Paniekvoetbal rondom eID en het kunnen datagraaien door de Amerikaanse overheid

Column ingezonden door Menno Weij, SOLV.

Waarom de politieke vrees voor de Patriot Act ongegrond is.

Recent was er weer politieke ophef over de Amerikaanse Patriot Act en het, als gevolg van die Act, door de Amerikaanse overheid – beweerdelijk! – kunnen graaien naar data en persoonsgegevens van Nederlanders.

Ditmaal ontstond de ophef in het kader van eID, de nieuwe elektronische identiteitskaart die DigiD moet gaan opvolgen. De Tweede Kamer had tijdens een debat over eID aan Minister Plasterk gevraagd te onderzoeken of de Rijksoverheid Amerikaanse bedrijven mag uitsluiten van aanbestedingen. Met name D66 wees er in dat verband op dat er geen privégegevens van Nederlanders zouden mogen weglekken naar de Verenigde Staten.

Tijdens het debat werd (weer) duidelijk: politiek Den Haag vreest de Patriot Act, want die zou opsporingsdiensten carte blanche geven om vrijelijk naar u en mijn data te graaien. Minister Plasterk vroeg de landsadvocaat vervolgens om een spoedadvies, namelijk mag de Staat bij een Europese aanbestedingsprocedure een bedrijf uitsluiten om de enkele reden dat het een Amerikaanse onderneming betreft.

Het antwoord van de landsadvocaat (brief van 15 april jl.) laat zich natuurlijk raden. Nee, de Staat kan een bedrijf niet zomaar uitsluiten om de enkele reden dat het een Amerikaan is. Belangrijkste argumenten daarvoor zijn dat Nederland en de VS beide (i) lid zijn van de Wereldhandelsorganisatie (WTO), en (ii) partij zijn bij de WTO-overeenkomst inzake overheidsovereenkomsten (de zogenaamde Agreement on Government Procurement (“GPA”)).

De GPA stelt met zoveel woorden dat alle bij de overeenkomst betrokken landen, op dezelfde wijze deel dienen kunnen te nemen aan aanbestedingen wanneer de desbetreffende aanbesteding onder de reikwijdte van de GPA valt (voor de liefhebber: zie in dat verband overweging 7 bij Richtlijn 2004/18/EG). De landsadvocaat geeft daarbij aan dat de GPA niet alleen geldt voor zuiver Amerikaanse bedrijven, maar ook voor Europese bedrijven met een Amerikaanse aandeelhouder. Kortom, een Amerikaanse (dochter-)onderneming moet dus op gelijke voet worden behandeld.

Er is overigens meer aan te voeren tegen het uitsluiten van Amerikaanse bedrijven bij aanbestedingen. In mijn optiek zou het algemene non-discriminatieverbod eraan in de weg kunnen staan. Ook maakt Nederland gebruik van het zogenaamde gesloten stelsel van uitsluitingsgronden, en dit stelsel laat zich hiermee ook niet al te gemakkelijk verenigen. De Staat mag trouwens wel typisch “Nederlandse” eisen stellen aan de aanbesteding van eID, zoals de eis van Nederlandstalige gebruiksdocumentatie en de eis dat de helpdesk de Nederlandse taal spreekt.

Het is mij onduidelijk waar de politieke vrees voor de Patriot Act en het fenomeen datagraaien vandaan komt in het licht van eID. Toegegeven, de precieze reikwijdte van de Patriot Act is nog niet geheel duidelijk (zie daarvoor ook mijn vorige column), maar er moet wel iets serieus aan de hand zijn wil de Amerikaanse overheid gegevens kunnen opvragen onder de Patriot Act. Het beeld dat er maar vrijelijk in gegevens kan worden gesnuffeld door Amerikaanse opsporingsinstanties, is dus onjuist.(En laten we niet vergeten dat Nederland op dit punt ook een flinke reputatie heeft opgebouwd, onder andere als koploper heimelijk aftappen.)

Bovendien, bij louter de ontwikkeling van het eID-systeem, speelt het probleem überhaupt niet. Gedurende de ontwikkeling worden er nog helemaal geen privégegevens verwerkt in eID; hooguit testdata. Het is dus wellicht de moeite waard voor de Staat om de mogelijkheid te onderzoeken om het project op te splitsen in de ontwikkeling en levering van het systeem enerzijds, en operationeel beheer, onderhoud en ondersteuning anderzijds (en ja, ik weet dat intellectuele eigendomsrechten daarbij een rol spelen).

Tenslotte kennen Nederland en Europa hun eigen privacy regime. Ook de Staat dient zich natuurlijk aan de regels omtrent verwerking van persoonsgegevens te houden. In zijn algemeenheid is er altijd de toets ‘wie verwerkt de persoonsgegevens, voor welke doeleinden en hoe lang worden gegevens bewaard’, en bovendien gelden er bijzondere, strenge regels voor de zogenaamde doorgifte van persoonsgegevens buiten Europa. De landsadvocaat lijkt hierop ook te zinspelen in zijn advies: “daarmee zeggen wij nog niets over de eventuele mogelijkheden (…) om te bereiken dat gecontracteerd wordt met een partij die de nationale en Europese privacyregels zal kunnen naleven”, maar haast zich eraan toe te voegen dat het “de rechter zal zijn die toetst of een gekozen maatregel juridisch toelaatbaar is.”

Het laatste woord over eID, privacy, datagraaien en de Patriot Act is ongetwijfeld nog niet gezegd, maar ik hoop wel dat de discussie in de juiste context zal worden gevoerd. Met name dat de politiek haar angst voor de Patriot Act en datagraaien door de Amerikaanse overheid laat varen, en kritisch kijkt naar onze eigen privacy regels.

Deze column is eerder gepubliceerd in AG.