Europrivacy in een datagedreven samenleving

De rol van de AVG in een data- gedreven samenleving

In februari 2023 heeft de Autoriteit Persoonsgegevens de minister van Justitie en Veiligheid voor een tweede keer op moeten roepen om de persoonsgegevens van vliegtuigpassagiers in overeenstemming te brengen met de PNR- richtlijn en de uitspraak van het Hof.2 Uit een recente uitspraak van het Hof is immers gebleken dat Justitie en Veiligheid onterecht data verwerkt.

Passenger Name Records (PNR) worden bijgehouden om reisbewegingen van terroristen en zware criminelen vast te stellen. Justitie en Veiligheid legt op dit moment echter de persoonsgegevens van alle reizigers vast en verzamelt deze gegevens al jarenlang in een database, terwijl deze gegevens niet in deze database thuishoren.3

Daarnaast is uit recentelijk onderzoek gebleken dat de politie op grote schaal persoonlijke data opvraagt van demonstranten. Het gaat hierbij om adressen, burgerservicenummers en geboortedata, maar ook om data van familieleden. De politie doet dit naar eigen zeggen, omdat de demonstranten eerder schuldig zijn geweest aan ernstige openbare ordeverstoringen. Uit overzichten is echter gebleken dat er ook data is opgevraagd van demonstranten die niet eerder zijn veroordeeld.4 De rechtstreekse werking van de Algemene Verordening Gegevensbescherming, maakt dat de regels direct gelden voor alle lidstaten, zo ook voor Nederland. Het verzekert echter niet dat overheidsorganisaties direct handelen naar de regels van de verordening, zoals de hierboven geschreven casussen bevestigen.

Van de overheid wordt verwacht dat zij een voorbeeldfunctie heeft in de maatschappij, maar recente gebeurtenissen geven blijk dat dit niet altijd het geval is. Dit betekent niet dat de overheid bewust privacy rechten schendt. (Data)privacy is een complex vraagstuk in een maatschappij waar persoonlijke data een steeds belangrijkere rol speelt. Aantonen dat je als organisatie voldoet aan de geldende privacywetgeving is een opgave waar constante aandacht voor nodig is, mede gezien de dynamiek van een organisatie.

Europrivacy voor vertrouwensherstel

Gebeurtenissen zoals eerder beschreven geven blijk dat het de overheid niet altijd lukt om structureel aan de voorwaarden van de AVG te voldoen. Het zorgt echter ook voor het dalen van het vertrouwen van de Nederlandse burger in de (gegevensverwerkings-)activiteiten van de overheid. De vraag die publieke organisaties zich moeten stellen is of Europrivacy kan helpen bij het herstellen van dit vertrouwen. Publieke organisaties zouden hierbij gebaat kunnen zijn, omdat de kans dat burgers bij een gebrek aan vertrouwen steeds minder persoonlijke data zullen delen, groter is.

Certificering vindt plaats door een gekwalificeerde certificatie-instelling zoals SGS, BSI of DNV een beoordeling uit te laten voeren. Zij stellen, door middel van verschillende analyses en inspecties, vast of de gegevensverwerkingsactiviteiten van de organisatie in lijn zijn met de daarvoor gestelde eisen. Wanneer een organisatie aan deze eisen voldoet wordt het certificaat uitgegeven en opgenomen in het Europrivacy- register. Een organisatie kan zelf kiezen welke verwerkingsactiviteiten zij (met voorrang) laat certificeren. Dit houdt dus in dat een certificaat niet alle gegevensverwerkingsactiviteiten van een organisatie hoeft te omvatten en dat de organisatie zelf ook niet wordt gecertificeerd.

Door het behalen van het Europrivacy certificaat kan het vertrouwen in de aangeboden diensten stijgen. Met het certificaat toont een organisatie immers aan dat de verwerkingsactiviteiten in scope, voldoen aan de AVG, de geldende privacywetgeving in Nederland. Burgers hoeven niet te vrezen dat hun persoonsgegevens op een verkeerde manier worden verwerkt of doorgestuurd.5 De overheid heeft in deze samenleving immers steeds meer toegang tot (online) data die opgeslagen kan worden. De Nederlandse burger is ervan op de hoogte dat de overheid data verzamelt en opslaat, maar is er niet altijd van op de hoogte wélke data waar en wanneer wordt opgeslagen.

Overheden kunnen gedane zaken niet meer terugdraaien, maar kunnen er wel voor zorgen dat er meer transparantie bestaat over de verwerkingsactiviteiten die nu worden uitgevoerd. Het ministerie van Justitie en Veiligheid is immers niet de eerste publieke dienst die onrechtmatig heeft gehandeld.

Zo legde de Autoriteit Persoonsgegevens het ministerie van Buitenlandse Zaken in april 2022 een boete van €565.000 en een last onder dwangsom op, omdat het Nationaal Visum Informatie Systeem (NVIS) onvoldoende werd beveiligd waardoor het voor onbevoegden mogelijk zou zijn om dossiers in te zien en te wijzigen.6 Voor Justitie en Veiligheid zou het een positief effect kunnen hebben op het imago als zij de wijzigingen in de verwerking van het PNR laten certificeren. Passagiers die niet in het register opgenomen hadden mogen worden, omdat zij simpelweg onschuldig zijn, zijn immers slachtoffer geworden van onnodige gegevenswerkingen. Justitie en Veiligheid is erbij gebaat de verwerkingsactiviteiten in lijn brengen met de daarvoor geldende regelgeving en kan zo aantonen dat de verwerkingsactiviteiten nu wel in lijn zijn met wet- en regelgeving door middel van Europrivacy. Europrivacy is een bewijs van bekwaamheid en moet zo gewogen worden. Als je als publieke organisatie gecertificeerd bent dan heb je bewezen qua gegevensverwerkingen te voldoen aan de geldende privacywetgeving. Maar zoals voor iedere certificering geldt; het is een “moment opname” en het is van belang dat er actief gewerkt blijft worden aan het verbeteren van de verwerkingsactiviteiten, zodat persoonsgegevens naar behoren worden verwerkt. Publieke organisaties winnen vertrouwen als zij hun verwerkingsactiviteiten op eigen initiatief laten certificeren. Hiermee laten ze zien dat de veiligheid van persoonlijke data ook voor hen van belang is en dat zij enkel de benodigde informatie verwerken. Het onafhankelijke certificaat bevestigt namelijk dat de publieke organisaties hun verwerkingsactiviteiten uitvoeren zoals van hen wordt verwacht.

In het geval van de Politie is het echter niet gemakkelijk om te stellen dat zij hun gegevensverwerkingsactiviteiten vooraf kunnen laten certificeren. De Politie is een uitvoerende organisatie, die handelt naar de dynamische gebeurtenissen die zich afspelen in de maatschappij. Deze zijn vaak onvoorspelbaar en divers van aard. Dit maakt dat de aanpak van criminaliteit en overtredingen per geval zal verschillen. Als we terugkijken naar het eerdergenoemde onderzoek7 heeft de politie ingegrepen bij demonstraties die steeds heftiger en gevaarlijker worden. De politie heeft daarom in korte tijd naar data moeten zoeken om in te kunnen grijpen en zo herhalingen te voorkomen. In sommige gevallen is daarbij ook ongeoorloofd data van familieleden opgevraagd. De dynamiek van het politiewerk laat zich moeilijk in kaders plaatsen omdat de politie soms de grenzen op moet zoeken om onze veiligheid te waarborgen. Het laten certificeren van dit soort verwerkingsactiviteiten is moeilijk maar Europrivacy zou wel als een uitgangspunt kunnen dienen waar dit soort ad-hoc activiteiten aan zouden moeten voldoen.

Europrivacy is dus niet voor iedere organisatie een praktische oplossing en zal naar waarschijnlijkheid ook geen helende werking hebben op het imago van een organisatie als deze wordt gebruikt als redmiddel. Europrivacy kan wel een mogelijkheid zijn voor ‘constante’ verwerkingsactiviteiten die worden verwerkt op basis van beleid, zoals de PNR. Organisaties zoals Justitie en Veiligheid kunnen actiever zijn in het laten controleren van de verwerkingsactiviteiten. Het laten certificeren van deze activiteiten zal vervolgens meer transparantie bieden aan de Nederlandse burger, die door het certificaat op de hoogte is van de verwerkingsactiviteiten. Hierdoor weet de burger welke gegevens worden verwerkt, maar vooral dat de gegevens op een rechtmatige manier worden verwerkt.

Conclusie

Publieke organisaties moeten nog een flinke slag slaan als het gaat om het volwassenheidsniveau van hun dataprivacy te verbeteren. Hiervoor dienen zij actief te werken aan het verbeteren van hun verwerkingsactiviteiten, zodat deze compliant zijn. Europrivacy kan niet per definitie beschouwd worden als redder van publieke organisaties, maar is wel een middel om het vertrouwen in de verwerkingsactiviteiten te versterken. Het is hierbij van belang dat de verwerkingsactiviteiten en de data die hiervoor wordt gebruikt op een consistente manier worden verwerkt. Dit is mogelijk bij organisaties zoals Justitie en Veiligheid, maar heeft zijn uitdagingen bij uitvoerende organisaties zoals de Politie. Voor het ministerie van Justitie en Veiligheid is Europrivacy wellicht wel een mogelijkheid om transparantie te bieden aan de burger.

References

1. Rijksoverheid. (2022, 4 november). Werkagenda Waardengedreven Digitaliseren. Geraadpleegd op 6 maart 2023, van https://www.digitaleoverheid.nl/kabinetsbeleid-digitalisering/werkagenda/iedereen-kan-de-digitale-wereld-vertrouwen/bescherming-van-privacy/

2. https://www.autoriteitpersoonsgegevens.nl/uploads/imported/brief_ap_passagiersgegevens_pnr.pdf

3. Nederlands Juristenblad. (2023, 22 februari). Ministerie JenV moet stoppen met grootschalig verwerken gegevens vliegtuigpassagiers. Geraadpleegd op 6 maart 2023, van https://www.njb.nl/nieuws/ministerie-jenv-moet-stoppen-met-grootschalig-verwerken-gegevens-vliegtuigpassagiers/

4. https://nos.nl/artikel/2466880-onderzoek-politie-verzamelt-op-grote-schaal-data-van-demonstranten

5. https://digital-strategy.ec.europa.eu/nl/news/europrivacy-first-certification- mechanism-ensure-compliance-gdpr

6. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-buitenlandse- zaken-visumaanvragen-slecht-beveiligd-en-informatie-over-delen

7. https://www.platform-investico.nl/artikel/politie-verzamelt-op-grote-schaal-persoonsgegevens-demonstranten/