Transparante burgers

Hoe goed is uw privacy op internet beschermd?
Hoe goed is uw privacy op internet beschermd?

Cliënten van het Amsterdamse advocatenkantoor Prakken d’Oliveira bellen of e-mailen liever niet meer met hun advocaten. Ze komen persoonlijk langs, ook voor kleine vragen of korte gesprekken. Ze wantrouwen de telefoons en computers van hun pleitbezorgers. Er kan zomaar een tap op zitten van de AIVD, de Algemene Inlichtingen- en Veiligheidsdienst.

„In absolute zin zijn veel gesprekken en berichten uitgewerkt”, gaf verantwoordelijk minister Ronald Plasterk (Binnenlandse Zaken, PvdA) vorig jaar toe, in een brief aan de advocaten. Hoe vaak precies en in welke periode, schreef hij niet. Wel dat het vaak ook nog om communicatie ging die „evident niet als relevant” voor het onderzoek van de inlichtingendienst kon worden beschouwd.

Afgelopen woensdag eiste het kantoor bij de rechtbank in Den Haag daarom in een kort geding tegen de staat dat de AIVD stopt met het aftappen. „Advocaten zijn de basis van het rechtssysteem. Een gebrek aan vertrouwelijkheid betekent een schending van het recht op een eerlijk proces van onze cliënten”, pleitte Michiel Pestman van Prakken d’Oliveira.

Als zelfs de vertrouwelijkheid van gesprekken tussen een raadsman en zijn cliënt niet vanzelf spreekt – wie kan er dan nog wel een geheim bewaren?

Algemene voorwaarden

Het antwoord op die vraag hangt nauw samen met de vraag voor wie je je communicatie wilt verbergen. Advocaten willen niet dat de overheid meeluistert, zeker niet als hun cliënt door diezelfde staat vervolgd wordt. Dat zit voor de ‘gewone’ Nederlander natuurlijk net even anders: die denkt, cliché maar waar, dat hij niets te verbergen heeft. Niet voor de overheid, niet voor bedrijven.

En dus lezen de meeste mensen vaker niet dan wel de algemene voorwaarden of de privacyverklaringen van bedrijven waar ze zich voor aanmelden. Te lang, te moeilijk. Terwijl ruim 80 procent van de Nederlanders de bescherming van hun persoonsgegevens belangrijk vindt, deelt een even groot percentage die gegevens gewoon als dat nodig is om een dienst te kunnen gebruiken.

Lang is die privacyparadox als volgt uitgelegd: mensen maken werkelijk een afweging van hun belangen. Ik geef bescherming van persoonlijke informatie op, maar krijg in ruil daarvoor gratis diensten, kortingen of online aansluiting bij vrienden en familie. Zo vergoelijken de informatiegiganten ook hun verzameldrift: mensen maken immers zélf de keuze om lid te worden of hun naam, geboortedatum, cv en interesses op te geven.

Recent Amerikaans onderzoek van de universiteit van Pennsylvania stelt dit beeld bij. Het merendeel van de burgers heeft geaccepteerd weinig controle te hebben over de registratie van hun online gedrag. Ze voelen zich machteloos en zijn gelaten. Controle houden lijkt vergeefse moeite. Ze willen, kortom, hun geheimen wel bewaren, maar denken dat het toch niet lukt.

Inkepinkjes

De technologische ontwikkeling gaat snel en is bizar omvangrijk. Dat maakt het voor beleidsmakers lastig de gegevens van burgers te beschermen, zegt Dennis Broeders, hoogleraar Technologie en Samenleving aan de Erasmus Universiteit Rotterdam. „Hoe zou het reguleren van data er dan precies uit moeten zien? Het gaat steeds om hele kleine inkepinkjes op de privacy op individueel niveau.”

Bovendien, zegt Broeders, hebben politici weinig aandacht voor zulke onderwerpen, die aanvankelijk klein ogen. „Die spreken liever over de grote zaken: Edward Snowden en zijn onthullingen over de Amerikaanse afluisterpraktijken of over ICT-problemen bij de overheid.”

De mate van risico, zegt Broeders, wordt bepaald door de kans dat iets gebeurt maal het effect ervan. Een terroristische aanslag zit bijvoorbeeld aan de ene kant van het spectrum: de kans is klein, maar als het gebeurt is de impact enorm. Het opslaan en gebruiken van data door bedrijven hangt helemaal aan de andere kant: het inbreukeffect ervan is klein en particulier, maar het gebéurt, miljoenen keren per dag.

Nederlanders weten niet goed – of hebben geen mening – of hun overheid genoeg doet om hun geheimen te beschermen. De grootste groep, 44 procent geeft als antwoord ‘eens noch oneens’ op de vraag of de wetgever genoeg doet om privacy te beschermen.

Maar pogingen daartoe wagen politici zeker. Afgelopen maandag nog werden de ministers van Justitie van de Europese lidstaten het eens over een voorstel voor nieuwe regels over databescherming. Snel gaat dat niet; het proces voor die nieuwe richtlijn is al vier jaar onderweg. En de nu geldende regels stammen nog uit 1995, negen jaar voor Mark Zuckerberg Facebook oprichtte.

Volgens de plannen krijgen bedrijven en organisaties de verplichting om beter uit te leggen hoe zij data verzamelen en gebruiken. Het ‘recht om vergeten te worden’ krijgt een wettelijke basis, dus zoekresultaten moeten worden verwijderd als er geen legitieme redenen zijn om ze te bewaren. En toezichthouders kunnen straks boetes opleggen van maximaal 2 procent van de jaarlijkse omzet als bedrijven zich niet aan de richtlijn houden.

De bedoeling was dat in de hele Europese Unie dezelfde regels gelden. Maar de nieuwe wet heeft in de huidige vorm tientallen uitzonderingen, waar lidstaten vrij zijn om hun eigen beleid voor te laten gaan. Voorbeeldje: het ‘recht om vergeten te worden’.

Doelbinding

Bits of Freedom, de online burgerrechtenorganisatie, is het meest kritisch over de uitzonderingen die in de wet zijn gemaakt voor de ‘doelbinding’ van gegevens. Principe is dat als een bedrijf gegevens verzamelt voor een bepaald doel, die niet verder mogen worden verwerkt voor een ánder doel. Dan is vertrouwelijkheid beter gewaarborgd. Maar een bedrijf kan straks met de nieuwe regels toch gewoon met de data aan de slag, zolang die andere doelen dan maar „statistisch of wetenschappelijk” heten.

De meeste bescherming krijgen burgers voorlopig dan ook dankzij rechtspraak, veel méér dan van een actief ingrijpende wetgever. Toen Facebook bijvoorbeeld begin dit jaar besloot om voortaan namen en profielfoto’s van gebruikers door te verkopen en te gebruiken voor advertenties, maakte het bedrijf in de voorwaarden expliciet een uitzondering voor Duitsers.

Vorig jaar bepaalde het Berlijnse gerechtshof dat Facebook onder de strenge Duitse privacywetgeving valt en niet onder de Amerikaanse of Ierse – het Europese hoofdkantoor staat in Dublin. Hoogleraar Broeders: „Dan vraag ik me wel af waarom míjn overheid zoiets niet voor me regelt, of dat op zijn minst probeert.”

Commissie-Stiekem

Wie denkt dat overheden alleen geheimen van hun burgers willen beschermen, is naïef. Overheden zijn evengoed fervente dataverzamelaars. Zie de AIVD en de Amsterdamse advocaten. Of groter, de onthullingen van Snowden over de wereldwijde afluisterpraktijken van de NSA. Ook Europese geheime diensten wisselen data uit met de NSA en bespioneren elkaar. Tot de telefoon van Angela Merkel aan toe. En toch beweegt de politiek hun kant op: dit jaar nog staat in de Tweede Kamer een wetsvoorstel op de agenda dat de mogelijkheden van de Nederlandse inlichtingendiensten verder moet uitbreiden.

De diensten moeten voortaan ook ongericht ‘kabelgebonden’ communicatiegegevens mogen aftappen. Dat is dus al het internetverkeer dat onder andere via glasvezel loopt, zonder dat daarvoor een gericht doel nodig is. Het toezicht wordt tegelijk wel iets versterkt. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) die de AIVD en MIVD controleert, krijgt straks de bevoegdheid om bindende oordelen in een klachtprocedure uit te spreken.

Maar maak de optelsom eens, zegt hoogleraar Broeders. De CTIVD kijkt, ook straks, alleen naar rechtmatigheid. Niet naar hoe doelmatig de diensten eigenlijk zijn, dus naar hoe ze hun geld uitgeven en wat ze daarmee precies bijdragen aan de veiligheid van de samenleving. De controle daarop ligt bij de fractievoorzitters in de Tweede Kamer, in wat de ‘commissie-Stiekem’ heet. „Dat zijn slimme mensen met een veel te volle agenda. Ik vind het niet evident dat dat goed gaat.”

De fractievoorzitters hebben vorig jaar achttien keer overleg gehad. De opkomst was gemiddeld 70 procent. Dat noemen ze zelf in het jaarverslag dat onlangs publiek is geworden „goed”. Vorig jaar was het aantal bijeenkomsten relatief hoog, de commissie-Stiekem kwam zes keer vaker bijeen dan in 2013. Vijf van die extra vergaderingen werden in beslag genomen door de uitspraken die minister Plasterk had gedaan over de 1,8 miljoen Nederlandse ‘metadata’ (wie belt wanneer met wie) waar de NSA over zou beschikken. Andere vergaderingen gingen over de ramp met de MH17, de opkomst van Islamitische Staat en teruggekeerde jihadstrijders. Woorden als ‘doelmatigheid’, ‘efficiëntie’ of ‘kosten-batenanalyses’ komen niet in het verslag voor.

Waarborgen

Willen politici laten zien dat zij het recht op het privéleven – en dus het recht op het hebben van geheimen – serieus nemen, dan moet het toezicht op de inlichtingendiensten beter, vinden drie onderzoekers van het Instituut voor Informatierecht van de Universiteit van Amsterdam. Zij komen met aanbevelingen voor het toezicht op de geheime diensten zodra het kabinet zijn voorstel publiek maakt. Bij sterke bevoegdheden horen sterke waarborgen, zegt Ot van Daalen, één van de onderzoekers. „Dus: richt het toezicht meer in langs de lijnen van scheiding der machten.”

Laat de rechter toetsen of diensten in concrete gevallen een inbreuk op het privéleven mogen maken, is hun advies. Geef de toezichthouder de mogelijkheid om sancties op te leggen, zoals nu gebeurt wanneer bedrijven zich niet aan de privacyregels houden. En zorg voor betere parlementaire controle. „Nu is vrijwel alles geheim. Zorg dat helder is wat wel en niet openbaar mag worden.”

Zo’n formeel kader bestaat nu niet – alles is geheim als het aan de modus operandi van de inlichtingendiensten raakt. Minister Plasterk besloot vorig jaar eens om de aantallen afluisteroperaties weg te halen, zwart te maken, in een rapport van de CTIVD. De toezichthouder vond het kennelijk wél kunnen om die aantallen openbaar te maken, maar de minister greep in. Van Daalen: „Nergens staat of de minister daar eigenlijk wel of niet toe bevoegd is.”

Machteloosheid

Zijn we in een ‘asymmetrische samenleving’ beland, waarin burgers haast transparant zijn voor bedrijven en overheden? Terwijl die burgers op hun beurt geen idee hebben wat er allemaal over hen bekend is, out there? De gemiddelde burger wéét niet of hij nog een geheim kan bewaren.

Het Amerikaanse onderzoek naar privacybeleving waarschuwt voor de gevolgen van de machteloosheid die burgers ervaren als er niet serieus met hun gegevens wordt omgegaan: de commercie zal eronder lijden. Consumenten bouwen wantrouwen op tegen bedrijven die nét te vaak precies de juiste deals aanbieden. Dat komt doordat je me in de gaten houdt, denken ze – en ze keren zich af.

In Europa ligt meer nadruk op de zorg of we nog wel vrij zijn zonder geheimen voor de overheid. Dat zijn slimme mensen met een veel te volle agenda. Ik vind het niet evident dat dat goed gaat Het Europees Hof voor de Rechten van de Mens stelde al vaker vast dat het chilling effect inderdaad bestaat. „De angst voor sancties heeft een ontmoedigend effect op het uitoefenen van de vrije meningsuiting.”