Op donderdagavond 16 januari jl. hield Stichting Privacy First haar Nieuwjaarsborrel met enkele prominente sprekers. Eerste gastspreker was de voorzitter van het College Bescherming Persoonsgegevens (CBP): Jacob Kohnstamm. In zijn toespraak ging de heer Kohnstamm allereerst in op de nieuwe EU-verordening voor de bescherming van persoonsgegevens, gevolgd door het NSA-afluisterschandaal. Hieronder een verslag:
Over de nieuwe EU-verordening voor gegevensbescherming merkte Jacob Kohnstamm ten eerste op dat, zodra deze verordening definitief zal zijn vastgesteld, deze op gelijke wijze zal gaan gelden in alle EU-lidstaten. Dit in tegenstelling tot de huidige EU-richtlijn voor gegevensbescherming uit 1995, die in verschillende EU-lidstaten op verschillende wijze wordt toegepast. Dit creëert voor bedrijven en voor burgers onduidelijkheid over het geldende privacyrecht, met name in het internationale verkeer. De nieuwe verordening kan aan die onduidelijkheid een einde maken, aangezien deze als Europese wet in alle EU-lidstaten op gelijke wijze zal gaan gelden. Zover is het echter nog niet: het huidige voorstel voor een nieuwe verordening is afkomstig van de Europese Commissie en dateert van januari 2012. Deze verordening zal pas definitief kunnen worden na een ingewikkelde, onnavolgbare procedure waarin zowel de Europese Commissie als de Europese Raad (van ministers van EU-lidstaten) en het Europees Parlement een belangrijke rol spelen. Kohnstamm: “Een Amerikaanse uitdrukking luidt: 'There are two things you don’t want to know: wat er in worsten zit en hoe wetgeving wordt gemaakt.' Dat geldt in het bijzonder voor Europese wetgeving. Het Torentje op het Haagse Binnenhof is daarbij vergeleken de transparantie zelve.” De belangrijkste principes uit de EU-richtlijn van 1995 zijn in de nieuwe verordening overgenomen en deels aangescherpt en versterkt. Dit tegen de zin van de Amerikanen: “Het mooiste compliment dat de Europese Commissie heeft gekregen over de privacyvriendelijkheid van de nieuwe verordening is een massieve lobby uit de Verenigde Staten, met name uit Silicon Valley, tégen die verordening”, aldus Kohnstamm. Die Amerikaanse counter-lobby in Brussel was (en is) buitengewoon agressief: minstens een derde van alle voorgestelde wijzigingen op de concept-verordening werd ingestoken vanuit het Amerikaanse bedrijfsleven. Een voorbeeld daarvan is de boetebevoegdheid die nationale toezichthouders voor gegevensbescherming onder de nieuwe verordening zouden krijgen: in het oorspronkelijke voorstel van de Europese Commissie bedroeg die boete 5% van de omzet van het te beboeten bedrijf, maar onder Amerikaanse druk werd dat voortijdig afgezwakt tot 2%. Volgens Kohnstamm vormt het huidige voorstel voor een nieuwe verordening echter nog steeds een versterking van de Europese privacywetgeving, zowel voor burgers als voor toezichthouders zoals het CBP. Een zwak punt betreft echter de zogeheten pseudonimisering van persoonsgegevens, als die persoonsgegevens daardoor buiten de bescherming van de verordening zouden vallen. “Pseudonimisering is echt een Paard van Troje”, waarschuwt Kohnstamm. Gepseudonimiseerde persoonsgegevens zijn indirect immers altijd tot specifieke personen te herleiden.
Volgens Kohnstamm wordt de huidige vertraging bij de totstandkoming van de nieuwe verordening met name veroorzaakt door de Europese Raad van ministers en bijbehorende ambtenaren. Door nationalistische invloeden blijken sommige Europese regeringen onderling van mening te verschillen over de machts- en toezichtsvragen die de nieuwe verordening opwerpt. Als er binnenkort op Europees niveau geen schot in de zaak komt “kan het nog jaren gaan duren voordat we die nieuwe Europese verordening krijgen. Dan krijgt het Amerikaanse bedrijfsleven nog volop de gelegenheid om te lobbyen en de huidige normen verder te doen verwateren. Dat zou een dramatische ontwikkeling zijn”, aldus Kohnstamm.
Naar aanleiding van het NSA-afluisterschandaal vertelt Kohnstamm dat, zodra de eerste documenten van Edward Snowden naar buiten kwamen, hij in zijn hoedanigheid als voorzitter van 'WP29' (de werkgroep van privacytoezichthouders uit alle EU-lidstaten) een “stevige brief” aan de Europese Commissie geschreven heeft met daarin een oproep om tot actie over te gaan. Vervolgens werd er een speciale EU-US working group opgericht waar Kohnstamm lid van werd. Het gaat hier echter om het domein van nationale veiligheid, dus zeggen de EU-lidstaten: “dat is onze bevoegdheid, niet van de Europese Unie”. Die Europese verdeeldheid speelt de Amerikanen echter juist in de kaart. Kohnstamm: “ Verdeel en heers is wat de Verenigde Staten, maar ook andere grootmachten, graag ten opzichte van de Europese Unie uitspelen.” Vervolgens noemt Kohnstamm vier verschillen tussen de Verenigde Staten en Europa die volgens hem van belang zijn op dit terrein:
1) Voor Amerikanen is het louter verzamelen van gegevens niet iets wat privacybescherming verdient, maar pas zodra er sprake is van het gebruik van die gegevens. Voor Europeanen daarentegen is de bescherming van persoonsgegevens een fundamenteel grondrecht, waarbij het verzamelen óf verwerken van die gegevens op zichzelf al aan wettelijke beperkingen onderhevig is. Zo dient er in de Europese visie altijd een rechtsgrond voor verzameling of verwerking aanwezig te zijn, bijvoorbeeld een wettelijke grondslag, een contract of persoonlijke toestemming. Dit verschil is essentieel voor de discussie tussen Europa en de Verenigde Staten.
2) In Amerika wordt toezicht op de NSA gehouden door een geheime rechtbank, het FISA Court. “Er is dus tenminste een rechtbank, ook al is ie geheim. Ik ken geen enkel ander land waar rechters meebesluiten of iets rechtmatig is in het kader van wat veiligheidsdiensten uitspoken. Ik ben overigens uiterst kritisch over wat het FISA Court doet, maar de structuur op zichzelf hebben andere landen niet eens”, aldus Kohnstamm. Vergeleken daarbij is het toezicht in een land als het Verenigd Koninkrijk bijvoorbeeld veel slechter geregeld.
3) Amerikaans-wettelijke discriminatie tussen Amerikanen en niet-Amerikanen. Kohnstamm: “Door de Amerikanen worden wij Europeanen behandeld als Noord-Koreanen, bij wijze van spreken. Die discriminatie in de Amerikaanse wetgeving ten aanzien van veiligheidsdiensten is nauwelijks te verteren.”
4) De rechtsgronden op basis waarvan Amerikaanse veiligheidsdiensten (bijvoorbeeld de NSA) opereren zijn er drie: twee wetten, en de derde is een soort Algemene Maatregel van Bestuur, een administrative order genaamd '12333'. Die administrative order is een presidentieel besluit zonder parlementaire betrokkenheid, waarin zaken als een definitie van “foreign intelligence” (buitenlandse inlichtingen) geheel ontbreken. “Daarmee kunnen de NSA en anderen totaal hun gang gaan, zonder dat het gecontroleerd is.”
Eventuele Amerikaanse wetswijzigingen en toekomstig beter toezicht ten spijt, blijft “de NSA feitelijk een multinational met een budget van ongekende omvang”, aldus Kohnstamm. Zolang het Amerikaanse onderscheid tussen de verzameling en het gebruik van persoonsgegevens zal blijven bestaan, zal dat niet leiden tot meer privacy voor Europeanen ten opzichte van organisaties als de NSA, zo voorspelt hij. “En zolang Europese landen veiligheid als een louter nationale bevoegdheid blijven zien, gaan wij deze strijd tussen Europa en de VS niet winnen.” Ook vanuit het Amerikaanse congres verwacht Kohnstamm weinig pressie om de NSA-activiteiten te temperen. Enige recente druk in die richting vanuit het Amerikaanse bedrijfsleven acht hij bovendien hypocriet. “De enige vuist die we dus kunnen maken is een Europese vuist”, zo besluit Kohnstamm zijn betoog.