Privacyblog Aleid Wolfsen: 5 jaar AVG - Blijven strijden voor een vrije en veilige samenleving
Op 25 mei 2023 is de Algemene verordening gegevensbescherming (AVG) precies 5 jaar van toepassing. Reden tot feest en reflectie. Wat heeft de wet ons tot nu toe gebracht en waar staan we over 5 jaar?
Datagedreven samenleving
Toen ik met mijn vrouw in de camper onderweg was, even weg van de hectiek van alledag, merkte ik weer hoezeer we leven in een vrijwel volledig gedigitaliseerde wereld. Persoonlijke communicatie gaat via mail, app en sociale media. Huishoudens draaien op smart devices. Techbedrijven verdienen hun geld met gepersonaliseerde advertenties. En ook de overheid zet steeds meer algoritmes in.
Datatechnieken hebben ons leven leuker en beter gemaakt. Artsen kunnen nog preciezere operaties uitvoeren en gepersonaliseerde medicijnen voorschrijven, overheden krijgen beter grip op hun interne processen en als burgers is digitale techniek niet uit ons leven weg te denken.
Maar datatechnieken hebben ook hun schaduwzijden. Elke dag is er wel een datalek met grote impact, burgers kunnen in een handomdraai deepfake-porno van bekenden maken en verspreiden op het internet, en de catastrofale gevolgen van de toeslagenaffaire zinderen nog na.
Goede regulering
Daarom heeft de Europese Unie 5 jaar geleden regels aangenomen over hoe persoonlijke informatie mag worden verzameld, verwerkt en gebruikt. Kernboodschap: doe het, maar doe het goed. De wet maakt het opslaan van gegevens en het rechtmatig gebruik van informatie mogelijk. Tegelijkertijd stelt het kaders. Dataverzameling moet een helder doel dienen, informatie die wordt gebruikt voor beslissingen moet kloppen en up-to-date zijn en natuurlijk moeten gevoelige gegevens worden beschermd tegen misbruik door derden.
Dat is de kern van de AVG en van de Richtlijn gegevensbescherming bij rechtshandhaving, want natuurlijk moet ook de politie zich houden aan deze basale beginselen. Bijvoorbeeld bij onderzoek, telefoontaps of het verzamelen van informatie over demonstranten. Die 2 wetten geven uitvoering aan het grondrecht op gegevensbescherming uit het EU Handvest van de grondrechten. Daarin staat dat burgers zoveel mogelijk controle over hun gegevens moeten hebben, maar ook dat zij beschermd worden waar dat nodig is.
De eerste 5 jaar van de AVG hebben in het teken gestaan van het begrijpen, uitleggen en toepassen van de wet. Bedrijven en overheidsorganisaties hebben grote inspanningen verricht om hun processen op orde te krijgen. Dat kostte het nodige werk en stelde hen voor basale vragen. Welke data hebben we precies? Waarom worden data eigenlijk zo lang bewaard? Zijn de risico’s van de verwerking niet te hoog? De Autoriteit Persoonsgegevens (AP) heeft dit proces begeleid door te adviseren, aan te sturen en waar nodig handhavend op te treden. In 5 jaar is daardoor een enorme slag gemaakt en houden veel burgers, bedrijven en overheidsinstanties zich goed aan de wet.
Maatschappelijk bewustzijn
De basis voor een open en vrije datagedreven maatschappij is daarmee gelegd. De komende 5 jaar gaan we de volgende stap zetten naar een samenleving waarin burgers en anderen zich vanzelfsprekend houden aan de regels. Niet alleen omdat het moet, maar omdat ze weten hoeveel schade daarmee voorkomen wordt. Een samenleving waarin bedrijven het gegevensbeschermingsrecht als ‘unique selling point’ inzetten en inzien dat een goede datahuishouding geen kostenpost is, maar bijdraagt aan een efficiënte bedrijfsvoering. Een samenleving waarin overheidsinstanties snappen dat de regels uit de AVG hen helpen om hun taken goed en adequaat uit te voeren.
Zoals de Rekenkamer stelt, worden wenselijke dataverwerkingen door de AVG mogelijk gemaakt, terwijl niet noodzakelijke en disproportionele processen een halt toe worden geroepen. Dat is geen belemmering, maar een garantie voor een effectieve en rechtvaardige overheid. Door het woud aan onnodige data kan de relevante informatie vaak niet op tijd worden gevonden. Bovendien vergroten onnodige gegevens de kans op misbruik, datalekken en willekeur. Het verzamelen en delen van enorme hoeveelheden data maakt de samenleving niet veiliger, maar onveiliger.
Drie speerpunten
De rol van de AP zal de komende 5 jaar veranderen.
Ten eerste is het gegevensbeschermingsrecht in de digitale samenleving de hoeksteen van alle grondrechten. Het bevat de basisvoorwaarden voor een vrij en open debat, waakt tegen discriminatoire besluitvorming, geeft garanties voor eerlijke procedures, beschermt het privéleven en garandeert de individuele autonomie. De AP is daarom de hoeder van de democratische rechtsstaat als het gaat om datagedreven processen. Dat betekent onder meer dat de adviezen van de AP bij wetgevingstrajecten nog breder, fundamenteler en explicieter zullen worden.
Ten tweede heeft de AP de afgelopen 5 jaar veel klachten van slachtoffers ontvangen. De AP heeft een enorme bewondering voor mensen die zelfs in de meest benarde situaties de tijd en moed vinden om misstanden aan te kaarten, maar ziet ook dat het leed dan al is geschied. Naarmate digitalisering nog dieper op de levens van burgers ingrijpt en fouten nog grotere consequenties hebben, wordt het nog essentiëler om misstanden te voorkomen. Daarom zal de AP de komende jaren vaker proactief optreden, ambtshalve onderzoeken instellen en gegevensverwerkingsprocessen al dan niet tijdelijk stopzetten bij gebleken misstanden.
Tot slot wordt zowel in de private als de publieke sector steeds meer gebruikgemaakt van algoritmes. Dat biedt soms efficiëntievoordelen, maar vaker gaat het nog fout. Algoritmes met ‘bias’ leiden tot discriminatie en vergroten de maatschappelijke ongelijkheid, misstanden in geautomatiseerde processen worden vaak te laat onderkend en algoritmische besluiten kunnen ondoorzichtig, oncontroleerbaar en slecht uitlegbaar zijn, wat in strijd is met basale rechtsstatelijke principes. Als algoritmetoezichthouder zal de AP zich de komende jaren niet alleen richten op de effecten van geautomatiseerde besluitvorming, maar ook onder de motorkap kijken: hoe worden algoritmes getraind, welke aannames zitten daarin verborgen en hoe zijn verantwoordelijkheden belegd?
Vrijheid, rechtsstaat en democratie gaan in de digitale samenleving hand in hand. Vrijheid vraagt soms om opofferingen. Leven in een vrije en open samenleving kan betekenen dat algoritmes niet kunnen worden ingezet, dat de overheid juist meer investeert in menselijk contact, dat iedere burger op zijn eigen merites wordt beoordeeld en niet als onderdeel van een algoritmische groep. Ik heb veel zin om samen met alle medewerkers van de AP de komende 5 jaar de volgende stap te zetten naar een vrije en veilige samenleving!