Jacob Kohnstamm is voorzitter van privacywaakhond CBP en van de verenigde Europese privacytoezichthouders WP Art. 29. Die laatste werkgroep adviseerde over een voorstel voor een nieuwe Europese privacyverordening. Webwereld sprak met Jacob Kohnstamm over de kritiek die de waakhonden te verduren krijgt.

De afgelopen maanden is er een regen van privacylekken blootgelegd, ondermeer met Lektober. Jeuken uw handen? Wat doet u?

"Wij hebben als CBP al bij een groot aantal gevallen van datalekken opgetreden, maar in veel gevallen worden datalekken al gedicht voordat ze bekend worden. In die gevallen kunnen wij weinig met onze huidige bevoegdheden; wij kunnen tot op heden nog niet direct een boete opleggen en moeten het doen met een last onder dwangsom, dat is een 'reparatoire' boete waarbij de verantwoordelijke altijd een termijn krijgt om de overtreding te beëindigen."

Cloud computing betekent dat onze data over de hele wereld zweven en straks moeten we naar een Chinese rechtbank voor onze privacy. Hoe dat te regelen?

"Met dat probleem zitten alle toezichthouders voor dataprotectie in de wereld. Dat punt staat dus wereldwijd hoog op de agenda. Overigens is volgens sommigen cloud computing niets nieuws en gebeurt dat al jaren met outsourcing en time-sharing. Dat laat onverlet dat we dit moeten regelen."

Begin 2009 pakte de Volkskrant op zaterdag groot uit over Advance dat met 'Je Echte Leeftijd' werd verdacht van zeer ernstige privacyschending. Pas eind 2009 kwam er een uitkomst en in augustus 2011 zag u van verdere stappen af. Dat is toch efficiënt noch effectief?

"Dat onderzoek besloeg in totaal tien maanden. Ik begrijp de vraag, maar die komt voort uit onkunde. Wij moeten onderzoek doen conform de Algemene Wet Bestuursrecht, met de mensen die wij hebben. Als we in de fout gaan, kunnen we ondanks een prachtig resultaat vervolgens nat gaan bij de bestuursrechter. We hebben ons te houden aan hoor en wederhoor in drie instanties en daarnaast reageert de wederpartij vaak nog eens te laat."

U mag het onkunde noemen, maar snel en hard optreden zien we nauwelijks van het CBP.

"De procedure die we volgen moet op grond van de wet, terwijl mensen van ons verwachten dat we optreden á la een actiegroep. Die kunnen even kijken op een site, stellen vast dat het klote is en kunnen er een stuk over schrijven of actievoeren."

Er zit toch nog ruimte tussen 1,5 jaar bezig zijn en dan de zaak maar afblazen en kordaat optreden met een flinke boete. U klaagde zelf in de Eerste Kamer dat u te weinig slagkracht kan tonen vanwege te geringe middelen naast de dwangsom?

"Dat heb ik vaak en in vele toonaarden gezegd. We kunnen nu enkel de gele kaart uitdelen en een last onder dwangsom opleggen bij volharding van de overtreding. Dat is echt te weinig. Bij zo'n flagrante overtreding als met de site 'Je Echte Leeftijd' door Advance moet je direct een straf kunnen opleggen.

Het vorige kabinet besloot om ons de mogelijkheid te bieden om ook te bestraffen met een boete. Nu wacht het kabinet op de nieuwe Europese Verordening voor privacy."

Volgende pagina: privacyhandhaving is een gedrocht Kritiek is er bovendien dat de hele privacyhandhaving een gedrocht is waarmee behalve tachtig mensen hier ook een batterij aan advocaten en adviseurs een mooie boterham verdient, met uiteindelijk geringe opbrengsten. Wat vindt u van die kritiek?

"Wetgeving is nu eenmaal lastig. Het betekent dat je je eraan moet houden, dat het geïnterpreteerd moet worden. Inderdaad hebben bedrijven en organisaties daar last van. Dat is ook precies zoals de wetgever het bedoelt: zij moeten zorgvuldig omgaan met het verzamelen en verwerken van persoonsgegevens. Dus als er kritiek is op de wetgever dat bedrijven en instellingen in actie moeten komen, dan kun je dat beschouwen als een groot compliment. Zo was het bedoeld..."

Ook om het zo complex te maken?

"Het is helemaal niet complex. Het is juist eenvoudig: 1. Verzamel niets wat niet noodzakelijk is. 2. Beveilig de gegevens goed. 3. Ga er zorgvuldig mee om en 4. Geef burgers er inzage in. Dat is wat er staat."

Als het zo eenvoudig is, waarom moeten er dan batterijen juristen worden ingezet om het te doorgronden?

"Er stond ook in de wet dat je je als huurder als een goed huisvader hebt te gedragen. Er was ook een batterij juristen nodig om dat precies uit te zoeken en helder te krijgen. Zoals met zo veel wetgeving dat het geval is. Als je precies wilt uitleggen wat je met stopcontacten, verf en raamkozijnen mag doen dan heb je ook een wetgeving van hier tot ginder. Alle wetgeving is enigszins abstract en heeft interpretatie nodig, en jurisprudentie om helderheid te krijgen over verschillende praktische zaken. Neem onrechtmatige daad…"

Dat is een heel breed en vaag begrip, daar moet je vrijwel altijd voor naar de rechter…

"Goed dan: wetgeving die de AFM toepast, die de NMa toepast, de wetgeving die de Opta toepast. Of neem het Consumentenrecht. Allemaal redelijk abstracte normen die in de praktijk hun weg moeten vinden.

Ik heb echt schoon genoeg van dat soort kritiek, het zit me tot hier. Voor elke fatsoenlijke wet die je technologieonafhankelijk wilt neerzetten geldt de noodzaak van een zekere mate van abstractie.

Dezelfde kritiek die u nu uit op het CBP gaat niet naar de AFM, gaat niet naar de NMa, en niet naar de Opta. Dat betekent dus gewoon dat mensen het vervelend vinden om serieus stil te moeten staan bij de bescherming van privacy en de regelgeving."

Er zal toch wel een reden voor die kritiek bestaan?

"Die kritiek op de abstracte normstelling verwerp ik. Wat wil je dan? Hele boekwerken zodat bij elke nieuwe technologie er passende wetgeving komt? Of moet je eenvoudige principes vaststellen? Het begint al met de kwestie wat een persoonsgegeven is."

Volgende pagina: Onderzoek naar Facebook Er kwam recent een Amerikaanse uitspraak over Facebook. Er was intensief onderzoek van de Canadese privacytoezichthouder naar Facebook, van Scandinavische waakhonden met een slappe uitspraak en ten slotte een ferme aanpak van de Ieren. Is dat alles niet te coördineren?

"Er vindt ook zeker coördinatie plaats tussen privacytoezichthouders, ook om niet over elkaar heen te buitelen. De Scandinaviërs hebben geen rechtsmacht. Ze kunnen vragen stellen en geen onderzoek doen. De Ieren deden onderzoek en kwamen met een uitspraak."

Ja, op scherpe vragen van een 24-jarige student in Oostenrijk, Max Schrems. Die moet de boel wakker schudden waarna er onderzoek wordt gedaan….

"De Ieren waren al bezig met onderzoek. Daar kwamen 500 Oostenrijkse klachten bij, want in Ierland heeft Facebook het Europese hoofdkantoor. De Ierse toezichthouder op de privacy werkt met 6 FTE maar is de enige die bevoegd is."

Maar u bent voorzitter van 27 verzamelde privacywaakhonden in Europa, WP 29, en kunt toch hulp bieden en coördineren?

"Dat is precies wat er nu gebeurt. Vanuit WP 29 is een serie vragen verzameld waarop eerst antwoord moest komen alvorens er een uitspraak mogelijk was. Ook hier weer beschouwt iedereen ons als actiegroep en roept: het is klote met Facebook. Maar daar koop je niets voor."

Maar nu ontstond de indruk dat studenten in Oostenrijk goed onderzoek deden wat jullie met 27 instanties nalieten?

"Dat is niet juist. De Ierse collega's waren al bezig met Facebook. Dat studenten het veel sneller kunnen staat als een paal boven water. Zij zijn niet gebonden aan het bestuursrecht en kunnen snel tot conclusies komen, zonder wederhoor."

Alles bij elkaar wekt dit de indruk dat het Europese privacytoezicht onvoldoende is.

"Nee, mensen willen iets anders, dat je snel en hard zegt: het is klote!"

Nou nee, maar wel van 'ik heb Facebook maandenlang onderzocht en er is buitengewoon veel mis en er is opheldering nodig wat er met data gebeurt…'

"Met enige regelmaat hoor je over Facebook: het is een schande wat daar gebeurt, maar zonder details. Ook de Oostenrijkse student kwam met allerlei zaken waarvan hij vond dat het niet deugde."

Max Schrems kreeg duizend pagina's met persoonsgegevens die Facebook over hem opgeslagen had. Kunt u met de nieuwe Verordening straks eisen dat Facebook dat niet meer doet?

"Dat kunnen gebruikers nu ook al eisen. Het probleem is dat er geen mogelijkheid is voor een club mensen om gezamenlijk een zaak te beginnen tegen Facebook in Europa.

Stel dat ik de Bijenkorf binnenkom en ik word direct door een Bijenkorf-mijnheer herkend en naar de Björn Borg afdeling geleid, dan voel ik me unheimisch en denk ik: 'Kerel, waar heb je die voorkeur voor Björn Borg-kleding vandaan en heb je mij gewaarschuwd dat je mijn gegevens ging verzamelen?'

Maar ik denk niet dat ik dan naar de rechtbank stap en een paar duizend euro ga uitgeven om de Bijenkorf aan te klagen. Dat is bij Facebook net zo. Het individu dat gaat procederen heeft hiervoor weinig materiële drijfveren, want er is geen financiële relatie tussen Facebook en de eindgebruiker. Je moet aantonen dat je schade hebt die er veelal niet zal zijn, behalve immaterieel. Het heeft zin als dan ook de toezichthouder het goed kan onderzoeken en aan het eind een echt hoog bedrag als boete kan opleggen."

Volgende pagina: opt-in voor cookies De cookies dan. Onder leiding van Verhoeven, uw partijgenoot van D66, en Van Bemmel van de PVV, is er wetgeving geformuleerd met daarin de vereiste van een opt-in en van ondubbelzinnige toestemming om cookies te mogen plaatsen op de pc. Juristen zeggen dat het kwakzalverij is en niet conform de Europese richtlijn. Daar is een probleem mee in de Eerste Kamer. Wat vindt u?

"Ik zit hier niet als D66'er. Hierover hebben wij intensief contact gehad met meerdere partijen, waaronder de PVV, en die heeft uiteindelijk het amendement ingediend."

Dus de PVV werd als gedoogpartij voor de kar gespannen?

"Dat bepaalde ik niet. D66 en PvdA, zo heb ik vernomen in de wandelgangen, besloten om de PVV hierin het voortouw te laten nemen. Dat is politiek ook niet onverstandig want dan kun je een meerderheid creëren.

Mij ging het om het goed vertalen van de Europese richtlijn. Van Bemmel is één van de weinige Kamerleden die van de digitale technieken het nodige weet en ze doorgrondt. We schreven brieven die voor iedereen openbaar zijn."

U zei toch ook dat er uitgebreid gebeld was?

"Wij zijn gebeld door politici, wat zo vaak gebeurt en onze mensen staan hen altijd te woord."

Heeft de Tweede Kamer de Europese ePrivacy richtlijn juist geïnterpreteerd en geformuleerd?

"Jawel, want er staat heel duidelijk dat er ondubbelzinnige toestemming nodig is voor cookie-plaatsing. Dat is ook op een correcte manier verwoord in het amendement. De industrie zegt dat het zo ondoenlijk tot uitvoering te brengen is omdat je zo ondersneeuwt in de pop up-schermen. Dat is niet waar. Onze technologen zeggen dat er allerlei hele serieuze en goede alternatieven zijn om dat te regelen."

Ook hier weer: waar stoelen adverteerders, uitgevers en datahandelaren het recht op om jarenlang van elke computer gegevens te nemen?

"Die vraag is juist en daarom wordt het ook een opt-in. De kritiek vind ik niet steekhoudend. Ik heb een hoorzitting gehouden met de Europese industrie over hun zelfregulering, een code of conduct met een opt-out. Zij antwoordden me dat het niet hun taak is om leden te vertellen hoe ze binnen de wet moeten blijven.

De kritieken, ook de juridische, maken onderdeel uit van een krachtige lobby van de industrie. Uiteindelijk slaat dat als een boemerang naar de industrie terug. Mensen willen controle over hun gegevens en niet dat ze ongewild een stempel op hun voorhoofd krijgen."

Het complete interview met Kohnstamm staat op Netkwesties.