2004: Big Brothers verdwijnen nooit meer

Wie zich niet aan wettelijke privacyvoorschriften houdt, loopt de kans beboet te worden. Dat gebeurde eind 2003 voor het eerst. Het CBP legde in december aan drie organisaties - een gemeente en twee bedrijven - een boete op, in dit geval opgelegd wegens het niet nakomen van de meldingsplicht. De boetes variëren van drie tot vijftien duizend euro. In september 2001 trad de nieuwe privacywet in werking en deze regeling kent een strakker regiem dan haar voorganger. De WBP gaat namelijk uit van de verwerking van persoonsgegevens; een ruimer begrip dan aanleg en gebruik van een persoonsregistratie. Onder de vergrootte reikwijdte vallen vrijwel alle vormen van omgang met persoonsgegevens zoals het verzamelen, de opslag, het bewaren, het vergelijken, het koppelen, het raadplegen en het verstrekken van persoonsgegevens aan een derde. Eén van de voorschriften luidt: het informeren van de burger wanneer er wat met zijn persoonsgegevens wordt gedaan. Dat geldt niet alleen voor de overheid, maar tevens voor de commerciële sector. Deze wettelijke informatieverplichting voor de verantwoordelijke was er al maar is nu uitgebreid. Dus ook ICT-bedrijven moeten hun klanten of prospects dus vaker informeren, afhankelijk van de omstandigheden in het concrete geval: uiterlijk op het moment van verstrekking van de gegevens door de klant, bij het verkrijgen van de gegevens of voor het moment van verkrijging. Alleen al om deze reden doen managers er goed aan een privacyverklaring op hun Website te zetten en de Internet-gebruiker te informeren over het al dan niet gebruiken van bijvoorbeeld de cookie technology en wat ze vervolgens met de aldus verkregen informatie gaan doen. De digitale technologie, bedacht om World Wide Web-gebruikers te individualiseren, komt uit de koker van de in 1994 23-jaar oude Amerikaanse college drop-out Lou Montulli. Hij werkte voor Netscape Communications en zijn werkgever nam de cookie-technologie op in haar browser Netscape Navigator. Daarmee werden de cookies vrijwel meteen een de facto standaard op Internet. Gegevens zijn echter pas persoonsgegevens in de zin van de wet als die gegevens informatie bevatten over een natuurlijk persoon, en die persoon identificeerbaar is. De verwerking van die gegevens moet rechtmatig gebeuren. Dat wil zeggen op een behoorlijke en zorgvuldige wijze en in overeenstemming met de wet. Dat vormt goed beschouwd de crux van de Wet bescherming persoonsgegevens. Zo moet een organisatie allereerst één of meer duidelijk bepaalde en gerechtvaardigde doeleinden voor het verzamelen van persoonsgegevens hebben en deze helder omschrijven. Het doel mag natuurlijk het drijven van handel zijn, en het optimaliseren van de relatie met klanten. Ook het registreren van wanbetalers of agressieve passagiers, anders geformuleerd, het samenstellen van zwarte lijsten mag juridisch. Niet nieuw, maar wel steeds meer op de voorgrond is een modus operandi die onze oosterburen in stafvorderlijke zin treffend als ‘Slepnetzfahndung’ aanduiden; zeg maar met allerlei op maat gemaakte digitale netten in grootschalige databanken met persoonsgegevens vissen en domweg kijken wat er blijft hangen. In feite wordt de burger die geen verdachte is, door toepassing van deze omstreden werkwijze toch als zodanig beschouwd. Dank je wel data mining. Amerikanen doen dat overigens met de informatie die luchtvaartmaatschappijen voor vertrek naar de VS over hun passagiers aan de autoriteiten ‘vrijwillig’ verstrekken. En nu wil onze regering, uit oogpunt van terrorisme bestrijding, dat alle verkeersgegevens van telefoongebruik en communicatie via Internet, bewaard en toegankelijk worden voor veiligheidsdiensten. No way! Privacy betreft een grondrecht en een rechtsgrond voor een algemene bewaarplicht van persoonsgegevens ontbreekt. De registratiewoede van overheid en bedrijfsleven leidt helaas al tot enorme gegevensverzamelingen; laten wij vooral uitermate zorgvuldig omgaan met het recht op bescherming van de persoonlijke levenssfeer in de informatiemaatschappij.