Voor de Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19 zouden telecomaanbieders overgaan tot de verstrekking van geanonimiseerde, geaggregeerde verkeers- en locatiegegevens via het CBS aan RIVM. De te verstrekken gegevens worden daartoe ontdaan van alle direct herleidbare informatie (telefoonnummer, IMSI etc.) door ze te versleutelen en te voorzien van een nieuw identificatienummer (pseudonimisering). Bij een laag aantal, bijvoorbeeld in dunbevolkte gebieden, zou met een tussenstap het identificeren van personen beperkt worden.
Jaap-Henk Hoepman van de Radboud Universiteit toonde aan dat volkomen gewaarborgde anonimisering niet wordt bereikt. De vraag is ook of het identificeren vanuit de databerg onevenredig veel moeite kost en plausibel is. Bovenal is het politiek de vraag of dit al dan niet geringe risico opweegt tegen de baten van het voorkomen van Coronadoden. Daartoe zijn immers eerder in 2020 de meest privacyschendende maatregelen ooit genomen sinds de Tweede Wereldoorlog, zeker voor bejaarden.
AP of Tweede Kamer
Aanvankelijk zei ook de AP dat er een spoedwet mogelijk is en de democratische controle van het parlement telt. De AP had vervolgens net als de Raad van State vergaande kritiek op de toepassing en de tijdelijke wet. Wolfsen vindt dat de regering zich daar te weinig van aantrekt en regelde een interview met Trouw op 4 juli. De toon is suggestief, zoals zo vaak als het om privacykwesties gaat: ‘De data zijn niet onherroepelijk anoniem. Het RIVM is onderdeel van het ministerie van VWS. Dat heeft ook andere informatie, bijvoorbeeld van GGD’en. De vraag is: wat wordt aan wat gekoppeld? In de wet is dat niet duidelijk. Bovendien kunnen vervolgens ook politie en justitie bij die gegevens.’
Nog een toontje hoger suggestief: ‘De sfeer rond deze wet lijkt een beetje: het is wel handig deze data te verzamelen, je weet nooit waar het goed voor is.’ Dit is stemmingmakerij. Namens wie spreekt Wolfsen? ‘We worden veel gebeld door bezorgde burgers en telecomproviders. Dat maakt deze ongebruikelijke stap nodig.’ Dus de noodzaak wordt gevormd door KPN, Vodafone en T-Mobile die Wolfsen zouden bellen en ‘veel’ bezorgde burgers. Hij hoeft geen namen te noemen van de telecomproviders. Zelf lieten die geen bezwaren horen. En of de zorg van de burgers voor Corona groter is dan voor privacy is geen afweging van de Autoriteit Persoonsgegevens maar van de volksvertegenwoordiging.
Het wetsvoorstel is nu uitgekleed en de toepassing (‘app’) komt apart in de wet of gaat helemaal niet door. Ook is uit de wet gehaald dat het gezag ons privéleven kan controleren, wel een grote inbreuk op de persoonlijke levenssfeer. En of die app zin heeft, moet nog blijken. Het gaat in dit verhaal over de dwingende opstelling van de AP.
Bulgaren lives matter
Bulgaren en Turken pleegden op grote schaal fraude met toeslagen, uitkeringen en telefoonabonnementen. Vrijelijk spraken politici en media na de onthulling door RTL Nieuws van ‘Bulgarenfraude’, daarmee doelend op etniciteit (sociaal-culturele groepsidentiteit) of tenminste – dubbele - nationaliteit. De Belastingdienst werd gekapitteld vanwege slecht opletten, staatssecretaris Frans Weekers ruimde het veld. We wilden dat de Belastingdienst fraude beter ging aanpakken.
In 2020 wordt de Belastingdienst juist gestraft voor het hanteren van etniciteit en dubbele nationaliteit. De data-analyse van de dienst deugt niet want is discriminerend. Ofschoon de hele affaire al uitgebreid besproken was, claimde de Autoriteit Persoonsgegevens nog de aandacht van de media: het werken met een tweede nationaliteit hartstikke fout was. Staatssecretaris Alexandra van Huffelen trok direct het boetekleed aan terwijl haar voorganger juist het veld moest ruimen omdat hij te slap was opgetreden tegen toeslagen- of Bulgarenfraude.
De Belastingdienst had volgens de AP al begin 2014 de dubbele nationaliteit moeten schrappen uit de systemen, dus precies toen de ‘Bulgarenfraude’ speelde. Maar wordt wel geacht om, bijvoorbeeld, van belastingplichtigen met een dubbele nationaliteit, op te sporen of ze box 3 vermogen zoals banksaldi of tweede woningen in dat andere land hebben. Wat bij hen veel vaker het geval is dan bij belastingplichtigen met louter een Nederlands paspoort. Het gaat om 1,4 miljoen mensen die de dienst niet allemaal jarenlang als fraudeverdachten mag kenschetsen, maar wel extra wil controleren.
Asielzoekers: daar tekenen
In korte tijd zijn op een derde terrein de privacyregels absoluut. NRC onthulde dat al sinds eind 2013 de politie een overeenkomst heeft met het Centraal Orgaan opvang Asielzoekers (COA) over het overnemen van privacygevoelige gegevens van asielzoekers zoals religie, etniciteit, naast naam, geslacht en geboortedatum. Dit wordt gebruikt tegen mensenhandel, misbruik van het asielsysteem, handhaving op incidenten in en rond opvangcentra en om criminaliteit onder asielzoekers op te sporen.
Asielzoekers, niet op de hoogte van de wetten noch onze taal machtig, mochten ‘bij het kruisje tekenen’ voor toestemming voor de registraties en overdracht aan de politie, om zodoende de praktijk te legitimeren. Maar wisten natuurlijk niet waarover het ging, zeker niet dat ze direct ook verdachten waren.
Het COA doet zelf onderzoek en ook de Autoriteit Persoonsgegevens begint een onderzoek. En zal over enkele maanden met Wolfsen achter de microfoons weer victorie kraaien dat het COA en de politie over de schreef zijn gegaan.
Terwijl ook dit een afweging van belangen moet zijn voor een democratie. Is het voor de uitvoering en handhaving van het asielstelsel noodzakelijk dat de politie registraties krijgt? Over een paar maanden wordt er weer geroepen dat er te laks wordt opgetreden tegen mensenhandel, criminaliteit en overlast van sommige asielzoekers.
Afweging maken
De grote vragen in al deze drie gevallen:
Hoe belangrijk is het doel?
Heb je van grote groepen mensen persoonsgegevens nodig om dat doel te bereiken?
Tot op welk punt is pseudonimisering mogelijk?
Hoe ga je van geaggregeerde gegevens naar identificeerbare personen?
Discrimineer je groepen mensen al dan niet onnodig?
Zijn dit politieke afwegingen voor de Tweede Kamer, of moet hier de Autoriteit Persoonsgegevens regeren met een eenzijdige blik?