Een Belgisch ziekenhuis screende Facebookprofielen om de kredietwaardigheid van patiënten te beoordelen. En overijverige medewerkers van een gerechtelijke instantie knutselden een eigen databank in mekaar, die daarna ook nog eens uitlekte. Dat zegt Willem Debeuckelaere, voorzitter van de Privacycommissie.
Hij belt met een klassieke Nokia en heeft géén Facebook- of Twitter-profiel. De instellingen op zijn pc zijn door een informaticus onder handen genomen. En zijn webcam is permanent uitgeschakeld – al heeft dat laatste meer te maken met energiebesparing dan met privacybekommernis.
**‘**Er wordt steeds makkelijker en steeds meer geknaagd aan onze privacy. Dat heeft alles te maken met de nieuwe technologieën die we dagelijks gebruiken’, zegt Willem Debeuckelaere, sinds 2007 voorzitter van de Belgische Privacycommissie.
Willem Debeuckelaere (Privacycommissie): ‘Google en Facebook beschouwen privacy als koopwaar.’
© Kristof Clerix
‘Het is zoals de theorie van de kikker in heet water: omdat hij langzaamaan in zijn eigen sop gekookt wordt, beseft hij het niet. Vraag is of we niet op een al te makkelijke wijze van alles en nog wat aanvaarden.’
Een trend die Debeuckelaere verontrust, is dat mensen wel bekommerd zijn om hun eigen privacy maar niet altijd om die van derden. ‘Als je op sociale media over jezelf communiceert, dan geef je indirect ook dingen bloot over anderen. Denk aan foto’s posten – vaak sta je daar niet alleen op. Daar bestaat weinig gevoeligheid rond, terwijl het misschien net daar is dat in de toekomst grote problemen kunnen ontstaan.’
‘Eigenlijk weten we nog altijd niet goed wat de gevolgen zullen zijn van een aantal van die modernere technologieën zoals sociale netwerken. Vergeet niet dat die pas sinds 2005 bestaan. Wat zal de impact zijn op langere termijn?’
De kikker-koken-theorie geldt ook voor privacy.
© Wikipedia Commons
Blijkbaar zijn er banken die Facebookprofielen van je vriendennetwerk bekijken om je kredietwaardigheid in te schatten?
Willem Debeuckelaere: Dat is inderdaad het geval. Onlangs is de Privacycommisie zelfs getipt over een ziekenhuis dat hetzelfde deed om in te schatten welke patiënten mogelijk wanbetalers zijn.
Wat deed dat ziekenhuis precies?
Willem Debeuckelaere: Eerst en vooral merkte het ziekenhuis zijn bestaande cliënteel: er werd aangegeven wie snel facturen betaalde, pas na een bepaalde termijn, na aanmaningen of helemaal niet. Bij patiënten waarbij vragen rezen, ging het ziekenhuis proactief na hoe die personen gekend waren via sociale media. Op welke manier deden ze zich daar voor? In welke “sociale kringen” bewogen ze zich? ‘Ah, dat zal wel een goede betaler zijn. Die zal die factuur kunnen betalen.’
Het ging voornamelijk om tamelijk kostelijke producten en diensten die niet verzekerd zijn – meer specifiek esthetische ingrepen en superdure medicatie die niet terugbetaald wordt.
Cynisch gesteld: je kan je maar beter rijker voordoen op Facebook?
Willem Debeuckelaere: Je kan je maar beter eens met de BMW van je baas laten fotograferen (lacht).
Anderzijds: dat is dan weer minder interessant met de fiscus in gedachte.
Willem Debeuckelaere: Of de sociale inspectie.
Is het ziekenhuis te ver gegaan?
Willem Debeuckelaere: Een ziekenhuis mag dat normaalgezien eigenlijk niet doen. Het is in ieder geval twijfelachtig. Het mag natuurlijk wel vrij toegankelijke informatie – want daarover gaat het hier – opzoeken. Maar wat niet mag, is geautomatiseerde beslissingen nemen. Dat staat zo in onze privacywet en in een Europese directieve. Op het moment dat daar een mens – een levende persoon – tussenstaat die het evalueert, dan mag het wel.
Datalekken
Debeuckelaere: ‘Automatische nummerplaatherkenning gaan we van naald tot draad uitzoeken.’
© Kristof Clerix
In 2012 raakte bekend dat gegevens van minstens 700.000 klanten van NMBS-Europa onbeschermd beschikbaar waren op de website van de NMBS-afdeling die instaat voor het internationaal reizigersvervoer. Zijn er recent nog Belgische datalekken geweest?
Willem Debeuckelaere: Overijverige medewerkers van een Belgische gerechtelijke instantie hadden begin 2013 op eigen houtje een databank voor eigen gebruik in mekaar geknutsteld. Het was zo amateuristisch gebeurd dat de databank op een gegeven moment het voorwerp werd van een datalek. Dat was ernstig. Het ging immers om gevoeligere gegevens dan pakweg een adres of een telefoonnummer.
We hebben de zaak onderzocht en we hebben de gerechtelijke instantie gevraagd die databank onmiddellijk te sluiten – zodanig dat er geen lek meer was en ze ook niet meer gehackt kon worden. Het hele verhaal was ons ter ore gekomen via klokkenluiders.
Om welk parket ging het?
Willem Debeuckelaere: Ik hou het bewust vaag want ik ben gebonden door een discretieplicht en beroepsgeheim.
De andere recente datalekken zijn al in de pers geweest: JobAt, de Brusselse internetprovider VOO en een klein lek bij Defensie.
Het Snowden-effect
In 2012 behandelde de Privacycommissie 2.896 klachtendossiers, aldus jullie vorige jaarverslag. En in 2013?
Willem Debeuckelaere: Dat cijfer slaat op klachten én vragen om informatie. Het onderscheid is moeilijk te maken omdat vragen om informatie vaak verborgen klachten zijn. Als we louter kijken naar de formele klachten, dan waren het er 303 in 2012.
De cijfers van 2013 zullen we in mei publiceren in ons nieuwe jaarverslag. Wel kan ik je al vertellen dat 2013 een merkwaardig jaar was. Alleen al het NMBS-datalek leidde tot 2800 klachten. Half januari hadden we het cijfer van 2012 al bijna overschreden. Maar dat zegt natuurlijk niet veel. Een tweede fenomeen dat vorig jaar speelde, zijn de Snowden-onthullingen. Sindsdien merken we een klimaat waarin burgers ons makkelijker contacteren met de melding ‘Ik word afgeluisterd.’
U merkt dus een waar Snowden-effect?
Willem Debeuckelaere: Ja. Meestal gaat het om statements. Mensen zeggen dat ze een concreet probleem hebben dat ‘waarschijnlijk te maken heeft met het afluisteren van Belgacom’.
Kantelpunt? Swift!
De Privacycommissie is precies twintig jaar actief. Zelf werkt u hier sinds 2004. Is er dat voorbije decennium een kantelpunt geweest inzake privacy?
Willem Debeuckelaere: (zonder aarzelen) De Swift-zaak. In juni 2006 onthulden drie Amerikaanse kranten dat de VS in het geheim internationale financiële transacties massaal monitorden via het bedrijf Swift nabij Terhulpen. Toen dat uitlekte, zijn me de schellen van de ogen gevallen. Heel wat organisaties van alle soort en slag – zowel openbare administraties als bedrijven en multinationals – zijn daarna wakkergeschoten. Op dat ogenblik is er een zeer grote bewustwording ontstaan.
Het Swift-akkoord uit 2010 is een belangrijk moment in de geschiedenis.
De gegevensuitwisseling tussen Swift en de VS bleef wel gewoon doorgaan, zij het na onderhandelingen tussen Brussel en Washington.
Willem Debeuckelaere: Dat Swift-akkoord uit 2010 is een belangrijk moment in de geschiedenis. Het gaat om het eerste transatlantische akkoord over persoonsgegevensbescherming. Het voorziet bovendien in een voorafgaandelijk onderzoek, waarbij de VS een externe onderzoeksrechter op hun grondgebied toelaten.
De Belgische Privacycommissie is in dat kader intussen twee keer in Washington op bezoek geweest. Midden april vindt opnieuw een joint investigation plaats. Vroeger gebeurde de gegevensuitwisseling in het geheim, vandaag wordt er op verregaande manier toezicht op uitgeoefend.
Ondanks dat verdrag zou de NSA Swift hebben bespioneerd, aldus Snowden.
Willem Debeuckelaere: Als het klopt dat de NSA op een systematische manier Swift heeft gehackt, dan is dat de grofste privacy-schending van het jaar. Dat zou betekenen dat de VS hun eigen overeenkomst opzijschuiven. Moest dat waar zijn, dan is het dermate hallucinant dat je net zo goed de boeken dicht kan doen.
Volgens Europees commissaris Cecilia Malström is er niets aan de hand. Toch hebben de Belgische en Nederlandse Privacycommissie samen een onderzoek geopend naar de zaak. Hoe staat het daarmee?
Willem Debeuckelaere: We zijn nog volop bezig. Het is een vrij diepgaand technisch onderzoek met twee luiken. Eén: is het veiligheidsbeleid van Swift, vooral dan inzake ICT, van zo’n grote kwaliteit als het bedrijf zelf beweert? Kan het op de een of andere manier gehackt worden? En twee: zijn er elementen – sporen van cyberaanvallen – die erop wijzen dat Swift gehackt is? We doen een soortgelijk onderzoek als bij Belgacom is gebeurd. Het zijn onze Nederlandse collega’s die dat tweede luik opvolgen. Zij hebben daarvoor gereputeerde informatici in huis.
Wat zijn de tussentijdse resultaten?
Willem Debeuckelaere: Tot nu toe hebben we nog niets kunnen vaststellen dat wijst op lekken. Natuurlijk blijkt intussen wel uit open bronnen dat de NSA zelfs niet meer fysiek moet inbreken in computers om data buit te maken. Begin dat maar eens na te gaan.
‘Europese richtlijn is gemiste kans’
Begin 2012 lanceerde Europees Commissaris Viviane Reding een voorstel om de huidige EU-databeschermingsrichtlijn te herzien. Dat zou de privacy van de Europeaan ten goede moeten komen, maar u bent niet laaiend enthousiast. Waarom niet?
Willem Debeuckelaere: Naar ons aanvoelen is het een vrij neoliberaal voorstel dat zeer sterk tegemoet komt aan multinationals. Op een aantal vlakken heeft de Commissie eigenlijk een privacy-onvriendelijk verhaal geschreven. Het mist bijvoorbeeld de boot van een sterke gezamenlijke Europese aanpak.
In Redings voorstel moeten alle grote dossiers – Google, Facebook, Microsoft, Cisco, enzovoort – door nationale gegevensbeschermers behandeld worden. Een gemiste kans. Uit de Swift-affaire en uit onze ervaringen met Google Street View hebben we net geleerd dat je honderd keer sterker staat wanneer je voor Europa als geheel spreekt.
Ander punt van kritiek is dat Redings voorstel heel wat rechtsonzekerheid met zich meebrengt. Een schoolvoorbeeld is de bepaling dat bedrijven die de privacy schenden beboet kunnen worden voor een bedrag tot vijf procent van hun wereldwijde jaaromzet. Maar er staat niet bij over welk jaar het gaat. Dat van het vonnis? Het beste jaar van het bedrijf of het jaar waarin het verlies maakte? Als jurist krijg je dan de slappe lach.
Intussen heeft ook het Europees parlement zich over het voorstel gebogen. De bal ligt nu in de kamp van de Europese Raad. Stemt die daar nog over voor de verkiezingen van mei?
Willem Debeuckelaere: Neen. De besprekingen moeten eind 2014 rond zijn. Bedoeling is om in 2015 te landen.
Privacy als koopwaar
Welke Belgische overheidsinstantie houdt het meeste privégegevens over burgers bij? De fiscus? Volksgezondheid? De politie?
© Kruispuntenbank van de Sociale Zekerheid (KSZ)
Willem Debeuckelaere: De meeste gevoelige gegevens vind je niet in een databank, maar in de Kruispuntbank van de Sociale Zekerheid. Daar zit heel je arbeidsverleden in, je sociaalrechtelijk verleden, je pensioengegevens én je medische data. Nogmaals: het is geen databank maar een kruisverwijzingssysteem, dat informatie aan mekaar koppelt.
Welke overheidsdatabank bevat het meeste gegevens? Ik weet het niet. In de Algemene Nationale Gegevensbank zitten niet enkel daders van delicten maar ook slachtoffers, getuigen en andere betrokken derden. Zo kom je op vier miljoen geficheerde Belgen. Niet verwonderlijk, we hebben allemaal wel eens een verkeersboete gehad.
Dat gezegd zijnde: ik denk dat privébanken, in de mate dat ze heel je verleden bijhouden, misschien nog wel veel meer over jou weten dan bepaalde overheidsinstellingen.
Moeten we meer schrik hebben van de overheid of van de bedrijven?
Willem Debeuckelaere: Ik heb altijd verdedigd dat de overheid veel meer gecontroleerd wordt, langs verschillende zijden. Bij bedrijven bestaat enkel de interne bedrijfscontrole.
Hoe gaan Facebook en Google met onze privégegevens om?
Willem Debeuckelaere: Ze bieden het publiek een dienst aan: communicatie. Privacy integreren ze daarbij niet als een fundamenteel recht, maar als een te verhandelen element. Ze beschouwen privacy als koopwaar en gebruiken persoonsgegevens als een soort munt.
Staat u met hen permanent in dialoog?
Willem Debeuckelaere: Voor Facebook verloopt dat doorgaans via de Ierse Privacycommissie. In de individuele probleemdossiers waarbij we wel zelf met Facebook contact hadden, zijn zij ons altijd vrij vlot tegemoet gekomen. Met Google verloopt dat iets lastiger, het bedrijf is dan ook iets groter.
België is hoe dan ook bevoegd voor Google, want bij Bergen staat er al een enorm Google-datacentrum. Men gaat nu ook nog eens de capaciteit verdubbelen.
Vaak speelt de vraag op welk recht van toepassing is. In zijn terms & conditions verwijst Google naar zijn vestiging in Mountain View, California. Buitenlands recht zou daar niet van toepassing zijn. Interessant is dan ook de zaak die de Spaanse privacycommissie tegen Google heeft aangespannen voor het Europese Hof van Justitie in Luxemburg. Die gaat precies over de vraag of het Spaanse recht van toepassing is op Google.
Die terms & conditions worden door Google trouwens om de haverklap gewijzigd. Hier bij de Privacycommissie kunnen we dat onmogelijk opvolgen. Dat is een mooi voorbeeld van wat best op Europese schaal zou worden aangepakt.
Hoe vaak worden sociale media of andere online platformen gebruikt om medeburgers aan de schandpaal te nagelen?
Willem Debeuckelaere: Er zullen altijd mensen zijn die anderen het leven zuur willen maken. Dat is van alle tijden maar vandaag gaat het veel gemakkelijker. We krijgen er regelmatig klachten over. Er gaat geen maand voorbij zonder dat een winkeldiefstal of een slechte betaler publiek te kijk wordt gezet. Zoals die garagehouder die de naam van een slechte betaler op Twitter had gezet met de melding ‘Wanneer kom je eindelijk betalen?’ Dat mag dus niet. Je kent nooit alle details van een verhaal. Misschien had die persoon een goede reden om niet te betalen.
Privacypolitie
In oktober 2013 kondigde de Privacycommissie in De Standaard aan dat een nieuw team actief zou gaan speuren naar inbreuken. Is die “Privacypolitie” intussen al op pad geweest?
Willem Debeuckelaere: Neen. We moeten dat team nog uitrollen. Midden januari zijn twee medewerkers van de Privacycommissie ter voorbereiding een week stage gaan volgen in Frankrijk. Hetzelfde gaan ze doen in Nederland, Duitsland en Groot-Brittannië.
Waarop zullen ze prioritair focussen eens ze de straat op trekken?
Willem Debeuckelaere: Mijn verlanglijstje met prioriteiten, daar kan je een blad mee vullen. Uiteindelijk zal de vraag zijn welke middelen we daarvoor kunnen inzetten.
We willen graag van de naald tot de draad weten wat er gaat gebeuren met de automatische nummerplaatherkenning. We hebben daar al een zeker beeld van, maar ik vind dat we het nog veel nauwkeurig moeten bekijken. Een andere prioriteit zijn verzekeringen en banken – die meestal samen in één huis zitten. We krijgen signalen dat men daar ook bijzonder veel persoonsgegevens heeft, en dat die ook gebruikt worden voor direct marketing
Verder gaan we ook klantenkaarten – een constante bekommernis de laatste tien jaar – en zwarte lijsten in allerhande sectoren van naderbij bekijken.
‘Een kind dat vandaag wordt geboren zal opgroeien met geen enkel idee van privacy’, aldus klokkenluider Edward Snowden. ‘Zij zullen nooit weten wat het betekent om een moment voor jezelf te hebben, een niet-opgenomen, niet-geanalyseerde gedachte.’ Hebben we minder privacy dan vroeger?
Willem Debeuckelaere: Privacy is eigenlijk een recent begrip. In 1890 is voor het eerst het begrip gebruikt, in een wetenschappelijk artikel van Warren and Brandeis, gepubliceerd in de Harvard Law Review. Maar het idee dat burgers recht hebben op privacy, dat is van nog recentere datum. Het is pas als een recht geformuleerd in de Universele Verklaring voor de Rechten van de Mens in 1949, en pas in een harde wettekst opgenomen in 1951 met het Europees Verdrag voor de Rechten van de Mens. En dan heeft het nog vele jaren geduurd vooraleer er rechtspraak over is ontwikkeld.
Bedankt voor het gesprek.