Waarom het de goede kant opgaat met de privacy van de Europese burger
Van ‘ietwat depri activist’ tot optimistisch advocaat: Axel Arnbak voorziet een privacylente voor de Europese burger.
Doctor Axel Arnbak, oud-activist van burgerrechtenbeweging Bits of Freedom, ex-promovendus aan het ietwat activistische Instituut voor Informatierecht (IViR), voormalig fellow aan Harvard en Princeton, ziet het zonnig in.
Eindelijk, stelt de jurist, gaat het met onze privacy écht de goede kant op.
Het is op zijn zachtst gezegd een opvallende stelling. Een die je verwacht van een wat naïef type met oogkleppen op - of in ieder geval niet van een van de interessantste Nederlandse jonge denkers over privacy en veiligheid. En al helemaal niet op een medium waar met regelmaat het privacy-armaggedon staat beschreven, niet in de laatste plaats door ondergetekende.
Tijd dus voor een gesprek.
Axel Arnbak (32) is advocaat bij De Brauw Blackstone Westbroek, gastonderzoeker aan het IViR en columnist bij Het Financieele Dagblad. Zijn specialismen zijn privacy, cybersecurity en de Snowden-onthullingen. Wij ontmoetten elkaar voor het eerst in 2010. Hij werkte als pas afgestudeerd jurist voor het net heropgerichte activistische Bits of Freedom, ik was redacteur van Vrij Nederland. We spraken elkaar over een speerpunt van het toenmalige kabinet: digitale oorlogsvoering.
We vonden elkaar in een gedeelde fascinatie voor de manier waarop de Haagse worstenmachine draaide: hoe een totaal gebrek aan openbare feitelijke onderbouwing het kabinet er niet van weerhield tientallen miljoenen te pompen in cyberwar - in een tijd dat er tientallen miljoenen op andere defensietakken werd bezuinigd. Samen verdiepten wij ons in het enorme belangencircus rond deze onbegrepen wereld en grinnikten over de manier waarop toenmalig defensieminister Hans Hillen (CDA) consequent cyberspace uitsprak.
Saiberspees.
Daarna bleven wij elkaar spreken. Er ontstond een soort van vriendschap.
Nu is het als journalist haast nooit handig om iemand te interviewen wiens bruiloft je hebt bezocht, maar ik durf het in dit geval aan. Arnbaks verhaal over de privacylente die ons staat te wachten is verfrissend en de moeite van het vertellen waard. ‘Constitutioneel, politiek, economisch, technologisch, zegt de jurist. ‘We zijn er nog niet, maar het gaat de goede kant op.’
Depri activist
Na zijn periode bij Bits of Freedom begon Axel Arnbak in 2011 aan zijn promotieonderzoek. Hij onderzocht de manier waarop Europese wetgeving en politiek de privacy en beveiliging van het internet zouden moeten reguleren. Hij betitelt zichzelf in die periode als een ‘ietwat depri ex-activist.’
‘Bij Bits of Freedom voerde ik continu campagne, tegen politieke voorstellen als een downloadverbod en een websitefilter. Tijdens zo’n promotieonderzoek krijg je meer tijd om na te denken en staar je nog eens wat langer naar het systeemplafond. Ik kwam erachter hoe centraal surveillance van alle burgers staat voor het uitoefenen van overheidsmacht door een natiestaat. Ik las het werk van James Scott, die beschrijft hoe essentieel het in een verzorgingsstaat is dat de staat zijn burgers kent. Ik zag de centrale rol van surveillance voor het geopolitieke spel van grootmachten. Ik raakte enigszins gedeprimeerd omdat de grondrechten van de burger te midden van al die grote krachten meestal het onderspit dolven. Ik wist wel hoe je een downloadverbod moest bestrijden, maar dit was duidelijk van een ander kaliber.’
Toen kwam 8 april 2014 en had Arnbak voor het eerst door dat er iets fundamenteels was veranderd.
Vanaf die dag is de Europese Unie voor mij een completere Unie
Die dag deed het Europese Hof van Justitie in Luxemburg uitspraak over de massale verzameling en opslag van telecommunicatiegegevens. Europese internet- en telefonieaanbieders moesten sinds 2006 van al hun klanten bijhouden met wie ze bellen, e-mailen en waar ze precies zijn.
Nee, oordeelde het Hof in niet mis te verstane bewoordingen, dit is ‘in strijd met de fundamentele rechten van praktisch de hele Europese bevolking.’ Tientallen miljoenen onschuldige Europese burgers waren jarenlang behandeld als halve criminelen. Stoppen, zei het Hof. Nu.
‘Die richtlijn werd totáál van tafel geveegd,’ zegt Arnbak, en dat was om twee redenen bijzonder. ‘Allereerst omdat het Hof de Europese wetgever en de nationale lidstaten opdroeg hun wetgeving aan te passen, omdat zij gefaald hadden de Europese burger tegen te veel overheidsmacht te beschermen - een grote landmark-overwinning voor de Europese privacybeweging waar Axel Arnbak een prominente rol in speelt. ‘Maar het was óók een overwinning voor de Europese democratie,’ zegt Arnbak, ‘vanaf die dag is de Europese Unie voor mij een completere Unie.’
De kiem van deze nieuwe constitutionele orde is in 2009 geplant, legt Arnbak uit. Toen werd het eigen grondrechtenverdrag van de Europese Unie van kracht, dat een aantal fundamentele veranderingen aanbracht in de Brusselse politieke besluitvorming en structuur. ‘Met het Verdrag van Lissabon zijn een aantal diepe weeffouten in Europa opgelost,’ zegt Arnbak.
Geen Brusselse sluiproutes meer
Een zo’n weeffout noemt Arnbak grappend de ‘Donnerroute,’ naar voormalig minister van Justitie Piet-Hein Donner (CDA). Die route komt er in het kort op neer dat het mogelijk was voor lidstaten als Nederland de eigen nationale parlementen te omzeilen en zo nieuwe wetgeving door te drukken. En Donner maakte daar graag gebruik van.
Arnbak legt uit dat er in 2002 ook al een Europese bepaling bestond die landen de mogelijkheid van een zogenoemde bewaarplicht in te voeren - en zo telecomproviders te verplichten van al hun klanten data over hun bel- en internetgedrag op te slaan. Deze bepaling was vrijwillig.
‘Donner wilde dit graag in Nederland invoeren,’ vertelt Arnbak. ‘Dat was nogal wat. Het zou voor het eerst zijn dat echt iedere Nederlander in de gaten werd gehouden en dat er geen onderscheid werd gemaakt tussen de surveillance van verdachten en van gewone burgers. Tot twee keer toe lukte het Donner niet om deze bewaarplicht door het Nederlandse parlement te krijgen. De Eerste Kamer, de hoeder van onze grondrechten, was er fel op tegen.’
Eind 2005, na de terroristische aanslagen in Londen en Parijs, trok Donner naar Brussel. ‘Samen met andere lidstaten, met onder anderen de Britse premier Tony Blair, heeft hij er toen voor gezorgd dat de vrijwillige bepaling een verplichte richtlijn werd. Het Europees Parlement was daar fel op tegen maar stond buitenspel, want dat had toen nog niets te zeggen over criminaliteit en terrorisme. Toen deze bewaarplicht in Europa verplicht werd, kon Donner - en later zijn opvolger Ernst Hirsch Ballin - de bewaarplicht in Nederland invoeren. Nederland had namelijk de verdragsrechtelijke plicht de Europese richtlijn aan te nemen. Die is er in 2009 uiteindelijk ook gekomen. Tegen de zin van de Eerste Kamer in.’
De grondrechten worden beter beschermd
Maar dat is veranderd.
Sinds het Verdrag van Lissabon heeft de EU een eigen grondwet. Hierdoor kreeg het Europese Hof van Justitie in Luxemburg er een nieuwe belangrijke taak bij: sindsdien beoordeelt het Hof Europese regelgeving niet alleen vanuit de klassieke economische principes van de EU, zoals vrij verkeer van goederen en diensten, maar ook vanuit het eigen grondrechtenhandvest. Het Hof kan nu een eigen analyse maken of Europese wetgeving de privacy en andere informatiegrondrechten van burgers schendt.
‘Dit zorgt ervoor dat Europese burgers naar de rechter kunnen stappen en de Europese Unie eindelijk tot verantwoording kunnen roepen,’ zegt Arnbak. En dat is precies wat er in 2014, met de uitspraak van het Hof van Justitie in Luxemburg, gebeurde. Op basis van het grondrecht op privacy en dataprotectie oordeelde het Hof dat de massale verzameling en opslag van telecommunicatiegegevens - de bewaarplichtrichtlijn - ongrondwettelijk is en dat de Europese instituties de grondrechten van burgers beter moeten beschermen.
‘Met de uitspraak van het Hof over de bewaarplichtrichtlijn in 2014 heeft het Hof duidelijk gemaakt aan de Europese Commissie, het Parlement en aan de lidstaten dat EU-wetgeving aan strenge privacyregels moet voldoen. Brussel kan niet meer gebruikt worden als een sluiproute om allerlei dubieus beleid aan te nemen waar afzonderlijke Europese landen, zoals Nederland, nooit aan wilden beginnen. En, minstens zo belangrijk: burgers zijn juridisch veel beter geëquipeerd om zich tegen dit soort sluiproutes te verzetten.’
Anderhalf jaar later kwam het Hof weer met een baanbrekende uitspraak. Deze zaak, aangespannen door de Oostenrijkse (toenmalige) student Max Schrems,* ging over de uitwisseling van informatie over Europese burgers tussen de Verenigde Staten en de EU. Er bestonden hier afspraken over tussen de EU en de VS, de zogenoemde Safe Harbor-regeling. Het Hof torpedeerde deze regeling, wederom omdat de grondrechten van de Europese burger niet goed genoeg beschermd werden.
‘Safe Harbor beloofde dat data van Europese burgers in de VS dezelfde bescherming zouden genieten als in Europa,’ zegt Arnbak. ‘Maar het Hof verpulverde de regeling, mede op basis van de Snowden-onthullingen, die duidelijk lieten zien dat dit niet het geval was. De Europese Commissie sloeg een gigantische flater, omdat de Europese bestuurders vijftien jaar hadden volgehouden dat de regeling door de beugel zou kunnen. En de Amerikaanse inlichtingendiensten waren furieus. Eén ijverige student heeft dit voor elkaar gekregen.’
De Trias Politica is completer - net op tijd
Deze en andere recente uitspraken laten volgens Arnbak zien dat er iets wezenlijks veranderd is. ‘Je merkt dat er nu, tijdens de onderhandelingen over de opvolger van de Safe Harbour-regeling, continu rekening wordt gehouden met het Hof en het grondrechtenhandvest. Machthebbers zijn bang dat het Hof een nieuwe regeling opnieuw kan torpederen. Het grondrecht op privacy speelt ineens een veel grotere rol. Burgers zien nu ook: ik kan mijn recht halen.’
‘Ondanks dat er altijd een onvoorspelbare politieke dynamiek zal zijn, is ook het mandaat van de wetgevende macht, het Europees Parlement, enorm verbeterd. Dat heeft ook weer een heel sterke invloed op de uitvoerende macht, de Europese commissie en de lidstaten, die eigenlijk vroeger straffeloos langs de rechter en het parlement konden sluipen. Kortom, de Trias Politica is completer geworden. Dat is hoopgevend. Dit zijn hele diepe structurele ontwikkelingen, waarvan we nu pas de eerste tekenen zien.’
En precies op tijd, zegt Arnbak. ‘Dit is des te belangrijker als de politiek grilliger wordt. We leven in een tijd van sterke leiders met totalitaire trekjes, Trump, Erdogan, Poetin. Naarmate de politiek grilliger wordt, is een stevige balans in de Trias Politica cruciaal. Zowel politiek als rechtsstatelijk is het in mijn ogen essentieel dat de rechter in Europa nu over een eigen instrumentarium - de grondrechten - beschikt om overheidsmacht binnen de perken te houden. En de uitspraken laten zien dat dit nu gebeurt.’
En óók de technologie biedt hoop
Staatsrechtelijk en democratisch is veel verbeterd voor de Europese burger. Maar ook de technologie biedt hoop.
In zijn proefschrift zoomt Arnbak in op de beveiliging van communicatie. ‘Privacy gaat vooral over wat andere partijen met je gegevens doen, zodra zij daarover beschikken. Beveiliging gaat daaraan vooraf, bijvoorbeeld wie kan meeluisteren als je met een bedrijf communiceert. Ik zie beveiliging als een eerste verdedigingslinie van je grondrechten, als een soort vooruitgeschoven verdedigingspost voor grondwettelijke bescherming. Maar niet alleen voor privacy, ook voor bijvoorbeeld de vrijheid van vergadering. Mail- en appgroepen, programma’s als Slack zijn een soort hedendaagse vergadering. Als je ergens gericht een antenne insteekt of een glasvezelverbinding aftapt, dan kun je zien wat er wordt besproken in al die vergaderingen. De beveiliging van die communicatie geeft het recht op de vrijheid van vergadering betekenis online.’
Communicatiebeveiliging is niet zozeer een technisch, maar een economisch probleem, stelt Arnbak. ‘Vaak ligt de technologie om onze online omgeving te beschermen al jaren of zelfs decennia op de plank. Die technologie wordt om twee redenen niet geïmplementeerd. Ofwel om redenen van ‘nationale veiligheid’ - het idee dat té goede beveiliging het overheden té moeilijk maakt om communicatie af te tappen. De andere reden is simpeler: het kost veel geld om communicatie en systemen te beschermen. Bedrijven investeren pas als zij concurrentievoordeel kunnen behalen, of als de wetgever het verplicht.’
‘Je ziet overal dat het gebrek aan de wil van bedrijven om ons online te beschermen, verandert. Beveiliging is de afgelopen jaren een steeds groter issue geworden, aangezwengeld door de onthullingen van Edward Snowden. Bedrijven als Google, Facebook en Apple geven beveiliging nu echt prioriteit.’
Misschien is het window dressing, maar dat maakt niet zoveel uit, vindt hij. ‘Er is een markt aan het ontstaan voor privacy en communicatiebeveiliging en dat is nodig om echte verandering te realiseren. Net als bij duurzaamheid - dat is ook pas groot geworden toen het cash ging opleveren voor de grote multinationals. Ik vind dit echt hoopvol.’
Bedrijven als Google, Facebook en Apple geven beveiliging nu echt prioriteit
Nog een reden voor hoop: the internet of things. Die ontwikkeling zal duidelijker maken waarom ‘ik heb toch niets te verbergen’ een waardeloos argument is. ‘In 2015 hebben onderzoekers een Jeep gehackt. Het is mogelijk om een auto midden op de snelweg over te nemen. Of om een insulinepomp van afstand te besturen. Of om van een afstand in slimme energiemeters en dijkbewakingssystemen in te breken. Plots gaat privacy en veiligheid niet meer over die toch wat abstracte data, maar gaat het - letterlijk - om fysieke veiligheid. Ik denk dat de komst van het internet der dingen privacy en veiligheid vanzelfsprekend maken.’
Arnbak is opvallend optimistisch, vind ik. Ik heb hem wel anders gehoord. Misschien is het omdat hij advocaat is geworden op een groot kantoor. Heeft hij belang bij een positieve boodschap, werp ik op. Hij is even stil, en zegt dan: ‘Twee jaar geleden dacht ik niet dat ik advocaat zou worden, maar al die positieve ontwikkelingen hebben mijn keuze voor de advocatuur wel makkelijker gemaakt. Het is razend interessant om eerst, als activist, heel dicht op de politiek te hebben gezeten; wetenschap te hebben gezien, heel dicht op conceptuele analyses, en nu in de praktijk te zien met welke problemen bedrijven en organisaties zitten, en hoe ingewikkeld die problemen soms zijn. Op cybersecuritygebied loopt het bedrijfsleven momenteel in de voorhoede, daar worden de belangrijke beslissingen genomen. WhatsApp biedt nu robuuste beveiliging aan meer dan 1 miljard burgers. Dat had ik aan het begin van mijn promotieonderzoek niet durven dromen.’
Weer een stilte.
‘En ik was ook wel een beetje klaar met pessimisme.’