aan
minister van Justitie
minister van Binnenlandse Zaken en Koninkrijksrelaties
cc.
voorzitter van de Tweede Kamer van de Staten-Generaal
website dotindividual (www.dotindividual.com)
datum
27 november 2009
onderwerp
persoonsinformatie in maatschappelijk verkeer
referentie
TK 31051, nr. 5
Laat ik over mijn fiets beginnen. Of over die van u, enzovoort. U bent het
er dan stellig mee eens, dat een belangrijke rol bij de bescherming van fietsen
is weggelegd voor de burgers zelf.
Hoe hebben we dat voor elkaar gekregen? Hoe lukt het zo goed en zo kwaad als
mogelijk, dat mensen zoals u en ik zich bekommeren om hůn fietsen?
Daarvoor is bijna een noodzakelijke voorwaarde, zeker praktisch gezien, dat wij
erkčnde verantwoordelijkheid dragen. Een beproefd aanknopingspunt is eigendom.
Daarom is menig burger eigenaar van ‘zijn’ fiets.
Eigendom betekent allerminst dat de burger met ‘zijn’ fiets maar kan doen en
laten wat hij wil. Als eigenaar kent hij rechten čn plichten. Hij is dus
aansprakelijk voor ‘zijn’ gedrag ermee. Kortom, eigendom is géén privé
aangelegenheid, integendeel. Wezenlijk gaat het om een voorziening ter
bevordering van evenwichtig maatschappelijk verkeer. Omdat mijn fiets … de
mijne ěs, bent ú navenant beter beschermd tegen mijn gedrag ermee respectievelijk
kan voordeel putten uit wat ik ermee doe.
Als u het maatschappelijk nut van eigendomsverhoudingen voor fietsen inziet, beveel ik u dringend aan dat beginsel ook van toepassing te verklaren, netzo structureel dus, op persoonsinformatie. Daarvoor bevat uw brief dd. 3 november 2009 aan de voorzitter van de Tweede Kamer van de Staten-Generaal over de evaluatie Wet bescherming persoonsgegevens (TK 31051, nr. 5) reeds een belangrijke aanzet. Want daarin staat een zin die ik hierboven tot stelling over fietsen en burgers bewerkte. U schreef zčlf (p. 22):
Een belangrijke rol bij de bescherming van persoonsgegevens is weggelegd voor de burger zelf.
Ja, dat ben ik grondig met u eens! Door het begin van de zin die u er direct op laat volgen, ben ik echter niet gerust, of u beseft dat eigendom instrumenteel is. Ik citeer die zinsnede:
Hij is immers de eigenaar van zijn eigen gegevens[.]
Het lijkt erop, dat u met “immers” uitdrukking geeft aan een
natuurrechtelijke grondslag. Vergeleken met instrumentele betekenis van
eigendom is de lading met natuurrecht zelfs veel zwaarder, zo niet absoluut. Ik
elk geval is het gelet op dat uitgangspunt van
immers-eigenaar-zijn-van-gegevens markant, dat u er in uw brief nergens
opbouwende consequenties aan verbindt voor inrichting van maatschappelijk
verkeer.
Weliswaar propageert u (p. 5):
In zijn benadering stelt het kabinet de belangen van de burger centraal[,]
maar voor uw voorgestelde (p. 30)
maatregelen [doet u] een beroep […] op de eigen verantwoordelijkheid van overheden en bedrijven[.]
Zo vestigt u een tegenstrijdigheid waaraan niet valt te ontsnappen. Uw verklaring dat de burger eigenaar van zijn persoonsinformatie is, blijkt loos. Waarom schrijft u niet waarop het blijkbaar uitdraait, te weten dat de burger niet wordt vertrouwd met eigendomsrechten en –plichten, dus eigenlijk géén … eigenaar is? Want wat houdt hun eigen verantwoordelijkheid in, als u overheden en bedrijven erop aanspreekt? Máákt u ze daarmee zo niet formeel, dan toch minstens praktisch eigenaar van persoonsinformatie van burgers? Tja, dan blijken er nogal wat, zelfs steeds méér, ‘eigenaren’ van dezčlfde persoonsinformatie te verschijnen. Dat gebeurt, in uw woorden (p. 6),
[g]ezien het grote aantal verschillende belanghebbenden en het aantal sterk uiteenlopende situaties[.]
Van de weeromstuit verdwijnt de čchte eigenaar, dat is en blijft tňch de ene
burger in kwestie, bij u helemaal uit zicht.
Wat u bereikt, is alsmaar grotere verwarring met averechts effect op
maatschappelijke dynamiek. Daarom mag (p. 26)
een nalevingstekort ten aanzien van deze wet
u niet verrassen. Die wet, de Wet bescherming persoonsgegevens, gaat mank aan de tegenstrijdigheid die ik u probeer te verhelderen.
Ik vermoed, dat u oprecht meent dat de burger inderdaad “een belangrijke
rol” moet spelen. Plaats daarom “de belangen van de burger centraal[,]”
uitstekend! Maar doe dat consequent.
U wijst terecht op wat (p. 22) “onvermijdelijk verbonden [is] aan de
informatiesamenleving.” “Het hoeft ook niet negatief te worden gewaardeerd[,]”
voegt u eraan toe. Uit dit laatste spreekt echter een te afwachtende houding.
Met de “informatiesamenleving” beleven we een kwalitatieve verandering van
maatschappelijk verkeer. Als dat zo is, hoort er eventuele hčrwaardering van
inrichtingsbeginselen bij.
De stichting dotindividual bepleit evenwichtig informatieverkeer op
maatschappelijke schaal. Als oproep stelde zij een manifest op (bijgevoegd: iDNA Manifest).
Het eerste artikel vermeldt als beginsel: Persoonsinformatie is persoonlijk
eigendom.
In (slechts) enkele verdere artikelen zijn zo algemeen mogelijk rechten en
plichten aangegeven. Nota bene, dat zijn rechten en plichten van deelnemers
over en weer aan informatieverkeer. Als zodanig zijn er wellicht (p. 10)
verschillende redenen voor een aparte behandeling van de verwerking van persoonsgegevens in het veiligheidsdomein.
Wat u ook bedoelt met “behandeling van de verwerking,” er kan echter slechts één wettelijk kader voor gelden.
Vanuit het consequente perspectief van het dotindividual-manifest verdampen
als het ware allerlei vraagstukken waarmee u nog worstelt, getuige uw brief.
Zo beklaagt u zich erover (p. 7)
dat de open normen in de privacywet- en regelgeving zorgen voor moeilijkheden in de praktijk[.]
Maar verkeersdynamiek in/voor een open samenleving gedijt pas door “open normen.” Zij zijn dus geen gebrek, maar een nodige voorwaarde.
Wat u van “de wet” verlangt, te weten dat zij (p. 21)
niet aan elke nieuwe technologie moet worden aangepast[,]
is met de benadering volgens het dotindividual-manifest bereikt. Dat manifestperspectief maakt echter uw stelling, zachtjes uitgedrukt, twijfelachtig dat (p. 21):
[d]e huidige wet […] voorlopig nog voldoende ruimte [biedt] om bescherming van persoonsgegevens mogelijk te maken.
Er ontbreekt domweg een productief inrichtingsbeginsel. Daarover schreef de stichting onlangs overigens een brief aan de Staatscommissie Grondwet met een voorstel voor het thema grondrechten in het digitale tijdperk (zie website Staatscommissie Grondwet).
In het verlengde van haar manifest bewerkte de stichting dotindividual de huidige Wet bescherming persoonsgegevens tot een voorstel voor een Wet persoonsinformatie (zie website dotindividual). Het klopt dat (p. 23)
[a]an de formulering van de rechten als zodanig zal – voor zover het de tekst van de Wbp betreft – niet veel hoeven te veranderen.
Consequente oriëntatie vanuit het scherpe inrichtingsbeginsel maakt vooral talloze artikelen overbodig. Dus, nee (p. 25),
[d]ie wet vereist [géén] nadere invulling op sectoraal niveau en vaak ook op het niveau van een individuele verwerking.
De nadrukkelijke ontkenning is mijn toevoeging aan het citaat.
Als u schrijft (p. 16)
dat in de praktijk over de verhouding tussen privacy en veiligheid verschillende misverstanden bestaan[,]
veroorloof ik mij u erop te wijzen dat uw brief eveneens een vals begrip van
privacy propageert.
Vindt u het een probleem om “een deugdelijke afweging te maken tussen privacy
en veiligheid”? Weet u niet dat bij uitstek privacy in wezen om veiligheid
gaat?
U kunt het vergelijken met afstand houden op de fiets e.d. Dat doet u niet
alleen voor uw eigen veiligheid, maar tegelijk voor de veiligheid van overige
verkeersdeelnemers. Dŕt is er op maatschappelijke schaal inherent evenwichtig
aan. Het is de ruimte die veiligheid biedt. En die veiligheid is tevens ruimte
voor ontplooiing.
Ja, ruimte is altijd óók risico. Persoonlijke verantwoordelijkheid betekent
altijd veiligheid en ňnveiligheid tegelijk. Het is niet anders.
Om nogmaals een zinsnede van u te bewerken, ruimte met navenant risico is
onvermijdelijk verbonden aan een open samenleving. De tegenstelling tussen
privacy en veiligheid is daarom contraproductief.
Voorts hanteert u m.i. een naďeve opvatting van wat een professional is. De
behoefte aan professionele bemoeienis bestaat (pas) onder onvoorziene
omstandigheden. Daaruit volgt dat een professional zgn handelingsvrijheid moet,
herhaal, moet hebben. Voor de uitkomst bestaat op voorhand geen waarborg.
Anders waren het geen ňnvoorziene omstandigheden, nietwaar?
Verdient de professional daarom een vrijbrief? Nee, natuurlijk niet. Opleiding,
certificatie, inspectie enzovoort tot en met strafrecht zijn allemaal
kwaliteitsinstrumenten. Maar het risico door professioneel handelen valt nooit
te elimineren, want dat is zelfs karakteristiek voor zo’n (p. 5)
“sleutelfiguur.” De ňntkenning van reële verhoudingen helpt nooit; dankzij
črkenning kan risico zo beheersbaar mogelijk blijven.
In dit verband kunt u ook denken aan het gezegde: Nood breekt wet. Dat zegt
impliciet over de wet, dat zij nooit de werkelijke omstandigheden uitputtend
kan vangen. Dergelijk rechtsfilosofisch realisme vind ik in uw brief niet
terug.
Ik geef nog een voorbeeld van een passage, waaruit volgens mij blijkt dat u nog onvoldoende herkent hoe werkzaam informatie-eigendom als inrichtingsbeginsel is. Uw (p. 5)
benadering[,]
zo stelt u,
doet meer recht aan de wens van de burger om zoveel mogelijk vrijheid te hebben om zelf te beslissen over de verwerking van zijn persoonsgegevens.
Ervan afgezien dat uw claim aan de werkelijkheid geen recht doet, vind ik daar de term “wens” veelbetekenend. Die verraadt een opvatting over de betrekking. Vooruit, zo lijkt u te beweren, als de burger dat zo dringend wenst, verleent de overheid hem die gůnst. Van harte gaat dat overigens niet (p. 9):
Naar het oordeel van het kabinet kan een effectief beleid niet worden vormgegeven zonder aandacht te schenken aan de positie en het handelen van degenen over wie, en soms ook ten behoeve van wie, gegevens worden verzameld: de burger zelf.
Dat lijkt als een bijgedachte te zijn opgekomen. Want er gaat daar een vraag aan vooraf (p. 9):
Is bescherming van persoonsgegevens een zaak van alleen de overheid of van andere instanties die gegevens verzamelen, zoals bedrijven en instellingen?
Op die manier zijn burgers, uzčlf uiteraard inbegrepen, slachtoffer van onvermogen om een scherp oriëntatiepunt te vestigen. Dat punt annex beginsel is, nogmaals, het persoonlijk eigendom van persoonsinformatie.
Volmondig ben ik het dan weer eens met uw nadruk op (p. 9) “het bewust
omgaan met vrijwillige gegevensverstrekking.” Het in vrijwilligheid aangaan van
overeenkomst met een andere (rechts)persoon voor diens gebruik van
persoonsinformatie staat daarom opgenomen in het dotindividual-manifest. De
basis voor zulke vrijwilligheid is, precies, eigendom.
Daarom juich ik toe dat (p. 22)
[d]e overheid […] de burger daarnaast ook bewuster [wil] maken van de risico’s die zijn verbonden aan een onzorgvuldige omgang met zijn eigen persoonsgegevens.
Wat opnieuw niet klopt, is “daarnaast” als relativering. U geeft er steeds blijk van, dat de burgerrechten secundair zijn ten opzichte van de registratie en het gebruik van persoonsinformatie. Maar vanuit dat valse startpunt komt van (p. 29) “zelfregulering” natuurlijk niets. Dat moet precies ňmgekeerd. (Pas) geredeneerd vanuit persoonlijk eigendom van persoonsinformatie is “zelfregulering” volstrekt logisch en vallen er praktische verbeteringen van te verwachten.
Ja maar, werpt u wellicht tegen, kunnen overheidsinstellingen hun publieke taken nog wel behoorlijk uitvoeren, indien de burger zo vierkant eigenaar is van zijn persoonsinformatie? Leest u aub het dotindividual-manifest! (p. 7)
[H]et uitgangspunt van doelbinding bij de verwerking van persoonsgegevens
staat uiteraard erkend.
Net zoals met een fiets, nogmaals, is eigendom iets anders dan willekeur. Het
betreft daarentegen een middel voor evenwichtige(r) betrekkingen. Overheid faciliteert
zulk maatschappelijk verkeer.
Uw beoordeling (p. 23):
Voor niemand zijn deze [persoons]gegevens echter meer waardevol dan voor de burger zelf[,]
acht ik weer onvoldoende blijk geven van erkenning van eigen verantwoordelijkheid van de burger. Laat elke burger dat voor zichzčlf beoordelen. Wat de overheid, zie ook hierboven, wčl moet bevorderen, is dat burgers de werking leren van persoonsinformatie in informatieverkeer. Met andere woorden, ‘wij’ kunnen via regulier onderwijs enzovoort prima hulp gebruiken bij de ontwikkeling van ons (eigen) beoordelingsvermogen. Waarom? (p. 24)
[Zo]dat de burger zo veel mogelijk in staat dient te worden gesteld om zelf zeggenschap te hebben en te houden over het gebruik van zijn gegevens.
Of ik het met u eens ben, dat u in uw brief (p. 30)
een eerste stap [schetst van] een nieuwe benadering van de bescherming van de persoonlijke levenssfeer[?]
Nee, de nóódzakelijk “nieuwe benadering” mis ik. Voor die richting hoop ik u met deze brief serieuze aanwijzingen te hebben verschaft. In plaats van meteen (p. 30)
voor de nadere uitwerking en invoering van de voorgestelde maatregelen een programmaorganisatie in het leven [te] roepen, waarbij de relevante partijen zullen worden betrokken
raad ik u allereerst principiële heroverweging aan. Want met uw aankondiging dat (p. 31)
[o]p enige belangrijke onderdelen […] nadere keuzes nog noodzakelijk [zijn,]
onderschat u naar mijn beredeneerde overtuiging het vraagstuk van čn de kans met persoonsinformatie is persoonlijk eigendom als inrichtingsbeginsel voor maatschappelijk informatieverkeer. Dat is geen “nadere keuze,” maar doorzetting van productief beginsel.
Uw netzo beredeneerde reactie zie ik graag tegemoet. Tot nadere toelichting ben ik uiteraard bereid.
Hoogachtend,
Dr. ir. P.E. Wisse
bestuurslid van stichting dotindividual,
aangesloten bij Platform Bescherming Burgerrechten
1.
Informatie over de individuele (rechts)persoon is eigendom van diezčlfde
(rechts)persoon.
Opmerking: De (rechts)persoon is verder kortweg persoon genoemd.
Informatie over de individuele persoon heet kortweg persoonsinformatie.
[In januari 2009 toegevoegd:] In persoonlijke informatie-integriteit als eerste
(maatschappelijk) beginsel komt tot uitdrukking dat de persoon geldt als
primaire politieke actor. Als zodanig heet hij burger en zijn politieke
erkenning vergt dus, nota bene, aanpassing van traditionele trias politica. Met
tevens registermacht erkend als extra faciliterende macht (zie verderop ook de
opmerking bij artikel 3), dus gescheiden van de wetgevende, rechtsprekende
respectievelijk uitvoerende macht, kent de maatschappelijke orde een expliciet
vijfvoudige politieke geleding: pentas politica.
Dit manifest regelt feitelijk, zij het beperkt tot hoofdlijnen, de formele
betrekkingen over persoonsinformatie tussen actoren in hun gevarieerde,
pentadische hoedanigheden.[einde toevoeging]
2.
Eigendomsrecht vestigt oorspronkelijk en volledig beschikkingsrecht van de
persoon over zijn persoonsinformatie.
Opmerking: Omdat het recht over eigen informatie betreft, geldt ook de aanduiding zelfbeschikkingsrecht. Het geslacht van het woord persoon is mannelijk.
3.
De persoon kan uitsluitend bij wet beperkt zijn in beschikkingsrecht over zijn
persoonsinformatie.
Opmerking: Onbeperkt persoonlijk zelfbeschikkingsrecht borgt
eventueel onvoldoende vertrouwen voor maatschappelijk verkeer met
specialistische bijdragen.
[In januari 2009 toegevoegd:] Met wettelijke beperking van
zelfbeschikkingsrecht wordt doorgaans tevens zelfbeheer door de persoon van
zijn overeenkomstige persoonsinformatie beperkt. Ter waarborg van
beschikbaarheid voor (een) andere perso(o)n(en) krijgt een vertegenwoordiger
van de formele registermacht het beheer van de persoonsinformatie in kwestie
opgedragen. De registermacht is een uitbreiding van de traditionele trias
politica die wetgevende, rechtsprekende respectievelijk uitvoerende macht telt.
De relevante vertegenwoordiger(s) van de registermacht gelden voor de persoon
eveneens als andere perso(o)n(en) met bijbehorende verantwoordingplicht aan de
persoon over handeling met en beheer van diens persoonsinformatie.[einde
toevoeging]
4.
Zo’n beperking is tijdelijk (maximale termijn: 3 jaren), betreft een specifiek
doel met het bijbehorende minimum aan specifieke persoonsinformatie en
specificeert welke andere persoon beschikkingsrecht over die persoonsinformatie
verkrijgt. Verlenging van de beperking vergt nieuwe wettelijke grondslag.
5.
Bij beschikkingsonbekwaamheid van de persoon vervalt zijn beschikkingsrecht
over zijn persoonsinformatie aan zijn wettelijke vertegenwoordiger(s).
6.
De persoon kan recht op handeling met zijn beschikbare persoonsinformatie
verlenen aan andere personen.
Opmerking: Handeling met informatie omvat gebruik van diezelfde informatie. Op basis van zijn zelfbeschikkingsrecht kent de persoon onlosmakelijk oorspronkelijk handelingsrecht over zijn persoonsinformatie. Het handelingsrecht dat de persoon verleent aan een andere persoon, vormt aldus ŕfgeleid handelingsrecht.
7.
De personen bepalen in een overeenkomst voor specifieke verlening van
handelingsrecht tenminste a. de persoon die handelingsrecht verleent, b. de
persoon die handelingsrecht verkrijgt, c. het doel, d. de termijn en e. de
relevante deelverzameling van de beschikbare persoonsinformatie.
Opmerking: Afgeleid handelingsrecht is een informatiemachtiging. De verleningsovereenkomst specificeert tevens de handelingsintensiteit, die kan variëren van een éénmalige transactie tot ňnbeperkte toepassing. Ook verdienen reële ontbindende voorwaarden expliciete aandacht.
8.
Handeling met persoonsinformatie kan wettelijk verplicht zijn. Voor dergelijke
handeling kan de persoon geen vrijwillige verleningsovereenkomst aangaan.
Opmerking: De persoon die zo’n wettelijke verplichting opgelegd
krijgt, is in de eerste plaats de persoon zčlf. Andere personen zijn doorgaans
een publiek- of privaatrechtelijk rechtspersoon; in die gevallen kan
handelingsverplichting persoonsinformatie betreffen waarover de persoon zčlf
niet beschikt.
[In januari 2009 toegevoegd:] Voor persoonsinformatie onderhevig aan wettelijke
handelingsverplichting geldt doorgaans tegelijk een beperking van zelfbeheer; zie
de opmerking bij artikel 3 over informatiebeheer door een aangewezen
vertegenwoordiger van de registermacht.[einde toevoeging]
9.
Zo’n verplichting betreft eveneens afgeleid handelingsrecht, is tijdelijk
(maximale termijn: 6 jaren; indien afgeleid handelingsrecht door verplichting
volgt uit wettelijk bepaalde beperking van zelfbeschikking, geldt de looptijd
van de beperking als de maximale termijn) en betreft het minimum aan specifieke
persoonsinformatie voor een specifiek doel. Verlenging van de handelingsverplichting
vergt nieuwe wettelijke grondslag.
10.
De persoon is verantwoordelijk voor de kwaliteit van zijn persoonsinformatie
waarvoor geen wettelijke beperking van (zelf)beschikkingsrecht geldt.
11.
Toepasselijke beperking van zelfbeschikking en afgeleid handelingsrecht vormen
onlosmakelijk onderdeel van persoonsinformatie.
Opmerking: In een dictatuur annex politiestaat is die beperking eveneens compleet onderhevig aan beperking van zelfbeschikking respectievelijk -gebruik.
12.
De andere persoon, dus volgens afgeleid handelingsrecht, verantwoordt zich
ongevraagd pčr transactie aan de persoon over handeling met diens
persoonsinformatie. De rapportagetermijn is maximaal veertien dagen na voltrekking
van de transactie.
13.
Tot afgeleid handelingsrecht kan behoren dat de andere persoon beheer voert
over — een afschrift van, ongeacht het medium — persoonsinformatie.
14.
Indien de andere persoon (ook) beheer voert over beschikbare persoonsinformatie,
heeft hij daarover een periodieke verantwoordingsplicht aan de persoon. De
rapportagefrequentie is minimaal halfjaarlijks.
15.
De persoon heeft recht op een vertrouwenspersoon voor persoonsinformatie
waarvan hij weliswaar onlosmakelijk eigenaar is, maar waarover hijzčlf vanwege
wettelijke beperking niet beschikt.
Opmerking: Een vertrouwenspersoon is doelafhankelijk gecertificeerd. Bijvoorbeeld, de persoon kan zijn huisarts aanwijzen voor wat betreft zijn medische persoonsinformatie indien daarvoor wettelijk beperkte zelfbeschikking geldt.
16.
De persoon wendt zich voor verantwoording over handeling met en/of beheer van
zijn niet-beschikbare persoonsinformatie tot de vertrouwenspersoon.
27 november 2009, webeditie 2009 © Pieter Wisse