De Staat van Privacybescherming van de Consument 2005-2006 Mr. P.R. Rodrigues en dr. A.H. Vedder1
Onze samenleving is het afgelopen decennium wezenlijk veranderd. Technische vooruitgang is daarbij doorslaggevend geweest. Het gebruik van internet, mobiele telefonie en Radio Frequency Identification (RIFD) zijn daar markante voorbeelden van. Daarnaast worden democratische samenlevingen door terrorisme ernstig bedreigd. Het ligt voor de hand te veronderstellen dat deze ontwikkelingen hun weerslag hebben op de opvattingen van de consument over privacy. Uit een onderzoek van de Consumentenbond blijkt dat ongeveer de helft van alle consumenten nog evenveel waarde aan hun privacy hecht als tien jaar geleden.2 Een kleine minderheid van 44 procent van de ondervraagde consumenten stelt nu zelfs meer belang in de bescherming van hun privacy dan tien jaar geleden.
In deze bijdrage willen wij de belangrijkste ontwikkelingen over de periode 2005-2006 in kaart brengen waarbij de privacy van de consument in het geding is. Onder de consument verstaan wij de eindafnemer van goederen en diensten voor niet-professioneel gebruik. Consumenten vonden tien jaar geleden informatie over financiën, gezondheid en seksualiteit gevoelige gegevens. Daar komen tegenwoordig gebruikersnamen, wachtwoorden en pincodes bij. Bovendien vindt de huidige consument het niet nodig dat bij anderen bekend is welke sites hij op internet bezoekt, tot welke aanschaf hij overgaat of waar hij zich bevindt. Aan de hand van actuele ontwikkelingen zullen we nagaan of aan deze wensen van de consument tegemoet wordt gekomen. Als een rode draad loopt door alle sectoren de reeks van
maatregelen die is genomen om vooral terrorisme te beteugelen. 1. Financiële dienstverlening
De financiële dienstverlening strekt zich uit van het bankwezen tot en met de verzekeraars. Deze sector betreft tegenwoordig vaak conglomeraten waarbij banken, verzekeraars en andere financiële instellingen steeds meer verweven raken. Vanuit de branche wordt vaak over bankverzekeraars gesproken, maar wij geven de voorkeur aan de term financiële dienstverlening. Het verwerken van persoonsgegevens is inherent aan deze vorm van dienstverlening.
De Consumentenbond pleitte in 2005 voor wetgeving om de maatschappelijke functie van banken in stand te houden. Consumenten zijn de afgelopen jaren steeds meer gaan betalen voor hun bankzaken, terwijl volgens de bond de dienstverlening verschraalt. Tarieven voor bankpassen zijn sinds januari 2005 ongeveer 16 procent gestegen. In anderhalve maand hebben 22.000 consumenten via de website van de Consumentenbond en protestkaartjes dit pleidooi ondersteund. Consumenten vinden het onbegrijpelijk waarom ze ieder jaar meer gaan betalen voor hun bankzaken, terwijl het betalingsverkeer efficiënter is geworden, banken ieder jaar winst maken en steeds meer kantoren sluiten. De bond heeft daarom een oproep gedaan aan de banken om voortaan uitleg te geven over de kosten en opbrengsten van
betalingsverkeer. Banken zouden bijvoorbeeld een consumentenbijlage kunnen opnemen in hun jaarverslag en informatie verstrekken via hun website en telefonische klantenservice. Betaaldiensten van banken zijn een primaire levensbehoefte voor consumenten. Daarom
1 Peter Rodrigues is hoofd van de afdeling Onderzoek & Documentatie bij de Anne Frank Stichting en tevens
redacteur van P&I en Anton Vedder is universitair hoofddocent Ethiek en Recht bij de Faculteit
Rechtsgeleerdheid, Universiteit van Tilburg. De auteurs danken Jan Holvast voor zijn commentaar en suggesties.
zouden meer bankkantoren open moeten blijven. Consumenten moeten daar hun pasjes kunnen afhalen, contant geld kunnen opnemen, storten, wisselen en vreemde valuta kunnen ophalen. De consumentenorganisatie heeft er geen vertrouwen in dat banken op eigen
initiatief een acceptabel niveau van dienstverlening zullen bewerkstelligen. Daarom roept zij op tot wetgeving.3
De banken zijn op hun beurt niet altijd tevreden over hun klanten. Volgens opgave van de Nederlandse Vereniging van Banken (NVB) stonden in november 2004 twintigduizend namen van mogelijke fraudeurs en vermeende oplichters in een waarschuwingsregister van de Nederlandse banken, Externe Verwijzingsindex (EVI) genoemd.4 Wie in het register staat, kan veelal geen hypotheek afsluiten, krediet opnemen of rood staan. Toegang tot een zogenoemde kale betaalrekening wordt niet door het register beperkt en geldt tegenwoordig als een basisvoorziening waar een ieder recht op heeft. Het register van de banken bestaat sinds 1990 onder de naam IRIS en is in 1997 gewijzigd en van naam veranderd.5 Het is de eerste keer dat de NVB informatie heeft verschaft over het aantal personen in het register. Normaal gesproken krijgt de consument bericht dat hij in het register komt te staan.
Vervolgens kan hij bij de financiële instelling een schriftelijk verzoek indienen om inzage in zijn gegevens. Indien de consument het niet eens is met de registratie kan hij een klacht indienen bij de Geschillencommissie bankzaken. Eenmaal in het register opgenomen, blijft de klant voor maximaal acht jaar daarin staan (registraties van voor september 2002 maximaal zes jaar). Overigens hebben niet alleen de banken een waarschuwingsregister, maar ook de verzekeraars.
De verzekeraars kennen een soortgelijke register onder de naam Externe Verwijzingsregister (EVR). Op beide is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van toepassing dat een verklaring van rechtmatigheid heeft gekregen van het College
Bescherming Persoonsgegevens (CBP) na een voorafgaand onderzoek ex artikel 31 WBP. In dat Protocol is uitdrukkelijk vastgelegd dat betrokkenen over opname worden geïnformeerd en dat zij recht op inzage en correctie hebben.
De schadeverzekeraars zijn van mening dat de verzekeringspremie fors omlaag kan als de overheid meer doet aan de bestrijding van verzekeringsfraude. Een gemiddeld gezin is dan per jaar ongeveer €180 goedkoper uit, zo luidt het oordeel van het Verbond van Verzekeraars. Ook de Consumentenbond is voorstander van een hardere aanpak, omdat de goeden nu teveel onder de kwaden lijden. Het Verbond van Verzekeraars becijfert dat tien procent van de schadeclaims frauduleus is. Het gaat daarbij om een bedrag van € 900 miljoen per jaar. De overheid, het Openbaar Ministerie en de politie moeten er samen voor zorgen dat de pakkans stijgt en dat meer fraudeurs voor de rechter komen. De verzekeraars schrijven dat in het Deltaplan Aanpak Fraude bij Schadeverzekeringen.6 Het is de vraag of resultaat inderdaad zal leiden tot verlaging van de premie. Daarnaast vraagt het registreren en uitwisselen van
gegevens van verdachte klanten de aandacht: consumenten hebben het recht van deze registratie weet te hebben en dienen hun gegevens in te kunnen zien en zonodig te kunnen laten corrigeren.
3 Nieuwsberichten Consumentenbond 20 december 2004. 4 Consumentengeldgids december 2004.
5 J.Holvast en F.B.M. Olijslager, ‘Waarschuwingsregisters ter voorkoming van fraude en criminaliteit’, in: S.M.
Huydecoper (red.), Wet bescherming persoonsgegevens en ICT. Den Haag: Sdu Uitgevers, 2006, blz. 115-133.
De problemen rond de winstver(drie)dubbelaars van Dexia kregen niet alleen veel aandacht in de media, maar ook in de vakpers.7 Gedupeerde klanten van deze financiële dienstverlener maakten gebruik van een standaardbrief waarmee zij bij Dexia een inzage- en
kennisnemingsverzoek indienden. De verzoeken waren erop gericht om een overzicht te verkrijgen van de persoonsgegevens die de bank had verwerkt. Op grond van artikel 35 van de Wbp is degene die verantwoordelijk is voor de verwerking van persoonsgegevens daartoe verplicht. In de brief werd verzocht om ‘een compleet overzicht’ van alle door Dexia
verwerkte (persoons)gegevens, inclusief de informatie over het doel van de verwerking, de ontvangers van de gegevens en de bronnen van de gegevens. Verder werd het verzoek gedaan om kopieën van de lease-overeenkomst, het risicoprofiel, de aandelencertificaten waarnaar in de overeenkomst werd verwezen, certificaten van dividenduitkeringen, het onderzoek naar kredietwaardigheid en een schriftelijke uitwerking van gevoerde telefoongesprekken. Dexia ontving duizenden verzoeken, maar weigerde echter de gevraagde informatie te verstrekken. De bank deed onder meer een beroep de uitzonderingen van artikel 43, onder e, Wbp, waarin staat dat de opgevraagde informatie niet hoeft te worden verstrekt als de bescherming of rechten en vrijheden worden aangetast van, onder andere, degene die verantwoordelijk is voor de verwerking van de gegevens. De gedupeerden wendden zich tot het College Bescherming Persoonsgegevens (CBP) met het verzoek om te bemiddelen (art. 47 Wbp). Daarop deed het CBP ambtshalve onderzoek (art. 60 Wbp) en oordeelde dat Dexia aan de verzoeken moest voldoen. Ook hieraan gaf de financiële dienstverlener geen gehoor. Zwenne en Webbink geven een analyse van de rechtzaken die hierna gevoerd zijn.8 Hoewel een aantal vragen is beantwoord, zijn de rechterlijke uitspraken niet eenduidig en blijven sommige vragen nog onbeantwoord.
In 2004 rapporteerden we in de Staat van Privacy al over het gebruik van redlining. Redlining houdt in dat consumenten op basis van een groepskenmerk, zoals bijvoorbeeld een bepaalde postcode of een niet Nederlands klinkende achternaam, van dienstverlening worden
uitgesloten.9 Vooral allochtonen in achterstandswijken kunnen hiervan de dupe worden. Het waren de hypotheekverstrekkers die toentertijd de aandacht van de media trokken met ongelijke behandeling van mensen uit verschillende postcodegebieden. In februari 2006? verklaarde minister Zalm van Financiën voor de televisie dat de banken hiermee moeten stoppen. De banken beloofden twee jaar geleden beterschap, maar daar is volgens minister Zalm niets van terechtgekomen. De banken hadden voor 1 juli 2006? een gedragscode gereed moeten hebben, anders zou de minister met wettelijke maatregelen komen. Hoewel de banken zeiden dat ze met een regeling bezig zijn, lijken noch gedragscode, noch wetgeving gereed te zijn. Directeur Blocks van de Nederlandse Vereniging van Banken laat blijken het
discrimineren bij hypotheekverstrekking onacceptabel te vinden.10
Opvallend is dat Kamervragen in 2003 nog tot een heel andere reactie leidden van de minister van Financiën. De minister meende toen nog dat er geen beperkte toegang was tot financiële dienstverlening voor bepaalde groepen consumenten.11 Overigens is er reeds wetgeving voorhanden die dergelijk direct of indirect onderscheid naar ras of nationaliteit verbiedt: de Algemene wet gelijke behandeling. Het is ook om die reden dat de Commissie Gelijke
7Zie bijv. J.M.A. Berkvens, ‘Inzage, inzicht of overzicht. Het aanzicht van artikel 35 WBP’, P&I 2005, p.
119-121 en .N.J.H. Huls, ‘Is de Duisenberg-regeling royaal genoeg voor alle legitieme Dexia claims?’, Nederlands Juristenblad 2005, p. 1386-1390.
8 G.J. Zwenne en J. Webbink, De winstverdubbelaar en de WBP: over de reikwijdte en inhoud van het
kennisnemingsrecht van art. 35, P&I 2006, p. 2-8
9Zie over redlining: P.R. Rodrigues, Anders niets? Discriminatie naar ras en nationaliteit bij
consumententransacties, Vermande: Lelystad 1997.
10 NVB Bulletin 2006, nr. 2, p. 7.
Behandeling (CGB) een vooronderzoek verricht naar onderscheid op grond van ras of nationaliteit bij het aanbieden van hypotheken. Afgelopen jaren is in diverse steden deze problematiek door gemeenteraadsleden aangekaart. Manuel Aalbers publiceerde in 2003 zijn onderzoek Redlining in Nederland, Oorzaken en gevolgen van uitsluiting op de
hypotheekmarkt. Nieuwe Kamervragen naar aanleiding van het onderzoek leidden in 2004
niet tot een nieuw standpunt van de minister van Financiën.12 Hij wees het verzoek om maatregelen tegen postcodediscriminatie bij hypotheekverstrekking af. Dat standpunt is anno 2006 verlaten. De resultaten van het vooronderzoek van de CGB worden naar verwachting in de tweede helft van 2006 bekend gemaakt.13
Sinds 2001 is de Wet Vorderen gegevens financiële sector van kracht. Deze wet is sinds het begin van 2006 vervangen door de bredere Wet Bevoegdheden vorderen gegevens.14 De Wet vorderen gegevens financiële sector verplichtte banken om desgevraagd inlichtingen te verschaffen over financiële transacties van klanten. De Wet Bevoegdheid vorderen gegevens geeft daarnaast een wettelijke grondslag aan het vorderen van gegevens bij andere
organisaties, zoals transportbedrijven en bibliotheken. Door gebruik van informatie- en communicatietechnologie beschikken maatschappelijke instanties en bedrijven steeds vaker over gegevens van personen. Transacties gaan in toenemende mate langs elektronische weg en gegevens worden meer dan voorheen op geautomatiseerde wijze verwerkt en opgeslagen. Bij de opsporing van misdrijven spelen dergelijke persoonsgegevens een onmisbare rol. De nieuwe wet komt erop neer dat in het Wetboek van Strafvordering enkele algemene
bevoegdheden worden opgenomen die zich niet beperken tot één bepaalde bedrijfstak, maar breder van toepassing zijn. Elke bevoegdheid heeft betrekking op een specifieke categorie persoonsgegevens. Zo kan een opsporingsambtenaar ‘identificerende’ gegevens van een bepaalde persoon opvragen. Het gaat dan niet alleen om iemands naam, adres, woonplaats, geboortedatum of geslacht, maar ook om zijn of haar klantnummer, nummer van een polis of een rekeningnummer bij de bank. Ook andere gegevens dan de genoemde identificerende gegevens kunnen opgevraagd worden. De officier van justitie komt deze bevoegdheid toe. Het betreft gegevens over diensten die verleend zijn, zoals de duur, de data, de plaats en de aard van de dienstverlening en informatie over rekeningen en ander betalingsverkeer. Tevens biedt het wetsvoorstel de mogelijkheid zogenaamde gevoelige gegevens te vorderen. Ook
toekomstige gegevens kunnen gevorderd worden. De officier van justitie kan pas van deze bevoegdheid gebruik maken als aan zwaardere voorwaarden is voldaan, zoals de
voorafgaande machtiging van de rechter-commissaris. 2. Telecom
In de sector telecommunicatie neemt internet de belangrijkste plaats in met als meest in het oog springende thema’s spam, phishing, pharming en de bescherming van minderjarige bij cyberseks. De (mobiele) telefonie staat op de tweede plaats en is tegenwoordig nauw verweven met het internet.
Meer dan 10.000 mensen hebben hun handtekening gezet onder de petitie van de
Consumentenbond voor veilige digitale producten en diensten. In deze petitie stelt de bond de eis dat beveiliging een standaard onderdeel wordt van het aanbod. Consumenten worden steeds meer geconfronteerd met veiligheidsproblemen, op de eigen computer met
12 Aanhangsel Handelingen II 2003/04, nr. 243.
internetaansluiting én bij internetdomeinen. In de praktijk blijkt het voor de consument moeilijk zich (goed) te beveiligen tegen ongewenste mail en inbraak op de computer. Daarom pleit de Consumentenbond ervoor dat computerleveranciers, internetproviders en
dienstenaanbieders op internet veilige producten en diensten leveren. Dat zou concreet beteken dat consumenten niet meer zelf hun beveiliging moeten aanschaffen en instellen, maar dat die beveiliging een standaard onderdeel is van het product of de dienst.15
Twee van die gevaren op het internet zijn phishing en pharming.
Vanuit het criminele circuit worden soms – uit naam van onwetende bedrijven – emails verzonden waarin men vraagt om persoonlijke gegevens. Phishing heet dat, ofwel hengelen naar gegevens.16 De e-mailadressen worden vaak verkregen door middel van spyware die via electronische post of bij een bezoek aan een website ongemerkt de computer van de
consument is binnengedrongen. Consumenten die op het verzoek ingaan, lopen kans slachtoffer te worden van fraude. Inmiddels is een Anti-Phishing Working Group opgericht die bestaat uit vertegenwoordigers van banken, financiële instellingen, internet server providers, hardware bedrijven en e-commerce bedrijven.17 Zo paste eBay op verzoek van de Consumentenbond haar controle-mail aan consumenten aan.18 Dit digitale veilinghuis controleert de identiteit van zijn klanten en vroeg daarbij aan sommige gebruikers per email om een kopie van een legitimatiebewijs, een recent bankafschrift en een geldig
telefoonnummer. Het bedrijf zal voortaan duidelijk beschrijven hoe ontvangers kunnen controleren of de email echt van eBay afkomstig is. Op die manier kan de consument controleren of hij met een geval van phishing te maken heeft.
Pharming is verreweg de meest verraderlijke vorm van internetoplichting. De daders kapen
hierbij een complete website door gebruik te maken van de Domain Name Server (DNS). Dat is het systeem dat het in de browser van de consument ingevoerde webadres vertaalt in een unieke cijferreeks, het zogenoemde IP-adres. Deze adressen worden bewaard op speciale DNS-servers. Door de DNS te kapen kunnen de criminelen achter IP-adressen komen. Bij
pharming wordt gebruik gemaakt van zogenoemde Trojaanse paarden. Deze virusdragers
kunnen meekomen met e-mail, maar ook binnenkomen vanaf besmette websites. Op deze wijze kan de consument nog ander ongerief treffen: spyware en spam.
Als veel consumenten een spambericht aanstootgevend vinden, kan dat voor de OPTA reden zijn om een onderzoek te starten naar de verzender.19 Dat blijkt uit het boete- en
handhavingsbeleid dat de telecomwaakhond in 2005 op zijn site heeft gepubliceerd.20 De OPTA is in Nederland belast met het handhaven van het spamverbod. De OPTA erkent dat het niet mogelijk is om naar aanleiding van elke spamklacht op te treden. Daarom heeft de organisatie een aantal criteria opgesteld om de 'ernst van de overtreding' vast te stellen. Zo zullen spamberichten waarover veel klachten binnenkomen, eerder tot een onderzoek leiden. Ook recidiverende spammers kunnen op bovengemiddelde aandacht van de OPTA rekenen. Als een spammer zijn identiteit via 'meer geavanceerde methoden' probeert te verhullen, is dat volgens de OPTA eveneens een 'verzwarende factor'. Als voorbeeld noemt de toezichthouder het gebruik van zogenoemde zombiecomputers bij het verzenden van spam.
Het verzenden van ongevraagde (reclame)e-mail aan privé-personen is sinds 19 mei 2004 verboden. Artikel 11.7 van de Telecommunicatiewet (het "spamverbod") schrijft voor dat verzenders toestemming moeten hebben van de ontvanger, voordat zij reclame per e-mail
15 Nieuwsbericht Consumentenbond 19 april 2006.
16 Zie bijvoorbeeld: Postbank-phishing overspoelt Nederland, Nu.nl, 4 juni 2005. 17 www.antiphishing.org.
18 Nieuwsbericht Consumentenbond 14 augustus 2006. 19 Webwereld 5 augustus 2005.
versturen. Ook moet uit de e-mail duidelijk blijken wat de identiteit van de verzender is en waar de ontvanger zich kan afmelden voor toekomstige e-mails. OPTA heeft sinds de inwerkingtreding van het spamverbod een speciale website in gebruik genomen,
www.spamklacht.nl, met informatie over het spamverbod en de mogelijkheid klachten over spam in te dienen. Deze klachten vormen een belangrijke bron voor onderzoek voor OPTA. Op een voorstel ligt tot wijziging van de Telecommunicatiewet, waarbij de spamregel ook van toepassing wordt verklaard op rechtspersonen.21
Hinderlijk kan het ook zijn als de privacy van een internet gebruiker niet wordt respecteerd door zijn of haar contacten op het internet. Op internet lijkt zich een nieuwe seksuele revolutie te voltrekken.22 De huidige generatie jongeren tussen de 12 en 18 jaar zou massaal gebruik maken van chatboxen voor het leggen van sexuele of sexueel getinte contacten. Dit is een van de uitkomsten van een onderzoek onder 11.000 jongeren dat de Stichting Mijn Kind Online liet uitvoeren. Er wordt niet alleen veelvuldig geflirt, maar een op de vier jongens en een op de vijf meisjes heeft naar eigen zeggen het afgelopen half jaar wel eens ‘cyberseks’ met iemand gehad. Iets meer dan de helft van de jongens en iets minder dan de helft van de meisjes heeft in die periode een afspraak in real life gehad met iemand die ze op internet hadden ontmoet.
Veel jongens en meisjes die op internet worden geconfronteerd met seksueel getinte vragen of verzoeken geven aan dat ze in zo’n geval doorgaans niet 'iets vervelends' hebben
meegemaakt. Volgens de onderzoekers kunnen jongeren kennelijk minder leuke ervaringen makkelijker van zich af laten glijden. Mogelijk zorgt de anonimiteit op internet, die de kans op vervelende ervaringen vergroot, er ook voor dat dergelijke ervaringen als minder ernstig worden ervaren dan in het echte leven, stellen de onderzoekers. De onderzoekers concluderen wel dat kinderen meer bewust moeten worden van de risico's van internet. Kinderen moeten vaardigheden leren die voorkomen dat ze dingen doen en zien die ze niet willen. Inmiddels hebben zich in de praktijk gevallen voorgedaan waarbij beeldmateriaal van een meisje dat seksuele handelingen met zichzelf verricht buiten haar medeweten en zonder haar
toestemming door haar ‘internetvriend’ op het net is geplaatst. Bijkomend probleem is dat dergelijk materiaal vrijwel niet meer van het internet te verwijderen is.
In hoeverre is een internetprovider verplicht gegevens van de consument aan derden te verstrekken? De postzegelhandelaar Pesser vordert van internetprovider Lycos een smadelijke tekst over hem te verwijderen en de persoonsgegevens van de abonnee die de tekst geplaatst had aan hem te verstrekken. De Hoge Raad beslist dat deze gegevens verstrekt moeten worden omdat het voldoende aannemelijk was dat de verspreide informatie onrechtmatig en schadelijk is.23 Eerder ving Stichting BREIN bot bij het Amsterdamse hof. Providers hoeven geen NAW-gegevens van hun klanten af te geven als in redelijkheid kan worden betwijfeld dat de IP-adressen betrekking hebben op abonnees die illegaal muziekbestanden aanbieden vanaf hun computer. Voor deze vraag legt het hof een strengere maatstaf aan de dag dan bij het geschil tussen Lycos en Pessers.24
In het kader van de bestrijding van zware criminaliteit en terreur zijn er de afgelopen jaren tal van maatregelen van kracht geworden met implicaties voor bijna alle voor de consument relevante sectoren. Hierboven kwam al even de Wet Vorderen gegevens financiële sector van 2001 aan de orde. Er wordt vaak aangenomen dat de terreuraanvallen in de Verenigde Staten
21 Kamerstukken II, 2006/07, 30 845, nrs. 1-3. 22 www.nu.nl 1 juni 2006.
van 2001 en de daarop volgende terroristische aanslagen in Madrid en Londen de onmiddellijke aanleiding zijn geweest tot een geheel nieuwe stroom van maatregelen en bevoegdheidsuitbreidingen. Dit is niet helemaal terecht. De terreuraanslagen in het nieuwe millennium lijken een al aanwezige tendens eerder te hebben versterkt. In Nederland waren al vanaf het einde van de jaren tachtig van de twintigste eeuw aanzienlijke
bevoegdheidsuitbreidingen van politie, justitie en de inlichtingendiensten ingezet. Deze kwamen voort uit de toenemende aandacht voor zware georganiseerde misdaad aan de ene kant, en de voortgaande ontwikkelingen in de informatie en communicatietechnologie aan de andere kant.25 Veel van deze maatregelen hebben te maken met de mogelijkheden tot het meekijken met of tappen van telecomactiviteiten (GSM, vaste telefoon en internet), het opslaan en overdragen van verkeersgegevens (telefonie en internet) en het opslaan en overdragen van gegevens over klanten en leden. Relevant zijn de volgende wetten en maatregelen:
- Wet Computercriminaliteit I (1993) en II (2006): geven aan politie en justitie de
bevoegdheid om computernetwerkverkeer af te tappen (I) en leggen op ieder die daartoe in staat moet worden geacht de plicht om mee te werken aan de ontsleuteling van gecodeerde berichten (II);
- Wet Mobiele telecommunicatie (1994), Wet Telecommunicatie (1998), Wet Vorderen telecommunicatiegegevens (2004) en de aanleg van een centrale databank met alle
telefoonnummers: faciliteren tappen en vorderen verkeersgegevens (wie heeft wannneer en waar met wie gebeld?);
- Wet Bijzondere opsporingsbevoegdheden (Wet BOB) (2000): faciliteert voor politie en justitie observatie, infiltratie, pseudo-koop, inkijken, gebruik van informanten, direct afluisteren en tappen
- Wet Inlichtingen en veiligheidsdiensten (2002 en 2004): faciliteert voor de
veiligheidsdiensten aftappen, ontvangen, opnemen en afluisteren van elke vorm van gesprek, telecommunicatie of gegevensoverdracht
Daarnaast wordt binnenkort de Europese richtlijn inzake dataretentie geïmplementeerd.26 Dit betekent dat providers binnenkort de gegevens over het telecomverkeer dat via hen plaats vond langer dan voorheen moeten bewaren en toegankelijk moeten houden voor politie en justitie.
De bevoegdheden mogen steeds vaker niet alleen voor de opsporing worden aangewend maar ook voor verkenning – onderzoek waarmee wordt nagegaan of er mogelijk een strafbaar feit zal plaats vinden en, zo ja, door wie. Ook lijken de begrenzingen op de uitoefening van de bevoegdheden in de vorm van toezichtmechanismen en toestemmingsvereisten steeds verder naar beneden te worden bijgesteld. De kans dat een gewone beller, emailer of surfer die niets met terreur of criminaliteit van doen heeft onderwerp van onderzoek door politie, justitie of de veiligheidsdiensten wordt, lijkt daardoor met de dag toe te nemen.
3. Vervoer
De maatregelen die sinds 9/11 zijn getroffen om terrorisme tegen te gaan hebben inmiddels ook hun weerslag op het internationale vervoer van consumenten. Veel aandacht is daarbij uitgegaan naar het verstrekken van passagiersinformatie aan de VS en het biometrisch paspoort. Voor de beschrijving van de ontwikkelingen in verband met Passenger Name
25 Anton Vedder, ‘Niets meer te verbergen en toch bang. 9/11 en de privacy van de doorsnee burger’ Filosofie en
Praktijk 2006 (jg. 27), nr. 5, p. 47-61.
Records (PNR-gegevens) verwijzen wij naar de bijdrage van Holvast en Michels in dit nummer. Daarnaast roept de aanstaande ingebruikstelling van de OV-chipkaart ook vragen rondom privacy van de consument op.
Een belangrijke ontwikkeling bij het internationaal vervoer is de invoering van het paspoort met biometrische gegevens, medio 2006. De minister van Bestuurlijke Vernieuwing en Grote Stedenbeleid pleit voor de inrichting van een centrale administratie van paspoorten en
reisdocumenten. Hiermee wijkt de bewindsman af van het algemene principe dat in Nederland personenadministraties van de overheid in beginsel decentraal worden opgezet (bijvoorbeeld in de GBA). Door de introductie van het biometrische paspoort zal ook deze administratie biometrische gegevens gaan bevatten. De opname van deze gegevens is gebaseerd op de EG Verordening inzake veiligheidskenmerken en biometrische gegevens in door lidstaten afgegeven paspoorten en reisdocumenten.27 Een centrale administratie van biometrische gegevens houdt onmiskenbaar risico’s van misbruik en onjuist gebruik in. 28 Hierbij is te denken aan identiteitsdiefstal en –misbruik. Ook kan men denken aan het gebruik en misbruik van de informatie die (indirect) uit de biometrische gegevens is af te leiden. Het is de vraag of deze bestanden hiertegen in voldoende mate beschermd kunnen worden.29 Aan het gebruik van biometrische gegevens voor identificatie en verificatie kleven echter ook meer basale problemen. Er is aangetoond dat het gebruik van biometrische data voor persoonsherkenning nog steeds niet onfeilbaar is. Identificatie of verificatie op basis van deze gegevens zal dus altijd een foutmarge inhouden. Ook is er al vele malen gewaarschuwd voor “function creep”
– bewust of onbewust aangebrachte verschuivingen of verbredingen in het gebruik van de
gegevens – zowel op het paspoort als in een eventueel centraal bestand. Zo kan men verwachten dat de biometrische gegevens ook steeds vaker in de private sector bij
toelatingscontroles gebruikt gaan worden. Daarnaast is te verwachten dat politie, justitie en inlichtingendiensten de gegevens zullen willen gaan gebruiken voor opsporing en
verkenningsonderzoek. De centrale opslag van biometrische gegevens vergemakkelijkt de koppeling en gegevensuitwisseling met andere bestanden, in Nederland en in Europa. Deze uitwisselingsmogelijkheid faciliteert verdere verschuivingen in het gebruik. Bovendien wordt de controle die een individu kan uitoefenen op het gebruik van diens persoonsgegevens bemoeilijkt of zelfs onmogelijk gemaakt. Bij biometrische gegevens gaat het om bijzondere informatie, zoals gezichtskenmerken die rasgegevens bevatten. De opslag van deze gegevens moet op basis van het geldende recht daarom met strengere en niet met minder strenge eisen worden omkleed. De noodzaak van de opslag van deze gegevens moet expliciet worden afgewogen tegen de risico’s van deze opslag voor de rechten en vrijheden van het individu. In 2006 wordt in enkele regio’s in Nederland reeds geëxperimenteerd met de zogenoemde OV-chipkaart. Het is de bedoeling dat uiterlijk 1 januari 2009 de nationale strippenkaart en het gewone papieren treinkaartje worden vervangen door een OV-chipkaart. De
Consumentenbond verlangt van de Tweede Kamer goede afspraken voor de reiziger over onder andere privacy en tarieven en het testen van het systeem.30 De OV-chipkaart kan voor reizigers veel gebruiksgemak opleveren en het openbaar vervoer aantrekkelijker en veiliger maken. Voorwaarde is dat het systeem goed werkt en gebruikersvriendelijk is. Bovendien mag het de consument niet teveel kosten. Over het bewaken van de privacy zijn nog geen
27 Verordening 2252/2004 van 13 december 2004. 28 Kamerstukken II 2005/06, 25 764, nr. 29.
29 Zie ook de opmerkingen van de Permanente Commissie van deskundigen in internationaal vreemdelingen-,
vluchtelingen- en strafrecht in een brief van 2006 aan de regering over dit onderwerp: www.commissie-meijers.nl.
afspraken gemaakt. De Consumentenbond vindt naar onze mening terecht dat de minister hierin veel duidelijker de regie op zich moet nemen.
Eveneens in 2006 heeft de regering bekend gemaakt dat in 2012 de zogenoemde kilometerheffing zal worden ingevoerd. Dit systeem zal de wegenbelasting en de BPM (Belasting personenauto’s en motorrijwielen) vervangen. Het houdt in dat gemotoriseerde weggebruikers gaan betalen voor het aantal kilometers dat ze feitelijk rijden, waarbij de kosten per tijdstip en plaats kunnen verschillen. De bedoeling van het systeem is om door een variabel prijzensysteem het selectief gebruik van de voertuigen te bevorderen en files tegen te gaan. Ten behoeve van het systeem zal een registratie moeten worden opgezet met behulp van navigatiesytemen en satellieten of GSMs en mobiele netwerken. Ook hierbij is van
verschillende kanten – onder andere door de ANWB – gewezen op de noodzaak om risico’s voor de privacy van de weggebruiker goed af te schermen. In het licht van de aanvang 2006 van kracht geworden Wet Bevoegdheden vorderen gegevens en de voorgenomen verruiming van de bevoegdheden tot het vorderen van gegevens door de inlichtingen en
veiligheidsdiensten is te verwachten dat politie, justitie en de inlichtingendiensten de invoering van de OV-chipkaart en de kilometerheffing met veel belangstelling tegemoet zien.31
4. Midden- en kleinbedrijf
In het midden- en kleinbedrijf (inclusief voetbal) staat de bescherming van de persoonlijke levenssfeer onder druk door het gebruik van zwarte lijsten, RFID-chips en biometrie. De telemarketing blijft eveneens een privacygevoelig thema.
Niet alleen bij de financiële dienstverleners zijn waarschuwingsregisters in gebruik, maar ook in het Midden- en kleinbedrijf (MKB). Bij het CBP zijn sinds de introductie in 2001 zulke lijsten aangemeld. Bedrijven en instellingen gebruiken waarschuwingsregisters en zwarte lijsten steeds vaker om zich te weren tegen wanbetalers of lastpakken. De voorzitter van het CBP, Jacob Kohnstamm, bevestigde dit naar aanleiding van berichtgeving uit de krant. Hij is redelijk tevreden over het feit dat partijen zich goed blijken te houden aan de meldingsplicht. Bij tijd en wijle zal het CBP kijken hoe de lijsten in de praktijk werken. Er gelden strenge regels dat de informatie vertrouwelijk blijft en de aangemelde personen moeten weten dat ze geregistreerd staan. Bovendien moet kenbaar zijn hoe de consument weer van de lijst kan afkomen. Het blijft volgens ons daarnaast van belang dat consumenten een inzage en
correctierecht hebben opdat misverstanden of fouten uit de wereld kunnen worden geholpen en zij niet van (primaire) diensten worden uitgesloten.
Soms is een zwarte lijst juist de consument van dienst. Zo is de Consumentenbond blij dat er een zwarte lijst voor de luchtvaart is gekomen. De bond heeft in het verleden herhaaldelijk gepleit voor meer duidelijkheid voor de consument. Weliswaar legde de Inspectie Verkeer en Waterstaat ook al een vliegverbod op aan maatschappijen die niet aan de veiligheidseisen voldeden, maar er waren wel verschillen tussen de lidstaten. Daarom kon het voorkomen dat een luchtvaartmaatschappij niet in het ene land mocht landen, maar wel in het andere. De lijst is te raadplegen via internet.32
In 2006 werd opnieuw de aandacht getrokken door de veelbelovende mogelijkheden van de
Radio Frequency Identifiers (RFID). De RFID is een uiterst kleine computerchip. Deze bevat
een uniek nummer dat met ontvangstapparatuur van buitenaf kan worden afgelezen. Met de
31 Zie Vedder, a.w.
chips wordt tot nu toe voornamelijk geëxperimenteerd in winkels om redenen van logistieke doelmatigheid. Producten worden voorzien van een RFID en bij de kassa gescand. Daarbij wordt dan aan het unieke nummer van het product een prijs of andere informatie gekoppeld. Op deze manier kan zeer flexibel met informatie worden omgegaan en kan de verwerking van producten vrijwel geheel machinaal plaats vinden. Uiteraard kunnen de chips ook worden uitgelezen voor andere doeleinden. In principe kunnen ook mensen worden voorzien van een RFID door middel van een onderhuidse injectie of door plaatsing van de chip in een bril, horloge, of kledingstuk. Ook is plaatsing van een RFID in het nieuwe biometrische paspoort overwogen. Het aanbrengen van RFIDs met een uniek nummer bij mensen kan de nodige informatie over die personen opleveren. Het maakt de unieke identificatie van personen mogelijk in omgevingen waarin zij tot nu toe een grote mate van anonimiteit genieten. Tevens is het niet bij voorbaat uit te sluiten dat ook in omgevingen waarin identificatie wel gewenst is, derden de desbetreffende informatie eveneens uitlezen. Mogelijk zijn deze problemen te voorkomen door subtiele beveiligingsmaatregelen. Ook het gebruik van RFIDs in zaken die door personen gebruikt worden kan echter informatie over die personen opleveren. Zo is bekend van de RFID-experimenten in de Duitse en Britse detailhandel dat deze onbedoeld veel informatie over het koop- en winkelgedrag van individuele klanten opleverden. Als men al niet bewust een koppeling tot stand bracht tussen een specifieke klant en de nummers van de producten die hij had aangeschaft, was het vaak al mogelijk om in de gegevens die werden verzameld patronen te ontdekken die beantwoordden aan het koopgedrag van afzonderlijke klanten. Deze profielen konden vervolgens worden gebruikt in plaats van de traditionele persoonsidentificerende gegevens. Ook hier weer is het verre van ondenkbaar dat overheden op grond van de Wet Bevoegdheden vorderen gegevens en de uit te breiden bevoegdheden tot het vorderen van gegevens voor de inlichtingendiensten gebruik zouden willen maken van dergelijke gegevens.
In de sector van het MKB zullen consumenten er toch al rekening mee moeten houden dat hun persoonsgegevens en koopgedrag onderwerp van onderzoek vormen van politie, justitie en de veiligheidsdiensten. Dit is mogelijk dankzij de reeds vaker genoemde Wet Bevoegdheid vorderen gegevens en de binnenkort verwachte bevoegdheidsuitbreidingen van de
veiligheidsdiensten. Inmiddels is een voorbeeld van de grootschalige toepassing van de genoemde wet bekend. Het betreft een toepassing buiten de private sector. Bij een onderzoek naar een gewapende overval op een juwelier in Vught heeft de officier van justitie in maart 2006 de gegevens van 250 bezoekers van de nabijgelegen bibliotheek opgeëist. Wonderlijk genoeg waren het juist de openbare bibliotheken die al in de voorbereidingsfase van de wet met een conferentie in maart 2005 en met persberichten hebben getracht de uiteindelijke strekking van de wet te laten inperken.33 In het licht van de bijzondere eisen die de concurrentiepositie stelt aan het imago van ondernemingen betreffende hun omgang met klantgegevens, is het zeer de vraag of een toepassing in de private sector ook bekend zou worden.
Het aanplakken van foto’s van winkeldieven is niet toegestaan.34 Een alternatief is digitale gezichtsherkenning in de winkel. Volgens het Platform Criminaliteitsbeheersing Amsterdam-Amstelland (PCA) is dat technisch, juridisch en financieel haalbaar.35 Dat is de conclusie van het ‘Haalbaarheidsonderzoek Tegenhouden winkelcriminaliteit met Gezichtsherkenning’ dat het platform heeft laten uitvoeren. Het PCA is een samenwerkingsverband van onder andere de gemeente Amsterdam, de politie Amsterdam-Amstelland, het Openbaar Ministerie en
33 Zie http://sitegenerator.bibliotheek.nl/fobid/overig33/overig33.asp#Wetsvoorstel. 34 Rb Amsterdam 26 augustus 2004, LNJ AQ7877.
ondernemers in Amsterdam. Het platform wil de digitale gezichtherkenning als proef uitproberen en kijken of zo een instrument ontwikkeld kan worden om winkeliers te ondersteunen bij de aanpak van winkelcriminaliteit. Tijdens de proef zal in één winkel een camerasysteem alle bezoekers filmen en vergelijken met twee gegevensbestanden: één van de winkeliers voor het handhaven van winkelverboden en één van de politie met gegevens over veelplegers van winkelcriminaliteit. De politie maakt een selectie van veelplegers. De
gezichtsherkenning wordt ingezet om winkelverboden te handhaven. Als de computer iemand herkent krijgt de winkelier een signaal zodat hij actie kan ondernemen. Door middel van een convenant tussen politie, justitie en de ondernemer worden afspraken gemaakt welke
bevoegdheden de winkeliers hebben.
Biometrie moet ook in het voetbal uitkomst bieden. Om ongewenste bezoekers te kunnen weren worden voetbalsupporters in de toekomst geïdentificeerd via biometrische herkenning, zoals een irisscan. Feyenoord, Ajax en Vitesse gaan hiermee in het seizoen 2006-2007 experimenteren.36 Een eerder voorstel van de minister van Binnenlandse Zaken, Remkes, waarin werd verplicht een identificerende foto als bezoeker van het stadion te dragen, is door de clubs van de hand gewezen.
Blijvend punt van aandacht is naast de hiervoor genoemde spam, de ongevraagde reclame die via de brievenbus of telefoon bij de consument terecht komt. De nieuwe dienst Bel-me-niet.nl zegt particulieren te kunnen uitsluiten van ongewenste commerciële telefoontjes. Voor €5,95 kunnen consumenten zich abonneren op de dienst. Dat kan ook gratis met de zogenoemde Infofilter, waarbij de consument kan opgeven via welke media hij niet meer benaderd wil worden. De initiatiefnemer van Bel-me-niet noemt het door de direct marketingbranche opgerichte Infofilter een commercieel initiatief. Infofilter adviseert bedrijven om niet met het Bel-me-niet-bestand in zee te gaan. Eerder werd in de Verenigde Staten een ‘do not call’ lijst door de rechter verboden omdat onduidelijk was of de mensen de betreffende organisatie daadwerkelijk gemachtigd hadden en het zou leiden tot oneerlijke mededinging.
5. Slotbeschouwing
Voor de privacy van de ‘gewone’ consument zijn vooral drie zaken van belang: de inzet van nieuwe technieken en technologieën, de nog steeds verder voortschrijdende digitalisering van administraties van overheden en private organisaties en de uitbreiding van de bevoegdheden van politie, justitie en de inlichtingendiensten om bij derden gegevens over hen te vorderen. Vaak kan met die nieuwe technieken en technologieën voor het eerst informatie over tot dan toe onbereikbare aspecten en dimensies van de persoonlijke levenssfeer van consumenten worden vastgelegd en bewerkt. De voortschrijdende digitalisering en de daarmee gepaard gaande behoefte aan gegevensuitwisseling en centrale opslag maakt de controle op het gebruik van de persoonsgegevens voor consumenten uiterst complex. Daarnaast hebben wij laten zien dat de nieuwe bevoegdheden ingegeven door terrorismebestrijding vergaande inbreuken mogelijk maakt op het doen en laten van de consument. Op vrijwel elk terrein van het maatschappelijk leven kunnen de gangen (boodschappen, communicatie en vervoer) van de consument worden nagegaan. De mogelijkheid om greep te krijgen op het privé-leven van de consument wordt niet alleen gemakkelijker gemaakt; zij groeit tevens voor wat betreft de variëteit van bloot te leggen aspecten. Daarnaast kan er met behulp van de nieuwe technieken informatie worden verkregen over privé-aspecten van telkens meer individuen dan voorheen mogelijk was. Door de uitbreiding van de bevoegdheden van de opsporings- en
veiligheidsautoriteiten neemt ook de kans toe op gebruiks- en functieverschuiving van gegevens. De consument moet zich ervan bewust zijn dat de gegevens die over hem door een bank, een telecombedrijf of een winkel worden vastgelegd ten behoeve van een accurate service en dienstverlening eveneens en in toenemende mate voor opsporings- en
verkenningsdoeleinden kunnen worden gebruikt.
