Wojciech Wiewiórowski heeft het gevoel dat zijn hele leven één grote aanloop is geweest naar het moment waarop covid-19 Europa in maart als een vloedgolf overspoelde. Zijn jeugd in communistisch Polen. Zijn promotieonderzoek in staatsrecht. De vier jaar dat hij als datawaakhond in Polen werkte. ‘Dat alles diende als voorbereiding op de uitdaging waar we nu voor staan’, zegt hij. 

Ondanks zijn jarenlange ervaring leert Wiewiórowski veel tijdens de coronacrisis. Toen de pandemie officieel werd uitgeroepen, werd de vijftigjarige EU-topambtenaar – toen pas drie maanden oftewel Europees Toezichthouder voor gegevensbescherming – ondergedompeld in de vreemde wetenschap van de epidemiologie. Europese regeringen begonnen te experimenteren met verschillende digitale oplossingen om de verspreiding van het coronavirus te stoppen, en het was zijn taak om erachter te komen wat deze experimenten voor de privacy betekenden.

Wiewiórowski besloot dat hij die vraag alleen kon beantwoorden als hij als epidemioloog zou leren denken. Alleen dan kon hij beoordelen of de nieuwe covid-19-technologieën die overal opdoken legaal en effectief waren en of ze in verhouding stonden tot het probleem. Hij hield niet langer alleen toezicht op hoe Europese instellingen en lidstaten met persoonsgegevens omgingen, maar probeerde bovendien te begrijpen hoe coronavirussen zich verspreiden en wat immuniteit precies zou inhouden. 

Dit was onbekend gebied. Zelfs de taal die de wetenschappers gebruikten, botste met zijn eigen vocabulaire. ‘We moesten elkaar eerst leren begrijpen,’ zegt hij als ik hem spreek via Skype. ‘Ik kwam er bijvoorbeeld achter dat epidemiologen surveillance als iets goeds zien. Voor mij, als gegevensbeschermingsautoriteit, is surveillance iets om bang voor te zijn.’

De strijd om persoonlijke gegevens

De afgelopen zes maanden heeft Wiewiórowski met zijn team een reeks adviezen uitgebracht aan Europese instellingen en lidstaten over de verwerking van persoonsgegevens. Zo waarschuwde de EDPS enkele dagen nadat temperatuurcontroles werden ingevoerd voor mensen die het gebouw van de Europese Commissie in Brussel betreden, dat dit de rechten van individuen zou kunnen schaden als die gegevens zouden worden opgeslagen. 

Maar de EDPS heeft nog een andere, moeilijkere rol in deze crisis: samenwerken met de nationale van de EU. Het doel is om het Europese beleid overal consequent door te voeren.

Nationale privacywaakhonden hebben vaak onvoldoende financiële middelen en raken verstrikt in de politiek van hun eigen land

Nationale gegevensbeschermingsautoriteiten zijn ontworpen om toezicht te houden op hoe openbare instellingen en bedrijven van een land relevante gegevens- en privacywetten toepassen en om na te gaan waar ze tekortschieten. Maar in tegenstelling tot de EDPS krijgen nationale toezichthouders vaak onvoldoende financiële middelen en raken ze verstrikt in de politiek van hun eigen land, waardoor ze worden afgeleid van hun hoofdtaak: de handhaving van Europa’s veelgeprezen privacyregelgeving, de AVG (Algemene verordening gegevensbescherming). 

‘De meeste databeschermingsautoriteiten bleken niet klaar te zijn om als specialist op te treden’, zegt Wiewiórowski. De uitdagingen voor de nationale toezichthouders zijn enorm. Het coronavirus heeft geleid tot een strijd om persoonlijke gegevens tussen overheden, bedrijven, onderzoekers en zelfs scholen.

De Track(ed) Together-database van laat zien dat er alleen al in Europa 55 corona-apps in ontwikkeling of al geïntroduceerd zijn door overheden en bedrijven in 27 landen. Tegelijk moeten de toezichthouders overzicht houden over een spervuur ​​van nieuwe noodwetten en decreten – die niet door het parlement hoeven te worden goedgekeurd.

Volgens het International Center for Not-For-Profit Law hebben ten minste 90 landen over de hele wereld noodverordeningen aangenomen en hebben 47 landen wettelijke maatregelen ingevoerd die van invloed zijn op de privacy.

‘We moeten organisaties doen inzien dat hun spontane pandemiemaatregelen soms de rechten van individuen schenden en bovendien zinloos zijn. De belangrijkste taak voor ons, als toezichthoudende autoriteit, is om ervoor te zorgen dat ook tijdens deze periode het recht op bescherming van persoonsgegevens gehandhaafd wordt.’

De pandemie heeft aangetoond dat datatoezichthouders tekortschieten

Die nieuwe surveillancetechnologieën maakten dat toezichthouders plotseling in de schijnwerpers kwamen te staan. Daarbij kwamen allerlei gebreken aan het licht. Britse oppositieleden schreven in augustus bijvoorbeeld een aan de waakhond van het Verenigd Koninkrijk, waarin ze kritiek leverden op de effectiviteit van de ‘Niet alleen lijkt de regering niet bereid haar wettelijke plichten onder ogen te zien, ze lijkt ook geen enkele noodzaak te zien uw advies in te winnen, behalve dan als een schild tegen kritiek’, staat in de brief. 

‘Over het algemeen zijn de databeschermingsautoriteiten vrij laks en gaan ze in ieder geval niet echt tegen hun eigen regeringen in’

Advocaat Francesca Fanucci van het European Centre for Not-For-Profit Law erkent dat databeschermingsautoriteiten sterke troeven kunnen zijn. Maar tijdens deze crisis zag ze hoe de privacyrichtlijnen van landelijke privacyautoriteiten van lidstaat tot lidstaat verschilden of in de praktijk werden overtroefd door de noodwetgeving van de betreffende regering. ‘Ik heb nauwelijks verweer tegen de noodmaatregelen gezien’, zegt ze. ‘Over het algemeen zijn de databeschermingsautoriteiten vrij laks en gaan ze in ieder geval niet echt tegen hun eigen regeringen in.’ 

Volgens Fanucci hebben de landelijke databeschermingsautoriteiten een chronisch gebrek aan geld en te weinig effectieve sanctiemogelijkheden of zijn ze niet volledig onafhankelijk. Dat zijn geen nieuwe problemen. De pandemie heeft ze weliswaar aan het licht gebracht, maar In 2019 werd in een onderbelicht rapport van het Europees Comité voor gegevensbescherming al aan de kaak gesteld dat maar een fractie van de zeventien ondervraagde privacywaakhonden de gevraagde budgetverhoging had ontvangen.

Tsjechië zag zelfs een afname van 5 procent in het aantal personeelsleden dat de waakhond zich kon veroorloven. In september kondigde ook de Nederlandse regering aan dat het budget van de Autoriteit Persoonsgegevens zou worden met ongeveer 1 miljoen euro. Tegelijkertijd neemt de werkdruk van de toezichthouders toe. 

In het ene Europese land mag meer dan in het andere

Financiering is zeker niet het enige gebied waarop de databescherming van lidstaat tot lidstaat verschilt. Hoewel de EU naar eenheid streeft, is de beroemde AVG in feite een overkoepeling van allerlei landspecifieke wetgevingen. Zo mochten gezondheidsinstanties in sommige landen geen gegevens van niet-medische bronnen als telecombedrijven of traceringsapps verwerken totdat er een nieuwe wet was aangenomen. 

Alejandro del Río Betancort, databeschermingsspecialist bij advocatenkantoor EY Luxemburg, zegt dat hij hoopt dat een manier vindt om een ​​consistenter systeem te creëren om gegevens te beschermen, aangezien zijn klanten de variëteit verwarrend vinden, vooral als ze kantoren in verschillende landen hebben.

‘In Spanje mochten [werkgevers] bijvoorbeeld vragenlijsten aan hun werknemers voorleggen. Je kon vragen of ze koorts hadden, of ze zich ziek voelden of niet’, vertelt Del Río via Zoom vanuit Luxemburg. ‘Maar andere autoriteiten [in Luxemburg of België] waren veel strenger en zeiden dat alleen artsen over dit soort informatie mochten beschikken.’

Regeringen en niet toezichthouders moeten de aanpak van een land bepalen

Wat ook per land verschilt is in hoeverre databeschermingsautoriteiten iets te zeggen hebben over de technologie die niet door het bedrijfsleven maar door de overheid wordt geïntroduceerd. ‘Niet overal bestaat dezelfde handhavingscultuur’, zegt Estelle Masse, beleidsanalist bij digitale-rechtenorganisatie Access Now. 

Toen de datawaakhond van Noorwegen het nationale gezondheidsinstituut, Folkehelseinstituttet, opdroeg niet langer via traceringsapp Smittestopp gegevens van burgers te verzamelen, gaf het Folkehelseinstituttet daar niet alleen gehoor aan, maar verwijderde het bovendien alle gegevens die het tot dan toe had verzameld. Hoewel vertegenwoordigers van het instituut online mopperden – zonder de app ‘zijn we minder goed uitgerust voor het voorkomen van lokale of nationale uitbraken’, zei directeur Camilla Stoltenberg in een verklaring – is dit hoe het systeem behoort te werken. 

Toen de Duitse privacyautoriteit de regering een wet op te stellen om te voorkomen dat de contactopsporingsapp verplicht zou kunnen worden gesteld door derden, zoals werkgevers, werd ze genegeerd. De Nederlandse overheid om met de landelijke CoronaMelder te wachten tot het gebruik was gereguleerd en de servers waren beveiligd.

De norm van de EU wordt niet overal gehanteerd 

Volgens Wiewiórowski is het niet de bedoeling dat het advies van de databeschermingsautoriteiten tijdens deze crisis bindend is. ‘Ze hebben noch de kennis, noch de expertise, noch de vaardigheden om met pandemieën om te gaan’, zegt hij. In zijn ogen moet de regering van een land de leiding nemen als het gaat om het aanpakken van het virus.

In juni sneed Wiewiórowski nog een andere kwestie aan: de onafhankelijkheid van de nationale gegevenswaakhonden, de DPA’s. ‘Ik wil graag in actie kunnen komen als bijvoorbeeld de onafhankelijkheid van andere databeschermingsautoriteiten in het gedrang komt’, zei hij.

Estelle Masse van Access Now zegt dat het onduidelijk is hoe de EDPS ‘in actie zou kunnen komen’ omdat het orgaan, net als de nationale databeschermingsautoriteiten, slechts een adviserende rol heeft. Maar ze erkent dat databeschermingsautoriteiten niet meer goed functioneren als ze verstrikt raken in de lokale politiek. ‘Wij zien ook scheuren in de onafhankelijkheid die de DPA wordt verondersteld te hebben’, zegt Masse.

Ze wijst op de Hongaarse noodtoestandwet die de privacyrechten van de burgers opschort en evengoed werd verdedigd door de zogenaamd onafhankelijke privacywaakhond van het land. ‘De DPA probeerde de bezorgdheid in Brussel weg te nemen door te zeggen: maak je geen zorgen, het is maar tijdelijk. Dat verwacht je niet van onafhankelijke toezichthouders.’

De Nederlandse overheid voert ‘buitengewone omstandigheden’ aan ter rechtvaardiging van haar contactopsporingsapp, maar juist die omstandigheden maken goed toezicht op de gegevensbescherming zo belangrijk

Volgens Masse verklaart dit voorbeeld, in combinatie met het feit dat politici het advies van DPA’s negeren, waarom de Europese waakhonden weinig effectief zijn. Doordat hun advies niet bindend is en ze beperkte sanctiebevoegdheden hebben, durven maar weinig toezichthouders net als de Noren krachtige waarschuwingen te geven die tegen hun eigen regering ingaan – misschien wel uit angst dat hun gezag wordt uitgehold als ze steeds opnieuw worden genegeerd.

De Nederlandse overheid voert ‘buitengewone omstandigheden’ aan ter rechtvaardiging van haar contactopsporingsapp, maar juist die omstandigheden maken goed toezicht op de gegevensbescherming zo belangrijk. Alleen als covid-19-technologie wordt gebouwd volgens de hoge norm die in Europa is vastgesteld, kan worden voorkomen dat onze onlinerechten ons in een vlaag van paniek worden afgenomen. 

‘Momenteel wordt de norm van de EU niet overal gehanteerd’, zegt Masse. ‘Zo ervaren we niet de voordelen [van verworvenheden als de AVG].’

Databewakers worden wereldwijd onder de loep genomen 

Niet alleen in Europa worden toezichthouders op het gebied van databescherming onder de loep genomen. Over de hele wereld heeft de recente stormloop op persoonlijke gegevens landen gedwongen hun eigen bescherming op dit gebied te herzien. 66 procent van de landen heeft niet eens gegevensbeschermings- of privacywetgeving, terwijl landen als Botswana, Chili, Tunesië, Jordanië en Kenia wel wetten hebben, maar geen toezichthouder om de naleving daarvan te controleren.

‘We kunnen er in Botswana niks tegen doen als informatie voor iets anders wordt gebruikt dan voor het traceren van contacten, omdat de aangenomen wet inzake gegevensbescherming niet langer van kracht is’, vertelde Senwelo Modise me in juli. Hij is advocaat bij databeschermingsspecialist

Op andere plaatsen heeft de crisis tot plotselinge maatregelen geleid. Zo is in Brazilië en Zuid-Afrika de lang bediscussieerde wetgeving inzake gegevensbescherming nieuw leven ingeblazen, en zijn deze zomer nieuwe wetten aangenomen. 

Volgens Verónica Arroyo, beleidsmedewerker van Access Now in Latijns-Amerika, is dit in ieder geval in Brazilië het directe gevolg van het coronavirus. ‘De regering nam voorlopige maatregelen aan met als boodschap: wacht, we zijn nog niet klaar voor de gegevensbeschermingswet, die gaan we nog even uitstellen [tot mei 2021]’, zegt ze. ‘Maar het maatschappelijk middenveld drong erop aan om een databeschermingswet in te voeren, omdat het van mening was dat er regels voor de overheid en het bedrijfsleven moesten komen omtrent het gebruik van gegevens ter bestrijding van het virus.’ De Senaat heeft het uitstel kunnen voorkomen en de gegevensbeschermingswet van Brazilië is nu van kracht. 

Wel de regels, niet de handhaving

Maar Europa laat zien dat zelfs de beste wetgeving niks uithaalt als er geen goed functionerende toezichthouders zijn. 

‘Het minste wat we van de regering verwachtten was dat ze ons zouden raadplegen bij het opstellen van de verordening over het opsporen van contacten’

In Zuid-Afrika, waar de laatste onderdelen van de databeschermingswet van het land op 1 juli in werking zijn getreden, lijkt de regering de toezichthouder al aan de kant te hebben gezet. Pansy Tlakula vertelde me dat het besluit van de regering om een ​​gepensioneerde rechter aan te stellen om toezicht te houden op de nationale contacttracering ‘verwarrend’ was, aangezien haar bureau voor databescherming klaar was om diezelfde taak uit te voeren.

Tlakula zegt: ‘We waren ons er destijds van bewust dat onze wet niet van kracht was, maar het minste wat we van de regering verwachtten was dat ze ons zouden raadplegen bij het opstellen van de verordening over het opsporen van contacten. Wat het ook is dat de rechter doet, wij hadden het ook kunnen doen.’

Tlakula vraagt zich verder af hoe realistisch het is goed toezicht te houden met een budget van 45 miljoen rand (2,3 miljoen euro). Daarmee kan het kantoor zich maar 16 personeelsleden veroorloven – terwijl Duitsland er bijvoorbeeld 250 heeft. Tlakula begrijpt dat het een moeilijke tijd voor de organisatie is om meer geld te vragen: het bbp van Zuid-Afrika is op het hoogtepunt van de lockdown gedaald met 20 procent.

‘We zijn ons ervan bewust dat het land voor een enorme economische uitdaging staat’, zegt Tlakula. ‘Maar ze zouden moeten weten dat we een start-up zijn en wat meer middelen nodig hebben om deze organisatie op poten te zetten. Als ze de economie – de digitale economie – willen opbouwen, die afhankelijk is van data, dan staat onze instelling behoorlijk centraal.’

Zolang de nationale privacywaakhonden niet worden gezien als een soort digitale politiemacht, zullen overheden zich niet genoodzaakt voelen er extra geld voor vrij te maken. Maar deze crisis herhaalt zich en het is belangrijk dat de toezichthouders hun werk kunnen doen. Er is geen andere organisatie die de technische oplossingen van de regering onder de loep kan nemen en samenlevingen kan beschermen tegen technische covid-19-maatregelen die schadelijk blijken te zijn.

Voordat we kunnen praten over Europese consistentie, moeten de toezichthouders zich in eigen land manifesteren als bewakers van onze gegevens. Als de huidige kritiek op de toezichthouders blijft aanhouden, kan het virus misschien ook dat proces een beetje versnellen. 

Vertaald uit het Engels door Laura Weeda

Lees verder

Telecombedrijven weten waar je heen gaat en met wie je afspreekt. En daarom spelen ze nu een hoofdrol in de coronacrisis Telecombedrijven spelen al jaren gevoelige data door aan overheden. De pandemie maakt die samenwerking nog hechter. In ten minste dertig landen gebruiken overheden nu telecomdata in de hoop daarmee de verspreiding van corona tegen te gaan – en de bedrijven noch de overheden leggen daar verantwoording over af. Lees het verhaal hier terug