Nederland moet Europese privacyrichtlijn volgen

De bescherming van persoonsgegevens in ons land blijft achter bij de Europese normen als Nederland niet voldoet aan zijn verplichtingen met betrekking tot het invoeren van een privacy-richtlijn, vindt P.J. Hustinx.

De Europese Commissie heeft Nederland onlangs opnieuw in gebreke gesteld, omdat het niet tijdig heeft voldaan aan een Europese richtlijn over de bescherming van persoonsgegevens. Deze privacyrichtlijn uit oktober 1995 had uiterlijk drie jaar later in wetgeving moeten zijn omgezet. Een tweede ingebrekestelling als deze is de voorlaatste stap op de gebruikelijke weg naar een procedure tegen ons land bij het Europese Hof van Justitie in Luxemburg. Als Nederland niet binnen twee maanden duidelijkheid biedt, is die procedure waarschijnlijk en liggen hoge boetes of dwangsommen in het verschiet.

Bij de Tweede Kamer ligt al sinds begin 1998 een voorstel waarin uitvoering is gegeven aan de richtlijn (Wet bescherming persoonsgegevens), maar de Kamer treuzelt bij de afhandeling onder invloed van kritiek van het bedrijfsleven dat er sprake zou zijn van hoge administratieve lasten. Minister Korthals van Justitie heeft deze kritiek bij herhaling weerlegd en onder verwijzing naar de Europese dimensie aangedrongen op een spoedige afdoening. Als de Tweede Kamer aan zijn verzoek gehoor geeft, zal ook de Eerste Kamer zich nog over het wetsvoorstel moeten buigen.

Wat gaat er schuil achter de discussie over administratieve lasten? Het antwoord op die vraag blijkt uit de ontwikkelingen waarin de toepassing van informatietechnologie een drijvende kracht vormt. Onder invloed daarvan ondergaat onze samenleving in hoog tempo veranderingen, die relevant zijn voor het economische welzijn, maar ook de normen en waarden van onze democratische samenleving in de kern raken.

De voortgaande toepassing van informatietechnologie laat de overheid niet onberoerd. Eind vorig jaar heeft het kabinet een actieprogramma `Elektronische overheid' naar de Tweede Kamer gezonden. Daarin worden plannen gepresenteerd om de directe toegankelijkheid van overheidsinformatie te verbeteren, de dienstverlening aan de burger te stroomlijnen en de onderlinge uitwisseling van gegevens binnen de overheid te stimuleren. In 2002 moeten die plannen resulteren in een veel efficiënter en effectiever opererende overheid. De grootschalige verwerking van allerlei gegevens over de burger speelt daarbij een centrale rol. Geen wonder dus dat minister Van Boxtel, de eerstverantwoordelijke voor dit onderwerp, het waarborgen van de privacy hoog in het vaandel voert. Maar zonder adequate wetgeving ter bescherming van de burger zal de uitvoering van het actieprogramma schade lijden.

Bij de uitvoering van de sociale zekerheid en de veranderingen die het kabinet op dit terrein overweegt, speelt de grootschalige toepassing van informatietechnologie een even belangrijke rol. Zonder dit middel is een adequate uitvoering van de sociale zekerheid onmogelijk. Veel gevoelige gegevens van werknemers en andere belanghebbenden vinden daarbij hun weg. De ingrijpende veranderingen die nu aan de orde zijn, hebben dan ook gevolgen voor de wijze waarop met die gegevens wordt omgegaan. Gegevens over verzekerden worden steeds vaker een onderdeel van het bedrijfskapitaal. Maar zonder voortgang van de Wet bescherming persoonsgegevens, en specifieke bepalingen in sociale zekerheidswetten, zal de duidelijkheid waaraan in brede kring behoefte bestaat wel tekort moeten schieten.

En zo gaat het door. Op het terrein van de gezondheidszorg wordt de komende jaren veel baat verwacht van de grootschalige invoering van elektronische patiëntendossiers. De kwaliteit en de doelmatigheid van de gezondheidszorg zullen aanmerkelijk worden verbeterd als de nodige gegevens over een patiënt steeds snel en in standaardvorm beschikbaar zijn voor degenen die daartoe bevoegd zijn. Bij de administratieve afwikkeling van medische verrichtingen en het verkeer met verzekeraars zal in de nabije toekomst gebruik worden gemaakt van elektronische chipkaarten die dienst doen als zorgpas. De vraag wie in dit kader onder welke voorwaarden toegang kan krijgen tot welke gegevens, is een kernpunt voor alle betrokkenen. Geen wonder dus dat minister Borst in juni liet weten dat de bescherming van de privacy van patiënten een harde voorwaarde is voor iedere medewerking van haar ministerie. Maar helaas, zonder een toereikend wettelijk kader, onder meer vervat in de Wet bescherming persoonsgegevens, zal van een verantwoord invoeringstraject geen sprake kunnen zijn.

Hooggespannen verwachtingen zijn er ook over de ontwikkeling van `electronic commerce'. In de nota `Digitale delta' die minister Jorritsma onlangs naar de Tweede Kamer stuurde, worden die verwachtingen nog eens onderstreept. Uit onderzoek in Europa en Noord-Amerika blijkt echter steeds dat de groei van elektronische handel en dienstverlening afhankelijk is van het vertrouwen bij de consument dat zijn persoonsgegevens bij elektronische aanbieders in goede handen zijn. Een deugdelijk wettelijk kader, nader ingevuld via zelfregulering, zoals de Wet bescherming persoonsgegevens beoogt, speelt daarbij een belangrijke rol. De aandachtspunten die hier spelen, zijn overal van belang waar met gegevens over klanten of potentiële klanten wordt omgegaan. Maar helaas, zolang dat wettelijk kader ontbreekt, blijft het vertrouwen van de klant op drijfzand berusten.

Bijzondere zorg is op zijn plaats als het gaat om de ontwikkeling van nieuwe diensten op het terrein van de telecommunicatie. Niet alleen de inhoud van de boodschap, maar ook gegevens over het belgedrag van de gebruiker zijn gevoelig en verdienen bijzondere bescherming. In de Telecommunicatiewet is het gebruik van die gegevens aan banden gelegd, waarbij is rekening gehouden met het grotere aantal spelers op de telecommunicatiemarkt. Maar zolang de Wet bescherming persoonsgegevens met het vereiste kader niet tot stand is gekomen, hangen de huidige waarborgen in de lucht en blijft de regeling dus gebrekkig.

De belangen die hier spelen, zijn zonder twijfel van groot gewicht, zowel politiek, maatschappelijk en economisch, als voor de betrokkenen persoonlijk. Het vermogen om als individu, ook in een elektronische omgeving, vrije keuzes te maken, met voldoende zicht op de consequenties en de redelijke zekerheid dat de werkelijkheid daarmee zal sporen, raakt een essentieel kenmerk van een vrije samenleving waarin noch de overheid, noch de economie geheel de dienst uitmaakt. Daarom zijn er grondrechten, zoals het recht op bescherming van persoonsgegevens, en zijn er in Europees verband grondregels afgesproken om een `level playing field' voor privacygevoelige dienstverlening binnen de EU te verzekeren.

De Europese privacyrichtlijn is er niet gekomen om de toepassing van informatietechnologie in de weg te zitten. Het ging erom te verzekeren dat de normen en waarden van een democratische rechtsstaat óók in de `informatiesamenleving' hun neerslag zouden kunnen vinden. Een onbelemmerd verkeer van persoonsgegevens binnen Europa stond daarbij steeds voorop. Zolang Nederland niet aan zijn verplichtingen met betrekking tot het invoeren van de privacyrichtlijn heeft voldaan, blijft de bescherming van persoonsgegevens in ons land achter bij de normen op dit gebied in Europa. Dat doet niet alleen de Nederlandse burger tekort, maar óók het Nederlandse bedrijfsleven als het op de Europese markt opereert. Het Europese recht gaat er sinds een jaar van uit dat het Nederlandse recht in een dergelijk geval van toepassing is op verwerkingen elders in Europa. De tekortkomingen in het Nederlandse recht zullen het bedrijfsleven dus in het buitenland kunnen hinderen. Dat zou ook de Tweede Kamer te denken moeten geven.

Mr. P.J. Hustinx is voorzitter van de Registratiekamer.