Vandaag, 28 januari, is het de Europese Dag van de Privacy. Op 28 januari 1981 werd het Europese Dataprotectieverdrag ondertekend. Een mooi moment om even stil te staan bij wat privacy eigenlijk inhoudt en hoe privacy via wet- en regelgeving geregeld is.

Zoals op de website van de Autoriteit Persoonsgegevens staat is privacy een grondrecht en een voorwaarde om vrij te zijn in wie je bent en wat je doet. Privacy gaat erover dat mensen regie houden over hun gegevens. En dat bijvoorbeeld een foto waar je als dronken tiener op staat, niet je toekomst bepaalt. Het gaat erom dat we niet continu gevolgd worden, dat onze medische gegevens veilig zijn, dat we iets kunnen doen tegen een automatisch genomen besluit over ons. In dit blog gaan we in op de evolutie van privacy wet- en regelgeving en de achtergrond daarvan.

Vanaf de tweede helft van de zestiende eeuw houden kerken de dopen, huwelijken, en begrafenissen binnen hun geloofsgemeenschappen bij in doop-, trouw- en begraafregisters (DTB-registers). ​In 1811 werd in Nederland, door Napoleon, de Burgerlijke Stand ingevoerd. Iedereen moest zich laten registreren en een achternaam aannemen. Vanaf dat jaar worden ook de geboortes, huwelijken en overlijdens geregistreerd in registers. Kerken moesten hun DTB-registers inleveren bij de plaatselijke gemeentehuizen. De meeste gemeenten in Nederland startten in 1850 met de aanleg van een bevolkingsregister. Dit register is gebaseerd op de volkstellingen die voor die tijd gehouden werden. In een bevolkingsregister houdt de overheid gegevens bij over haar inwoners. Mensen zijn verplicht om veranderingen van status aan te melden, zoals veranderingen in echtelijke status, woonadres, overlijden, geboorten enzovoort. Iedere inwoner die is opgenomen is in het bevolkingsregister heeft een uniek nummer dat het beheren van de gegevens efficiënter maakt. In Nederland is dat het Burgerservicenummer. Met een centraal bevolkingsregister kan de overheid haar dienstverlening aan burgers op een efficiënte manier regelen.

Maar er is helaas ook een keerzijde: in handen van een discriminerend regime kunnen bepaalde bevolkingsgroepen ook makkelijker vervolgd worden, denk maar aan de gebeurtenissen in de Tweede Wereldoorlog. Dit kan ook met andere groepen gebeuren. Op basis van bijvoorbeeld een lidmaatschap van een politieke partij, seksuele geaardheid of gezondheidsgegevens kunnen mensen worden uitgesloten van bepaalde zaken. Dit zijn bijzondere persoonsgegevens. Bij dit soort informatie moeten organisaties – dus ook overheden – extra goed uitleggen waarom ze het nodig hebben. En deze gegevens moeten uiteraard heel goed worden beveiligd.

Met de opkomst van fotografie en film werd het beschermen van privacy steeds relevanter. In 1890 formuleerden Amerikaanse juristen een eerste definitie van privacy: “The right to be left alone” oftewel het recht om met rust te worden gelaten.

Na de Tweede Wereldoorlog werden diverse internationale mensenrechtenverdragen opgesteld: de Universele Verklaring van de Rechten van de Mens (1948), het Europees Verdrag voor de Rechten van de Mens (1950) en het Internationaal Verdrag inzake burgerrechten en politieke rechten (1966).

Op 28 januari 1981 werd door de Europese overheden het Dataprotectieverdrag ondertekend. Dit Verdrag vormde de basis voor de bescherming van gegevens binnen Europa. Door de opkomst van computers konden grote hoeveelheden data – en dus ook persoonsgegevens – worden verwerkt. Hierdoor werd het beschermen van persoonsgegevens nog belangrijker. 

In 1983 werd de bescherming van de persoonlijke levenssfeer toegevoegd aan art. 10 van onze Grondwet. De persoonlijke levenssfeer bevat onder meer het huis, de briefwisseling, de communicatie via telefoon, telegraaf en andere besloten middelen van communicatie, het recht om in besloten situaties niet te worden bespied of afgeluisterd, het recht op zorgvuldige behandeling van persoonlijke gegevens en het recht op eerbiediging van het innerlijk leven en van de lichamelijke integriteit.

In de daaropvolgende decennia kwamen er steeds meer regels voor het verwerken van persoonsgegevens en het toezicht daarop. De Nederlandse Wet bescherming persoonsgegevens, afgekort Wbp, gaf regels ter bescherming van de privacy van burgers. Deze wet trad op 1 september 2001 in werking en verving de Wet persoonsregistraties uit 1989.

Een mijlpaal binnen Europa was het Verdrag van Lissabon, dat in 2009 in werking trad. De bescherming van persoonsgegevens was vanaf dat moment een grondrecht. Dit vormde de basis voor de ons nu welbekende AVG, de Algemene Verordening Gegevensbescherming. Met de opkomst van AI gedreven systemen en processen wordt de bescherming van persoonsgegevens alleen maar urgenter.

Een datalek ontstaat niet altijd uit een inbraak op een systeem. Ook menselijke fouten kunnen zorgen voor datalekken. De gemeente Den Haag verzond een e-mail rond met daarin de NAW gegevens, geboortedata en telefoonnummers van kinderen die op de wachtlijst voor zwemles staan. Daarnaast kregen 177 mensen gevoelige gegevens over kinderen meegestuurd.

Persoonsgegevens moeten goed beveiligd worden tegen bijvoorbeeld datalekken. (Zie ook ons blog over datalekken). Als een bedrijf of organisatie een datalek heeft, kunnen allerlei gegevens van mensen op straat komen te liggen. In bepaalde gevallen moet een datalek verplicht worden gemeld bij de Autoriteit Persoonsgegevens en bij de persoon of personen waar de gegevens betrekking op hebben, zodat zij zelf actie kunnen ondernemen zoals het wijzigen van hun wachtwoord. De Autoriteit Persoonsgegevens controleert op een later moment of de beveiliging bij de organisatie waar het datalek is voorgekomen verbeterd is, zodat het niet nog eens gebeurt. Met persoonsgegevens kan ook identiteitsfraude worden gepleegd. Een kwaadwillende kan met een kopie van jouw ID bijvoorbeeld een een contract op jouw naam afsluiten.

Verwerkt jouw organisatie veel persoonsgegevens? Ben je benieuwd of deze goed zijn beschermd en op de juiste wijze worden verwerkt? Neemt het gebruik van technologie in jouw organisatie toe? Of wil je gewoon eens even sparren met een ervaren privacy expert? Ons team heeft uitgebreide ervaring met het ondersteunen van Internal Audit en privacy afdelingen in uiteenlopende sectoren en bij landelijk opererende organisaties. We helpen je graag!

Neem vandaag nog contact op met Wilfred Hanekamp, Sanne Eppinga of Suzanne Beijer voor een persoonlijk adviesgesprek. Je kunt ons bereiken via 0592 – 53 09 53 of via info@afier.com.

---