In haar opiniestuk in de NRC van dinsdag 5 juni, stelt Sylvia Roelofs van ICT Office terecht dat ICT niet noodzakelijkerwijs de privacy schaadt. Er bestaan zeker ook technologische mogelijkheden om de privacy te beschermen. Dat is het probleem echter niet.

Roelofs blik op de privacy problematiek vertekent het beeld. Zij beschouwd privacy als een beveiligingsprobleem: overheid en bedrijfsleven zou er veel aan gelegen zijn om te voorkomen dat kwaadwillenden privacy gevoelige gegevens inzien. Om die reden vind ze dan ook dat het College Bescherming Persoonsgegevens (CBP) niet zou moeten aandringen op strengere sancties. Alhoewel bedrijven en instellingen bij het beschermen van aan hen toevertrouwde gegevens bij tijd en wijle zeer grote steken laten vallen, is dat grosso modo wel waar. Dit komt overigens mede door de eisen die de wet op de bescherming persoonsgegevens (WBP) stelt.

Waar het juist om gaat is dat de overheid en de informatie verzamelende bedrijven zelf misbruik kunnen maken van privacy gevoelige gegevens. De overheid verruimt telkens de wettelijke mogelijkheden om informatie over haar burgers te (laten) bewaren en op te kunnen vragen. Zo kan er nu al informatie over U verzameld worden bij een aanwijzing van betrokkenheid bij een strafbaar feit (waarbij de poging tot samenspanning tot een terroristische daad al zo’n strafbaar feit is!).

Bedrijven verzamelen op dit moment grote hoeveelheden informatie over hun klanten terwijl dit helemaal niet nodig zou zijn. Een voorbeeld hiervan is de OV chipkaart. Deze legt Uw reisgedrag feilloos vast in een database. Deze gegevens worden voor marketingdoeleinden beschikbaar gesteld aan de OV bedrijven. Bovendien is deze database ook interessant is voor politie en justitie bij de opsporing en vervolging van misdrijven. En dat terwijl een volledig privacy vriendelijke inrichting van de OV chipkaart (inclusief anonieme abonnementen) zeker mogelijk is.

Waarom worden dergelijke privacy enhancing technologies (PET) dan niet gebruikt? Daar zijn een aantal redenen voor. Ten eerste is informatie, ook persoonlijke informatie, voor bedrijven geld waard. Ken uw klant is vaak het devies. Ten tweede is die informatie nodig voor de interne bedrijfsvoering: denk bijvoorbeeld aan de gespecificeerde telefoon rekening. Ten derde kent de wet niet veel beperkingen, welke ook redelijk eenvoudig te omzeilen zijn. Bij overtreding zijn de sancties bovendien niet zo groot. En ten vierde: de gebruikers vinden het allemaal niet zo belangrijk, lijkt het. Met andere woorden: er is geen markt voor privacy vriendelijke ICT oplossingen, die wel degelijk geld kosten om te implementeren.

Hoe veranderen we die situatie? Naast het CBP ligt daar een rol voor de overheid, en de bedrijven en consumenten zelf. Vaak verzamelen bedrijven, zonder dat zelf te weten, veel meer informatie dan ze nodig hebben voor de bedrijfsvoering. We kunnen ze een spiegel voorhouden en voorbeelden laten zien hoe dat, met nieuwe technieken, ook minder kan. Sancties en financiële prikkels kunnen de balans ook doen omslaan. Zo is nu al een, onbedoeld, effect van de bewaarplicht dat bedrijven liever minder informatie verzamelen: want alle informatie die ze wel verzamelen moeten ze voor langere tijd tegen hoge kosten opslaan. Striktere wetgeving en zwaardere sancties door het CBP werken ook mee. En een betere bewustwording bij de consument, over de hoeveelheid informatie die over hem wordt verzameld en welke consequenties dat kan hebben, is ook belangrijk. Wellicht dat dat resulteert in een groeiende vraag naar diensten die wel rekening houden met de privacy van de gebruiker.

De overheid speelt daarin een belangrijke rol. Niet alleen als wetgever, of als gebruiker van dergelijke informatie. Maar ook als initiator van nieuwe diensten en concepten als het nieuwe paspoort, de DigiD of het Burger Service Nummer (BSN). Daarin heeft de overheid een voorbeeldfunctie. Een verantwoordelijkheid die ze niet altijd op zich lijkt te willen nemen: privacy wordt ook hier vaak ondergeschikt gemaakt aan andere belangen.

Aan ons om onze overheid daar op aan te spreken.

[Een verkorte versie van dit artikel is verschenen als ingezonden brief “Technologie en privacy als bondgenoten” in de NRC van woensdag 20 juni, 2007]