Privacy in Europa: wie komt op voor de burger?
Verslag van debatavond Privacy First
Op 19 september jl. organiseerde Privacy First in een volle zaal o.l.v. Nelleke Groen een enerverende debatavond over privacy in Europa. Hieronder een korte impressie:
Door Ellen Timmer
Europa vergeet de burger
Er werd gesproken door universitair docent en Platform Burgerrechten-voorzitter Tijmen Wisman over theorie en werkelijkheid van gegevensbescherming en burgerrechten in Europa. Strekking van zijn betoog was dat Europa wel hoog opgeeft van de bescherming van burgerrechten en privacy, maar dat er veel regelgeving in de steigers staat of al is gerealiseerd, waarin aan de burger nauwelijks is gedacht. Voorbeelden daarvan zijn de slimme energiemeter en de Europese regels voor de ‘slimme’ auto (onder meer eCall): bedrijven en overheden halen ongecontroleerd persoonsgegevens naar zich toe en aan de risico’s voor burgers wordt vrijwel niet gedacht. Overheden geloven in de verkoopverhalen van de IT-industrie, die op zoek is naar grootschalige data om hun machine learning systemen mee te voeden, en die beweren dat de overheid beter, efficiënter en (vooral) goedkoper zou worden door middel van IT. In zijn optiek gaat de Europese ‘Health Data Space’ er toe leiden dat burgers melkkoeien van medische data zullen worden. De burger is een biljartbal op het Europese biljartlaken en wordt naar believen gerold zoals overheden en bedrijven dat lucratief vinden. Wisman bepleit dat zowel in Europa als in Nederland weer aandacht komt voor het burgerbelang, waarbij hij onder meer naar de publicaties van Herman Tjeenk Willink verwijst.
Hij eindigt met een oproep aan burgers om zich te organiseren en een tegenwicht te bieden aan de overheid en de lobby van het grootbedrijf.
Techneuten maken de regels: ‘standaarden’
De tweede spreker, Jan Smits, legt uit dat de nieuwe trend is dat regels door technische mensen worden gemaakt. Die regels heetten vroeger ‘normen’ (denk aan de NEN) en worden tegenwoordig in navolging van de Engelstalige terminologie ‘standaarden’ genoemd. In die standaarden zitten allerlei beleidskeuzes verstopt, zonder dat daarover democratisch is gediscussieerd.
Smits maakt zich er zorgen over dat via de AI Act regels zullen worden gemaakt door techneuten. Daarbij is het gevaar dat er geen aandacht is voor de burger. Dat heeft er onder meer mee te maken dat de AI Act is gebaseerd op artikel 114 van het Europees verdrag, dat gaat over de Europese markt. Grondrechten spelen in artikel 114 een beperkte rol.
Smits maakt zich grote zorgen over de rechtsstatelijkheid van Europa, nu het belang van het bedrijfsleven meer en meer voorop staat, het toezicht wordt geprivatiseerd en de standaardisatieorganen traditioneel niet bezig zijn met de belangen van burgers. Een lichtpuntje is volgens Smits dat in de AI Act (of de uitvoeringsregels) wordt gesproken over een rol van burgerrechtenorganisaties, waarbij echter geen antwoord wordt gegeven op de vraag waar die organisaties de fondsen vandaan halen om de mensen te betalen die namens hen bijdragen aan het formuleren van de standaard (traditioneel dragen de bedrijvenorganisaties die deelnemen die kosten zelf).
Massaclaims tegen grondrechtenschendingen
Privacy-advocaat Eliëtte Vaal spreekt over de oorsprong en rol van de Algemene Verordening Gegevensbescherming (AVG) en over de toenemende handhaving (al is het lang niet genoeg). Problematisch is dat de Autoriteit Persoonsgegevens wel veel bevoegdheden heeft, maar te weinig middelen, waardoor veel blijft liggen. Voor individuele burgers is het lastig om zaken aan de rechter voor te leggen, zodat de stimulans voor bedrijven en organisaties om de AVG na te leven ontbreekt.
Collectieve acties bieden een mogelijke oplossing. Zo heeft de rechtbank Amsterdam in een collectieve actie tegen Facebook laten zien dat men niet bang is om Big Tech aan te pakken. De nieuwe regelgeving inzake massaclaims (WAMCA) kent als voordeel dat belangenorganisaties rechtstreeks schade kunnen claimen namens betrokkenen. Dit heeft tot gevolg dat een toenemend aantal burgerrechtenorganisaties procedures start tegen AVG-zondaars. Een voorbeeld daarvan is de procedure die de Consumentenbond tegen Google is gestart.
Eliëtte is zelf betrokken bij de door Privacy First mede-opgerichte massaclaimstichting CUIC (Consumers United in Court), die een procedure tegen gegevensbeschermingszondaar Avast gaat starten. Zij roept iedereen die in het verleden Avast software heeft gebruikt op om hieraan deel te nemen.
Medische datahonger
De laatste spreker was Jona Walk, die zich zorgen maakt over de grenzeloze behoefte van bedrijven en overheden aan medische persoonsgegevens. Ook al zijn er nuttige toepassingen voor medische data te bedenken, zoals het verbeteren van de kans van slagen van behandelingen en het voorkomen van bijwerkingen, het ongeremd verzamelen en ongecontroleerd verspreiden van medische persoonsgegevens is zeer riskant voor burgers.
Er is onvoldoende controle op misbruik door bedrijven van de verkregen gegevens.
Een ander risico is dat de overheid zich door middel van de verkregen data op een onjuiste manier met de gezondheid van mensen gaat bemoeien, wat kan wringen met de grondrechten. Beïnvloeding van mensen wordt makkelijk als er veel persoonsgegevens zijn.
De ontwikkeling naar grote medische gegevensverzamelingen en grootschalig en ongecontroleerd delen van die gegevens vindt plaats zonder de gewenste maatschappelijke discussie. Die discussie moet onder meer gaan over vragen als:
- voor welke doelen de gegevens worden verzameld en verspreid;
- hoe wordt gecontroleerd dat overheden en bedrijven zorgvuldig met de gegevens omgaan;
- hoe een burger kan signaleren dat er fouten worden gemaakt en hoe die fouten gecorrigeerd worden;
- welke alternatieven worden geboden aan degenen die hun gegevens niet willen verschaffen respectievelijk verspreiden;
- hoe afhankelijkheid van grote IT-leveranciers buiten de EU wordt voorkomen.
Zowel artsen als degenen die zij behandelen hebben een naïef vertrouwen in digitale systemen en denken niet na over de risico’s.
Lees ook de samenvatting van Jona’s betoog op haar weblog. Jona is tevens actief bij vereniging De Vierde Golf.
Tot slot
Het was een interessante avond over onderwerpen waaraan de politieke partijen die straks aan de verkiezingen gaan deelnemen meer aandacht zouden moeten besteden.