Wat doe je als de duivel je vertelt dat de hemel bestaat? [2]

GDPR/AVG is veel meer dan bescherming van onze privacy. Laten we de AVG de Algemene Verordening Gegevensbescherming, Digitale Veiligheid en Weerbaarheid noemen.

In het voorjaar van 2016 trad de GDPR, de Europese gegevensbeschermingswet in werking. Europa zette daarmee een hele belangrijke in de bescherming van de (grond)rechten van haar inwoners en in de bevordering van het digitaal handelsverkeer. Handel en recht gingen hand in hand. Het belang van de wet in is nauwelijks te overschatten. In ruim vijf jaar is de GDPR wereldwijd uitgegroeid tot dé gouden standaard als het gaat om gegevensbescherming. De wet is voor veel landen inspiratie geweest om hun eigen wetgeving op dit gebied vorm te geven. Het meest recente voorbeeld is China. In augustus van dit jaar heeft het Chinese Volkscongres de wet bescherming persoonsgegevens (PIPL), aangenomen. Een wet die meer dan schatplichtig is aan de GDPR.

China komt dus met een wet bescherming persoonsgegevens. Dat zinnetje lijkt eerder het begin van een mop dan serieus nieuws. Vrienden van mij schoten bijna allemaal in de lach als ik hier over sprak. China en privacy is (voorzichtig uitgedrukt) geen gouden combinatie. Er zijn weinig landen waar privacy en de vrijheid van meningsuiting (zeker gericht tegen het overheidsbeleid) zo onder druk staat als in China. En juist daarom is het interessant om te kijken wat er nu in China gebeurt. Waarom komt China met een wet bescherming persoonsgegevens? Heeft China het licht gezien of is er iets anders aan de hand? Wat doe je, als de duivel je verteld dat de hemel bestaat…?

Ik ben gaan zoeken naar wetteksten en achtergronden. Maar ook naar m’n eigen aannames en overtuigingen. Om te snappen wat er nu gebeurt. Om te ontdekken dat China niet de karikatuur is die wij er vaak van maken. Om te ontdekken dat China, als het over gegevensbescherming gaat, een heleboel zaken beter lijkt te begrijpen dan wij in Europa en in Nederland.

De Chinese wet gegevensbescherming (PIPL) is vrij algemeen geformuleerd en bevat veel interpretatieruimte, net als de GDPR overigens. Al te harde conclusies trekken, zonder de wetstoepassing nog te kennen, is daarmee best lastig. Neemt niet weg dat het interessant is om in te zoomen op de wet. Om te beginnen is het duidelijk dat de PIPL geen ‘losse’ wet is. Er wordt in China momenteel gebouwd aan een veel bredere stelsel rond gegevensbescherming, cybersecurity en informatiebeheer. Het is ook geen smalle sectorwet. De PIPL heeft juist een breed werkingsgebied en heeft betrekking op de opslag, het beheer en de verwerking van alle “persoonsgegevens” van Chinese inwoners, door zowel bedrijven als door overheden, binnen en buiten China.

China heeft bij het opstellen van de PIPL weliswaar ruimhartig geknipt en geplakt uit de GDPR, maar lang niet alles is klakkeloos overgenomen. Ook het karakter van de wet is anders. Juist die verschillen zijn interessant om meer te begrijpen van de aanleiding, drijfveren en achtergronden van de wet.

Om te beginnen valt op dat de PIPL, ondanks de vele overeenkomsten, toch een heel ander karakter heeft dan de GDPR. De officiële doelstellingen van de wet zijn gericht op het beschermen van de rechten en belangen van individuen, op het reguleren van gegevensstromen en om de rechtmatigheid en het redelijk(?) gebruik van gegevens te waarborgen. Het karakter van de wet lijkt echter veel meer gericht op de nationale veiligheid, de digitale weerbaarheid van de overheid en de digitale soevereiniteit van China. Meer op het beperken van systemische risico’s en de invloed van grote techbedrijven, dan op de privacy van het individu. De stabiliteit van de samenleving lijkt voorop te staan.

De wet richt zich nadrukkelijk op de digitale kwetsbaarheid en – weerbaarheid. De risico’s rond informatiebeveiliging en gegevensbescherming hebben wereldwijd voor bedrijven en overheden een alarmerend niveau bereikt. Ook in China. De gevolgen van de cyber-incidenten/acties hebben ernstige gevolgen voor het functioneren van bedrijven, instellingen, het vertrouwen in de overheid en de stabiliteit in de samenleving. Deze wet reageert daar nadrukkelijk op. Ook de toenemende invloed van (commerciële) digitale platform wordt in de wet begrensd.

Dit doet de wet onder meer door extra (strenge) regels te stellen aan grote en invloedrijke online platforms. Door onafhankelijk toezichthouders. Door te eisen dat alle overheidsgegevens en gegevens rond vitale infrastructuur in eigen land bewaard moeten worden. Door verantwoordelijke managers en bestuurders hoofdelijk aansprakelijk te stellen voor privacy schendingen. Door inwoners het recht te geven om geautomatiseerde besluitvorming te weigeren. Door kinderen extra te beschermen en door een soort digitaal erfrecht te introduceren.

China lijkt zich goed bewust dat de bescherming persoonsgegevens niet alleen noodzakelijk is voor de bescherming van individuele belangen en grondrechten, maar dat standaarden voor gegevensbescherming ook noodzakelijk zijn voor economische groei, internationale handel, voor sociale – en maatschappelijke stabiliteit en digitale weerbaarheid.

Informatiebeveiliging, cybersecurity en privacybescherming worden in de wet als onlosmakelijk verbonden strategische thema’s gezien. Niet helemaal zelf bedacht, want in de GDPR zijn die thema’s ook op een uiterst slimme manier met elkaar verbonden. Veel slimmer dan je op het eerste oog misschien ziet. Het is duidelijk dat China dat begrepen heeft. Misschien wel beter dan de meeste overheden in Europa.

Ondanks de GDPR kun je niet anders kunt concluderen dat de digitale weerbaarheid en de aanpak van privacy in Europa nog niet op orde is. En dat terwijl deze elementen cruciaal zijn voor een goede en betrouwbaar functionerende informatievoorziening en voor datagestuurd werken. Wij móeten een inhaalslag maken. En dat is geen persoonlijke opvatting, dat is één van de conclusie uit de recent verschenen I-strategie van onze Rijksoverheid.

Voor die inhaalslag zijn twee dingen nodig: daadkracht en een brede bewustwording. Voor die bewustwording is het zaak dat we (net als China) gaan snappen dat de GDPR/AVG veel meer is dan bescherming van onze privacy. Zolang we denken dat wij de GDPR/AVG opzij mogen schuiven als onze intenties goed zijn, dan houden we elkaar voor de gek. Zolang we ons zelf wijsmaken dat iedereen z’n gegevens al lang heeft weggeven aan Facebook en dat het dus niet meer uitmaakt dat de overheid ook meekijkt, zolang blijven we stilstaan en zolang groeit onze (digitale) kwetsbaarheid. Als overheid en als samenleving.

Ik pleit er niet voor om de Chinese wetgeving over te nemen. Daarvoor zitten er te grote ‘gaten’ in de wet. Ik wil wel dat we over ons eigen handelen en onze aannames onder ogen zien. Onze zelfgenoegzaamheid en het misplaatste gevoel van superioriteit als het gaat om gegevensbescherming.

Misschien helpt het als we de AVG geen privacywet meer noemen. Want dat dekt de lading niet. Laten we de AVG de Algemene Verordening Gegevensbescherming, Digitale Veiligheid en Weerbaarheid noemen. Dan snappen we misschien beter wat we weg gooien, de volgende keer als we de regels buigen. Dan snappen we misschien beter dat China wel eens de lachende derde kan zijn. Dat wij de hemel misschien wel ontdekt hebben, maar hem vervolgens ook ontkennen.

Andre Huykman is gemeentesecretaris/algemeen directeur van de gemeente Zoetermeer

Source

Platform Informatie Technologie en Recht

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis