Autoriteit Persoonsgegevens: ‘Neem nieuwe wet gegevensverwerking niet aan!’

Het komt niet vaak voor dat een belegen instituut als de Autoriteit Persoonsgegevens (AP) de Eerste Kamer oproept een wet niet aan te nemen. Meestal blijft het bij aanbevelingen voor aanpassingen van een bepaalde wet. Niet dit keer. De voorstellen voor de wet ‘wetsvoorstel gegevensverwerking samenwerkingsverbanden’ vliegt volgens AP zo ver uit de bocht dat zij de wet in zijn geheel afraadt.

De voorstellen om de gegevensuitwisseling tussen diverse organisaties mogelijk te maken dateren al van voor Covid. Echter de combinatie van een nu nauwelijks te beïnvloeden overheid (demissionair) en deze wet, maakt de burger in grote mate vogelvrij.

De wet beoogt de georganiseerde criminaliteit te bestrijden. Een eerzaam doel, maar de vraag is of het middel niet erger is dan de kwaal. We kennen de discussie ook in het kader van Covid: veroorzaakt de bestrijding van het virus niet meer schade dan het virus zelf? Dat is ook met deze voorgestelde wet zo: moeten 17,5 miljoen Nederlanders digitaal van glas worden om enkele criminele bendes het leven zuur te maken?
De wet staat toe dat samenwerkingsverbanden van overheidsinstanties en private partijen gegevens delen en gezamenlijk verwerken. Bijvoorbeeld bij vermoedens van fraude of georganiseerde criminaliteit. Het gaat concreet om de volgende samenwerkingsverbanden die gegevens kunnen delen met elkaar en met andere partijen, zoals banken:

• Financieel Expertisecentrum (FEC);
• Infobox Crimineel en Onverklaarbaar Vermogen (iCOV);
• Regionale Informatie- en Expertisecentra (RIEC’s);
• Zorg- en Veiligheidshuizen (ZVH’s).

Volgens het voorstel mag de regering later nieuwe samenwerkingsverbanden aanwijzen, die ook weer gegevens mogen delen.

De AP uitte al in 2019 haar eerste bedenkingen, waarop kort erna een aanvullend advies naar de verantwoordelijk minister Grapperhaus werd verzonden.

In dit aanvullende advies schrijft de AP: ‘Het karakter van een brede kaderwet van onbepaalde duur die een nog onbekende maar potentieel forse inbreuk op de bescherming van persoonsgegevens maakt staat naar het oordeel van de AP op gespannen voet met de eisen die het EU recht op dit punt aan de wetgeving stelt. De vraag of de wezenlijke inhoud van het daarin erkende grondrecht op bescherming van persoonsgegevens zal worden geëerbiedigd en of de verwerkingen noodzakelijk zijn kan daarbij pas aan de hand van de concrete, latere amvb’s worden beoordeeld.’

Het aanvullend advies geeft verder scherpe kritiek: ‘In het advies over een eerdere versie van het wetsvoorstel heeft de AP uiteengezet dat de beoogde aanpak substantiële risico’s voor uitholling van rechtstatelijke waarborgen en de bescherming van persoonsgegevens meebrengt. Het aangepaste wetsvoorstel brengt op een enkel punt verbetering, maar is niet zodanig verbeterd dat de eerder geschetste risico’s worden ondervangen.’

Voorzitter Wolfsen van de Autoriteit Persoonsgegevens erkent in een publieke reactie de noodzaak tot bestrijding van criminaliteit ‘maar dat moet je wel netjes regelen. Aan de Toeslagenaffaire en het FSV-schandaal hebben we gezien hoe mensen in de knel kunnen komen. Dit wetsvoorstel gaat verder. Het gaat ook verder dan het sterk bekritiseerde SyRi.’ Verder stelt Wolfsen dat ‘dit wetsvoorstel het mogelijk maakt dat nog veel meer instanties persoonsgegevens met elkaar delen, zonder dat er duidelijk iets aan de hand is. En niet alleen overheidsinstanties, ook private partijen. Hier ligt het risico van massasurveillance op de loer.’

De zorg ligt in de vaagheden waarin de wet grossiert: wat bedoelt de wet met ‘ernstige criminaliteit’? Hebben we het dan over een moord? Drugshandel? Enorme fraude of ook het vermoeden dat de penningmeester van de sportclub een keer 50 euro in eigen zak heeft gestoken? Volgens AP is zo de grens zoek. Ook termen als ‘een eerste signaal’ (van criminaliteit, red.) of ‘een eerste vermoeden van onrechtmatige activiteiten’ zijn dermate vaag dat al bij het minste geringste gegevens tussen talrijke organisaties kunnen worden uitgewisseld.

Wolfsen: ‘Het wetsvoorstel zet de deur wagenwijd open voor een onbegrensde surveillance door een onbegrensde hoeveelheid partijen, publiek en privaat. En betrekt daarbij het parlement niet zoals dat hoort. Wij adviseren de Eerste Kamer daarom dringend om dit wetsvoorstel niet aan te nemen.’