Ik had onderstaande reactie nog niet gezien en wil er alsnog graag op reageren.
Door Anoniem: Door EersteEnigeEchte M.J. - EEEMJ: Door Anoniem:
De diverse problemen met data, data die in wezen een stuk administratie zijn, zijn ontstaan door de digitale vorm ervan; het zou ondenkbaar zijn dat dit probleem met analoge data (de oude systeemkaarten en boekhoudkundige geschriften) zou zijn ontstaan.
Het probleem deed zich wel degelijk ook voor met wat jij "analoge data (de oude systeemkaarten en boekhoudkundige geschriften)" noemt. Denk aan de uitstekende registratie van bevolkingsgroepen, waaronder Joden, die in Nederland in de jaren dertig van de 20e eeuw werd bijgehouden. Die analoge data werden door het Nazi-regime vanaf 1941 efficiënt gebruikt om deze bevolkingsgroepen eerst te onderwerpen aan allerlei vrijheidsbeperkende maatregelen
(does it ring a bell?), en later om nog veel verder te gaan - maar daar wil ik de huidige situatie zeker niet mee vergelijken.
Dit is in wezen vergelijkbaar met de huidige dataverwerkingsexcessen, maar
1/ analoge data zijn veel gemakkelijker te vernietigen dan digitale omdat ze uitsluitend fysieke, tastbare dragers hebben (die ook door het verzet in de oorlog werden opgeblazen).
2/ Dat waren geen datalekken of data-"hacks" die per ongeluk of door nalatigheid ontstonden en die registraties vonden ook niet plaats om er geld mee te verdienen. Het was werk van de staat, hetgeen illustreert hoe gevaarlijk grootschalig gecentraliseerde dataverzamelingen in handen van de
staat zijn. Iets waarvan ons parlement veel te weinig doordrongen is, wat een niet te onderschatten probleem voor de rechtsstaat is.
De staat is onder alle mogelijke organisaties een geval apart; zij moet uiterst nauwkeurig in de gaten gehouden worden, juist omdat zij de legitimiteit van haar handelen ontleent aan de wil van het volk (zij heeft wettelijke grondslagen voor dataverzamelingen).
In het geval van Nederland als een verzorgingsstaat betekent dit dat de staat heel veel speelruimte heeft; zij kan haar handelen (dataverzamelingen aanleggen en koppelen) snel rechtvaardigen met het argument dat dat noodzakelijk is om haar taak uit te oefenen (voorbeeld: Toeslagenaffaire).
Tot zover ben ik het met je eens. De risico´s dat er met data verkeerde dingen gebeuren zijn bij digitaal opgeslagen data inderdaad nog veel groter, zeker als de datasystemen zijn verbonden met internet.
Door EersteEnigeEchte M.J. - EEEMJ: Door Anoniem: Ik ben het eens met het resultaat van deze experts omdat data een stuk administratie over mij is, die door anderen wordt aangelegd en er daarmee geen sprake kan zijn van een eigendom van mij, eerder van de organisatie die deze administratie over mij aanlegt.
Je gaat hier voorbij aan ten minste twee vragen:
(1) Mogen die
anderen überhaupt zo´n stuk administratie over jou aanleggen?
(2) Waar halen ze de gegevens vandaan die ze in hun administratie opnemen?
Het klopt dat ik in
eerste instantie aan deze vragen voorbijga omdat dat niet het hoofdtopic is waarover deze draad gaat, namelijk of het juridische eigendomsbegrip geschikt is om persoonsgegevens mee te beschermen.[/quote]
Het is wel degelijk uitermate relevant voor het hoofdtopic. Als mijn persoonsgegevens mijn eigendom zijn, mogen anderen die gegevens namelijk alleen registreren (verwerken) als ik als eigenaar ofwel toestemming geef (art. 6 lid1 onder a AVG), ofwel als er een andere, objectiveerbare noodzaak bestaat (art. 6 lid 1 onder b t/m e AVT). Dit is vergelijkbaar met dat ik als eigenaar van een huis alleen toegang hoef te bieden aan wie ik zelf wil, tenzij er een objectiveerbare noodzaak bestaat om anderen toegang te bieden, bijvoorbeeld politierechercheurs die een door een rechter-commissaris getoetste verdenking komen onderzoeken, of als het vermoeden bestaat dat ik acute medische hulp nodig heb en niet in staat ben zelf de voordeur open te doen.
(Noot:
De bezemwagenclausule, art. 6 lid 1 onder f AVG over "gerechtvaardigd belang", is officieel ingebouwd om in speciale gevallen toch recht te kunnen doen aan een situatie, maar lijkt feitelijk te zijn ingebouwd om de AVG tandeloos te maken en de privacy-bescherming op elk moment onderuit te kunnen halen. Inmiddels mogen overheden zich niet meer beroepen op deze clausule, maar door bedrijven wordt er gretig misbruik van gemaakt, en drukken vervolgens hun goedkeurende stempel op dat misbruik. Even afgezien van het misbruik van de bezemwagenclausule. Overigens wordt ook de clausule onder b (noodzaak t.b.v. uitvoering contract) met instemming van rechters structureel misbruikt voor niet-noodzakelijke gegevensverwerking zonder toestemming van de betrokkene, waarbij een machtige organisatie naar eigen wens simpelweg op papier kan zetten in algemene voorwaarden (een zg. "contract") dat de organisatie die gegevens mag verwerken.)
In tweede instantie ga ik daar wel indirect op in door mijn opsomming van eisen, die aan digitale opslag en verwerking van persoonsgegevens gesteld moeten worden om die op een veiligere manier dan nu het geval is vorm te geven.
Nee, je gaat dan in op jouw normen over wanneer verwerking van persoonsgegevens volgens jou gerechtvaardigd is, maar je gaat daarmee niet in op de vraag wie aanvankelijk (
default) effectieve beslissingsbevoegdheid heeft over wat er met die gegevens gebeurt. Het hoofdtopic van deze draad vereist dat die vraag eerst gesteld wordt. Jij slaat die hoofdvraag over en gaat in op secundaire vragen.
Als de dataverzameling een legitiem doel dient (bijvoorbeeld om een dienst uit te kunnen voeren) én op de meest zorgvuldige manier gebeurt, dus met het hoogst bereikbare veiligheidsniveau, zie ik geen andere mogelijkheden, gegeven de digitalisering. Tenzij je elke digitale vorm van opslag van persoonsgegevens wilt verbieden.
Nee. Het is niet nodig een zwart-wit-keuze te maken tussen *ofwel elke digitale vorm van opslag van persoonsgegevens volledig te verbieden, *ofwel het eigenaarschap over die gegevens weg te halen bij de betrokkene en net te doen alsof de vraag naar effectieve beslissingsbevoegdheid over de gegevens niet hoeft te worden beantwoord.
Bij digitalisering staat de mogelijkheid centraal om razendsnel kopieën van grote aantallen persoonsgegevens te maken en te transporteren (via internet, maar het kan, iets minder snel, bijv. ook via USB-sticks). Dit kan prima via eigendomsrecht worden gereguleerd. Denk aan regels m.b.t. intellectueel eigendom en copyright. Grote internetplatforms (bijv. Facebook) doen net alsof het in digitale tijden niet te reguleren valt. Dat kan echter wel degelijk, alleen tast zulke regulering dan het verdienmodel van deze partijen aan, omdat dat juist gebaseerd is op data-roof.
Digitalisering is geen "gegeven", maar een menselijke keuze. Overweging (15) van de preambule van de AVG vereist dat de rechtmatigheid van gegevensverwerking "technologieneutraal" wordt beoordeeld. Dat kan ook heel goed, maar allerlei machtige partijen willen dat niet, en rechters gehoorzamen aan die machtige partijen in plaats van onafhankelijk recht te spreken.
Ik ga er vanuit dat de administratie nodig is omdat ik een bepaalde dienst afneem bij het bedrijf/ organisatie, dan wel omdat ik op wettelijke gronden als Nederlandse staatsburger in de administratie van de overheid wordt opgenomen.
Dat hangt er nog maar van af. Het zou per afgenomen dienst en per overheidstaak moeten worden bekeken. Vaak beweren bedrijven en overheden dat ze voor bepaalde doelen of taken persoonsgegevens nodig hebben terwijl dat in feite helemaal niet zo is.
Het is dus belangrijk om te weten wie die anderen zijn en waarom = met welk doel ze de data/persoonsgegevens verzamelen. De crux zit dus in de legitimiteit. Persoonsgegevens verzamelen als verdienmodel is m.i. geen legitiem doel (deze opvatting staat lijnrecht tegenover die van de EU). Een digitale "administratie" waarmee geld wordt verdiend is geen administratie meer, maar een lucratieve business voor anderen.
Persoonsgegevens verzamelen als verdienmodel kan een legitiem doel zijn, maar er is geen noodzaak voor dat verdienmodel. Het mag dus alleen gebeuren met instemming van de betrokkene. Lucratieve business kan legitiem zijn, zolang het de grondrechten van burgers niet aantast.
De legitimiteit van het doel kan nooit alleen door degene bepaald worden die het doel definieert; dit zou altijd via een externe instantie beoordeeld moeten worden.
Dit raakt aan de kern van de zwakte van zowel jouw argumentatie als die van het expertpanel. Wie is die "externe" instantie die e.e.a. zou moeten beoordelen? En wie controleert die beoordelaars? Alleen als de burger via openbare rechtspleging zelf effectief kan opkomen voor zijn grondrechten, is er een begin van een geloofwaardige waarborg dat zijn grondrechten in de praktijk serieus zullen worden genomen bij die beoordeling. Het eigenaarschap over zijn eigen persoonsgegevens verschaft een burger een juridische basis om te kunnen opkomen voor zijn grondrecht op privacy en gegevensbescherming. Zonder dat eigenaarschap zou die juridische basis niet alleen wegvallen in het civiele recht, maar zou het ook mogelijk worden om te argumenteren dat een burger niet eens een publiekrechtelijk "rechtstreeks betrokken belang" heeft bij de bescherming van zijn eigen persoonsgegevens. Dat zou de (rechts)positie van de burger enorm verzwakken.
Om de legitimiteit te kunnen vaststellen moet er volledige transparantie bestaan en moet altijd uitgezocht kunnen worden hoe persoonsgegevens onttrokken of gelekt worden. Technisch zijn hier mogelijkheden voor.
Ja, maar wie waarborgt dat, als de burger niet meer zelf als eigenaar effectief kan opkomen voor een juiste vaststelling van die legitimiteit, en nog belangrijker, een juiste vaststelling of er een noodzaak is voor de gegevensverwerking? Niemand.
Door EersteEnigeEchte M.J. - EEEMJ: Wat we moeten doen, is niet het concept van eigendom afschaffen, maar de mogelijkheden tot misbruik van dat concept afschaffen. Daar biedt het concept van eigendom van persoonsgegevens juist uitstekende aanknopingspunten voor.
Niet dus, omdat persoonsgegevens in juridische zin geen eigendom zijn, want niet stoffelijk (Romeinen!).
Je neemt hier zonder enige grond aan dat
(a) er geen onstoffelijk eigendom mogelijk zou zijn; en
(b) persoonsgegevens niet stoffelijk zouden zijn. (Kopieën van) persoonsgegevens zijn, als puntje bij paaltje komt, altijd opgeslagen in stoffelijke systemen (servers) in de vorm van een code die is vastgelegd in magnetische veldjes. In een ander topic hier op Security.nl ("Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij", 31-8-2022,
https://www.security.nl/posting/766355/), is hier in de reacties ook op gewezen.
Zie:
Door Acumen: Juridisch gezien bestaan jouw gegevens niet, maar zijn het gegevens over jou. Zie ook art. 5:1 BW en art. 3:1 BW over wanneer iets "eigendom" is. Je hebt wel intellectueel eigendom (IE), dat kan gaan over gegevens.
Een truckje dat big-tech toepast in bv "We verkopen jouw gegevens niet"...
Klopt, want dat kan niet. Verder analyseren ze de gegevens en gebruiken ze die voor hun gewin. (..) Kort gezegd gaat eigendom over stoffelijke zaken, de rest is in principe IE.
Je maakt niet duidelijk:
a) waarom intellectueel eigendom geen eigendom zou zijn. Er zijn talloze rechtszaken geweest waarin mensen hun intellectuele eigendomsrecht verdedigden; en
b) waarom er naast intellectueel eigendom en wat jij "stoffelijk" eigendom noemt, geen andere vormen van onstoffelijk eigendom mogelijk zouden zijn. Bijvoorbeeld eigendom over persoonsgegevens. Dat kan prima.
Zoals te verwachten was, gezien mijn standpunt dat de nadruk gelegd moet worden op meer (wettelijke) regulering van de databeheerderorganisatie, deel ik de mening van de juridisch expert Purtova, dat "individuele controle over gegevens een illusie is."
Volledige individuele controle over alles is een illusie. Eigendomsrecht over je eigen persoonsgegevens kan een zekere mate van controle bieden.
Deze controle wordt geregeld in de AVG, maar is vanwege de aard van het probleem ontoereikend. (N.B. Purtova hanteert een ruimer begrip van eigendomsrechten dan de Nederlandse wet).
De aard van het probleem ligt vooral in de manier waarop de AVG geïnterpreteerd wordt en de manier waarop artikel 8 lid 2 EVRM (bescherming van het privéleven) grotendeels genegeerd wordt. Dit zou voor een deel verholpen kunnen worden met betere wetgeving, maar daarbij maak ik twee kanttekeningen:
a) Niet voor niets is de AVG op bepaalde punten onduidelijk geformuleerd - dit is de uitkomst van politieke onderhandelingen tijdens de totstandkoming van de AVG. Veel machtige partijen
willen niet dat persoonsgegevens effectief worden beschermed;
b) Hoe duidelijk en expliciet je een wet ook maakt, een rechter die machthebbers wil dienen en contenteren, zal altijd een manier vinden om de wet zo te draaien dat het doel van de wet geperverteerd en genegeerd wordt.
Je huis kun je, mits in eigendom, in brand steken; je persoonsgegevens kun je voorzover je weet hebt van de plekken waar ze zijn laten vernietigen, maar niet al die kopieën die nog overal rondzwerven op internet. Daar heb je geen weet van en daar kun je nooit bij. En diè verspreidingsbron moet aangepakt worden.
Inderdaad. Maar dat is geen argument tegen eigendomsrecht van betrokkenen over hun eigen persoonsgegevens.
Purtova: "Eigendomsrechten zijn echter geen geschikt instrument om dit probleem aan te pakken."
Dit wordt niet onderbouwd. Eigendomsrecht verschaft een burger (een betrokkene) de mogelijkheid om in concrete gevallen op te komen tegen verspreiding en misbruik van persoonsgegevens. Daarnaast moeten er nog andere middelen tegen lekken en misbruik van gegevens worden ingezet. Het is niet of-of, maar en-en.
En: "Laat de databescherming niet alleen over aan regulering van regie op persoonlijke gegevens van het individu alleen."
Nee, natuurlijk moet je die bescherming niet
alleen overlaten aan individuele burgers. Die hebben daarvoor volstrekt onvoldoende macht. Net zo min moet je de bescherming van woonhuizen
alleen overlaten aan de invdividuele bewoners. Zonder wetten en politie die die wetten handhaaft, zouden talloze burgers het slachtoffer worden van inbraken, berovingen en gruwelijke aantastingen van hun huisvrede. Ten onrechte wordt hier geïmpliceerd dat het eigendomsrecht over je eigen persoonsgegevens zou moeten betekenen dat de staat zijn handen volledig van jouw bescherming aftrekt.
Vooral de data-analyses die door AI worden uitgevoerd zorgen voor een data-explosie en -transformatie die de ontoereikendheid van de gedachte van individuele controle hierover bevestigen. "Het moet niet over de controle over persoonsgegevens gaan, maar over de schadelijke praktijken en effecten, zoals surveillance, targeted advertising, of geautomatiseerde besluitvorming."
Alweer dat simplistische zwart-wit-denken. Het moet natuurlijk gaan over zowel individuele controle als over schadelijke praktijken en effecten - alsmede over de manier waarop de staat individuele controle van burgers over hun eigen lichaam, de eigen woning en de eigen persoonsgegevens effectief kan en moet beschermen.
Ook schiet de individualistische benadering van databescherming in de AVG tekort op het gebied van data-analyses die op het niveau van groepen uitgevoerd worden (Big Data) en die vervolgens gebruikt worden om individuen te 'labelen'.
Hier wordt de benadering van databescherming in de AVG ten onrechte geframed alsof die "individualistisch" zou zijn. Dat is niet het geval. De AVG geeft blijk van een gemengde benadering, waarin individuele en collectieve rechten en plichten allemaal een rol spelen.
Persoonsgegevens hebben ook een sociale dimensie waarbij een overeenkomstig collectief recht op bescherming past, groepsprivacy dus. Deze nieuwe groepen bestaan alleen op de beeldschermen van de data-analyseerders.
Hier wordt gepoogd het begrip "privacy" onduidelijk te maken en los te koppelen van individuele mensen. Zogenaamde "groepsprivacy" van groepen die "alleen bestaan op de beeldschermen van data-analyseerders", is helemaal geen privacy, alleen al omdat die niet gerelateerd is aan een groep mensen die zichzelf als groep beschouwt en ervaart. Niet voor niets wordt er in artikel 8 EVRM niet alleen melding gemaakt van het "privéleven" van mensen, maar ook van hun "familie- en gezinsleven". Het gaat dan altijd om groepen mensen die zichzelf hebben geformeerd, niet om groepen die van buitenaf door data-analysten worden geconstrueerd. Het gaat om mensen van vlees en bloed.
Dit is een poging om het recht van mensen op bescherming afhankelijk te maken van in welke categorie ze worden ingedeeld door een overheid of een bedrijf. De Toeslagenaffaire heeft laten zien hoe dat dan werkt. Mensen die in de categorie "fraudeurs" werden ingedeeld, verloren hun bescherming.
Het is noodzakelijk dat nagedacht wordt over het verhinderen van schade die aan mensen berokkend wordt door kwalitatief ondermaatse sociaal-wetenschappelijke en commerciële data-analyses enerzijds en een onzorgvuldige ontwikkeling van algoritmen anderzijds.
Ja, en om te beginnen kan dat worden verhinderd door de individuele eigendomsrechten van mensen over hun persoonsgegevens te gaan respecteren, en door respect daarvoor explicieter in de wet op te nemen. De AVG is kennelijk nog niet expliciet genoeg om tegenwicht te bieden aan de druk van machtige partijen om data-roof te legaliseren.
Conclusie.
Wij benaderen het dataprobleem van twee verschillende kanten: jij vanuit het individuele toegangsrecht tot persoonsgegevens, ik vanuit het toegangsrecht van de beheerderorganisatie tot deze data.
Nee, ik benader het probleem van bescherming van persoonsgegevens zelf al van verschillende kanten. Ik verdedig het individuele eigendomsrecht over de eigen persoonsgegevens (dat is dus iets anders dan een "toegangsrecht") als één van de manieren om die gegevens te beveiligen. Alleen jij hebt het over een "toegangsrecht", en wel vanuit "de beheerderorganisatie". Dat is min of meer de benadering die ook het Chinese regime volgt. De Chinese Communistische Partij ziet zichzelf o.a. als "beheerderorganisatie" die toegangsrecht heeft tot alle persoonsgegevens van Chinese "burgers" (lees: onderdanen). Zoals bekend, is het met de privacy in China droevig gesteld.
Beide benaderingen hebben zijn verdienste en zijn complementair (en ik sluit niet uit, dat mijn benadering een herziening van het huidige eigendomsrecht vereist).
Op zich hoeft een benadering waarbij in bepaalde situaties "toegangsrecht" tot persoonsgegevens bestaat, niet in strijd te zijn met eigendomsrecht. Het gaat dan alleen om de vraag, welk recht (individueel eigendomsrecht of het toegangsrecht van anderen dan betrokkene zelf) in concrete situaties prevaleert. Daar zegt de AVG nu al het één en ander over.
Ik wil veel meer wettelijke eisen stellen aan de partij, die de (persoonlijke) dataverzameling aanlegt, eisen die een veel restrictievere praktijk dan nu zouden moeten opleveren, met als doel om meer bescherming van individuele data te bewerkstelligen. Om deze bescherming te realiseren doe ik echter geen beroep op eigendomsrechten mbt persoonsgegevens omdat die principieel tekortschieten.
Je hebt nog steeds niet duidelijk gemaakt waarom die eigendomsrechten "principieel" te kort zouden schieten.
De mogelijkheden waar jij naar zoekt met de nadruk op het eigendomsrecht van persoonsgegevens vereisen (voorzover ik als niet-jurist kan beoordelen) een herziening van het huidige recht. Dus nieuw recht.
Zodra je de toegang tot of het bewustzijn van bepaalde kennis beschrijft in termen van "persoonsgegevens", heb je al een basis gelegd om deze toegang of bewustzijn als "eigendom" te beschouwen en te behandelen. Dat is ook precies de reden voor het ontstaan en gebruik van de term "persoonsgegevens". Die past in een objectiverende, instrumentele, kapitalistische manier om de samenleving in te richten.
In zo´n samenleving, d.w.z. in onze huidige samenleving, is de toepassing van het concept "eigendom" hard nodig ter verdediging van de vrijheid van burgers ten opzichte van zeer machtige partijen zoals overheden en grote bedrijven. Zolang de samenleving niet zeer fundamenteel veranderd is, is het daarom onverantwoord om het concept "eigendom" te verwerpen of buiten toepassing te laten waar het gaat om privacy en persoonsgegevens. Toepassing van dit concept is vooralsnog hard nodig.
Expert Blok ziet ook mogelijkheden in het persoonlijkheidsrecht (het recht om met rust gelaten te worden en gevrijwaard te blijven van gegevensverwerkingen).
Dat lijkt me een prima aanvulling op het eigendomsrecht over de eigen persoonsgegevens. In feite is dit ook de benadering die tot uiting komt in artikel 8 EVRM (recht op eerbiediging van het privéleven). Maar artikel 8 EVRM wordt door Nederlandse bestuursrechters genegeerd. Op 10 november 2021 heeft de Raad van State zelfs expliciet uitgesproken dat Nederlandse rechters in privacy-zaken niet rechtstreeks hoeven te toetsen aan het EVRM, omdat de AVG dezelfde bescherming zou bieden als art. 8 EVRM. Dat is een leugen, maar dat interesseert de Raad van State niet. Het is een leugen die ons gevestigde regime goed uitkomt. De betreffende burger in die zaak (privacy-activist Michiel Jonker) heeft zich vervolgens tot de internationale rechter (het EHRM) gewend, maar die laat meer dan 90% van de ingebrachte zaken buiten behandeling. Dus waarschijnlijk biedt artikel 8 EVRM
in de Nederlandse rechtspraktijk helemaal geen rechtsbescherming op dit punt, omdat de Nederlandse rechters het internationale verdrag op dit punt negeren en de internationale rechter (het EHRM) het in de praktijk niet nodig acht de toepassing van het verdrag te eisen. Er is dus in de praktijk sprake van functionele wetteloosheid en rechteloosheid. "The rule of law", waarmee de EU zo vaak schermt, dient vooral als een politiek-retorisch middel.
Dit alles laat onverlet dat een zeer 'fragwürdige' interpretatie van de legitimiteitsgedachte achter de AVG door huidige rechters, die door jou (weer eens) op deze site geïllustreerd wordt ahv de rechterlijke interpretatie van het begrip "verwerkingsverantwoordelijke", aan geen enkele wet, hoe mooi ook, recht doet.
De AVG wordt uitgekleed waar je bij staat; om van het gebrek aan handhaving maar te zwijgen.
Op dit laatste punt ben ik het volledig met je eens.
M.J.