“Nee, dat herken ik nou helemaal niet!” Jacob Kohnstamm, sinds 2004 voorzitter van het College Bescherming Persoonsgegevens (CPB), klinkt even gedecideerd als optimistisch. “Thee? Ik heb net gezet.”

Ik knik, toch een tikje verrast. Zonet heb ik hem gevraagd wat we toch aanmoeten met die houding van ‘als je niks te verbergen hebt, kan je toch ook niks gebeuren’, kortom, het geweldige schouderophalen dat zich van moderne Nederlanders meester maakt zodra het over privacy gaat.

“Ga maar na,” gaat Kohnstamm verder als hij thee heeft ingeschonken – hij telt af op de omhooggestoken vingers van zijn linkerhand: “Als het gaat over het EPD, het Elektronisch Patiëntendossier, de bonuskaart van Albert Heijn, de OV-chipkaart, of nu weer de NSA, dan doen mensen daar helemaal niet schouderophalend over. Dat gebeurt pas als mensen zich moeten afvragen: ‘ja maar, wat moet ík daar nou aan doen?’ En dat vind ik ook niet gek, want het antwoord is buitengewoon gecompliceerd. Maar het kan ze wél schelen. NRC, Het Financieele Dagblad, Vrij Nederland – allemaal schreven ze de laatste weken over privacy en de relevantie daarvan voor een enigszins fatsoenlijke, op vertrouwen gebaseerde samenleving. Iedereen ziet echt wel in hoe essentieel dat is, mensen vóelen het ook zo. Het NSA-schandaal, het optreden van Edward Snowden, was een blessing in disguise. Het heeft iedereen weer behoorlijk wakker geschud, dat plotselinge besef dat ergens in Amerika ons hele doen en laten ligt opgeslagen.”

Achter Kohnstamm schijnt door de hoge ramen van zijn werkkamer, thuis aan een opgeruimde Amsterdamse gracht, een dapper januarizonnetje naar binnen.

Misschien ziet de wereld er toch minder somber uit dan we weleens denken?

“Nou, je kunt toch niet ontkennen dat het leeft – dat het behóórlijk leeft zelfs, althans voor zover mensen kunnen overzien wat er gebeurt. Kijk, je moet ze natuurlijk niet gaan vertellen dat ze niet meer met een telefoon moeten rondlopen en niet meer mogen internetbankieren, dat je je feitelijk in een soort kluizenaarsbestaan moet terugtrekken omdat je het anders wel kunt vergeten. Dan halen ze inderdaad hun schouders op en laten ze de boel verder de boel. Je moet ze zoiets ook niet willen vertellen, want diezelfde technologie die je privacy kan aantasten, is ook heilzaam en leuk. Het probleem is dat er zoveel onzichtbaar is, waardoor je niet doorhebt wat er gebeurt. Als ik mensen ga vragen of ze allerlei spionnen in hun huis zouden toelaten, dan zeggen ze allemaal nee. En als je ze vraagt of ze die op hun apparaten zouden toelaten, dan zeggen ze ook nee, terwijl je er donder op kunt zeggen dat op een doorsnee laptop alleen al eerder honderden dan tientallen cookies staan – dat zien mensen niet, dat weten ze niet.”

Moeten we het dan niet over een andere boeg gooien, een andere, nieuwe manier vinden om duidelijk te maken waar het bij privacy om draait?

“Over een andere boeg, nou… Ik denk dat we veel beter kunnen proberen om bij tijd en wijle een behoorlijke vis aan de haak te slaan, om daarmee duidelijk te maken wat er allemaal gebeurt en hoe je daartegen kunt optreden. Dat is iets voor mijn organisatie. Daarnaast is de politiek er al druk mee bezig. In het regeerakkoord staan prachtige dingen over privacy – en die worden ook ten uitvoer gelegd. En in Brussel gaat het voor een belangrijk deel over de nieuwe Europese privacyverordening. Het parlement kwam met maar liefst 3500 amendementen op het voorstel van de Europese Commissie. Nog nooit vertoond! Dat gebeurt niet met dingen die niemand echt kunnen schelen.”

Maar bij Albert Heijn zie ik iedereen als makke schapen zijn bonuskaart overleggen, korting of geen korting.

“Ja, maar je kunt ook een anonieme kaart krijgen. Dus maken mensen hier echt gewoon een eigen vrije keuze. En kijk hoe het werkt: toen AH met zijn nieuwe kaart wilde beginnen, wilden ze alles van je weten om je gepersonaliseerde aanbiedingen te kunnen doen. Na één briefje van ons werd de hele operatie stilgezet. Want wat ze in geen geval wilden, was in de krant komen met: Albert Heijn is privacy-onvriendelijk bezig met een volgsysteem. Vervolgens hebben ze het systeem zo veranderd dat het nu Wbp-proof is…”

Wbp-proof?

“Wbp is de Wet bescherming persoonsgegevens, onze maatstaf. Naar aanleiding van de publiciteit rond de bonuskaart van AH ging een andere supermarkt adverteren met: ‘Vindt u het ook zo vervelend dat u bij AH al uw gegevens moet inleveren voor een beetje korting? Wij ook, dus bij ons krijgt u die korting zonder kaart.’ Dat is niet alleen grappig, het laat zien dat privacy inmiddels zelfs een unique selling point is geworden.”

Is er dan echt iets aan het kantelen?

“Absoluut, en niet zo’n beetje ook.”

En in hoeverre is dat op het conto te schrijven van het CBP?

“Nou, Snowden heeft natuurlijk een veel grotere klap uitgedeeld, maar wij hebben zeker een bijdrage geleverd. Een flinke stap naar voren was onze strategiewijziging van meedenken en adviseren naar handhaving. Dat meedenken was nuttig, maar bleef wel heel onzichtbaar. Veel beter ging het publicitair met ons gevecht om de OV-chipkaart, bij het Elektronisch Patiëntendossier, en met onze waarschuwingen over het rekeningrijden, ook al zijn dingen soms om allerlei andere redenen weer anders gelopen. We krijgen nu ook steeds meer vragen en verzoeken van de pers, alleen vorig jaar al twintig procent meer. En van de Wetenschappelijke Raad voor het Regeringsbeleid kregen we vorig jaar een pluim omdat we zo begrijpelijk uitleggen wat we doen en waarom.

“De Arbozaak van een paar jaar geleden laat mooi zien hoe we een bal aan het rollen kunnen brengen. Toen de publieke Arbodiensten werden geprivatiseerd, gingen ze de grenzen van de wet opzoeken – en prompt kwamen er aanwijzingen dat er dingen scheef zaten. Toen zijn we bij Arbobedrijven en hun klanten dezelfde dossiers gaan opvragen. En jawel hoor, medische gegevens waren een-op-een bij de werkgevers terechtgekomen. Je hoeft de 81 artikelen van de Wbp niet door te ploegen om te snappen dat dat niet kan. De Arbobedrijven schrokken er zelf ook van, en hoewel we nog steeds niet tevreden zijn, gaat het de goede kant op. Er zijn trouwens uit die zaak ook cursussen ontstaan voor advocatenkantoren: ‘Wat doet u als het CBP bij u een inval doet’. Kijk, dat laat zien dat ze je serieus nemen.

“Of neem de apothekers, waarvan we ontdekten dat ze herhaalrecepten via een onbeveiligde verbinding verstuurden. Dat heeft de branche meteen zelf opgepakt. Dat is wat je probeert te bereiken, met een strategie gericht op handhaving, gekoppeld aan goede communicatie. Sectoren wakker schudden door te laten zien wat we doen, maar ook wat mensen aangedaan wordt. Het is nog niet genoeg, het kan vast harder en beter, maar we sorteren serieus effect.”

En nu?

“De volgende stap wordt de boetebevoegdheid, die komt in Nederland in 2015, met maxima van 450.000 tot 750.000 euro.”

Hm, daar schrikt een gigant als Google toch niet van?

“Nee, maar de meeste Nederlandse bedrijven nog wel. En in de Europese conceptverordening staat een maximale boete van twee procent van de bruto internationale omzet, waar het Europese Parlement vijf procent van wil maken.”

Vijf procent, dat kunnen een boel bedrijven helemaal niet hebben!

“Precies, dat zijn echte tanden. Ik hoop dus dat ik hem nooit hoef te gebruiken, maar de boetebevoegdheid legt privacy wel op de bestuurstafel. Het betekent dat privacy niet meer een uitvoeringsprobleempje op de werkvloer is, maar dat de baas gaat vragen: ‘Jongens, mag dat zo maar? Is dit Wbp-proof?’ Zo krijg je privacy by design.”

En je kunt ineens een zachte waarde als privacy kwantificeren, in geld uitdrukken!

“Ja, ja, precies. Dat je in een winkel meteen naar Chanel N°5 geloodst wordt omdat je dat de vorige keer ook kocht, is vervelend, je voelt je bekeken, maar je gaat er niet om procederen. Dus het kost niks. En zo is het ook met ergere privacy-inbreuken, ze lijken toch vooral een kwestie van immateriële schade – zo denkt het slachtoffer, de burger, trouwens ook. Maar als je dat voor bedrijven kunt vertalen in fikse materiële schade, dan kijken ze wel twee keer uit.

Dus begrijp me goed, we zijn er nog lang niet, maar er is een begin. We moeten er bijvoorbeeld nog goed over nadenken hoe we het gebied populair maken.”

Nu even praktisch: het CBP gaat over Nederland. Dat zal in de baksteenwereld nog wel werken, maar wat nu als ik last krijg met een internettent uit Bulgarije? Moet ik dan in Sofia aankloppen?

“Nee, dat gaat niet. Internet is grenzeloos, daar moet je dus ook grenzeloos handhaven, of op z’n minst op Europese schaal. Ik ben een groot voorstander van wat heet one stop shop. Dat werkt zo: Elk bedrijf valt onder de toezichthouder van het land waar zijn hoofdvestiging zit. Alleen die toezichthouder treedt op tegen zo’n bedrijf en is daarvoor ook het aanspreekpunt. Maar jij en ik klagen bij de toezichthouder in ons eigen land, en die legt de klacht bij de juiste hoofdtoezichthouder op tafel. Zo heeft iedereen altijd maar met één partij te maken, die dichtbij zit en waar je je goed mee kunt verstaan.”

Maar nu moeten die toezichthouders met hun verschillende wetten het nog eens worden.

“Ja ja, en om oeverloos gepalaver en onbruikbare compromissen te voorkomen, willen we in de verordening opnemen dat bij elke kwestie de hoofdtoezichthouder de leiding krijgt en na goed overleg zo nodig de knoop doorhakt. Maar daarvoor moet dus iedereen een klein stukje autonomie offeren. Het Parlement snapt dat wel, maar in de Raad van Ministers… puur nationalisme wat de klok slaat. Engeland wil helemaal niks Europees regelen, Duitsland vind dat alles volgens de Duitse normen moet want die zijn perfect, enzovoort. Daar zit de boel nu min of meer op vast. Maar juist daarom moet de verordening er nu ook echt komen, want met één wetgevend kader maakt het al veel minder uit wie in een gegeven geval de leidende toezichthouder is.

“Trouwens, zelfs op wereldschaal kunnen we door samenwerking al wat. Neem Googles nieuwe alomvattende privacyregeling. Die zegt min of meer: met alle gegevens die we van u krijgen, kunnen we doen en laten wat we willen. Vaak zonder effectieve opt-out-mogelijkheid. Op ons initiatief proberen we dat nu met zes landen aan te pakken: Spanje, Italië, Frankrijk, Engeland, Nederland en Hamburg – dat is omdat de Duitsers dit soort dingen op deelstaatniveau doen. Het lijkt erop dat de zaak nu bij de top van Google op tafel ligt met de opdracht: los het op. Dat was natuurlijk met een briefje vanuit de Juliana van Stolberglaan in Den Haag alleen nooit gelukt.”

Oké, wat betreft de verhouding tussen burgers en het bedrijfsleven is het perspectief dus niet ongunstig. Maar hoe zit het tussen burger en de overheid?

“Daar gelden natuurlijk de nationale grenzen wel. Een echt Nederlands probleem is bijvoorbeeld de decentralisatieoperatie waarbij de Jeugdwet, AWBZ en de Participatiewet, allemaal vol bijzondere, heel gevoelige persoonlijke gegevens, op het bordje van de gemeentes geschoven wordt, met als doel één persoon – één hulpverlener. Bij multiprobleemgezinnen is er inderdaad veel te zeggen voor het bundelen van alle informatie, maar dan heb je het over minder dan vijf procent van de gevallen. Wat gebeurt er met die andere 95 procent? Hoe zeker weten we dat gemeenten daar zorgvuldig mee om zullen gaan? Stel je voor dat iemand bij de balie komt voor een nieuw paspoort en zo’n vriendelijke juffrouw zegt: ‘Gut mevrouw, hoe is het nu met de schuldhulpverlening?’ Dan zijn de poppen aan het dansen en is het vertrouwen in de overheid foetsie. Wij vinden dat daarvoor wetgeving moet komen, met duidelijke grenzen en kaders.

“Maar de toestand is wel zorgelijk. Er is bijvoorbeeld alleen onderzocht of de eenmalige overdracht van gegevens met betrekking tot de Jeugdwet fatsoenlijk geregeld is, maar het gaat natuurlijk veel meer om wat er daarna gebeurt, als de spullen eenmaal bij de gemeente liggen. Verder is er onvoldoende gekeken naar bijvoorbeeld AWBZ-gegevens, die deels naar de gemeentes en deels naar de verzekeraars gaan. Wij willen dat er een integrale assessment komt, om te bepalen welke waarborgen je echt moet stellen. En er spelen dubbele agenda’s, bezuinigingen. Toen ik tegen iemand die daarover ging zei dat maar in zo’n vijf procent van de hulpverleningsgevallen bundeling van gegevens een goed idee was, kreeg ik terug: ‘O, maar onze bezuinigingsdoelstelling is veel hoger dan vijf procent.’ Daar zit een gevaar.

“Ook bij Suwinet, het systeem waarmee gemeentes, het UWV en de Sociale Verzekeringsbank gegevens uitwisselen is het een zootje. Maar vier procent van de gemeentes had de zaken goed beveiligd, en bij zestien procent bleken gegevens van bekende Nederlanders zonder geldige reden geraadpleegd te zijn. Omgekeerd zagen we dat in sommige ziekenhuizen patiëntengegevens van vips extra beveiligd werden, dus voor zichzelf hadden ze het goed geregeld – maar dat zou zo voor iedereen moeten zijn.

Nog een punt waar we ons de eerstkomende tijd op gaan richten is het gebruik van persoonsgegevens in het kader van arbeidsverhoudingen. Sollicitanten googelen, dat is geaccepteerd. Referenties vragen vanouds ook. Maar mag ik een sollicitant vragen om mij een tijdje vriend op zijn Facebookpagina te maken? En zo niet, geldt dat dan ook als het om een baan in de beveiliging gaat, of een vertrouwenspositie? En wat mag er bij verzuim, bij ziekte? Mag je iemand dwingen om z’n LinkedIn-profiel bij te werken, of er een te maken als onderdeel van een outplacementprocedure of iets dergelijks? In hoeverre mag je je personeel volgen, bijvoorbeeld met camera’s? Onder meer daarover publiceren we op 28 januari, de Dag van de Privacy, als voorzet alvast een lijstje do’s en don’ts.

“Dat klemt allemaal des te meer omdat het internet niet vergeet. Wat je erop zet, krijg je nauwelijks meer weg. Terwijl je heel goede redenen kunt hebben om dingen over jezelf in elk geval niet permanent openbaar te maken. In mijn ogen is de essentie van mens-zijn dat je je ontwikkelt – en dus in zekere zin verandert. Ik heb lang geleden nog mee het Maagdenhuis bezet, maar daarom hoef ik toch niet levenslang met het stempel Maagdenhuisbezetter rond te lopen? Ik neem daar geen afstand van, begrijp me goed, maar het is gewoon meestal niet relevant. Zo vinden we ook dat bepaalde strafbare feiten die iemand begaan heeft, hem na zes jaar niet meer moeten worden nagedragen. Dat is een kernonderdeel van onze rechtsstaat. Zo’n droit à l’oubli, zoals de Fransen dat zo mooi zeggen, een recht om vergeten te worden, zou ook op het internet horen te bestaan, maar vooral technisch is dat nog niet zo simpel te realiseren. “Ik heb nog één hartekreet. Er worden te gemakkelijk dingen geroepen als: ‘Ach, mensen geven toch al hun gegevens maar moeiteloos weg, dus laat maar gaan’, onlangs weer door de scheidende voorzitter van de Raad van Toezicht van de AIVD. Daar moeten we echt afstand van nemen. Als ik gegevens verstrek bij het kopen van een telefoon, een OV-kaart of wat ook, of doordat ik iets zoek op het internet, dan heb ik geen keus, en ook geen invloed op wat er daarna mee gebeurt. Dat is de realiteit. Maar daarom zijn die gegevens toch nog niet zomaar vogelvrij? De verantwoordelijkheid voor een fatsoenlijke, gepaste omgang ermee moet liggen bij de ontvanger. Kijk, voor zover je ze zelf beheert, moet je dat zorgvuldig doen, maar met je gegevens gaat ook de verantwoordelijkheid voor het beheer over.”