Conflict tussen ik en mezelf

Videocamera's, Internet, koppeling van databestanden. Potentiële bedreigers van de privacy rukken op. Begin april behandelt de Tweede Kamer een nieuwe wet die persoonsgegevens moet beschermen.

Overal hangen ze. Videocamera's die het doen en laten van de burgers registreren. Soms goed zichtbaar. Soms verborgen. Big Brother in beeld.

Aan de hand van foto's die gemaakt zijn voor snelheidscontroles, kan de geschiedenis van het Nederlandse overspel in kaart worden gebracht. Drie valkuilen op de route naar een evenwichtige bescherming van de privacy.

ZE ZATEN ER zelf ook een beetje van te kijken: ondernemersvoorzitter Hans Blankert en de directeur van de Consumentenbond Dick Westendorp. Broederlijk achter de groene tafel voor een gezamenlijke persconferentie in Den Haag. Zo vaak komt het niet voor dat deze partijen elkaar vinden. Het onderwerp dat deze zeldzame eensgezindheid wist te bewerkstellingen, was de nieuwe Wet bescherming persoonsgegevens (WBP). Deze moet op grond van de Europese regelgeving de tien jaar oude Nederlandse privacywet vervangen en verbeteren. De nieuwe wet is voor consument én ondernemer echter volstrekt onwerkbaar, betoogden Blankert en Westendorp.

Ze illustreerden hun betoog met een aantal aansprekende voorbeelden van de overdrijving waartoe de nieuwe wet leidt. ,,Zij is zo ruim geformuleerd dat ieder telefoongesprek, iedere fax of e-mail eronder valt', schamperde Westendorp. ,,Dat betekent dat volgens het wetsvoorstel iedereen inzage en correctierechten zou krijgen op antwoordapparaten of bijvoorbeeld computers waarin e-mailtjes worden opgeslagen, ook al is het maar heel even. Ziet u het voor u?'

Het is een oud recept in een propaganda-oorlog: maak eerst de tegenstander tot een karikatuur en hak die dan met veel misbaar in de pan. Het is echter wel zaak voor ogen te houden wat het doelwit is. Dat is overdreven privacywetgeving, niet de privacybescherming zelf.

Over de wetgeving kunnen we kort zijn. Niemand is daar echt gelukkig mee. ,,Juridisch treedt er in toenemende mate intransparantie op', zo drukte de Tilburgse hoogleraar Corien Prins (auteur van een wetsevaluatie) het vorig jaar uit in het kwartaalschrift Informatie en Informatiebeleid. ,,De toenemende regeldichtheid en het verfijnde stelsel van voorwaarden en beperkingen doen vragen rijzen over de kwaliteit van de privacybescherming.' De nieuwe Wet bescherming persoonsgegevens voegt nog eens dertig artikelen toe aan de wet, nog afgezien van bijna dertig bladzijden aanpassingsvoorstellen voor andere wetten die zijn ingediend.

Daarmee is het probleem privacy niet van de baan. Privacy is voor de informatie-economie wat consumentenbescherming en productveiligheid waren voor het industriële tijdperk. Met name de Internetgeneratie – die waarlijk niet kan worden verdacht van koudwatervrees ten opzichte van moderne informatietechnologie – is niet gerust.

Volgens een Internetenquête uit 1996 hechten surfers beduidend meer dan niet-surfers aan on-line anonimiteit. Zo vreemd is dat niet. Je kunt soms aan de activiteit van je modem zien dat informatie wordt doorgegeven zonder dat je iets doet. In een kiosk kan je tenminste nog een blaadje kopen zonder je naam te hoeven noemen.

Ook buiten het Internet is het voor velen geen plezierige gedachte dat persoonlijke informatie die je aan een arts of fysiotherapeut geeft, terechtkomt bij een verzekeringsinstantie. Deze twee sectoren hebben verschillende opvattingen over `kneuzen'. De privatisering van de verzorgingsstaat geeft een enorme stimulans aan dergelijke dwarsverbanden, constateerde de Algemene Rekenkamer vorig jaar.

De klassieke tegenwerping is dat wie niets te vrezen heeft, ook niets te verbergen heeft. ,,Een illusie' noemde de vorig jaar overleden Delftse informaticus Bob Herschberg dat in zijn afscheidscollege. ,,Elk gegeven, zelfs in zijn juiste context, kan gevoelig zijn. Zo kan bijvoorbeeld de geschiedenis van het Nederlandse overspel niet onaardig worden afgelezen aan foto's van inzittenden van voertuigen, gemaakt voor snelheidscontroles.' Met name in Engeland, koploper in de videosurveillance, wordt hard gewerkt aan geautomatiseerde gezichtsherkenning.

Het probleem voor de wetgever is dat het rechtsgoed privacy, in de woorden van een vroegere minister van Justitie ,,wel valt aan te duiden maar nauwelijks te definiëren'. Er is nog een complicatie. Privacy is typisch `een conflict tussen ik en mezelf': ik wil zoveel mogelijk van ú weten maar scherm mezelf liever voor u af. Privacybescherming is dan ook steeds een ,,afwegingsproces' zoals de staatscommissie-Koopmans, die aan de wieg stond van de huidige Wet persoonsregistraties, het al meer dan dertig jaar geleden uitdrukte.

Een pasklaar recept voor de privacybescherming bestaat niet, maar er zijn wel drie valkuilen om te vermijden in de privacydiscussie. De eerste is de gelijkstelling van privacy met systeembeveiliging. Vooral systeembouwers hebben daar een handje van. Als wordt voorzien in beveiliging tegen inbrekers en knoeiers met gegevens, zit het met de persoonlijke levenssfeer van de gebruikers ook wel goed, is de redenering. Maar die is vals. Inbreken en knoeien is verboden. Privacy is de vraag wat een informatiesysteem volstrekt legaal mag weten over zijn gebruikers en wat het met die gegevens mag doen.

Het antwoord op die vraag is tot dusver sterk gezocht in formaliteiten zoals aanmelding van informatiesystemen bij de Registratiekamer (ook weer in de nieuwe wet). Over de kwaliteit van privacybescherming zegt melding weinig, laat staan over de kracht van het toezicht. Dat is de administratieve valkuil. Systeembeheerders vinden al gauw dat ze de privacy hebben beschermd wanneer zij maar keurig een meldingsformulier of reglement hebben gedeponeerd bij de Registratiekamer terwijl het dan pas begint.

Deze valkuil bedreigt ook zelfregulering, de gedragscode die nu ook weer door VNO/NCW en Consumentenbond wordt gepropageerd. Er zijn in Nederland al twee dozijn van dergelijke codes opgesteld (laatst nog een voor de chipkaart) maar ze hebben voornamelijk een symbolische waarde, zo leert een korte rondgang langs enkele direct betrokken organisaties. Klachtenbehandeling heeft nog weinig tanden. En hoeveel mensen beginnen daaraan?

Ook de nieuwe wet trekt een wissel op de eigen activiteit van het `data subject'. Een eerste vereiste is het vragen van inzage in de vastgelegde persoonsgegevens. Het inzagerecht geldt als een belangrijke sleutel tot de privacybescherming. De praktijk ziet er minder overtuigend uit. Slechts 14 procent van de gegevensbeheerders verklaarde in het evaluatierapport van prof. Prins dat er ,,wel eens' gebruik van dit recht was gemaakt.

Maar er zijn ook beheerders die nu al niet eens kunnen zeggen in welke van hun bestanden een bepaald persoon allemaal is opgenomen. De nieuwe netwerktechnologie maakt dat helemaal ondoenlijk. Het gaat dan ook niet om papieren gedragscodes, maar om daadwerkelijke (rechts)hulp voor de zoekende burger in de informatiemaatschappij. Beter nog: early warning-mechanismen, een actieve opstelling van de gegevensverwerkers zelf, want de eigen gegevens achterna lopen wordt steeds lastiger.

En dan de derde valkuil, de gedachte dat men er is met privacybescherming. Persoonsgegevens zweven echter niet in de lucht, ze worden gebruikt om beslissingen te nemen over mensen. Op het ontwerp van die beslissingssystemen komt het dan ook aan. Het maakt bij rekeningrijden verschil of de weggebruiker betaalt met behulp van een anonieme strippenkaart (pre-paid) of dat er achteraf post-paid wordt afgerekend op naam. Met alle aanvullende informatie over individueel verplaatsingsgedrag van dien.

Interessant is vooral de vraag of moderne informatiesystemen worden ingericht om beslissingen over mensen te nemen of dat die mensen er zelf ook gebruik van kunnen maken om de beslissingen over hen te beïnvloeden. Een eerste voorwaarde daarvoor is openheid over de gebruikte elektronische beslissingsformules. Dat is andere koffie dan de klassieke, defensieve, op afscherming gerichte privacydoctrine.

Deze gedachte begint kennelijk nu ook door te dringen tot Den Haag. De regering stelt een staatscommissie in voor de digitale grondrechten. Het gaat vooral om aanpassing van de vrijheid van meningsuiting, de privacy en het conglomeraat brief-, telegraaf- en telefoongeheim aan het Internettijdperk. Maar de staatscommissie moet ook bezien of de elektronische snelweg niet vraagt om een nieuw grondrecht op openheid.