Onderstaand is de reactie van de Piratenpartij op de internetconsultatie Wetsvoorstel gegevensverwerking door samenwerkingsverbanden. Deze wet zal er voor zorgen dat publieke en private organisaties makkelijker data kunnen delen met elkaar. De Piratenpartij maakt zich zorgen over dit wetsvoorstel omdat delen van de AVG buiten spel worden gezet.
Geachte heer/mevrouw,
De Piratenpartij heeft het de laatste tijd druk. Dit vinden wij niet erg, omdat we graag bijdragen aan de kwaliteit van de wetgeving in ons land. Wat wij echter wel erg vinden, is dat de overheid in zeer rap tempo wetten produceert die een aantasting zijn op artikel 10 uit de grondwet, oftewel op onze privacy: de Wet op de inlichtingen- en veiligheidsdiensten, de Wet verwijzingsportaal bankgegevens, het ontwerpbesluit gebruik Burgerservicenummer door Slachtofferhulp Nederland en de wet waar de huidige consultatie over gaat.
Veel van deze wetten worden doorgevoerd om ‘de nationale veiligheid’ te vergroten. De Piratenpartij wil u er echter op wijzen dat het hierbij niet nodig is om de privacy van uw burgers zo te schenden. Een belangrijke waarde voor zowel het kabinet als voor de Piratenpartij is keuzevrijheid. Voor keuzevrijheid is veiligheid belangrijk; dat ontkent de Piratenpartij niet. Privacy is echter niet minder belangrijk. Zonder privacy is het maken van een vrije keuze niet mogelijk, en het huidige kabinet erkent dit niet. Ook de vrijheid van denken en spreken wordt ernstig beperkt door de nieuwe wetgeving. Zonder keuzevrijheid en vrijheid van denken en spreken is democratie onmogelijk.
Doelstelling te ruim
Het in artikel 2 beschreven doel van de AMvB is veel te ruim, het doel is als volgt beschreven:
- het voorkomen van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van belastingen, retributies en rechten bij in- en uitvoer;
- het uitoefenen van toezicht op de naleving van wettelijke voorschriften;
- het handhaven van de openbare orde of veiligheid, of
- het voorkomen, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen.
Op deze manier zal er nooit gezegd kunnen worden dat een bepaalde koppeling van gegevens niet binnen het doel past. Dit zien we terug in artikel 3, waar wordt gezegd dat aanwijzing van deelnemers enkel kan wanneer die ten goede komt aan het doel van deze AMvB. Dus de aanwijzing van deelnemers is onbeperkt met de huidige formulering van de doelen. Maar het doel is uiteindelijk nog breder dan in artikel 2 beschreven wordt. In artikel 7 blijkt dat data ook gedeeld mag worden als dit binnen het doel valt van een bepaald bestuursorgaan dat meedoet aan het samenwerkingsverband.
De informatie die in het samenwerkingsverband wordt gedeeld, mag enkel worden gebruikt om het doel van het samenwerkingsverband te halen. De Piratenpartij wil graag aan de minister vragen hoe er gecontroleerd gaat worden of de verzamelde data niet voor andere doelen wordt gebruikt. En hoe hij verwacht dat het verwerken van deze gegevens binnen artikel 10 GW valt?
Ontbreken van voldoende waarborgen
De waarborgen in artikel 8 voldoen niet. Er staan namelijk geen concrete waarborgen in; er staat enkel dat er waarborgen zullen zijn voor elke specifieke overeenkomst. Wat deze waarborgen verder inhouden, wordt niet beschreven. In de memorie van toelichting artikel 3.4 dat over de waarborgen gaat, wordt het niet veel beter. Hier staat dat de verplichting om betrokkenen te informeren niet van toepassing is in een samenwerkingsverband. Deze verplichting houdt normaal in dat je bij een bedrijf je gegevens kan opvragen en vervolgens kunt verzoeken deze te wissen. Met een voorbeeld zullen wij dit duidelijker maken.
Stel dat u bent aangesloten bij Ziggo, dan kunt u daar opvragen welke gegevens ze van u hebben verzameld om vervolgens al dan niet een verzoek tot wissen in te dienen. Wanneer Ziggo een samenwerkingsverband aangaat met bijvoorbeeld TELE2, KPN, Telfort en het ministerie van Economische Zaken en Klimaat wordt de data die Ziggo over u heeft met hun gedeeld. U kunt nu echter niet opvragen wie van deze organisaties nu over uw data beschikt, en u kunt daardoor ook geen verzoek tot wissen indienen. Dit is een zeer ernstige schending van de privacy van burgers en gaat in tegen de AVG. Een veelgebruikte definitie van privacy is die van Westin: het recht van het individu om zelf te bepalen welke informatie hij of zij deelt met anderen (2003, p. 431). Het recht op privacy wordt op deze manier dus ernstig geschonden.
Eenvoud van de wettekst
Verder willen wij het ministerie van Justitie en Veiligheid graag wijzen op de leesbaarheid van deze wet. Als voorbeeld noemen we artikel 8 lid 6 zoals hieronder weergegeven:
“Gelet op artikel 28, derde lid, aanhef, van de Algemene verordening gegevensbescherming, wordt wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht door een verwerker, de verwerking door een verwerker geregeld bij of krachtens algemene maatregel van bestuur”.
Wij willen u graag herinneren aan de door uzelf vastgestelde kwaliteitseisen voor wetten en regels, waar onder andere ‘eenvoudigheid’ bij staat (Rijksoverheid, n.d.). In een goede democratie is het van belang dat iedereen in staat is om de wetten te begrijpen. Daarom moet deze wet herschreven worden in het teken van de leesbaarheid.
Samenwerkingsverbanden
In de memorie van toelichting artikel 3.3.3 geeft u een aantal voorbeelden van publiek-private samenwerkingsverbanden:
(…) energiebedrijven bij de aanpak van hennepkwekerijen, curatoren bij het voorkomen van faillissementsfraude, financiële dienstverleners bij het tegengaan van witwassen en transportondernemingen bij de handel in verboden goederen.
De Piratenpartij wilt u graag ook wat voorbeelden geven:
– Google, om alles over het privé leven van burgers te weten;
– Internetproviders, om politieke oppositie tegen te gaan;
– Een seksshop, om een andere ambtenaar te kunnen afpersen;
– Bedrijven die handelen in aandelen, om zo met voorkennis geld te investeren en rijk te worden;
– Twitter, om onvrede in kaart te brengen en eventuele demonstraties tegen te gaan.
Bovenstaande voorbeelden lijken misschien extreem, maar de waarborgen in de wettekst sluiten die niet uit. Hardere begrenzingen zijn nodig, om ‘mission creep’ te voorkomen.
Privacy Impact Assessment
Volgens artikel 7 van de memorie van toelichting staat er dat er geen PIA is uitgevoerd, omdat dit pas kan wanneer het doel van een specifiek samenwerkingsverband duidelijk is. Een Privacy Impact Assesment kijkt naar wat de gevaren zijn voor de privacy en geeft hierover advies. Een PIA is echter verplicht wanneer een wet grote invloed heeft op de privacy van burgers, wat met deze wet zonder twijfel het geval is. Volgens deze wettekst is het niet mogelijk om een PIA uit te voeren omdat het niet specifiek genoeg is, en kan die beter worden uitgevoerd wanneer er een concreet samenwerkingsverband is gemaakt via een AMvB. Er staat echter niet dat het bij het sluiten van een samenwerkingsverband verplicht is om een PIA uit te voeren. De Piratenpartij vind dat er nu een PIA plaats moet vinden over deze wettekst en dat er in de tekst moet worden toegevoegd dat de PIA vervolgens ook verplicht is in elk samenwerkingsverband dat wordt gesloten.
Aanbevelingen
– Formuleer een duidelijke doelstelling waar duidelijke grenzen aan zitten.
– Stel een onafhankelijke commissie aan die controleert of de verzamelde data binnen een samenwerkingsverband alleen wordt gebruikt voor het geformuleerde doel.
– De informatieplicht moet ook gelden voor de gedeelde informatie.
– Herschrijf de wet zodat deze voor iedereen leesbaar is.
– Geef de sectoren aan waarmee samenwerkingsverbanden mogelijk zijn.
– Voer een PIA uit op deze wet, en leg in de wet vast dat er voor elk gesloten samenwerkingsverband een nieuwe PIA uitgevoerd dient te worden.
Hoogachtend,
Namens de Piratenpartij Nederland,
Jasmijn Boeken
Bronnen
Rijksoverheid. (n.d.). Kwaliteit van wetten en regels. Geraadpleegd op 19 juli 2018, van https://www.rijksoverheid.nl/onderwerpen/wetgeving/kwaliteit-wetten-en-regels.
Westin, A. F. (2003). Social and Political Dimensions of Privacy. Journal of Social Issues, 59: 431–453.
–
Was to be expected. It is only surprising that the effort to merge all data has taken so long. But I am afraid it will be impossible to stop government’s effort to create the totally controllable citizen.