27 november 2007

Betere bescherming van persoonsgegevens? Nou, nee(/non)!

Door Gilyan Parker

Na het 'NEE' en 'NON' in het Nederlandse en Franse referendum over het Europees Constitutioneel Verdrag besloten de Europese regeringsleiders tot het instellen van een Europese reflectieperiode.

Inmiddels is een nieuwe stap gezet bij de beantwoording van de vraag hoe de Europese toekomst met een Europees verdrag vormgegeven moet worden. In de vroege ochtend van 19 october 2007 heeft de (informele) Europese Raad immers een akkoord bereikt over de tekst van een Hervormingsverdrag. Dit zal naar verwachting tijdens de Europese Raad van 13 december 2007 in Lissabon worden ondertekend. Ratificatie in de EU-lidstaten moet vervolgens plaatsvinden in 2008 zodat het Verdrag van kracht wordt in 2009, voorafgaand aan de verkiezingen in dat jaar voor het Europees Parlement. Het Hervormingsverdrag, komt op een groot aantal punten overeen met de Europese grondwet uit 2004. Er zijn echter ook belangrijke verschillen, waardoor het Hervormingsverdrag zich volgens de Raad van State “kenmerkend onderscheidt van het Verdrag tot vaststelling van een Grondwet voor Europa”. Zo is het Handvest van de Grondrechten uit de tekst gehaald. Maar er is wel een verwijzingsregeling opgenomen naar het Handvest, waardoor het juridisch bindend blijft (al kunnen landen ervoor kiezen niet mee te doen: de ‘opt-out’). De bepaling uit de Europese Grondwet dat Europese regelgeving voorgaat boven nationale wetgeving, is ook vervallen. Het Europese Hof van Justitie blijft bepalen of Europese regelgeving al dan niet voorrang heeft op nationale wetten (iets waar ik eerder al over schreef, zie onderaan). Het is in dat kader interessant om te zien dat half october de discussie over de bescherming van persoonsgegevens (artikel 24) nog steeds gaande was. Uit de openbare aantekeningen van de Europarlementsleden Brok, Baron Crespo en Duff blijkt dat het Portugese voorzitterschap een ontwerpverklaring heeft opgesteld waarin wordt verklaard dat artikel 24 alleen van toepassing zal zijn op onderwerpen die onder de volledige verantwoordelijkheid van de nationale lidstaten vallen, deze zouden logischerwijs onderwerp van (nationale) parlementaire en juridische controle zijn. Alle besluiten inzake gegevensbescherming op Europees niveau zullen geschieden onder de codecisieprocedure en onder de jurisdictie van het Europese Hof van Justitie in Luxemburg vallen. Uit de notitie van het Europees Parlement, noch uit het verslag van de Nederlandse regering blijkt overigens welke opstelling de Nederlandse regering heeft gekozen. De kwestie van controle van bescherming van persoonsgegevens is buitengewoon relevant. Zoals de voorzitter van de Nederlandse ‘privacy-waakhond’, het College Bescherming Persoonsgegevens (CBP) begin november uitsprak leven wij in een glazen samenleving waarin technologische ontwikkelingen (internet, RFID, nanotechnologie, ubiquitous computing, internet) het mogelijk maken al ons doen en laten op te slaan, om iedereen op elk moment van de dag te traceren, in kaart te brengen, te beïnvloeden en te controleren. Een glazen samenleving waarin persoonsgegevens in toenemende mate riskeren te worden gebruikt voor andere doelen dan waarvoor ze waren verzameld, waarin die haast fluïde bestanden meer en meer aan elkaar worden gekoppeld. De optelsom van nieuwe bevoegdheden in het veiligheidsdomayn leidt er bijvoorbeeld toe dat het dagelijkse doen en laten van burgers diepgaand wordt onderzocht zonder dat een verdenking is geformuleerd. Zo kan het gebruik van de techniek van ‘data mining’ ertoe leiden dat burgers die niets strafbaars van plan zijn, toch als verdachte worden aangemerkt. De voorzitter van het CBP benadrukt verder terecht dat uitbreiding van bevoegdheden in het veiligheidsdomayn drie essentiële toetsen moet doorstaan. Voorop staat de vraag of de noodzaak bestaat tot het scheppen van ruimere bevoegdheden. Van voorgestelde bevoegdheden moet vervolgens de effectiviteit aannemelijk worden gemaakt. Ten derde dienen ruimere bevoegdheden in beginsel tijdelijk te zijn. Uitzonderlijke maatregelen dienen na enige jaren te worden geëvalueerd en vanzelf te vervallen, tenzij de effectiviteit ervan is aangetoond. Bescherming van persoonsgegevens staat immers in dienst van achterliggende doelen en waarden zoals zelfontplooiing, keuzevrijheid, gelijke behandeling, voorkomen van schade, non-discriminatie, sociale cohesie. En van vertrouwen. Tegen die achtergrond is de uiteindelijke controlefunctie op daadwerkelijke bescherming buitengewoon belangrijk. Het raakt ook de klassieke vraag: wie bewaakt de bewaker? Het voorliggende artikel 24 is daarmee even schraal als karig en roept de vraag op wat er niet zal zijn geregeld. Zie ook: Vrijheid van meningsuiting: over de Kronenzeitung, twaalf stoelen en een zendmast

Gilyan Parker