Onlangs kreeg ik de vraag of het langer opslaan van meer persoonlijke informatie de privacy leidt tot een grotere privacy inbreuk. Dat lijkt een open deur, maar dat is het niet. Punt is namelijk dat in zekere zin ‘een beetje’ privacy niet bestaat: je hebt het wel, of je hebt het niet. Dat geldt in ieder geval als we ons beperken tot privacy in de zin van data protectie. De Wet bescherming persoonsgegevens (Wbp) legt een aantal eisen op aan het verwerken van persoonsgegevens. Als je aan de eisen voldoet, dan schendt je de privacy niet (en anders wel).

Binnen de Wbp speelt natuurlijk wel het begrip proportionaliteit een grote rol. Binnen dat kader kun je wel zeggen dat een maatregel meer of minder proportioneel is. Zo’n maatregel wordt al snel minder proportioneel naar mate je meer persoonlijke gegevens verzameld, en naar mate je deze gegevens langer bewaard. Doelbinding speelt ook een belangrijke rol binnen de Wbp. En rondom dat aspect kun je wel argumenteren dat naar mate je meer en langer data bewaard, er een groter risico is op data lekken, en er ook een groter risico bestaat op function creep (ie het gebruik van data voorbij het oorspronkelijke doel).

‘Een beetje’ privacy bestaat dus niet. Wel kun je iets zeggen over het risico dat iets verkeerds gebeurd met je persoonlijke gegevens. Dat neemt wel degelijk toe met de omvang van de gegevens en de duur van de opslag. Ook de complexiteit en de beveiliging van het verwerkende systeem speelt natuurlijk een rol.

Daarnaast is het zo dat het cumulatieve effect van het invoeren van nieuwe systemen die persoonlijke gegevens verwerken wel degelijk een steeds verder inperkend effect hebben op onze privacy. Dit komt omdat in de evaluatie van de proportionaliteit van een maatregel geen rekening gehouden hoeft te worden met wat andere systemen al aan gegevens verzamelen, en geen rekening gehouden kan worden met wat toekomstige systemen zullen gaan doen. Dat cumulatieve aspect is iets wat mee genomen zou moeten worden in de review van de ePrivacy directive en een eventuele update van het Wbp. Naast zoiets als ‘regeldruk’ bestaat er dus ook ‘privacydruk’.