Privacy in coronatijden: ‘Op den duur zijn we niet meer veraf van Chinese toestanden’

Net nu onze privacy meer dan ooit onder druk staat rommelt het aan de top van de Gegevensbeschermingsautoriteit. Voorzitter David Stevens reageert voor het eerst op de beschuldigingen aan zijn adres, zij aan zij met Hielke Hijmans, de voorzitter van de Geschillencommissie. ‘Het is niet zo dat wij elke dag vechtend door de gang rollen.’

In oktober onthulden Knack en Le Soir de interne oorlog bij de Gegevensbeschermingsautoriteit (GBA). Twee van de vijf leden van het directiecomité hadden een lange klachtenbrief naar het parlement gestuurd waarin ze het ontslag vroegen van voorzitter David Stevens. Ze hekelden onder meer dat Stevens deelneemt aan vergaderingen van de Vlaamse Toezichtscommissie – de regionale privacycommissie, zeg maar. Het parlement organiseerde hoorzittingen over de kwestie maar Stevens bleef op zijn stoel zitten. Vorige week berichtte de Franstalige zakenkrant L’Echo dat ook een tweede klachtenbrief naar het parlement is verstuurd. De interne spanningen blijven maar aanhouden. Is onze privacy nog wel gegarandeerd? De belaagde David Stevens en Hielke Hijmans, de voorzitter van de Geschillenkamer van de GBA, zijn overtuigd van wel.

Op 28 januari vierde Europa Data Protection Day. Was het geen feest in mineur?

Hielke Hijmans:Nee, de balans is positief. De Gegevensbeschermingsautoriteit maakt momenteel een transitie door, van een adviesorgaan naar een écht controleorgaan.

David Stevens: We beschermen de privacy van de burgers efficiënter dan vroeger. We geven niet enkel advies bij nieuwe wetgeving maar handelen ook klachten af, doen proactief inspecties en leggen sancties op.

Hijmans: In 2020 heeft onze Geschillenkamer 83 beslissingen geveld. Die uitspraken gaan over concrete zaken. Ze geven een effectieve en coherente bescherming aan de burgers. Wel betreur ik dat we door de enorme hoeveelheid dossiers de zaken niet altijd binnen een aanvaardbare termijn kunnen afronden. En tegen heel wat sancties wordt beroep aangetekend. Bijvoorbeeld tegen de boetes die we vorig jaar aan Proximus en Google hebben opgelegd, respectievelijk 20.000 en 600.000 euro. Voor dat soort bedrijven zijn de mogelijkheden om onze beslissingen te betwisten onbegrensd.

Straft u enkel bedrijven of ook overheden?

Hijmans: In december heeft de Geschillenkamer de FOD Financiën nog berispt voor inbreuken op de Algemene Verordening Gegevensbescherming. Om op de website Fisconetplus informatie over belastingen op te vragen, moest je eerst inloggen met een Microsoft-account. Maar zo kon de fiscus zien in welke info jij geïnteresseerd bent. Zocht je bijvoorbeeld naar gegevens over een tweede huis in Frankrijk, dan kon de belastingadministratie dat checken. Ik zeg niet dat ze dat deden, maar de mogelijkheid bestond wel. En dus hebben we ingegrepen.

In de strijd tegen corona verzamelt de overheid data over besmettingen, contacten, buitenlandse reizen, quarantaine, mobiliteit, vaccinaties… Onze privacy staat toch enorm onder druk?

Stevens: We moeten niet naïef zijn. Ik zeg niet dat onze privacy niet onder druk staat. Aan het begin van de coronapandemie klopten toenmalig minister van Digitale Agenda Philippe De Backer (Open VLD) en minister van Volksgezondheid Maggie De Block (Open VLD) aan met de vraag of telecomgegevens gebruikt mochten worden om mobiliteit in kaart te brengen. Dat was toen een hele kwestie – maar achteraf gezien was dat nog een makkelijke vraag. Als ik nu in de pers sommige verklaringen lees over wat men nog allemaal van plan is… Willen we bijvoorbeeld wel dat de gegevens van inwoners die in quarantaine moeten, doorgestuurd worden naar hun burgemeester?

Waar trekken jullie de lijn?

Stevens: De coronacrisis evolueert nog elke dag, en dus ben ik enigszins terughoudend om te zeggen ’tot hier en niet verder’. Probleem is dat we mogelijk aan het begin van een derde coronagolf staan. Zelfs als ik zeg dat hier de rode lijn is, kan twee of drie dagen later blijken dat er plots maatregelen nodig zijn die we ons voorheen niet konden voorstellen. Dit is géén zwart-witverhaal van privacy versus volksgezondheid. Het komt erop aan een evenwicht te vinden tussen de twee. Vanuit privacystandpunt is dit eigenlijk een eenvoudige crisis. Als we enkel naar privacy zouden kijken, moeten we zeggen: niets mag. Géén corona-app, géén besmettingsregister… Maar we moeten ook rekening houden met andere belangen. Want de gegevensverwerking dient een doel.

Privacy zit duidelijk op een hellend vlak.

Stevens: Je zou de quarantaineplicht kunnen controleren aan de hand van telecomgegevens: je smartphone verraadt dan of je je wel aan de maatregelen houdt. Technisch kan dat, maar ik hoop dat de dag niet komt dat ook dat wordt voorgelegd. Dat lijkt me een echte nachtmerrie. Op den duur zijn Chinese toestanden niet meer veraf, waar je met een sociaal contract wordt gevolgd en je werk verliest als je door het rode licht rijdt.

Vecht de Gegevensbeschermingsautoriteit ook corona-beslissingen van de overheid aan?

Stevens: Verschillende zaken staan momenteel op onze radar. Zoals de mogelijkheid om quarantainegegevens door te geven aan burgemeesters, of het ministeriële besluit van 12 januari over maatregelen om de verspreiding van het virus te beperken. Het geeft de Rijksdienst voor Sociale Zekerheid verregaande bevoegdheden om persoonsgegevens te delen met zowat eender wie.

Daarnaast zijn we verontrust door de situatie in Brussel. De burgemeester van Etterbeek, Vincent De Wolf (MR), heeft de Brusselse administratie in gebreke gesteld om de gegevens te bemachtigen van burgers die verplicht in quarantaine moeten. Maar daarvoor bestaat voor zover wij weten geen enkele wettelijke basis. En dus hebben we een monitoringsdossier geopend. We vragen bijkomende informatie op.

Na een extern advies van een gespecialiseerd advocatenbureau heeft ons directiecomité beslist om in een brief naar alle overheden in ons land een duidelijke waarschuwing uit te sturen. Als sommige maatregelen niet worden bijgestuurd, kunnen wij nog steeds beslissen om naar de rechtbank te trekken. Wordt de maatregel nietig verklaard, dan mag de doorgifte niet meer gebeuren.

Zijn jullie dan niet op voorhand over die wetgeving geraadpleegd?

Stevens: Nee, in geen van de drie gevallen. Terwijl dat eigenlijk wel verplicht was. En in andere gevallen heeft de overheid ons advies naast zich neergelegd. Zo vond ons Kenniscentrum één centrale databank bij Sciensano met daarin alle coronagegevens géén goed idee.

Voor buitenlandse reizen moeten we een Passenger Locator Form (PLF) invullen. Wie heeft toegang tot die data en hoelang blijven ze opgeslagen?

Hijmans: Die analyse moeten we nog goed maken. We zijn ermee bezig. Onze inspectiedienst heeft daarover momenteel een onderzoek lopen.

Excuseer? Tienduizenden Belgen hebben zo’n document intussen wel al ingevuld. En jullie zijn de gevolgen nog aan het analyseren?

Stevens: De PLF-data worden verwerkt door de FOD Volksgezondheid, mogen 28 dagen worden bijgehouden en moeten daarna vernietigd worden. Vraag is: is dat ook echt gebeurd?

Hijmans:Dat is precies het soort vragen dat onze inspectie onderzoekt. Over het PLF zijn recent tientallen klachten binnengestroomd – bijvoorbeeld over het feit dat de overheid wil weten waar je geweest bent.

Stevens: In sommige gevallen aanvaard ik de kritiek dat wij misschien te bedachtzaam zijn geweest. En dat we al lang naar de Raad van State hadden moeten trekken. Essentieel is dat we, samen met ons succes in de strijd tegen corona, ook alle vrijheden herwinnen – inclusief privacy. Het idee dat de overheid met een app onze contacten kan registreren, is absoluut uit den boze zodra we allemaal gevaccineerd zijn en het vaccin werkt. PLF-data gaan we niet bijhouden om binnenkort terreur te bestrijden. Het grootste gevaar is dat het precedenten zijn die ook na de coronacrisis blijven bestaan. En daar zullen we echt niet zachtzinnig over gaan.

Hijmans: Ik heb lang bij de Europese Toezichthouder voor de Gegevensbescherming gewerkt. Vaststelling is toch dat veel van de antiterrorismemaatregelen die door de EU zijn genomen helemaal niet gebruikt werden om terrorisme te bestrijden. Passagiersdata bijvoorbeeld worden voor de bestrijding van allerlei misdrijven gebruikt, of voor immigratiedoeleinden.

Mogen reisbureaus, vliegtuigmaatschappijen en festivalorganisatoren binnenkort ons vaccinbewijs opvragen?

Stevens:Vandaag mag dat niet. Kan de overheid regels uitvaardigen zodat het binnenkort wel mag en legaal is? Ja, dat kan.

Hijmans:Als die vaccinatiegegevens niet overal terechtkomen, en ze alleen voor dat specifieke doel gebruikt worden, kan ik me voorstellen dat het wel degelijk kan.

Wat hebben cafés uitgespookt met de bezoekerslijsten die vorig jaar verplicht waren?

Stevens: Die horecaregistratie was amateuristisch. Nochtans hebben we toen niet gezegd dat die maatregel moest verdwijnen. Misschien hebben we daartegen niet hard genoeg gereageerd. Maar één ding staat vast: zodra de horeca weer opengaat, willen we een beter systeem. Want het is niet wenselijk dat dit amateurisme opnieuw ingevoerd wordt.

Verschillende horecazaken gebruikten de registratiegegevens later voor reclamedoeleinden.

Stevens:Daarover hebben we een monitoringsdossier gestart. Zullen ze bestraft worden? Laat ik het erop houden dat ze zich zeker zorgen moeten maken. Rond corona hebben we trouwens snel en proactief allerhande richtsnoeren uitgewerkt. Over temperatuurcontroles op Zaventem bijvoorbeeld, of over het verbod om in naburige gemeenten te gaan fitnessen. Dit jaar willen we daarin verder groeien en met sectoren gedragsregels gaan afspreken. Met de verzekeringssector bijvoorbeeld: welke data mogen ze uitwisselen om fraude te bestrijden?

Hijmans:Voor alle duidelijkheid: corona is maar een klein deeltje van ons werk. Als ik kijk naar de zaken die de Geschillenkamer binnenkrijgt, gaat hooguit 10 tot 20 procent over corona. We proberen bijvoorbeeld te zorgen dat bedrijven hun cookiesbeleid op orde hebben en dat scholen correct omgaan met de gegevens van ouders. En vorige week nog hebben we een boete van 50.000 euro opgelegd aan Family Service. Die onderneming verdeelt de bekende ‘roze dozen’ met babyspulletjes. Ze had zonder geldige toestemming gegevens van meer dan 1 miljoen klanten en hun kinderen gedeeld met zakenpartners.

Stevens:Daarnaast onderzoeken we ook datalekken. Op basis van de huidige telling zijn er in 2020 liefst 1060 aangegeven. Het jaar daarvoor ging het nog om 869 datalekken.

Meneer Stevens, uw collega-directeurs Charlotte Dereppe en Alexandra Jaspar hekelen dat u in de coronataskforce van de regering zat. Was dat niet onverenigbaar met uw mandaat?

Stevens: Nee. Een van mijn opdrachten binnen de Gegevensbeschermingsautoriteit is immers advies geven over effectbeoordelingsrapporten – risicoanalyses zeg maar. Verder moet ik maatschappelijke evoluties opvolgen. En ik had een expliciete machtiging van het directiecomité om alle activiteiten rond corona te coördineren. Het idee dat ik in achterkamertjes met machtige personen geheime akkoorden zou sluiten stemt niet overeen met de realiteit.

Dereppe en Jaspar bekritiseren ook dat u deelneemt aan vergaderingen van de Vlaamse Toezichtscommissie (VTC).

Stevens: Ook daarvoor heeft ons directiecomité zelf het groene licht gegeven. Ik volg die vergaderingen als waarnemer.

Sommige critici noemen de VTC ongrondwettelijk.

Stevens: Dat Vlaanderen zijn eigen privacytoezichthouder heeft is an sich geen probleem. De VTC bestaat al sinds 2008 en in 2018 zijn haar bevoegdheden uitgebreid. Problematisch is dat het Vlaams Parlement en de Vlaamse regering sindsdien nauwelijks nog bij de Gegevensbeschermingsautoriteit aankloppen voor advies over wetgeving. Terwijl ze daartoe verplicht zijn. In januari heb ik daarover een brief geschreven naar Liesbeth Homans (N-VA), voorzitter van het Vlaams Parlement. Ze antwoordde dat ze van oordeel is dat ze niets misdoen.

Wordt uw bevoegdheid zo niet de facto geregionaliseerd?

Stevens: De Gegevensbeschermingsautoriteit telt 70 werknemers, de VTC amper 2. Komt daarbij dat niemand onze bevoegdheden betwist. Dat zie je ook in de beslissingen van onze Geschillenkamer.

Hijmans: Vorig jaar hebben we een Vlaamse stad (Leuven, nvdr) veroordeeld omdat zij namen van studenten opvroeg bij verhuurders van koten en die gegevens vervolgens gebruikte voor onder meer belastingdoeleinden. De stad pleitte dat wij niet bevoegd waren. Tevergeefs. En ze zijn niet in beroep gegaan. Met die zaak hebben wij onze bevoegdheid duidelijk gemaakt.

Spelen communautaire spanningen ook binnen de Gegevensbeschermingsautoriteit zelf?

Hijmans: Het conflict binnen het directiecomité is vooral een conflict tussen personen – waarvoor ik verder niemand de schuld wil geven. Maar het wordt soms gepercipieerd als een conflict tussen Nederlandstalige mannen die opkomen voor Vlaanderen en Franstalige vrouwen die het federale België willen redden. Als Nederlander sta ik daar buiten, en kan ik alleen maar getuigen dat ik die communautaire dimensie in mijn dagelijks werk niet zie. Maar ik maak me wel wat zorgen om de perceptie, die in sommige Franstalige media wordt gekweekt. Door de interne ruzie merken we ook dat we niet het budget krijgen dat we nodig hebben. Ik kan bij de Geschillenkamer géén extra personeel aannemen, en dat is problematisch.

Stevens: Voor 2021 hebben we 700.000 euro minder gekregen dan we aan het parlement hadden gevraagd. Als je al die kritiek op ons leest, dan ga je je natuurlijk afvragen ‘Gaan we daar ons geld aan uitgeven?’ Dat maakt ons leven moeilijk. Verder is de ruzie ook niet leuk voor onze werknemers. Zij merken dat natuurlijk ook. Niet dat wij elke dag vechtend door de gang rollen en niets doen. Maar ik betreur dat wij als directiecomité niet echt het voorbeeld geven van samenwerking en eenheid. Maar het is wat het is.

Hijmans: Wat ik betreur aan de klachtenbrieven die naar het parlement zijn verstuurd, is dat onze collega’s genomen beslissingen eigenlijk voorleggen aan een soort hogere autoriteit. Maar het parlement is niet de hogere autoriteit. Wie onze keuzes wil aanvechten, moet naar de rechtbank trekken.

Stevens:De Kamer kan niet in onze plaats zeggen ‘dit had je wel of niet moeten beslissen’ of ‘die sanctie had je wel of niet moeten opleggen’. Wij zullen nooit aanvaarden dat onze onafhankelijkheid in het gedrang wordt gebracht.