Column: Een zelfstandig grondrecht bescherming persoonsgegevens? Snel, graag!
We leven in een iSamenleving, aldus de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in het rapport getiteld de iOverheid. In deze samenleving neemt het aantal datastromen tussen overheden onderling en tussen de overheid en burgers in een rap tempo toe. En dat gaat met zo'n duizelingwekkende vaart dat de WRR durft te stellen dat het risico bestaat dat de overheid de regie kwijtraakt. Om dit te voorkomen stelde de WRR voor een iCommissie, een iPlatform en een iAutoriteit in het leven te roepen om de uitdagingen van de iSamenleving het hoofd te kunnen bieden. De overheid zag daar niets in—hetgeen overigens niet betekent dat ze het rapport terzijde heeft geschoven; de overheid is echter van mening dat eventuele problemen inzake de ontwikkeling van een iSamenleving niet worden opgelost met het instellen van nieuwe instituties. Hier heeft de overheid naar mijn mening een punt.
Nieuwe ontwikkelingen, nieuwe regels?
De overheid moet niet proberen een zich snel ontwikkelende maatschappij middels nieuwe organisaties of regels te beheersen. Daarvoor gaat alles te snel. Dat betekent natuurlijk ook niet dat men alles op zijn beloop moet laten. De overheid dient de ontwikkelingen in de iSamenleving goed te monitoren en daar waar nodig actie te ondernemen. Zo was er vroeger geen wetsartikel dat het inbreken in computers strafbaar stelde. Toen de netwerkmaatschappij echter vorm kreeg en van niet-voorbijgaande aard bleek te zijn, werd het tijd om de risico's in kaart te brengen en daar waar nodig wetgeving te ontwikkelen. Dat heeft geleid tot wat nu artikel 138ab Wetboek van Strafrecht is. Een mooi voorbeeld van een gepaste reactie van de wetgever op een gepast moment. Een reactie ook waarin de dienende functie van het recht duidelijk naar voren komt, die het recht ook heeft in een zich snel ontwikkelende samenleving. Of misschien wel juist. Het recht moet ontwikkelingen niet voor de voeten lopen. Aan de andere kant moeten sommige zaken heel nauwlettend in de gaten gehouden worden, omdat deze nogal precair zijn en een (te) afwachtende houding niet past.
Onze persoonsgegevens te grabbel?
Denk bij het laatste bijvoorbeeld aan de bescherming van persoonsgegevens in de digitale wereld. Dit baart velen zorgen. En terecht. Zo werd ik een paar dagen geleden door Google gewaarschuwd dat er in Istanboel succesvol was ingelogd op mijn account. Ik was op veel plekken de afgelopen week, maar zeker niet in Turkije. Google vond de inlog-actie zo opmerkelijk dat ze, zonder mij vooraf in te lichten, de geslaagde poging geblokkeerd heeft. Nu was het slechts mijn Google-account, dat toegang geeft tot deze stukjes voor Recht.nl en enkele andere niet heel spannende documenten. Mijn mail loopt bijvoorbeeld niet via Google, maar toch... Het geeft aan wat er kan gebeuren.
Zo moest ik, nadat ik de waarschuwing van Google had ontvangen, onmiddellijk denken aan het uitwisselen van persoonsgegevens door de overheid, in het bijzonder aan een in het eerdergenoemde WRR-rapport (p. 28) staand overzicht van instanties waarmee de Belastingdienst gegevens uitwisselt. Die hoeveelheid instanties is zo schrikbarend dat u en ik bij het zien van het schema onmiddellijk denken: 'Dat moet een keer mis gaan.' Zeker als u bedenkt dat het schema alleen nog maar gaat over de Belastingdienst.
Wat te denken van de gevolgen van de overgang van de zorgtaken van de centrale overheid naar de gemeenten? Heeft u wel eens nagedacht over het feit dat gemeenten daarmee over nog meer informatie over hun burgers gaan beschikken en dat gemeenten deze informatie natuurlijk ook gaan uitwisselen?
En deze week werd tussen neus en lippen aangekondigd dat onze overheid grote hoeveelheden persoonsgegevens van burgers gaat koppelen om daaruit te destilleren of zij frauderen met belasting of uitkeringen. Data mining en patroonherkenning moeten helpen om verdachten eerder te signaleren.
Ik houd inmiddels mijn hart vast. Worden onze persoonsgegevens goed beschermd door de overheid? Heeft iemand daar zicht op? Zou de overheid mij ook een waarschuwing hebben gegeven als een onverlaat een geslaagde inlogpoging heeft gedaan vanaf een vreemde plek of als een daartoe niet-bevoegde gemeenteambtenaar mijn digitale doopceel licht? Ik denk van niet. Vele affaires met mislukte automatiseringsprojecten doen het ergste vrezen, vooral ook omdat men er zo weinig van lijkt te leren.
Zelfstandig grondrecht bescherming persoonsgegevens
Het lijkt mij hoog tijd voor het zelfstandige grondrecht op bescherming van persoonsgegevens, zoals de Staatscommissie Grondwet voorstelt in haar advies aan de regering om de Grondwet te wijzigen. Zoals de commissie stelt, is als gevolg van technologische ontwikkelingen, Europese samenwerking en globalisering de omvang van de uitwisseling en verwerking van persoonsgegevens zo hard gestegen dat een zelfstandig recht voor persoonsgegevens op zijn plaats is. Dat die uitwisseling en verwerking alleen nog maar zullen toenemen, geven de bovenstaande voorbeelden wel aan. Een verzelfstandiging van het recht op bescherming van persoonsgegevens geeft volgens de Staatscommissie uitdrukking aan de toegenomen betekenis van de verwerking van persoonsgegevens en de wenselijkheid van een behoorlijke bescherming in de huidige samenleving. De overheid moet zich dan immers wel inspannen om de gegevens van burgers te beveiligen. Bovendien kan zo'n grondrecht door middel van horizontale werking (link 9) ook zijn invloed hebben in private geschillen.