De route van de pasjesmaatschappij kent geen weg terug.

Het toestaan daarvan was bij de voorbereiding van de coronapasplicht in de horeca ingecalculeerd als politiek wisselgeld.

Inmiddels zijn er talloze organisaties, waarop de regels die het demissionair kabinet nog in het Staatsblad wil gaan afdrukken, zeer waarschijnlijk formeel NIET van toepassing zijn, begonnen met het aankondigen van de verplichting van de coronapas voor hun gebouwen, simpelweg omdat er ergens in dat gebouw iets wordt gedaan dat aangemerkt kan worden als ‘horecafaciliteiten’. Naar verwachting zullen aanstonds bedrijven en scholen die tot dusver de kantines gesloten hebben gehouden met het oog op het beperken van COVID-19-besmettingen daarbij aansluiten, deze kantines opengooien en vervolgens medewerkers, bezoekers, klanten, leerlingen en studenten verplichten zich te onderwerpen aan het nieuwe regime.

Het gevolg van het ‘proefballonnetje’ van het demissionaire kabinet is dat de coronapas nu dan allerwege wordt ingevoerd, ook daar waar dat straks – als het kabinet het wazig uitgedachte idee dan in het Staatsblad zal hebben uitgeschreven – dit niet verplicht zou zijn geweest. Niet alleen is daarmee dan tegemoet gekomen aan de wens van VNO-NCW om werkgevers in staat te stellen aan klanten te communiceren dat de monteur die langskomt om de douche te repareren op de zaak inderdaad het coronapasje heeft weten te scannen – wat de werkgever tegen de achtergrond van het vigerende arbeidsrecht natuurlijk (1) niet zou hebben mogen weten en (2) niet zou mogen communiceren aan derden – maar er zullen ook rechtsdisputen gaan ontstaan om organisaties en bedrijven die nu het ‘proefballonnetje’ aangrijpen om zelf regels te stellen die in formele zin straks niet in het Staatsblad staan, de facto en dan dus soms ook de iure een aanpassing doorvoeren in verhoudingen die niet is voorzien in gesloten contracten, overeenkomsten en huishoudelijke reglementen.

Over de mogelijkheid dat mensen die – om wat voor goede of dwaze redenen dan ook – niet willen collaboreren met een coronapasjesmaatschappelij, maar aan wie het vanuit andere wet- en regelgeving (“WBB”, bijvoorbeeld) niet is toegestaan iets te doen of te zeggen waardoor zij vanuit het oogpunt van enig beoordelend ambtenaar de kans op het zelfstandig verwerven van eigen inkomen verminderen, de rekening voor de wazige gedachtengangen van het demissionaire kabinet moeten betalen, wil ik dan nog maar zwijgen. Het valt immers niet te verwachten dat een werkgever die toch al meent dat die over het hart strijkt door een bijstandsgerechtigde aan te nemen voor een job waarvoor hij liever een BBL-er aan het werk zou zetten, die bijstandsgerechtigde kandidaat faciliteert om wekelijks een paar keer in werktijd langs de teststraat te gaan om de coronapas ‘op te laden’.

Het kabinet – en het deel van de Kamer dat het missieloze kabinet de gang laat gaan – heeft hier de rechtswereld binnenstebuiten laten keren. Wie iets heeft doorgenomen van de 360.000 artikelen over corona die in de database van WHO zijn opgenomen, die ‘weet’ dat de consensus onder diegenen die zich erin hebben verdiept na te gaan hoe de ‘transmission’ van Covid-19 zich voltrekt, is dat er nog lang geen consensus is, met dien verstande dat er consensus is over het feit dat gevaccineerden besmettelijk kunnen zijn, dat de besmettelijkheid van asymptomatische gevaccineerden vergelijkbaar is met de besmettelijkheid van asymptomatische niet-gevaccineerden, en dat er consensus is over het feit dat de beschermingsduur van elk coronavaccin tijdelijk is. Dit impliceert dat indien een samenleving eenmaal de route van de pasjesmaatschappij inslaat, de weg terug nagenoeg geblokkeerd zal blijken te zijn. De enige ‘hoop’ is dan dus eigenlijk dat dit kabinet dat 1,5 jaar lukraak op heen en weer heeft getuft door de staatsrechtelijke rimboe, dan over een maand of twee drie dit ‘proefballonnetje’ net zo ondoordacht lekprikt als het dat heeft opgeblazen.

Het schijnt mij toe dat er tenminste drie rechtsgronden zijn op basis waarvan minister De Jonge persoonlijk aansprakelijk gesteld kan worden voor alle schade die personen en organisaties geleden hebben, lijden of nog zullen lijden door de onrechtmatige handelingen die in het goedwillend doch onnadenkend bestrijden van de COVID-19-uitbraak in Nederland zijn uitgevoerd. Vermits de ‘countervailing power’ vanuit het parlement kennelijk ontoereikend is om het kabinet tot redelijkheid te brengen, zal de heer De Jonge dezer dagen een uitnodiging ontvangen om een en ander persoonlijk te komen toelichten aan de derde macht.

Datalekken: in gesprek met Prof. Custers

Met belangstelling en groeiende en daarna afnemende instemming heb ik uw opiniestuk in Trouw van 21-2-2020 gelezen waarin u drie factoren benoemt waardoor de huidige regelgeving rond datalekken niet werkt:
1. Het mechanisme van naming & shaming werkt niet bij grote aantallen.
2. Door de grote aantallen werkt de handhaving (met boetes e.d.) niet.
3. Veel datalekken worden nog steeds niet gemeld: doordat de regels niet helder zijn, is het min of meer een keuzebesluit van een organisatie om een datalek al dan niet te melden.

U draagt een aantal oplossingen aan:
a) Meer duidelijkheid over wanneer er moet worden gemeld.
b) De meldplicht voor onbeduidende datalekken zou moeten komen te vervallen (of ingeperkt door aanvullende criteria), waardoor de aandacht kan uitgaan naar de ‘beduidende’ datalekken.
c) De toezichthouder zou de aandacht moeten verleggen van het registreren van datalekken naar het opvolging geven aan datalekken: bij ernstige datalekken moeten sancties worden opgelegd.

Bij het lezen van de beperkingen in de regelgeving rond datalekken nam mijn instemming toe. Het mechanisme van naming & shaming werkt niet, al is het omdat de meeste datalekken door de AP niet met naam en toenaam aan een bedrijf worden gekoppeld. De handhaving van de AP gaat in 99,99% van de gevallen niet verder dan het registreren van die datalekken, en die enkele keer dat de AP iets verder gaat en een bestuursmaatregel of een boete oplegt, is het zeer de vraag of de bestuursmaatregel daadwerkelijk wordt nagekomen (de AP kan er niet op controleren) terwijl een deel van die boetes zo niet alle boetes in een juridisch traject zullen sneuvelen of gemitigeerd. En de meeste organisaties hebben natuurlijk nog steeds geen flauw idee wat een datalek is.

Als de ABN AMRO een brief aan een adres verstuurd die geadresseerd is aan “F. Verweij” en er vervolgens achter komt dat er op het betreffende huisadres twee “F. Verweij”-en wonen, dan zit er bij ABN AMRO een compliance officer die aan de AP een datalek gaat melden, terwijl de wet dat niet voorschrift. Als een team van een voetbalvereniging kampioen is geworden in de vierde klasse van de regio, en de teamfoto wordt op het internet geplaatst zonder dat alle betrokkenen om toestemming is gevraagd, dan wordt dit zeer waarschijnlijk niet gemeld, terwijl de wet dat wel voorschrift. Voorts weten u en ik dat het feitelijk aantal lekken jaarlijks eerder in de miljoenen ligt; het vanuit een bepaalde optiek zeer hoge cijfer waarmee de AP paradeert, is een zeer povere afspiegeling van de werkelijkheid. Uw oplossingen kan ik evenwel niet plaatsen.

Meer duidelijkheid is altijd goed, maar omdat het begrip ‘persoonsgegevens’ in de AVG meerduidig en inconsistent wordt gebruikt, zou meer duidelijkheid eerst verschaft kunnen worden nadat de tekst ervan is opgekuist. Dat schijnt men nog niet van plan te zijn. Degenen die de inconsistente AVG in elkaar hebben geflanst, geven er de voorkeur aan de interpretatie en de duiding van wat er mogelijk in de AVG staat, over te laten aan rechters. We weten dus pas over een jaar of tien, vijftien wat nu eigenlijk in die AVG staat.

‘Onbeduidend’ is in deze context een zeer hachelijke term. Het aantal personen dat ‘getroffen’ is door een datalek, is hier geen betrouwbare graadmeter. Een datalek waarbij miljoenen niet al te best gepseudonimiseerde patientgegevens ‘op straat’ zijn komen te liggen, klinkt beduidend en ernstig, maar de feitelijke schade van dat datalek is mogelijk geringer dan het datalek dat ontstaat als een specialist het medisch dossier van 1 bij naam en toenaam genoemde persoon bij de kapper laat liggen. Voorts is het niet zeer realistisch te denken dat een wetgever die na dertig jaar broeden geen ordentelijke definitie van ‘persoonsgegevens’ in de AVG heeft kunnen opnemen, het onderscheid tussen ‘beduidende’ en ‘onbeduidende’ datalekken enigermate helder en duidelijk zou weten te trekken.

En, tja, we hebben momenteel te maken met een toezichthouder, de AP, die niet beschikt over de capaciteit (qua fte en qua kennisniveau) om de huidige regelgeving enigszins overtuigend te handhaven. Wat er aan datalekken door de AP geregistreerd wordt, wordt overwegend geregistreerd door zelfmeldingen van de bedrijven en organisaties waar deze lekken hebben plaatsgevonden. Het is niet te verwachten dat deze bedrijven deze steun aan de toezichthouder zullen voortzetten als de AP met de boetebevoegdheid gaat zwaaien. De AP moet het dan verder doen met het handjevol klokkenluiders waarvan de claims nooit of eerst na jaren bewezen kunnen worden, plus enkele tientallen burgers die door de AVG aan zijn gezet tot querulanten-gedrag en waarvan de claims de AP eigenlijk naast zich neer zou willen leggen.

Ik zie met u het probleem, maar ik zie in uw oplossingen geen oplossingen.