Privacy - Wat niemand over je mag weten

Privacy onder de aankomende Europese privacy verordening

10-06-2014, 21:13 door luukschoen, 10 reacties
Hoi allemaal,

In het kader van mijn studie Informatica ben ik de afgelopen periode aan de slag gegaan met het thema safety, security en privacy. Vooral in dat laatste heb ik mij de afgelopen periode verdiept en dan met name de Europese privacy verordening. Ik heb hier een artikel over geschreven en ik ben benieuwd wat jullie hiervan vinden. Het is een flink stuk, dus ik heb er hier en daar wat in gesneden om het overzichtelijk te houden. Evengoed een lang stuk, maar ik zou het fijn vinden om te horen wat jullie ervan vinden.

-----

Sinds Edward Snowden in juli 2013 bekend maakte dat de NSA (National Security Agency) wereldwijde communicatie in de gaten hield met zijn PRISM programma, lijkt iedereen zich pas bewust te worden van de gevaren die er bestaan voor zijn of haar privacy. Niemand zijn informatie en daarmee zijn privacy is meer veilig, zo lijkt het. En misschien klopt dit ook wel. De Europese Unie ziet in ieder geval genoeg wet- en regelgeving die verbeterd kan worden als het aankomt op de privacy van haar burgers. Om die reden wordt er gewerkt aan een Europese privacy verordening (verder EPV). Dit voorstel van de Europese Commissie om een nieuw regelgevend kader op te stellen betreffende de bescherming van individuen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van deze gegevens is nog niet officieel doorgevoerd. Er valt echter al genoeg op aan te merken. In dit artikel zullen we dieper ingaan op dit voorstel en op de mogelijke verbeteringen die deze met zich meebrengt.

In dit artikel zal het nieuwe ontwerp van de EPV centraal staan. Daarbij behandelen we de volgende vraag: kan de Europese Unie de privacy van haar burgers in de toekomst voldoende waarborgen met de komst van de nieuwe Europese privacy verordening?

Het doel is om uit te zoeken of burgers binnen de Europese Unie voldoende beschermt worden tegen organisaties als het aankomt op de waarborging van hun privacy. We kijken dan naar de persoonsgegevens van de burgers en of daar op een goede manier mee omgesprongen wordt in de toekomst. We testen dus of de aankomende wet- en regelgeving voldoende is. Mocht dit niet het geval zijn, kan er een aanbeveling of toevoeging volgen op het voorstel.
?
Het begrip privacy
Als het aankomt op privacy roept iedereen dat deze heilig is. Kijken we naar de definitie van privacy, dan definieert de Van Dale deze als volgt: “privacy is de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven. Daarbij komt tegenwoordig: zelf bepalen wie welke informatie over ons krijgt en de wens onbespied en onbewaakt te leven. ”

Als we kijken naar de definitie van privacy valt op dat deze verre van eenduidig is. Privacy beslaat namelijk veel meer dan alleen een onbespied en onbewaakt leven leiden. Om privacy wat beter te begrijpen brengen we de definitie terug naar de volgende: privacy betekent dat iemand dingen kan doen zonder dat de buitenwereld daar inbreuk op maakt of weet van heeft. Deze definitie versimpelt het begrip enigszins, maar volstaat om verder in dit artikel mee aan de slag te kunnen gaan.

Het belang van het beschermen van onze privacy en persoonsgegevens
Waarom is het nu zo belangrijk dat onze privacy wordt gewaarborgd? Allereerst is het niet voor niets vastgelegd in het Nederlandse recht als grondrecht. Dit recht kan alleen beperkt worden mits de wet daarom vraagt. Zo kan het bijvoorbeeld voorkomen dat bij het opsporen van misdaden het recht op privacy ondergeschikt is aan de wetgeving. Immers, je wil niet dat het recht op privacy ervoor zorgt dat mensen die opereren buiten de wetgeving om, zomaar overal mee weg kunnen komen.

Omdat privacy altijd onderdeel zal zijn van ethische kwesties, bestaat er altijd een zekere spanning tussen het handhaven van privacy en andere belangen. En juist omdat privacy een recht betreft en niet is gewaarborgd door wetgeving, veroorzaakt de opkomst van het internet en nieuwe technologieën een precaire situatie. Er is steeds meer mogelijk met de hedendaagse techniek. Deze zelfde techniek maakt het echter ook mogelijk voor bedrijven en overheden om steeds meer te weten te komen over burgers. Vaak zonder dat zij dit zelf in de gaten hebben en dat maakt het des te gevaarlijker.

Er wordt nu nog vaak gedacht dat het niet uitmaakt wat bedrijven of overheden over ons kunnen vinden. Je hebt immers niks te verbergen toch? Er bestaat echter altijd een risico als de informatievergaring door derden ongebreideld door kan gaan. Zo kan het bijvoorbeeld zijn dat er wordt gedaan aan profiling. Deze methode behelst het verzamelen van informatie over een individu om zo een profiel te kunnen schetsen van iemand. Op basis van dit profiel kunnen dan automatisch acties worden ondernomen. Omdat ingewikkelde systemen en algoritmes zorgen voor het automatisch profileren van individuen, bestaat er ook de kans dat dit op een verkeerde manier wordt gedaan. Zo kan een individu slachtoffer worden van toevallige omstandigheden en loopt hij een zeker risico door verkeerde profilering.

Dat onze huidige privacy regelgeving nu niet meer dan een wassen neus bleek te zijn, kwam duidelijk naar voren na de bekentenissen van Edward Snowden in juli 2013. Want hoe kan het dat overheden jarenlang data over ons verzamelde, zonder dat wij ons hier bewust van waren? Er is inmiddels een grote discussie omtrent privacy op gang gekomen en dat is een goed zaak. Hieruit voortvloeiend wordt er een EPV opgesteld. Deze EPV moet onze privacy beter gaan waarborgen. Maar hoe is dit nu precies geregeld?

Huidige inrichting regelgeving
Op dit moment is de regelgeving omtrent privacy met name op landelijk niveau geregeld. Dat betekent dat er binnen de Europese Unie alleen gefragmenteerde regelgeving bestaat als het gaat om de bescherming van persoonsgegevens. Overkoepelend bestaan er alleen enkele richtlijnen waar landen zich aan kunnen houden. Deze zijn opgesteld in 1995 en houden dus amper rekening met de opslag van online data.

Het leidt ertoe dat lang niet alle burgers binnen de Europese Unie op een voldoende niveau zijn beschermd tegen inbreuk op hun privacy. Met het aankomende EPV wil de Europese Unie ervoor zorgen dat niet alleen de regelgeving uniform wordt voor alle deelstaten van de Europese Unie, maar ook dat zij een front kan vormen tegen Amerika. Op dit moment is het mogelijk voor Amerikaanse instanties om persoonsgegevens te verzamelen van de burgers in Europa. Dit heeft te maken met het feit dat de Amerikaanse wetgeving er niet of nauwelijks in voorziet hoe er om moet worden gesprongen met persoonsgegevens en omdat er niet bij wet is vastgelegd dat dit niet mag, kan deze gegevensverzameling vrij plaatsvinden.

Toekomstige inrichting regelgeving
De huidige richtlijnen betreffende persoonsgegevensbescherming heeft twee doelstellingen. Dit zijn het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen de lidstaten garanderen. Door de technologische ontwikkelingen van de afgelopen jaren, is de roep om nieuwe richtlijnen toegenomen. Gegevensdeling vind op veel grotere schaal plaats dan voorheen en de Europese Unie verwacht dat een gebrek aan vertrouwen consumenten zal doen aarzelen om online transacties te verrichten. Hoe dit gebrek aan vertrouwen is ontstaan, wordt verder in het midden gelaten in het EPV. Het EPV zal de richtlijnen gaan vervangen. Dit betekent in tegenstelling tot richtlijnen, dat alle EU-lidstaten verplicht zijn de verordening over te nemen. Bij een richtlijn was er nog ruimte voor interpretatie.

In de nieuwe verordening zijn de volgende bepalingen voorgesteld :
- het inrichten van één toezichthoudend orgaan voor alle EU-lidstaten
- het recht om vergeten te worden
- strengere eisen aan de beveiliging van persoonsgegevens
- no-NSA clausule
- meldplicht datalekken
- pseudonieme data
- aanstellen interne toezichthouder bij verwerken van > 5000 persoonsgegevens
- expliciete toestemming van gebruiker
- boetes voor organisaties bij overtreding voorgestelde regels

Duidelijk is dat er een hoop gaat veranderen als we kijken naar het EPV. De impact zal vooral groot zijn bij organisaties die persoonsgegevens verwerken. Ze hoeven niet direct actie te ondernemen, maar er is een overgangstermijn van twee jaar. Het algemene idee is dat privacy moet worden ingebed in de organisatie. Pas dan kan privacy daadwerkelijk worden gewaarborgd. Dit principe heet privacy by design & default.

Conclusie
De kern van de op handen zijnde EPV lijkt duidelijk. Door de technologische vooruitgang in de afgelopen twintig jaar is wet- en regelgeving achter gaan lopen op de werkelijkheid. Daar wordt nu door bedrijven en overheden volop gebruik van gemaakt. Dit is niet illegaal, maar zij zoeken wel de grenzen op van wat wel en niet is toegestaan. Het kan ons recht op privacy daarmee behoorlijk aantasten.

De maatregelen die worden voorgesteld in het EPV zijn zeker een grote stap in de goede richting. Het recht om vergeten te worden, de no-NSA clausule en het aanstellen van een onafhankelijke toezichthouder voor de handhaving van deze maatregelen kunnen een sterk wapen zijn in de strijd tegen het verzamelen van privacygevoelige data. Ik denk dat de EPV echter nog sterker was geweest als de verordening ook had aangestuurd op de data opslag zelf. Daarmee wil ik zeggen dat er ook aangestuurd kan worden op het verleggen van het eigenaarschap van data.

Op dit moment kunnen organisaties vrij data verzamelen. Zij claimen daarna eigenaar te zijn van deze data. Eigenlijk is het raar dat wij als individu (soms verplicht) privacygevoelige gegevens moeten afstaan, maar daar vervolgens geen eigenaar van zijn. Met andere woorden, de betreffende organisatie kan daar dus van alles mee doen.

Zoals opgenomen in het EPV, biedt het recht om vergeten te worden een redelijke oplossing. Burgers kunnen een verzoek indienen bij een organisatie om te kijken welke gegevens een organisatie over hen heeft. Het moet in praktijk gaan blijken hoeveel mensen zich daadwerkelijk op dit recht zullen gaan beroepen. Ik zou willen opteren voor verder gaande maatregelen en daarom een aanbeveling willen doen.

Nu er meer bewustzijn bij burgers is omtrent hun privacy, lijkt het mij een goed moment om over te stappen op een ander model. Data opslag zou daarbij niet meer ‘statisch’ moeten plaatsvinden, maar dynamisch. Burgers kiezen in die situatie expliciet welke data er over hen gebruikt mag worden en welke data niet. Tevens kunnen zij eenvoudig verzoeken om data te verwijderen en moeten zij kunnen aangeven hoelang data mag worden opgeslagen. Dit laatste zou ook bij wet geregeld kunnen worden. Een maximale opslagduur van twee jaar zou daarbij niet ondenkbaar zijn.

Duidelijk is dat privacy en dan met name het misbruik van persoonsgegevens hoog op de Europese agenda is komen te staan na het NSA schandaal. Wet- en regelgeving is verouderd en deze dient daarom te worden herzien. Of de verordening ook daadwerkelijk zo dwingend uitpakt als dat deze is opgesteld, moet de praktijk gaan uitwijzen. Ik zou graag zien dat de verordening nog verder gaat in de maatregelen om Europese burgers te beschermen, maar we gaan in ieder geval een nieuw tijdperk tegemoet.

Discussiepunten
In dit artikel wordt met name gesproken over de definitie van privacy, het belang van persoonsgegevensbescherming, de huidige wet- en regelgeving en de toekomstige wet- en regelgeving. In de conclusie wordt vervolgens in gegaan op het al dan niet toereikend zijn van de EPV. Er wordt verder geen onderscheid gemaakt tussen het bedrijfsleven en overheden. Het zou heel goed kunnen dat de EPV wel volstaat voor het inperken van dataverzameling voor het bedrijfsleven, maar niet voor overheden.

Een onafhankelijk orgaan zou het naleven van deze regels moeten gaan waarborgen. Maar als dit geïnstantieerd wordt door een Europese mogendheid of in dit geval door de Europese Unie, in welke mate zijn wij als burgers dan beschermd tegen onze eigen overheid? Het is een punt dat m.i. beslist wordt op vertrouwen. Duidelijk is dat de EPV een stap is van de Europese Unie om het vertrouwen van haar burgers terug te winnen.

Verder zijn de maatregelen die zijn opgenomen in het EPV wel benoemd, maar niet verder uitgediept. Dit past niet binnen de scope van dit artikel, omdat deze anders te omvangrijk zou zijn geworden.
Reacties (10)
11-06-2014, 13:05 door FlamingFireFunky
Goed stuk, weinig op aan te merken, behalve hier en daar een taalfoutje.
11-06-2014, 14:01 door Anoniem
Dankjewel voor je feedback. Heb er inderdaad nog wat spelfouten uit kunnen halen. Is het stuk goed te volgen?
11-06-2014, 17:09 door FlamingFireFunky
Ja vind ik wel, mits het wordt gelezen door je doelgroep.
12-06-2014, 11:38 door Preddie
Leuk stuk om te lezen, misschien dat je in het eerst stuk ook het VN-verdrag voor burger en politieke rechten kunnen aansnijden.

In artikel 17 van dit verdrag is ook een definitie van privacy beschreven;

- Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam.
- Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting.

Verder is het misschien een idee om de beoogde verscherping van privacy naast - door europa gesubsidieerde - privacy schendende projecten te houden zoals project Indect. Dergelijke activiteiten staan haaks op de beoogd EPV en is ook na de onthullingen van Snowden niet stopgezet of uberhaupt belicht. Het heeft er dus alle schijn van dat het EPV voor de Bühne is en maar dat er werkelijk verder wordt gewerkt aan plannen waarvan we de impact niet eens kunnen voorstellen ....
12-06-2014, 18:01 door Anoniem
Dank je wel voor je stuk. Ik mis het volgende: een van de doelstellingen van de nieuwe EPV moet ook zijn om tot duidelijke afspraken te komen over de werking van unilaterale wetten van de VS binnen Europa, zoals de Patriot Act. Niet alleen van oorsprong US-bedrijven vallen hier onder, maar ook Europese bedrijven die een US-dochter hebben (zoals KPN) of bedrijven die "structureel/ duurzaam bedrijfsactiviteiten ontplooien in de VS". Deze wetgeving is niet alleen vrij onduidelijk, maar kan ook strijdig zijn met nationale of Europese privacywetgeving. Let op: deze discussie staat weer los van de NSA-discussie.

Wellicht kun je hier nog op in gaan?
15-06-2014, 20:39 door Anoniem
Dankjewel. Ik ga dit zeker nog overwegen om mee te nemen.
16-06-2014, 10:51 door Anoniem
Qua privacy worden er ook grove fouten gemaakt door de overheid.

B.v. advies van de minister: maak het burgerservicenummer onleesbaar bij het maken van kopieen van je paspoort.
Als ZZP-er is je BTW-nummer gelijk aan je....... burgerservicenummer.

Bij buitenlandse opdrachten hebt je als ZZP-er op dat vlak dus geen privacy omdat je zowel een kopie paspoort als BTW-nummer moet aanleveren.
16-06-2014, 13:32 door Anoniem
"Sinds Edward Snowden in juli 2013 bekend maakte dat de NSA (National Security Agency) wereldwijde communicatie in de gaten hield met zijn PRISM programma, lijkt iedereen zich pas bewust te worden van de gevaren die er bestaan voor zijn of haar privacy. "

Prism is een van de vele onthullingen van Snowden omtrent NSA surveillance ?

"Daarbij behandelen we de volgende vraag: kan de Europese Unie de privacy van haar burgers in de toekomst voldoende waarborgen met de komst van de nieuwe Europese privacy verordening? "

Wat is voldoende, en wie bepaalt dat ?
23-06-2014, 13:52 door Anoniem
Klopt, maar PRISM is natuurlijk wel de meest in het oog springende daarvan. Dat waardoor mensen zich daadwerkelijk bewust worden van de omvangrijkheid van het probleem. Vragen als wat is voldoende en wie bepaald dat vallen denk ik buiten de scope van dit stuk, maar zijn desalniettemin vragen waar de schrijver over na kan denken.
23-06-2014, 15:30 door Anoniem
"no-NSA clausule"

Zal er nooit doorheen komen, al is het maar omdat EU lidstaten geen inzage zullen willen geven aan Brussel omtrent de vraag met welke diensten gegevens worden uitgewisseld, alsmede vanwege het feit dat men controle over deze zaken toch liever in eigen hand zal houden.

De kans dat deze clausule er daadwerkelijk zal komen, en effectief zal zijn, lijkt mij vrijwel uitgesloten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.