Het gaat in het geval van persoonsgegevens namelijk om “onvervreemdbaar eigendom”. Net zoals ik mijn eigen hart niet kan of mag verkopen, en daar in ieder geval niet toe mag worden gedwongen of gechanteerd, zo kan of mag ik ook niet worden gedwongen of gechanteerd om mijn eigen persoonsgegevens te verkopen. Dit valt prima te regelen in het civiele overeenkomstenrecht, met concepten als “wilsgebrek” en dergelijke.
Vergeet niet dat je telefoonnummer, postcode en ip adres ook persoonsgegevens zijn. Die zijn eigenlijk van de telefoon maatschappij, post en internet provider en worden aan jou gekoppeld. Deze zijn niet onvervreembaar, je kan gewoon van nummer veranderen of verhuizen. En een aardige tijd geleden hebben ze alle telefoonnummers omgezet naar 10 cijfers, zonder toestemming van alle individuele klanten te hoeven hebben.
Dus die vlieger gaat niet op
betekenis & definitie
onvervreemdbaar – Bijvoeglijk naamwoord
1. dat iets niet van je af te nemen is
Oké, dat was iets te kort door de bocht, maar ook weer niet zo heel kort door de bocht. Bij “onvervreemdbaar” gaat het erom dat anderen iets ofwel niet van je af kunnen nemen (“technisch” onvervreemdbaar), ofwel het niet van je af mogen nemen (“ethisch” onvervreemdbaar). Ik doelde op die laatste betekenis. Je mag iets onvervreemdbaars in sommige gevallen nog wel zelf uit eigen beweging overdragen (dat is wat mij betreft dus het verschil tussen “onvervreemdbaar” en “niet overdraagbaar” – maar zo precies zijn de meeste definities niet).
De vraag of iets “technisch” onvervreemdbaar is (dus of je iets van iemand af KUNT nemen) vind ik in deze discussie niet zo interessant. Je kunt technisch iemands hart uit z’n lijf rukken, dus ja, technisch is ook iemands hart niet onvervreemdbaar. Tenzij je als extra voorwaarde stelt dat iets moet kunnen worden afgenomen zonder dat de persoon die achterblijft daaraan overlijdt. Maar dan kom je op de filosofische vraag wat nu eigenlijk de identiteit van een persoon bepaalt – is een persoon nog een persoon nadat hij overleden is? Zit de persoon dan in de stoffelijke resten, of in de tekst van een laatste wilsbeschikking, of in de herinneringen van de nabestaanden?
Terug naar “ethisch” onvervreemdbaar. Als het gaat om je persoonlijke DNA, is dat vooralsnog een onvervreemdbaar persoonsgegeven. Het is niet ondenkbaar dat er een techniek wordt ontwikkeld om het DNA in alle cellen van een levend organisme in één keer te wijzigen zonder toestemming van die persoon, maar ook in dat geval zou het moreel verwerpelijk zijn om dat te doen.
Wat betreft die omzetting van telefoonnummers naar een tiencijferig nummer, dat vind ik geen goed voorbeeld. Immers, er werden digits aan de bestaande nummers toegevoegd. Het was niet zo dat mensen hun oude nummer kwijtraakten.
Een telefoonnummer is geen eigendom van de telecom-provider. Het staat de provider niet vrij om op enig moment simpelweg te zeggen: wij geven jouw telefoonnummer nu in gebruik aan een andere klant.
Als het gaat om een huisadres… Stel je even een maatschappij voor waarin bijvoorbeeld de overheid op ieder moment jouw huisadres mag afpakken, of je dat nu wilt of niet, omdat de overheid het “eigendom” over die gegevens claimt. Dan is er sprake van een behoorlijk rechteloze situatie. In een rechtsstaat mag een overheid dat niet doen, en kan dat in sommige gevallen ook niet doen. Als jij geboren bent aan de Dalstraat 22 te Potjeslatijn, en dat staat geregistreerd, dan mag de overheid niet verordonneren dat je achteraf, met terugwerkende kracht, geboren bent aan de Bergstraat 75 te Kolenschop.
In sommige gevallen mag een gemeente besluiten om een straatnaam in de huidige tijd te wijzigen, maar dan moet de nieuwe straatnaam even uniek zijn in de gemeente, waardoor er niets van de eenduidigheid van het adres verloren gaat. Dat is dus vergelijkbaar met die omzetting van telefoonnumers naar tiencijferig. De straatnaam is dan niet onvervreemdbaar, maar het feitelijke woonadres is wel onvervreemdbaar zolang je daar woont.
Verhuizen is iets dat je zelf, uit eigen beweging doet (en in bijna alle gevallen ook vrijwillig). In sommige gevallen kun je rechtens uit je huis gezet worden, en in dat geval verlies je ook je adres. Maar opnieuw, dat mag niet zomaar. Daar zijn in een rechtsstaat veel voorwaarden aan verbonden. In China kunnen mensen wel makkelijk uit hun huis gezet worden, bijvoorbeeld omdat de staat dat huis wil gebruiken als quarantaineverblijf voor mensend die in de buurt zijn geweest van iemand met een Omikron-besmetting.
Het klopt niet dat een IP-adres “eigenlijk van een internet-provider is”. Ik citeer maar even de intro uit Wikipedia:
Elke computer die is aangesloten op het internet of netwerk heeft een nummer waarmee hij zichtbaar is voor alle andere computers op het internet. Men kan dit vergelijken met telefoonnummers. Om het mogelijk te maken dat computers elkaar kunnen vinden en identificeren, hebben deze hun eigen nummer nodig. Deze nummers zijn de IP-adressen. Een IP-adres op het internet is meestal gekoppeld aan een bedrijf of instantie. Zo is te achterhalen waar bewerkingen die onder een bepaald IP-adres gedaan zijn, vandaan komen. Bij mensen die vanuit huis werken, identificeert het IP-adres hun internetprovider. Bijdragen op het internet zijn hierdoor bijna nooit werkelijk anoniem. Het werkelijke adres achter een IP-adres is in de meeste gevallen alleen te achterhalen via de internetprovider. In sommige gevallen kan de rechter de internetprovider verplichten de gegevens van de afnemer van de internetverbinding behorende bij het IP-adres te overhandigen.
Dit staat er niet aan in de weg om een IP-adres in de hoedanigheid ervan als persoonsgegeven(!!!) te beschouwen als eigendom van de persoon die daarmee geïdentificeerd kan worden. Dat wil zeggen dat het die persoon moet zijn die bepaalt aan welke organisaties dat IP-nummer bekend wordt gemaakt, tenzij er een andere wettelijke grondslag voor bekendmaking bestaat (denk bijv. aan de grondslagen in artikel 6 lid 1 onder b t/m f AVG).
Vergelijk zo’n persoonsgegeven met een auto die eigendom is van persoon A. Normaliter bepaalt persoon A helemaal zelf wat er met die auto gebeurt. Als persoon A achter het stuur gaat zitten, geeft A “toestemming” aan de auto om zich te verplaatsen (vergelijk dit met toestemming ex artikel 6 lid 1 onder a AVG).
Maar op het moment dat A even ergens anders is en die auto is los geschoten van de handrem en dreigt over het randje van een parkeerplaats op een lager gelegen terras te vallen waar mensen nietsvermoedend zitten te borrelen, dan ontstaat er een speciale, andere situatie, en daarmee een recht voor een willekeurige voorbijganger die dat merkt, om die auto tegen te houden en snel weer op de handrem te zetten (vergelijk dit met artikel 6 lid 1 onder d AVG – “vitale belangen”). Maar dat doet niets af aan het feit dat de auto ook daarna nog steeds eigendom is van persoon A.
Het concept “eigendom” is op die manier goed toepasbaar op persoonsgegevens.
Er ontstaat een interessante situatie als een persoonsgegeven betrekking heeft op meer dan één persoon tegelijk. Bijvoorbeeld een IP-adres van een gedeelde computer die eigendom is van twee personen. Ik zou er dan voor pleiten om het IP-adres, voor zover het gaat om de omgang met dat IP-adres als persoonsgegeven, te zien als gezamenlijk eigendom van die twee computer-eigenaren.
Het belang van eigendom als concept is dat het de “default” zeggenschap (d.w.z. de “default” effectieve beslissingsmacht) over een zaak toeschrijft aan één of meer natuurlijke personen. Dat moet je niet overboord gooien als het over persoonsgegevens gaat, want dan blijft er voor natuurlijke personen nog minder bescherming over. We zien aan de manier hoe veel rechters nu met de AVG omgaan, dat ze maar al te graag een vrijbrief zouden creëren voor “verwerkingsverantwoordelijken” om de privésfeer van natuurlijke personen met willekeur te plunderen en te exploiteren. En we zien aan het gedrag van veel verwerkingsverantwoordelijken dat ze hun feitelijke macht over persoonsgegevens zo vergaand mogelijk gebruiken in hun jacht op commerciële of politieke doelen, en alleen grenzen in acht nemen als ze juridisch worden begrensd. Het moet voor iedereen duidelijk blijven dat de “default” zeggenschap over persoonsgegevens bij de betrokkene ligt – bij de natuurlijke persoon op wie die gegevens betrekking hebben.
M.J.
Bron: Security.nl