INTERNET & PRIVACY EEN INVENTARISATIE VAN NORMATIEVE ASPECTEN VAN TOEZICHT OP
INTERNETGEBRUIK IN DE ORGANISATIE.
DR. Y.H. VAN DER PLOEG
PROF. DR. J. DE MUL
ONDERZOEKSPROGRAMMA INTERNET EN OPENBAAR BESTUUR 2001
INHOUDSOPGAVE INLEIDING
PAGINA 5
VRAAGSTELLING
5
OPZET VAN HET ONDERZOEK
5
1. DEFINITIES VAN PRIVACY 1.1 PRIVACY IN ETHISCH PERSPECTIEF 1.2 PRIVACY IN JURIDISCH PERSPECTIEF 1.3 PRIVACY IN SOCIOLOGISCH PERSPECTIEF
7 8 9 10
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING 2.1 SCHADE 2.2 ONGELIJKHEID 2.3 ONRECHTVAARDIGHEID 2.4 AUTONOMIE 2.5 KWALITEIT VAN RELATIES 2.6 VERTROUWEN 2.7 STRESS
15 16 17 18 19 20 21 21
3. TOEZICHT OP WERKNEMERS INLEIDING 3.1 PUBLIEK/PRIVE OP HET WERK 3.2 DE ROL VAN ICT: DECENTRALISATIE EN INTENSIVERING
25 26 26 28
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE 4.1 PRIVACY BINNEN DE ORGANISATIE 4.2 PRIVACY BUITEN DE ORGANISATIE
31 32 35
BELANGRIJKSTE CONCLUSIES EN AANBEVELINGEN
39
LITERATUUR
44
APPENDIX A SUGGESTIES VOOR VERVOLGONDERZOEK.
51
APPENDIX B KONTAKTEN EN POTENTIELE PARTICIPANTEN VOOR VERVOLGONDEZOEK: RESULTATEN VAN EEN INVENTARISATIERONDE LANGS DE MINISTERIES
53
AUTEURSBESCHRIJVING
56
INTERNET & PRIVACY / PAGINA 3
INLEIDING Ten aanzien van privacyvraagstukken in verband met elektronische netwerken doet zich een merkwaardige paradox voor. Enerzijds wordt het ‘privacy vraagstuk’ van het prille begin van de ontwikkeling van elektronische netwerken beschouwd als een urgent ethisch vraagstuk, terwijl anderzijds de burger zich blijkens zijn gedrag en uitlatingen steeds minder gelegen laat liggen aan de groeiende inbreuk die er op diens privacy zou worden gedaan. Deze paradox hangt samen met het feit dat het begrip ‘privacy’ een containerbegrip is, dat wil zeggen een verzamelnaam voor een aantal verwante, door het gebruik van persoonsgegevens verbonden, maar op andere punten duidelijk te onderscheiden morele vraagstukken. Zo dienen vraagstukken die maken hebben met ‘informationele schade’ (schade die berokkend wordt door misbruik van persoonsgegevens zoals bijvoorbeeld creditcard nummers en Sofi-nummers), ‘informationele ongelijkheid’ (bijvoorbeeld die tussen overheid en burger, of tussen een consument en een winkelketen) en ‘informationele onrechtvaardigheid’ (het verkopen door een arts of een overheid van medische gegevens aan een verzekeringsmaatschappij) onderscheiden te worden van echte privacyvraagstukken in ethische zin. In contrast met deze laatste categorie zijn de morele vraagstukken in de eerste drie categorieën niet zozeer verbonden met het gebruik van persoonsgegevens als zodanig, maar met de (op andere normatieve gronden als moreel verwerpelijk beoordeelde) aard van dit gebruik. Wanneer deze verschillende vraagstukken niet zorgvuldig worden onderscheiden, is begripsverwarring onvermijdelijk en worden met beroep op privacyclaims gemaakt die in feite hun grond hebben in andere morele principes. Voor het ontwikkelen van een adequaat in- en extern privacybeleid is het van belang de conceptuele onderscheiding tussen het privacyvraagstuk en de overige aan het gebruik van persoonsgegevens gerelateerde vraagstukken goed in het oog te houden. Het actuele probleem van de wenselijkheid en mogelijkheid van toezicht op het gebruik van het Internet door werknemers fungeert als concretisering en illustratie van deze conceptuele verheldering.
VRAAGSTELLING In het onderzoek zullen de volgende vraagstukken aan de orde komen: 1) Met behulp van welke typologie kunnen de verschillende met het gebruik van persoonsgegevens verbonden morele vraagstukken op een voor de departementale Internetbeleidsontwikkeling van V&W vruchtbare wijze worden onderscheiden? 2) Welke met het gebruik van persoonsgegevens verbonden morele vraagstukken zijn er in het geval van (toezicht op) het gebruik door werknemers van het Internet in het geding en welke plaats neemt het vraagstuk van de privacy hierbinnen in?
OPZET VAN HET ONDERZOEK Het onderzoek bestaat uit drie onderdelen: 1) Een inventarisatie van het empirisch en conceptueel-normatief onderzoek dat de afgelopen decennia is verricht met betrekking tot morele vraagstukken die verbonden zijn met (het toezicht op) het gebruik van het Internet in arbeidsomgevingen. 2) De ontwikkeling van een voor de beleidspraktijk van V&W relevante typologie van met (het toezicht op) het gebruik van het Internet verbonden privacy- en andere morele vraagstukken. 3) Een informele inventarisatie van de interesse in de onderhavige problematiek bij andere ministeries, en met name bij de bij ‘Internet en Openbaar Bestuur’ betrokken ministeries, met het oog op eventueel vervolgonderzoek.
INTERNET & PRIVACY / PAGINA 5
1. DEFINITIES VAN PRIVACY
1. DEFINITIES VAN PRIVACY 1.1 PRIVACY IN ETHISCH PERSPECTIEF Het spanningsveld waarbinnen het privacyvraagstuk zich doorgaans voordoet in de samenleving laat zich in filosofisch-ethische zin omschrijven als het debat tussen liberalisme en communitarisme. Het betreft hier twee denktradities die in Nederland beide aan de basis liggen van het politieke en morele leven, maar vaak op gespannen voet staan met elkaar. Het individuele recht op privacy heeft zijn historische en intellectuele wortels in de traditie van het liberalisme, dat de vrijheid en de autonomie van het individu centraal stelt. De overheid wordt geacht een beperkte, vooral faciliterende rol te vervullen in het leven van haar burgers. Het communitarisme stelt de gemeenschap en het collectieve belang voorop, en levert daarmee de legitimatie voor overheidsingrijpen, eventueel ten koste van individuele belangen, wanneer het collectieve belang dit vergt. Vanuit het collectieve belang is het wenselijk en noodzakelijk om te kunnen controleren of individuen bijdragen aan collectieve voorzieningen in de mate die van hen verwacht wordt, en er niet meer van nemen dan hun toekomt. Ten aanzien van het privacyvraagstuk doet deze tegenstelling zich voor als het collectieve belang om over informatie over individuen te beschikken. De door het liberalisme verdedigde individuele anonimiteit en vrijheid geeft ruim baan aan zogenaamde ‘free riders’, personen die wel de vruchten plukken van de door de gemeenschap opgebrachte voorzieningen, maar niet bijdragen aan het creëren of in stand houden van die voorzieningen. Dit kan alleen onder de dekmantel van een zekere mate van anonimiteit en privacy. Vanuit het communitaristische denken is de instandhouding van de collectieve voorzieningen, en ten behoeve daarvan, de bestrijding van free riders belangrijker dan het individuele recht op privacy; controle op individueel gedrag is derhalve gerechtvaardigd om het gemeenschapsbelang veilig te stellen. Beide denkrichtingen zijn sterk aanwezig in Nederland met haar uitgebreide stelsel van voorzieningen: men vindt over het algemeen dat het individu niet ondergeschikt gemaakt dient te worden aan de collectiviteit, maar vindt tegelijk dat vergaande controle op individuen gerechtvaardigd is om misbruik van de gemeenschappelijke middelen te beperken. De onvermijdelijke spanning die deze twee tendensen met zich mee brengt doet zich niet zelden voor in de vorm van ‘het privacydebat’. Om een evenwicht, of op zijn minst een tijdelijke consensus, of politiek aanvaardbaar compromis te bereiken tussen de twee tegengestelde strevingen, de één om het individu met rust te laten, de andere om hem of haar te controleren, is reflectie op de reikwijdte van het recht op privacy noodzakelijk. Wanneer gaat de gemeenschap te ver; welke grens moet gerespecteerd blijven en waarom precies? Met het oog op deze problematiek kan het articuleren van de morele waarde van privacy, en de verwante waarden die er vaak mee in verband gebracht worden, bijdragen aan een noodzakelijke verheldering van het debat. Het concept ‘privacy’ heeft inmiddels een lange geschiedenis die gekenmerkt wordt door talloze pogingen tot definiëring en herdefiniëren. Het blijkt niet eenvoudig een eensluidende definitie te destilleren uit de veelheid van literatuur over het onderwerp. Een belangrijke reden hiervoor is dat dat wat als privé geldt, cultureel, sociaal en historisch veranderlijk is. Het feit dat ‘privacy’ in steeds verschillende contexten en situaties aangehaald wordt, maakt dat er steeds nieuwe invullingen aan gegeven wordt. Veranderende omstandigheden, op het gebied van wat als persoonlijk geldt, maar ook met name op het gebied van beschikbare informatie- en communicatiemiddelen maken voorts herdefinitie voortdurend noodzakelijk. De huidige context van het gebruik van informatie technologie en het genereren van persoonlijke gegevens is er één waaraan andere voorafgingen. Zo is een belangrijke vroege interpretatie van privacy gebaseerd op het probleem van het publiceren over privélevens van bekende personen in massamedia (roddelbladen); een andere op INTERNET & PRIVACY / PAGINA 8
1. DEFINITIES VAN PRIVACY het recht om beslissingen over persoonlijke zaken te nemen zonder inmenging van overheden of anderen; een derde heeft meer observatie en afluisterpraktijken van verdachten door de politie op het oog. Dergelijke variatie in context, veelal gekoppeld aan bepaalde roemruchte rechtszaken, heeft er toe geleid dat verschillende theorieën en definities van privacy geformuleerd werden. Men kan drie algemene benaderingen onderscheiden met betrekking tot de vraag waarin ‘privacy’ precies bestaat: een op toegang tot de persoon, een op beslissingsvrijheid, en een op informatie gebaseerde benadering (Van den Hoven, 1995:145). Een belangrijk voorbeeld van de eerste benadering is de definitie van privacy als ‘het recht om met rust gelaten te worden’. Al geformuleerd in 1890 door Warren & Brandeis, gaat het hier om de zogenaamde ‘non-intrusion’ theorie van privacy. Beslissingsvrijheid is in het geding wanneer privacy aangehaald wordt ter vrijwaring van overheidsbemoeienis van persoonlijke keuzes met betrekking tot zaken als contraceptie, abortus, en seksuele voorkeur. Voor de huidige vragen rond informatie- en communicatie technologie (ICT) en met name die rond het gebruik van het Internet, is de meest relevante benadering die welke privacy definieert in termen van persoonlijke informatie. Doorgaans toegeschreven aan Westin (1967:7) luidt de definitie nu: de claim van het individu, de groep, of de institutie, om zelf te bepalen wanneer, hoe, en in welke mate informatie over hem of haar aan anderen wordt gegeven. Fried (1986) zegt het iets bondiger: privacy is ”controle van het individu over kennis over hem/haar zelf”. Gavison (1980:434) definieert vervolgens een verlies aan privacy als het geval waarin anderen informatie verkrijgen over, aandacht besteden aan, of toegang verkrijgen tot een individu. In deze laatste definitie komt bovendien een aspect naar voren dat door anderen als een kernaspect van privacy benadrukt wordt (Johnson, 1989; Introna en Poloudi, 1999). Privacy is een relationeel concept, dat wil zeggen, de notie van een ‘ander’ is cruciaal. De fundamentele kwestie die aan de orde is bij privacy is (vrijwaring van) het oordeel van een ander. Twee aspecten van de definitie in termen van informatie zijn van belang voor praktische toepassingen. Ten eerste het feit dat hiermee privacy niet langer betrekking heeft op een (bijna ruimtelijk opgevatte) privésfeer die afgegrensd wordt van de buitenwereld. Ten tweede, dat individuele controle over de informatie centraal is komen te staan. Het eerste aspect vergemakkelijkt de toepassing van ‘privacy’ in de context van ICT en informatieverwerking omdat dit zich doorgaans juist niet afspeelt in de privésfeer, maar in de elektronische databanken en netwerken van instellingen en bedrijven. Dit maakt meteen duidelijk waarom het tweede aspect, dat van de individuele controle juist problematisch is in de huidige context: de verwerking van persoonlijke informatie vindt doorgaans plaats ver buiten het zicht en het bereik van het individu.
1.2 PRIVACY IN JURIDISCH PERSPECTIEF. De variatie in ethische definiëring van privacy is mede tot stand gekomen doordat theorievorming veelal plaatsvindt op basis van reflectie op, en analyse van, jurisprudentie. Waar het echter gaat om privacy in de context van ICT en de verwerking van persoonsgegevens is het juridische kader voor Nederland en de Europese Unie nu redelijk vastomlijnd. Met de uitvaardiging van de Europese richtlijn “On the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Flow of Such Data” (European Parliament and Council, 1995) is een juridisch kader gecreëerd waarbinnen de lidstaten van de Unie hun nationale wetgevingen moeten vormgeven. In Nederland leidde dit tot het voorstel tot de nieuwe Wet Bescherming Persoonsgegevens (WBP), aangenomen door de Tweede Kamer op 23 november 1999; deze wet zal de bestaande Wet Persoonsregistraties (WPR) vervangen. INTERNET & PRIVACY / PAGINA 9
1. DEFINITIES VAN PRIVACY ‘Privacy’ vormt binnen dit wettelijke kader een fundamentele rechtvaardigingsgrond voor de bescherming van persoonsgegevens. Een persoonsgegeven is binnen de wet gedefinieerd als: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Individuele controle over dergelijke gegevens, zoals centraal gesteld in de ethische definities van privacy, speelt hier slechts een marginale rol: het verkrijgen van “ondubbelzinnige toestemming” van de betrokkene is slechts één van zes mogelijke gevallen waarin verwerking van persoonsgegevens toelaatbaar is (Art.8, lid a). Tegelijkertijd is een bepaling van kracht die gegevensverwerking toestaat indien “de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert” (Art. 8, lid f) Het element van ethische definities van privacy dat betrekking heeft op de beoordeling door anderen klinkt in de volgende bepaling door: “Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.” (Art 43, lid 1.) Bij het juridische antwoord op de vraag of in een bepaald geval privacy geschonden wordt zijn op basis hiervan meestal twee kwesties cruciaal: ten eerste of iets een ‘persoonsgegeven’ is, en ten tweede of er sprake is van een ‘gerechtvaardigd belang’. De beantwoording van deze vragen is vaak minder eenvoudig dan men zou kunnen verwachten. Dit heeft, waar het de eerste kwestie – de definitie van ‘persoonsgegevens’- te maken met het feit dat deze definitie hangt op de identificeerbaarheid, of herleidbaarheid van het betreffende gegeven tot een ‘natuurlijke persoon’. Het probleem is dat dit geen statisch kenmerk van het gegeven zelf is, maar afhankelijk van de context en de samenhang met andere gegevens waarbinnen het gegeven geplaatst wordt. Met andere woorden, een niet-persoonsgegeven kan een persoonsgegeven worden, wanneer er andere gegevens aan toegevoegd worden. Het sofinummer, bijvoorbeeld, geldt als een standaard voorbeeld van een persoonsgegeven, maar is op zichzelf slechts een getal; het verwijst pas naar een persoon wanneer men tevens beschikt over een bestand met namen gecombineerd met sofinummers. Een eigennaam is een persoonsgegeven; maar de naam Jan de Boer verwijst in Nederland misschien wel naar tweehonderd personen; zo’n naam identificeert pas echt één persoon als het bij wijze van spreken gecombineerd wordt met een sofinummer. (Zie m.b.t. dit punt ook 4.1). Het ‘gerechtvaardigde belang’, vereist voor de verwerking van persoonsgegevens door derden, bijvoorbeeld een werkgever, is vanzelfsprekend iets waarover meningen, zeker de meningen van partijen met verschillende belangen in een specifiek geval, kunnen verschillen. Al met al laat de juridische definitie van privacy, of, preciezer, de bescherming van persoonsgegevens, nog tamelijk veel ruimte voor verschillen in interpretatie en opvatting. In Nederland is de Registratiekamer belast met toezicht op de uitvoering van de WPR en de WBP. Haar taak bestaat in niet geringe mate uit de beoordeling per geval van deze twee kwesties: betreft het een persoonsgegeven, en is er sprake van een gerechtvaardigd belang?
1.3 PRIVACY IN SOCIOLOGISCH PERSPECTIEF Waar de ethische en juridische conceptualisering van privacy wordt gekenmerkt door de structurele tegenstelling tussen individuele privacybelangen en collectieve informatie belangen, stelt de sociologische benadering van privacy het anders. Individuele rechten, INTERNET & PRIVACY / PAGINA 10
1. DEFINITIES VAN PRIVACY zo stelt men hier, zijn eerst mogelijk geworden met de opkomst van een staatsvorm die zich administratief met individuen bezig ging houden. Om iedere burger als gelijke te behandelen, moet men over iedereen gegevens bijhouden. Juist naarmate een maatschappij democratischer is, en meer waarde hecht aan rechten en behoeften van individuele burgers, is er meer informatie over, en controle van personen nodig. Iets basaals als universeel stemrecht is slechts realiseerbaar als men over een bevolkingsregister beschikt waarin iedere burger is opgenomen. De steeds verdergaande persoonsregistraties van de verzorgingsstaat hebben alles te maken met de steeds verdergaande individualisering en het steeds complexer worden van het stelsel van voorzieningen. Het individu zelf, als drager van onder andere privacy-rechten, is net zo goed een resultaat van allerlei persoonsregistraties, als dat het er door bedreigd zou worden. In de woorden van socioloog Lyon: I”FROM THIS POINT OF VIEW, THE SURVEILLANCE SYSTEMS OF ADVANCED BUREAUCRATIC NATIONSTATES ARE NOT SO MUCH THE REPRESSIVE MACHINES THAT PESSIMISTS IMPLY, BUT THE OUTCOME OF ASPIRATIONS AND STRIVINGS FOR CITIZENSHIP. IF GOVERNMENT DEPARTMENTS ARE TO TREAT PEOPLE EQUALLY, [....] FROM WHICH OTHER RIGHTS FOLLOW, THEN PEOPLE MUST BE INDIVIDUALLY IDENTIFIED. TO EXERCISE THE RIGHT TO VOTE, ONE’S NAME MUST APPEAR ON THE ELECTORAL ROLL; TO CLAIM WELFARE BENEFITS, PERSONAL DETAILS MUST BE DOCUMENTED. THUS [...], THE INDIVIDUATION THAT TREATS PEOPLE IN THEIR OWN RIGHT, RATHER THAN MERELY AS MEMBERS OF FAMILIES OR COMMUNITIES, MEANS FREEDOM FROM SPECIFIC CONSTRAINTS BUT ALSO GREATER OPPORTUNITIES FOR SURVEILLANCE AND CONTROL ON THE PART OF A CENTRALIZED STATE.” (Lyon, 1994 : 32-2) “TO THIS LIST OF DEMOCRATIC RIGHTS, THE VERY RIGHT TO PRIVACY MAY BE ADDED, SO THAT, AS SUGGESTED BY ALEXIS DE TOCQUEVILLE, DEMOCRACY PRODUCES PRIVATIZED INDIVIDUALS PARTICULARLY VULNERABLE TO THE CRUSHING STRENGTH OF CENTRAL STATE INSTITUTIONS. AS SURVEILLANCE DEVELOPS, SO AN INDIVIDUAL ANXIETY ABOUT ‘PRIVACY’ EMERGES, STIMULATED BY WHAT ARE FELT AS THE ENCROACHMENTS OF GOVERNMENT ADMINISTRATION.” (Lyon, 1994:26-7) Het verschil tussen deze benadering en de ethisch en juridische opvattingen van privacy komt voort uit een verschil in opvatting over het individu. Waar de voorgaande benaderingen (met uitzondering van de communitaristische, zie 1.1) het individu als natuurlijke entiteit, voorafgaand aan het sociale beschouwen, wordt hier benadrukt dat het individu ontstaat in sociale processen en praktijken van individuatie en identificatie. Hierdoor verschijnt de privacyproblematiek als een onvermijdbaar bijverschijnsel van een sociale structuur die niettemin het individu centraal stelt. Daarom is de privacyproblematiek een kwestie die nooit definitief oplosbaar is, maar een spanningsveld inherent aan onze maatschappelijke ordening. Vanuit dit perspectief zijn twee tegenovergestelde posities ten aanzien van de plaats van privacy in onze samenleving uitgewerkt. De eerste, in brede kringen bekend geraakt en opgepakt is die van de Franse filosoof en sociaal historicus Foucault. Deze stelt dat toezicht het centrale mechanisme van moderne maatschappijen is waarmee sociale orde in stand gehouden wordt. Hierbij gaat het niet om toezicht vanuit een centrale instantie, maar meer om een ongeleid netwerk van disciplinerende verhoudingen die doortrokken zijn van normen omtrent wat ‘waar’ is en wat ‘normaal’ is. Privacy is in die zin een illusie, dat het individu juist in zijn persoonlijke behoeften en verlangens een product is van ‘disciplinering’ en ‘normalisering’: juist die aspecten van het leven waarvoor men doorgaans privacy verlangt zijn door en door gevormd door sociaal-culturele normering, en op paradoxale wijze juist het object van intensieve sociale controle. De mechanismen waarlangs dit verINTERNET & PRIVACY / PAGINA 11
1. DEFINITIES VAN PRIVACY loopt zijn echter zo subtiel, en alom tegenwoordig in maatschappelijke verhoudingen en instituties (gezondheidszorg, onderwijs, het recht, maar vooral ook de menswetenschappen met haar normatieve praktijken), dat de dwang die er van uitgaat door velen nauwelijks alszodanig ervaren wordt – totdat men ‘afwijkend’ gedrag gaat vertonen. Het effect is dat men de normen dermate internaliseert dat ze als eigen wensen, zelfs de kern van de eigen persoonlijkheid ervaren worden. Een andere opvatting over de relatie tussen toezicht en privacy is de opmerkelijke stelling van Nock (1993), die meent dat individuen in de moderne samenleving juist nog nooit zo veel privacy en anonimiteit genoten hebben als tegenwoordig, en dat de steeds sterkere vormen van toezicht en registratie van persoonsgegevens de prijs zijn die we hiervoor betalen. Die prijs moet betaald worden, want juist wanneer het sociaal-maatschappelijke leven zo vaak noodzaakt tot het aangaan van risicovolle relaties met vreemden is er een alternatieve manier nodig om vertrouwen te genereren. Waar vroeger sterke sociale verbanden, sociale controle, en geringe mobiliteit er voor zorgden dat men weliswaar weinig privacy had, konden de meeste relaties die mensen met elkaar aangingen, of dit nu privé of zakelijke relaties betrof, gebaseerd worden op het vertrouwen in een bekende “goede naam”. Tegenwoordig is er een ongekende individuele privacy en anonimiteit, maar moet men zich vergewissen van iemands reputatie door middel van meer kunstmatige referenties en “goede papieren”. Hiervoor dienen dan de talloze verschillende vormen van persoonsregistraties, die in allerlei situaties bewijzen kunnen leveren van iemands identiteit en reputatie. “ WHEN PORTABLE REPUTATIONS ARE SEEN AS AN ALTERNATIVE TO MORE CONVENTIONAL WAYS OF KNOWING ANOTHER PERSON, OR WHEN THEY ARE SEEN AS A CONSEQUENCE OF OTHERS’ ANONIMITY, THEY MAY BE INTERPRETED AS PART OF THAT ANONIMITY. SUCH COSTS ARE NEITHER INHERENTLY GOOD NOR BAD. INSTEAD, THEY ARE ASPECTS OF A COMPLEX SOCIETY IN WHICH VAST NUMBERS OF UNACQUAINTED INDIVIDUALS MUST BE ABLE TO DEPEND ON ONE ANOTHER. OUR WILLINGNESS TO ACCEPT THESE COSTS DEPENDS ON HOW MUCH THEY CONTRIBUTE TO THE MAINTENANCE OF TRUST, THE IRREDUCIBLE MINIMUM REQUIREMENT FOR SUSTAINED HUMAN INTERACTION. TRUST IS THE CORE AROUND WHICH ALL COMMUNITIES AND SOCIETIES ARE BUILT. SURVEILLANCE MAY SUSTAIN OR PERMIT IT IN A COMPLEX SOCIETY. THE COSTS OF PRIVACY ARE THEN SEEN AS THE COSTS OF TRUST.” (Nock, 1993:130-131)
INTERNET & PRIVACY / PAGINA 12
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING INLEIDING De verschillende definities van privacy, zoals in het vorige hoofdstuk globaal weergegeven, corresponderen met verschillende redenenen om privacy te beschermen. De gronden waarop privacy gewaardeerd, en bijgevolg beschermd moet worden, zijn niet zondermeer duidelijk, en consensus hieromtrent is ver te zoeken. Uit de vele discussies en studies die aan het onderwerp gewijd worden komen antwoorden naar voren die variëren van zuiver morele tot en met gezondheidskundige argumenten. In de volgende paragrafen laten we kort een reeks rechtvaardigingsgronden ontleend aan de literatuur de revue passeren. Hiermee wordt inzichtelijk in welk type debat, argumentatie, of situatie, privacy claims naar voren kunnen komen, en wat er blijkbaar zoal op het spel staat. Het feit dat het hier met name gaat om argumenten voor privacy impliceert dat de nadruk in de volgende paragrafen ligt op de negatieve kanten van het registreren en verwerken van persoonsgegevens, hetgeen onverlet laat dat hieraan, in voorkomende gevallen, ook mogelijke positieve effecten voor de betreffende individuen verbonden kunnen zijn. Binnen de categorie morele gronden zijn consequentialistische of utilistische gronden te onderscheiden van deontologische. In het eerste geval is een handeling of keuze goed of verkeerd op grond van de gevolgen of het nut er van; in het laatste geval spreekt men ook van morele plichten: iets is goed of verkeerd in zichzelf, zonder dat dit weer tot een andere waarde gereduceerd kan worden. Op basis van dit onderscheid, stelt Van den Hoven (1998), kunnen we een aantal vormen van ‘moral wrongdoing’ met betrekking tot het gebruik van persoonlijke informatie identificeren, die evenwel lang niet alle terug gaan op de waarde van privacy per se, maar op andere morele waarden, zoals persoonlijke schade (1), ongelijkheid (2), en onrechtvaardigheid (3). Een argumentatie in termen van autonomie en morele identeit (4) is volgens deze auteur de enige werkelijk morele reden om privacy als een moreel goed op zichzelf te waarderen en de bescherming er van dus deontologisch gerechtvaardigd kan worden. Vervolgens komen enkele morele argumenten ontleend aan sociaal-theoretische inzichten, t.w. kwaliteit van relaties (5) en vertrouwen als conditio sine qua non voor een functionerende samenleving (6), en tenslotte een gezondheidskundige reden, stress (7), aan de orde.
2.1 SCHADE De meest voor de hand liggende reden om privacy te claimen en/of te willen beschermen is dat kennis van iemands persoonlijke details en gegevens misbruikt kan worden, en iemand op heel direkte wijze kan schaden. Een creditcardnummer moet bijvoorbeeld niet vrij circuleren, omdat dat directe financiële schade voor de eigenaar van de betreffende kaart kan opleveren. Iemands agenda-gegevens dienen niet vrij toegankelijk te zijn, opdat kwaadwillenden niet exact kunnen bepalen wanneer ze iemands huis leeg kunnen roven. Kennis over privégewoonten die in bepaalde kringen sterk veroordeeld worden moet niet in verkeerde handen vallen, opdat de betreffende persoon niet geridiculiseerd of gechanteerd zal worden. Om een voorbeeld uit de sfeer van de overheid noemen, valt hier bijvoorbeeld te denken aan mogelijke schade door misbruik van RINIS (Routeringsinstituut voor (Inter)nationale Informatiestromen in de Sociale Zekerheid), een stelsel van geautomatiseerde verwijzingsindexen dat het mogelijk maakt om gegevens te ontsluiten en koppelen uit de verschillende subsectoren van de sociale zekerheid, maar in toenemende mate ook daarbuiten (Bekkers en Thaens, 1999). Een vergrijp dat volgens verschillende bronnen hand over hand toeneemt door juist de gebrekkige bescherming van persoonsgegevens is de zgn. ‘identity theft’, ofwel diefstal van identiteit. Hierbij gaat het om personen die zich naam, identiteitsgegevens, en bijbeINTERNET & PRIVACY / PAGINA 16
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING horende zaken als creditkaartnummers en rijbewijzen van anderen eigen maken, en hiermee allerlei aankopen doen, auto’s huren, of andere transacties afsluiten die de oorspronkelijke persoon volledig kunnen ruïneren. Zo zijn er talloze voorbeelden denkbaar van persoonlijke informatie die, indien ze in verkeerde handen valt, of algemeen bekend raakt, iemands belangen kan schaden en zijn of haar leven sterk negatief kan beïnvloeden. Zoals uit de voorbeelden blijkt hoeft het hierbij absoluut niet te gaan om informatie over zaken die het daglicht niet kunnen verdragen. Privacy wordt soms niet alleen als individueel recht maar ook als recht van bijvoorbeeld een organisatie gezien, hoewel dit eerder onder de algemene noemer ‘beveiliging’ valt dan onder ‘privacy’ omdat het hier meestal geen persoonlijke informatie betreft; ook in deze gevallen is het belang van schadepreventie echter evident. Wanneer bepaalde organisatie-interne informatie ‘uitlekt’, bijvoorbeeld een nota, bedoeld als voorbereidend discussiestuk over een politiek gevoelige kwestie, is het niet moeilijk te bedenken hoe hierdoor diverse vormen van schade voor de organisatie, en ook voor personen kan ontstaan. Het behoeft weinig discussie dat de preventie van schade zondermeer een goede grond is om uiterst zorgvuldig om te gaan met de opslag van persoonsgegevens. Met een morele of ethische waardering van privacy heeft dit echter weinig te maken. Het betreffende misbruik is vanzelfsprekend op ethische gronden te veroordelen, maar daarbij is een beroep op de waarde van privacy op zichzelf overbodig.
2.2 GELIJKHEID Een tweede grond voor privacy bescherming is gelegen in het feit dat de registratie, opslag en verwerking van persoonsgegevens doorgaans gedaan wordt door instanties die tegenover individuen een machtspositie innemen. Denk aan diverse overheidsinstanties als de sociale dienst, de belastingdienst, of de politie, en in de particuliere sector aan bijvoorbeeld banken en werkgevers. Individuen zijn in hun basale, alledaagse functioneren in sterke mate afhankelijk van dergelijke instanties en instellingen. Deze afhankelijkheidsrelatie maakt dat de onderhandelingspositie van individuen ten opzichte van deze ‘macro-actoren’ toch al bijzonder asymmetrisch is. Een ongebreidelde accumulatie van informatie over individuen bij dergelijke instanties maakt de verhouding nog asymmetrischer: het individu is doorgaans niet in staat om op vergelijkbare wijze informatie over de betreffende instanties te verzamelen en die in te zetten in eventuele onderhandelingen. Als kennis macht is, dan dient individuele privacy beschermd te worden om de toch al onevenwichtige machtsverhoudingen niet in absolute zin te doen doorslaan ten nadele van kwetsbare individuen. Dit geldt vanzelfsprekend voor al die overheidsinstanties die bevoegd zijn tot vergaande ingrepen in iemands persoonlijke leven, zoals de genoemde politie, sociale dienst of belastingdienst: de volledig “transparante burger” associëren wij immers niet met open, democratische staatsvormen maar met totalitaire. Maar ook een functioneringsgesprek waarbij de werknemer tot in de meest persoonlijke details van zijn of haar bestaan transparant zou zijn voor de werkgever of diens vertegenwoordiger, terwijl deze laatste allerlei verborgen agenda’s heeft en voor de werknemer onduidelijke waarden en criteria hanteert, constitueert een ongelijkheidssituatie die in moreel opzicht de grenzen van de normale autoriteitsrelaties in arbeidsituaties overschrijdt. De keerzijde van deze redenatie is dat het tevens denkbaar is dat registratie en monitoren van werkactiviteiten objectieve informatie in een dergelijke beoordelingssituatie inbrengt, die de werknemer kan beschermen tegen vooringenomenheid of partijdigheid van de beoordeelaar. Deze rechtvaardigingsgrond van privacy heeft ook betrekking op economische verhoudingen: een grootwinkelbedrijf dat vergaande consumptieprofielen opstelt op basis van INTERNET & PRIVACY / PAGINA 17
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING individueel koopgedrag vergroot zijn macht over consumenten. Ook al is niemand in strikte zin afhankelijk van zo’n winkelbedrijf, en suggereert het bonus- en kortingensysteem een ‘fair deal’, voor individuen is het volstrekt ondoorzichtig hoe groot het economische voordeel voor het bedrijf is dat op basis van de gegevens behaald wordt. Omdat deze gegevens over het bedrijf niet beschikbaar zijn voor het individu, is de onderhandelingspositie van het individu niet gelijkwaardig genoeg om überhaupt in te schatten of hij of zij wel echt een redelijke prijs voor de gegevens krijgt in de transactie. Een tweede aspect van deze ongelijke verhouding in informatie over de andere partij in economische verhoudingen is dat het het individu kwetsbaar maakt voor manipulatie. Hedendaags praktijken als direct marketing worden gekenmerkt door een vergelijkbare asymmetrie in informatie tussen marketeer en potentiële klant. Iemand die telefonisch benaderd wordt door een agent van een verzekeringsadviesbedrijf bijvoorbeeld, heeft op het moment dat zij telefonisch gecontacteerd wordt doorgaans nauwelijks enige notie van de hoeveelheid gedetailleerde informatie over haar persoon die haar gesprekspartner op dat zelfde moment al op een beeldscherm voor zich heeft. Dergelijke ongelijkheden zijn moreel discutabel, omdat ze manipulatie van personen voor economisch gewin in de hand werken. Ook in de verhouding overheid – burger speelt deze overweging natuurlijk een centrale rol. Het eerder genoemde RINIS wordt bijvoorbeeld door Bekkers en Thaens (1999:44) als volgt omschreven: “RINIS is een voorbeeld van klassieke sturing, omdat het tracht het individuele gedrag (...) van de uitkeringsgerechtigde niet alleen transparant te maken, maar bovenal te beheersen” Zo zijn “transparante burgers” kwetsbaar voor (te) vergaande overheidscontrole en –manipulatie, hetgeen in strijd is met fundamentele rechten en vrijheden. Dit zijn, net als in het vorige geval, goede ethische redenen om persoonsgegevens te beschermen, maar vormt nog niet helemaal de kern van de intrinsieke morele waarde van privacy. Het betreft hier immers een grond voor privacy bescherming ontleend aan een morele argumentatie met betrekking tot een andere waarde, namelijk gelijkheid, evenwichtige machtsverhoudingen, en het vermijden van manipulatie. Het komt er evenwel toch al tamelijk dicht bij in de buurt: het verband tussen ongelijke informatieverhoudingen en potentiële manipulatie verwijst vooruit naar de in 2.4 besproken waarde autonomie.
2.3 ONRECHTVAARDIGHEID Een derde belangrijke reden op grond waarvan mensen privacy verlangen - maar dan in feite bescherming van persoonsgegevens bedoelen - heeft te maken met de gevolgen van overheveling van gegevens uit het ene maatschappelijke domein naar het andere. Het wordt als sterk onrechtvaardig ervaren wanneer gegevens die in de ene context vrijwillig, en met het oog op een bepaald doel zijn verstrekt, gebruikt worden voor beslissingen in een geheel andere context. Informatie over inkomens, bijvoorbeeld, geeft men in principe vrijwillig op aan de sociale dienst, als op basis van die informatie een broodnodige aanvulling op het inkomen verkregen kan worden. Het wordt echter onaanvaardbaar geacht, wanneer dergelijke informatie doorgespeeld zou worden naar een ziekenhuisadministratie, die op basis daarvan de volgorde op wachtlijsten wil bepalen. Wanneer iemand ongehuwd samenwoont, dan vinden we het geen probleem als op basis daarvan de hoogte van de inkomstenbelasting bepaald wordt; het wordt echter als onrechtmatige discriminatie ervaren wanneer deze informatie terecht komt bij een schooldirectie die vervolgens op grond van die informatie de betreffende persoon als sollicitant voor een leraarspost afwijst. Hetzelfde geldt als medische gegevens een rol zouden spelen bij de toelating tot goed onderwijs, culturele achtergrond bij de toewijzing van woonruimte etcetera. INTERNET & PRIVACY / PAGINA 18
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING Zoals de filosoof Walzer, die spreekt van “spheres of justice”, benadrukt: we maken een onderscheid tussen verschillende maatschappelijke domeinen, zoals onderwijs, geneeskundige zorg, rechtspraak, politiek, arbeidsmarkt, waarvoor verschillende normen gelden met betrekking tot wat als gerechtvaardigde vormen van onderscheid maken tussen mensen geldt. Van den Hoven (1998) trekt dit idee van Walzer door naar de problematiek van persoonsinformatie: wat we moeten voorkomen is niet de verstrekking van persoonlijke informatie op zichzelf – die is immers in de geëigende context noodzakelijk voor rechtvaardige en juiste behandeling van personen – maar het doorstromen van die informatie naar andere maatschappelijke sferen. Deze problematiek is uiterst actueel, omdat de filosofische, ideaaltypische onderscheiding van maatschappelijke sferen in de maatschappelijke realiteit voortdurend sterk onder druk staat. Sterke, vaak economisch getinte belangen zorgen voor een voortdurende politieke strijd over juist kwesties als: Mag de leefstijl een rol spelen bij de verdeling van schaarse/dure medische zorg? Heeft een werkgever het recht op informatie over de uitslagen van genetische, zwangerschaps-, of AIDS-tests? Mag een christelijke school samenwonende of homoseksuele leerkrachten weigeren? Heeft een kinderdagverblijf recht op kennis over strafdossiers van mannelijke werknemers? Mag een ziektenkostenverzekeraar inzage krijgen in medische dossiers? Mag een grote landelijke bank zichzelf presenteren op de webpagina’s van een school, als ze in ruil daarvoor het leeuwendeel van de financiering van pc’s en Internet-toegang voor de leerlingen draagt? Dergelijke vragen zijn aan de politieke orde van de dag, en bepalen in niet onbelangrijke mate de onderhandelingen over financiering en architectuur van allerlei informatiesystemen. Daarnaast is het zo dat ook binnen maatschappelijke sferen verschillende soorten informatie onrechtvaardig gebruik kunnen opleveren wanneer die voor oneigenlijke doelen gebruikt worden. Het eerder genoemde functionerings- of beoordelingsgesprek is hier weer een relevant voorbeeld: wanneer bij de beoordeling of iemand voor promotie in aanmerking komt informatie over diens in de ogen van de beoordelaar wellicht onsympathieke hobby’s meegewogen zou worden is dat een onrechtvaardigheid. Hierbij is het van belang te bedenken dat we niet naar believen kennis die we over een bepaalde persoon hebben kunnen uiten inschakelen, zodat het beter is om irrelevante kennis te vermijden, om deze vorm van onrechtvaardigheid te voorkomen. Vrouwe Justitia draagt niet voor niets een blinddoek: THIS IS THE POINT: WE ARE ALWAYS ALREADY ENTANGLED IN OUR INTERESTS AND VALUES WHEN MAKING JUDGEMENTS IN WAYS THAT ARE OBSCURE AND INACCESSIBLE TO US IN MAKING THOSE JUDGEMENTS. FURTHERMORE, SINCE VALUES ARE IMPLICIT PART OF OUR “BODIES” IT IS IMPOSSIBLE TO EXPLICITLY TAKE UP, CONSIDER, IN ACTUAL JUDGEMENTS, THE VALUES – AND TO SOME DEGREE THE INTERESTS OF OTHERS. (Introna & Pouloudi, 1999: 32) De wens om met het oog hierop sterke vormen van persoonsgegevensbescherming te implementeren is vanuit moreel oogpunt te rechtvaardigen - al is het niet op deze gronden te zeggen waar precies de grenzen van het aanvaardbare liggen. Maatschappelijke normen zijn veranderlijk, en wijzigende omstandigheden kunnen nieuwe antwoorden nodig maken.
2.4 AUTONOMIE De tot nu toe besproken rechtvaardigingsgronden voor privacy worden in de literatuur vaak genoemd als redenen voor privacybescherming, maar maken niet de morele kern van het begrip. Het voorkomen van schade, ongelijkheid, en onrechtvaardigheid zijn doelen op zichzelf, waarbij privacy – meer precies bescherming van persoonsgegevens - slechts middel is. De filosofische en morele kern van privacy wordt daarentegen gevormd door INTERNET & PRIVACY / PAGINA 19
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING iets wat niet op andere waarden of principes is terug te voeren. Ook al is hierover geen absolute consensus, toch komen er uit de literatuur een aantal “sterke kandidaten” naar voren. De belangrijkste opvatting met betrekking tot dat wat privacy tot iets waardevols in zichzelf maakt, is dat het een noodzakelijke voorwaarde is voor de ontwikkeling en uitoefening van individuele autonomie. Een ‘autonoom individu’ handelt, volgens de liberaal-theoretische ideaal-typering, vrij naar eigen inzicht en overtuiging, en wordt in zijn denken en handelen niet bepaald door externe factoren zoals het oordeel van anderen, opgelegde normen, angst voor straf, en dergelijke. Dit kan betrekking hebben op allerhande praktische zaken direct verband houdend met het dagelijkse leven, zoals de taakuitvoering op het werk. Wanneer het gaat over “diepe” persoonlijke inzichten en overtuigingen zoals bijvoorbeeld aangaande hoe je als mens goed, verantwoordelijk en rechtvaardig moet zijn, spreekt men van morele autonomie. Juist als het gaat om dit soort wezenlijke zaken, die de kern van iemands morele identiteit uitmaken, is het cruciaal dat men in staat is om zelf te bepalen wat men vindt en hoe men wil leven. Volgens een lange filosofische traditie is dit zo belangrijk dat in laatste instantie hiermee de menselijke waardigheid zelf in het geding is. Het belang van privacy bestaat er volgens deze gedachtengang dan in, dat, om deze autonomie te ontwikkelen en uit te oefenen – men wordt immers niet autonoom geboren - een handelingsruimte nodig is waarin men vrij is van de waarneming, en dus de oordelen van anderen. Is die ruimte er niet, en is men zich op ieder moment bewust van het feit dat anderen “meekijken”, dan is een constante anticipatie op die oordelen van anderen het psychologisch onvermijdelijke gevolg. In zekere zin sluit dit ‘goed gedrag’ niet uit maar er is dan eerder sprake van externe motivatie, en men komt niet toe aan (morele) zelfbepaling. Een verwante argumentatie, die directer appelleert aan het fenomeen van de registratie en verwerking van persoonsregistraties in computers, databases en netwerken, is gebaseerd op het concept ‘digitale persona’ (Clarke, 1994). Dit concept verwijst naar het fenomeen dat de geaccumuleerde digitale gegevens met betrekking tot een bepaald persoon als een soort schaduw-identiteit deel is geworden van diens sociale identiteit. Informationele privacy kan dan moreel gelegitimeerd worden op basis van het recht om vrij te zijn van onredelijke beperkingen aan de constructie van de eigen identiteit, en controle te hebben over dat ‘digitale aspect’ van de naar de wereld toe geprojecteerde identiteit (Agre, 1997, p.7).
2.5 KWALITEIT VAN RELATIES Een volgende cruciale functie van privacy in het sociale leven heeft betrekking op de vrijheid om verschillende typen relaties aan te gaan. De mogelijkheid om verschil te maken tussen diepgaandere vriendschappen en intieme relaties enerzijds, en professionele of oppervlakkiger relaties anderzijds, hangt sterk samen met het verschil in persoonlijke informatie die men uitwisselt. De rol van controle over persoonlijke informatie (het gaat hierbij in eerste instantie minder direkt om computer-geregistreerde ICT activiteiten) is daarom van groot belang: het verdiepen van een relatie, en iemand persoonlijk leren kennen gaat vaak via het vrijwillig delen van steeds meer aspecten van het persoonlijke leven als gebeurtenissen, gedachten en gevoelens. Zou iedereen voor elkaar volledig transparant zijn in dit opzicht, dan zou er in plaats van universele persoonlijke betrokkenheid eerder sprake zijn van algehele onverschilligheid, omdat niemand meer speciaal is voor elkaar: THUS MONITORING, IN DEPRIVING ONE OF PRIVACY, DESTROYS THE POSSIBILITY OF THE GIFT OF INTIMACY, AND MAKES IMPOSSIBLE THE ESSENTIAL DIMENSION OF LOVE AND FRIENDSHIP.” (Fried, 1968, p.216) INTERNET & PRIVACY / PAGINA 20
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING De arbeidsplek is een omgeving waar het hele scala van sociale relaties, van anonieme collegialiteit tot diepgaande vriendschappen en relaties, potentieel voor handen is. Verplichte intimiteit - als alle persoonlijke informatie bekend is kan men hierop ook constant aangesproken worden - is hierbij vanzelfsprekend uit den boze, terwijl juist de vrijheid om meer “persoonlijk te worden”, kan leiden tot de meest waardevolle duurzame relaties en vriendschappen.
2.6 VERTROUWEN Zoals in paragraaf 1.3 reeds aan de orde kwam is vertrouwen een fundamentele mogelijkheidsvoorwaarde voor het functioneren van de samenleving. Iemand die voor een rood stoplicht staat te wachten doet dit in het vertrouwen dat het binnen afzienbare tijd weer op groen zal springen. Het bij kennismaking uitsteken van de hand doet men in het vertrouwen dat dit gebaar (doorgaans toch) op gelijke wijze beantwoord zal worden. Als dergelijk vertrouwen ontbreekt zal men ook niet stoppen voor het rode licht, of zich belachelijk maken met die uitgestoken hand. Triviaal als deze voorbeelden zijn, ze geven wel aan hoe zelfs de meest alledaagse aspecten van de samenleving en sociale interacties niet zouden functioneren zonder een impliciet vertrouwen, van mensen in elkaar, en in elkaars werk. Het fenomeen ‘vertrouwen’ sluit per definitie de mogelijkheid van misbruik in. Het is daarom niet mogelijk om misbruik, in welke vorm dan ook, volledig uit te sluiten, zonder deze basale structuur van het sociale weefsel aan te tasten. Dit geldt voor de samenleving als geheel, maar zeker ook voor organisaties waar het een cruciale factor is in de organisatiecultuur en de werkverhoudingen, die op hun beurt weer doorslaggevend zijn voor de productiviteit en het succes van organisaties die het moeten hebben van creativiteit en coöperatie. De opvatting van de eerder geciteerde Nock (1993; zie 1.3) - dat persoonsregistraties en het veelvuldig gebruik daarvan de functie hebben om vertrouwen te genereren in een samenleving waar een grote mate van anonimiteit en individuele privacy bestaat - mag dan ook een zekere overtuigingskracht hebben; het omgekeerde is ook waar. Het gebruik van allerlei persoonsregistraties, inclusief de diverse vormen van (elektronisch) toezicht en monitoring heeft in veel gevallen juist de functie om mensen, soms zelfs achter hun rug om, te controleren. De vergaande vormen van bewijsgaring, en de steeds veelvuldiger en uitgebreidere verplichting om bewijzen te overleggen, signaleren wellicht ook een afnemend vertrouwen van mensen in elkaar, van instanties in hun cliënten, en werkgevers in hun personeel. Vertrouwen is echter iets wat ontwikkeld en onderhouden moet worden, terwijl omgekeerd betrouwbaarheid niet getoond kan worden als men nooit vertrouwd wordt; overmatige vormen van controle via persoonsgegevens verminderen daardoor wellicht ook de moge lijkheden om vertrouwen te geven en betrouwbaarheid te tonen; op een wijze vergelijkbaar met die van self-fulfilling prophecies tasten deze praktijken wellicht zelf het vertrouwen en de betrouwbaarheid aan. Dit zou, gezien de fundamentele rol van vertrouwen in het functioneren van een samenleving als geheel, en op kleinere schaal in organisaties en interpersoonlijke relaties, een negatief effect kunnen hebben op de sociale samenhang.
2.7 STRESS Tenslotte kan gewezen worden op een argument voor privacy uit onverwachte hoek: het gezondheidsbelang. Dit punt heeft niet direct betrekking op de verwerking van persoonlijke informatie, maar met het verwante onderwerp toezicht. Het gevoel constant te worden geobserveerd, door een observant die zelf onzichtbaar is – denk aan bepaalde vormen van INTERNET & PRIVACY / PAGINA 21
2. RECHTVAARDIGINGSGRONDEN VOOR PRIVACYBESCHERMING elektronisch toezicht en ‘performance monitoring’– en daardoor constant te worden beoordeeld, doet de meeste mensen geen goed. Uit verschillende onderzoeken is gebleken dat een gebrek aan privacy gepaard kan gaan met een structureel verhoogd stressniveau. Zo blijkt dat bepaalde vormen van toezicht op werknemers en hun functioneren op de werkplek correleert met een verhoogd niveau ziekteverzuim en aantal gezondheidsklachten. Specifieke onderzoeken hebben namelijk een verband gelegd tussen “psychological illnesses such as anxiety, depression, and nervous breakdown” en “the stress induced by continuous computer monitoring of workplace performance” (Brown, 1996, p.1242; tevens b.v. Johansson en Aronsson, 1991; Kahn en Byosiere, 1994). Het is niet alleen een morele, maar ook in aanzienlijke mate een juridische verplichting van werkgevers om te zorgen voor werkomstandigheden die veilig en gezond zijn. Het feit dat dit argument vooralsnog alleen hard te maken is voor de specifieke situatie van monitoring op de werkplek betekent echter niet dat er wellicht niet ook in algemenere zin sprake kan zijn van een gezondheidsargument voor privacy. De onderzochte situaties die van productie- en administratieve medewerkers in particuliere bedrijven met vergaande vormen van performance-monitoring - zijn bovendien extremer dan elders, en de gevolgen voor de gezondheid relatief gemakkelijk te operationaliseren in onderzoekstechnische zin (dagen ziekteverzuim door werk-gerelateerde stress). Totdat het tegendeel bewezen is, is het echter juister om dit als een aanwijzing op te vatten dat er waarschijnlijk een algemener verband is tussen psychische gezondheid en een redelijke mate van privacy.
INTERNET & PRIVACY / PAGINA 22
3. TOEZICHT OP WERKNEMERS
3. TOEZICHT OP WERKNEMERS INLEIDING Het politieke debat over toezicht op werknemers en de plaats van privacy op de werkplek is niet begonnen met de introductie van ICT. Toezicht en disciplinering kwamen oorspronkelijk vanuit militaire organisaties, via bureaucratische staatsadministraties, terecht in arbeidsorganisaties (Introna, 1999a). De mogelijkheden en de diverse vormen van toezicht zijn daarbij steeds sterk gerelateerd geweest aan technologische ontwikkelingen. Zo is de historische verplaatsing van de productie aan het begin van de industriële revolutie van het privéhuis (de boerderij, de werkplaats) naar fabrieken en collectieve werkplaatsen waar de machines stonden, gekoppeld aan de eerste systematische vormen van toezicht op arbeiders: voor het eerst werden werknemers samen gebracht onder één dak. Dit maakte toezicht van een opzichter/eigenaar op de arbeiders en hun productie mogelijk. Met de ontwikkeling naar massaproductie werden zowel technische standaardisering van de productie als controle op werknemers steeds intensiever, waarmee tevens de rol van ‘management’ steeds belangrijker werd. Onder het motto ‘wetenschappelijk management’ werd de productie gerationaliseerd via technologisch design, en genormaliseerd door disciplinering (Introna, 1999a). Grote overzichtelijke hallen, lopende band werk (Fordisme, Taylorisme), ingewikkelde hiërarchische structuren, en prikklokken zijn de bekende iconen van de architectuur en technologie die leidden tot steeds extremere vormen van toezicht en controle op werknemers. Vooral door de invloed van de vakbeweging werden dergelijke dehumaniserende werkomstandigheden geleidelijk aan verzacht, en werden in het arbeidsrecht steeds meer bepalingen opgenomen die een meer menswaardige behandeling van werknemers door werkgevers afgedwongen hebben – overigens niet in alle landen met evenveel succes. Eén van de belangrijkste aspecten van een dergelijke humanisering van de arbeid, die inzet blijft van een doorgaande onderhandeling, is de privacy van werknemers. Hedendaags vormen van toezicht op werknemers die deze controverse sterk doen opleven hebben veelal te maken met de nieuwe informatie- en communicatietechnologieën. Zoals bekend wordt een steeds groter deel van het werk in talloze organisaties tegenwoordig gedaan met behulp van genetwerkte pc’s, telecommunicatiemiddelen als telefoon, fax, en E-mail. Behalve als instrument in de uitvoering van het werk, hebben deze technologieën veelal de ingebouwde functie om uiterst gedetailleerde gegevens over de uitgevoerde taken en activiteiten te genereren. Deze registratie vindt doorgaans buiten het zicht van de werknemer plaats, en kan toegankelijk gemaakt worden ten behoeve van allerlei management functies als administratie en procesbewaking, maar ook voor directe vormen van controle en monitoring van werknemers.
3.1 PUBLIEK EN PRIVE OP HET WERK. Is de arbeidsplek een publieke ruimte, of privégebied? Het licht voor de hand te denken dat ‘thuis’ samenvalt met de privésfeer, en ‘het werk’ dan de publieke sfeer is. Zo ééndimensionaal ligt het echter niet. Volgens een andere, eveneens gangbare, definitie van de tweedeling publiek/privé vormt de overheid de publieke sfeer, tegenover het particuliere bedrijfsleven als de privésfeer. Een fabriek of kantoor kan dan ‘privébezit’ van een werkgever zijn, waarbinnen werknemers zich vrijwillig, op contractuele basis begeven, en dan gehouden zijn aan de wensen en regels van de ‘eigenaar’. De werkomgeving zelf omvat doorgaans persoonlijke werkkamers, bureau’s met laden, garderobekastjes, toiletruimtes, kantines, gangen, directiekantoren etcetera; deze verschillende ruimtes hebben verschillende ladingen: ze bevinden zich als het ware op een continuüm van meer privé tot meer publiek. INTERNET & PRIVACY / PAGINA 26
3. TOEZICHT OP WERKNEMERS Wanneer we het puur ruimtelijke loslaten, dan ligt het weer anders. Een werknemer is in die hoedanigheid deelnemer in het publieke verkeer van de arbeidsmarkt, maar is tegelijk ook altijd een privépersoon. Handelingen op het werk bestrijken eveneens het complete continuüm van publiek tot privé: de presentatie van een rapport en een vergadering bevinden zich aan het ene uiterste, terwijl persoonlijke verzorging of een praatje met een collega over diens kinderen, terwijl ze wel degelijk op het werk thuishoren, toch aan het andere uiterste staan. Sollicitatie-, beoordelings- en functioneringsgesprekken zitten ergens in het midden: uiterst privacygevoelig, maar niettemin integraal onderdeel van ‘het werk’. Hierbij moet tevens bedacht worden dat het voor de meeste werknemers op enig moment noodzakelijk is om privézaken te regelen op het werk. De openingsuren van allerlei maatschappelijke instanties (bijvoorbeeld op het gebied van de gezondheidszorg), dienstverlenende bedrijven (denk aan banken, garages etc.) vallen in veel gevallen samen met de werkuren van een gemiddelde werknemer. Vóór de daadwerkelijke afspraken en bezoeken, waarvoor vrije uren opgenomen kunnen worden, zal er in de meeste gevallen telefonisch contact nodig zijn. De dagen dat er ‘thuis’ altijd iemand aanwezig was die de nodige contacten en bezoeken kon regelen zijn voorbij, zodat werknemers vaak niet anders kunnen dan dergelijke zaken soms vanaf het werk te regelen. Dezelfde demografische veranderingen hebben er voor gezorgd dat de “logistiek van het privéleven” (afspraken met partners over het huishouden, halen en brengen van kinderen etc.) veel complexer is geworden, en met meer improvisatie en overleg gepaard gaat; ook dit zal onvermijdelijk deels tijdens de werkuren gedaan moeten worden. In plaats van dit te zien als een toegeeflijkheid aan werknemers, wordt in toenemende mate ingezien dat ruimte voor dergelijke privézaken op het werk er juist voor zorgt dat mensen hiervoor niet vrij hoeven te nemen, zodat het in principe eerder bijdraagt aan de productiviteit dan andersom. Het omgekeerde is ook het geval: de opkomst van het ‘tele-werken’ – meestal betekent dit ‘thuis werken’- heeft er voor gezorgd dat niet alleen op de arbeidsplek, maar ook thuis het werk en het privéleven niet meer strikt te scheiden zijn. Niet alleen in ruimtelijke zin, maar ook in uren en handelingen is de grens tussen het publieke arbeidsleven en het persoonlijk leven niet meer eenduidig te trekken. Vanwege al deze zaken is het daarom niet meer dan vanzelfsprekend dat werknemers een zekere mate van privacy genieten tijdens het werk. Men moet er van op aan kunnen dat dergelijke privézaken niet geobserveerd worden door het management. Toezicht op de taakuitvoering zelf, inclusief het gebruik van middelen, apparaten en instrumenten, is een andere kwestie. Het betreft hier om allerlei redenen een vanzelfsprekend en legitiem belang van de werkgever, maar ook dit is aan grenzen, zowel van juridische als morele aard, gebonden. Het belangenspel wordt gecompliceerd met een derde belang wanneer de werkgever de overheid is, en de werknemer een ambtenaar wiens taken het openbaar bestuur betreffen. In dat geval moet tevens het belang van de burger verdisconteerd worden. In een democratische samenleving als de onze bestaat het recht van burgers om bestuurlijke besluitvormingsprocessen te kunnen doorzien. Daartoe is in de Wet op de Openbaarheid van Bestuur (1980, 1991) een inzagerecht vastgelegd gebaseerd op het uitgangspunt dat alle overheidsdocumentatie in principe openbaar is. Dit inzagerecht betreft bestuurlijke aangelegenheden voorzover die zijn vastgelegd in bestuurlijke documenten. De mate waarin een werknemer aanspraak kan maken op privacy op het werk is dan ook niet op absolute of categorische wijze te bepalen, evenmin als de reikwijdte van het recht van werkgever of management om te weten wat zich in de organisatie afspeelt. De Amerikaanse juridische norm ‘reasonable expectation of privacy’, blijkt als toetssteen nauwelijks te helpen: de jurisprudentie aldaar wijst er op dat werknemers geen enkele ‘redelijke verwachting’ ten aanzien van hun privacy hoeven te hebben (Rosenberg, 1999), hetINTERNET & PRIVACY / PAGINA 27
3. TOEZICHT OP WERKNEMERS geen in Nederland onaanvaardbaar wordt geacht. Met betrekking tot werknemers in het openbaar bestuur is de wederzijdse afstemming van rechten verder gecompliceerd door de vraag hoe het democratisch inzage recht in bestuurs-en beslissingsprocessen zich verhoudt tot de privacy van ambtenaren. Technologische ontwikkelingen spelen ook hier weer hun verwarrende rol: met iedere nieuwe communicatie, monitoring of controle technologie ontstaan immers nieuwe handelingsruimtes, nieuwe overlegkanalen en nieuwe ‘persoonlijke gegevens’. De mogelijkheden voor toezicht op werknemers zijn precies door de centrale rol van computers in de taakuitvoering groter dan ooit: “surveillance technology is becoming cheap, silent and diffused. It has created the potential to build surveillance into the very fabric of organisational processes (Introna, 1999, p.10). Directe mogelijkheden tot ‘electronic monitoring’ zijn bijvoorbeeld het quantitatief registreren van aspecten van de taakuitvoering als toetsaanslagen, of tijd gespendeerd aan een bepaalde taak; e-mail kan gemonitored worden, en de harde schijf en de bestanden daarop zijn doorgaans probleemloos toegankelijk voor de systeem manager (Brey, 1999). Er is bovendien een groeiende markt in speciale software, ook wel aangeduid met de veelzeggende term ‘Big Brotherware’ (bijvoorbeeld de programma’s “Veranda” en “Com.Policy”) die het technisch onder andere mogelijk maakt om te registreren of de werknemer wel achter zijn of haar pc zit, en wat deze op een bepaald moment op het beeldscherm voor zich heeft (Rosenberg, 1999). De vraag naar de betekenis van privacy op de werkplek betreft hierdoor tegenwoordig vooral de vraag naar de rechtvaardiging van electronische vormen van toezicht. Wanneer bovendien aan de uitvoering van arbeidstaken eisen gesteld worden die betrekking hebben op het recht van burgers op transparantie van en inzage in het overheidsbestuur dan bestaat deze privacyproblematiek niet alleen in de relatie tussen werknemer en werkgever, maar ook in de relatie tussen ambtenaar, c.q. overheidsorganisatie, en burger.
3.2 DE ROL VAN ICT: DECENTRALISATIE EN INTENSIVERING De hedendaagse managementtheorie, deels steunend op ideeën ontleend aan de cybernetica, gaat uit van de wenselijkheid van decentralisatie van het management van de organisatie om autonomie van de werknemers te bevorderen. Het bepleit spreiding van het nemen van beslissingen en bevordering van zelfcontrole. Op die manier zouden creativiteit en productiviteit gestimuleerd worden in een complexe, variabele economische en maatschappelijke omgeving die in toenemende mate vraagt om flexibiliteit en snelle aanpassing. Vele van de organisationele innovaties van de afgelopen tien tot vijftien jaar, zoals ‘organisational learning’, ‘empowerment’, hadden tot doel het centralistische management paradigma om te keren. Het idee is dat als werknemers zichzelf controleren, in plaats van onder externe controle te staan, zij de doelen en regels van de organisatie internaliseren, en er een proces van reflectie en ‘meta-learning’ op gang komt. Op die manier ontstaan de nieuwe vaardigheden, het zelfstandige denken en de creativiteit die vereist zijn voor het overleven de organisatie. (Introna, 1997, 1999). Vernieuwend en positief als dit moge klinken, dezelfde managementtheoretici en vele managers zien informatie technologie als het middel om bovenstaande doelen en veranderingen (het op gang brengen van ‘meta-learning’ e.d.) te realiseren, zonder echt de controle uit handen te hoeven geven. THROUGH THE DESIGN OF BUSINESS INFORMATION AND COMMUNICATION MODELS THAT SIMULTANEOUSLY PROVIDE MAXIMUM STABILITY OF STRUCTURE AND FLEXIBILITY OF USE, THE INFORMATION INFRASTRUCTURE SUPPORTED THE DESIGN OF MANAGEMENT SYSTEMS AND STRUCTURES THAT ENABLED BOTH TIGHT CONTROL (TRANSPARENCY) AND CONTINUOUS INNOVATION (AUTONOMY) IN INTERNET & PRIVACY / PAGINA 28
3. TOEZICHT OP WERKNEMERS RESPONSE TO ENVIRONMENTAL CHANGE AND ORGANIZATIONAL LEARNING. (Applegate, 1997, p.75) Deze tweeslachtigheid is, aldus Introna, een vergissing: het idee dat men werknemers meer autonomie kan verlenen door de inzet van ICT als onzichtbare vorm van toezicht op afstand, betekent slechts het geven van de illusie van meer autonomie en het feitelijk invoeren van meer verfijnde en intensieve vormen van toezicht. Een illusie die vanzelfsprekend niet lang stand zal houden, omdat werknemers er natuurlijk wel achter komen dat en hoe ze in de gaten gehouden worden via de technologie. Op dat moment zullen geen van de beoogde doelen meer gerealiseerd worden, omdat met een dergelijk structureel gebrek aan privacy precies het tegenovergestelde van autonomie ontstaat. Men zal zich bij iedere activiteit geobserveerd en beoordeeld weten. Of dit feitelijk constant het geval is, maakt niet eens uit. Een wezenlijk aspect van het ‘panopticnum-effect’ is juist dat het eenrichtingsverkeer van het monitoren zekerheid bij de geobserveerde uitsluit: deze kan nooit weten wanneer er precies wel en niet geobserveerd wordt, noch controleren of afspraken en officieel beleid hieromtrent nageleefd worden. “Voor de zekerheid” zal men het gedrag aanpassen aan wat men denkt dat gewenst is. Dit gebrek aan zekerheid raakt hierom tevens aan de eerder besproken rechtvaardigingsgronden voor privacy vertrouwen (in dit geval van de werknemer in de werkgever), (on-)gelijkheid, en stress. Een mogelijke tegenwerping hier zou kunnen zijn dat individuele autonomie in liberaaltheoretische zin nergens absoluut bestaat, en dat die dus ook niet door monitoring en toezicht geheel kan verdwijnen. Wat mensen ook als eigen inzichten of idealen denken te hebben, het gaat in pricipe altijd om eigen-gemaakte, en door externe factoren aangeleerde zaken. Toezicht, monitoring en feedback zijn even zo goed essentiële instrumenten voor positieve leerprocessen. Men kan hoogstens stellen dat naarmate vormen van toezicht explicieter en meer constant en alomtegenwoordig zijn, dus minder vrije ruimte voor eigen ideeen, het proberen en het maken van fouten laten, zowel het leren zelf als het internaliseren van normen, waarden en doelen, en de omvorming van extrinsieke tot intrinsieke motivatie geremd worden. Met betrekking tot de speciale eisen gesteld aan het openbaar bestuur is het in deze context van belang na te denken over de status van e-mail en over de consequenties van het genereren van logfiles van Internetgedrag. Het burgerrecht op inzage, verantwoording en transparantie betreft immers ‘bestuurlijke aangelegenheden’ voorzover vastgelegd in ‘bestuursdocumenten’. Het genereren zelf, maar ook de toe te kennen status aan bestanden en documenten als e-mail en Internet-logfiles hebben consequenties voor de reikwijdte van het burgerrecht op inzage – en wellicht voor de privacy van ambtenaren en bestuurders. Voor zover er sprake is van potentieel negatieve gevolgen van een gebrek aan privacy voor creativiteit en kwaliteit van arbeidprestatie en taakuitvoering, kan hier echter, naast het primaire burgerbelang bij openbaarheid, gewezen worden een burgerbelang bij kwalitatief optimaal bestuur. Met ander woorden, ook hier staat het privacy belang van ambtenaren wellicht niet zondermeer uitsluitend tegenover het burgerbelang bij openbaarheid.
INTERNET & PRIVACY / PAGINA 29
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE INLEIDING Vrijwel alle tot dusverre besproken aspecten van privacy en toezicht op werknemers zijn van toepassing, vaak in verhevigde mate, op het gebruik van het Internet door werknemers. Daarbij komt dat de explosieve groei van het fenomeen Internet gedurende de afgelopen jaren een typisch voorbeeld is van een niet voorziene technologische ontwikkeling waardoor er sprake is van een beleidsvacuüm. Terwijl deze technologie zeer veel aspecten van het publieke en private leven raakt, heeft het onvoorziene karakter ervan tot gevolg dat beleid en regulering rond Internetgebruik vrijwel non-existent is, en voor zover het bestaat tamelijk ad hoc en snel achterhaald is. De privacyproblematiek met betrekking tot het gebruik van het Internet door werknemers heeft, behalve het aspect van toezicht door de werkgever, nog een tweede aspect dat van belang is voor zowel de werknemer als de organisatie. Met het betreden van het Internet, (en het verlaten van het Intranet) zet men tevens, in virtuele zin, een stap buiten de organisatie. Het Internet zelf staat inmiddels echter bekend om z’n privacyrisico’s voor de browsende gebruiker. Voor werknemers betekent dit dat niet alleen hun persoonlijke privacy van verschillende kanten bedreigd wordt, maar tevens dat zij, via hun acties op het net, een ingang van buiten af naar de organisatie vormen. Voor werknemers bij de diverse overheden telt dit punt, gezien de voorbeeldfunctie en fundamentele verplichtingen tot zorgvuldigheid en verantwoording van het openbaar bestuur, nog zwaarder dan elders. In de nu volgende paragrafen zullen beide kanten van de specifieke Internet-privacy problematiek, en de daaruit voortvloeiende (morele) verplichtingen van de werkgever, c.q. organisatie, belicht worden. Ter verhoging van de praktische relevantie zal bij deze bespreking hierbij direct gerefereerd worden naar de Nota Internetbeleid van het Ministerie van Verkeer en Waterstaat.
4.1 PRIVACY BINNEN DE ORGANISATIE: TOEZICHT OP INTERNETGEBRUIK Zoals eerder beschreven zijn de mogelijkheden voor het management om toezicht te houden op het gebruik van het Internet door werknemers nauwelijks aan technische grenzen gebonden. Alle bewegingen op het net, iedere bezochte site, laten gedetailleerde sporen na die door systeembeheerders en management desgewenst bekeken zouden kunnen worden. Op het Ministerie van V&W is men zich bij de beleidsontwikkeling voor Internetgebruik bewust geweest van de privacygevoeligheid van deze materie, en heeft men zich georiënteerd op de voorwaarden geformuleerd door de Registratiekamer. Op basis hiervan omvat het departementale Internetbeleid de volgende drie voorwaarden voor Internetmonitoring: A) Voor het bijeenvoegen van geregistreerde gegevens om een gedetailleerd beeld van het Internetgebruik van een bepaalde, geïdentificeerde persoon te maken, is een concrete aanleiding (aanwijzing over misbruik) nodig; alleen het hoofd van dienst is bevoegd om dit besluit te nemen en te laten uitvoeren. B) Medeerkers moeten op de hoogte gebracht worden van het feit dat hun activiteiten op het net geregistreerd, en desgewenst onder de loupe genomen kunnen worden. C) Er dient een privacyreglement te zijn waarvan de medewerkers in kennis gesteld moeten worden. INTERNET & PRIVACY / PAGINA 32
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE In juridische zin – dat wil zeggen, in relatie tot de huidige wetgeving en jurisprudentie – voldoet dit beleid aan de eisen gesteld aan de verwerking van persoonsgegevens. Het juridische kader is evenwel een beperkt kader, en de opdracht van het onderhavige onderzoek behelst een verkenning van morele en normatieve aspecten van het beleid. Vanuit dit perspectief zijn er toch enkele kanttekeningen te plaatsen bij het beleid zoals dit nu vorm krijgt. Deze kanttekeningen zijn evenwel niet bedoeld als beleidsevaluatie in strikte zin, maar dienen vooral ter concretisering van de in de voorgaande hoofstukken besproken normatieve aspecten van privacy en het toezicht op werknemers, en de analyse van de mogelijke relevantie hiervan voor de beleidspraktijk. In het licht van hetgeen in de voorgaande hoofdstukken naar voren is gebracht is er met het huidige beleid sprake van een voorwaardelijke vorm van privacy met betrekking tot Internetactiviteiten. Het privacyreglement suggereert vooral een “horizontale werking” (d.w.z. privacybescherming van collega’s ten opzichte van elkaar): uitsluitend het bevoegde gezag krijgt toegang tot de geregistreerde gegevens. De meeste van de in Hoofdstuk 2 besproken rechtvaardigingsgronden voor privacybescherming (met name schade, ongelijkheid, onrechtvaardigheid, autonomie) hebben echter juist betrekking op de relatie tussen werknemers en hogergeplaatsten (afdelingshoofd, hoofd van dienst, directeur). Daarom zijn juist de door het reglement toegestane controlemogelijkheden nog steeds potentiele vormen van ethisch minder gerechtvaardigd gebruik van persoonsgegevens. Hoe sterk ook gereglementeerd, de (nieuwe) mogelijkheden vergroten toch de ongelijkheid tussen hoofd en medewerker; het is niet uitgesloten dat een eventuele inspectie, en het daarop gebaseerde oordeel toch beslissingen gaan beinvloeden die er los van zouden behoren te staan; er kan informatie verkregen worden over persoonlijke zaken die de werknemer direct kunnen schaden in zijn verhouding tot het werk en de werkgever; en tenslotte is de wetenschap van de werknemers dat de registratie plaatsvindt, en de betreffende gegevens op grond van overwegingen die buiten zijn of haar invloedsfeer liggen nader te inspecteren zijn, in principe een inperking van de autonomie van de werknemer, met de bijbehorende mogelijke nadelige gevolgen zoals beschreven in paragraaf 3.2. Veel zal daarom afhangen van de wijze waarop dit beleid in de toekomende tijd concreet uitgevoerd zal worden: hoe vaak en in welke precieze gevallen een inspectie uitgevoerd zal worden, en hoe dit door de werknemers ervaren zal worden. Een andere kanttekening is dat in dit beleid geen onderscheid gemaakt kan worden tussen het monitoren of inspecteren van werkgerelateerde en privé-Internetactiviteiten. Waar we opgemerkt hebben dat een strikte scheiding van werk en privéactiviteiten van werknemers op het werk niet realistisch, noch in absolute zin wenselijk is, is het standaard en continu registreren van alle Internetactiviteiten problematisch te noemen. Op basis van het in paragraaf 3.1 gestelde met betrekking tot de noodzaak voor werknemers om af en toe enige privézaken vanaf het werk te regelen, dient er enige ruimte voor niet direct taakgerelateerde Internetactiviteiten te zijn, en behoren er geen gegevens over deze activiteiten geregistreerd te worden of beschikbaar te zijn voor inspectie door het management. Dit geldt in versterkte mate wanneer we thuis geplaatste Internet- en inbelvoorzieningen er bij betrekken. Zoals de auto van de zaak ook voor privévervoer gebruikt wordt, en er niet een tweede auto voor dergelijke functies aangeschaft hoeft te worden, zo ook moeten de ICT voorzieningen thuis, ook al zijn die primair bedoeld en betaald om telewerken mogelijk te maken, in een redelijke mate beschikbaar zijn voor privégebruik. En zoals privéritten met de auto van de zaak misschien wel qua kilometers maar zeker niet qua datum of reisdoel verantwoord hoeven te worden, zo ook kan men zich wellicht een quotum beltijd voorstellen voor persoonlijk Internetgebruik, maar gaat de registratie van bezochte websites tijdens het internetgebruik thuis te ver. INTERNET & PRIVACY / PAGINA 33
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE De mogelijke argumenten van de organisatie om alle Internetactiviteiten te registreren en eventueel te inspecteren - het controleren op misbruik van middelen, van het verdoen van te veel werktijd aan persoonlijke zaken, en het voorkomen van imago schade voor de organisatie - zijn onvoldoende ethisch onderbouwd. De kwaliteit van collegiale relaties en een vanzelfsprekende mate van vertrouwen vormen de geëigende morele basis voor het beperken van toezicht; het compleet registreren van Internetactiviteiten doet hieraan afbreuk. De autonomie van werknemers om naar eigen inzicht tijd en middelen in te zetten voor een optimaal werkresultaat wordt gereduceerd wanneer iedere stap op het Internet in principe voorwerp van controle kan worden. In hoeverre de speciale eisen gesteld aan het openbaar bestuur deze vormen van elektronische registratie rechtvaardigen is onduidelijk. De relatie tussen nieuwe vormen van communicatie, informatieverschaffing en –verwerving die ICT biedt enerzijds, en de hogere eisen die aan werknemers gesteld kunnen worden in verband met verantwoordings-, transparantie-, en zorgvuldigheidseisen, alsmede de voorbeeldfunctie van de overheid anderzijds, is vooralsnog onvoldoende gespecificeerd. De redenen voor het huidige beleid lijken niet zozeer gebaseerd op een expliciete balans tussen organisatiebelangen en respect voor privacy van werknemers, als wel bepaald door de technische mogelijkheden. Het systeem zoals het nu functioneert registreert alle activiteiten al automatisch en onopvallend. Wanneer vergelijkbare mogelijkheden voor controle zouden moeten worden ingesteld voor andere voorbeelden van privégebruik en misbruik van werktijd en middelen, dan zou dit een grote inspanning en investering vergen die bovendien dermate opvallend zou zijn dat de verhoudingen direct verstoord zouden raken. Het feit dat dit voor Internetactiviteiten anders ligt maakt moreel gezien echter geen verschil. Het verschil tussen de geregistreerde gegevens op zich en het samenvoegen daarvan tot een gepersonaliseerd gegevensbestand, krijgt in het privacybeleid een gewicht dat het wellicht niet geheel dragen kan. Dit is in feite een illustratie van het in paragraaf 1.2 besproken probleem met de huidige juridische definitie van ‘persoonsgegevens’. Slechts de ver werking van identificeerbare gegevens is juridisch beperkt; de registratie van op zichzelf nog niet tot een specifieke persoon herleidbare gegevens is vrij, voorzover er sprake zou zijn van een onredelijke mate van inspanning om de betreffende gegevens tot persoonsgegevens te maken, hetgeen dit tot een betrekkelijk willekeurig onderscheid maakt. Overigens vallen de te registreren Internetgegevens, zoals opgesomd in Artikel 5 van het privacyreglement (Ministerie van verkeer en Waterstaat, 1999, p.2), alle binnen de wettelijke definitie van persoonsgegevens, juist omdat ze direct identificerend zijn of dat door eenvoudige samenvoeging kunnen worden, en gaat het reglement over voorwaarden voor legitieme verwerking van deze gegevens. Het departementale privacyreglement geeft evenwel geen rechtvaardiging voor de registratie van de gegevens zelf; dit wordt niet geproblematiseerd als privacygevoelig, maar als een gegeven eigenschap van het systeem (“ingebakken mogelijkheden”, zie Toelichting bij het privacyreglement p.3) geaccepteerd. Slechts het verwerken (“samenvoegen”) van de beschikbare gegevens vormt het eigenlijke voorwerp van regulering. Om de gegevens op die wijze samen te brengen is een expliciete beslissing nodig die slechts door bepaalde personen genomen en uitgevoerd mag worden, die vervolgens gehouden zijn aan een geheimhoudingsplicht. Ook de bepaling dat gegevens ouder dan twee maanden niet samengevoegd mogen worden (om tot zo’n persoonlijk bestand te worden gemaakt) houdt hier serieuze beperking in. De veronderstelling dat de registratie van de gegevens zelf een waardevrije, gegeven eigenschap van het systeem is, en dat slechts het samenvoegen van die gegevens een aan normen gebonden beleidskwestie is, is echter van uit ethisch en filosofisch oogpunt betwistbaar. Ook de “ingebakken” default-settings in een systeem zijn vatbaar voor ethische evaluatie, en kunnen op grond daarvan aanleiding geven tot veranderingen in sysINTERNET & PRIVACY / PAGINA 34
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE teemontwerp, terwijl anderzijds ‘beleid’ en ‘regelgeving’ ten aanzien van de verwerking van de samengevoegde persoonsgegevens meestal ook wel, of op zijn minst ten dele, te vervangen zijn door technische maatregelen met betrekking tot het systeemontwerp. Dat het huidige ontwerp, en de daar uit voortvloeiende grens tussen ‘systeemeigenschappen’ en ‘privacybeleid’ in overeenstemming is met de huidige wetgeving ten aanzien van de registratie en verwerking van persoonsgegevens, laat de morele verantwoordelijkheid ten aanzien van (de aanschaf van) juist dit systeemontwerp, en alles wat daar aan mogelijkheden mee in- en uitgesloten wordt, onverlet.
4.2PRIVACY BUITEN DE ORGANISATIE Het spectaculair snel gegroeide nieuwe medium Internet geeft niet alleen aanleiding tot nieuw organisatie-intern beleid, maar vormt tevens een enorm nieuw handelingsdomein waarvoor geen homogene omgangsvormen of regels met betrekking tot rechtmatige handelingen gelden. Dit gegeven wordt nog eens gecompliceerd door het feit dat het Internet geen homogeen, maar een uitermate pluriform verschijnsel is dat voor verschillende mensen, en voor dezelfde mensen op verschillende momenten ver uiteenlopende functies kan hebben. Terwijl het voor de één een marketinginstrument is, is het voor de ander een publiek archief; op het ene moment kan het een privécommunicatiemiddel zijn, op het andere een publieke ontmoetingsruimte. In ideologische zin is het Internet geassocieerd met zowel de universele, egalitaire democratie, als met de jungle van de vrije markt. Het probleem is dat de (technische) ondoorzichtigheid van het medium het zeer moeilijk maakt voor gewone gebruikers om op enig moment een reële inschatting te kunnen maken van de aard van de transacties, relaties, en handelingen die hij of zij op het Internet uitvoert. Men kan in de veronderstelling zijn een anonieme aankoop te doen, terwijl men met die handeling voor een ander feitelijk als gegevensbron voor marktonderzoek fungeert. Men kan in de veronderstelling zijn zich op een privaat communicatiekanaal met een vriend te bevinden, terwijl er wellicht allerlei vreemden mee zitten te luisteren. Men kan zich ver van huis in een virtuele winkel menen te bevinden, terwijl men in feite die winkel ‘in huis’ heeft gehaald en toegang verleent tot de eigen harde schijf. Maar weinig gebruikers zijn genoeg op de hoogte om de privacyimplicaties van de vele technische artefacten die men opgedrongen krijgt door software leveranciers, servers, search engines, browsers, en on-line service providers, zoals bijvoorbeeld JAVA, bots, spiders, cookies, applets, of proxies ten volle te doorgronden - de explosie van jargon is hier is zelf indicatief voor de specialistische kennis die hiervoor nodig is. Dit maakt de gemiddelde gebruiker tamelijk kwetsbaar voor misbruik door vaak onzichtbare anonieme partijen met onbegrepen, vaak economische, belangen. Het behoort tot de verantwoordelijkheden van een goede werkgever, het gebruik van de ter beschikking gestelde middelen, in dit geval het Internet, zo veilig mogelijk te maken Voor organisaties is het van belang om zich te realiseren dat iedere Internettoegang verleend aan medewerkers niet alleen een weg naar buiten is, maar tevens een opening naar binnen. Het beschermen van de privacy van Internet gebruikende medewerkers is derhalve niet alleen een kwestie van het nemen van verantwoordelijkheid ten aanzien van de belangen van de werknemer, maar tevens ten aanzien van de belangen van de organisatie zelf. Een Internetgebruiker die via de server of het adres herkenbaar is als medewerker van een bepaalde organisatie kan daarnaast imagoschade voor de organisatie veroorzaken, of het doelwit worden van gerichte pogingen via hem of haar het systeem van de organisatie binnen te dringen. Het is evenwel niet gerechtvaardigd om op deze gronden privégebruik van Internet aan banden te leggen noch om alle gebruik te monitoren. Het gerechtvaardigde belang om INTERNET & PRIVACY / PAGINA 35
4. INTERNETGEBRUIK EN PRIVACY IN DE ORGANISATIE imago-schade voor de organisatie te voorkomen is met enige technische en voorlichtingsinspanning ook op andere wijze te realiseren dan door middel van de registratie van alle Internetgedrag. Er zijn technische mogelijkheden die eenvoudig in gebruik zijn (proxy-servers als “Anonymizer”) en surfgedrag onherleidbaar tot een bepaalde persoon, of tot een bepaalde server maken; vrij verkrijgbare cryptografische programma’s als PGP (“Pretty Good Privacy”) zijn geschikt om onder andere e-mailberichten te beveiligen. Het uitzoeken en benutten van dergelijke technische mogelijkheden haalt de morele rechtvaardigingsgrond onder het automatische registreren van alle Internethandelingen vandaan. Of de Wet op de Openbaarheid van Bestuur, en het daarin vastgelegde en omschreven recht van burgers op inzage in bestuurs- en besluitvormingsprocessen een eigen rechtvaardigingsgrond biedt voor het monitoren en inspecteerbaar maken van individueel Internetgedrag van individuele ambtenaren is vooralsnog de vraag. In dit verband is het wellicht zinvol te wijzen op het feit dat met name de Registratiekamer zich sterk maakt voor de ontwikkeling en integratie van Privacy Enhancing Technologies (PETs) in ICT-systemen (Registratiekamer, 1995). Hierbij gaat het, naast specifieke technieken als cryptografie, in de eerste plaats om het stimuleren van technische designs die de registratie van persoonsgegevens, inclusief gegevens die eenvoudig tot persoonsgegevens om te verwerken zijn, zo veel mogelijk vermijden. Het monitoren genereert gegevens en bestanden waardoor vervolgens de privacyvraag ontstaat, en niet andersom. Wellicht geldt dit ook voor argumentaties vanuit de WOB: het aanleggen van logbestanden genereert documenten die vervolgens wellicht als bestuursdocumenten gekwalificeerd kunnen worden, en dan door burgers opgevraagd zouden kunnen worden. De omgekeerde argumentatie - dat monitoren moet omdat deze informatie beschikbaar moet zijn voor burgers – is begging the question.
INTERNET & PRIVACY / PAGINA 36
CONCLUSIES EN AANBEVELINGEN
CONCLUSIES EN AANBEVELINGEN De onderzoeksvragen van deze studie waren: 1) Met behulp van welke typologie kunnen de verschillende met het gebruik van persoonsgegevens verbonden morele vraagstukken op een voor de departementale Internetbeleidsontwikkeling van V&W vruchtbare wijze worden onderscheiden? 2) Welke met het gebruik van persoonsgegevens verbonden morele vraagstukken zijn er in het geval van (toezicht op) het gebruik door werknemers van het Internet in het geding en welke plaats neemt het vraagstuk van de privacy hierbinnen in? De antwoorden op deze vragen worden in het onderstaande als samenvatting van de bevindingen van de opeenvolgende hoofdstukken weergegeven Er is een veelheid aan definities van privacy, die samenhangt met de lange geschiedenis van het begrip, en de rol die het in verschillende denktradities en praktijken speelt. Een voor het gebruik van ICT en de verwerking van persoonsgegevens gangbare en relevante ethische definitie stelt dat privacy het recht van het individu betreft om te bepalen over welke en hoe veel informatie over hem- of haarzelf anderen kunnen beschikken. Impliciet in deze definitie is het belang om in redelijke mate gevrijwaard te zijn van het oordeel van anderen. De juridische benadering van privacy draait om de procedurele en technische bescherming van persoonsgegevens binnen de context waarin deze geregistreerd en verwerkt worden, en geeft daarmee weinig aanknopingspunten voor controle over persoonsgegevens door het individu op wie de betreffende gegevens betrekking hebben. De wettelijke definitie van persoonsgegevens is bovendien problematisch te noemen, omdat de wet tamelijk veel mogelijkheden laat voor de registratie van gegevens die later tot persoonsgegevens gemaakt kunnen worden. Een meer (historisch-)sociologisch perspectief op de verhouding tussen individu en samenleving, en de plaats van het recht op privacy daarin, kan de schijn van structureel tegengestelde belangen van individu versus collectiviteit enigszins doorbreken. Er is een historische en logische samenhang tussen het ontstaan van allerlei vormen van toezicht en registratie van individuen in de democratische staat enerzijds, en de toekenning en naleving van individuele rechten, waaronder dat op privacy, anderzijds. Een definitieve oplossing voor ‘het privacyprobleem’ is niet te verwachten, omdat het hier een spanningsveld betreft dat inherent is aan de inrichting van de samenleving. Slechts tijdelijke oplossingen zijn mogelijk op basis van locale onderhandelingen tussen betrokken partijen; deze zullen echter altijd in meer of mindere mate gebonden zijn aan specifieke momenten en situaties. Gezien de constante en snelle verandering van de (technologische) context zullen derhalve tijdelijke oplossingen en compromissen regelmatig opnieuw beoordeeld en eventueel bijgesteld moeten worden. De diverse gronden om privacy beschermwaardig te achten hebben in sommige gevallen betrekking op zeer concrete en direct meetbare zaken (schade, gezondheidsklachten). Daarnaast zijn er echter rechtvaardigingsgronden te identificeren die meer abstract en diffuus zijn, en die daarom wellicht in eerste instantie vaag of idealistisch klinken, maar in sommige gevallen toch samenhangen met organisatiebelangen, zoals individuele autono mie, kwaliteit van relaties, en vertrouwen. Los van directe organisatiebelangen zijn er echter morele principes (morele autonomie, rechtvaardigheid, gelijkheid) en sociale mechanismen (constitutie van relaties en vertrouwen) in het geding die uiteindelijk fundamentele kwaliteiten van de samenleving raken. De begrijpelijke neiging van management tot centralistische controle en toezicht op de activiteiten van werknemers kan door de architectuur van ICT systemen vergaander gereINTERNET & PRIVACY / PAGINA 40
CONCLUSIES EN AANBEVELINGEN aliseerd worden dan ooit. Juist vanwege die grote verleiding, en het feit dat voor bescherming van privacy vaak juist actie ondernomen moet worden – in veel gevallen is de mogelijkheid van monitoring en toezicht een gegeven eigenschap van het systeem – is het belangrijk zich ook te realiseren welke nadelen er voor de organisatie kunnen kleven aan elektronisch toezicht. Naar aanleiding van hetgeen naar voren is gekomen bij de bespreking van de rechtvaardigingsgronden van privacy moet rekening gehouden worden met de volgende mogelijke nadelige effecten: ■ De reductie van de autonomie van de werknemer verkleint de kans op voor de organisatie waardevolle zaken als meta-leerprocessen en creativiteit bij de werknemer; ■ Werknemers kunnen zich onheus bejegend voelen, hetgeen de tevredenheid over het werk en de werkgever, de algehele sfeer, noch het moreel ten goede komt. ■ De bereidheid om de technologie te gebruiken kan verminderen, hetgeen een subopti male benutting van in principe waardevolle, krachtige werkinstrumenten zou betekenen. ■ Vormen van monitoring die als al te onrechtvaardig ervaren worden kunnen tegendraadse acties oproepen, bijvoorbeeld het bedenken van manieren om het systeem te misleiden. ■ Eerder in dit rapport is gewezen op de verhoogde stress niveaus die volgens verschillende studies gepaard gaan met elektronisch toezicht. Dit betekent dat rekening gehouden moet worden met de mogelijkheid van nadelige gevolgen op het gebied van geestelijk en fysiek welzijn en gezondheid van werknemers. ■ Wanneer we het hebben over nadelige aspecten in morele zin, dan kan nogmaals gewezen worden op de functie van privacy en de ervaring te worden vertrouwd voor de morele identiteit en het gevoel van eigenwaarde van de werknemer als persoon: “SUCH SURVEILLANCE IS [...] A VIOLATION OF MYSELF QUA WORKER. IF, AS A WORKER IN COMPANY X, I AM NOT CONSIDERED TRUSTWORTHY OR COMPETENT ENOUGH TO DO MY JOB WITHOUT SURVEILLANCE, MY SENSE OF MYSELF IS DIMINISHED” (Manning, 1997, p.821) “THE MONITORED IS DENIED THE SENSE OF SELF-RESPECT INHERENT IN BEING TRUSTED.” (Fried , 1986, p.216) Tenslotte is het in de huidige samenleving niet reëel om uit te gaan van een volledige scheiding van privéleven en werk. Men doet een werknemer te kort door te verwachten dat deze privézaken niet ook gedeeltelijk vanaf het werk zal moeten regelen, net zoals omgekeerd telewerken ook thuis de scheiding tussen werk en privéleven logischerwijze doet vervagen. Daarbij moet het vanzelfsprekend zijn dat dit deels gepaard gaat met gebruikmaking van bepaalde werkvoorzieningen, met name informatie- en communicatietechnologie. Wanneer men dit gegeven werkelijk erkent volgt daaruit tevens dat een werkgever niet het recht heeft om alle gebruikmaking van middelen, media, en apparatuur te registreren, omdat daarmee ook privéaangelegenheden geregistreerd worden. Het betekent overigens niet dat er geen grenzen gesteld kunnen worden aan privégebruik van werktijd en –middelen. Een helder beleid, organisatiecultuur, sociale controle en vertrouwen in zelfcontrole dienen hierbij echter de uitgangspunten te zijn; standaard registratie van alle handelingen, ook al betreft het slechts “archivering” voor eventuele latere controles, is buiten-proportioneel en moreel discutabel. Het Internetbeleid en privacyreglement van het Ministerie van V&W lijken in hun huidige vorm uit te gaan van de impliciete aanname dat er sprake is van een niet nader te beargumenteren gerechtvaardigd belang van de organisatie om alle Internetactiviteiten te regiINTERNET & PRIVACY / PAGINA 41
CONCLUSIES EN AANBEVELINGEN streren. Dit uitgangspunt is minder het resultaat van een expliciete beleidsoverweging als wel een acceptatie als gegevenheid van de ingebouwde eigenschappen van gebruikte systeem. Juist die systeemeigenschappen maken vervolgens allerlei ‘reparatiewerk’ ter bescherming van de privacy van werknemers noodzakelijk zoals voorlichtingsactiviteiten, en een strenge vastlegging en gedetailleerde omschrijving van procedures. Vanuit de huidige wetgeving geredeneerd is dit wellicht niet problematisch; een moreel-ethisch perspectief, dat technische gegevenheden niet zondermeer buiten de analyse dient te laten, leidt echter tot de volgende, iets andere overwegingen. Gegeven, A, de mogelijke nadelige gevolgen voor individuele werknemers, voor de organisatie, als ook uiteindelijk voor de samenleving als geheel van vergaande vormen van toezicht en monitoring, B, de maatschappelijke realiteit en morele relevantie van de onhoudbaarheid van een absolute grens tussen werk en privéleven, en C, de onderbenutting van technische mogelijkheden ter gelijktijdige realisering van zowel privacy als organisatiebelangen, mag geconcludeerd worden dat de gevolgde werkwijze bij toekomstige gelegenheden geoptimaliseerd zou kunnen worden. De overheid heeft een voortrekkersrol en voorbeeldfunctie voor de rest van de samenleving, en als grote afnemener, c.q onderhandelingspartner ten opzichte van systeem- en software leveranciers, zou ze zich met name sterker kunnen maken voor de ontwikkeling van systemen met minder ingebouwde centralistische management en monitoring uitgangspunten. De vraag of er, gezien de speciale eisen gesteld aan het openbaar bestuur, additionele redenen bestaan voor registratie van gegevens met betrekking tot individueel Internetgedrag, dient vooraf gegaan te worden door de vraag wat de status is van dergelijke gegevens in termen van de WOB. Het is immers zeer de vraag of Internetlogfiles en (alle) e-mail binnen de definitie van ‘bestuursdocumenten’ valt. Ook ambtenaren en bestuurders hebben recht op eerbiediging van de persoonlijke levenssfeer (Art 10, tweede lid, sub e). En tenslotte is het wellicht zinnig zich te realiseren dat het automatisch registreren informatie genereert die evenzeer een mogelijke vraag om recht op inzage creëert, als dat een dergelijk recht het genereren van de betreffende bestanden zou voorschrijven en rechtvaardigen.
AANBEVELINGEN. 1) Voor een goed en aantrekkelijk werkgeverschap dient het Internet- en Privacybeleid zich, behalve op het huidige juridische kader, ook te baseren op een goede ethische analyse van de verschillende normatieve privacyaspecten van ICT-toepassingen en hun morele rechtvaardigingsgronden. Gegeven de afnemende duidelijkheid van de grens tussen privéleven en werk, zowel in tijd als in ruimte, zal ook een redelijke mate van ongeregistreerd privégebruik van middelen bij het aanbieden van ICT toepassingen, met name Internettoegang, bijdragen aan de kwaliteit van het Ministerie als werkgever. 2) Het automatisch vastleggen van alle Internetactiviteiten, ook wanneer dat gebeurt door voorafgegeven eigenschappen van een systeem, is niet moreel neutraal. Het verdient daarom aanbeveling om te onderzoeken hoe in de toekomst dergelijke voldongen feiten, zoals nu het geval is bij het binnen V&W in gebruik zijnde systeem, vermeden kunnen worden. Daartoe dienen bij voorkeur vanaf het begin van systeemanalyse en -ontwerp normatieve en ethische aspecten mee te wegen; bestaande systemen en default-settings dienen geanalyseerd te worden op hun “ingebouwde” normatieve keuzes en ethische implicaties. Een actieve teweerstelling tegen technologisch gedetermineerde maximalisatie van registratie, monitoring, en elektronisch toezicht op werknemers is hierbij ethisch gezien wenselijk. Ook hier kan de overheid een voorbeeldfunctie en voortrekkersrol hebINTERNET & PRIVACY / PAGINA 42
CONCLUSIES EN AANBEVELINGEN ben; ze is immers een zeer grote afnemer van ICT-systemen, en zou derhalve deze sterke onderhandelingspositie ten opzichte van leveranciers meer kunnen gebruiken om ethisch wenselijke eigenschappen en mogelijkheden, met name op het gebied van de registratie van persoonsgegevens, in de ICT-systemen zelf in te laten bouwen. 3) Het is een werkgeverstaak om de privacy van werknemers bij Internetgebruik, zowel buiten als binnen de organisatie, te beschermen. Het belang van de organisatie bij een goede beveiliging van haar elektronische netwerk en bescherming van haar imago is eveneens gediend met het beschermen van de privacy van werknemers bij Internetgebruik. Anonimiserende proxy servers zoals beschikbaar op het Internet zelf zijn hiertoe een een voudig middel. Ook andere technische middelen ter anonimisering van de Internetgebruiker kunnen worden onderzocht en benut. 4) Het is vooralsnog de vraag of logfiles van individueel Internetgebruik en (alle) e-mail binnen de definitie van bestuursdocumenten in de zin van de WOB vallen. Een verwijzing naar de WOB ter rechtvaardiging van het monitoren van deze vormen van communicatie en informatiewinning is daarom, bij gebrek aan een helder antwoord op die vraag op dit moment, question begging. Gegeven dat bepaalde informatie gegenereerd wordt door niet bewust gekozen eigenschappen van een technisch systeem, dient de vraag waar het recht van de burger op inzage eindigt, en waar het recht op privacy van de ambtenaar, c.q. de organisatie begint, een specifiek, nieuw antwoord te krijgen.
INTERNET & PRIVACY / PAGINA 43
LITERATUUR Agre, Philip E. , Marc Rotenberg (eds.) 1997 Technology and Privacy: The New Landscape. MIT Press, Cambridge Mass., London, UK. Applegate, L.M. (1994) Managing in the Information Age: Transforming the Organization for the 1990s. In: R. Baskerville et al. (eds.) Transforming Organizations with Information Technology. Ann Arbor: North Holland, 10-35. Bekkers, V.J.J.M., M. Thaens (1999) Sturingsconcepties en informatisering. Onderzoek ten behoeve van het VROM-project ‘Internet en Openbaar Bestuur’. Bellotti, Victoria, Abigail Sellen (1993) Design for Privacy in Ubiquitous Computing Environments. Proceedings of the Third European Conference on Computer-Supported Cooperative Work, 13-17 September, Milan, Italy. Benn (1980). “Privacy and Respect for Persons: A Reply.” Australasian Journal of Philosophy 58: 57. Bennett, C. J. (1991). “Computers, Personal Data, and Theories of Technology: Comparative Approaches to Privacy Protection in the 1990s.” Science, Technology, & Human Values 16(1): 51-69. Bennett, C. J. (1992). Regulating Privacy: Data Protection and Public Policy in Europe and the United States. Ithaca, NY, Cornell University Press. Bennett, C. J. (1996). The Public Surveillance of Personal Data: A Cross-National Analysis. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 237-259. Bennett, C. J. (1997). Convergence Revisited: Toward a Global Policy for the Protection of Personal Data? In: Technology and Privacy: The New Landscape. P. E. Agre and M. Rotenberg. Cambridge, Massachusetts London, England, The MIT Press: 99-124. Brey, Philip (1997) The Politics of Computer Systems and the Ethics of Design. In: M.J. van den Hoven (ed.) Proceedings of the 1997 Computer Ethics, Philosophical Enquiry (CEPE) Conference, 11-13 June, Erasmus University of Rotterdam, 64-75. Brey, Philip (1999) Worker Autonomy and the Drama of Digital Networks in Organizations. Journal of Business Ethics, Vol.22, No.1, 15-25. Brown, W.S. (1996) Technology, Workplace Privacy and Personhood. Journal of Business Ethics, Vol.15, 1237-1248. Browne, N. (1995) Working on the InfoBahn. Conference Report, Manchester UK. Burkert, Herbert (1997) Privacy-Enhancing Technologies: Typology, Critique, Vision. in: P. E. Agre and M. Rotenberg. Cambridge, Massachusetts, London, England, The MIT Press:.125-142. Camp, Linda J. (1997) Web Security and Privacy: An American Perspective. In. M.J. van INTERNET & PRIVACY / PAGINA 45
LITERATUUR den Hoven (ed.) Proceedings of the 1997 Computer Ethics, Philosophical Enquiry (CEPE) Conference, 11-13 June, Erasmus University of Rotterdam, 96-107. Cate, F. H. (1997). Privacy in the Information Age. Washington, D.C., Brookings Institution Press. Clarke, R. (1994) The Digital Persona and its Application to Data Surveillance. The Information Society, Vol.10, pp.77-92. Davies, S. G. (1997). Re-Engineering the Right to Privacy: How Privacy Has Been Transformed from a Right to a Commodity. In: Technology and Privacy: The New Landscape. P. E. Agre and M. Rotenberg. Cambridge, Massachusetts, London, England, The MIT Press: 143-166. Dandeker, C. (1990) Surveillance, Power, and Modernity: Bureaucracy and Discipline from 1700 to the Present Day. Cambridge: Polity Press. Elshtain, J. B. (1997). The Displacement of Politics. In: Public and private in thought and practice: Perspectives on a grand dichotomy. J. Weintraub and K. Kumar. Chicago, London, The University of Chicago Press: 166-181. Elshtain, S. B. (1981). Public Man, Private Woman. Princeton, NJ, Princeton University Press. Ermann, M. David, Mary B. Williams, Claudio Gutierrez (1990) Computers, Ethics, and Society. Oxford University Press, Oxford. Fairweather, N. B. (1999) Surveillance in Employment: The Case of Teleworking. Journal of Business Ethics, Vol.22, No.1, 39-49. Foucault, Michel (1989) Discipline, Toezicht en Straf. De geboorte van de gevangenis. Groningen: Historische Uitgeverij. Fried, C. (1986) Privacy. TheYale Law Journal, Vol.77, No.3, 475-493. Gandy, O. H. J. (1996). Coming to Terms with the Panoptic Sort. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 132-155 Studies, Vol.43, No.3, pp.573-576. Gavison, R. (1980) Privacy and the Limits of the Law. The Yale Law Journal, vol.89, No.3, 421-471. Hoven, M.J. van den (1995) Information Technology and Moral Philosophy. Philosophical Explorations in Computer Ethics. Thesis Erasmus University of Rotterdam. Hoven, M.J. van den (1997) Privacy and the Varieties of Moral Wrong-doing in an Information Age. Computers and Society, Vol.27, No.3, pp.33-37. Hoven, M.J. van den (ed.)(1997) Proceedings of the 1997 Computer Ethics, Philosophical Enquiry (CEPE) Conference, 11-13 June, Erasmus University of Rotterdam. Innes, Julie (1992) Privacy, Intimacy and Isolation. Oxford University Press, New York, Oxford. INTERNET & PRIVACY / PAGINA 46
LITERATUUR Introna, Lucas D. (1997) Privacy and the Computer: Why We Need Privacy in the Information Society. Metaphilosophy, Vol.28, No.3, 259-275. Introna, Lucas D., A, Pouloudi (1999) Privacy in the Information Age: Stakeholders, Interests and Values. Journal of Business Ethics, Vol.22, No.1, 27-38. Introna, Lucas D. (1999a) Privacy, Autonomy and Workplace Surveillance. Paper presented at ETHICOMP99, 5-7 Octobre, Rome. Johnson, J. L. (1989). Privacy and the Judgment of Others. The Journal of Value Inquiry 23: 157-168. Kling, R. and J. P. Allen (1996). How the Marriage of Management and Computing Intensifies the Struggle for Personal Privacy. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 104-131. Langford, D. (ed.) (2000) Internet Ethics. Houndsmills, London: MacMillan. Lyon, David (1994) The Electronic Eye. The Rise of Surveillance Society. Polity Press, Oxford. Lyon, D. and E. Zureik (1996). Surveillance, Privacy, and the New Technology. In: Computers, surveillance, and privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 1-18. Lyon, David (1998) the World Wide Web of Surveillance: The Internet and Off-world Powerflows. Information Communication and Society, Vol.1, No.1, 91-106. Manning, R.C. (1997) liberal and Communitarian Defenses of Workplace Privacy. Journal of Business Ethics, Vol. 16, 817-823. Marx, Gary T. (1986) Monitoring on the Job: How to Protect Privacy as Well as Property. Technology Review, McCloskey, H. J. (1980). “Privacy and the Right to Privacy.” Philosophy 55: 17-38. Ministerie van Verkeer en Waterstaat (1999) Privacy-reglement Internet-gebruik V&W. Ministerie van Verkeer en Waterstaat, Directie Organisatie en Informatie (1999) Nota Internetbeleid. Ministerie van Verkeer en Waterstaat, Directie Organisatie en Informatie (1999) Gedragscode Internet. Ministerie van Verkeer en Waterstaat, Directie Organisatie en Informatie (1999) Toelichting bij het Privacy-reglement Internet-gebruik V&W. Moor, James, H. (1990) The Ethics of Privacy Protection. Library Trends, Vol.39, 1990, 69-82. Moor, James H. (1997) Towards a Theory of Privacy in the Information Age. Computers and Society, Vol.27, No.3, pp.27-32.
INTERNET & PRIVACY / PAGINA 47
LITERATUUR Nissenbaum, Helen (1997) Can We Protect Privacy in Public? In: M.J. van den hoven (ed.) Proceedings of the 1997 Computer Ethics, Philosophical Enquiry (CEPE) Conference, 1113 June, Erasmus University of Rotterdam, 191-204. Nock, S. L. (1993). The Costs of Privacy: Surveillance and Reputation in America. New York, Aldine de Gruyter. Panel on Confidentiality and Data Access (1993) Private Lives and Public Policies: Confidentiality and Accessibility of Government Statistics. National Research Council, Social Science Research Council, National Academy Press, Washington D.C. Perrolle, J. A. (1996). Privacy and Surveillance in Computer-Supported Cooperative Work. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 47-65. Phillips, David J. Cryptography, Secrets, and the Structuring of Trust. in: Agre and Rotenberg, pp.243-276. Posner (1979). Privacy, Secrecy, and Reputation. Buffalo Law Review 28(1). Poster, M. (1996). Databases as Discourse; or, Electronic Interpellations. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 175-192. Regan, P. M. (1996). Genetic Testing and Workplace Surveillance: Implications for Privacy. In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 21-46. Registratiekamer, The Netherlands and Information and Privacy Commisioner Ontario, Canada (1995) Privacy Enhancing Technologies: The Path to Anonimity. Volumes 1 and 2. Reiman, Jeffrey (1997) Critical Moral Liberalism. Theory and Practice. Rowman & Littlefield, Lanham. Rich, Lloyd, L. (1995) Right to Privacy in the Workplace in the Information Age, The Colorado Lawyer, March 1-4. Rosenberg, Richard S. (1999) The Workplace on the Verge of the 21st Century. Journal of Business Ethics, Vol.22, No.1, 3-14. Rule, J. B. (1996). High-Tech Workplace Surveillance: What’s Really New? In: Computers, Surveillance, and Privacy. D. Lyon and E. Zureik. Minneapolis, London, University of Minnesota Press: 66-76. Schoeman, F.D. (ed.) (1984) Philosophical Dimensions of Privacy. An Anthology. Cambridge University Press. Smink, G. C. J., A. M. Hamstra, et al. (1999). Privacybeleving van burgers in de informatiemaatschappij. Den Haag, Rathenau Instituut: 160.
INTERNET & PRIVACY / PAGINA 48
LITERATUUR Smith, H. J. (1994). Managing Privacy: Information Technology and Corporate America. Chapel Hill, University of North Carolina Press. Tavani, Herman T. (1997) Internet Search Engines and Personal Privacy. In: M.J. van den Hoven (ed.) Proceedings of the 1997 Computer Ethics, Philosophical Enquiry (CEPE) Conference, 11-13 June, Erasmus University of Rotterdam, 214-223. Warren, S., Brandeis, L. (1890) The Right to Privacy. Harvard Law Review, Vol.4, 193-220. Westin, A. (1967) Privacy and Freedom. New York: Atheneum. Zuboff, S. (1988) In the Age of the Smart Machine. New York: Basic Books.
INTERNET & PRIVACY / PAGINA 49
APPENDIX A SUGGESTIES VOOR VERVOLGONDERZOEK De onderzoeksopdracht omvat tevens een informele inventarisatie van mogelijkheden voor vervolgonderzoek, bij voorkeur ten behoeve van andere Ministeries. Met het oog hierop worden in het licht van de bevindingen in dit rapport hier onder onderzoeksvragen geformuleerd die de Internetbeleidsontwikkeling van verschillende Ministeries zou kunnen helpen. Allereerst dient gekeken te worden in welke stadia van invoering het Internet, en bijbehorende beleidsontwikkeling zich bevinden op de diverse Ministeries. Reeds bestaand Internetbeleid – hieronder dienen zowel systeem-ontwerp als beleidsnota’s en reglementen begrepen te worden – kan geanalyseerd worden op basis van de typologie van privacy aspecten zoals die in het huidige rapport onderscheiden zijn. Vervolgens kan een reeks andere vragen aan de orde komen, waarbij ethisch analyse gecombineerd wordt met empirisch onderzoek: ■ Hoe ziet het reële gebruik van Internet en andere ICT door werknemers er feitelijk uit? ■ Welke rol speelt volgens henzelf de wetenschap van het registreren van hun handelingen in dit gebruik, en in de beleving van de taakuitvoering en werkrelaties? ■ Is hierin een verschil te constateren tussen werknemers van organisaties, c.q. ministeries, die wel en niet monitoren, wel en niet een privacyreglement hanteren? ■ Welk type incidenten doet zich voor met betrekking tot Internetgebruik en controle daarvan? Een belangrijk aandachtsgebied, mede gezien waarschijnlijke, toekomstige ontwikkelingen met betrekking tot telewerken en flexibilisering van de werkplek, dient te zijn de schuivende/vervagende grens tussen werk en privéleven: ■ Hoe wordt hieraan vorm gegeven, c.q. rekening mee gehouden door de organisatie? ■ Hoe wordt dit ervaren door werknemers? ■ Hoe geven werknemers zelf vorm aan deze grens? ■ Hoe wordt deze grens gehandhaafd dan wel ondermijnd door telewerken, en andere wijzen van flexibilisering van de werkplek? Tenslotte kan gericht onderzoek gedaan worden naar de relatie tussen wenselijk Interneten Privacy beleid en technische mogelijkheden.
INTERNET & PRIVACY / PAGINA 51
APPENDIX B KONTAKTEN EN POTENTIELE PARTICIPANTEN VOOR VERVOLGONDERZOEK Resultaten van een inventarisatieronde langs de Ministeries Met het oog op mogelijke participatie in vervolgonderzoek is contact gelegd met diverse betrokkenen bij ICT beleid en Internetmedewerkers bij de verschillende Ministeries. Bij dit rondvragen bleek de in dit rapport behandelde thematiek bij alle succesvol gecontacteerde Ministeries in enigerlei vorm op de agenda te staan, dan wel reeds in specifiek beleid te zijn vastgelegd. De enigszins gefragmenteerde indruk die de behandeling van de privacythematiek toch maakt – verschillende werkgroepen, geinteresseerde individuen, interdepartementaal overleg, gezamenlijke initiatieven van een paar ministeries, dan weer doorverwijzing naar een ander Ministerie, etc. – en de constatering dat het hierbij voornamelijk om vrij pragmatische vertalingen van de wet naar beleid lijkt te gaan, suggereren ons dat de normatieve aspecten toch tamelijk impliciet blijven. Deze fragmentering wordt versterkt door feit dat het beleid rond internetgebruik door werknemers binnen de Ministeries (gedragscodes en privacy reglementen) veelal binnen de taakstelling van andere afdelingen valt dan het beleid rond overheidssites voor de burger. Ten aanzien van het eerste zijn, vaak in onderhandeling met de betreffende ondernemingsraden, en soms zelfs voorgelegd ter beoordeling aan de Registratiekamer, inmiddels gedragscodes en privacyreglementen opgesteld of in de maak die, vergelijkbaar met het beleid bij V&W, routinematig monitoren van Internet- en E-mailgebruik verbieden, en een strenge procedure vastleggen voor onderzoek naar individuen op basis van sterke verdenking. Met betrekking tot het tweede, het Internetaanbod aan burgers, ligt het anders. Dit is nog meer in een ontwikkelingsfase, en het zou wellicht zinnig zijn om in vervolgonderzoek hierbij aan te sluiten. Er bestaat een Projectgroep Gemeenschappelijk Webbeleid, waaraan de Internetcoördinatoren van alle ministeries deelnemen. Deze projectgroep heeft een vrij praktische inzet; men streeft bijvoorbeeld naar het consistenter maken van het webaanbod van de verschillende ministeries (thema’s als dezelfde knoppenbalken e.d.) Op initiatief van Daphne de Groot (Binnenlandse Zaken) wordt op dit moment tevens overleg gevoerd tussen de internetcoordinatoren van alle ministeries om tot een gemeenschappelijk beleid te komen met betrekking tot het privacybeleid op overheidssites. Met het oog op de invoering van de Wet Persoonsgegevens is zij bezig met een inventarisatie van de gegevens over burgers die de ministeries bezitten, en de doeleinden waarvoor ze gebruikt worden. Hiermee krijgt de privacy problematiek een bredere invulling dan in dit rapport: niet enkel de privacy van medewerkers binnen het Ministerie ten opzichte van het Minsterie als werkgever, maar die van burgers in het algemeen ten opzichte van de Ministeries als landelijke overheid wordt hiermee aan de orde gesteld. Tot op heden zijn hierbij de normatieve aspecten onderbelicht gebleven, aldus De Groot. Als coordinator van dit overleg, en na kennisname van de inhoud van het onderhavige onderzoeksrapport heeft zij aangegeven geinteresseerd te zijn in de mogelijkheid van participatie in vervolgonderzoek. Het vertrouwen in de uitkomsten van de Privacy projectgroep is bij enkele andere Ministeries (Algemene Zaken, Buitenlandse Zaken) dermate groot dat zij aangaven voor hun Ministerie niet direct aanleiding te zien om zelf daarbuiten onderzoek te entameren. Daarbij kan worden vermeld dat contactpersonen bij de Ministeries van Defensie en Buitenlandse Zaken aangaven dat veiligheidsaspecten bij deze twee Ministeries bijzonder zwaar wegen; daardoor ligt de privacyproblematiek extra gevoelig. Monitoring is verboden tenzij een zeer zware verdenking bestaat. Om diezelfde veiligheidsredenen heeft men bij Defensie tot nu toe zelfs alleen met ‘stand-alone’ computers gewerkt. Nu INTERNET & PRIVACY / PAGINA 53
APPENDIX B dit tegen het einde van dit jaar gaat veranderen moet men zich buigen over specifieke problemen gerelateerd aan defensie-websites, en de wenselijkheid van filteren van Internetverkeer op defensiecomputers in het buitenland. Bij enkele andere Ministeries is de privacythematiek zo actueel dat er een interne privacywerkgroep in het leven is geroepen (VWS), c.q. een interne enquete onder medewerkers is gehouden waaruit bleek dat privacy onder hen een sterk levend issue begint te worden (VROM). Met de Privacy werkgroep van VWS heeft evenwel nog geen inhoudelijk gesprek plaatsgevonden; onduidelijk is dus nog in welke mate deze werkgroep, voorgezeten door de juriste mevr. Roscam Abbing, de hier naar voren gebrachte thematiek in relatie tot haar eigen taak ziet. De contactpersoon bij VROM, Johan van Wamelen, heeft concreet voorgesteld verder op de kwestie van vervolgonderzoek in te gaan in het kader van het onderzoeksprogramma voor Internet & Openbaar Bestuur 2001. Onderstaand een lijst van contactpersonen per Ministerie. MINISTERIE ALGEMENE ZAKEN Jaapjan Rijlaarsdam: RVD, lid Projectgroep Gemeenschappelijk Webbeleid, 070-3564135 Hans Bongers, lid Projectgroep Gemeenschappelijk Webbeleid. 070-3564135 Verwijzen voor privacyaspecten naar Daphne de Groot (BZK) BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES Daphne de Groot 070-4267047 (
[email protected]) Afdeling Directoraat Informatiebeheer Openbaar Bestuur Coördinator Beleid Ministeries inzake privacy MINISTERIE VAN BUITENLANDSE ZAKEN & ONTWIKKELINGSSAMENWERKING Nanna Stolze, Internet Coordinator , DVL/IC, 070-3486718 MINISTERIE VAN DEFENSIE Teus van der Plaat, beleidsmedewerker ICT Defensie, 0174-538407 MINISTERIE VAN ECONOMISCHE ZAKEN Marc van der Put, hoofd media cluster, 070-3796865 Rob Jalving afd. Persononeel, Organisatie en Informatie, 070-3796076 MINISTERIE VAN FINANCIEN Kristel Dirx, beleidsmedewerker CDV, 070-3427089 MINISTERIE VAN JUSTITIE Edith Swinkels, Beleidsmedewerker, Dienst Voorlichting, 070-3707552 Agnes de Wit (Dienst Voorlichting), MINISTERIE VAN LANDBOUW, NATUURBEHEER EN VISSERIJ Ir. Hans Peter Roersma, Projectleider Gedragscode Internetgebruik, 070 - 3785069 MINISTERIE VAN ONDERWIJS, CULTUUR EN WETENSCHAPPEN dhr. H. Buitelaar, coördinator privacyreglement en gedragscode internetgebruik, 079-3232273.
INTERNET & PRIVACY / PAGINA 54
APPENDIX B MINISTERIE VAN SOCIALE ZAKEN EN WERKGELEGENHEID Marjan H. Groeneveld, Directie Personeel, Organisatie & Informatie 070 - 3334881 MINISTERIE VAN VOLKSGEZONDHEID, WELZIJN EN SPORT Mw. prof.mr.dr. H.D.C. Roscam Abbing. Voorzitter Werkgroep Privacy 070 - 3406865 Secretariaat: Mw. Souisa 070 -3407276 MINISTERIE VAN VOLKSHUISVESTING, RUIMTELIJKE ORDENING EN MILIEU Johan van Wamelen, 070-3393929: Directie Informatie en Onderzoek
INTERNET & PRIVACY / PAGINA 55
AUTEURSBESCHRIJVING Prof.dr. Jos de Mul is als hoogleraar wijsgerige antropologie verbonden aan de Faculteit der Wijsbegeerte van de Erasmus Universiteit Rotterdam, alwaar hij ook aan het hoofd staat van het onderzoeksinstituut Filosofie van de Informatie- en Communicatietechnologie (FICT). Samen met Paul Frissen geeft hij leiding aan het onderzoeksprogramma Internet & Openbaar Bestuur Dr. Y.H. van der Ploeg was als postdoc verbonden aan het onderzoeksinstituut Filosofie van de Informatie- en Communicatietechnologie (FICT) van de Erasmus Universiteit Rotterdam, alswaar zij o.a. onderzoek verrichtte op het gebied van biometrie. Momenteel is zij als onderzoeker verbonden aan het Instituut voor Beleid en Management van de Gezondheidszorg (iBMG) van dezelfde universiteit.
INTERNET & PRIVACY / PAGINA 56
