Enige tijd geleden kondigde het ministerie van Veiligheid en Justitie aan het privacybeleid aan te passen. De kop van het persbericht impliceerde dat er eindelijk werk gemaakt zou worden van de meldplicht datalekken. Maar Bits of Freedom keek verder dan de kop en analyseerde het gehele pakket van voornemens. Helaas moeten we concluderen dat het aan alle kanten rammelt.

De kop van het persbericht kondigt alleen een meldplicht datalekken aan. Dat Staatssecretaris Teeven daarbij zijn eigen deadline niet heeft gehaald zij hem vergeven, ware het niet dat er van een wetsvoorstel nog steeds geen sprake is. Volgens de privacynotitie van het kabinet blijft er ‘nadere gedachtevorming’ (p.5) nodig over zaken als de reikwijdte (voor wie geldt de meldplicht?) en aansprakelijkheid (wie draait op voor na datalek geleden schade?). Het kabinet laat wederom na keuzes te maken, terwijl Bits of Freedom al in januari 2010 een wetsvoorstel (PDF) neerlegde bij Justitie. Kortom: te laat, teveel woorden, te weinig daden.

Ondanks de kop gaat het persbericht over veel meer dan de meldplicht datalekken, namelijk over de kabinetsvisie op privacybescherming in het algemeen en de Wet bescherming persoonsgegevens (Wbp) in het bijzonder. En het gebrek aan daadkracht blijkt een rode draad in het kabinetsbeleid, dat vaak nietszeggend is en af en toe wordt overschaduwd door verkeerde of zelfs privacybeperkende beleidskeuzes. Uit onze lange waslijst delen we hier alvast belangrijke kritiekpunten op de privacynotitie:

p.4: het regeerakkoord schrijft weliswaar voor dat privacybeperkende maatregelen ‘zoveel mogelijk voorzien worden van een horizonbepaling’ (voor een beperkte tijd gelden en alleen verlengen bij positieve evaluatie), maar de notitie blijft vaag wanneer zo’n horizonbepaling aan de orde is. ‘Aard van de inmenging en investeringen’ zijn leidend. Wat gebeurt er als de privacybeperking evident is, maar de surveillance blijkt duur om in te voeren – komt er dan geen horizonbepaling omdat de investeringen belangrijker zijn dan onze privacy? Dat het kabinet ‘enige terughoudendheid bij horizonbepaling’ (p.11) voorschrijft, geeft weinig vertrouwen in haar prioriteiten.

p.14: op belangrijke terreinen (zoals klachtregelingen) wacht Nederland af wat een nieuwe Europese privacyrichtlijn zal voorschrijven. Een gemiste kans. Het kan nog jaren duren voordat men in Brussel tot een nieuwe richtlijn komt, daarna zal het nog jaren duren voordat zo’n richtlijn in de Nederlandse Wbp is omgezet. Waarom al die jaren wachten? Wederom toont het kabinet geen daadkracht.

p.4: de notitie spreekt meestal van een meldplicht datalekken bij ‘ontoereikende beveiligingmaatregelen’, maar soms ook alleen bij ‘doorbrekingen van de beveiligingsmaatregelen’ (PDF). Maar bij een meldplicht datalekken staat juist degene wiens persoonsgegevens gelekt zijn centraal. Of dat te wijten is aan onjuiste beveleigingsmaatregelen, slimme hacks of – meestal – aan domme fouten, is volstrekt irrelevant.

p.4/5: het kabinet impliceert dat zich in Nederland geen ernstige datalekken voorgedaan hebben. Deze stelling is onjuist en gevaarlijk, omdat ze geen recht doet aan de realiteit. Bits of Freedom houdt al langer dan een jaar een Zwartboek Datalekken bij. Zo gaf een lek bij Kasboek.nl gaf toegang tot 8.985 bestanden waarin meer dan een miljoen banktransacties werden genoemd. De totale waarde van de gelekte transacties bedroeg ongeveer 200 miljoen euro. Niet ‘ernstig’?

p.13: op basis van verkeerde veronderstellingen ziet het kabinet ‘onvoldoende reden’ om privacy impact assessments (‘PIAs’) verplicht te stellen. Maar het in kaart brengen van privacyrisico’s in de ontwerpfase van surveillancemaatregelen brengt de belangrijkste pijnpunten juist in een vroeg stadium aan het licht. Hiermee had het afschieten van het landelijke EPD in de Eerste Kamer voorkomen kunnen worden, net als de privacyproblemen rond de OV-chipkaartgegevens, zoals het 7 jaar lang bewaren van reisgegevens zonder goede reden. Door privacypijnpunten in het begin weg te nemen, voorkom je onverwachte – en doorgaans torenhoge – kosten of zelfs annulering van maatregelen achteraf. Dit schreven we al in ons Manifest voor Digitale Vrijheid (PDF). Er dient goed nagedacht te worden wanneer PIAs ingezet moeten worden, maar het afschieten van een PIA uit kostenoverwegingen gaat niet op.

Bits of Freedom heeft het kabinet en de politiek herhaaldelijk geadviseerd welke keuzes nodig zijn bij het aanpassen van de Wbp – bijvoorbeeld in oktober 2009, december 2009, januari 2010 en in februari 2011. Op basis van onze analyses, moet het kabinet:

het beginsel van dataminimalisatie versterken;

verdergaande transparantie verzekeren;

betere beveiliging van persoonsgegevens verzekeren;

het begrip “persoonsgegevens” verhelderen;

bestuurlijke toezicht en handhaving van het juridisch kader versterken;

civiele handhaving van het juridisch kader versterken;

Een meldplicht datalekken introduceren;

Een audit-verplichting voor beheerders van databanken introduceren;

Beveiligingsmaatregelen door “privacy-by-design” bevorderen;

Privacy effect rapportages (privacy impact assessments) bij wet- en regelgevingsvoorstellen verplicht stellen; en

Privacy-beperkende overheidsmaatregelen in de tijd beperken (horizonbepaling).

Blijkbaar is het nodig om onze adviezen nogmaals te herhalen en weer mee te doen aan de aankomende consultaties. We stropen de mouwen op, u hoort van ons.

Opmerkingen over het privacybeleid van het kabinet en aanvullingen op onze kritiekpunten zijn van harte welkom in de comments – we zullen relevante suggesties meenemen in onze advisering aan het kabinet en de politiek.