Business
Trending
TechPulse op WhatsApp Windows 11 Philips Hue Alles over e-bikes
Business
Redactie TechPulse

Willem Debeuckelaere (CBPL): "Zijn wij in Europa niet katholieker dan de paus?"

De basisprincipes van de privacywet hebben de vijftien jaar sinds ze van kracht zijn, goed overleefd. Dat vindt Willem Debeuckelaere, voorzitter van de Privacycommissie die over de navolging van deze wet waakt. Toch stellen de technologische ontwikkelingen heel wat nieuwe uitdagingen.

Op 8 december 1992, vijftien jaar geleden dus, werd de wet op de privacy van kracht. Die wet werd ondertussen wel al een aantal keren bijgewerkt, onder meer door de Europese privacydirectieve van 1995. En verdere aanpassingen blijven nodig om de veranderingen bij te benen.

“Dat is de aard van het beestje”, zegt Willem Debeuckelaere. “Maar de basisprincipes blijven overeind: de finaliteitsvereiste, het feit dat persoonsgegevens maar mogen worden verwerkt voor welbepaalde, nauwkeurig omschreven en gerechtvaardigde doeleinden. Dat is eigenlijk de mantra van de bescherming van de persoonsgegevens. Dat gaat hoe dan ook blijven, denk ik, ook als de wetgeving en de procedures wat aangepast moeten worden. Al zijn er natuurlijk een aantal zaken die voorbijgestreefd zijn.”

IT Professional: Zoals wat?
Willem Debeuckelaere: Toen het verdrag 108 van de Raad van Europa is geschreven (in 1981, nvdr), dacht men in termen van grote mainframes. Grote zalen waar, 24 uur op 24, zoemende gegevensbanden met informatie stonden te draaien en waar maar een paar enkelingen toegang toe hadden. Vanuit dat schrikbeeld is het idee gekomen, dat men de verwerking van persoonsgegevens moet aangeven bij de Privacycommissie. Maar nu zitten we in de wereld van de netwerken, met heel snelle dataverbindingen.

We moeten nu kijken welke verbindingen er zijn, welke de mogelijkheden zijn om informatie razendsnel rond te sturen en erop in te breken. Daar zitten nu de grote problemen. Dat zou consequenties kunnen hebben voor de toepassing van de wet. U kunt hier het openbaar register van de aangiften raadplegen. En u zou zich dan een beeld kunnen vormen van waar in België persoonsgegevens over u worden verwerkt. Maar dat is vandaag een illusie, denk ik.

Hebben bedrijven ooit werkelijk consequent die aangiftes gedaan?
Ik denk dat er heel wat verwerkingen niet worden aangegeven. Vaak omdat men niet weet dat het moet. Wijzelf proberen daaraan tegemoet te komen door sector per sector contact op te nemen. Wij hebben nu bijvoorbeeld met de verzekeringswereld een soort protocol afgesloten waardoor zij vereenvoudigde aangiften kunnen doen. En dat werkt. In die zin dat heel wat aangiften nu de laatste maanden zijn binnengekomen vanuit die verzekeringswereld. We hebben hetzelfde gedaan met het katholiek onderwijs en met thuisverpleging.

Wat zijn de belangrijke leemten in het huidige Europese privacysysteem?
Het grootste probleem, denk ik, ligt in de internationale werking. Op het Europese vlak heeft de privacydirectieve schitterend werk geleverd. De uitwisseling van persoonsgegevens in Europa is volkomen vrij wanneer wordt voldaan aan de voorwaarden. Maar naar buiten de Europese Unie kan die uitwisseling niet, tenzij er een adequate bescherming is. Men zegt niet ‘gelijkwaardig’, men spreekt van ‘adequaat’, wat eigenlijk betekent dat de Europese Commissie elke keer akkoorden moet sluiten, procedures moet ontwikkelen. Bijvoorbeeld met de Verenigde Staten, Israel of India.

En dat betekent natuurlijk dat er heel wat gegevensverwerking gebeurt, de wereld rond, die ontsnapt aan die beschermingsmechanismen van Europa. Waarbij je dan de vraag kunt stellen: zijn we binnen de Europese binnengrenzen niet katholieker dan de paus, terwijl we alles dat daarbuiten gebeurt maar blauw-blauw laten?

Vandaag kan men grote gegevensbestanden snel en gemakkelijk met elkaar verbinden. Moet de wetgeving dat aanpakken?
Wel, men probeert dat. Bijvoorbeeld met de Kruispuntbank Sociale Zekerheid. Die kan eigenlijk een beetje model staan voor hoe men probeert binnen dat datasharing-, dataminingconcept toch een aantal gegevens af te schermen waar dat mogelijk is. Natuurlijk, voor toepassingen in de privé hebben we daar veel minder zicht op. Er is de aangifte van gegevensverwerking, maar er moet geen machtiging worden gegeven.

Nu, ik denk dat het bijna onzin is om te denken dat men alle mogelijke informatiestromen kan controleren, men kan zich zelfs de vraag stellen of dat in een democratische maatschappij wel goed zou zijn. En als gegevens op een onrechtmatige manier worden gebruikt, kan men nog altijd een beroep doen op de rechtbank wanneer er schade wordt geleden. Dus ik denk dat die nieuwe toepassingen eigenlijk toch wel in het bestaande systeem opgevangen kunnen worden. Denken dat men alles gaat kunnen controleren is een illusie, en ik denk ook niet dat het moet.

In de Swift affaire, waar de Amerikaanse inlichtingendiensten toegang kregen tot Europese betalingsgegevens, bracht de CBPL een heel kritisch advies uit. Maar heeft dat eigenlijk wel enig effect?
Ik denk dat we met zeer veel trots mogen terugkijken op wat wij toen hebben gedaan. De Swift affaire heeft juist aangetoond dat het van groot belang is dat wanneer zoiets aan het licht komt, dat een data privacy commissie dat aan de kaak kan stellen. Dat we zeggen dat hier dingen zijn gebeurd die niet door de beugel kunnen, noch volgens de privacywet, noch volgens de internationale rechtsregels rond het uitwisselen van informatie in het kader van terrorismebestrijding of witwasoperaties.

Op dit ogenblik stellen wij vast dat Swift na enkele maanden wachten toch een totaal andere politiek is gaan voeren. En daar zullen ook wel commerciële overwegingen aan ten grondslag liggen, ik maak mij daar geen illusies over.
U doelt op dat nieuwe datacenter van Swift in Zwitserland?
Dat is één van de elementen, een ander element is dat ze privacy expliciet hebben opgenomen in hun policy.

Maar uiteindelijk kunt u Swift niets opleggen.
Dat advies heeft geen dwingende kracht. Maar dat sluit niet uit dat ofwel de privacycommissie ofwel een particulier op basis van die aanbeveling – in zoverre die niet gerespecteerd wordt door Swift – naar de rechter kan gaan.

Operatoren en weldra ook ISP’s moeten voortaan gegevens bewaren over de communicatie van hun klanten. Is die niet in tegenspraak met de privacywet?
De ’twee-jaar-regel’ is duidelijk een inbreuk op de privacy. In de mate dat kan worden aangetoond dat het effectief een surplus geeft in het politiewerk, kan men erover discussiëren of het al dan niet gerechtvaardigd is. En dat moet de toekomst uitwijzen.

Er zijn wel twijfels over of men inderdaad die twee jaar in tijd moet kunnen terugkeren. En er zijn trouwens plannen in de Verenigde Staten, als ik het goed begrijp, om gegevens nog veel langer bij te houden, men spreekt van 13 jaar. Dan wordt er een verhaal opgedist, over vingerafdrukken die gevonden zijn bij een bizar incident in de VS, en diezelfde vingerafdrukken zijn gevonden op een Amerikaanse basis in Duitsland en bij een zelfmoordterrorist in Beiroet.

Dit soort merkwaardige verhalen moet aantonen hoe belangrijk het is dat men al die gegevens, ook telecommunicatiegegevens moet bijhouden. Dat kost natuurlijk een enorm bedrag aan hardware en ondersteuning, en soms kan ik mij niet van de indruk ontdoen dat dat hierin meespeelt. Ik vind dat men vanuit privacyoverwegingen toch ook wel eens mag vragen dat die praktijken worden geëvalueerd. Dat er wordt nagekeken: is er einderdaad een positieve balans? In de Swift affaire werd ook gegoocheld met successen die men zou hebben behaald door die occulte vorm van toezicht op rekeningen.

Wat zijn de grote uitdagingen die eraan komen, op het vlak van privacy?
In België zijn er zeker twee zaken die echt geregeld moeten worden; Er zijn pogingen geweest van minister Reynders en meneer Jamart om de privacy te regelen in de fiscaliteit. De problematiek van de data mining dus. Er zijn twee voorstellen geweest rond die problematiek, en die hebben geleid tot
twee negatieve adviezen van de privacycommissie. De parlementaire discussie daarover is gestart maar net voor de verkiezingen is die spaak gelopen. Dat is echt wel een van de grote uitdagingen voor de volgende jaren.

Wij zeggen niet dat data mining onder bepaalde omstandigheden niet mag. Wij zeggen dat het moet gebeuren op een manier die door de wetgever klaar en duidelijk wordt voorgeschreven. Als voor elke ingezetene van dit land op een systematische manier alle mogelijke databanken aan elkaar gekoppeld worden, de ultieme data mining dus, daar zijn wij wél tegen, omdat er proportionaliteit moet zijn. Er moeten op zijn minst toch een aantal ernstige aanwijzingen zijn om een dergelijke machinerie in gang te zetten.

Maar de grootste uitdaging op Belgisch vlak, denk ik, is de problematiek rond e-health en het platform dat door de federale regering is opgezet waarmee alle gegevensstromen in de medische sector zouden moeten worden ondersteund. Dat wat onder de twee-jaar-regel zal worden gestockeerd door de telecomoperatoren is waarschijnlijk veel minder gevoelig dan de medische gegevens die op dit ogenblik, ik zal niet zeggen vrij circuleren, maar toch, die een vrij onduidelijke status hebben. Wij hebben geluk dat de medische wereld privacy diep in haar cultuur heeft ingebed, via het beroepsgeheim.

Maar wij krijgen meer en meer vragen vanuit de medische wereld, zowel vanuit de ethische comités van ziekenhuizen als vanuit de overheidsinstellingen die erbij betrokken zijn of klassieke instellingen zoals de orde van geneesheren. Dat moet de komende maanden door de volgende regering dringend aangepakt worden.

blogbusinessitprofessional
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business