Toon items op tag: Platform Bescherming Burgerrechten

Sinds 2013 voerde de Vereniging Praktijkhoudende Huisartsen een fundamentele rechtszaak tegen de private opvolger van het Elektronisch Patiëntendossier: het Landelijk Schakelpunt (LSP). Eind vorige week besloot de Hoge Raad dat het LSP vooralsnog niet in strijd is met het huidige privacyrecht. In het oordeel van de Hoge Raad ligt echter de opdracht besloten dat het LSP snel zal moeten gaan voldoen aan het wettelijke vereiste van 'privacy by design'. Dit vormt een belangrijk precedent en legt de lat voor de toekomst hoog.

Private doorstart EPD: Landelijk Schakelpunt

In april 2011 werd het Elektronisch Patiëntendossier (EPD) door de Eerste Kamer unaniem verworpen, voornamelijk wegens privacybezwaren. Door diverse marktpartijen (waaronder zorgverzekeraars) werd vervolgens echter vrijwel ditzelfde EPD in private vorm doorgestart als Landelijk Schakelpunt (LSP) voor grootschalige, centrale uitwisseling van medische gegevens. Het LSP is sindsdien nationaal ‘uitgerold’: veel huisartsen zijn inmiddels (onder druk van zorgverzekeraars) op het LSP aangesloten. Ook hebben miljoenen Nederlanders inmiddels ‘toestemming’ gegeven voor uitwisseling van hun medische gegevens via het LSP. Probleem met deze ‘toestemming’ is echter dat deze dusdanig breed en algemeen is, dat deze vrijwel onmogelijk rechtmatig geacht kan worden. Dit was dan ook één van de principiële bezwaren waarop de rechtszaak van de Vereniging Praktijkhoudende Huisartsen (VP Huisartsen) tegen het LSP betrekking had. Andere bezwaren tegen het LSP hebben o.a. betrekking op het feit dat de architectuur van het LSP inherent onveilig en privacyschendend is: via het LSP is ieder aangesloten medisch dossier voor duizenden zorgverleners inzichtelijk. Dit is in strijd met het recht op privacy van de patiënt en het medisch beroepsgeheim van behandelend artsen. Bovendien is hierbij geen sprake van privacy by design, bijvoorbeeld middels end-to-end encryptie. In wezen is het LSP hierdoor zo lek als een mandje, ideaal voor function creep (doelverschuiving) en mogelijk misbruik door kwaadwillenden.

Campagne SpecifiekeToestemming.nl

Privacy First heeft hierover de laatste jaren talloze malen alarm geslagen richting politiek en media. Zelfs op VN-niveau heeft Privacy First het Nederlandse LSP actief aangekaart. Op initiatief van Privacy First en het Platform Bescherming Burgerrechten is sinds april 2014 bovendien een grootschalige internetcampagne gelanceerd ter behoud en bevordering van het recht op medische privacy: www.SpecifiekeToestemming.nl. Deze campagne wordt sindsdien gesteund door tal van maatschappelijke organisaties, zorgverleners en academici. Kern van de campagne is dat specifieke toestemming (weer) het leidende principe moet worden bij de uitwisseling van medische gegevens. Bij specifieke toestemming kunnen patiënten voorafgaand aan het delen van hun medische gegevens bepalen of, en zo ja welke, gegevens mogen worden gedeeld met welke zorgverleners voor welke doeleinden. Dat beperkt de risico's en maakt het mogelijk voor patiënten om controle te houden over de uitwisseling van hun medische data. Dit in tegenstelling tot de generieke toestemming die geldt bij het LSP. Bij generieke toestemming is niet te voorzien door wie iemands medische gegevens kunnen worden ingezien, gebruikt, uitgewisseld etc. Generieke toestemming is daarmee per definitie in strijd met twee klassieke uitgangspunten in het privacyrecht: het beginsel van doelbinding en het recht op vrije, voorafgaande en volledig geïnformeerde toestemming bij de verwerking van persoonsgegevens.

Privacy by design

Mede onder druk van onze campagne SpecifiekeToestemming.nl werd het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens in de zorg (wetsvoorstel 33509) door de Tweede Kamer in 2014 aangescherpt en werden door de Eerste Kamer in 2016 twee cruciale moties aangenomen: de motie-Bredenoord (D66) c.s. over de verdere uitwerking van dataprotectie-by-design als het uitgangspunt voor de elektronische verwerking van medische gegevens en de motie-Teunissen (PvdD) c.s. inzake het decentraal (i.p.v. centraal) toegankelijk houden van medische dossiers. Onder deze nieuwe wet wordt specifieke (“gespecificeerde”) toestemming verplicht; dit dient nu geïmplementeerd te worden in alle bestaande en toekomstige systemen voor de uitwisseling van medische gegevens, waaronder het huidige LSP. Bovendien wordt onder de nieuwe Europese privacywetgeving privacy by design een harde juridische plicht: reeds vanaf het allereerste ontwerp dienen privacy en dataprotectie in alle relevante hardware en software te worden ingebouwd. In dit verband zijn er de laatste jaren reeds diverse marktontwikkelingen gaande die er op duiden dat bij nieuwe systemen specifieke toestemming de norm wordt en dat privacy by design de nieuwe standaard wordt. Een goed voorbeeld hiervan in de medische context is Whitebox Systems dat al in 2015 een Nationale Privacy Innovatie Award won.

Rechtszaak VP Huisartsen

Sinds maart 2013 voerde VP Huisartsen een grootschalige civiele rechtszaak tegen de private beheerder van het LSP: de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ). Na teleurstellende uitspraken door de rechtbank Utrecht en het Hof Arnhem stelde VP Huisartsen eind 2016 cassatie in bij de Hoge Raad. In cassatie kreeg deze zaak (via Pro Bono Connect, op advies van Privacy First) ondersteuning door advocatenkantoor Houthoff Buruma. Bij de Hoge Raad diende Privacy First vervolgens samen met het Platform Bescherming Burgerrechten een amicus curiae-brief (PDF) in ter ondersteuning van de standpunten van VP Huisartsen, in lijn met onze gezamenlijke campagne SpecifiekeToestemming.nl. In het advies (“conclusie”) van de Advocaat-generaal bij de Hoge Raad werd vervolgens uitgebreid aan deze amicus curiae-brief gerefereerd. Op 1 december jl. heeft de Hoge Raad uiteindelijk uitspraak gedaan. In deze uitspraak sluit de Hoge Raad zich helaas grotendeels aan bij de eerdere argumentatie van het Hof Arnhem. Privacy First kan zich daarbij echter niet aan de indruk onttrekken dat het LSP (zelfs voor de Hoge Raad) blijkbaar “too big to fail” is: dit gebrekkige systeem is inmiddels dusdanig groot dat men het wellicht niet onrechtmatig durft te verklaren. Toch is er ook een belangrijk lichtpunt, en wel in de slotoverweging van de Hoge Raad:

“[Het hof heeft] onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen. In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.

Deze overwegingen zijn niet onbegrijpelijk. Daarbij verdient nog opmerking dat gelet op de (...) ambities van VZVZ met het systeem en op de veranderingen in de regelgeving (...), waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 leden 1 en 2 Algemene verordening gegevensbescherming), eens te meer in de rede ligt wat het hof van VZVZ verwacht.” (5.4.4)

Evenals het Hof Arnhem stuurt de Hoge Raad hiermee duidelijk aan op implementatie van specifieke toestemming en privacy by design in het LSP. De Hoge Raad creëert hiermee een positief precedent dat ook in bredere zin (voor andere systemen) de toon voor de toekomst zet. Privacy First zal de ontwikkelingen hieromtrent actief blijven volgen en e.e.a. indien nodig opnieuw bij de rechter (laten) aankaarten.

Lees HIER het hele arrest van de Hoge Raad en HIER de eerdere conclusie van de Advocaat-generaal.
De amicus curiae brief van Privacy First en het Platform Bescherming Burgerrechten vindt u HIER in pdf.

Commentaar VP Huisartsen: http://www.vphuisartsen.nl/nieuws/cassatieberoep-vphuisartsen-verloren-toch-winst/

Commentaar SpecifiekeToestemming.nl: http://specifieketoestemming.nl/werk-aan-de-winkel-na-teleurstellend-vonnis-over-lsp/ .

De campagne Specifieke Toestemming van Privacy First en het Platform Bescherming Burgerrechten maakt na drie jaar actie de balans op.

Na bijna drie jaar actie te hebben gevoerd tegen de nieuwe EPD-wet van minister Schippers, mag onze campagne Specifieke Toestemming een bescheiden maar belangrijk succes vieren. De wet waartegen we hebben gelobbyd, is tot onze spijt aangenomen. Er zijn echter een aantal belangrijke lichtpunten, en nog meer redenen om de komende tijd deze wet en haar gevolgen zeer kritisch te blijven volgen. We beginnen met de lichtpunten:

Onze campagnemissie kreeg brede steun van maatschappelijke organisaties en academici

Een groot aantal maatschappelijke organisaties en academici op het gebied van privacy, ICT en gezondheidszorg onderschrijft de missie van onze campagne al sinds haar lancering. Die brede steun laat zien dat vele organisaties en personen met deskundigheid en statuur onze zorgen delen. Ons standpunt is dan ook verre van controversieel: we strijden om de rechten die patiënten al sinds vanouds hebben in de zorg ook te waarborgen bij het digitaal uitwisselen van medische gegevens. We zijn desalniettemin trots dat we al die tijd namens een grote en relevante groep onze boodschap onder de aandacht hebben kunnen brengen.

We hebben de politieke discussie over patiëntprivacy en toestemming op scherp gesteld

Vanaf haar lancering heeft Specifieke Toestemming een zeer duidelijk onderscheid gemaakt tussen specifieke, rechtmatige toestemming zoals die is vastgelegd in privacywetgeving en mensenrechtenverdragen, en de brede, generieke toestemming die minister Schippers mogelijk wilde maken met dit wetsvoorstel. Daarmee hebben we een belangrijke invloed gehad op hoe er over deze wet is gediscussieerd. Regelmatig werd onze input aangehaald in debatten die Eerste en Tweede Kamerleden met de minister voerden. Ook waren we deel van het expertpanel waarmee de Eerste Kamer in april dit jaar een hoorzitting organiseerde over de privacy-aspecten van de nieuwe EPD-wet.

Voor het eerst sinds de verwerping van het Elektronisch Patiëntendossier (EPD) werd weer een stevig inhoudelijk debat over patiëntprivacy gevoerd. We hopen dat onze campagne een basis heeft gelegd voor een duurzame discussie over hoe vertrouwelijkheid in de zorg in het digitale tijdperk dient te worden gewaarborgd.

Dankzij een cruciale motie blijven privacyvriendelijke alternatieve systemen mogelijk

Met de aanname van de motie-Teunissen, waarvoor we in de laatste dagen van het wetgevingstraject hard hebben gelobbyd, kunnen alternatieve systemen naast het Landelijk Schakelpunt (LSP) blijven bestaan. De regering wordt in de motie verzocht “ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal mogelijk zal blijven.”

Er zitten grote risico’s aan een centraal toegangssysteem zoals het LSP, zo waarschuwden hoogleraren tijdens de expertmeetings in de Eerste Kamer. Met de motie-Teunissen blijft het mogelijk om bij elke zorgverlener apart te kunnen aangeven welke gegevens deze met welke andere zorgverleners mag delen – zonder dat dit aan een centraal systeem zoals het LSP is verbonden. Zo voorkom je als patiënt dat je toestemmingen (en dus ook informatie over welke zorgverleners je bezoekt) in een landelijk register worden opgeslagen en blijven ze alleen bij de zorgverlener bewaard.

Er zal uiteraard krachtig op moeten worden toegezien dat de motie ook echt vorm krijgt en uitgevoerd wordt.

Helaas zijn er weinig echte lichtpunten te melden:

In zijn algemeenheid is deze wet een privacydraak die de patiëntprivacy en het medisch beroepsgeheim ondermijnt. Hieronder lichten we toe waarom, en waarop we de komende tijd strak moeten gaan letten.

De “gespecificeerde toestemming” die patiënten straks moeten geven is onbegrijpelijk

Deze wet introduceert een problematische vorm van toestemming: gespecificeerde toestemming. Anders dan de naam doet vermoeden, is deze vorm van toestemming weinig specifiek. Het kan alles betekenen van een ongerichte toestemming om tienduizenden zorgverleners in Nederland inzage in je dossier te geven, tot het beschikbaar stellen van een doktersrecept voor de apotheker om de hoek.

Gespecificeerde toestemming creëert de mogelijkheid om patiënten een vage toestemmingsvraag te stellen met onoverzichtelijke gevolgen. Een voorbeeld daarvan kan nu al worden gevonden in de folders die VZVZ verspreidt voor deelname aan het LSP. Mensen worden geregeld een opt-in formulier onder de neus geschoven met het verzoek te tekenen omdat anders de medicatieveiligheid niet gegarandeerd zou kunnen worden. Vergelijkbare risico’s voorzien we voor het nog te introduceren online patiëntenportaal, waarmee patiënten straks zelf de regie zouden moeten voeren over wie hun medische gegevens kunnen inzien. Hoe geïnformeerd is de toestemming die patiënten geven? Hoe wordt voorkomen dat men uit onwetendheid of “voor de zekerheid” maar een brede, ongerichte toestemming geeft? De praktijk van “gespecificeerde toestemming” zal scherp in de gaten gehouden moeten worden.

Overigens staat nog niet eens vast of de patiënt in de praktijk echt zo’n specifieke keus zal kunnen maken. De minister heeft het er zelf vooral over dat toestemming gegeven moet kunnen worden voor categorieën van zorgverleners. De huidige systemen (lees: het LSP) zijn niet uitgerust om iets anders dan generieke toestemming te geven en ICT-partijen en zorgkoepels moeten de komende drie jaar “gespecificeerde toestemming” vormgeven en implementeren – tot nog toe lijken deze partijen de toestemming steeds zo ruim mogelijk te willen maken. We bevelen de Tweede Kamer daarom met klem aan om dit traject kritisch te volgen. Om te voldoen aan de motie-Bredenoord (D66) zouden zowel de juridische uitwerking van “gespecificeerde toestemming” als de implementatie ervan onderwerp moeten zijn van Privacy Impact Assessments en de eisen zoals geformuleerd in de motie-Franken (2011).

De komende drie jaar wordt het uit de wet geschrapte Generieke Toestemming gedoogd

In de drie jaar dat “gespecificeerde toestemming” moet worden uitgewerkt en geïmplementeerd, wil de minister dat patiënten generieke toestemming kunnen geven: de toestemmingsvorm die de Tweede Kamer juist uit het wetsvoorstel schrapte. Dit plan diende minister Schippers zelf nog in tijdens de behandeling in de Senaat. Een kwalijke zaak waartegen Specifieke Toestemming fel heeft geageerd.

Hierdoor krijgt het LSP, dat zo ongeveer alles waartegen Specifieke Toestemming campagne voert in de praktijk brengt, ruim baan. Ook zullen de generieke toestemmingen die in de komende drie jaar worden gegeven naderhand geldig blijven. In de praktijk zal dit plan er dan ook op neerkomen dat VZVZ deze periode kan gebruiken om zoveel mogelijk patiënten met een brede generieke toestemming te laten deelnemen aan het LSP. De monopoliepositie van dit systeem zal dan binnen niet al te lange tijd een voldongen feit zijn.

Specifieke toestemming blijft echter een fundamenteel recht, vastgelegd in artikel 8 van het EVRM. Daar verandert de invoering van bredere toestemmingsvormen niets aan. Daarom is het ook zo kwalijk dat het LSP, een systeem dat enkel met generieke toestemming werkt, nu vrij doorgang krijgt. Er moet op worden toegezien dat ook na de invoering van dit wetsvoorstel het mogelijk blijft om specifiek toestemming te verlenen. Om dat recht op te eisen, is het nog steeds mogelijk om vanaf de website van Specifieke Toestemming een zeggenschapsbrief naar uw zorgverlener te sturen.

Het digitaal inzage- en afschriftrecht verklaart de patiëntprivacy vogelvrij

Tot slot hebben we grote bedenkingen bij het nieuwe recht van de patiënt om online een kopie van het medisch dossier te downloaden of dit in één keer te uploaden naar de cloud. Zonder de dossierhoudend arts (die een beroepsgeheim heeft) als tussenpersoon lopen patiënten een groot risico om hun medische gegevens zonder veel nadenken, met een druk op de knop af te staan aan partijen die niet gebonden zijn aan het beroepsgeheim. Zowel de LHV als de KNMG hebben reeds aangegeven grote risico’s te zien in een dergelijke achterdeur naar het medisch dossier.

De Tweede Kamer zou de implementatie van het online patiëntenportaal, dat ook toegang gaat geven tot de digitale kopie van het medisch dossier, daarom ook zeer kritisch moeten volgen.

Andere zaken om de komende tijd in de gaten te houden:

VP Huisartsen voert een rechtszaak tegen de landelijke uitrol van het LSP. De bodemprocedure startte in 2014 en momenteel loopt de cassatiezaak bij de Hoge Raad. In deze zaak speelt ook de toestemming die patiënten in het LSP kunnen geven een belangrijke rol.

Wetsvoorstel 33980 geeft zorgverzekeraars de bevoegdheid om bij een vermoeden van fraude het medisch dossier bij zorgverleners op te eisen. Dit alles zonder voorafgaande toestemming van de patiënt. Een onnodige en disproportionele inbreuk op de patiëntprivacy. PrivacyBarometer heeft een brievenactie waaraan iedereen zou moeten meedoen.

De Autoriteit Persoonsgegevens (AP) moet intensiever toezien op de uitwisseling van medische gegevens, zo stelt een motie van de Eerste Kamer. We maken ons echter grote zorgen over hoe de toezichthouder deze taak inhoudelijk zal opvatten. In de afgelopen jaren heeft de AP juist het LSP gefaciliteerd, door goedkeuring te verlenen aan de private uitrol van het systeem.

Gistermiddag verzond het Platform Bescherming Burgerrechten een brief met aanbevelingen aan informateurs Wouter Bos en Henk Kamp op het terrein van 1) privacy, 2) democratie & rechtsstaat en 3) nieuwe technologieën. De brief is mede-opgesteld en ondertekend door Stichting Privacy First. Speerpunten van Privacy First in de brief zijn de verplichte uitvoering van Privacy Impact Assessments, strikte toetsing van wetgeving en beleid aan nationale en Europese privacywetgeving, de ontwikkeling van privacy by design en privacy enhancing technologies, de instelling van een Constitutioneel Hof en opheffing van het verbod op constitutionele toetsing, actieve openbaarheid van bestuur, vrijwillige i.p.v. verplichte toepassing van biometrie en een verbod op de invoering van mobiele vingerscanners bij de politie. Hieronder volgt de volledige tekst van de brief:

Tweede Kamer der Staten-Generaal
T.a.v. de informateurs
Dhr. drs. W.J. Bos en dhr. H.G.J. Kamp
Postbus 20018
2500 EA Den Haag

Afschrift aan: fractievoorzitters Tweede Kamer

Amsterdam, 20 september 2012
Betreft: aanbevelingen van het Platform Bescherming Burgerrechten t.b.v. kabinetsformatie

Geachte heren,

Graag willen wij u als Platform Bescherming Burgerrechten een aantal aanbevelingen voorleggen die drie terreinen bestrijken, namelijk 1) privacybeschermende wetgeving en maatregelen, 2) onderwerpen die de democratische rechtsstaat betreffen en ons aller persoonlijke vrijheid en burgerrechten raken en 3) nieuwe technologieën en daaraan verbonden risico’s voor de privacy.

De laatste jaren is in Nederland een tendens te bespeuren waarbij ieder maatschappelijk probleem met een standaard-recept lijkt te worden benaderd, namelijk meer digitale registratie, meer koppeling van bestanden en centrale ontsluiting van systemen en databanken die voor steeds meer functionarissen en derde partijen toegankelijk worden, inperking van professionele autonomie, preventieve controle en profiling.

Het lijkt erop of men, vooral in de politiek, gevoed door media en de vox populi voorzover ook weer beïnvloed door de media, in deze instrumenten een beheersing van de samenleving ziet die tot meer orde en rust en veiligheid zou moeten leiden.

Naar onze mening is het omgekeerde nu steeds vaker het geval.

Digitalisering brengt namelijk met zich mee dat de hoeveelheid gegevens die over iedere burger wordt opgeslagen steeds groter, onoverzichtelijker en onbeheersbaarder wordt. Dit geldt des te meer voor gegevens die foutief zijn ingevoerd, verkeerd gekoppeld of verouderd zijn.

Met de exponentiële toename van digitale registraties nemen de risico’s van datalekken navenant toe en ontstaan nieuwe vormen van identiteitsfraude en -diefstal. Daarmee wordt de onveiligheid van digitale systemen een onveiligheid die burgers direct bedreigt. Daarnaast is er een risico dat burgers door digitale profilering verworden tot hun digitale ‘dubbelgangers’. De autonomie van de vrije en participerende burger die zo belangrijk is in een democratische rechtsstaat komt daarmee ernstig in gevaar.

Terug naar een maatschappij zonder internet of digitale bestanden is echter iets wat wij geenszins voorstaan en is inhoudelijk onmogelijk.

Echter een verstandig gebruik van technische middelen, waaronder dataopslag en biometrie en andere technische verworvenheden, zal noodzakelijk zijn willen wij onze democratische rechtsstaat met de bijbehorende grondrechten overeind houden.

Juist in deze tijd van onvoorziene technische mogelijkheden moeten wij ons eens temeer realiseren hoe belangrijk de grondbeginselen van onze samenleving zijn. Iedere keer zal dan ook een afweging moeten plaatsvinden waar de grenzen van het toelaatbare liggen en hoe eventuele alternatieven in de menselijke sfeer zoals meer persoonlijke controles maar ook hulp en dienstverlening wenselijk dan wel noodzakelijk zijn.

Daartoe hebben wij de volgende aanbevelingen geformuleerd:

PRIVACY

1. De principes van noodzakelijkheid, proportionaliteit en subsidiariteit dienen een bepalende rol te spelen bij de opstelling van alle wetgeving en beleid die een inbreuk maakt op de persoonlijke levenssfeer.
2. Bij alle wetgeving en beleid die de persoonlijke levenssfeer kan aantasten dient een onafhankelijke Privacy Impact Assessment (PIA) te worden uitgevoerd.
3. Privacy by design moet als uitgangspunt gelden bij alle ICT-projecten die betrekking hebben op de verwerking van persoonsgegevens en in het verlengde daarvan de persoonlijke levenssfeer van burgers. De ontwikkeling van privacy enhancing technologies (PET) krijgt hoge prioriteit.
4. De Wet bescherming persoonsgegevens (Wbp) en relevante bepalingen van het Europees Verdrag voor de Rechten van de Mens alsmede het Handvest van de Grondrechten van de Europese Unie dienen strenger te worden gehandhaafd.
5. Er dient een universele opt-out mogelijkheid te zijn bij de verwerking en koppeling van persoonsgegevens en biometrie, noodzakelijke uitzonderingen daargelaten.[1]
6. Het College Bescherming Persoonsgegevens (CBP) dient meer middelen en bevoegdheden te krijgen, waaronder een boetebevoegdheid. Burgers dienen een klachtrecht bij het CBP te krijgen.
7. Het DDJGZ (Digitaal Dossier Jeugdgezondheidszorg, voormalig EKD) blijft uitsluitend een medisch dossier met de daaraan verbonden privacy-eisen.

DEMOCRATIE & RECHTSSTAAT

8. Er dient een Constitutioneel Hof te komen. Tevens dient het verbod op constitutionele toetsing en het verbod van direct beroep tegen algemeen verbindende voorschriften (art. 8:2 Awb) te worden afgeschaft.
9. Er dient een publiek debat te komen over de noodzaak van beperking van grondrechten.[2]
10. De overheid dient vier algemene mensenrechtelijke plichten opnieuw in acht te nemen, te weten het Naleven, Beschermen, Verwezenlijken en Promoten van alle mensenrechten, inclusief de burgerrechten.
11. Het primaat van de formele wetgever dient in ere te worden hersteld. Er moet zeer voorzichtig worden omgesprongen met holle kaderwetgeving die middels AMvB’s en ministeriële regelingen moet worden ingevuld en waarbij in de praktijk van de uitvoering de privacy in het geding kan raken.[3]
12. Bij alle wetgeving en beleid dienen de onschuldpresumptie en het verbod op zelfincriminatie (nemo tenetur) weer als uitgangspunt te gelden.
13. Er wordt een onderzoek of parlementaire enquête naar de kosten van de controlestaat ingesteld. Naar aanleiding van dat onderzoek zouden de kosten naar verhouding beperkt moeten worden.[4]
14. Het College voor de Rechten van de Mens dient meer financiële middelen en volledige procesbevoegdheid te krijgen.
15. De overheid dient transparanter te worden door modernisering en versterking van de Wet openbaarheid van bestuur (Wob). De Wob krijgt als uitgangspunt actieve openbaarheid van bestuur in plaats van de huidige passieve openbaarheid.
16. Er dient meer transparantie te komen bij de Raadsgroepen en werkgroepen van de Europese Unie.
17. Er dient een openbaar overzicht te komen van het stemgedrag van ieder Kamerlid gedurende zijn/haar gehele politieke loopbaan.
18. Er dient meer aandacht te worden besteed aan mensenrechteneducatie, waaronder voorlichting over de risico’s van het afstaan van je persoonsgegevens aan derde partijen.

NIEUWE TECHNOLOGIEËN

19. Niet alles wat technisch mogelijk is, dient ook te worden toegepast. Er dienen heldere grenzen te worden gesteld aan de inzet van nieuwe controle-technologieën. Technologie behoort de vrije mens en de vrije samenleving te dienen in plaats van andersom.
20. Van biometrische registratie mag slechts sprake zijn op vrijwillige basis.
21. Openbaar cameratoezicht met gezichtsherkenning, geluidsopnamen op gespreksniveau en automatische gedragsprofilering dienen te worden verboden.
22. Er worden geen mobiele vingerscanners bij de politie ingevoerd.

Wij hopen u met deze aanbevelingen van dienst te zijn en zijn graag tot een nadere toelichting bereid.

Namens het Platform Bescherming Burgerrechten, verblijf ik,
Hoogachtend,

Vincent Böhre
voorzitter Platform Bescherming Burgerrechten

Namens de volgende Platformdeelnemers:
Humanistisch Verbond
Stichting KDVP
Stichting Meldpunt Misbruik ID-plicht
Ouders Online
Stichting Privacy First
Burgerrechtenvereniging Vrijbit
Jacques Barth (vanuit Stichting Brein & Hart i.o.)
Joyce Hes (adviseur Platform Bescherming Burgerrechten)
Kaspar Mengelberg (vanuit DeVrijePsych)

[1] Opt-out mogelijkheden zouden onder meer mogelijk moeten zijn bij: a) DBC-systematiek in de GGZ, b) alle vormen van centrale registratie en c) alle vormen van gebruik van biometrie. Als aantekening hierbij willen we stellen dat we als eerste prioriteit hebben om überhaupt voorzichtig te zijn met koppeling van bestanden en het gebruik van biometrie en centrale registraties, waar alternatieven zouden moeten worden overwogen.
[2] Op dit moment wordt de aantasting van grondrechten bijna als vanzelfsprekendheid doorgevoerd in het kader van bijvoorbeeld fraudebestrijding (sociale zekerheid) of kostenreductie (GGZ) waarbij de professionele autonomie en het vertrouwensbeginsel tussen behandelaar en patiënt worden aangetast, of bij “gewone” bureaucratische controle (onderwijs, politie e.d.). Naar onze mening wordt het tijd hierover een publiek debat te voeren waarin een bureaucratisch centralisme in combinatie met de zogenaamde marktwerking en instrumentalisme wordt gelegd naast een type benadering waarin professionele autonomie en grondrechten weer centraal staan.
[3] Nu zien we meer dan eens dat er sprake is van “vermijding” van formele wetgeving. De Tweede en Eerste Kamer moeten genoegen nemen met vage beloftes van een minister ‘dat het allemaal wel goed komt’ of zelfs soms aantoonbare onjuistheden. Dat wreekt zich met name op het terrein van de privacy. Als namelijk in de praktijk van de uitvoering een spanning gaat optreden met de Wbp kan de wetgever niet meer zo makkelijk en zeker niet met terugwerkende kracht alsnog gaan ingrijpen. Ook in dit verband kan een Privacy Impact Assessment nuttig zijn.
[4] Bart de Koning geeft een schatting van deze kosten in 2008 van 3,5 miljard euro in zijn boek Alles onder controle. Als we echter ook de immateriële kosten zouden berekenen van alle (eerstelijns) professionals die gedwongen worden een groot deel van hun tijd aan administratieve en inefficiënte controle-eisen te besteden wordt de rekensom veel groter.

Per 2 oktober as. zal het nieuwe College voor de Rechten van de Mens (CRM) zijn deuren openen. Onlangs stelde het College i.o. haar speerpunten voor de komende jaren vast, te weten 1) ouderenzorg, 2) vreemdelingen en 3) discriminatie op de arbeidsmarkt. Van alle mensenrechten is het in Nederland de laatste jaren echter het slechtst gesteld met het recht op privacy. In tegenstelling tot bovenstaande speerpunten (waarbij het om kwetsbare groepen burgers gaat), raakt dit iedereen die zich op Nederlands grondgebied bevindt. In wezen is de hele Nederlandse bevolking daardoor een kwetsbare groep geworden, zeker in vergelijking met andere landen waar de privacybescherming veel beter geregeld is. Enkele jaren geleden dreigde het recht op privacy in Nederland zelfs geheel illusoir te worden. In mei 2009 leidde deze constatering tot de oprichting van het Platform Bescherming Burgerrechten waarbij sindsdien diverse maatschappelijke organisaties zijn aangesloten. Deze week verstuurde het Platform onderstaande (door Privacy First mede-opgestelde en ondertekende) oproep aan de voorzitter van het toekomstige College voor de Rechten van de Mens, mw. mr. Laurien Koster:

Geachte mevrouw Koster,

Van alle mensenrechten staat het recht op privacy in deze tijd het meest onder druk. Het is dan ook met zorg dat het Platform Bescherming Burgerrechten onlangs kennisnam van de drie speerpunten van het College voor de Rechten van de Mens voor de komende jaren, te weten 1) ouderenzorg, 2) vreemdelingen en 3) discriminatie op de arbeidsmarkt. Zonder te willen afdoen aan het maatschappelijke belang van deze drie speerpunten, willen wij u middels deze brief in overweging geven om het thema privacy alsnog tot speerpunt van uw College te maken.

De laatste jaren is in Nederland een tendens te bespeuren waarbij ieder maatschappelijk probleem met een standaard-recept lijkt te worden benaderd, namelijk meer digitale registratie, meer koppeling van bestanden en centrale ontsluiting van systemen en databanken die voor steeds meer functionarissen en derde partijen toegankelijk worden, inperking van professionele autonomie, preventieve controle en profiling. Het lijkt erop of men, vooral in de politiek, gevoed door media en de vox populi – voor zover ook weer beïnvloed door de media – in deze instrumenten een beheersing van de samenleving ziet die tot meer orde en rust en veiligheid zou moeten leiden. Naar onze mening is het omgekeerde nu steeds vaker het geval. Digitalisering brengt namelijk met zich mee dat de hoeveelheid gegevens die over iedere burger wordt opgeslagen steeds groter, onoverzichtelijker en onbeheersbaarder wordt. Dit geldt des te meer voor gegevens die foutief zijn ingevoerd, verkeerd gekoppeld of verouderd zijn. Met de exponentiële toename van digitale registraties nemen de risico's van datalekken navenant toe en ontstaan nieuwe vormen van identiteitsfraude en -diefstal. Daarmee wordt de onveiligheid van digitale systemen een onveiligheid die burgers direct bedreigt. Daarnaast is er een risico dat burgers door digitale profilering verworden tot hun digitale 'dubbelgangers'. De autonomie van de vrije en participerende burger die zo belangrijk is in een democratische rechtsstaat komt daarmee ernstig in gevaar.

Terug naar een maatschappij zonder internet of digitale bestanden is iets wat wij geenszins voorstaan (zo dat al mogelijk zou zijn). Echter een verstandig gebruik van technische middelen, waaronder dataopslag en biometrie en andere technische verworvenheden, zal noodzakelijk zijn willen wij onze democratische rechtsstaat met de bijbehorende grondrechten overeind houden. Juist in deze tijd van onvoorziene technische mogelijkheden moeten wij ons eens temeer realiseren hoe belangrijk de grondbeginselen van onze samenleving zijn. Iedere keer zal dan ook een afweging moeten plaatsvinden waar de grenzen van het toelaatbare liggen en hoe eventuele alternatieven in de menselijke sfeer zoals meer persoonlijk contact maar ook hulp en dienstverlening wenselijk dan wel noodzakelijk zijn.

Privacy vormt de basis van onze democratische rechtsstaat. Zonder privacy raken talloze andere mensenrechten in het geding, waaronder het recht op vertrouwelijke communicatie en vrije meningsuiting, non-discriminatie, vrijheid van beweging, vereniging en vergadering, demonstratie, cultuur en religie, persvrijheid en het recht op een eerlijk proces. Daarnaast constateren wij dat het recht op privacy in Nederland slechts fragmentarische bescherming door overheidstoezicht geniet, namelijk voor zover het de bescherming van persoonsgegevens betreft. Van overheidstoezicht op de bescherming van de persoonlijke levenssfeer in de bredere zin des woords (inclusief het huisrecht en het recht op lichamelijke integriteit) is nauwelijks sprake. Overheidstoezicht op de naleving, bescherming, verwezenlijking en promotie van het recht op privacy in samenhang met andere mensenrechten ontbreekt bovendien geheel. Juist op deze terreinen heeft uw College toegevoegde waarde en kan het 'mensenrechtelijke gat' dat de laatste decennia in Nederland is ontstaan, worden gedicht.

Wij hopen dat uw College het recht op privacy alsnog tot speerpunt zal maken. Desgewenst zullen de organisaties die tezamen het Platform Bescherming Burgerrechten vormen u daarbij graag van informatie en advies voorzien.

Namens de deelnemers aan het Platform Bescherming Burgerrechten verblijf ik,
hoogachtend,

Vincent Böhre
voorzitter Platform Bescherming Burgerrechten

Namens de volgende Platform-deelnemers:
Humanistisch Verbond
Stichting KDVP
Stichting Meldpunt Misbruik ID-plicht
Ouders Online
Stichting Privacy First
Burgerrechtenvereniging Vrijbit
Jacques Barth (vanuit Stichting Brein en Hart i.o.)
Joyce Hes (adviseur Platform Bescherming Burgerrechten)
Kaspar Mengelberg (vanuit DeVrijePsych)

Een pdf-versie van deze brief staat HIER online.

Update: in een schriftelijke reactie laat het College i.o. weten dat er in Nederland inderdaad "nog veel te doen is op het terrein van het beschermen van het recht op privacy." Tevens erkent het College het beperkte mandaat van het College Bescherming Persoonsgegevens. Vooralsnog houdt het College voor de Rechten van de Mens echter vast aan zijn voorgenomen strategische agenda. Desalniettemin "kan en zal" het College "in de toekomst (ook de komende drie jaar) niet wegblijven van problemen bij het realiseren van het recht op privacy." Privacy First zal het College daar in urgente gevallen graag aan herinneren.