Juristen en de overheid worstelen met de digitale wereld. In hun streven om wetten en regels te maken die over informatie gaan, doen ze alsof die wetten primair worden gemaakt voor de niet-digitale wereld. En pretenderen ze de regels zo te maken dat ze tijdloos zijn. Daarom bedenken ze eigen termen en definities. Dat is onhandig, want alle informatie is tegenwoordig digitaal, en dat zal nog wel even zo blijven. Het resulteert in spanning tussen juridische beschrijvingen en de digitale werkelijkheid.
Zo’n situatie doet zich voor bij de WBP, de Wet Bescherming Persoonsgegevens; en ook in de Europese Dataprotection Directive – die grotendeels met de WBP overeen komt. Persoonsgegevens worden daarin gedefinieerd als “gegevens die herleidbaar zijn naar een natuurlijk persoon”. Voor zulke gegevens is een “passend niveau van bescherming” vereist. Ook wordt gesproken over “doorgegeven” en “verwerken” van gegevens.
Degenen die dat bedachten hadden duidelijk geen verstand van informatietheorie. Er is een fundamenteel verschil tussen gegevens (de data) en informatie. Gegevens, data, zijn op zich kleurloos – het zijn bitjes op een schijf. Er zijn geen verschillende soorten gegevens. “Persoonsgegevens” bestaan dus helemaal niet. Ook “doorgeven” bestaat niet, want bij datatransfers maak je een kopie. Als je echt data wilt “doorgeven” dan moet je van alles doen om er voor te zorgen dat na die handeling de bron niet meer bestaat. Evenmin bestaan “verwerken” en “herleiden”. Allemaal begrippen waar een computer niet veel mee kan. De WBP spreekt dus alleen over gegevens.
Informatie, waar het in feite om moet gaan, wordt in die wet helemaal niet genoemd. Dat breekt ons zo langzamerhand stevig op. In allerlei debatten gaat het over gegevens, terwijl zelden duidelijk word gemaakt welke informatie daaruit kan worden gehaald en wat er met die informatie wordt gedaan.
Ik illustreer het verschil tussen gegevens en informatie met een voorbeeld. Lisette Meij van ICTrecht stelt in een betoog op ISPtoday dat anonieme gegevens geen persoonsgegevens zijn. Foto’s van willekeurige auto’s in mijn digitale album zijn dus geen persoonsgegevens. Ook al bevatten die foto’s gegevens over de datum en locatie. Maar zodra ik later de beschikking krijg over een lijst met namen en kentekens, en er foto herkenningssoftware op los laat, zijn die foto’s met tijd en locatie herleidbaar geworden naar een persoon. En zijn daarmee volgends de WBP op automagische wijze (geen typefout) veranderd in persoonsgegevens. Welke gegevens in mijn systeem moet ik dan alvast beschouwen als persoonsgegevens?” vraagt een informaticus terecht.
“Dat hangt er maar van af” is de voorspelbare reactie van de jurist. En de informaticus weet nog steeds niet waar hij aan toe is. Wel dat hij met de wijsheid achteraf kan worden afgerekend op het feit dat hij onvoldoende rekening hield met de WBP. Want, nu iemands privacy is geschonden “had hij toch kunnen weten dat foto’s met kentekens persoonsgegevens waren?”
Het was een stuk handiger geweest als de wetgever gewoon de informatietheorie had gebruikt. De juiste basisterm had “persoonsinformatie” moeten zijn. Informatie bestaat namelijk wel. Een computer, of degene die de computer bedient, creëert informatie uit gegevens. Persoonsinformatie is informatie die je maakt en die betrekking heeft op een natuurlijk persoon. Door te spreken over informatie in plaats van over gegevens komt de nadruk te liggen op de handeling: het creëren- en vervolgens toegankelijk maken van informatie, uit gegevens. Als we de wetgever een beetje tegemoet willen komen dan noemen we dat “herleiden”. Dat snappen juristen ook veel beter: het beoordelen van iets dat je doet in plaats van het beoordelen van wat iets is.
De handeling, het maken van informatie, zou heel goed geregeld kunnen worden in de WBP. Je kunt dan zeggen: Persoonsinformatie mag je herleiden (uit gegevens) als je daar toestemming voor hebt gekregen. Wie mag die toestemming dan verstrekken? Juist, de natuurlijke persoon waar het over gaat, de WBP noemt die “de betrokkene”. Of een rechter commissaris, als je ergens van verdacht wordt. Wie nog meer? Precies, helemaal niemand anders! Mogen geheime diensten het wel? Misschien, daarover kunnen we discussiëren. Mag degene die de toestemming heeft gekregen, de verantwoordelijke noemt de WBP die, de informatie publiceren, of ontsluiten naar derden? Nee, wederom, niet zonder jouw toestemming.
En hoe zit het dan met de gegevens zelf? Vaak hoor je dat het opslaan en bewaren van veel gegevens het probleem is. Dat schaadt de privacy zo wordt beweerd. Dat met veel gegevens het risico groter wordt bestrijd ik niet, maar het proberen te verminderen van opslag is een aanpak die niet werkt. We bewaren met elkaar inmiddels oneindig veel gegevens. Zoveel dat er een hele nieuwe industrie is ontstaan rond “big data”. Dat houd je echt niet meer tegen. Bovendien zijn data heel moeilijk echt te wissen. Je weet nooit waar nog een back-up of kopie rondzwerft. Zouden we onze pijlen niet langer richten op de harde schijven, maar op het maken van informatie, dan ontstaat een heel andere dynamiek en ethiek rond informatie en privacy.
Moet je gegevens beschermen? En de ene soort gegevens beter dan de andere? Wat is “passende bescherming”? Het eerdergenoemde voorbeeld laat zien dat het onderscheid tussen “soorten” gegevens niet bestaat. Alleen met de wijsheid achteraf, als er informatie is ontstaan, kan je beoordelen of je gegevens voldoende hebt beschermd.
Als beschermer moet je dus met het ergste scenario rekening houden. Namelijk dat de gegevens die jij opslaat in de toekomst mogelijk zodanig worden gecombineerd dat er persoonsinformatie mee wordt gemaakt. Die iemands privacy kan schenden. De techniek maakt de keuze makkelijk: informatie is ofwel publiek toegankelijk, of niet.
Kortom, bescherm niet-publieke informatie met in het achterhoofd dat in de toekomst de onderliggende gegevens kunnen worden misbruikt. Hoe goed je die gegevens moet beschermen hangt dus niet af van de WBP maar van risico’s van de digitale wereld in het algemeen.
Als je deze redenering consequent doortrekt kom je op andere oplossingen voor tal van problemen, waaronder het befaamde patiëntendossier. Ook de bewaarplicht krijgt een andere perspectief. Niet de gegevens zijn het probleem maar het genereren van informatie door mensen die dat helemaal niet mogen.
Samengevat: Persoonsgegevens bestaan niet. Persoonsinformatie bestaat wel. Gegevens waaruit je informatie kunt maken die niet voor iedereen bestemd is moet je beschermen. En het maken van persoonsinformatie moet je mogen. Zo simpel kan het zijn. Of liever gezegd: had het moeten zijn.
Michiel Steltman, directeur DHPA
