Inleiding
Vrijdag 30 juni 2017 promoveerde mr. Bart van der Sloot aan de Universiteit van Amsterdam. Het vertrekpunt in zijn onderzoek is dat het steeds moeilijker wordt om de privacy van het individu te beschermen. Van der Sloot werpt in dat kader de vraag op of privacy nog wel uitsluitend als individueel recht moet worden gezien, of dat het op een andere manier moet worden benaderd. Kan het bijvoorbeeld worden geformuleerd als een (zorg)plicht van de dataverwerker? Van der Sloot geeft een mogelijke benadering van privacyregulering, gebaseerd op de deugd-ethiek, waarin dit kan worden ingebed. De titel van het promotieonderzoek luidt “Privacy as Virtue. Moving Beyond the Individual in the Age of Big Data”. Een samenvatting van het onderzoek staat hieronder beschreven.
Samenvatting
Het is steeds moeilijker om privacy adequaat te beschermen in een wereld waarin de datastromen steeds groter worden en de data-analyse steeds sneller. Het individu heeft een recht om zijn privacy te claimen, maar is zich vaak onbewust van het feit dat zijn data worden verwerkt en onmachtig om, in het geval hij hier wel wetenschap van heeft, het op te nemen tegen grote multinationals of overheidsorganisaties. Ook is het steeds lastiger om te bepalen hoe grote dataverwerkingsprocessen een individu precies raken. Welk negatief effect heeft de gegevensverzameling van de NSA bijvoorbeeld gehad op de gemiddelde Amerikaanse of Europese burger? Welke schade ondervindt het individu van het feit dat in sommige steden op vrijwel elke straathoek camera’s hangen? Het is dan ook de vraag of privacy nog wel uitsluitend als individueel recht moet worden gezien, of dat het op een andere manier moet worden benaderd, en bijvoorbeeld moet worden geformuleerd als (zorg)plicht van de dataverwerker. Dit boek geeft een mogelijke benadering van privacy regulering waarin dit kan worden ingebed, die is gebaseerd op de deugdethiek.
Hoofdstuk II van dit boek bespreekt hoe het privacy- en gegevensbeschermingsregime is veranderd door de tijd op vier specifieke punten. Ten eerste is er een verschuiving waar te nemen van een nadruk op de plichten van de dataverwerker, naar de rechten van het data subject; ten tweede van een nadruk op de bescherming van algemene en maatschappelijke belangen naar de bescherming van de particuliere belangen van de rechthebbende; ten derde werden zaken aanvankelijk voornamelijk beoordeeld op basis van een aantal intrinsieke kwaliteiten, zoals de noodzakelijkheid, effectiviteit en proportionaliteit van maatregelen, terwijl nu doorgaans een belangenafweging centraal staat; ten vierde en tot slot was de regulering aanvankelijk slechts ten dele gebaseerd op juridische regels en vormen van handhaving, terwijl dat nu vrijwel uitsluitend het geval is.
Hoofdstuk III laat zien hoe elk van deze punten onder druk komt te staan door Big Data-ontwikkelingen, onder meer omdat er zoveel data over data-subjecten wordt en zal worden verzameld dat het voor individuen ondoenlijk zal zijn om steeds hun recht te claimen, omdat Big Data processen vaak de individuele belangen ontstijgen, omdat zowel de privacybelangen als de belangen aan de andere kant van het spectrum, zoals nationale veiligheid, steeds vager en dus moeilijker tegen elkaar te wegen zijn en omdat Big Data processen vaak de juridische categorieën en grenzen overschrijden. Daarnaast bespreekt dit hoofdstuk een aantal alternatieven die in de literatuur en de jurisprudentie zijn gedaan om het huidige privacy- en gegevensbeschermingsparagdigma aan te vullen.
Hoofdstuk IV introduceert de filosofische stroming die bekend staat als deugdethiek. Deugdethiek benadrukt de plichten van personen en instituten om naar perfectie te streven. Actoren hebben niet alleen negatieve verplichtingen, bijvoorbeeld om geen kwaad te doen, maar ook positieve verplichtingen om goed te doen, en sterker nog, om alles in het werk te stellen om het beste resultaat te bewerkstelligen. Het werk van Lon L. Fuller wordt besproken, aangezien hij een dergelijke benadering ook op staten toepast. Hij stelt dat staten zowel een set minimum als een set maximum verplichtingen hebben; beide zijn niet direct gerelateerd aan de rechten of belangen van het individu. De minimum verplichtingen van de staat zijn verbonden aan de rechtstatelijke principes van transparantie en duidelijkheid van de wet, het verbod op retroactieve toepassing en het vereiste dat de wet niet het onmogelijk van burgers mag verlangen. De maximum verplichtingen van de staat zijn om de vrijheid van burgers maximaal te vergroten. De minimum voorwaarden moeten altijd worden gerespecteerd, te vergelijken met resultaatsverplichtingen, de maximum verplichtingen kunnen het best worden begrepen als inspanningsverplichtingen. Ook bespreekt en weerlegt dit hoofdstuk een aantal tegenargumenten ten aanzien van het gebruik van de deugdethiek voor reguleringsdoeleinden.
Hoofdstuk V, tot slot, bespreekt hoe een dergelijke benadering kan worden toegepast op privacy- en gegevensbeschermingsregulering en hoe deze benadering het huidige paradigma zou kunnen aanvullen. Ten aanzien van de minimum vereisten die staten ten alle tijden moeten vervullen geeft het hoofdstuk drie voorbeelden, namelijk dat de verwerking van data altijd aan een set minimum vereisten moet voldoen, ook al betreffen dit geen persoonsgegevens, dat de (surveillance) regulering altijd aan de minimum voorwaarden van legitimiteit en legaliteit moeten voldoen en dat ook de analyse van data, en dus niet alleen het verzamelen en het gebruik daarvan, aan banden moet worden gelegd. Ten aanzien van de maximum verplichtingen geeft het hoofdstuk tevens drie voorbeelden, namelijk dat staten een plicht hebben om de autonomie van burgers te vergroten, diversiteit in de samenleving te stimuleren en sociale stratificatie tegen te gaan. Ook wordt aangestipt dat er altijd een balans moet zijn tussen de verschillende doeleinden van de staat.
Tekst: Bart van der Sloot