Jaarverslag Authoriteit Persoonsgegevens 2019

AVG-CHARADE
Vreugdevol presenteerde de Autoriteit Persoonsgegevens op 4 april 2019 het jaarverslag 2018. De AP riep 2018 uit tot een mijlpaal in de privacybescherming en complimenteerde zichzelf met de uitbreiding van het personeel, het binnenhalen van liefst 11.000 klachten en het uitbrengen van meer dan 80 wetgevingsadviezen. Er zijn ook sancties opgelegd, en dat niet aan de minsten. Uber, de belastingdienst en UWV hebben ervan langs gehad.
De werkelijkheid zich echter anders in elkaar dan het jaarverslag voorspiegelt. De Autoriteit Persoonsgegevens is een lamme organisatie die toeziet op de handhaving van een gammel en inconsistent stukje wetgeving.
De cijfers achter de cijfers
De eerste indruk die de AP wekt, wordt onmiddellijk uitgedeukt door de jaarcijfers. Jaarlijks ontvangt de AP duizenden tips, meldingen en klachten. Dat in 2018 het aantal klachten sterk is toegenomen, komt doordat tips en meldingen door de AVG vaker als klacht worden geadministreerd. Evenals in voorafgaande jaren wordt met de meeste tips c.q. meldingen c.q. klachten niets gedaan. De klachtbehandeling bestaat in de meeste gevallen uit een automatisch aangemaakt ontvangstbericht. De AP heeft sinds 2016 ruimere boetebevoegdheden. In 2018 is er echter welgeteld 1 boete uitgedeeld. Bij andere sancties gaat het om het toezenden van een vermanende brief. Die ene boete is voorts nog niet definitief. De AP is geen rechterlijk orgaan. Wie van de AP een boete krijgt, kan na een AP-interne bezwaarprocedure de kwestie voorleggen aan een rechtbank. De kans is klein dat een boete van de AP in rechte overeind blijft. De ACM (v.h. OPTA) heeft rond het in 2009 ingevoerde ‘spam’-verbod inmiddels liefst 51 boetes opgelegd. Het leeuwendeel daarvan is bij de rechter vernietigd of door de ACM zelf deels ingetrokken. De AP heeft in 2018 de mankracht versterkt met bijna 50% tot 157 volle banen. Dat klinkt indrukwekkend. Het betekent echter dat het aantal onderzoeken dat de AP in een jaar kan uitvoeren, kan stijgen tot misschien wel 25.
De AP probeert in het jaarverslag maatschappelijke relevantie uit te stralen. Het jaarverslag komt evenwel over als een uit wanhoop ingegeven schreeuw om aandacht.
Inconsistente wetgeving
Deze clowneske vertoning valt de AP niet aan te rekenen. De AP moet toezien op de uitvoering van de Algemene Verordening Gegevensbescherming (AVG). Deze AVG is inconsistent. Wie de wet doorbladert, ziet de term ‘gegevens’ uit de titel vervangen worden door ‘persoonsgegevens’. Wie de wet daadwerkelijk leest, althans tot lid 1 van artikel 4, begrijpt deze verschuiving. De definitie die in de AVG gegeven wordt van ‘persoonsgegevens’ is zo ruim dat daar alle gegevens onder kunnen vallen. De sterrenkaart die de European Space Agency (ESA) in april 2018 op het internet publiceerde, bijvoorbeeld, die kan onder de AVG-definitie van ‘persoonsgegevens’ vallen. Sterker, het laat zich mathematisch bewijzen dat die sterrenkaart daadwerkelijk onder die definitie valt.
Omdat dit niet de plaats is voor mathematische bewijzen, illustreer ik de inconsistentie van de AVG-definitie met meer alledaagse voorbeelden. De AVG veronderstelt dat gegevens die betrekking hebben op een bepaalde persoon onderscheiden kunnen worden van gegevens die betrekking hebben op andere personen of andere zaken. Die veronderstelling is niet vol te houden.
Wie naar de huisarts gaat met klachten, geeft de arts soms informatie over gezinsleden, collega’s en andere derden. Deze informatie is in veel gevallen moeiteloos herleidbaar tot individuen, en valt onbetwijfelbaar onder de AVG-definitie van ‘persoonsgegevens’. Strikt genomen mag de huisarts niets van deze informatie in enigerlei vorm vastleggen zonder toestemming van deze derden. Omdat patiënten het niet waarderen als ze telkens opnieuw hetzelfde verhaal moeten vertellen, houden huisartsen zich daar niet aan. Zoals onderwijsinstellingen zich ook niet houden aan de regel dat ze in het dossier van een leerling geen informatie over de ouders van de leerling mogen vastleggen, en de accountmanager van KPMG noteert wat de naam is van de echtgenote van de contactpersoon van de klant. Het is ook niet mogelijk hier naar de letter van de AVG te handelen want gegevens die betrekking hebben op de ene persoon zich zeer vaak niet los te koppelen van gegevens die betrekking hebben op een andere persoon.
Evenmin kunnen gegevens die betrekking hebben op een persoon losgekoppeld worden van gegevens die betrekking hebben op levenloze objecten. Iedereen kan met de kentekeninformatie die de Rijksdienst voor het Wegverkeer (RDW) publiceert, nagaan of de dure auto waarin de buurman rondrijdt, een auto van de zaak is, en of de verzekering is betaald. Zo nu en dan geeft het feit dat uit kentekeninformatie over personen afgeleid kunnen worden, aanleiding tot rechtsdisputen. Zoals bij het gebruik van parkeergegevens door de Belastingdienst. In deze disputen moeten rechters de definitie uit de AVG dan nader invullen. Omdat de AVG-definitie gammel is, doen ze dat willekeurig. De ene rechter oordeelt dat een foto van een woning op een bepaald adres ook iets zegt over de bewoners van het huis, de andere rechter vindt van niet.
Dit verklaart de sprong in de terminologie die van de titel naar de tekst gemaakt wordt. De AVG biedt geen heldere definitie van wat persoonsgegevens zijn. De titel drukt uit dat de AVG in principe op elk gegeven betrekking kan hebben.
De AVG en privacy
De AVG is een poging om iets dat we willen beschermen – onze privacy – met regels af te dekken. Dat is een dwaze onderneming. Zoals rechtsgeleerden in de negentiende eeuw al wisten, kan de overheid onze privacy niet beschermen met wetten die specifiek op de privacy gericht zijn. Onze privacy kan alleen indirect beschermd worden, via wetten die een ander object hebben, zoals het portretrecht, het auteursrecht, het medisch tuchtrecht, het contractrecht, en strafrechtelijke bepalingen over stalking en identiteitsfraude. Door een speling van het lot – misschien doordat men 1984 van George Orwell niet verder dan pagina 1 gelezen heeft – is met name in Europa het waanidee ingenesteld geraakt dat de wetgever onze privacy kan beschermen door regels op te stellen voor specifiek persoonsgegevens. Deze symboolwetgeving-vertoning heeft organisaties en bedrijven op kosten gejaagd, en heeft burgers de illusie gegeven dat hun privacy beschermd wordt.
Het is hoog tijd dat de wetgever hier tot inkeer komt en een einde maakt aan deze vertoning.


Dr. W.W.