Categoriearchief: Persoonsgegevens & Privacy

“De Grote Dataroof” programma Tegenlicht wetenschappelijk beschouwd

Geachte redactie,

Met interesse heb ik uw aflevering ´De Grote Dataroof´ van zondag 27 oktober 2019 bekeken.

Ik hecht eraan naar u terug te koppelen:

Allereerst bleef de aflevering aan de oppervlakte, mogelijk doordat eerder materiaal is hergebruikt, maar althans deels doordat de geïnterviewde mevrouw Zuboff overwegend uitte met retorische analogieën. Voor wie niet gevoelig is voor complottheorieën zou haar bijdrage als suggestief en oppervlakkig kunnen ervaren, of zelfs als onzin voortkomend uit een gebrek aan informatie. Het is evenwel mogelijk dat de indruk dat zij oppervlakkig denkt, is gewekt door het format van het interview/programma. Ik heb haar boek besteld om hierover een nader beeld te vormen. (Het is een dik boek, en als daar alleen oppervlakkige onzin in staat, dan zou dat op zichzelf als een imposante presentatie aangemerkt moeten worden.)

Ten tweede kwam opnieuw de ‘Target’-anekdote langs, zij het in een ingekorte en wat afgezwakte vorm. Ik wijs u erop dat de Target-anekdote zeer waarschijnlijk een ‘urban myth’ is. De enige bron hiervoor is Charles Duhigg. Die kan de anekdote te goeder trouw hebben opgetekend uit de uit-angst-voor-represailles-anoniem-willen-blijvende manager van Target (op zichzelf wel grappig dat een manager bang zou zijn voor represailles voor een anekdote die Target vooral positieve reclame heeft opgeleverd), het is ook niet uit te sluiten dat Duhigg de anekdote bedacht heeft ter illustratie. Wie bronnen raadpleegt die inzicht zouden kunnen geven in de chronologie der dingen (waaronder Pole zelf), zou kunnen vaststellen dat het voorval niet plaats kan hebben gevonden omdat Target nooit een specifiek op zwangere vrouwen gerichte campagne met alleen ‘zwangere vrouwen’-aanbiedingen heeft uitgezet.

Het is enigszins trieststemmend dat een tegenlicht tegenover de suggestieve schijn die de Googles en de Facebooks willen wekken, soms niet meer helderheid brengt dan suggestieve schijn.

Dr. W.W.

Meldplicht digitale algoritmes voor Nederlandse overheid in de context van Nederland

Verzonden: donderdag 10 oktober 2019 10:44 Aan: k.verhoeven@tweedekamer.nl Lid Tweede Kamer D66 Onderwerp: terugkoppeling bij uw bijdrage aan BNR Digitaal 2 oktober 2019

Geachte heer Verhoeven,

Met belangstelling heb ik uw bijdrage aan BNR Digitaal van 2 oktober 2019 gevolgd over de meldplicht voor overheidsorganisaties van het gebruik van algoritmes.

Met uw welnemen reageer ik via het inmiddels ouderwetse medium van de e-mail en niet via Twitter; immers, we weten inmiddels dat organisatie Coosto in opdracht van het CBS uit twitterteksten bijhoudt of Nederlanders gelukkig zijn, of juist opstandig…. Ook kies ik voor mail, niet zozeer om mijn privacy te beschermen maar omdat de maatschappelijke discussie – sinds Jip&Janneke-taal tot de nieuwe norm lijkt te zijn verheven – inderdaad met kunstmatige intelligentie gevoerd kan worden. Dit geldt niet voor teksten van denkers en schrijvers in de traditie van John Searle, Herbert Dreyfus en Douglas Hofstadter, die lang en ingewikkeld zijn, want dat schijnen computers en algoritmes nog steeds niet te kunnen.

Ik heb een lees- en onderzoekstip voor u.

Lees, bijvoorbeeld, The AI Delusion van Gary Smith (Oxford University Press, 2018) simultaan met, bijvoorbeeld, The Master Algorithm van Pedro Domingos (Penguin Books, 2017), terwijl u wat bladert in Introduction to Machine Learning, third edition, van Ethem Alpaydin (MIT Press, 2014) of Deep Learning van Ian Goodfellow, Yoshua Bengio en Aaron Courville (MIT Press, 2016), en stel u daarbij steeds de volgende vragen vragen:

Welk epistemologisch probleem staat centraal bij de kritiek van Gary Smith op Artificial Intelligence / Data Mining / Machine Learning? Geeft Pedro Domingos een oplossing voor dit probleem? Zit er in de techniek van Machine Learning/Deep Learning een oplossing voor dit probleem? Denkt Gary Smith dat dit probleem specifiek is voor Artificial Intelligence / Data Mining / Machine Learning? Zo ja, hoe denkt hij dat het opgelost kan worden? Is het een specifiek probleem voor Artificial Intelligence / Data Mining / Machine Learning? Zo nee, voor wie of wat dan allemaal nog meer?

Terug naar uw onderwerp: ik begrijp uw zorg over geautomatiseerde besluitvorming, maar ik begrijp niet dat u niet begrijpt dat u uw zorg verkeerd begrijpt en als gevolg daarvan van uw onderwerp gaat wegdwalen door doodlopende stegen in te slaan (jij ook oprotten, HAL!).

Als ik een lening bij een bank aanvraag, en de bankmeneer zegt ‘Nee’, dan is het voor mij niet relevant of die meneer dat zegt omdat ik mijn schoenen niet gepoetst heb, of omdat hij in zijn hoofd een ingewikkeld risicomodel heeft toegepast, of omdat hij op een scherm het resultaat afleest van een ingewikkeld risicomodel dat door een computer is doorgerekend. Voor mij is – vanuit mijn kennelijke behoefte aan liquiditeit – enkel relevant dat iets of iemand die de macht heeft om mij iets toe te zeggen of mij iets te weigeren, ‘Nee’ zegt. Het maakt niet uit of daarbij overwegingen aan ten grondslag liggen die, volgens het een of ander theoretisch model, relevant en redelijk genoemd zouden kunnen worden noch of dat theoretische model is toegepast door een organisme dat onder het wegkijkend oog van een blinde horlogemaker is geëvolueerd tot mensch of door een met microscopen en nanotechniek vernuftig in elkaar geknutseld stukje metaal.

Toegegeven, wij mensen, organismen met iets als emoties, willen nogal eens het speelveld verleggen. Als er een besluit valt dat voor ons onprettig is, dan willen we ons nogal eens wijsmaken dat we dat besluit alsnog weg kunnen poetsen door te gaan klagen over ‘de manier waarop’. Dat is menselijk, al te menselijk, en dus begrijpelijk voor wie de mens begrijpt. Het is echter in relatie tot het belang dat het individu had bij het besluit, meestal vruchteloos en leidt dan enkel af.

Nu geldt voor besluitvorming door de overheid dat de willekeur van de macht op papier aan banden is gelegd doordat er regels en protocollen zijn opgesteld. Een burger die zich benadeeld voelt door een besluit van de overheid (kindgebonden toeslag ingetrokken, bekeuring voor appen op de fiets, enzovoorts) kan daardoor vaak het besluit dat expliciet over hem is genomen en dat hem onwelgevallig is aanvechten door ‘de manier waarop’ te thematiseren. Dat lukt niet altijd, maar het is de enige route waarlangs het individu zich te weer kan stellen tegen de overheid, dus laten we regels en protocollen die die mogelijkheid openhouden, vooral niet afschaffen.

Een regel die het overheidsdiensten verplicht het gebruik van ‘ingrijpende algoritmes’ te melden, kan echter niet of nauwelijks bijdragen aan de mogelijkheid van het individu zich te weer te stellen tegen de overheid. Een voorbeeld: onlangs heeft de commissie Parameters adviezen uitgebracht over de zogenaamde UFR-methodiek. Die adviezen hebben tot gevolg dat voor de meeste pensioenfondsen de dekkingsgraad in 2021 op of onder de kritische dekkingsgraad komt, en pensioenfondsen een opbouwkorting moeten doorvoeren. Het algoritme dat de commissie Parameters heeft gebruikt zal, met enige vertraging, nadelige consequenties hebben voor de 8,5 miljoen Nederlanders die participeren aan de tweede pijler van het pensioenstelsel. Het valt echter niet te verwachten dat een individuele pensioendeelnemer hiertegen succesvol bezwaar aan kan tekenen door erop te wijzen dat de commissie Parameters dat algoritme niet gemeld heeft.

Zouden we een inventarisatie maken van alle overheidsmaatregelen die de individuele burger raken, dan zouden we vaststellen dat de individuele burger in de meeste gevallen indirect geraakt wordt, langs een route waarop de individuele burger nauwelijks zicht heeft. Meer transparantie over ‘de route waarlangs’ geeft de burger niet meer mogelijkheden: ook in een perfect transparante route is er geen halte waarbij een individuele burger een protocollair verankerd materieel klachtrecht zou kunnen inroepen. Aan het eindpunt kan er soms nog wat geklaagd worden, maar dat gaat dan over dat het pensioenoverzicht te laat is toegezonden, of zoiets.

Als u van mening bent dat een algoritme-meldplicht iets kan betekenen voor individuele burgers, dan heeft u daarbij dus nog iets uit te leggen.

Het is verleidelijk hier voorbeelden uit de actualiteit aan te roepen, zoals ‘predictive policing’ of de affaire rond het ‘zomaar’ stopzetten van het kindgebondenbudget of het ‘SyRI’-algoritme in Rotterdam. Het verband tussen deze actuele ‘affaires’ en algoritmes is echter flinterdun. ‘Predictive policing’ is geen nieuw fenomeen. Sinds de opkomst van gezag, maakt het gezag onderscheid in de mate en de aard van toezicht. Of de onderscheidingen met die algoritmes van tegenwoordig effectiever zijn, is de vraag, maar als het antwoord op die vraag bevestigend is, dan is dat mooi meegenomen. En in de affaire rond het kindgebondenbudget was niet het probleem niet zozeer het (nogal gammele) algoritme dat frauderisico’s signaleerde, of het feit dat er semiautomatisch iets werd stopgezet, maar dat er geen dossierspecifieke motivering bij die stopzetting werd gegeven met vervolgens een ordentelijke klachtafhandeling. En, tja, de ‘SyRI’-affaire was een opgeklopte storm in een glas water waarbij allerlei thema’s door elkaar werden gehusseld, waarschijnlijk ter afleiding van het feit dat welke beslissing de gemeente Rotterdam ook neemt op basis van welke informatie of welk algoritme dan ook, in een ordentelijk bestuurlijk proces geen schade voor individuen zou moeten kunnen hebben. Als dat wel zo is, dan zit er iets fout in het bestuurlijk proces, niet in het algoritme.

Uw idee van een ‘algoritme-waakhond’ is om verschillende redenen niet redelijk te noemen.

Ten eerste laat, bij enigszins geavanceerde toepassingen, een algoritme zich niet toetsen op de inhoudelijke kwaliteit omdat een algoritme bij dergelijke toepassingen inhoudsloos is. Wat het algoritme inhoudelijk doet, is in dat geval volledig afhankelijk van welke data er in gepleurd worden.

Ten tweede is er geen eenduidig, objectief criterium voor de kwaliteit van data.

Ten derde is de kwaliteit van de huidige ‘privacy-waakhond’, de Autoriteit Persoonsgegevens, dermate belabberd dat we mogen hopen dat die waakhond niet nog meer bijtbevoegdheden krijgt, terwijl er nog eens een club met blaffers naast zetten ook niet wenselijk is.

Erop vertrouwend hiermee relevant aan u teruggekoppeld te hebben.

De Functionaris gegevens-bescherming

KAN EEN ONDERNEMER DE FG ZIJN VAN DE EIGEN ONDERNEMING?

De AVG heeft een nieuwe markt gecreëerd. Die van Functionarissen Gegevensbescherming. Die taken van de FG mogen door een eigen werknemer worden uitgevoerd. Veel organisaties besteden het echter uit. Vaak wordt de taak van de FG dan neergelegd bij een bedrijf waar men toch al zaken mee deed. De externe boekhouder die wordt tevens FG. Er zijn ook bedrijven bijgekomen die gespecialiseerd zijn in het leveren van de FG’s. Rond het fenomeen FG zijn er ook cursussen en opleidingen opgezet. Als de taken van de FG voor de invoering van de AVG niet werden uitgevoerd, moet de AVG langs deze weg een flinke stimulans zijn geweest voor het Bruto Nationaal Product. Een FG, die kost minstens 600 euro per jaar. Er zijn ongeveer 1,5 miljoen bedrijven in Nederland. Tel daarbij op overheidsinstanties, publieke en semipublieke organisaties zonder winstoogmerk, andere stichtingen en verenigingen, dan tikken we de twee miljoen aan. Als al die organisaties een FG hebben, dan heeft de FG-markt een omvang van 1,2 miljard euro. Dat is slechts 0,16% van het BNP, maar dat is toch al bijna 1/3 van de subsidie die jaarlijks uit de overheidskas naar de kinderopvang stroomt.

Nu zult u denken: “Maar toch niet elke organisatie heeft een FG nodig!” Als u dat denkt, en als u denkt dat voor uw organisatie geldt dat een FG niet verplicht is, dan heb ik slecht nieuws voor u. Artikel 37 van de AVG omschrijft in welke gevallen een FG verplicht is. Zoals elders in de AVG is de formulering in artikel 37 oprekbaar. Er wordt gesproken over “regelmatige en stelselmatige observatie op grote schaal” en “grootschalige verwerking”. In overweging 91 wordt een toelichting daarbij gegeven. Daarbij wordt een aantal beroepsgroepen zelfs expliciet uitgesloten van de verplichting een FG aan te stellen. Artsen, zorgprofessionals, advocaten, die zouden er geen FG bij hoeven te halen. Maar deze overweging moet in kennelijke staat zijn opgesteld. Artsen, zorgprofessionals, advocaten, die leggen nu juist persoonsgegevens vast waarover iedereen zich zo druk maakt. Medische informatie, informatie over seksuele voorkeuren, strafrechtelijke informatie. Bovendien geldt voor dit soort professionals dat die meestal regionaal werken. Daardoor worden niet-grootschalige gegevens als vanzelf grootschalig. De registratie van medische informatie door een huisarts is grootschalig relatief tot de wijk of gemeente waarin de arts actief is.

Het gaat nog even duren maar als alle AVG-deskundigen en –autoriteiten de AVG helemaal hebben doorgekauwd, zal het besef doordringen dat de AVG aan elke organisatie het aanstellen van een FG voorschrijft.

Tot zover het slechte nieuws. Nu dan het goede nieuws. Voor zelfstandige ondernemers, daaronder begrepen zelfstandige artsen, zorgprofessionals en advocaten, is het niet nodig alsnog personeel in te huren om iemand te kunnen aanstellen als FG of een externe FG in te huren. Een zelfstandig ondernemer kan zelf de rol van FG op zich nemen.

Ho, wacht”, zult u nu denken,” er staat toch in de AVG dat dat niet mag, dat de FG nietiemand mag zijn met een hoge functie in het management!” Maar dat staat niet in de AVG. Er staat in de AVG dat de FG een personeelslid kan zijn of een externe dienstverlener (artikel 37, lid 6). Die bepaling staat er om expliciet te maken dat de FG niet per se een eigen personeelslid hoeft te zijn. De bepaling sluit niet uit dat de ondernemer zelf de FG is. In artikel 38, lid 3 en overweging 97 wordt benadrukt dat de FG onafhankelijk moet kunnen opereren, en niet mag worden ontslagen vanwege de wijze waarop die uitvoering geeft aan de taken van FG.# Een zelfstandig ondernemer kan zichzelf echter niet ontslaan en kan vanwege de rechtsvorm van een zelfstandige onderneming per definitie onafhankelijk opereren. In de overwegingen rond de AVG en de richtlijnen die Werkgroep 29 heeft opgesteld, wordt benadrukt dat de FG geen functie mag hebben die zou kunnen leiden tot belangenverstrengeling tussen die functie en de functie van FG. Bij het combineren van de functie van zelfstandig ondernemer en die van FG kan er echter redelijkerwijs geen belangenverstrengeling zijn. Als de ondernemer als zelfstandig ondernemer een keuze zou maken die hij als FG niet zou mogen maken dan zou de ondernemer het belang van zijn bedrijf schaden. Een ondernemer zal echter niets doen waardoor het belang van zijn bedrijf geschaad wordt. Derhalve zal een ondernemer geen keuzes maken die in strijd zijn met de keuzes die de FG zou moeten maken.

Een zelfstandig ondernemer – en een zelfstandige arts, zorgprofessional, advocaat, journalist enz. – kan zich dus bij de Autoriteit Persoonsgegevens melden als FG van de eigen onderneming. De enige extra handeling die daarvoor nodig is, is dat de ondernemer een e-mailaccount aanmaakt dat specifiek bedoeld is voor wie contact met hem wil opnemen in de rol van FG. Bijvoorbeeld FG@<bedrijfsURL>. Dat moet omdat het formulier van de Autoriteit Persoonsgegevens het niet toestaat dat het email-adres van de FG hetzelfde is als dat van de verwerkingsverantwoordelijke.

Jeannette Verhaene

Mr. drs. J. Verhaene is adviseur (m/v) van onafhankelijke Autoriteit Persoonsgegevens binnen de EU. Bijdragen voor de NVCS schrijft zij als onafhankelijk deskundige, op persoonlijke titel.

DATA-PATERNALISME & PROFILING PARADOX in onderwijs

De afschrijving op de investering die de Algemene Verordening Gegevensbescherming (AVG) vereiste, is nog niet begonnen, of de minister van Rechtsbescherming pleit voor een aanscherping van de AVG. Ondertussen loopt de Autoriteit Persoonsgegevens (AP) warm om te rol van profiling-politie te spelen. Deze neiging tot data-paternalisme moet weerstaan worden.

De risico’s van profiling
In de brief die Sander Dekker 7 juni 2019 aan de Tweede Kamer zond over horizontale privacy schrijft de minister het toezichtkader van de AP over. Bedrijven en organisaties verzamelen steeds meer data, stellen daarmee profielen op, en nemen met die profielen op de automatische piloot beslissingen die mensen in hun belang raken, zoals het weigeren van een lening of nemen verzekering. De AP vindt dit op zichzelf een risico. Dit risico wordt in theorie gedekt door artikel 22 van de AVG dat volledig geautomatiseerde beslissingen verbiedt als gewichtige belangen in het geding zijn. Daarnaast signaleert de AP het risico dat data of profielen onjuist zijn. Dat risico wordt niet gedekt door de AVG, en maakt een aanscherping van de AVG nodig. Dat klinkt logisch. We willen immers niet, zo schijnt, dat van een ouder met een tweede nationaliteit de kindgebonden toeslag wordt stopgezet omdat de belastingdienst uit de data heeft geconcludeerd dat er bij mensen met een tweede nationaliteit een hoger risico op fraude is. Laat staan dat we zouden willen dat dat gebeurt bij iemand waarvan de belastingdienst ten onrechte heeft aangenomen dat die een tweede nationaliteit heeft.

De Profiling Paradox
De mantra waarmee de minister en de AP de risico’s van profiling in het daglicht stellen, illustreert de Profiling Paradox. Sinds Aristoteles pleiten denkers ervoor beslissingen te nemen op basis van data, in plaats van op intuïties of religieuze ingevingen. In de moderne tijd is dit advies aangescherpt tot “neem beslissingen op basis van repliceerbare data in plaats van op anekdotische ervaringen”. Oftewel: “gebruik data-profielen”. Na 25 eeuwen is deze Heilige Graal van het westerse denken bijna binnen handbereik. Een kleine organisatie heeft anno 2019 meer data tot de beschikking dan alle wetenschappers tot 1980 bijeen verzameld hadden, en er zijn ‘slimme’ algoritmes die volautomatisch uit de data volautomatische conclusies trekken. Nu we dan eindelijk ten volle profijt kunnen trekken van data en algoritmes, willen wetgever en toezichthouder daarvoor gaan liggen. “Man says ‘NO’.” De mantra die ze daarbij inzetten, is zo aantrekkelijk dat privacy-bewuste burgers denken dat hun privacy vroeger, toen gewichtige beslissingen nog op basis van intuïties, religieus moralisme, of anekdotes werden genomen, beter was gewaarborgd. Naarmate beslissingen meer weloverwogen genomen kunnen worden, worden de risico’s van beslissingen als groter ervaren.

Het gevaar van data-paternalisme
De aanscherping van de AVG die Sander Dekker en de AP voorstaan, is zowel ridicuul als gevaarlijk. Het is ridicuul omdat het eigen is aan statistische verwerking van data dat fouten en onrechtvaardigheden daarbij niet vermeden kunnen worden. Wie geen fouten en onrechtvaardigheden wil, moet geen statistiek beoefenen. Het is gevaarlijk omdat het organisaties en bedrijven de mogelijkheid ontneemt processen efficiënter en effectiever te maken.

Stel dat Hbo-instellingen selectie aan de poort mogen toepassen, bijvoorbeeld door studenten met een dyslexieverklaring niet toe te laten tot taalgerichte studies. Als dyslexie een negatief effect heeft op de studievoortgang, dan zou deze maatregel een positief effect hebben op de uitstroomresultaten. Vanwege de matige betrouwbaarheid van dyslexieverklaringen is de kans dat een student met een dyslexieverklaring daadwerkelijk dyslexie heeft niet hoger dan 15%. Door de maatregel zouden veel studenten ten onrechte niet toegelaten worden, maar het effect van de maatregel voor de hbo-instellingen is volgens het statistisch model positief en, via de bekostigingssystematiek, ook voor de maatschappij. (zie kader)
Bij elk model zijn valide wetenschappelijke kanttekeningen te plaatsen. Het is mogelijk dat een statistisch model dat bij profiling gebruikt wordt, niet klopt of dat er onjuiste data in gepompt worden. Het risico, daarop willen we natuurlijk zoveel als mogelijk beperken. Het is echter onredelijk dat de overheid zich de bevoegdheid toekent te oordelen over wanneer welk model al dan niet gebruikt mag worden. Een overheid die zich bemoeit met de wijze waarop data verwerkt worden, bezondigt zich aan data-paternalisme. Dat is een vorm van overheidsingrijpen die dieper in de burgerlijke vrijheid snijdt dan censuur ooit deed.

Zelfregulatie in het publieke domein
De recente ophef over het gebruik van ‘etnische’ gegevens door de belastingdienst suggereert dat we als samenleving niet willen dat overheidsdiensten bij het uitvoeren van de wet gebruik maken van de mogelijkheden die de statistiek biedt. Dat is, gegeven het belang van de wetsuitvoering, niet redelijk. Maar overheidshandelen is volledig onderhorig aan democratische besluitvorming. Dus als de wetgever wil dat de belastingdienst niet profileert op basis van geslacht, etniciteit, woonplaats, strafblad, belastbaar inkomen of andere parameters, dan willen we als samenleving kennelijk de extra kosten van inefficiënte fraudeopsporing dragen. Dat is de keuze van het collectief, en bij de dwaasheid van het collectief is er geen hoger beroep mogelijk. Dat we als politieke samenleving dwaas mogen handelen, rechtvaardigt het echter niet private instellingen en bedrijven te verplichten de bedrijfsprocessen suboptimaal in te richten.

Dr. W.W
Vught, 13 juni 2019

Noot:
 De Profiling Paradox is door mij geïntroduceerd bij een lezing over Big Data die ik in november 2016 heb gegeven voor onderwijsbestuurders. De paradox is nadien onder meer uitgewerkt in paragraaf 3.2.3. van het boekje “Hoe symbolen onze privacy beschermen, anamnese van een stukje wetgeving”. Tijdens literatuuronderzoek is mij nog niet gebleken dat deze paradox elders in de literatuur voorkomt.
 Het dyslexie-voorbeeld is geïnspireerd op een voorstel dat de toenmalige voorzitter van het Windesheim College, de heer Albert Cornelissen, deed in een interview met Rudolf Hemmen op BNR van 31 augustus 2015. De doorrekening die hier als kader-voorstel bij de tekst wordt gegeven, is gepresenteerd in een lezing die ik in februari 2016 heb gegeven aan onderwijsbestuurders.
Kader-voorstel
N = 1000
Dyslexie JA
Dyslexie NEE
Verklaring JA
32
192
224
Verklaring NEE
8
768
776
40
960
1000
Aannames (op basis van wetenschappelijke literatuur):
Base-ratio: 4%
Specificiteit dyslexieverklaring: 0,80
Selectiviteit dyslexieverklaring: 0,80
Doorrekening: Indien studiesucces (in enige mate) negatief gecorreleerd is met dyslexie  studiesucces is bij weren studenten met dyslexieverklaring procentueel hoger dan bij toelaten van studenten met dyslexieverklaring.

Privacy boete voor het Haga ziekenhuis

De Autoriteit Persoonsgegevens (AP) – de privacypolitie die nog net niet onder ieders bed gaat kijken of daar misschien persoonsgegevens liggen – heeft de eerste echte heuse AVG-boete opgelegd. Aan het HagaZiekenhuis. Van 240.000 euro en centen.

De aanleiding voor het onderzoek van de AP was een zogenaamd ‘data-lek’: allerlei medewerkers hadden medische gegevens van een reality-soap-meisje (Britt of Barbie of iets anders met een ‘B’) ingekeken. De boete is echter niet opgelegd vanwege dat data-lek, maar vanwege het niet voldoen aan zogenaamde NEN-normen die de overheid aan zorginstellingen heeft opgelegd. Die Nen-normen schrijven onder meer voor dat er sprake moet zijn van tweefactor-authentificatie bij het inloggen, dus een gebruikersnaam en een wachtwoord plus nog iets anders, zoals een token, of een belletje van Microsoft, of het invoeren van een medewerkerspasje. Weliswaar deed HagaZiekenhuis aan tweefactor-authentificatie maar er was ook een snelle inlog-route met alleen een gebruikersnaam/wachtwoord-combinatie. Dat zullen ze bij HagaZiekenhuis gedaan hebben opdat een chirurg die zijn medewerkerspasje niet bij zich heeft (bijvoorbeeld omdat het in de vorige patiënt is blijven zitten) toch bij de patiëntgegevens kan en niet het verkeerde been afzet. Niet onlogisch, maar dus in strijd met de norm van de NEN die door de overheid verplicht is gesteld voor zorginstellingen.

De AP gaat straks in het jaarverslag vast hoog opgeven over dit bijzondere wapenfeit want daaruit blijkt volgens de AP niet alleen dat het bijzonder belangrijk is dat er een instantie is die onze privacy bewaakt, maar ook dat de AP dat bijzonder efficiënt doet. Want, kijk eens, wat een hoge boete!

Helaas voor de AP zou die boete bij de rechter sneuvelen. De AP mag boetes uitdelen op basis van artikel 32 van de AVG. De verplichting om de normen van de NEN staat in het Besluit elektronische gegevensverwerking door zorginstellingen (verder aangeduid met Besluit).Nergens in de Nederlandse wetgeving is zodanig verband gelegd tussen dit Besluit en artikel 32 van de AVG dat de AP daaruit de bevoegdheid kan afleiden tot het toekennen van boetes op basis van het Besluit. Hoewel de AP de boete heeft opgelegd onder verwijzing naar het Besluit en de normen van de NEN, zou een rechter moeten oordelen dat de AP strikt genomen niet de bevoegdheid had tot het opleggen van boetes op basis van bepalingen in dit Besluit.

Stel dat de boete aangevochten zou worden, dan zou de AP kunnen betogen dat dit juridische scherpslijperij is omdat artikel 32 van de AVG voorschrijft dat organisaties persoonsgegevens moeten beveiligen volgens de stand van de techniek. De normen van de NEN, aldus zou de AP benadrukken, omschrijven de stand van de techniek, HagaZiekenhuis voldoet niet aan de normen van de NEN, en dus voldoet HagaZiekenhuis niet aan artikel 32. Het maakt, zo horen we de AP tegen de rechter zeggen, dus niet zoveel uit dat nergens in de Nederlandse wetgeving expliciet aan de AP de boetebevoegdheid is toegekend voor zaken die niet voldoen aan de criteria die zijn vastgelegd in het Besluit. De beveiligingsmaatregelen van HagaZiekenhuis voldoen niet aan de stand van de techniek, en dus voldoet HagaZiekenhuis niet aan artikel 32 van de AVG. Punt!

De rechter zou zich hierdoor niet hoeven laten overtuigen. De term ‘stand van de techniek’ wordt in artikel 32 niet sectorspecifiek gehanteerd. Als de normen van de NEN de huidige stand van de techniek omschrijven, dan zou de AP deze norm kunnen loslaten op ELKE organisatie die persoonsgegevens verzamelt, ook op niet-zorginstellingen. De verwijzing naar het Besluit speelt dan dus eigenlijk in het geheel geen rol in de onderbouwing van de boete. Waarom heeft de AP dan toch verwezen naar dit Besluit?

De verklaring is te vinden in de tekst van artikel 32. In de aanhef van dat artikel staat “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:” en dan komt er een lijstje met doelen waartoe er maatregelen genomen moeten worden. Deze aanhef maakt expliciet dat er bij het beoordelen van de vraag of een organisatie handelt in strijd met artikel 32 van de AVG gekeken moet worden naar een combinatie van factoren en omstandigheden. De stand van de techniek is slechts een van de relevante factoren. Artikel 32 staat de AP toe om, in het geval van HagaZiekenhuis, de afweging te maken dat HagaZiekenhuis weliswaar niet in alle gevallen tweefactor-authentificatie toepast, maar dat het toestaan van een uitzondering gerechtvaardigd is vanwege de context van de verwerkingsdoeleinden, bijvoorbeeld omdat die chirurg die zijn medewerkerspasje niet bij zich heeft toch in staat moet zijn patiëntgegevens te raadplegen…

Door het boetebesluit te steunen op het Besluit denkt de AP voorbij te kunnen gaan aan de nuancering die expliciet in de aanhef van artikel 32 is ingebouwd. Indien deze gedachtennietkronkel door de vingers wordt gezien, wordt een gevaarlijk precedent gecreëerd: onafhankelijke autoriteiten als de AP zouden zichzelf boetebevoegdheden kunnen toekennen zonder dat deze expliciet in de wet zijn verankerd.

Anderzijds, als de AP de omweg via het Besluit niet maakt, en de boete voor HagaZiekenhuis rechtstreeks baseert op het schenden van artikel 32 van de AVG vanwege het niet voldoen aan de stand van de techniek waarvan redelijkerwijs kan worden gesteld dat die in de normen van de NEN is omschreven, dan moeten ook veel niet-zorginstellingen zich boetezorgen gaan maken. De meeste organisaties en bedrijven die persoonsgegevens verwerken, hanteren geen tweefactor-authentificatie. In de rechtstreekse route kan de AP in 2019 zonder al te veel diepgravend onderzoek tienduizenden boetes uitdelen.

Dat zou een spectaculair jaarverslag opleveren!

Reflectie Haga Ziekenhuis

Het boetebesluit is gebaseerd op twee bevindingen:

a)      HagaZiekenhuis heeft (vanaf januari 2018 tot 18 juni 2019) de toegang tot bijzondere persoonsgegevens niet beveiligd met tweefactor authentificatie.

b)      HagaZiekenhuis heeft (vanaf januari 2018 tot 18 juni 2019) de logbestanden met een lage frequentie en met een beperkte steekproef gecontroleerd.

Deze eisen van tweefactor authentificatie en hoogfrequent controleren van logbestanden zijn geformuleerd in c.q. abstraheerbaar vanuit NEN 7510 respectievelijk NEN 7513. Dat HagaZiekenhuis aan NEN 7510 en NEN 7513 moet voldoen staat niet expliciet in de Algemene Verordening Gegevensbescherming (AVG), noch in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Dat HagaZiekenhuis aan deze twee normen moet voldoen is bepaald in artikel 3 van Besluit elektronische gegevensverwerking door zorgaanbieders van 10 november 2017 (verder te noemen Besluit). De toezichthoudende bevoegdheid van de Autoriteit Persoonsgegevens (AP) alsmede de bevoegdheid tot het opleggen van boetes en andere sanctiemaatregelen is verankerd in de AVG c.q. UAVG. De vraag waarop hier gereflecteerd wordt is of de AP krachtens de bevoegdheid die aan de AP is verleend door de AVG/UAVG aan organisaties die gegevens verwerken die vallen onder de definitie van persoonsgegevens c.q. bijzondere persoonsgegevens zoals gegeven in de AVG artikel 4 respectievelijk artikel 9 aan HagaZiekenhuis een boete kan opleggen vanwege het niet voldoen aan eisen die geformuleerd zijn in NEN 7510 respectievelijk NEN 7513. De werkhypothese bij deze reflectie is: “De AP is niet bevoegd tot het opleggen van boetes aan organisaties in de zorg voor het niet voldoen aan eisen die geformuleerd zijn in NEN 7510 of NEN 7513.”

Vermits deze werkhypothese indruist tegen vigerende intuïties en opvattingen is het opportuun de stelligheid waarmee deze intuïties en opvattingen bij gelegenheid geëxpliciteerd worden enigermate in te dammen door te wijzen op de analytische verdedigbaarheid van een nog wat meer gewaagde hypothese, sc. dat de AP aan de AVG/UAVG in het geheel geen boetebevoegdheid kan ontlenen. Deze meer gewaagde hypothese laat zich verankeren in het feit dat de AVG incoherent is wat betreft het primaire object van de AVG, de persoonsgegevens. Artikel 4, lid 1 definieert ‘persoonsgegevens’ als volgt:

1) “persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Deze definitie is analytisch inadequaat. Het maatschappelijk gangbare, intuïtief inzichtelijke begrip ‘persoonsgegevens’ wordt gedefinieerd in termen van het begrip ‘informatie’. Voor het begrip ‘informatie’ geldt dat dit weliswaar gangbaar is in het dagelijks taalgebruik doch dat uitlatingen waarin dit begrip voorkomt zelden of nooit consistent zijn. Dit verklaart het bestaan van een discipline genaamd ‘informatietheorie’. In deze discipline wordt getracht het begrip ‘informatie’ dusdanig te verduidelijken dat er zinvolle uitspraken over informatie, in enige betekenis van die term, gedaan kunnen worden. De AVG committeert zich evenwel nergens tot een specifieke betekenis van de term ‘informatie’. Dit heeft tot gevolg dat doorheen de AVG, en in alle teksten die daarvan zijn afgeleid of daarop zijn gebaseerd, het begrip ‘informatie’ latent inconsistent is. Zoals toegelicht in hoofdstuk 2 van mijn boekje “Hoe symbolen onze privacy beschermen, anamnese van een stukje wetgeving” (Uitgeverij Diagan, 2018) hinkelt de AVG heen en weer tussen twee interpretaties van het begrip ‘informatie’ die niet met elkaar te verenigen zijn. Dit rechtvaardigt het – binnen zekere logische en redelijkheidsgrenzen – de AVG aan te merken als een geval van inconsistente wetgeving. Indien we een toezichthoudende instantie – of een rechter – zouden toestaan boetebevoegdheid te ontlenen aan een stukje inconsistente wetgeving, zouden we afscheid nemen van wat zelfs door boreale denkers als Paul Cliteur en Thierry Bidet aangemerkt zou worden als het fundamentele beginsel is van de rechtstaat: dat de rechterlijke macht gelijke gevallen, gelijk moet behandelen. Vanuit rechtstatelijke optiek laat het zich derhalve verdedigen dat de AP aan de AVG geen boetebevoegdheid kan ontlenen.

De voorgaande alinea is enkel geschreven teneinde bij u als lezer de stelligheid waarmee u ervan overtuigd zult zijn dat de AP een boete kan opleggen aan HagaZiekenhuis enigermate in de week te zetten, en uw geest open te zetten voor althans de veel zwakkere werkhypothese die hier aan de orde is,

Omwille van de opbouw van deze reflectie veronderstellen we in eerste instantie dat de bevindingen van de AP – dat HagaZiekenhuis niet voldoet aan NEN 7510 en NEN 7513 – juist zijn. De AP is niet ingesteld om toe te zien op de mate waarin (zorg)instellingen voldoen aan NEN 7510 en NEN 7513. In de tekst van het Besluit wordt gesteld dat het Besluit genomen is “gelet op de Wet Bescherming Persoonsgegevens”. Laat ons, uit coulance, ervan uitgaan dat wetgever wenst en desgevraagd zou persisteren in de wens dat de verwijzing naar de inmiddels ingetrokken WBP geïnterpreteerd wordt als een verwijzing naar de AVG. De verplichting die het Besluit aan zorginstellingen oplegt te voldoen aan NEN 7510 en NEN 7513 houdt – zo besluiten wij de wetgever te verstaan – verband met de AVG. De wetgever heeft het Besluit genomen met de AVG, voorheen de WBP, in het achterhoofd. Daaruit volgt niet, noch expliciet noch impliciet, dat de boetebevoegdheid die de AVG/UAVG aan de AP toekent schendingen van NEN 7510 of schendingen van NEN 7513 omvat. Dat er een wet is waarin de term ‘Persoonsgegevens’ voorkomt en een autoriteit met een naam waarin de term ‘Persoonsgegevens’ voorkomt, impliceert niet dat alle regels en bepalingen die voor persoonsgegevens gelden onder het gezag en de bevoegdheid van de aldus benoemde autoriteit vallen. Het is zeer wel denkbaar dat de wetgever, met de AVG in het achterhoofd, maatregelen of besluiten neemt waarvan de uitvoering en het eventueel sanctionerend toezicht wordt gedelegeerd aan een ander orgaan dan de AP. In de context van de AVG is dit ook opportuun. Anders dreigt de situatie – die door de kwestie rond de kinderopvangtoeslag onlangs plotsklaps feitelijk is geworden – dat de Autoriteit Persoonsgegevens zich gaat mengen in kwesties die redelijkerwijs vallen in het domein van de College van de Rechten voor de Mens, voorheen Commissie Gelijke Behandeling, enkel en alleen omdat bij elke vorm van discriminatie persoonsgegevens een rol spelen.

Hoe legt de AP het verband tussen de boetebevoegdheid en de bevindingen bij HagaZiekenhuis? In de versie van het boetebesluit die de AP op 16 juli 2019 gepubliceerd heeft op de website, doet de AP dat in de aanhef van paragraaf 4.2.:

“Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd aan het HagaZiekenhuis in geval van een overtreding van artikel 32, eerste lid, van de AVG een bestuurlijke boete op te leggen tot € 10.000.000 of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.” (p. 17/25)

Deze passage kan een lezer verwarren omdat er de suggestie vanuit gaat dat in het derde lid van artikel 14 iets staat dat inhoudelijk aanvullend is op de artikel 58 en 83 van de AVG. Dat is niet het geval. De functie van artikel 14 is aan de EU te melden dat de Nederlandse overheid gehoor geeft aan artikel 83 van de AVG door aan de AP boetebevoegdheden toe te kennen. Het vierde lid van artikel 83 van de AVG stelt:

  1. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:

a) de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43;

b) de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43;

c) de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4.

Artikel 83 van de AVG verwijst naar artikel 58, tweede lid van de AVG, dat sub i terugverwijst naar artikel 83:

  1. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

a) de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b) de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

c) de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;

d) de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

e) de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

f) een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen;

g) het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19;

h) een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan;

i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83;

en

j) de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten.

Dit heen en weer verwijzen kan zonder verlies aan analytische rijkdom afgedaan worden als het soort ‘spielerei’ waarmee wetgevende organisaties zich onledig plegen te houden. De inhoudelijk relevante bepaling is het eerste lid van artikel 32 van de AVG:

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

De AP meent dat uit de bevindingen (a) en (b) volgt dat HagaZiekenhuis niet voldaan heeft aan lid 1 van artikel 32 van de AVG. Daarbij kan de AP niet de eisen sub a of sub c op het oog hebben. De AP zal hier denken aan de bepaling sub b voor wat betreft bevinding (a) en de bepaling sub d voor wat betreft bevinding (d). In lid 1 van artikel 32 wordt evenwel niet gespecificeerd hoe de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten gegarandeerd moeten zijn noch wat verstaan moet worden onder ‘gezette tijdstippen’ of hoe diepgaand te controleprocedure moet zijn. Het laat zich in principe verdedigen dat HagaZiekenhuis, ondanks het feit dat niet in elke toegangsroute twee factoren gebruikt worden, en ondanks het feit dat de evaluatie qua periodisering en qua diepgang niet aansluit bij de eisen die de AP hiervoor meent te mogen hanteren, voldaan heeft aan de vereisten van lid 1 van artikel 32.

Ogenschijnlijk laat het gat tussen de bevindingen en boetebesluit zich vlot dichten door de passus “rekening houdend met de stand van de techniek enzovoorts”. Gaan we ervan uit dat NEN de stand van de techniek omschrijft, en onderschrijven we de bevinding van de AP dat HagaZiekenhuis niet aan de NEN voldoet, dan volgt daaruit dat HagaZiekenhuis niet aan het eerste lid van artikel 32 van de AVG voldoet. Die sprong wordt – zoals hierboven aangegeven – gecompliceerd doordat de wetgever aan de AP niet expliciet de taak of bevoegdheid heeft toegekend toezicht te houden op de mate waarin zorginstellingen het Besluit navolgen. De AP lijkt zich hier niet expliciet te kunnen beroepen op het Besluit, want dat is in relatie tot de bevoegdheden van de AP te vaag. Anderzijds kan de AP niet expliciet stellen dat de NEN een relevante, accurate omschrijving geeft van de stand van de techniek en de boete langs die route verankeren omdat de NEN, voor zover het een accurate karakterisering geeft van de stand van de techniek, niet ingaat op de trade-off die plaats moet vinden tussen de stand van de techniek, de uitvoeringskosten, de aard en de omvang van de verwerkingsdoeleinden en de ernst van de risico’s voor rechten en vrijheden van personen. Het is zeer wel mogelijk dat tweefactor authentificatie prima aansluit bij de stand van de techniek doch in strijd is met de context van een zorginstelling waar het immers niet de bedoeling zal zijn dat de zorgverlener niet kan beschikken over medische informatie over een patiënt omdat de zorgverlener in kwestie toevallig zijn pasje niet bij zich heeft.

Wie het boetebesluit en het rapport van de AP erop na leest, kan vaststellen dat de AP hierin geen heldere strategie volgt. Soms roept de AP de autoriteit van NEN in via het Besluit in (par. 2.3.2; par. 3.3; par 3.4), maar bij die gelegenheden wordt niet duidelijk of de AP de boete toekent op basis van een schending van vereisten in het Besluit of op basis van een schending van de vereisten in artikel 32 van de AVG, die door de AP geïnterpreteerd worden vanuit de vereisten in het Besluit. Close-reading van het boetebesluit sluit zelfs niet uit dat de AP geen onderscheid maakt tussen de ene interpretatie en de andere interpretatie.

Voor wie de moeite neemt het boetebesluit te lezen, kan uit paragraaf 4.2. opmaken dat HagaZiekenhuis twijfels heeft geuit over de rol die de AP in de onderbouwing van de boete toekent aan NEN. De twijfels die HagaZiekenhuis geuit heeft, zij biet onredelijk. De onderbouwing van het boetebesluit is gammel.

Laat ons echter abstraheren van abstracte quasi-juridische details. Relevanter is de vraag of de AP de rechten en vrijheden van enige burger dient door HagaZiekenhuis een boete op te leggen. Het antwoord op die vraag is volborstig ontkennend:

–          Tweefactor authentificatie is theoretisch een mooi concept maar het verstoort primaire processen in de praktijk, zowel in de zorg, als in het onderwijs, als in andere sectoren waar persoonsgegevens of bijzondere persoonsgegevens in geding zijn. Het is een illusie te denken dat de werkelijkheid ooit de theorie zal volgen. Op elke werkvloer waar tweefactor authentificatie door de organisatie feitelijk als een verplichting aan het personeel is opgelegd, zoeken en vinden personeelsleden wegen om het oogmerk van tweefactor authentificatie te frustreren, meestal door simpelweg een pasje uit te lenen aan een collega die de inloggegevens bij een andere gelegenheid al gekregen heeft.

–          Tweefactor authentificatie noch het zeer regelmatig en zeer diepgaand controleren van de logbestanden zou de aanleiding tot het onderzoek van de AP hebben kunnen voorkomen.  Die aanleiding was dat medewerkers van het HagaZiekenhuis die vanuit hoofde van hun taak of functie niets van doen hadden met een in sommige teksten niet met naam en toenaam benoemde ‘bekende Nederlander’ – die ene Britt schijnt te zijn die bij sommige bevolkingsgroepen bekend schijnt te zijn als personage of als individu in een reality-soap – min of meer medische gegevens over deze persoon schijnen te hebben geraadpleegd. Daargelaten of min of meer medische gegevens van een persoon of personage uit een reality soap vanuit maatschappelijk oogpunt beschermingswaardig zijn, is de AP in gebreke gebleven ter zake de vraag of medewerkers van het HagaZiekenhuis die vanuit hoofde van hun taak of functie niets van doen hadden met deze persoon of dit personage deze informatie (in enige betekenis van de term ‘informatie’) niet hadden kunnen verwerven nadat zij zich met tweefactor authentificatie op het systeem van HagaZiekenhuis hadden aangemeld, of zonder dat zij zich op enigerlei wijze op het systeem van HagaZiekenhuis hadden aangemeld.

Trieststemmend is voorts dat de aandacht voor het zogenaamde ‘datalek’ bij HagaZiekenhuis en het boetebesluit van de AP onrust kan geven bij patienten van HagaZiekenhuis die niet behoren tot de categorie over-extraverte Nederlanders. Zij hebben nu in de krant kunnen lezen dat de AP niet alleen van mening is dat HagaZiekenhuis niet voldaan heeft aan een stukje esoterische, inconsistente wetgeving, maar dat het mogelijk is dat de buurman – die werkzaam is bij HagaZiekenhuis – het medisch dossier mee heeft kunnen lezen.

Het gaat vast nog een hele tijd duren totdat de Autoriteit Persoonsgegevens beseft dat de AP mensen die privacy op prijs stellen geen dienst bewijst door met pontificale borstklopperij boetebesluiten in persberichten te verpakken.

In de verwachting met deze reflectie uw inzicht in de privacy-puinberg verdiept te hebben.

Is een IP een persoonsgegeven?

IS EEN IP-ADRES EEN PERSOONSGEGEVEN?

Sinds het arrest van het Europese Hof van Justitie ECLI:EU:C:2016:779 van 19 oktober 2016 in zaak C-582/14, wordt allerwege aangenomen dat een IP-adres een persoonsgegeven is in de zin van de privacywetgeving. In dit artikel gaan we vaststellen dat deze aanname onjuist is.

Het arrest
In het arrest wordt het volgende voor recht verklaard:
“Artikel 2, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.”
Hier lijkt te staan dat IP-adressen als persoonsgegevens aangemerkt moeten worden, ook als het gaat om eenmalig door de provider toegekende, dynamische IP-adressen.

Een wettechnisch bezwaar
Bij de gebruikelijke interpretatie van het arrest kan een wettechnische kanttekening worden geplaatst. Het arrest verwijst naar artikel 2 van richtlijn 95/46/EG. Deze richtlijn op zichzelf heeft nimmer de status van een wet gehad. Bij de invoering van de Algemene Verordening Gegevensbescherming (AVG) is deze richtlijn bovendien ingetrokken. Overweging 171 van de AVG, artikel 45 lid 9, artikel 46 lid 5 en artikel 94 lid 2 hebben het oogmerk continuïteit te realiseren tussen besluiten die onder de richtlijn zijn genomen en de AVG. Het gaat daarbij evenwel om besluiten van de commissie en van toezichthouders. Arresten van het Europese Hof van Justitie vallen er niet onder. Wat het arrest van 19 oktober 2016 ook voor recht moge hebben verklaard, het kader waarbinnen dat is gebeurd, is verdwenen. Totdat er door het Europese Hof of

2 door nationale rechtbanken een nieuwe uitspraak ligt met de strekking van het arrest, is de status van IP-adressen binnen de context van de AVG onbepaald. Vooralsnog zijn er door Nederlandse rechtbanken geen uitspraken gedaan die aanhaken bij wat in het arrest voor recht werd verklaard.
Anderzijds mag worden aangenomen dat in het geval het Europese Hof uitgenodigd zou worden dezelfde zaak te behandelen in het kader van de AVG, dat een nagenoeg gelijkluidend arrest op zou leveren. We zullen verderop zien waarom dat zo is. Omdat de bepalingen in de richtlijn en de AVG op de hier relevante punten overeenkomen, zullen we in de rest van dit artikel doen alsof het arrest in de context van de AVG is opgesteld.
Spanning tussen het arrest en de AVG
In het arrest wordt gesproken over wettige middelen. Dit aspect ontbreekt in de relevante passage van de AVG. In overweging 26 wordt gesproken over middelen waarvan redelijkerwijs verwacht kan worden dat zij worden gebruikt. De AVG stelt niet dat het moet gaan om wettig toegestane middelen. Het arrest is dus specifieker dan de richtlijn en de AVG en lijkt daarmee de mogelijkheid open te houden dat indien IP-adressen enkel met geroofde informatie kunnen worden herleid tot natuurlijke personen, IP-adressen niet als persoonsgegevens aangemerkt zouden moeten worden.
Anderzijds mag worden aangenomen dat het Hof niet beoogde onwettige middelen uit te sluiten. Het Hof zal de wettigheid van de middelen enkel benadrukt hebben omdat het een zaak betrof waarbij een overheid een van de partijen was, en het niet redelijk is te verwachten dat een overheid onwettige middelen in zal zetten.

De paradox van de tautologie
Relevanter dan de bovenstaande kanttekeningen is dat het arrest niets toevoegt aan het recht. Het arrest verklaart voor recht dat een IP-adres enkel als persoonsgegeven geldt als er middelen zijn waarmee het IP-adres herleid kan worden tot een natuurlijke persoon. In de richtlijn en in de AVG staat dat informatie per se een persoonsgegeven is als er middelen zijn waarmee de informatie herleid kan worden tot een natuurlijke persoon. De verklaring voor recht in het arrest is dus logisch zwakker dan de bepaling in de AVG.
De paradox dat een tautologische passage in een arrest de aandacht heeft getrokken, behoeft verklaring. De verklaring is dat het arrest verkeerd is uitgelegd. Er is in gelezen dat IP-adressen persoonsgegevens zijn, terwijl er niet meer stond dan dat IP-adressen persoonsgegevens zijn mits voldaan is aan de 3
voorwaarden waaraan voldaan moet zijn wil informatie als persoonsgegevens gelden.

Corrigeren we voor de verkeerde uitleg van het arrest, dan verdwijnt de paradox. Een rechtbank of een Hof van Justitie kan bij het interpreteren van de wet in het algemeen niet verder kan gaan dan het uitschrijven van wat reeds in de wet stond. In het specifieke geval van persoonsgegevens zal een rechter ook niet verder willen gaan. Of informatie herleidbaar is tot natuurlijke personen, is een vraagstuk dat aangepakt moet worden met empirisch onderzoek aangevuld met informatietheoretische analyse. Rechters zijn niet geschoold in informatietheoretische analyse en het uitvoeren van empirisch onderzoek behoort niet tot de kernactiviteiten van de rechterlijke macht. Een rechter die op dit vraagstuk een ongeclausuleerd antwoord geeft, zou ver buiten de bevoegdheid treden die aan de rechterlijke macht is toegewezen. De rechters die het arrest opgesteld hebben, hebben dat niet gedaan. Zij hebben zich keurig gehouden aan de bevoegdheid van rechters en niet meer gedaan dan het uitschrijven van een geclausuleerde, tautologische vaststelling.

Relativering van het oordeel over IP-adressen als categorie
Bij het opstellen van het arrest meende het Hof dat voldaan was aan de voorwaarden waaraan voldaan moet worden willen IP-adressen als persoonsgegevens gelden. Het Hof was ervan overtuigd dat internetproviders bijhouden aan wie op welk moment welke dynamische IP-adressen worden toegekend. Derhalve koos het Hof voor een formulering die IP-adressen als categorie leek aan te merken als persoonsgegevens.
Nemen we in acht dat de ogenschijnlijke stelligheid van het Hof is ingegeven door de overtuiging dat alle internetproviders doen wat ze geacht worden te doen, dan moeten we concluderen dat het Hof geen uitspraak over alle IP-adressen kan hebben gedaan. Het is niet alleen zeer wel denkbaar dat internetproviders niet vastleggen aan wie op welk moment welk dynamisch IP-adres wordt toegekend, maar na het verstrijken van de relevante bewaartermijn zou deze informatie niet meer bij internetproviders beschikbaar mogen zijn. Dit impliceert dat dynamische IP-adressen met het verstrijken van de tijd de status van persoonsgegevens verliezen terwijl ze bij nalatige internetproviders die status nooit gehad hebben.
Ook als het arrest van het Hof verder zou gaan dan een tautologie, zou de vaststelling van het Hof IP-adressen als categorie niet kunnen raken. De vaststelling van het Hof heeft enkel betrekking op IP-adressen waarvoor daadwerkelijk voldaan is aan de voorwaarde dat die met de informatie van internetproviders herleid kunnen worden tot natuurlijke personen, en enkel
4
voor zolang die informatie ergens met middelen waarvan redelijkerwijs mag worden aangenomen dat ze gebruikt worden, beschikbaar is.

Veralgemenisering van de bevindingen
Het is gebruikelijk om de notie persoonsgegevens te verduidelijken door het benoemen van categorieën gegevens die als persoonsgegevens zouden gelden. Namen, adressen, telefoonnummers, doorgaans wordt aangenomen dat deze gegevens categoriaal aangemerkt kunnen worden als persoonsgegevens. Wat voor IP-adressen geldt, geldt evenwel voor alle categorieën gegevens. Of een naam in de zin van de AVG als een persoonsgegeven aangemerkt moet worden, is afhankelijk van de herleidbaarheid van de naam tot een natuurlijke persoon. Als 99,99 % van de wereldbevolking bij de geboorte de naam ‘Jantje Smit’ zou hebben meegekregen terwijl slechts één persoon de naam ‘Thieu Kuijs’ heeft gekregen, dan is de naam ‘Jantje Smit’ praktisch niet herleidbaar tot een natuurlijke persoon, en kan deze naam niet aangemerkt worden als een persoonsgegeven in de zin van de AVG, terwijl de naam ‘Thieu Kuijs’ wel als een persoonsgegeven zou gelden.

Het benoemen van categorieën persoonsgegevens is enkel redelijk als het gaat om categorieën waarbij institutioneel de uniciteit van de verwijzing is afgedwongen. In die gevallen kan in redelijkheid aan de rechterlijke macht de bevoegdheid worden toegekend te oordelen over de vraag of iets wel of niet een persoonsgegeven is.

Vught 30 april 2019
Dr. W.W
Samarstraat 7
5262 ZL VUGHT

minister van rechtsbescherming en aanscherping avg

Geachte Commissie,

Op 7 juni 2019 zond de minister van Rechtsbescherming een brief aan uw kamer ter zake de bescherming van horizontale privacy.

In dit schrijven kondigt de minister aan zich in te gaan zetten voor een aanscherping van de Algemene Verordening Gegevensbescherming, meer specifiek op het punt van het zogenoemde ‘profiling’.

De voorgenomen aanscherping komt neer op een vorm van staatscensuur die benoemd kan worden met de term “data-paternalisme”. Ik zal u het technisch bewijs van deze deconstructie besparen. Het komt erop neer dat de poging van een overheid/toezichthouder om een profiling-algoritme te verbieden, niet kan slagen zonder dat de overheid/toezichthouder een specifieke inhoud verbiedt.

Het is trieststemmend dat in een toch niet onverlicht land als Nederland een minister van Rechtsbescherming aan komt zetten met een idee waardoor Nederland op zou schuiven in de richting van precies het soort totalitaire systemen waartegen de privacywetgeving de burgers wilde beschermen.

Dit is op zichzelf natuurlijk ook weer een paradox die verklaring behoeft.

De simpele verklaring is:

–          Met de AVG is er een wet aangenomen die ondeugdelijk is (want de AVG is inconsistent, onuitvoerbaar, gericht op risico’s die er niet zijn, niet gericht op risico’s die er wel zijn, enzovoorts; niet iedereen wil er nu van weten maar als over een paar jaar rechters moeten gaan oordelen over boetes die de Autoriteit Persoonsgegevens hebben uitgedeeld zullen juristen van de beboete partij met plezier en vreugde uitleggen dat er van de AVG geen soep te maken valt, en de rechter zal met hen mee-grinniken).

–          Wetgevers en toezichthouders voelen ergens al wel aan dat de AVG geen enkele bijdrage zal kunnen gaan leveren aan het beschermen van de privacy.

–          Maar, aldus kaatst het in de psyche van wetgevers en toezichthouders, de AVG moet een bijdrage leveren aan het beschermen van de privacy.

–          Derhalve gaan wetgevers en toezichthouders op zoek naar een toepassing van de AVG die, al dan niet als de boel nog wat opgerekt is, toch heus echt wel een bijdrage levert aan het beschermen van de privacy.

–          ‘Profiling’ is dan een mooie kapstok, want iedereen schijnt zich daar bijzonder druk over te maken want niemand wil toch in een hokje geplaatst worden, en dat toch zeker niet ten onrechte.

–          Het probleem is dat de AVG (artikel 22) strikt genomen ‘profiling’ alleen ‘verbiedt’ als het gaat om beslissingen die volautomatisch, zonder menselijke tussenkomst, worden genomen en die dan ook van zwaarwegend belang zijn voor de betrokkene. In de praktijk is artikel 22 voor niemand beknellend. Het is voor overheden en grotere organisaties een fluitje van een cent om een beslissing die volautomatisch is voorgekauwd nog even door een mens van vlees en bloed laten bevestigen. In sommige gevallen – zoals bij het uitdelen van verbalen door ‘machine-ambtenaren’ – vinden we het ook allang best als een beslissing volautomatisch wordt genomen. Voor de betrokkene maakt het natuurlijk ook niets uit of een beslissing volautomatisch wordt genomen of door

–          Maar we maken ons nog wel druk om ‘etnisch profileren’, bijvoorbeeld als de belastingdienst dat gebruikt om kindgebonden budgetten in te trekken, of de politie dat gebruikt bij preventief fouilleren.

–          Aha, dus als we de AVG aanscherpen, of eigenlijk dus oprekken, opdat ook niet volautomatische verwerking van gegevens ermee aangepakt kan worden, dan kunnen we met de AVG in de hand toch nog over allerlei data-achtige dingetjes gaan praten die ons zo nu en dan dwarszitten, AHA!!!

De leden van uw commissie behoren zelf tot de wetgevende macht en zullen dus ook wel eens blootstaan aan de verleidelijke gedachte dat je onwenselijke zaken in de samenleving kunt wegnemen door iets op papier te zetten. Maar uw commissie heeft ook een controlerende taak, dus uw leden zullen ook weten dat de verleiding van die gedachte meestal uitmondt in een illusie.

Voor wie zich toestaat kritisch te reflecteren op de basisassumptie dat de AVG onze privacy beschermt, staat de schriftuur van de minister van Rechtsbescherming bol van onzinnigheden. Desgewenst kan ik die voor uw commissie uitspellen.

Brief aan de Autoriteit Persoonsgegevens

Vught, 26 juni 2019

Autoriteit Persoonsgegevens
t.a.v. dhr. mr. A. Wolfsen, bestuursvoorzitter
Postbus 93374
2509 AJ DEN HAAG

Betreft: ons schrijven d.d. 20 mei 2019

Geachte heer Wolfsen,
20 mei 2019 heeft de Nederlandse Vereniging voor Creatief Scepticisme u een brief gezonden waarin u bent geattendeerd op ‘weeffouten’ in de Algemene Verordening Gegevensbescherming, en de niet benijdenswaardige positie waarin u als toezichthouder door deze weeffouten gebracht bent.
Op dit schrijven heeft de NVCS vooralsnog een inhoudelijke reactie noch een ontvangstbevestiging mogen ontvangen.
Kort na verzending van ons schrijven bleek uit de brief die minister Dekker op 7 juni 2019 aan de Tweede kamer heeft gezonden ter zake horizontale privacy dat de minister in de EU gaat pleiten voor een aanscherping van de AVG, en dan met name de bepalingen die in de AVG staan over ‘profiling’. Omdat de AVG eigenlijk geen bepalingen over ‘profiling’ bevat, althans niet over ‘profiling’ in de technische betekenis van dat woord, wil de minister een nieuw element aan de AVG toevoegen. De Nederlandse overheid, met de Autoriteit Persoonsgegevens als onafhankelijk toezichthouder op de achterhand, wil zich met instemming van de EU bevoegdheden toekennen tot het beoordelen van de inhoud van data en de structuur van algoritmes. Dit gaat verder dan enige aspect van de huidige AVG vermits deze zich uitsluitend richtte op formele, protocollaire aspecten van dataverwerking.
Deze tendens in de richting van datapaternalisme druist in tegen de principes van een vrije samenleving en van de rechtstaat. Als de Nederlandse overheid zichzelf inhoudelijke regels wil opleggen bij het verzamelen en verwerken van informatie, dan is dat weliswaar vaak nogal idioot want profiling – volautomatisch, semiautomatisch of met handmatige steun – is een prima hulpmiddel bij het aanpakken van fiscale fraude en het bestrijden van andere vormen van criminaliteit, maar een overheid kan zichzelf de plicht opleggen zich te gedragen als een idioot. Gaat de overheid van vrije burgers, organisaties en bedrijven vragen om zich als idioten te gedragen, dan wordt de klok evenwel teruggedraaid naar lang voor de Magna Carta. Men mag hopen dat een overheid, die eenmaal inziet dat men ten halve aan het dwalen is geslagen, tijdig op de schreden terugkeert. Mocht de Nederlandse overheid dat niet doen, dan moeten burgers, bedrijven en niet-gouvernementele organisaties de overheid in deze vorm van staatscensuur dwarsbomen. Althans, zo schrijven liberale beginselen die op enig moment in de geschiedenis door alle politieke stromingen in de Westerse democratie omarmd werden, voor.
De drogreden die minister Dekker in zijn schrijven aan de Tweede kamer ontvouwde, steunde deels op citaten uit het toezichtkader van de Autoriteit Persoonsgegevens. Derhalve verzoek ik u, in aanvulling op het impliciete verzoek tot een reactie in het schrijven van 20 mei 2019, expliciet om een reactie op het voorstel van de minister voor rechtsbescherming.
Hoewel uw organisatie geacht kan worden te beschikken over voldoende menskracht voor het met onmiddellijke ingang van deze schriftuur, zal ik uw reactie tot 14 juli 2019 afwachten. Mocht u voor deze datum niet hebben gereageerd, dan concludeer ik daaruit dat de Autoriteit Persoonsgegevens niet wenst deel te nemen aan een redelijke analyse van de door wetgeving aan de Autoriteit Persoonsgegevens opgelegde beperkingen en de poging van de minister deze beperking tersluiks te omgaan, en zal de discussie in een ander gremium worden aangegaan.
In afwachting van uw reactie.

Dr. W.W.

Chirurg beroept zich op vergeetrecht: hoe waardevol is de anonimisering door de Raad voor de rechtspraak?

Geachte redactie,

Trouw van 18 januari 2019 meldde dat een chirurg in de richting van google succesvol beroep had gedaan op het ‘vergeetrecht

Edoch, in de ‘geanonimiseerde’ uitspraak die De Rechtspraak gepubliceerd heeft staat de url van de site waarnaar Google niet meer mag verwijzen, en daarbinnen kan de pagina die betrekking heeft op de chirurg snel worden gevonden. Daar is de naam van de chirurg, Rita Kappel, met de overige gegevens te vinden.

Al met al kostte deze ‘identificatie’ van de ‘geanonimiseerde’ gegevens op De Rechtspraak minder dan 3 minuten.

Het ‘vergeetrecht’ is een van de zinloze aspecten van de AVG die de samenleving op kosten jaagt. Ook deze schaduwzijde van de AVG heeft echter voor sommigen een zonnige kant: de zinloze inspanningen om het zinloze ‘vergeetrecht’ af te dwingen levert omzet op voor juristen en bureaus die in weerwil van de zinloosheid van vergeetrecht exercities suggereren dat ze imagoschade kunnen beperken.

Tijdens het volgen van de identificatieroute bleek ons dat De Stentor het artikel waarin wordt bericht over het oordeel van de tuchtrechter over de betrokkene, had verwijderd of althans had verplaatst. Onze vraag is of u dit hebt gedaan met oog op het vergeetrecht of op verzoek van de betrokkene of MediaMaze.

Als u de pagina bewust hebt verwijderd of verplaatst, dan lijkt ons dat niet geheel in overeenstemming met de missie van uw blad en de daarbij behorende verantwoordelijkheden. Een regionaal dagblad heeft, zeker daar waar het berichten betreft die de nationale of internationale pers niet halen, naast de taak van informeren voor de korte termijn een archieffunctie voor de langere termijn. Als een regionaal dagblad berichten die een betrokkene onwelgevallig zijn, gaat verwijderen omdat die een betrokkene onwelgevallig zijn, dan laat de redactie van dat blad zich met terugwerkende kracht censureren.

In dit specifieke geval heeft die censuur – indien die heeft plaatsgevonden – een asymmetrie achtergelaten in de beeldvorming over de betrokkene. Terwijl het door de betrokkene als ‘negatief’ ervaren, relatief recent bericht is verwijderd, is een door de betrokkene als ‘positief’ ervaren over de opening van haar kliniek in de digitale versie van uw krant bewaard gebleven.

Wij zijn gaarne uw antwoord tegemoet, niettegenstaande dat wij er uiteraard begrip voor zullen gaan hebben als u daar door andere redactionele verplichtingen niet aan toe komt.

Met vriendelijke groet,

Dr. W.W.