving is veel breder dan alleen het beschermen van persoonsgegevens. Zie bijvoorbeeld hoe privacy ook in het gedrang is in praktijksituaties waar geen persoonsgegevens worden gebruikt. Denk bijvoorbeeld aan het gebruik van big data, waarbij vaak geen persoonsgegevens worden gebruikt, maar wel door de uitgestrektheid van de data zo veel inzicht is in de profielen en bewegingen van individuen dat het gebruik grote gevolgen kan hebben. Voor consument én maatschappij. Gelukkig, is de AVG niet alleen in haar doelen: de bescherming van privacy, persoonsgegevens en de persoonlijke levenssfeer komt terug in veel meer wet- en regelgeving.
In dit stuk doe ik een stapje terug, zoals we dat doen aan het einde van het jaar. Ik ga in op privacy in bredere zin: hoe beschermen we dat grondrecht, waarom hebben we die AVG ook alweer, met welke stukken regelgeving kruist de AVG en in welke andere stukken regelgeving wordt privacy specifiek ook beschermd – maar op een andere manier? Dat alles om aan het einde van het jaar even wat perspectief te creëren en hopelijk te helpen bij een betere, en volledigere, privacyaanpak.
Privacy: een grondrecht
Privacy is een grondrecht. In de “Europese grondwet” (die we geen grondwet mogen noemen), het Handvest, zien we het terug in artikel 7 en artikel 8:
Artikel 7
De eerbiediging van het privé-leven en van het familie- en gezinsleven
Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.
Artikel 8
De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
Privacy is een breed concept. Dat zie je terug in deze twee soorten bescherming van privacy. De één focust op de persoonlijke levenssfeer, en de ander focust op het gebruik van informatie óver die persoonlijke levenssfeer. De AVG ziet op de bescherming van persoonsgegevens, maar draagt daarbij ook bij aan de eerbiediging van het privéleven.
Grondrechten zijn niet absoluut. Dat betekent dat je niet maar alles kan doen bijvoorbeeld onder het mom van vrijheid van meningsuiting, om vervolgens te zwaaien met het grondrecht dat je toekomt. Beperkingen op de uitoefening van deze grondrechten zijn toegestaan onder voorwaarden. Zo’n beperking moet uit de wet volgen, de wezenlijke inhoud van die rechten en vrijheden eerbiedigen, noodzakelijk zijn en in lijn zijn met de Europese doelstellingen van algemeen belang of de eisen van de bescherming van rechten en vrijheden van anderen. Dat laatste toont al dat de situatie voorkomt waar twee grondrechten tegenover elkaar staan. Zoals in het geval van de “Minder Marokkanen”-uitspraak van Geert Wilders. Daarbij stond het recht op vrijheid van meningsuiting van Wilders haaks op het recht op bescherming van de persoonlijke levenssfeer van de (door hem volgens de rechter) gediscrimineerde groep waar hij het over had. In een geval van een grondrechtenbotsing moet er een balancing act worden uitgevoerd. Denk aan vrouwe Justitia die de feiten en omstandigheden van het geval afweegt. Daarbij gaat de rechter langs gezichtspunten waarmee zij tot een gewogen oordeel moet komen welk grondrecht in dat specifieke geval voorgaat.
Ook in de AVG wordt benadrukt dat grondrechten niet absoluut zijn: “Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.”, aldus overweging 4 van de AVG. In dat kader zien we ook in de AVG die balancing act terugkomen, zij het in een andere vorm.
De AVG gaat zelf namelijk specifiek om het creëren van een balans. Een balans tussen het faciliteren van vrij verkeer van persoonsgegevens en het stimuleren van de markt, terwijl we het recht op bescherming van persoonsgegevens waarborgen op een geharmoniseerde wijze (overweging 3 AVG). De AVG, de regels en de toepassing daarvan moet deze balans dus ook waarborgen. Dit zien we bijvoorbeeld terug in de afweging die we maken bij het gerechtvaardigd belang, of het vaststellen van een passend beveiligingsniveau. We beschermen de persoonsgegevens niet ten koste van alles, maar in relatie tot risico’s en de omstandigheden.
Ben je verdronken in de toepassing van administratieve verplichtingen en zoek je richting? Doe een stap terug, zoom uit. Met uitzoomen creëer je meer overzicht. Overzicht om te zien waar je het uiteindelijk voor doet. Bedenk: “beschermen we zo de privacy van de betrokkene?”, en stem daar je koers op af.
Een stapje terugdoen, dus. Zo ook bij de afwegingen die je maakt in het toepassen van de regels van de AVG. Zie de implementatie van de verplichtingen onder de AVG in relatie tot de sterke positie van grondrechten, het feit dat ze niet absoluut zijn, en het doel en de balans die de AVG wil creëren.
(Nieuwe) Europese regelgeving
Europa is hard bezig met een inhaalslag van wetten die de digitaliserende samenleving reguleren. Dat doen ze met de European data strategy. Sinds de introductie van het internet is er heel veel veranderd. De wet ontwikkelt langzamer dan technologie, dus zijn we daar nu (nog) mee bezig terwijl we al 50% (of meer) van de dag ons bewegen op het internet. Die stukken regelgeving lijken allemaal een beetje dezelfde balans te beogen: de markt blijven stimuleren (anders komen we straks helemaal achteraan het lijstje te staan na de Verenigde Staten en China, en dat willen we niet), en de grondrechten die we samen hebben vastgelegd in het Handvest waarborgen in een veilige en betrouwbare online omgeving. Ook als privacyprofessional kan je er niet onderuit dat je overzicht nodig hebt op alle andere stukken regelgeving en hoe die met jouw werkveld kruisen. Of sterker nog: hoe die jóuw werkveld gaan verbreden. We lopen door een aantal stukken regelgeving heen en kijken naar wat hun relatie is tot het grondrecht privacy en/of de AVG.
De AI Act
De opkomst van Artificial Intelligence (“AI”) in combinatie met big data brengt een significante verandering in de digitale – en analoge – wereld. Private en publieke organisaties krijgen ongeëvenaard inzicht in (structuren van) data. Bijna elke maand worden we verrast met een nieuwe toepassing van AI.
Dat het gebruik van royale hoeveelheden data een inbreuk kan maken op het recht op privacy is evident. De inzichten over individuen die we kunnen creëren met het gebruik van AI zijn gedetailleerd en intrusief. Denk aan het analyseren van gezichten en daarmee aanvullende informatie ophalen, zoals ClearView AI deed, het gebruik van deepfakes (zelfs in pornografie), emotieherkenning of biometrische surveillance (wat onder de AI Act niet mag, met uitzonderingen voor de overheid). We zagen de consequenties voor het individu bij het onrechtmatig gebruik van AI zeker ook bij de toeslagenaffaire en het onrechtmatige gebruik van algoritmes, wat volgens Follow The Money nog niet afgelopen is. Niet alleen het gebruik kan op gespannen voet staan met privacy, maar ook de ontwikkeling van AI. Dit zagen we afgelopen jaar toen de Italiaanse privacytoezichthouder het gebruik door ChatGPT van persoonsgegevens over Italiaanse burgers een halt toeriep, omdat OpenAI niet voldeed aan de AVG. OpenAI zou de personen over wie de gegevens gaan waarmee het algoritme is getraind niet hebben geïnformeerd volgens de AVG en geen grondslag hebben voor het gebruik van diezelfde gegevens. Daarnaast staat de integriteit van data op het spel, hoewel dat wel afhangt van het gebruik van bijvoorbeeld door ChatGPT gegenereerde informatie. We zagen een Amerikaanse advocaat die met gebruik van ChatGPT een stuk schreef aan de rechtbank, waar gerefereerd werd aan een rechtelijke uitspraak, die niet bestond. Uiteraard zijn we als juristen (uitzondering even daargelaten) getraind onze feiten te dubbelchecken, maar de realiteit is dat de meeste mensen tegenwoordig koppen van stukken al gemakkelijk aannemen als feit. Ongeacht wie die stukken heeft geschreven, en of zij gespecialiseerd zijn in het onderwerp waar ze over schrijven. Dat informatie die uit ChatGPT rolt zal worden aangenomen, over zowel mensen als niet-menselijke onderwerpen, is nogal aannemelijk.
Het beschermen van privacy manifesteert zich bij het ontwikkelen en gebruiken van AI in het hooghouden van fysieke, mentale en morele integriteit (zie verder ook het boek AI & Algorithms door Arnoud Engelfriet). De AI Act zal hieraan bijdragen. De AI Act is pasgeleden (provisioneel) geaccepteerd. Het doel van de AI Act is dat mensen en bedrijven in de EU kunnen rekenen op veilige, transparante, traceerbare, niet-discriminerende en milieuvriendelijke AI-systemen die onder toezicht staan van mensen. In de AI Act wordt de substantiële impact die AI kan hebben op privacy (overweging 15 & 36 van het concept) erkend
Privacy is verweven in de AI Act doordat je voor high risk AI systems een fundamental rights impact assessement (FRIA?) moet uitvoeren. Bovendien besteedt de AI Act aandacht aan data integriteit, wat ook vanuit artikel 5 AVG – hoewel vaak vergeten – verplicht is om te borgen. De AI Act laat het in bepaalde situaties wel toe om algoritmes te trainen met bijzondere persoonsgegevens. Die situaties zijn bijvoorbeeld om bias of discriminatie uit de weg te gaan. Daar zien we dan de balancing act tussen grondrechten weer terug, aangezien het recht op gelijke behandeling net als privacy een grondrecht is. In dit geval gaat dan het recht op gelijke behandeling voor. Dit gaat op een gereguleerde manier zodat het recht op privacy niet heel erg wordt ingeperkt. 
De hele verordening is erop gericht transparantie te bewerkstelligen. Daarmee wordt duidelijk waar de risico's zitten, waar bijvoorbeeld auteursrechtelijke conflicten kunnen zijn maar ook waar privacyrechtelijke bezwaren zich kunnen bevinden. Het is duidelijk, vanuit de tekst en de praktijk, dat het reguleren van AI en het beschermen van privacy onlosmakelijk met elkaar verbonden zijn.
Data Governance Act
De Data Governance Act (“DGA”) is van toepassing sinds 24 september 2023. Veel van de verplichtingen hoeven organisaties pas in 2025 mee in overeenstemming te zijn. Deze verordening heeft ten doel om vertrouwen in datadelen en databeschikbaarheid te verbeteren, en wil het volledige potentieel van “hergebruik” van gegevens realiseren. “Deze verordening moet gericht zijn op de verdere ontwikkeling van de digitale interne markt zonder grenzen en een betrouwbare en veilige datasamenleving en -economie waarin mensen centraal staan.”, aldus overweging 3 DGA.
De DGA introduceert regels voor databemiddelingsdiensten (nieuw!) en de publieke sector die zich richten op het delen van data. De DGA bevat een kader voor data-altruïsme. Data altruïsme gaat om het vrijwillig delen van gegevens zonder daarbij een winstoogmerk te hebben, in het kader van het algemeen belang. Het introduceert bijvoorbeeld technische vereisten voor de publieke sector waardoor lidstaten privacy en veiligheid kunnen verzekeren (denk aan tools of technische oplossingen zoals anonimiseren). Bij specifieke zaken van publiek belang kan méér publiek gehouden data beschikbaar worden gesteld. De DGA beperkt namelijk de overheid in het gebruik van overeenkomsten waarin exclusief datahergebruik wordt vastgelegd. Aanbieders van databemiddelingsdiensten moeten onder meer aan beveiligings- en interoperabiliteitseisen gaan voldoen als ze geregistreerd willen zijn onder de DGA.
De DGA heeft een breder toepassingsgebied dan de AVG. De AVG gaat uit van persoonsgegevens, daar waar de DGA focust op het gebruik van gegevens. “Gegevens” betekent in de DGA: “elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames” (artikel 2(1) DGA). In aanvulling op de AVG zullen de ingebouwde waarborgen van de DGA het vertrouwen in datadelen en -hergebruik vergroten.
Het veilige systeem van datadeling dat de DGA beoogt te ontwikkelen waarborgt privacy en met name de veiligheid van gegevens zo weer op een andere manier (zie o.m. overweging 30.
Data Act
De Data Act (“DA”) beoogt om meer data beschikbaar te stellen voor gebruik. Deze wet stelt regels voor gebruik van en toegang tot data en besteedt ook specifiek aandacht aan toegang door de betrokkene tot die data. Het gaat om data gegenereerd door het gebruik van een product, of een daaraan gerelateerde dienst. Dat gebeurt bijvoorbeeld met gebruik van slimme apparaten (connected devices) zoals smart watches of slimme koelkasten. De DA is van toepassing op de makers van de producten en diensten, de houders en ontvangers van gegevens, publieke sector-organen en providers van gegevensverwerkingsdiensten. De finale versie van de DA is nog niet gepubliceerd in het Europees Staatsblad, dus de datum van inwerkingtreding is nog niet bekend.
Met gebruik van slimme apparaten wordt een gedetailleerd pad of patroon verzameld van een persoon. Zo weet je met een smart watch veel over de bewegingen van die persoon: waar gaat de persoon naartoe, hoe vaak, met welk voertuig, hoelang blijft de persoon daar. Uit die patronen kun je afleiden waar een persoon werkt, wanneer ze thuis is, welke mensen ze ziet, wanneer ze naar het ziekenhuis/dokter gaat, wat haar hartslag is op bepaalde momenten, en ga zo maar door. Dat, samen met informatie over je smart home, die aangeeft welke lichten je aanzet, welke muziek je luistert, en welke zoekopdrachten je stelt, kan een persoon extreem gedetailleerd in beeld brengen. Die gegevens kunnen natuurlijk nuttig zijn, voor bedrijven zelf, maar ook voor de betrokkenen. De AVG is uiteraard van toepassing op zulk gebruik van persoonsgegevens, maar binnenkort de DA ook. Daar waar de AVG meer ziet op het recht op gegevensbescherming, is het gebruik van dit soort gegevens aan banden leggen juist inherent verbonden aan het beschermen van de persoonlijke levenssfeer van betrokkenen.
De DA vult de DGA aan, volgens de EU. “While the Data Governance Act, presented in November 2020 and agreed by co-legislators in November 2021, creates the processes and structures to facilitate data sharing by companies, individuals and the public sector, the Data Act clarifies who can create value from data and under which conditions.”.
Digital Services Act
De DSA introduceert een pakket aan regels voor aanbieders van onlinediensten, die hun diensten aanbieden binnen de Europese Unie. Met dat pakket wordt een evenwicht gezocht tussen aan de ene kant gepaste zorgvuldigheidsregels voor de aanbieders van onlinediensten, en aan de andere kant de (voorwaardelijke) uitsluiting van de aansprakelijkheid van die aanbieders zodat de economie de gelegenheid krijgt te groeien.
Het creëren van een veilige en betrouwbare digitale omgeving sluit aan bij het beschermen van de persoonlijke levenssfeer. Zeker omdat je de digitale schaduwrealiteit, die bij ons allemaal bijna 24/7 in de broekzak leeft, als onderdeel kan zien van onze persoonlijke levenssfeer. De smartphone, en überhaupt het internet, is inmiddels namelijk onlosmakelijk verbonden met ons leven. Even eten bestellen vanaf de bank, via Instagram checken hoe het met je vrienden gaat of op Reddit vragen over hoe het universum in elkaar zit, daar is allemaal de DSA op van toepassing.
In de DSA, zoals eigenlijk alle stukken Europese regelgeving die te maken hebben met het digitale domein, wordt specifiek benoemd dat de DSA geen afbreuk doet aan de AVG. Op verschillende plekken wordt privacy, en de AVG, ook specifiek belicht. Zoals in het kader van het beschermen van kinderen die een hoog niveau van privacy en veiligheid moeten toekomen (artikel 28 DSA). Over die wisselwerking lees je in dit blog meer.
ePrivacy Directive
Hoewel deze al een tijdje staat (7 jaar in januari!), kan dit stuk regelgeving niet ontbreken in ons “stapje-terug”- overzicht. Een nieuwe versie van de wet (in de vorm van een verordening) was al in 2017 in concept gepubliceerd, maar laat helaas nog op zich wachten.
De huidige ePrivacy Directive ziet op “het versterken van het vertrouwen en de veiligheid in de digitale eengemaakte markt en het bieden van flexibele regelgevingsinstrumenten om innovatie mogelijk te maken” (zie deze Europese website). De wet beschermt privacy online en ziet zowel op vertrouwelijke correspondentie (online briefgeheim), digitale direct marketing en het gebruik van onlinevolgtechnieken.
Een van de voorbeelden hoe de ePrivacy Directive online privacy beschermt is met de cookieregels (artikel 5(3) ePrivacy Directive). Daaruit volgt dat je cookies, en andere online tracking technologieën, alleen met toestemming mag gebruiken. Behalve als die technologieën noodzakelijk zijn. Dat artikel 5(3) heeft als bedoeling om de privésfeer van de gebruiker te beschermen. Ook dit artikel is niet afhankelijk van of er persoonsgegevens in het spel zijn. Deze regelgeving moet bescherming bieden ongeacht of de gebruiker zich bewust is van de communicatie die plaatsvindt (EDPB, Guidelines 2/2023, p. 7). Hoewel het natuurlijk hartstikke mooi is dat veel Europese wetten transparantie hoog in het vaandel hebben en inzicht proberen te geven aan de betrokkene, zoals bij de AI Act, de Data Act en de AVG, is dát een uitgangspunt dat overal van toepassing zou moeten zijn.
Het is afwachten wanneer de nieuwe ePrivacy Directive definitief zal zijn. Het idee was initieel dat deze samen met de AVG van kracht zou zijn, maar het is ondertussen ruim 5 jaar later. Na publicatie krijgen organisaties 24 maanden om eraan te voldoen.
NIS2 Directive
De Network and Information Security Directive 2 (“NIS2”) is van toepassing sinds 16 januari 2023 en Europese lidstaten hebben tot 17 oktober 2024 om hun nationale wet- en regelgeving in overeenstemming te brengen met de richtlijn. Het doel van NIS2 is om de beveiliging en weerbaarheid te verbeteren van ICT-systemen die worden gebruikt in (zeer) kritieke sectoren. Bedrijven en overheidsorganisaties die onder NIS2 vallen, hebben een zorgplicht om hun systemen adequaat te beveiligen.
De AVG verplicht organisaties die werken met persoonsgegevens om passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (artikel 32 AVG). Een hele mond vol, maar het komt erop neer dat je je niveau van beveiliging moet aanpassen op hoe risicovol je verwerking is. Biometrische gegevens en BurgerServiceNummers vereisen een strengere beveiliging dan naam en adres, omdat het risico op schade bij datalekken voor de betrokkene bij de eerstgenoemde groter is.
Hoewel de AVG niet specifiek duidelijk maakt welke maatregelen je moet nemen, hebben we in rechtspraak eerder gezien dat wat adequaat en passend is werd ingevuld door de voor de zorg geldende beveiligingsnormen. De rechtbank verwijst voor de invulling van beveiligingsmaatregelen zoals verplicht onder artikel 32 AVG naar de NEN7510 en NEN7513 normen (zie hier een samenvatting van de zaak). De gedaagde schoot tekort in de controle van de logging, aldus de rechtbank. De gedaagde hoorde logbestanden regelmatig te beoordelen en deed dat alleen steekproefsgewijs, wat op basis van de NEN-normen onvoldoende is. Dit leverde de gedaagde een schending van de AVG én een onrechtmatige daad op.
In het verlengde hiervan kunnen we ervan uitgaan dat de NIS2 Directive óók op dezelfde manier invulling zal bieden aan de standaard die artikel 32 AVG eist. In ieder geval als basisnorm, en mogelijk, afhankelijk van het risico, dat er nog meer maatregelen genomen moeten worden.
Nationale regelgeving
Uiteraard zien we privacy ook terugkomen in nationale wetgeving. Daar zijn veel voorbeelden van, maar ik beperk me tot een aantal waar we pasgeleden nog ontwikkelingen in zagen in relatie tot de booming digitale samenleving en de nieuwe privacy-uitdagingen die die met zich meebrengt.
Surveillancewetgeving
De sleepwet, herinneren we ‘m nog? Een tijd geleden besprak Arjen Lubach dit zelfs in zijn programma Zondag met Lubach. Ook Bits of Freedom, de digitale burgerrechtenorganisatie, heeft hard gevochten om burgers en overheid bewust te maken van de risico’s en leemtes van de (toen nog) conceptwet. Ik heb het over de Wet inlichtingen- en veiligheidsdiensten (“Wiv”). Die wet beschrijft het wettelijk kader waarin de Nederlandse opsporingsdiensten (MIVD & AIVD) mogen opereren. Grof gezegd beschrijft het wanneer en hoe opsporingsdiensten burgers morgen aftappen. 
Het perkt de bevoegdheden van overheden in en legt het aan banden, ter bescherming van privacy en specifiek de persoonlijke levenssfeer van de burger (het gaat dus niet alleen om commercie en de consument bij privacy).
Hoewel in de definitieve wijziging van die wet van 2021 wat verbeteringen waren doorgevoerd, bleef er best wat te wensen over. De redenen waarvoor de diensten kunnen verzoeken om informatie af te tappen zijn te breed, en het toetsingsmechanisme (is dit allemaal wel netjes gegaan?) dat achteraf kijkt of het volgens procedure is gelopen, leek enigszins op een cirkelredenering (wij van WC-eend adviseren WC-eend). Maar daarop ingaan laten we even voor een ander blog.
Die hele nationale discussie, in 't licht van de Europese strubbelingen op dat moment, schetst wel een wat opmerkelijke situatie. Rond diezelfde tijd waren wij “good Samaritan” Europese burgers met op en neer deinzende hooivorken en fakkels boos naar de VS aan het kijken. De wettelijk verplichte mechanismen op basis waarvan de VS met de EU rechtmatig en veilig persoonsgegevens wilde delen, werden namelijk keer op keer onderuitgehaald door het Hof van Justitie van de Europese Unie en de Europese Commissie. Dat kwam onder meer omdat de arm van de Amerikaanse overheid te ver reikte: je kon er niet aan onderuit dat de Amerikaanse overheid bevoegd was om grootschalig die datastroom te surveilleren. De privacy- en veiligheidsmaatregelen die organisaties moesten nemen op basis van die mechanismen konden daar niks aan veranderen. Maar goed, bij de loodgieter thuis lekt het ook, denken we dan maar?
In oktober 2023 ging de Kamer akkoord met een tijdelijke wet die de AIVD en MIVD ruimere bevoegdheden gaf, want de vorige Wiv zou niet voldoende bieden om hun werk goed te kunnen uitvoeren.
Privacy waarborgen door het aan banden leggen van het gebruik van surveillancemaatregelen door de overheid is des te meer van belang door de machtspositie die de overheid heeft tot de burger. Geschiedenis toont ons dat overheden goede intenties kunnen hebben, maar te veel en te ruime bevoegdheden niet per se zorgen voor een veiliger gevoel en een veiligere samenleving waarin alle grondrechten worden gerespecteerd. Voorzichtigheid en een kritische blik is en blijft geboden.
Het Wetboek van Strafrecht ontwikkelt mee
Het Wetboek van Strafrecht (“Sr”) vertelt wat in Nederland illegaal is, de strafbare feiten. Er zijn strafbare feiten die de persoonlijke levenssfeer, op verschillende manieren, beschermen. Dat kan om de fysieke levenssfeer gaan (je mag iemand niet in elkaar timmeren), maar ook om een meer psychische of emotionele levenssfeer. We zien dat digitalisering nieuwe en eerder niet voorspelbare inbreuken van privacy met zich meebrengt. Het wetboek van strafrecht ontwikkelt daarin mee.
Zo is sinds kort doxing verboden. Doxing is het delen of publiek beschikbaar stellen van persoonsgegevens met als doel iemand te intimideren. Denk bijvoorbeeld aan ex-partners die naaktfoto’s of andere gevoelige informatie van hun ex online zetten om hun ex te raken, maar het gebeurt ook om publieke figuren te intimideren. Zoals bij een Groningse ondernemer wiens telefoonnummer en adres online werden gezet, waarna er een brandbom in zijn huis werd gegooid. Als zo iets gebeurt, voel je je in je privacy geschonden. Op 28 juli 2023 is de “Wet strafbaarstelling gebruik persoonsgegevens voor intimiderende doeleinden” gepubliceerd in het Staatsblad, waarmee doxing illegaal werd.
Een ander voorbeeld van de ontwikkeling van de toepassing van dit wetboek zagen we in een recente uitspraak van de rechtbank Amsterdam. Daarin verbreedde de rechter de reikwijdte van artikel 139h Sr. Artikel 139h Sr verbiedt het vervaardigen (beschikken en openbaar maken) van seksueel beeldmateriaal zonder toestemming. In dit geval was er een deepfake pornovideo gemaakt en op het internet gezet van een vrouw die hier geen toestemming voor had gegeven. Daar deed de vrouw aangifte tegen. De vraag was of de deepfake video als een ‘afbeelding van seksuele aard’ gezien kon worden, wat volgens de rechter zo is, hoewel bij het invoeren van artikel 139h Sr niet expliciet gesproken is over digitaal of anderszins gemanipuleerde afbeeldingen. Volgens de rechter vallen ook nieuwe en toekomstige vormen van wraakporno hieronder. De rechter benadrukt dat dit artikel tussen een reeks van artikelen staat in het Wetboek van Strafrecht die de privacy van personen beoogt te beschermen. In dit geval was dat de seksuele privacy van de persoon in kwestie (nogmaals een bevestiging van de titel van dit stuk). De wetgever zelf is in de Kamerstukken II 2018/2019, 35080 ook helder over het beschermen van privacy via de strafrechtelijke weg: “De strafrechtelijke aanpak is gericht op situaties waarin iemand bewust de privacy van een ander schendt.”.
Briefgeheim
In 1848 kwam het briefgeheim in de Grondwet: “Het briefgeheim is onschendbaar, behalve, in de gevallen bij wet bepaald, op last van de rechter”. Dat betekent dat brieven en andere berichten niet geopend mogen worden, behoudens uitzonderingen. Vrij recent is dat briefgeheim gewijzigd naar een brief- en telecommunicatiegeheim. Dit briefgeheim is, hoewel een op zichzelf staand grondrecht, ook een essentieel onderdeel van het recht op een persoonlijke levenssfeer en het beschermen van persoonsgegevens.
Privacy is all around
We hebben allemaal wel eens meegemaakt dat we rustig op het toilet zitten en opeens je grootste nachtmerrie waarheid wordt. Je ziet de klink naar beneden gaan en probeert nog naarstig naar voren te gaan om die klink te grijpen. Tevergeefs! Iemand trekt de deur los. Mi-sè-re.
Dat gevoel? Dat is nou precies privacy. Het gekke aan dit grondrecht is dat je vaak pas voelt wat het precies is en waar de grenzen liggen, als er een inbreuk op wordt gemaakt. Als je recht op privacy geëerbiedigd wordt, zal je je er weinig bewust van zijn. Komt dan opeens iemand te dicht bij je tijdens een gesprek op een borrel? Dan kan je je opeens wel weer – op een hele letterlijke manier – bedreigd voelen in je persoonlijke levenssfeer. Dit gevoel zullen mensen ook herkennen die ooit zijn overvallen. Zoals wanneer iemand in je huis iets heeft gestolen terwijl je thuis was, of als iets uit je tas is gestolen terwijl je er zelf gewoon bij was en je het niet door had. Het geeft een unheimisch gevoel.
Nu onze levens zich steeds meer digitaal afspelen, lopen we ook tegen steeds meer digitale versies van de hiervoor genoemde situaties aan. Denk aan het per ongeluk weggeven van je inloggegevens na een phishing e-mail, iemand die jouw foto’s opeens heeft door een datalek, of als je ziet dat je camera of microfoon aanstaat zonder dat je het doorhad (waar veel mensen mee stoeiden tijdens het volledig thuiswerken in de coronalockdowns). Er is ook een verweving van die twee werelden. Zoals bijvoorbeeld op het moment dat je oppast als oma op je kleinkind en je een appje krijgt van je schoonzoon dat de baby aan het huilen is, terwijl jij nog de trap oploopt. Opschieten!
Overzicht. De AVG heeft internationaal de lat echt hoog gelegd voor het beschermen van persoonsgegevens en is essentieel in het borgen van privacy. Dat is een belangrijke omwenteling geweest: organisaties konden er niet meer aan ontsnappen. De rappe technologische ontwikkelingen en digitalisering brengen nieuwe – en vaak niet te voorspellen - inbreuken op privacy met zich mee en daarmee nieuwe uitdagingen voor de privacyprofessional. Die digitalisering brengt ook een lawine aan nieuwe wet- en regelgeving voort, waarin privacy wordt nagestreefd en waarmee de implementatie van de AVG veel kruist. Wees je bewust van hoe privacy door deze nieuwe digitaliseringsvraagstukken en wetgeving heen groeit.
Doe een stapje terug en houd overzicht. Alleen op die manier zullen we de wet- en regelgeving in de praktijk zo toepassen, dat we privacy écht waarborgen.
Is jouw organisatie AVG-compliant?
Doe de AVG-checklist.
