We horen vaak dat we moeten kiezen: ‘privacy of veiligheid’. Maar die suggestie berust op een ernstige denkfout. Privacy is een onmisbaar grondrecht, dat ons beschermt tegen kwaadwillenden.

Uit Maarten! 2019-2. Bestel losse nummers hier
Illustraties door Jip van den Toorn

Werkstudenten met een bijbaan hadden jarenlang vrijwel onbeperkt toegang tot medisch dossiers in het Amsterdamse ziekenhuis OLVG, zo onthulde de Volkskrant in februari 2019. Ze waren ingehuurd als assistent om de telefoon op te nemen en afspraken te maken, of om dossiers in te voeren in de administratie en te controleren of artsen de juiste diagnosebehandelcombinaties in het dossier hadden gezet. Belangrijk werk, want zorgverzekeraars betalen het ziekenhuis uit op grond van deze zogenoemde dbc’s.

Door nalatigheid van het OLVG konden de studenten niet alleen de dossiers inzien die ze nodig hadden voor hun werk, maar vrijwel álle medisch dossiers van de afgelopen vijftien jaar. Ze konden alles lezen, van uitslagen van een soa-test tot besluiten over kankermedicatie. Ze konden bij dossiers van familieleden, maar ook van Bekende Nederlanders. Wie zich verveelde kon ‘altijd nog de sappige verhalen uit de patiëntendossiers opduiken’ en collega’s daarover tippen, zo vertelde de studente die hierover de klok luidde.

Zo’n verhaal maakt in één klap duidelijk waarom privacy ook alweer zo belangrijk is. Niemand wil dat wildvreemden zijn of haar medisch dossier voor de lol lezen en de sappige details als leestip doorgeven. ‘Ieder heeft recht op eerbiediging van de persoonlijke levenssfeer’ – dat grondrecht heeft de wetgever in 1983 niet voor niets opgenomen in artikel 10 van de Grondwet.

De lijst van dingen die gewone burgers te verbergen hebben is lang

Het is goed om hier even stil te staan bij de wetsgeschiedenis, omdat die laat zien hoe goed politici vroeger nadachten over dit soort kwesties. De grondwetswijziging van 1983 werd lang voorbereid, onder andere door de commissie-Cals-Donner. Die stelde al in 1969: ‘Dat de privacy in de huidige tijd bijzonder kwetsbaar is gebleken en uit dien hoofde behoefte bestaat aan nadere wettelijke bescherming behoeft geen betoog.’ Commissielid André Donner was de vader van Piet Hein, die zich als minister van Justitie in de kabinetten-Balkenende juist weinig aantrok van privacy. De regering omschreef ten tijde van de grondwetvoorbereiding de persoonlijke levenssfeer als ‘de reeks van situaties waarin de mens, al dan niet in zelfgekozen gezelschap, onbevangen zichzelf kan zijn’.

Bij de invoering van artikel 10 betoogde het toenmalige VVD-Kamerlid Annelien Kappeyne van de Coppello dat het ‘als het ware een koepel’ was over de bestaande vrijheidsrechten. Haar partijgenoot Hans Wiegel, minister van Binnenlandse Zaken, was het daarmee eens.

Bergen aan informatie

In de decennia daarna was er weinig maatschappelijke aandacht voor privacy en leidde het grondrecht een wat sluimerend bestaan. Pas vanaf het begin van deze eeuw kwam het onderwerp met grote regelmaat in het nieuws. Privacy kwam steeds verder in de knel door twee belangrijke trends, die elkaar versterkten.

Door snelle technologische ontwikkelingen kwamen gigantische hoeveelheden data over individuen beschikbaar: welke websites je bezocht, welke muziek je beluisterde, welke nieuwsberichten je volgde, waaraan je je geld aan uitgaf, wie je vrienden waren, waar je mobiele telefoon was (en waar je dus zelf was), waar je auto was, in welke trein, tram of bus je was ingecheckt enzovoort, enzovoort.

Na 9/11 kwamen overheden bovendien met een stortvloed aan nieuwe maatregelen om terrorisme te bestrijden. Het ging er daarbij niet alleen om daders op te sporen, maar vooral om aanslagen te voorkomen. Om risico’s al in een vroeg stadium – preventief – in kaart te krijgen, wilden inlichtingendiensten en politie bergen aan informatie hebben over burgers.

De overheid maakte daarbij dankbaar gebruik van alle databanken die er al waren bij bedrijven en overheden, en kwam daarnaast met flink wat maatregelen. De meeste tastten de persoonlijke levenssfeer van burgers aan. Denk aan de verplichting bel- en internetgegevens te bewaren, preventief fouilleren, het gebruik van scanners op vliegvelden, het massaal plaatsen van bewakingscamera’s, het gebruik van kentekenscanners op snelwegen, en een sterke uitbreiding van bevoegdheden van inlichtingendiensten en politie.

Voor deze enorme uitbreiding van de macht van de staat werden steeds twee argumenten aangevoerd: ‘Veiligheid is belangrijker dan privacy’, en: ‘Wie niets te verbergen heeft, hoeft nergens bang voor te zijn.’

Alle informatie kan op een later tijdstip tegen je gebruikt worden

Een bekende trendsetter op dat gebied was crimefighter Fred Teeven. VVD’ers, die in de jaren tachtig als liberalen de burger nog extra wilden beschermen tegen de almachtige overheid, waren veranderd in conservatieven die vooral hamerden op law & order.

Bernard Welten introduceerde als korpschef van Amsterdam in 2003 een variant op ‘niets te verbergen’ door privacy ‘de schuilplaats van het kwaad’ te noemen.

De twee standaardargumenten belemmeren tot op de dag van vandaag een zinvolle discussie over onze persoonlijke levenssfeer. Het fundamentele probleem zit ’m in de suggestie dat iemand die ‘iets te verbergen’ heeft, bezig is met zaken die het daglicht niet kunnen verdragen: terrorisme, kinderporno, drugs. Maar dat is een ernstig misverstand: ieder mens heeft namelijk iets te verbergen – ook stoere politici die roepen dat ze niets te verbergen hebben. Geen normaal mens wil dat onbevoegden in zijn of haar medische gegevens kunnen grasduinen – niet voor de lol, maar ook niet met serieuze bedoelingen. Je wilt niet dat je verzekeraar je patiëntendossier kan lezen, om op basis daarvan je premie of het eigen risico te verhogen. Of dat je baas je op het matje roept vanwege je bloeddruk, het gebruik van antidepressiva of omdat je tegen de huisarts geklaagd hebt over stress op je werk.

Onmisbaar

De lijst van dingen die gewone burgers te verbergen hebben is lang: pincodes, creditcardnummers, inloggegevens voor digitaal bankieren, DigiD, belastingdossiers, stemkeuzes enzovoort. We kunnen helemaal niet leven zonder privacy; onze samenleving en economie zouden acuut tot stilstand komen als we zaken niet voor anderen verborgen zouden kunnen houden. Privacy is geen hinderlijk regeltje, dat door wereldvreemde linkse gekkies in de Grondwet is gezet om boeven te beschermen en hardwerkende politiemensen het leven zuur te maken. Privacy als grondrecht is een onmisbare voorwaarde om een moderne, democratische rechtsstaat mogelijk te maken. En om de inwoners zelfstandig denkende en handelende burgers binnen die rechtsstaat te laten zijn.

Het bekendste voorbeeld van het recht op privacy is het stemgeheim. Een democratie kan alleen functioneren als mensen hun politieke voorkeuren geheim mogen houden. Zo kunnen machthebbers de burger niet intimideren of omkopen met gunsten en daarna controleren of iemand ook daadwerkelijk op de betreffende corrupte politicus heeft gestemd. In verkeerd geregeerde landen staan vaak zwaarbewapende militairen bij de stemlokalen en zijn de stemformulieren duidelijk gekleurd, zodat iedereen kan zien op wie er gestemd wordt.

Gênante privéfoto’s

De cruciale vraag – en die gaat verloren in de stoere retoriek – is voor wie en waarom we gevoelige en persoonlijke informatie verborgen houden. Het gaat altijd om de context waarin we de informatie verstrekken. Artsen en apothekers die ons behandelen mogen – sterker: moeten – toegang hebben tot onze medisch dossiers. Verzekeraars, werkgevers, werkstudenten en hackers niet.

Mensen die zeggen dat ze niets te verbergen hebben snappen niet dat informatie in een andere context ineens heel schadelijk kan zijn. Soms is die schade direct zichtbaar, als bijvoorbeeld gênante privéfoto’s of -filmpjes op internet belanden. Maar vaak werkt het veel subtieler. Denk aan Google en Facebook, die gratis te gebruiken zijn. De oprichters ervan hebben die diensten niet ontwikkeld vanuit de goedheid van hun hart. De vuistregel is: ‘Als iets gratis is, ben jijzelf het product.’ Ofwel: Marc Zuckerberg is miljardair geworden met de verkoop van data van zijn gebruikers – de dumb fucks, zoals hij ze in zijn begindagen in een indiscreet mailtje noemde.

Overheden zijn de grootste datastofzuigers ter wereld

Officieel dienen al die data om ‘ons nog beter van dienst te kunnen zijn’. In werkelijkheid is de winst natuurlijk vooral voor de bedrijven: iemand die een tijdje zit te googlen op ‘vliegvakantie’ en ‘Tenerife’ krijgt inderdaad op maat gesneden aanbiedingen, maar vermoedelijk voor een wat hogere prijs, omdat het achterliggende algoritme heeft berekend dat iemand die flink zoekt naar Tenerife er kennelijk graag naartoe wil en dus wel wat meer wil betalen.

In de publieke discussie liggen private partijen als Google, YouTube en Facebook op dit moment vooral onder vuur omdat ze online propaganda verspreiden en tegenstellingen opstoken. Wie op YouTube een paar keer doorklikt op filmpjes met een politieke lading (over ras, klimaat, Trump enzovoort) komt razendsnel in steeds extremere filmpjes terecht.

De algoritmes van YouTube zijn weliswaar nog niet slim genoeg om de inhoud van de filmpjes echt te snappen, maar het is een gegeven dat extreme filmpjes meer clicks en dus meer advertentie-inkomsten trekken dan gematigde – en dat leert de software razendsnel. Op een vergelijkbare manier zorgt Facebook voor virale verspreiding van gevaarlijke onzin over de geboorteplaats van Barack Obama, vaccins die autisme zouden veroorzaken of Joodse complotten tegen de christelijke cultuur.

De publieke discussies gaan dan ook over fake news, maar het onderliggende probleem is privacy: de algoritmes bepalen wat je te zien krijgt op basis van eerder vertoond gedrag. Dat van jezelf en dat van je online connecties.

Verslavingsrisico

Dit zijn serieuze problemen, waar terecht veel discussie over is. Maar bij Facebook en Google hebben consumenten tenminste de keuze om er niet aan mee te doen, hoe lastig dat ook is. Privacy komt pas echt in de knel als het gaat om instanties waar de burger géén keuze heeft: de overheid, en (semi)publieke organisaties.

Zo onthulde het Amerikaanse Politico begin maart dat bedrijven als RELX (voorheen Reed Elsevier) voor Amerikaanse verzekeraars en zorginstellingen risicoprofielen van patiënten opstellen. Ze combineren data uit verzekeringsclaims, digitale gezondheidsdossiers en huisvestingsgegevens, en op basis daarvan berekenen algoritmes het risico dat iemand verslaafd raakt aan opioïden – sterke pijnstillers. De gedachte achter de aanpak is dat artsen door betere voorspellingen betere zorg op maat kunnen leveren, maar het betekent wel dat miljoenen Amerikanen zonder het te weten in een bepaald risicoprofiel geduwd worden. En dat op grond van informatie die ze ooit voor andere doeleinden aan andere instanties verstrekt hebben en die door ondoorzichtige algoritmes verwerkt wordt. Zo kan het feit dat je in een ongunstige buurt woont, met relatief veel verslaafden, in de analyse worden meegenomen.

Het is goed om in het achterhoofd te houden dat dé privacy niet bestaat

In Nederland hebben we SyRi, het Systeem Risico Indicatie, dat bedoeld is om fraude op te sporen. Door bestanden te koppelen (belastingen, uitkeringen, bevolkingsregister en dergelijke) probeert de overheid burgers onder te brengen in risicoprofielen en zodoende te bepalen bij de wie grootste risico’s op fraude zit. Dit systeem beschouwt iedere burger als een potentieel risico, maar het algoritme dat bepaalt of een burger een hoog of een laag risico vormt, blijft geheim.

Het grootste bezwaar tegen SyRi is dat allerlei informatie, uit allerlei databanken, gebruikt kan worden. Dat betekent dat het belangrijke principe van de ‛doelbinding’ is verlaten: informatie wordt niet alleen gebruikt voor het doel waarvoor je die als burger verstrekt (bijvoorbeeld om belasting te betalen of huursubsidie aan te vragen). Al die informatie kan op een later tijdstip tegen je gebruikt worden. En je weet nooit wanneer en op welke manier. Dat leidt ertoe dat niet alleen dat de overheid burgers systematisch wantrouwt, maar ook andersom: burgers weten nooit met data in welk dossier de overheid hen kan dwarszitten.

Overheden zijn sowieso de grootste datastofzuigers ter wereld. Sinds de onthullingen van Edward Snowden weten we dat inlichtingendiensten adembenemende hoeveelheden data over burgers verzamelen: internet- en belgedrag, locatiegegevens, passagiersdata en zo verder. Surveillance is nog nooit zo goedkoop geweest. Ten tijde van de DDR had de Stasi grote gebouwen nodig met tienduizenden medewerkers die gegevens inklopten op typemachines om ze vervolgens in eindeloze rijen archiefkasten te bewaren. Nu belanden er dagelijks veelvouden van die hoeveelheden informatie vrijwel gratis direct op een server van de National Security Agency, ergens in de woestijn.

Duizenden touwtjes

‘You have zero privacy anyway – get over it,’ zei Scott McNealy, de topman van IT-bedrijf Sun, al in 1999. Het is een veelgeciteerd bon mot en met alle privacyschendingen die er in de twintig jaar erna bij zijn gekomen zou je zeggen dat privacy inderdaad morsdood is. Maar dat is te somber. Ondanks alles staat onze persoonlijke levenssfeer er minder beroerd voor dan je op het eerste gezicht zou denken.

Om te beginnen is het goed om in het achterhoofd te houden dat dé privacy niet bestaat. Het is een nogal ongrijpbaar en vaak ook onzichtbaar grondrecht. Privacy speelt op vrijwel alle beleidsterreinen en in alle bedrijfstakken. Dat betekent ook dat het veelgebruikte beeld van Big Brother niet klopt. Er is geen sinistere dictator-met-snor die ons wil onderdrukken.

Er zijn wél tientallen verschillende overheidsinstanties die iets van ons willen weten. Vaak hebben ze de beste bedoelingen, maar het is de optelsom van al die maatregelen die uiteindelijk onze privacy uitholt. Sterrenkundige Vincent Icke, die naast wetenschapper ook een groot voorvechter van privacy is, gebruikt de beeldspraak van Gulliver, die door de Lilliputters gevangen is genomen. Een paar van die kleine touwtjes rukken we zo los, maar aan duizenden touwtjes kunnen we niet ontkomen.

De valse tegenstelling ‘veiligheid en privacy’ is aan het verdwijnen

Er is dus niet één privacydebat, er zijn doorlopend discussies op alle mogelijke terreinen. Dat al die discussies er zijn is al een goed teken. Het betekent dat we eindelijk aandacht hebben voor privacy. Na 9/11 is zonder al te veel maatschappelijk debat een groot aantal terrorismemaatregelen doorgevoerd. Veiligheid was immers belangrijker dan privacy. Maar over de sleepwet is een fors maatschappelijk debat gevoerd en bij het referendum in maart 2018 stemde 49,5 procent tegen en 46,5 procent voor – de rest was ongeldig. Het kabinet heeft de sleepwet vervolgens wel ingevoerd, maar in aangepaste vorm.

En de Europese Algemene Verordening Gegevensbescherming (AVG) zorgt sinds vorig jaar wel voor een hoop gemopper, maar versterkt de privacy van burgers aanzienlijk. Zowel in Brussel als in Washington liggen Facebook en Google behoorlijk onder vuur, terwijl hightechbedrijven uit Silicon Valley tot voor kort de lieveling van politici waren.

Het gaat op veel terreinen dus de goede kant op. De belangrijkste ontwikkeling is misschien wel dat de valse tegenstelling ‘veiligheid en privacy’ aan het verdwijnen is. Privacy en veiligheid vallen samen. In 2018 onthulde De Correspondent dat sport-app Polar de namen en locaties van zijn gebruikers op zijn website liet zien. Journalisten konden binnen een paar minuten van duizenden militairen, onder wie Special Forces en medewerkers van de MIVD, zien waar in Irak, Mali en Afghanistan ze hun rondjes liepen. Met een beetje googlen waren hun adressen, namen en foto’s van hun vrouwen en kinderen ook te vinden.

Een lange reeks afluisterschandalen heeft duidelijk gemaakt dat alle politici in alle landen doelwit zijn van buitenlandse inlichtingendiensten. Een kind begrijpt dat de exacte locaties van Special Forces geheim moeten blijven. En dat onze ministers veilig (dus versleuteld) met elkaar moeten kunnen bellen en mailen, zonder dat de Russen meeluisteren. Nederlandse politiemensen verwisselen massaal het onveilige WhatsApp (eigendom van Facebook) voor het veel veiliger Signal, dat als onkraakbaar geldt. Dat betekent dat borreltafelpraat over privacy ‘als schuilplaats van het kwaad’ bij het grofvuil kan.

Privacy ís veiligheid.