De AVG, gegevensbescherming en positieve vrijheid
Op 25 mei 2018 werd in Nederland de Algemene Verordening Gegevensbescherming, wellicht beter bekend onder de afkorting AVG, ingevoerd. De invoering van de AVG werd vooral gekenmerkt door (het uitblijven van) miljoenenboetes, de angst voor miljoenenboetes en (soms verregaande) organisatieveranderingen uit angst voor miljoenenboetes. Vaak betekende dit het rigoureus terugbrengen van te verwerken persoonsgegevens, ook wanneer dit bij de uitvoering van werkprocessen tot extra inspanningen leidde. Voor organisaties vormde de AVG dan ook vooral een beperking en werd deze vaak als lastig of zelfs beklemmend ervaren. Toch zit er ook een positief aspect aan de AVG dat tot dusverre aanmerkelijk minder aandacht heeft gekregen. Dit aspect hangt samen met Europese regelgeving omtrent gegevensbescherming voorafgaand (en voor een belangrijk deel ook ten grondslag liggend aan) de invoering van de AVG. Een korte blik hierop helpt dan ook niet alleen om een deel van deze juridische context weer te geven, maar ook om een positiever licht op de AVG te kunnen laten schijnen.
Gegevensbescherming is binnen de Europese kaders nauw verbonden met privacy. Op dit moment is het juridisch gezien een grijs gebied of gegevensbescherming onderdeel uitmaakt van privacy of een eigen deelgebied is waaraan aanvullende rechten verbonden zijn (de verscheidene kaders verschillen wat dit betreft van inzicht), maar over de nauwe band tussen beide bestaat geen twijfel. Omdat het in deze context om natuurlijke personen gaat, kunnen we stellen dat het beschermen van gegevens van natuurlijke personen een manier is om de privacy van burgers te waarborgen. Om een contrast te schetsen, wil ik het Europese perspectief op privacy waarbinnen over gegevensbescherming wordt gesproken hier kort vergelijken met het Amerikaanse perspectief op privacy. In de loop van dit artikel zal duidelijk worden waarom.
Een vanuit ons perspectief wellicht opmerkelijk gegeven is dat het woord ‘privacy’ in de Amerikaanse grondwet niet voorkomt. In plaats hiervan bouwt privacywetgeving in Amerika voort op een bescherming tegen unreasonable searches and seizures, zoals in het Vierde Amendement wordt genoemd. De gedachte achter deze wet is dat mensen in hun eigen woning beschermd moeten zijn tegen inmenging van buitenaf. Daarbij wordt in de eerste plaats gedacht aan inmenging vanuit de eigen overheid, maar ook aan bedrijven die data van burgers kopen of verkopen voor marketingdoeleinden. De eerste juridische definitie van privacy, die nog steeds regelmatig gebruikt wordt, is dan ook the right to be let alone.
Als afgestudeerd filosoof kan ik het niet laten om af en toe mijn vakgebied in mijn artikelen te betrekken. Om de Amerikaanse kijk op privacy in perspectief te plaatsen, zal ik dan ook gebruik maken van een door de politiek filosoof Isaiah Berlin gemaakt onderscheid tussen negatieve vrijheid en positieve vrijheid. Kort gezegd houdt negatieve vrijheid in dat er geen obstakels zijn die je ervan weerhouden om je doel te bereiken. Positieve vrijheid daarentegen betekent dat er mogelijkheden zijn gecreëerd die jou in staat stellen om je doel te bereiken. Daar waar negatieve vrijheid uitgaat van een wereld die jou vooral in de weg kan zitten, wordt bij positieve vrijheid juist benadrukt dat er dingen in je omgeving zijn die je kunnen helpen. Als we dit toepassen op de Amerikaanse privacywetgeving, dan zien we dat the right to be let alone, de bescherming van je eigen leefomgeving, gericht is op het voorkomen van inmenging van buitenaf. Daarmee wordt vooral de negatieve vrijheid van Amerikaanse burgers beschermd.
Ook in Europa worden privacy en gegevensbescherming in verband gebracht met negatieve vrijheid. Denk bijvoorbeeld aan de belemmeringen die iemand kan ondervinden als zijn of haar medische geschiedenis volledig onthuld wordt. Tegelijkertijd is het Europese perspectief niet enkel dat van bescherming tegen indringende partijen van buitenaf. Dit komt omdat gegevensbescherming is ontstaan als onderdeel van een geheel aan kaders waarmee de mensenrechten van Europese inwoners moeten worden geborgd. In het geval van gegevensbescherming wordt dit direct gelinkt aan het recht op vrijheid van meningsuiting. De onderbouwing hiervoor is dat in het huidige digitale tijdperk altijd de mogelijkheid bestaat dat jouw uitlatingen terechtkomen bij partijen waarvan je liever niet wil dat ze daar terechtkomen. Denk bijvoorbeeld aan een negatieve Tweet over een collega die je baas onder ogen krijgt. Hoe minder de controle is die jij over jouw gegevens kunt voeren, hoe groter de kans is dat jouw meningsuiting op een manier wordt gebruikt die niet in jouw belang is. Als we dit idee tot het uiterste oprekken, zou er zonder enige controle over je eigen gegevens ook geen echte vrijheid van meningsuiting meer kunnen bestaan. Daarom is gegevensbescherming nodig om dit mensenrecht te kunnen borgen.
Gegevensbescherming moet natuurlijke personen dus in staat stellen om controle te houden over hun eigen gegevens en wie er inzage heeft in deze gegevens. Daarmee moeten burgers dus ook middelen worden aangeboden om hun eigen gegevens te beschermen en daarmee voor hun eigen rechten op te komen. Dit is de positieve vrijheid die in Europese kaders in het algemeen, en in de AVG in het bijzonder, wordt vastgelegd: er zijn mechanismen ingesteld die door burgers kunnen worden gebruikt om hun gegevens te beschermen. In het geval van de AVG valt hierbij bijvoorbeeld te denken aan het recht op vergetelheid, waarmee personen (uiteraard binnen redelijke grenzen) kunnen afdwingen dat gegevens die zij niet aan anderen willen tonen worden verwijderd. Door wetgeving op het gebied van gegevensbescherming zoals de AVG worden Europese burgers dus niet alleen beschermd, maar krijgen zij ook middelen aangereikt om zichzelf te beschermen en hun eigen online doelen vrij te verwezenlijken.
Kortom, gegevensbescherming is meer dan alleen het beschermen van de privésfeer tegen indringend datagebruik van buitenaf. De AVG is meer dan een zwaard van Damocles of een stok om mee te slaan. Organisaties worden sinds de invoering van de AVG weliswaar beperkt in hun mogelijkheden, maar dit is niet de enige of belangrijkste functie van wetgeving op het gebied van gegevensbescherming. Het belang van deze wetgeving is juist dat burgers de middelen krijgen om hun fundamentele rechten en vrijheden te kunnen verwezenlijken. VHIC zet zich in om organisaties te helpen AVG-compliant te werken, maar ook wij vinden het belangrijk dat burgers de handvatten krijgen die zij nodig hebben om daadwerkelijk gebruik te maken van de rechten die zij hebben. Daarom zetten wij ons in voor positiviteit en bewustwording op het gebied van privacywetgeving. Doet u met ons mee?
Door Samuel van Bruchem