Jacob Kohnstamm stelde vorige week dat het College Bescherming Persoonsgegevens geen activist is en moet zich houden aan hoor en wederhoor. Maar de kritiek op het CBP is breder dan dat. Gerrit-Jan Zwenne van de Universiteit Leiden, advocaat bij Bird & Bird in Den Haag heeft felle kritiek op de privacywet, die hij te gedetailleerd en te weinig effectief vindt. Het CBP vindt hij vaak, samengevat, te slap acteren.
Zwenne verbaast zich over de uitspraken van Kohnstam. ‘Het meest opmerkelijke van dit interview, behalve dan het uitgesproken taalgebruik en de soms wat verongelijkte toonstelling van CBP-voorzitter, is wat mij betreft de opmerking dat privacywetgeving niet ingewikkeld is en dat de wetgeving juist eenvoudig is. Dat is, zacht gezegd, tamelijk eigenwijs. Die opmerking gaat in tegen de bevindingen van een handvol evaluaties van de privacywet. Iedere keer weer blijkt dat de wet lastig en ingewikkeld wordt gevonden, overigens niet alleen door degenen die zich eraan moeten houden maar toch ook door de mensen die erdoor worden beschermd en de toezichthouders die de wet handhaven. De privacywet is natuurlijk niet eenvoudig. En dat blijkt eigenlijk al meteen als we kijken naar de vier hoofdregels of uitgangspunten die de CBP-voorzitter noemt’.
Organisaties mogen alleen gegevens verzamelen die noodzakelijk zijn. Maar wat is ‘noodzakelijk’ in de praktijk voor een zoekdienst, sociaal net, webmaildienst, adverteerders etc.? ‘Hetzelfde geldt voor wat moet doorgaan voor zorgvuldig gebruik van persoonsgegevens en ook voor de vereiste goede wijze van beveiliging. Is een USB-opslagmedium veiliger dan een dropbox? In sommige opzichten misschien wel, in andere opzichten niet. De wet staat vol met abstracte normen en open begrippen, die naar hun aard op verschillende manieren kunnen worden geconcretiseerd’.
Simone Fennell, juriste gespecialiseerd in privacy, is milder: ‘Het komt mijns inziens juist doordat mensen zich bewuster worden van hun privacy en hun rechten dat we het CBP op de vingers kijken. Aan interviews of krantenberichten valt wat mij betreft niet te toetsen of er sprake is van falen of presteren van een organisatie als het CBP. Ik geloof namelijk gerust dat de organisatie zelf zijn stinkende best doet om de diverse klussen te klaren. En dat het CBP hierbij gebonden is aan regels lijkt me, hoewel soms lastig, niet meer dan noodzakelijk om rechtsonzekerheid te voorkomen’.
Daarentegen vindt Bas Seelen van reclamebedrijf Eyeota dat privacytoezicht eenzijdig is: ‘Wat mij opvalt is dat privacykwesties nog louter over online gaan. Privacyschendingen buiten internet lijken niet meer voor te komen. Wanneer het dan over online privacy gaat, wordt alles op een hoop gegooid; dat wat de overheid doet, dat wat de reuzen (Facebook, Google) en de rest van de markt (voornamelijk online advertising partijen). De overheid en de reuzen worden op dezelfde manier benaderd dan de rest. Dit terwijl hun activiteiten veel meer invloed op privacy hebben en verder gaan dan wat een online advertising partij doet. Waarom geen aparte benaderingen hiervoor ?’
Ook vindt Seelen dat er op gebruik van cookies een veel te zwaar accent ligt: ‘Cookies plaatsen is iets heel anders dan gebruik van mac-adressen van modems en IP-adressen, maar wordt hier wel in één adem mee genoemd. Alleen is het gebruik van IP adressen en mac-adressen van modems niet zo ‘in your face’ als retargeting banners van een schoenenboer. En daar wringt die gekochte schoen’.
De nadruk bij het CBP ligt sterk op het bedrijfsleven, terwijl toch de overheid een aanzienlijke schender is van privacyregels, zoals de WRR vaststelde. De Wetenschappelijke Raad voor het Regeringsbeleid heeft zware kritiek op handhaving van privacy. Die schiet principieel tekort. Zo wordt volgens de WRR vooral tegen het ongebreideld koppelen van bestanden door overheden veel te weinig ondernomen. Ook vindt de WRR dat het CBP vaak nationale wetten onder de schijnwerper houdt, maar dat de privacyhandhaving bij de uitwerking in de praktijk door bijvoorbeeld lokale overheden gatenkaas is.
Het CBP zelf vindt dat het veel te weinig middelen heeft om te controleren en te straffen. Deze week stelde het CBP dat de meldplicht voor datalekken uitgebreid moet worden en dat het CBP meer armslag moet krijgen.