‘Privacy kan mensen wél wat schelen’

Privacytoezichthouder CBP is zwaar onderbemand voor alle taken, zegt de voorzitter.

Jacob Kohnstamm: „Producten van technologiebedrijven zullen echt omgebouwd moeten worden.”
Jacob Kohnstamm: „Producten van technologiebedrijven zullen echt omgebouwd moeten worden.” Foto Robin Utrecht

Vanaf 1 januari gaat er veel veranderen bij het College Bescherming Persoonsgegevens. Er komt veel werk bij, onder meer doordat de waakhond voor naleving van privacywetgeving vanaf die datum boetes mag uitdelen – tot nu toe kon het CBP alleen voorwaardelijke dwangsommen opleggen. Ook moeten bedrijven een datalek straks binnen drie dagen bij het CPB melden.

En dan is er ook nog een heel pakket aan Europese privacyregels in aantocht. Als die worden ingevoerd, waarschijnlijk vanaf 2017, kunnen toezichthouders boetes uitdelen ter hoogte van een percentage van de omzet van bedrijven. Die kunnen oplopen tot vele miljoenen euro’s, potentieel zeer gevoelige materie.

Kan het CBP, dat op 1 januari Autoriteit Persoonsgegevens zal heten, al die nieuwe taken wel aan, met de bijna tachtig mensen die er werken?

Nee, denkt voorzitter Jacob Kohnstamm. „Ik ben erg enthousiast over de nieuwe taken en de Europese verordening. Maar ik ben er niet in geslaagd om het ministerie te overtuigen van de noodzaak van extra menskracht. Ik kijk angstig uit naar het ingaan van de meldplicht van datalekken. Ik baseer dat op de ervaring van onze Britse collega’s: in het Verenigd Koninkrijk is eerder een meldplicht ingevoerd en ze waren daardoor een paar weken van de straat.”

Hoeveel extra mensen heeft u nodig?

„Het vijfvoudige zou een goed begin zijn. Niet alleen door de Europese regels en de meldplicht, maar persoonsgegevens zijn het nieuwe goud. Er komen dagelijks nieuwe apps bij. Daar hoort een sterkere toezichthouder bij. Wij moeten nu heel veel laten lopen. Ik ben bezorgd, al hebben we de afspraak opnieuw over budget te spreken als we overspoeld worden.”

U bent al ruim elf jaar de baas van het CBP. Heeft u niet zelf te weinig gedaan terwijl allerlei apps en overheden privacy schonden? Is privacy onder uw toeziend oog niet allang doodgegaan?

„Privacy is zeker niet dood. Uiteindelijk is het vertrouwen in producten en diensten dat burgers hebben cruciaal, net als de bescherming van gevoelige persoonlijke gegevens. Privacyschending is vaak onzichtbaar, maar als het zichtbaar wordt, reageren mensen wel degelijk.”

Toch lijkt het veel mensen niet veel meer te kunnen schelen: Facebook en Google weten toch bijna alles al.

De verder zeer rustige en bedaagde Kohnstamm gaat wat rechter zitten, verheft licht zijn stem. „Totaal niet waar. Kijk naar wat er gebeurde rond de ov-chipkaart, of als er data over kinderen worden gestolen zoals laatst, en wat er vorig jaar bij ING gebeurde.” Hij refereert aan een voorval waarbij ING aankondigde betaalgegevens van klanten commercieel te gebruiken. Dat werd teruggedraaid na hevige protesten. „Binnen 24 uur waren er Kamervragen, waren wij in actie, tot de minister van Financiën aan toe. The shit hit the fan, hoor. Het kan mensen wel wat schelen als ze het zien.”

Is het niet een rituele dans geworden? Politici en u maken zich dan boos om één zo’n geval terwijl grote technologiebedrijven hun gang blijven gaan.

„Het is prima om te denken dat dat de afgelopen jaren zo is gegaan. Maar de nieuwe Europese verordening maakt juist die grote bedrijven veel kwetsbaarder in Europa. We krijgen een giga-boetebevoegdheid. Die gaat ervoor zorgen dat ze hun gedrag veranderen. Alleen de preventieve werking al. De vanzelfsprekendheid dat bedrijven persoonsgegevens verzamelen, wordt van een andere orde.”

Is het daarvoor niet te laat?

„Nee. Producten van technologiebedrijven zullen echt omgebouwd moeten worden. Bijvoorbeeld het recht om vergeten te worden en het recht om je data mee te nemen naar een andere aanbieder die straks verplicht zijn: daar moeten ze echt hun producten op aanpassen. De sluipende wijze waarop we in de moderne wereld terecht zijn gekomen – ik ben het met u eens dat je daar terugkijkend van denkt: er had weleens eerder ingegrepen kunnen worden.”

Maar door wie dan?

„De wetgever. Dat heeft heel lang geduurd. Al is het nu gebeurd, en dat is revolutionair. Nu ligt er net een waanzinnig strenge verordening, na vier jaar onderhandelen.” Geërgerd: „Ik heb blaren op mijn tong van het praten om een boetebevoegdheid en meldplicht datalekken te krijgen!”

U vindt dat ik u tekortdoe?

„Ja, eigenlijk wel. Juist vanwege de zeer beperkte mankracht.”

Toch is het u niet gelukt om dat in elf jaar tijd te veranderen.

„Ik ben er de afgelopen jaren drie keer in geslaagd om er wel geld bij te krijgen: 2,5 miljoen in totaal. Maar de ontwikkelingen gaan zo snel: kijk naar alle apps, big data. Die heeft de wetgever, die over de begroting gaat, niet zien aankomen.”

Komt het de overheid ook niet goed uit dat u in uw hok blijft? De staat verzamelt ook allerlei persoonsgegevens.

„Zo ver wil ik niet gaan. Er is een groot verschil tussen publieke en private sector. De publieke sector heeft allerlei checks and balaces in de besluitvorming. Die werken niet altijd even goed, maar het is een systeem dat meestal functioneert.”

Ook bij het schandaal rond de Amerikaanse geheime dienst NSA, die zonder checks and balances werkte?

„Daar gaan wij niet over: de privacytoezichthouder heeft geen bevoegdheid over zaken rond nationale veiligheid. Daar vind ik van alles van, maar de wet zegt dat ik daar niet over ga. We hebben voorlopig ook wel andere zaken te doen.”