ZBC Kennisbank

Niet elke inbreuk op je privacy is erg

 

In de hype over privacy worden gemakshalve alle inbreuken op één hoop gegooid en gezien als datalek. En dat is niet terecht. Als je dat doet, dan is elk sociaal verkeer, is iedere samenwerking, is alle dienstverlening onmogelijk. En dat is wel het laatste wat we met elkaar moeten willen.

In de praktijk doen we er ook helemaal niet zo moeilijk over. We vullen vragenformulieren in, die ons voorgelegd worden, we delen informatie via Facebook, LinkedIn en andere social media en op allerlei sites laten we persoonsgegevens achter in ruil voor iets, dat we leuk of handig vinden. We weten allemaal dat die informatie door anderen gebruikt wordt om er beter van te worden. Meestal gebeurt dat in de vorm van gerichte advertenties, die aansluiten bij onze behoeften. We kunnen ons daar wel aan ergeren, maar omdat het nog steeds onze eigen keuze is op welke advertenties we doorklikken, ondervinden we hiervan geen schade.
Een stapje verder gaat het als we een ernstige ziekte hebben, waardoor we te maken krijgen met allerlei zorgverleners. Het is dan hoogst irritant als elke zorgverlener ons opnieuw om de informatie vraagt, die een andere zorgverlener eerder al lang heeft vastgelegd. We gaan er vanuit, dat deze toch wel gevoelige persoonsgegeven gedeeld worden tussen zorgverleners. Als er dan toevallig wat informatie weglekt, dat vinden we dat minder erg dan dat essentiële informatie bij de zorgverleners ontbreekt. Kortom, eigenlijk eisen we van zorgverleners dat zij inbreuk maken op onze privacy. En eigenlijk stellen we dergelijke eisen ook aan onderwijsinstellingen, overheden, werkgevers, familie en kennissen. We verwachten dat zij relevante persoonsgegevens van ons hebben. We raken zelfs geïrriteerd als blijkt dat ze die niet hebben. Kortom, we willen dat de door ons gewenste inbreuk op onze privacy wordt gemaakt.

De grondwet blokkeert gewenste inbreuk op mijn privacy

Privacy is echter ook een grondrecht, dat is vastgelegd in de grondwet artikel 10:

  1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
  2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
  3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Het gaat dus om eerbiediging van de persoonlijke levenssfeer. Waarden achter privacy zijn:

  • zelfstandigheid (bijvoorbeeld de mogelijkheid om bepaalde handelingen uit te voeren);
  • vrij blijven van stigmatisering (bijvoorbeeld niet op een bepaalde wijze behandeld worden op basis van bepaalde kenmerken);
  • gelijkheid (bijvoorbeeld het op de zelfde wijze benaderd worden als andere betrokkenen);
  • vrij blijven van manipulatie (bijvoorbeeld niet beïnvloed worden op gedrag op basis van een (afwijkend) levenspatroon);
  • integriteit (bijvoorbeeld in het geval van het aanbieden van relatiegeschenken);
  • ongestoord leven (waarbij het bijvoorbeeld kan gaan om identiteitsfraude of (onaangenaam) afbreken van rust en stilte).
  • eigenwaarde (bijvoorbeeld geen afbreuk aan persoonlijkheid).
  • autonomie (bijvoorbeeld geen beperking van de vrijheid om eigen regels te volgen).

Vooral van zaken als stigmatisering, ongelijkheid, manipulatie en niet ongestoord kunnen leven kunnen we last hebben. We zijn dus blij dat we hier tegen beschermd worden. Dat betekent alleen wel, dat inbreuken op onze privacy, zoals die in het vorige hoofdstuk staan beschreven, ook niet mogen.
Nu zijn er reparatiewetjes die gewenste inbreuk op de privacy wel mogelijk maken. De AVG is eigenlijk de verzameling van die reparatiewetjes en maakt het aan de ene kant mogelijk dat er inbreuk op onze privacy wordt gemaakt en beschermt anderzijds onze privacy. Maar daardoor is het geen wonder, dat die AVG een boekwerk is van 100 A4-tjes  en zoveel uitzonderingen bevat, dat nog steeds niet duidelijk is wat wel en niet mag.

Het essentiële verschil, dat de AVG niet onderkent

Bij het opstellen van de AVG is er daarnaast natuurlijk door allerlei partijen ook nog eens druk gelobbyd. Mensenrechten activisten wilden maximale bescherming van personen. Marketingbureaus wilden de ruimte hebben om profielen op te stellen van individuen, uiteraard om commercieel gewin. Opsporingsdiensten en verzekeraars wilden profielen op kunnen stellen van individuen om snel verdachte personen te kunnen traceren.
Juist door deze lobby is een essentieel verschil weggegevallen, het verschil tussen de persoonsgegevens van één persoon en die van een databank met gegevens van heel veel individuen, waarop selecties gemaakt worden die leiden tot onterechte stigmatisering, waardoor personen ineens tot een categorie gaan behoren, die zich niet meer adequaat kan verzekeren of tot een groep, die in potentie verdacht wordt van fraude van de sociale voorzieningen. En dan treedt manipulatie op.
Strikt genomen bevat de AVG hiervoor ook wel weer beschermingsmaatregelen. Deze werken echter vaak niet in de praktijk. Want onze persoonsgegevens komen voor in allerlei databanken die we niet kennen. We weten niet in welke databanken ze voorkomen en aan wie ze worden verkocht en met wel doel. Kortom, er is geen controle meer over de verwerking van onze persoonsgegevens.
Het zijn juist vaak de grote techbedrijven, die de databanken bezitten. Zij liggen niet wakker van de AVG. Ze kunnen financieel vaak ieder juridisch gevecht aan. Hun juristen winnen tijd in het proces van armpje drukken met Brussel, tijd waarin boetes alvast worden terugverdiend. In dit spel is het individu dat toestemming moet geven voor het gebruik van zijn persoonsgegevens, van geen enkel belang meer. De AVG staat datahandel toe. En dat gaat niet over jouw en mijn gegevens. Het gaat over ons profiel, waardoor we ineens blootstaat aan stigmatisering en manipulatie zonder dat we daar invloed op hebben.

Bang zijn voor de AVG?

We zien nu echter, dat allerlei organisaties bang worden voor de AVG. Mede ook door de dreiging van reputatieschade, door journalisten en gebruikers van social media, die eigenlijk amper snappen hoe het spel gespeeld wordt. Vooral zij gooien alles op één hoop en zij gaan in op een incidenteel datalek van een individu of een kleine groep burgers. Dat, terwijl er tal van permanente datalekken zijn waardoor de persoonsgegeven van miljoenen burgers zonder noemenswaardige controle continu over onze aardbol worden gesleept.
Natuurlijk is de Autoriteit Persoonsgegeven in haar nopjes met alle aandacht voor privacy. Ze kijkt echter wel uit om op te treden als handhaver die boetes uitdeelt. Wanneer een organisatie namelijk gewoon zorgvuldig omgaat met persoonsgegevens (zie ook ‘AVG is vooral een afweging en geen verplichting’) en kan aantonen, dat zij hiertoe een zorgvuldige afweging heeft gemaakt, dan zal een rechter gehakt maken van een buitenproportionele boete in geval van een incident.
Laat je dus als bedrijf vooral niet gek maken door al die regeltjes van de AVG, waarvan juristen en consultants zeggen dat je je daaraan moet houden. Leg je afwegingsproces vast en verder ben je snel klaar. (Zie ook ‘Je privacy op in twee maanden op orde voor de AVG’). Voor jou geldt immers al jaren dat je werkt in het belang van je klant, cliënt, student, patiënt of de burger. Je hebt helemaal geen intentie om in de datahandel te stappen. Natuurlijk kan altijd een incident plaatsvinden. Maar voorkom dat dit ineens leidt tot een bureaucratie waar betrokkenen en jezelf niet op zitten te wachten. (Zie ook ‘Privacy of bureaucratie is een keuze’.)

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen. Ook geeft ZBC cursussen over privacy.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 3 januari 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *