Naar aanleiding van Data Protection Day, schrijven we deze blog om terug te keren naar de essentiële vraag bij gegevensbescherming: waarom is het zo belangrijk om jouw persoonsgegevens te beschermen tegen misbruik? Aan de hand van waargebeurde Duitse incidenten tonen we aan waarom het zo belangrijk is om waarborgen te hebben over hoe onze persoonsgegevens worden verwerkt, zowel in het heden als voor de toekomst. De fundamentele bescherming van persoonsgegevens kan immers worden herleid tot de Tweede Wereldoorlog waarbij persoonsgegevens manifest werden misbruikt door de nazi’s om joden zo snel mogelijk te kunnen identificeren.
Recht op privé-leven
De verwerking van persoonsgegevens heeft betrekking op het ‘privéleven’ zoals bedoeld in artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Het EVRM trad op 4 november 1950 in werking en het recht op gegevensbescherming kon oorspronkelijk worden gezien als een onderdeel van het ruime recht op privé-leven. Artikel 8 EVRM stelt:
“Lid 1: Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.
Lid 2: Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.“
Het “privé-leven” wordt echter niet gedefinieerd wat de effectieve handhaving van het recht op gegevensbescherming belemmert, aangezien het niet duidelijk is welk type verwerking onder artikel 8 EVRM valt en dat effectieve bescherming steeds van geval tot geval moet worden beoordeeld. Daarom werd specifieke wetgeving ingevoerd om het recht van het individu om zijn eigen beslissingen te nemen over diens persoonsgegevens beter te dekken. Dit leidde finaal tot de Algemene Verordening Gegevensbescherming in 2018. Hierover later meer in deze blog.
Er kan worden opgemerkt dat het recht op privacy grotendeels betrekking heeft op het recht om met rust te worden gelaten door overheden, wat volgt uit de voornamelijk verticale toepassing van artikel 8 EVRM, zoals geïllustreerd in punt 2 van dat artikel. Het recht op gegevensbescherming vermeldt immers expliciet zowel de horizontale toepassing ervan (lid 1) jegens personen en bedrijven als de verticale (lid 2) jegens de overheid.
Nazi misbruik tijdens WO-II
Dat persoonsgegevens door de overheid kunnen worden misbruikt kan best worden geïllustreerd door het naziregime in de jaren 30. Toen dat regime aan de macht kwam, bracht de totale staatscontrole ook de totale controle over persoonsgegevens met zich mee.
Toen gingen in Duitsland volkstellers van deur tot deur om ponskaarten in te vullen die de nationaliteit, moedertaal, beroep en religie van de inwoners aangaven. Ponskaarten waren de eerste vorm van geautomatiseerde informatieverwerking in de vorm van een kartonnen kaart, waarbij de posities van ponsgaatjes de informatie representeren. Deze kaarten werden geteld door Hollerith machines, gemaakt door de toenmalige Duitse dochteronderneming van IBM, Deutsche Hollerith Maschinen GmbH. Het bedrijf heeft ook nooit ontkend dat zijn machines werden gebruikt tijdens de tweede wereldoorlog door het naziregime.
Deze machines konden via automatische verwerking gegevens over religieuze overtuigingen in de ponskaarten verwerken en zo eenvoudig alle Joden identificeerden. Hoewel de verzameling toen een algemene bevraging over bevolkingsgegevens in de vorm van een volkstelling als doelstelling had, werd deze initiële doelstelling duidelijk misbruikt om zo later een databank te verkrijgen over alle Duitse Joden met het gekende leed tot gevolg. Achteraf gezien kan men zich nu de vraag stellen of gegevens rond religieuze overtuigingen weldegelijk noodzakelijk waren? Op heden zou dit een duidelijke inbreuk zijn op het principe van dataminimalisatie – vervat in artikel 5.1 c) AVG – dat stelt dat je enkel persoonsgegevens mag verwerken voor zover strikt noodzakelijk voor het vooropgestelde doeleinde.
DDR versus BRD
Toen de oorlog eindigde en de Oost-Duitse DDR werd opgericht verzamelde de geheime politie (de Stasi) verder enorme hoeveelheden persoonsgegevens over hun medeburgers. Deze politie-ambtenaren waren vrij om post te screenen, appartementen te doorzoeken en volledige woonkamergesprekken en telefoons van burgers af te luisteren. Denk hierbij aan de bekroonde Duitse film “Das Leben der Anderen” uit 2006 van regisseur regisseur Florian Henckel von Donnersmarck.
Als reactie hierop keurde West-Duitsland in 1970 in de West-Duitse deelstaat Hesse de eerste moderne wettelijke bescherming van persoonsgegevens jegens de overheid goed ontworpen om inwoners te beschermen tegen misbruik bij het opslaan, verzenden, wijzigen en verwijderen van gegevens.
Moderne invulling van gegevensbescherming
Later leidde bezorgdheid over onnodig opdringerige volkstellingsvragen tot een belangrijke zaak voor het Federale Duitse Grondwettelijk Hof in 1983, waarin het recht op “zelfbeschikking over persoonlijke gegevens” tot grondrecht werd verklaard in de baanbrekende Volkszählunsurteil-zaak.
Het einde van de Koude Oorlog viel samen met de toename van gegevensoverdracht door heel Europa in de jaren ’90. De oprichting van een Europese interne markt omvatte ook een E.U. wetgeving voor het beschermen van persoonsgegevens uit 1995 waarbij een voorzichtige houding ten opzichte van het verwerken van persoonsgegevens de Europese standaard werd.
In 2014 verklaarde vervolgens het Hof van Justitie van de Europese Unie, het zogenaamde recht om vergeten te worden en bepaalde dat Google zich moet houden aan verzoeken van gebruikers om inadequate, irrelevante gegevens te verwijderen. Finaal werd in 2018 de Algemene Verordening Gegevensbescherming van kracht dat de regels verder verstrengde en vooral harmoniseerde over alle lidstaten heen. Sindsdien hebben de nationale Gegevensbeschermingsautoriteiten meer uitleg gegeven over de concrete invulllingen in adviezen en vonnissen.
Wens je hierover meer te lezen? Dan raden we zeker het boek uit 2001 aan van Edwin Black “IBM and the Holocaust: The Strategic Alliance Between Nazi Germany and America’s Most Powerful Corporation” wat ook onze voornaamste bron was van deze blog.
Zit je nog met vragen na het lezen van deze blog? IFORI kan jou bijstaan bij het adviseren omtrent de toepassing en juridisch analyse van de GDPR binnen uw organisatie. Contacteer ons gerust via mail naar info@ifori.be.