Tien jaar geleden hield premier Netanyahu de openingstoespraak van de conferentie waarmee de OESO de 30e verjaardag van de OESO Privacy Guidelines vierde. Hij eindigde met de opmerking dat iedereen de mogelijkheid moet hebben om zijn dromen na te jagen, zonder bang te zijn dat zijn fouten hem achtervolgen. Hij vroeg zich af of het niet makkelijker zou moeten worden om je “digitale ik” te (laten) verwijderen.

We laten vele keren per dag digitale sporen na in de datasystemen van overheden en bedrijven. Niet alleen worden ons dagelijks gedrag en prestaties grotendeels vastgelegd, maar ook onze uitspattingen, onze dromen en angsten, ons geluk en ons verdriet vinden hun weg naar de Digitale Hooiberg. En die hooiberg wordt steeds groter.

Explosieve groei

Volgens het IDC zal de mensheid in 2025 naar schatting 175 zettabytes (dat is 175 miljard terabytes) aan digitale informatie hebben opgeslagen (NB. Toen Netanyahu zijn woorden uitsprak, stond de teller nog maar 1,2 zettabyes). Indrukwekkende cijfers, maar het is vooral de explosieve groei van de Digitale Hooiberg die opvalt. Alleen al in 2020 kwamen er naar schatting 59 zettabytes bij.

Uiteraard omvat dit alle digitale informatie en niet alleen persoonsgegevens, maar dit feit maakt wel duidelijk dat het principe van dataminimalisatie als regulerend beginsel voor privacybescherming een illusie is geworden. De moderne informatietechnologie biedt ook nog eens de mogelijkheid om al die gegevens in razendsnel tempo te verzamelen, te kopiëren en te verspreiden.

Security-goeroe Bruce Schneier noemde deze proliferatie van data al de “vervuiling van het informatietijdperk”. Daarmee een vergelijking trekkend met de milieuvervuiling in de 20e eeuw, als gevolg van de industrialisatie.

Welke persoonsgegevens hebben we eigenlijk in huis?

Deze datavervuiling leidt ertoe dat bedrijven en overheden vaak niet meer zullen weten welke persoonsgegevens ze nu precies in huis hebben. Laat staan dat ze weten waarom ze die in huis hebben, of de data rechtmatig is verzameld, hoe men aan de data is gekomen, waar die gegevens zich exact bevinden of waar die gegevens allemaal gebruikt worden. Gegevens zitten immers nog maar gedeeltelijk in mooi gestructureerde, goed beveiligde en zorgvuldig beheerde databases.

Van veel persoonsgegevens bestaan talloze kopieën in e-mailbestanden (“reply to all”), sharepoint-omgevingen (de ‘do-it-yourself-database’), en harde schijven (“save as / copy to”). En steeds vaker bevinden de persoonsgegevens waar uw organisatie verantwoordelijk voor is, zich ook in de cloud in allerlei shadow IT-oplossingen van uw medewerkers. 

We zijn de regie kwijt

Uw organisatie heeft de regie over die data-hooiberg waarschijnlijk allang verloren. Steeds vaker is de gegevensverwerking het initiatief en de feitelijke verantwoordelijkheid van mensen in de organisaties, buiten de leiding en de supervisie van het management.

We kunnen dikke DPIA’s schrijven over office pakketten en data die door bedrijven zoals Microsoft en Google verwerkt worden, maar het échte probleem zit ‘m in het feit dat uw medewerkers daarmee ongebreideld en ongecontroleerd soms zeer privacygevoelige informatie kunnen verwerken. Die toegenomen individualisering van gegevensverwerking heeft zich – naar mijn mening ten onrechte – nog niet vertaald naar een individuele juridische verantwoordelijkheid.

Het wordt langzamerhand tijd om eens te gaan nadenken over nieuwe schulddelicten gerelateerd aan onzorgvuldig informatiebeheer. Zoiets als een “digitale brand door schuld”. Als alle huizen van hout zijn, is onvoorzichtigheid met vuur ten slotte ook een misdrijf.

Is het recht om vergeten te worden wel realistisch?

Het is met zoveel data in uw data-hooiberg dus nog maar de vraag of het “recht om vergeten te worden”, zoals artikel 17 AVG dat voorschrijft, realistisch is. Het lukte Thoetmosis III al niet om de naam van zijn stiefmoeder Hapsjepsoet overal weg te laten hakken in de tempels van Karnak, dus waarom zou het ons in onze wereldwijde informatiesamenleving waar data de wereld overvliegt van server naar server dan wel lukken? Artikel 17 AVG komt mij dan ook vooral voor als een staaltje symboolwetgeving. Waarmee eerder het morele uitgangspunt tot uitdrukking wordt gebracht dat iedereen, zoals Netanyahu zei, zijn dromen mag najagen zonder achtervolgd te worden door zijn digitale schaduw, dan dat mensen daaraan ook een effectief recht op verwijdering van alle kopieën van hun persoonsgegevens zouden moeten kunnen ontlenen. In de data-hooiberg kunnen persoonsgegevens helaas niet “met één druk op de knop” worden gewist; nog los van de vraag of het praktisch uitvoerbaar is.

Op zoek naar de spelden in de hooiberg

We hebben al ruim 30 jaar privacywetgeving in Nederland, waarvan de basisprincipes ook al ruim 30 jaar hetzelfde zijn: doelspecificatie, dataminimalisatie, doelbinding, transparantie, datakwaliteit, beveiliging, rechten van betrokkenen en accountability. Tot de AVG van kracht werd, hebben we het belang van privacybescherming echter vooral met de mond beleden. Privacy was de verantwoordelijkheid van de juridische afdeling en niet van managers. Bovendien gold jaren het adagium dat als je niks te verbergen had, je ook niks te vrezen had. Dat die stelling volstrekte onzin is, heeft de toeslagenaffaire wel laten zien. En dus zitten we met z’n allen op 30 jaar oude digitale hooibergen die alleen maar groter worden.

Het is een illusie dat we die hooibergen ooit kleiner kunnen maken (dataminimalisatie). Maar we kunnen er wel voor zorgen dat we oude data op een gegeven moment weggooien (dataretentiebeleid), en dat we actief – en niet alleen als de betrokkene daarom vraagt – op zoek gaan naar de spelden in onze hooibergen (rechtmatigheid, datakwaliteit). Want zoals de toeslagenaffaire heeft laten zien kunnen de gevolgen daarvan voor de mensen venijniger zijn dan alleen een prikje!


Terug naar het overzicht