Jacob Kohnstamm weigerde in 1971 medewerking aan de laatste volkstelling – en is sinds 2004 voorzitter van het College bescherming persoonsgegevens (CBP). Hij heeft goed nieuws voor de advocatuur: ‘Het CBP creëert een markt door niet meer te adviseren, maar te handhaven.’
Carrière
‘Ich bin ein Langstudierder, om met Alexander Pechtold te spreken,’ vertelt Jacob Kohnstamm (1949) opgewekt en ontspannen. Maar luiheid zal het niet geweest zijn, want tijdens zijn studie beleefde hij een glansrijke carrière als inkoper bij een firma voor plaatmaterialen, was hij student-assistent en bovendien actief voor D66. ‘Toen ik in 1977 afstudeerde, kon ik gaan werken als wetenschappelijk medewerker, of lijsttrekker worden voor D66 in Amsterdam. Maar als je uiteindelijk geen hoogleraar wordt, of wanneer je in het onzekere bestaan van politicus je post weer verlaat, moet je iets hebben om op terug te vallen. Daarom leek het me verstandig eerst een vak te leren; dat werd de advocatuur.’
Die theorie van Kohnstamm bleek wel te kloppen. Na ruim drie jaar advocatuur bij Boekel, Van Empel en Drilling mocht hij éven de Tweede Kamer in – om binnen een jaar weer op straat te staan. ‘Dat was in de tijd van het rampzalige kabinet-Van Agt/Den Uyl/Terlouw.’ Hij werd weer advocaat, maar nu bij een kleine kantoorcombinatie met een voornamelijk sociale praktijk in Amsterdam. ‘Het gaf voldoening mensen één voor één te helpen, maar om iets aan de grote ongelijkheid in de maatschappij te doen heb je toch de politiek nodig.’
Volkstelling
Na drie jaar kon hij weer de Kamer in. ‘Ik was toonaangevend in het euthanasiedebat, dat heb ik echt een stap verder kunnen brengen.’ Kohnstamm schopte het tot staatssecretaris op Binnenlandse Zaken (met onder meer het grotestedenbeleid, ICT bij de overheid en veel paspoortperikelen), werd Eerste Kamerlid en had nog een paar jaar een eigen adviesbureau. Zijn sollicitatie naar het burgemeesterschap in Utrecht liep uit op een teleurstelling. Hij werd in 2004 voorzitter van het CBP. Daar kwam in 2010 het voorzitterschap van Article 29 Data Protection Working Party (kortweg: WP29, de verzamelde Europese privacytoezichthouders) bij. Een mooie bestemming, vindt Kohnstamm. ‘In 1971 heb ik al geweigerd mee te werken aan de laatste volkstelling. Ik heb de papieren nog liggen. De boete was 400 gulden, maar die heeft men vanwege al het verzet laten varen. Uit de protestbeweging van toen is uiteindelijk het College bescherming persoonsgegevens voortgekomen.’
Thole en Van der Jagt: basiskennis?
Elisabeth Thole en Friederike van der Jagt, de advocaten die elders in dit blad advocaten bijpraten over de privacypraktijk, stellen ook enkele vragen aan Jacob Kohnstamm.
Welke basiskennis vindt u dat een advocaat moet hebben op het gebied van privacy?
Kohnstamm: ‘Dat de wet zegt: verzamel en verwerk persoonsgegevens alleen als het nodig is. Ga er doelgericht mee om. Verstrek die gegevens in beginsel niet aan derden en zorg voor adequate beveiliging. Geef mensen inzage in hun eigen gegevens en het recht hun gegevens te corrigeren. Als je op deze basiselementen alert bent, kun je je cliënt al een eerste paar vragen voorhouden.’
Visie
Heeft zijn passie voor privacy te maken met zijn familieachtergrond? Kohnstamm: ‘Wat ik van mijn familie uit de Tweede Wereldoorlog als geëmotioneerde opdracht heb meegekregen is de rule of law met hand en tand te beschermen. Mijn vader heeft in de oorlog als gijzelaar in kampen gezeten en daar de gevolgen van het ontbreken van de rule of law letterlijk aan den lijve ervaren. Kort na de oorlog raakte hij in de ban van de gedachte dat kolen en staal onder een gemeenschappelijke autoriteit moesten worden gebracht om oorlog tussen Duitsland en Frankrijk in de toekomst te voorkomen [Max Kohnstamm, vader van Jacob, was van 1952 tot 1956 de eerste Secretaris van de Hoge Autoriteit van de Europese Gemeenschap voor Kolen en Staal, de voorloper van de EU, red.]. Die wens om het emotionele te vertalen naar het rationele heb ik ook. Een concreet voorbeeld uit de praktijk van het CBP: als je ziek wordt, moet je je blootgeven bij de arbo-arts. Als die arbo-arts vervolgens aan de werkgever de inlogcode van je medisch dossier geeft, ligt daar je hele hebben en houden op tafel. Maar het gaat je werkgever niet aan welke ziekten je onder de leden hebt. Die gegevens zijn van jou en van niemand anders. De wet moet voorkomen dat mensen in hun rechtmatige vrije ontwikkeling worden belemmerd doordat bepalende organisaties zonder noodzaak of toestemming gebruikmaken van hun persoonsgegevens.’
Maar de tijdgeest dan, zegt die niet vooral: wie niets te verbergen heeft, heeft ook niets te vrezen? Kohnstamm: ‘Als mensen dat zeggen, vraag ik: “Mag ik uw creditcardgegevens dan even, en de inlogcode van uw internetverbinding? Wat verdient u, en welke blote bladen koopt u?” Dan zeggen mensen: “Dat gaat je niets aan”, en terecht! De aanslagen van 11 september hebben ons op achterstand gezet, alles en iedereen moest wijken voor de “oorlog tegen terrorisme”. Maar ik zie in de publieke opinie nu een kentering. Denk aan de verwerping van het elektronisch patiëntendossier, aan het recente relletje rond de op afstand af te luisteren voicemail, de beperking van de bewaarplicht van verkeersgegevens voor internetproviders, de ingrijpende wijziging op het wetsontwerp over de slimme energiemeter. Zoekmachines zoals Yahoo maken reclame dat ze de kortste bewaartermijn hebben! In de private sector schuilt overigens groter gevaar dan binnen de overheid – die wordt altijd nog gecontroleerd door het parlement, en ook de pers zit daar meer bovenop.’
Pavlovreactie
Toch sneuvelde de etnische registratie van ‘risicojongeren’ in de deelgemeente Charlois pas door tussenkomst van het CBP. ‘Klopt, al was er politiek ook wel weerstand. Zo’n registratie is een pavlovreactie: we hebben een probleem, laten we een database aanleggen. Dan kan de bestuurder na vier jaar iets laten zien, maar het probleem is er niet mee opgelost.’ Charlois kreeg uiteindelijk een last onder dwangsom opgelegd: stoppen met de registratie op straffe van een dwangsom van H 2.000 per dag, of aantonen dat het aangevoerde doel voor de etnische registratie – betere hulpverlening aan de desbetreffende jongeren – daarmee ook daadwerkelijk gediend was.
Het past in de trend die het CBP in 2007 heeft ingezet: minder adviseren, meer handhaven. ‘We zijn met het CBP in 2001 van start gegaan en hebben toen de nadruk gelegd op het uitleggen van de wet. Dat kon niet anders, de wet was nieuw en vol open normen. In 2007 hebben we onszelf geëvalueerd en besloten om vrij radicaal op te houden met het jaarlijks beantwoorden van 6.000 individuele verzoeken om uitleg. In plaats daarvan zijn we op zoek gegaan naar overtredingen. Een NMa-achtige inval, een onderzoek en een maatregel die publiek gemaakt wordt: het maakt veel meer indruk dan al die uitleg. In Europees verband zie je dat 60, 70% van de toezichthouders nu op die lijn zit.’
Thole en Van der Jagt: fusie?
De OPTA, de Consumentenautoriteit en de NMa gaan per 1 januari 2012 fuseren. Waarom doet het CBP niet mee?
Kohnstamm: ‘Ik sta natuurlijk niet te springen om een fusietraject in te gaan, maar los daarvan: het CBP functioneert onder een Europese richtlijn die volledige onafhankelijkheid voorschrijft. Bovendien gaat het bij ons niet alleen om marktwerking: privacy is een fundamenteel recht.’
Haaks
Is het niet onmogelijk om de privacy te beschermen gezien de invloed van internet? Wie bijvoorbeeld ‘Jacob Kohnstamm’ googelt, krijgt 84.600 resultaten. ‘Ik ben een publiek persoon, dat hoort erbij. Maar je zult er denk ik niet vinden dat ik nog kort heb meegedaan aan de bezetting van het Maagdenhuis. Een mens heeft het recht in leeftijd en opvatting te veranderen, zich optimaal te ontwikkelen. Veroordeelden die zes jaar geen strafbaar kattenkwaad hebt uitgehaald, hebben weer recht op een verklaring van goed gedrag. Internet en het recht om te vergeten staan heel vaak haaks op elkaar. Eurocommissaris Viviane Reding is vast van plan daar in een nieuwe beschikking of verordening paal en perk aan te gaan stellen.’
Advocatuur
Die ommezwaai van het CBP naar handhaving betekent handel voor advocaten. Kohnstamm: ‘Je ziet dat grote bedrijven wakker worden. Denk aan de ontwikkelaars van de ov-chipkaart, het EPD, Google, ziekenhuizen die databases ontwikkelen. Wij geven geen gratis advies meer. Daardoor is de advocatuur met een interessante inhaalslag bezig. Op advocatenkantoren worden nu cursussen gegeven over wat te doen als het CBP bij een cliënt binnenvalt. En er is onlangs een vereniging voor privacyrecht opgericht.’
Zou het beter met de privacy gesteld zijn als de advocatuur wat eerder in actie was gekomen? Kohnstamm ziet dat niet zo. ‘Een advocaat gaat pas lopen als er vraag is, dat is de aard van het beestje. Dat advocaten die vraag niet zelf hebben gegenereerd, heeft ook te maken met het feit dat het individuele recht op privacy vaak lastig te vertalen is in financiële termen. Er is meestal weinig materiële schade. De oplossing ligt erin dat je met massaclaims gaat werken.’
Thole en Van der Jagt: meldplicht?
De melding die van elke verwerking van persoonsgegevens moeten worden gedaan: dat is een enorme administratieve rompslomp zonder dat de meerwaarde altijd even duidelijk is. Dat is ook uit de evaluaties van de Wbp gebleken. Maar de WP29 wil die meldingsplicht toch deels handhaven. Is al bekend waar dit naartoe gaat?
Kohnstamm: ‘Een grote meerderheid in WP29 heeft aangegeven een voorkeur te hebben voor beperking van de meldingsplicht voor risicovolle verwerkingen. Te denken valt aan zaken als DNA-gegevens en medische informatie. Het CBP zelf wilde verder gaan en de meldingsplicht geheel afschaffen, maar vormt daarmee een minderheid binnen WP29. Wat de Europese Commissie uiteindelijk gaat voorstellen, moet nog blijken.’
Zelf uitzoeken
Maar in hoeverre dat juridisch mogelijk is – daar houdt Kohnstamm zich niet mee bezig. ‘Het is aan de advocatuur en bijvoorbeeld consumentenorganisaties om de mogelijkheden in die richting te onderzoeken. Ik zie hier een vakgebied met een vrij rijke toekomst. Er zijn veel open normen. Soms komen advocaten nog vragen: “Hoe moet ik dat uitleggen?” Maar dat moeten ze zelf gaan uitzoeken. Er is nu ook al een jurisprudentiebundel, er is een paar keer tot aan de Raad van State geprocedeerd. Steeds vaker gaan verantwoordelijken met hulp van advocaten tegen onze beslissingen in bezwaar en beroep. En als de pakkans groter wordt, en er straks hopelijk meer bevoegdheden zijn, zal die markt nog groter worden.’
Toekomst
Want daar ligt de ambitie van Kohnstamm: het CBP moet meer armslag krijgen. ‘De last onder dwangsom is een gele kaart, maar je hebt ook een rode kaart nodig in de vorm van een boete, en die mogelijkheid ontbreekt. Neem de arbodienst die willens en wetens de medische gegevens van werknemers aan werkgevers doorgaf: die had ik een boete willen geven. Dat geldt ook voor de officier van justitie die via automatische kentekenregistratie nummerborden laat filmen terwijl de politie weet dat het illegaal is.’ Schertsend: ‘Het kost me als Amsterdammer moeite het toe te geven, maar langs Zwolle rijden maakt een mens nog geen verdachte. En eigenlijk had ik de overheid ook willen beboeten omdat ik ze in 2005 al heb laten weten dat de regionale EPD’s een wettelijke grondslag misten.’
Daarnaast verwacht Kohnstamm heil van een verplichting om in concrete gevallen openbaar te rapporteren, net als de AFM. ‘Nu kunnen partijen de rechter vragen het CBP te verplichten met openbaarmaking te wachten totdat in hoogste instantie is beslist. Het publiek blijft dan al die tijd in het ongewisse.’ Bij zo’n versterkt college past ook een stoerdere naam. Het CBP gaat wat hem betreft Nederlandse Data Autoriteit heten, vertelt Kohnstamm. In een Algemeen Overleg vorig jaar over de voorgenomen vernieuwing van de Wet bescherming persoonsgegevens kreeg hij voor deze suggestie de steun van een meerderheid in de Tweede Kamer.
Thole en Van der Jagt: komende jaren?
Wat wil het CBP voor de komende twee jaar?
Kohnstamm: ‘Geef ons meer mensen, meer budget en meer bevoegdheden. En de verplichting om openbaar te rapporteren. Nederland kan niet volhouden dat privacy buitengewoon belangrijk is en dat dan overlaten aan tachtig mensen die geen stevige boetebevoegdheden hebben.’
Forumshoppen
Maar hoe sterk ook, een Nederlandse autoriteit zal het nooit alléén kunnen. ‘Een aantal grote problemen moet je internationaal aanpakken. Neem Google Streetview, dat is in Nederland heel anders is opgenomen dan bijvoorbeeld in Groot-Brittannië en Ierland. En buiten Europa, in de Verenigde Staten en veel Aziatische landen, heeft men helemaal een andere opvatting: daar ziet men privacy als consumentenrecht, niet als grondrecht. Dat maakt gemeenschappelijke regelgeving lastig. Je loopt het risico dat de grote jongens gaan forumshoppen, zich gaan vestigen waar het met de bescherming van persoonsgegevens niet zo nauw wordt genomen. En hoe moet het met cloud computing, het bij uiteenlopende providers opslaan van relevante informatie? Welk rechtsstelsel heeft het in die cloud voor het zeggen?’
Binnen Europa kan Kohnstamm als voorzitter van de WP29 in elk geval een belangrijke bijdrage leveren aan het internationale debat. ‘We zijn nu bezig met het formuleren van een advies aan de Europese Commissie. Rond de zomer komt de Europese Commissie met nieuwe voorstellen voor de Europese privacywetgeving. Geweldig om zo nauw betrokken te zijn als de toekomstige regelgeving op het gebied van privacy wordt geschreven.’