Kroniek Technologie & recht 2014

De afgelopen twee jaar brachten de onthullingen van Edward Snowden over de digitale spionageprogramma’s van de Amerikaanse en Britse veiligheidsdiensten een maatschappelijk debat teweeg over de verhouding tussen veiligheid en (digitale) grondrechten. De kritische aandacht voor de al dan niet vrijwillige medewerking van grote Amerikaanse technologiebedrijven aan surveillance en hun eigen omgang met persoonsgegevens, was onderdeel van een bredere tegenreactie onder de noemer ‘de Oude Wereld laat zich niet langer koloniseren door Silicon Valley’. Nederlandse internetaanbieders werden massaal bevolen de toegang tot de file sharing website The Pirate Bay te blokkeren, maar toen dat geen effect bleek te hebben op inbreukmakende bestandsuitwisseling werd de blokkade weer opgeheven. Het auteursrecht spoelde ondertussen nog iets verder weg door het elektronisch vergiet.

De grootste ontwikkeling van de afgelopen twee jaar is echter misschien wel de toegenomen invloed op de rechtsontwikkeling van het Hof van Justitie. Het Hof benadert juridische problemen in het technologie- en informatierecht al langer als botsingen van conflicterende grondrechten, waaronder met name vrijheid van meningsuiting, privacy, intellectuele eigendom en vrijheid van onderneming. Waar het Hof zich in het verleden vaak beperkte tot de opdracht dat nationale wetgevers en rechters een juist evenwicht moesten verzekeren, is het in toenemende mate geneigd om zelf knopen door te hakken. Alleen al in de eerste helft van 2014 heeft het Hof privé-downloaden uit illegale bron verboden, hyperlinken toegestaan, de Richtlijn bewaarplicht telecommunicatiegegevens vernietigd en in de bestaande Privacy-richtlijn uit 1995 een recht om door zoekmachines ‘vergeten te worden’ gelezen waarvan de mogelijke invoering in een toekomstige Privacyverordening nog voorwerp was van verhit debat.

Kroniek Technologie en recht (met Niels van der Laan), gepubliceerd in Nederlands Juristenblad 2014/35 van 17 oktober 2014 [PDF]. Het hele nummer, inclusief kronieken van diverse andere rechtsgebieden, staat op de website van het NJB.

 

Gluurders moeten met rust gelaten worden

Als het minister Hirsch Ballin ligt, hoeft de AIVD binnenkort mensen niet meer te informeren nadat zij door de veiligheidsdienst zijn afgeluisterd. Het is een gevaarlijk betoog waar we niet in moeten trappen.

De AIVD mag telefoons afluisteren, brieven openen en afluisterapparatuur in woningen plaatsen. Daarvoor geldt wel de notificatieplicht, die inhoudt dat de AIVD als het even kan vijf jaar na afloop van zo’n operatie aan de betrokkene verslag moet uitbrengen. Die wettelijke verplichting is een belangrijke waarborg voor de burgerrechten. Alleen door de bespioneerde burger achteraf te informeren weet hij dat zijn recht op vertrouwelijke communicatie of de onschendbaarheid van zijn woning is geschonden. De notificatie achteraf stelt de burger in staat te laten toetsen of die inbreuk op zijn rechten terecht was. De notificatieplicht is daarmee een belangrijke rem op ongebreidelde spionagelust van de overheid. Continue reading “Gluurders moeten met rust gelaten worden”

Het land waar niemand niemand mag zijn

Vandaag was de slotdag van het beveiligingscongres van SURFNet, de organisatie die alle hoger onderwijs instellingen van supersnel internet voorziet. Ik mocht een korte inleiding geven voor het debat over Privacy vs Handhaving, dat vervolgens werd gevoerd door Sybrand van Haersma Buma (Tweede Kamer, CDA), Fred Teeven (Tweede Kamer, VVD), Sophie in ‘t Veld (Europees Parlement, D66) en Inez Weski (Weski Heinrici advocaten).

De standpunten in het debat waren geheel voorspelbaar: de heren zijn van de stroming “veiligheid voor privacy”, de dames meer van de beweging “mag het ook een onsje minder”. Laatstgenoemd standpunt is in wezen genuanceerder omdat het accepteert dat in sommige gevallen privacybeperkende maatregelen wel degelijk nodig zijn. Dat Van Haersma Buma er toch in slaagde om optisch het meest redelijk over te komen, kwam vooral door zijn geestige en innemende debatteerstijl: wat hij feitelijk zegt is namelijk net zo bot als het standpunt van Teeven.

Een ongenuanceerd afluisterdebat

Inmiddels is het verslag van het algemeen overleg over de aftapstatistieken in de Tweede Kamer van 26 november 2009 gepubliceerd. Ik schreef daar eerder over.

Boeiend is wederom de zalvende woorden die VVD’er Fred Teeven spreekt over de toepassing van aftapbevoegdheden door justitie: per geval hebben politiemensen, de officier van justitie en de rechter-commissaris daar goed naar gekeken, dus met de effectiviteit zit het wel snor. Als ex-officier van justie heeft Teeven natuurlijk bij uitstek relevante ervaring, maar in dit soort debatten denkt en praat hij nog steeds als een officier van jusititie die zich verdedigt tegen lastige, in zijn ogen ongetwijfeld domme kamerleden. In zijn nieuwe hoedanigheid als volksvertegenwoordiger moet Teeven juist zelf lastige vragen stellen aan de overheid, de luis in de pels zijn die met ogenschijnlijke domheid serieuze zaken bloot legt. Continue reading “Een ongenuanceerd afluisterdebat”

Het valse veiligheidsdilemma – opinie

Op 3 november 2009 publiceerde het kabinet zijn standpunt over het advies van de Commissie Brouwer-Korf over veiligheid en privacy, en de evaluatie van de Wet bescherming persoonsgegevens. De kop boven het begeleidende persbericht belooft ‘Meer privacy voor burgers’, maar dat dekt niet de lading van de brief. In werkelijkheid gaat de overheid meer gegevens opslaan en uitwisselen. De brief markeert zelfs een fundamentele stap in het denken over veiligheid en burgerrechten. Zij moeten niet meer in concrete gevallen tegen elkaar worden afgewogen; vanaf nu gaat veiligheid voor. Het is een even onjuiste als onnodige keuze.

Dat burgers ‘erop mogen rekenen’ dat overheidsinstanties waar nodig informatie delen, klinkt plausibel, haast evident. Niemand wil dat boeven vrijuit gaan omdat ‘de instanties’ even niet communiceerden. Toch is wezenlijk verschil van inzicht mogelijk over wanneer het vanuit veiligheidsoogpunt noodzakelijk is dat overheidsorganisaties persoonsgegevens uitwisselen, alsmede over de verdere details van die uitwisseling. Wiens en welke gegevens worden uitgewisseld? Wie kan er allemaal bij? Hoe worden de gegevens geverifieerd en beveiligd? Worden de gegevens vernietigd als verder gebruik niet meer noodzakelijk is voor de veiligheid?

Natuurlijk willen we niet dat een zelfmoordcel niet kan worden afgetapt omdat dat privacyinbreuk zou zijn. Uit het artikel van Dorien Verhulst in dit nummer van Mediaforum blijkt dat de Staat op dat punt voldoende bevoegdheden heeft. Evenmin zouden we het aanvaardbaar vinden als een zedenrechercheur een cd-rom met de medische behandelgegevens van alle bekende pedoseksuelen in de trein zou laten liggen. Maar dat men het roerend met elkaar eens kan zijn over makkelijke gevallen, betekent niet dat vooruitgang is geboekt in de discussie over de moeilijke gevallen. In de kabinetsreactie worden over dit soort vragen wel verstandige dingen gezegd, maar door de principiële keuze voor veiligheid boven privacy is het belang daarvan beperkt.

Wellicht onbedoeld biedt de kabinetsreactie een treffende illustratie van het probleem. Het kabinet beoogt een forse uitbreiding van het gebruik van automatische nummerbordherkenning (ANPR), ‘waarbij camera’s op de openbare weg de kentekens van auto’s registreren en deze automatisch vergelijken met bestanden van bijv. openstaande boetes of belastingen. Samenwerking tussen politie en andere overheidsdiensten bij ANPR verloopt aldus veel efficiënter en levert veel meer geld op.’ Ik kan mij voorstellen dat er gevallen zijn waarin automatische nummerbordherkenning een belangrijke bijdrage levert aan het opsporen of voorkomen van een ernstig misdrijf. Als je regels stelt om ervoor te zorgen dat ANPR alleen daarvoor gebruikt kan worden, is er niets aan de hand. Het voorbeeld gaat echter over stelselmatige registratie en opslag van informatie over alle voertuigbewegingen.

ANPR is vast een ‘efficiëntere’ manier om wanbetalers te achterhalen. Maar moet de privacy van alle weggebruikers worden geofferd voor efficiencywinst? Het opsporen van mensen met achterstallige boetes of belastingen is in elk geval niet het eerste waar ik aan denk bij ‘de bescherming van veiligheid’. Het feit dat iemand zijn parkeerboete niet heeft betaald, zie ik niet als een geval waarin ‘de veiligheid van individuen concreet bedreigd wordt’, zoals de kabinetsreactie het formuleert. Laat staan dat registratie en opslag van iedere voertuigbeweging voor het wegnemen van die bedreiging noodzakelijk is, in die zin dat het zonder nummerbordherkenning onmogelijk is achterstallige belastingen of boetes te innen. Laat het kabinet dan zeggen wat het kennelijk bedoelt: als privacyregels opsporing op enige manier belemmeren, moeten privacyregels wijken. Als er een opsporingsbevoegdheid denkbaar is die wij nog niet hebben, geef ons die dan. Weg met anoniem prepaid bellen, hier met die meldplicht buitenlandse reisvoornemens, lang leve de bewaarplicht internetverkeer.

De rest van het kabinetsstandpunt is doordrongen van dezelfde instinctieve keuze: ‘veiligheid’ (wat dat ook betekent) vóór ‘privacy’ (in al zijn verschijningsvormen). Dat wil echter niet zeggen dat er verder geen nuttige voorstellen in staan. Meer aandacht voor beveiliging van overheidsdatabases is absoluut noodzakelijk, zeker nu de acute informatieverzamelzucht van de overheid leidt tot steeds meer databases met gevoelige informatie zoals vingerafdrukken, telecomverkeersgegevens, OV-reisgegevens en medische gegevens. Er staat wel meer verstandigs in de kabinetsreactie, vooral over gegevensverwerking door bedrijven. Maar zodra we het ‘veiligheidsdomein’ betreden is de burger zijn zelfbeschikkingsrecht kwijt. Het is duidelijk niet de bedoeling dat de opsporing op enige manier zal worden gehinderd door de aangescherpte privacywaarborgen.

Het kabinet en veiligheidsmensen presenteren het dilemma van privacy versus veiligheid graag als een vals dilemma: veiligheid is een essentieel deel van de persoonlijke levenssfeer, dus schending van veiligheid is ook een vorm van privacyschending. Dat is waar, maar niet erg behulpzaam en geen vrijbrief om dan veiligheidsbescherming categorisch boven privacybescherming te stellen. Je kunt het bovendien net zo goed andersom stellen: daadwerkelijke bescherming tegen ongebreidelde, onzorgvuldige uitwisseling en opslag van persoonsgegevens is een essentieel deel van – en voorwaarde voor – persoonlijke veiligheid.

De keuze tussen veiligheid en privacy is inderdaad een vals dilemma, maar niet omdat privacy eigenlijk een vorm van veiligheid is en je dus altijd voor veiligheid moet kiezen. Het is een vals dilemma omdat het kabinet die keuze tussen bescherming van veiligheid en bescherming van persoonlijke levenssfeer niet in zijn algemeenheid kan, mag en hoeft te maken. De moeilijke, maar enige werkbare aanpak is om per concreet geval een afweging te maken. Als een beleidsvoorstel met negatieve implicaties voor de privacy wordt gerechtvaardigd met een beroep op veiligheid, moet het privacyverlies worden afgewogen tegen de haalbare veiligheidswinst. Uiteraard moeten alle praktische waarborgen worden getroffen om te voorkomen dat meer privacy wordt verloren dan strikt noodzakelijk. Als de realistisch haalbare veiligheidswinst niet opweegt tegen de aan het voorstel inherente privacyschending, moet het kabinet nee durven verkopen aan opsporingsinstanties – en aan burgers uitleggen dat in vrije landen de overheid geen absolute veiligheidsgaranties kan geven.

Dit opiniestuk is oorspronkelijk gepubliceerd in Mediaforum 2010-1.

Naakt vliegen is nog veiliger

Eén mislukte bomaanslag is voldoende om het publieke debat over veiligheidsmaatregelen weer van iedere nuance te ontdoen. Politici klagen dat respect voor hun ambt verdwijnt, maar durven zelf de waarheid niet te vertellen.

Het NOS Journaal besteedde deze week flink aandacht aan de bodyscan, een geavanceerde machine waarmee de Nigeriaan Umar Farouk Abdulmutallab op Schiphol “waarschijnlijk” gepakt had kunnen worden voordat hij op het vliegtuig naar Detroit stapte met explosieven in zijn ondergoed. Maar, zo meldde het Journaal er steeds bij, “de bodyscan mag nu nog niet worden gebruikt vanwege privacyregels.”

Ook de Vereniging van Nederlandse Verkeersvliegers en de Vakbond van Nederlands Cabinepersoneel reageerden onmiddellijk, met een gezamenlijk persbericht nog wel. De kern: “De overheid dient zorg te dragen voor een zeer snelle evaluatie en meteen daarna toepassing van nieuwe technische mogelijkheden. Daarbij dient de balans tussen veiligheid en privacy ten principale altijd in het voordeel van de veiligheid uit te slaan.”

De boodschap is duidelijk: technologie biedt veiligheid, maar uw en mijn veiligheid kunnen niet gegarandeerd worden zolang die privacyregels niet worden ingedamd.

Natuurlijk moeten alle redelijke maatregelen worden getroffen om terroristische aanslagen te voorkomen. Toch hebben de Journaal-redactie en de vliegers er weinig van begrepen. Continue reading “Naakt vliegen is nog veiliger”

Het valse veiligheidsdilemma

Een recente brief van het kabinet markeert een fundamentele stap in het denken over veiligheid en burgerrechten. Zij moeten niet meer in concrete gevallen tegen elkaar worden afgewogen; vanaf nu gaat veiligheid voor. Het is een even onjuiste als onnodige keuze.

Op 3 november publiceerde het kabinet zijn standpunt over het advies van de Commissie Brouwer-Korf, over veiligheid en privacy, en de evaluatie van de Wet bescherming persoonsgegevens. De kop boven het persbericht verkondigt “Meer aandacht voor privacybescherming burgers”. Dat dekt alleen de lading van de brief als je “inperken” ook ziet als een vorm van “aandacht geven”: in werkelijkheid gaat de overheid meer gegevens opslaan en uitwisselen.

Dat burgers “erop mogen rekenen” dat overheidsinstanties waar nodig informatie delen, klinkt plausibel, haast evident. Niemand wil dat boeven vrijuit gaan omdat ‘de instanties’ even niet communiceerden. Toch is wezenlijk verschil van inzicht mogelijk over wanneer het vanuit veiligheidsoogpunt noodzakelijk is dat overheidsorganisaties persoonsgegevens uitwisselen, alsmede over de verdere details van die uitwisseling. Wiens en welke gegevens worden uitgewisseld? Wie kan er allemaal bij? Hoe worden de gegevens geverifieerd en beveiligd? Worden de gegevens vernietigd als verder gebruik niet meer noodzakelijk is voor de veiligheid? Continue reading “Het valse veiligheidsdilemma”