Interview

'Mijn data verkopen? Dan ben ik liever ouderwets'

"Iedereen moet in één oogopslag kunnen begrijpen welke persoonsgegevens een app allemaal verwerkt. Dat kun je alleen op internationaal niveau aanpakken." Beeld Phil Nijhuis

Jacob Kohnstamm, inmiddels tien jaar de waakhond van onze privacy, krijgt eindelijk de bevoegdheid hoge boetes uit te delen. Maar is dat voldoende?

Whatsapp en Facebook? Nee, Jacob Kohnstamm gebruikt ze niet. De privacywaakhond - of zoals hij zelf liever zegt: toezichthouder als het gaat om de bescherming van persoonsgegevens - kijkt wel uit.

"Ik betaal eerder met mijn centen voor sms'jes, dan dat ik met de gegevens uit mijn adressenboek betaal. Uit onderzoek van ons bleek dat Whatsapp ook de nummers uit dat adressenboek opslaat van de mensen die de dienst niet gebruiken. Die gegevens zijn veel waard."

Online te slingeren
Zou het niet ook een generatiedingetje kunnen zijn? Kohnstamm (65): "Genoeg mensen van mijn leeftijd die gewoon facebooken, whatsappen en twitteren. Waarom zou ik? Die opvatting is geheel privé, maar ik heb niet de behoefte om continu met allerlei mensen te communiceren. Of heel snel mijn mening online te slingeren. Ik wacht liever tien tellen voor ik iets zeg. En wat ik dan zeg, meen ik ook echt."

Ook tijdens het gesprek in zijn werkkamer op het Haagse hoofdkwartier van het College bescherming persoonsgegevens (CBP) praat Kohnstamm rustig en bedachtzaam. Eerder deze week werd het wetsvoorstel dat het CBP een boetebevoegdheid moet geven naar de Tweede Kamer gestuurd, iets waar hij al jaren voor pleit.

Kohnstamm is nu tien jaar de belangrijkste man bij het CBP. Een periode waarin de privacy volgens hem tevoorschijn kwam uit 'een donker hoekje waar het kwaad zich schuil houdt'. Want zo werd er tien jaar geleden, nog in de naweeën van de aanslagen van 11 september 2001, aangekeken tegen privacy: dat was iets waar criminelen, terroristen en kindermishandelaars behoefte aan hadden.

Tegenwoordig mag je volgens Kohnstamm zeggen dat je belang hecht aan je persoonlijke levenssfeer. "Het beeld dat weinig mensen zich daar druk over maken, klopt niet. Als mensen zeggen 'ik heb niets te verbergen', bedoelen ze vaak: ik heb geen kwaad in de zin. Maar dat betekent niet dat ze niet hun leven willen leiden zoals ze dat zelf kiezen."

Beheerst
In de afgelopen tien jaar stond de privacy ook geregeld onder druk. Een greep uit de zaken waar Kohnstamm zich mee bezig hield: de OV-chipkaart, waarvan de NS de reisgegevens van treinreizigers wilde opslaan voor marketingdoeleinden. Swift, het bedrijf dat het internationale betalingsverkeer beheert, dat gegevens ongevraagd aan de Amerikanen bleek door te spelen. Het rekeningrijden, waarbij ook de privacy in de auto onder druk kwam te staan. En Google dat de privacyvoorwaarden veranderde zodat voortaan alle gegevens van de diensten aan elkaar worden gekoppeld.

Een enkele keer haalde Kohnstamm dan flink uit. Zo dreigde hij in 2007 'desnoods het hele betaalverkeer' plat te leggen in de Swift-zaak. Dat werkte, er werden afspraken gemaakt en de gegevensuitwisseling gebeurde niet meer heimelijk. Maar vaak reageerde de toezichthouder op de kwesties beheerst, formeel en genuanceerd.

Slaat u wel vaak genoeg met uw vuist op tafel?
"Dat ik genuanceerd overkom, ervaar ik als een compliment. Als er geen reden is om te schreeuwen, dan doe ik dat niet. Ik ben er het type niet naar om als een razende door een porseleinkast te gaan.

"Dat betekent niet dat ik nooit uithaal. Tijdens besprekingen met de NS over de invoering van de OV-chipkaart, ben ik op een gegeven moment opgestaan en heb ik mijn spullen gepakt. 'See you in court'. De NS bleef maar vasthouden aan het idee om de reisgegevens aan persoonsgegevens te koppelen. Het werkte, de plannen werden aangepast."

U haalt dus vooral achter de schermen uit?
"Zo vaak wordt er eigenlijk niet gezegd dat ik niet stevig genoeg ben. Juist te stevig, hoor ik uit de overheid en de private sector. Ze zijn niet blij dat ik regelmatig mijn mening verkondig in de media.

"Soms werkt het ook niet. Ik heb een keer in een nieuwsluwe tijd gepleit voor een forse boetebevoegdheid voor het CBP, desnoods voor degene drie hoog achter die de fout in gaat met persoonsgegevens van grote groepen mensen. Dat werd helemaal verkeerd uitgelegd. Het heeft ertoe geleid dat het wetsvoorstel dat ons boetebevoegdheid geeft een tijdje in de ijskast heeft gestaan. Deze week werd het voorstel dan eindelijk naar de Tweede Kamer gestuurd."

Laat u door uw nuance en formele houding wel genoeg aan het publiek zien: ik ben degene die uw privacy bewaakt?
"Journalisten bellen vaak met de vraag: dit gebeurt er, wat vindt u er van? Ik zeg dan: dank voor de tip, we gaan onderzoek doen, u hoort van ons. Dat kan bijna een jaar duren. Ik begrijp best dat dat wel eens frustrerend is. Maar dat is wat ik doe als toezichthouder. Ik heb gedegen onderzoek en feiten nodig om uit te halen.

"Privacyvoorvechters hebben dat niet, die roepen vaak stevig. Die grote bek is goed, diep in mijn hart ben ik het soms ook met ze eens. Maar zij hoeven niet voor de rechter te staan om zich daarvoor te verantwoorden. Stel ik roep iets, en dat houdt uiteindelijk niet stand in de rechtbank, dan hang ik straks aan de hoogste boom. Je moet voorzichtig zijn met hoe je met wettelijke bevoegdheden omgaat, met je gezag."

Dat gezag kan hij goed gebruiken om bijvoorbeeld invloed uit te oefenen op wetsvoorstellen, zegt Kohnstamm. Of om de maatschappij te waarschuwen. Zoals nu, voor de gevolgen van big data. Want hoewel de grote hoeveelheden gegevens van mensen die worden opgeslagen en geanalyseerd mooie kansen bieden, bijvoorbeeld in de gezondheidszorg, maakt Kohnstamm zich flinke zorgen. Afgelopen zomer besloot hij daarom dat hij luider gaat waarschuwen voor deze trend.

"Het gevaar van big data is dat al die databases worden gekoppeld en dat je wordt geprofileerd op basis van onbekende algoritmes. Vaak zonder dat je het weet word je op basis daarvan op een bepaalde manier behandeld. Wat betekent dat voor de zelfontplooiing? Ik ben in mijn studententijd intensief betrokken geweest bij de studentenopstand, ik heb de laatste volkstelling geweigerd, ik heb drie maanden door de VS gereisd met lang haar, ik ben actief geweest in de politiek en nu ben ik toezichthouder. Ik heb de kans gehad me in vrijheid te ontplooien. Kan dat nu nog steeds? Kun je als je in je jonge jaren als dubbeltje werd geprofileerd, nog wel een kwartje worden?"

Je hoort vaak: al die informatie over zichzelf geven mensen toch vrijwillig af? Afgezien van u, zijn we massaal aan het facebooken en whatsappen.
"Dat is een misvatting. Sinds ik vanochtend ben opgestaan, heb ik waarschijnlijk al zo'n tweehonderd signalen afgegeven, die nu ergens in een database staan. Met mijn telefoon, de sites die ik heb bezocht, de reis die ik heb gemaakt met drie verschillende openbaar vervoersbedrijven. Die gegevens heb ik niet vrijwillig afgegeven! Dat gebeurde terwijl ik gewoon bezig was mijn taken uit te voeren."

Dan denk ik: toezichthouder, doe er wat aan!
"Daar zijn we ook mee bezig. Ik kan er nu nog niet veel over zeggen omdat het lopende zaken betreft, maar er komen twee belangrijke onderzoeken van ons aan rond big data."

En door de boetebevoegdheid kunt u dan ook echt gaan ingrijpen?
"Dat was de hoop. Maar het voorstel van het kabinet gaat niet leiden tot een betere naleving van de Wet bescherming persoonsgegevens. We krijgen nog steeds niet de mogelijkheid om direct boetes op te leggen. We moeten nog steeds eerst waarschuwen. Bedrijven en organisaties zullen niet de druk voelen. Vergelijk het met boetes voor te hard rijden. Een automobilist die weet dat hij gepakt kan worden, zal eerder geneigd zijn zich aan de maximale snelheid te houden."

U hebt de afgelopen tien jaar regelmatig tevergeefs gepleit voor een uitbreiding van het CBP. Kunt u de ontwikkelingen nog wel bijhouden?
"In 2008 hebben we besloten ons helemaal te richten op controle en handhaving. We adviseren niet langer individuele bedrijven. Dat was niet efficiënt. Nu onderzoeken we een casus in een bepaalde sector, waarvan we hopen dat die als voorbeeld dient voor de rest van de branche. Dat blijkt een groot succes. Toen we een arbodienst aanpakten omdat deze de werkgever inzage gaf in het hele dossier van zieke werknemers, had dat effect op de hele sector. Andere bedrijven dachten: als het CBP bij ons langskomt, dan zijn wij er straks ook gloeiend bij.

"Dat neemt niet weg dat we nou eenmaal met tachtig man zijn en dat betekent dat we zorgvuldig moeten kiezen. We krijgen de kans om een twintigtal grote onderzoeken per jaar te doen. Voordat we een onderzoek starten, moet er daarom een vermoeden van ernstige schending zijn die structureel is, waar veel mensen het risico lopen om slachtoffer van te worden."

Niet altijd vrezen organisaties het CBP. Eerder dit jaar noemde de Nederlandse Publieke Omroep u nog een opa, die geen benul had wat er bij de jongere generatie speelt.
"De NPO misdraagt zich met het plaatsen van cookies op computers van sitebezoekers zonder daar op de juiste manier toestemming voor te krijgen. Punt. De publieke omroep is ook nog met belastinggeld gefinancierd. Dat zijn mijn centen, en dan moet ik ook nog met mijn persoonsgegevens betalen? Het is of je geld of je data, niet beide. Overigens vind ik het in deze context een compliment om opa genoemd te worden. Ik ben liever ouderwets dan dat ik mee ga in het achter de rug van mensen om vermarkten van hun persoonsgegevens."

U hamert vaak op de expliciete toestemming die mensen moeten geven voor de verwerking van persoonsgegevens. Maar kun je van de gemiddelde burger nog wel verwachten dat hij precies begrijpt waarvoor hij toestemming geeft?
"Het is een probleem dat de gemiddelde privacyvoorwaarden langer zijn dan de toneelstukken van Shakespeare. Microsoft heeft het wel eens laten uitzoeken: als werknemers alle privacyvoorwaarden zouden moeten doorlezen van de diensten die zij nodig hebben voor hun werk, dan zouden ze 76 werkdagen per jaar kwijt zijn. Het is helemaal uit de klauwen gelopen.

"Op mijn initiatief werkt een internationale groep experts aan het leesbaar maken van privacyvoorwaarden via iconen. Iedereen moet in één oogopslag kunnen begrijpen welke persoonsgegevens een app allemaal verwerkt. Dat kun je alleen op internationaal niveau aanpakken."

Wie is Jacob Kohnstamm?

Jacob Kohnstamm werd in 1949 geboren in Wassenaar. Hij studeerde rechten aan de Universiteit van Amsterdam en werkte daarna als advocaat. Voordat hij in 2004 werd benoemd tot voorzitter van het College bescherming persoonsgegevens, was hij Tweede- en Eerste Kamerlid voor D66. Namens die partij nam hij van 1994 tot 1998 ook plaats als staatssecretaris van binnenlandse zaken in het kabinet-Paars I. Naast zijn rol bij de Nederlandse privacytoezichthouder was Kohnstamm tot begin dit jaar voorman van 'Working Party 29', waarin de 27 Europese privacywaakhonden samenwerken. Zijn termijn als voorzitter van het CBP eindigt in augustus 2016.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden