icon

Het recht om vergeten te worden

Deze week verscheen een rapport van het (wetenschappelijk) adviesorgaan voor cybersecurity van de EU, ENISA. In dat rapport spreekt ENISA zich uit voor een aan internet-zoekmachines op te leggen verplichting om uit de zoekresultaten informatie te filteren die “vergeten moet worden”. Die informatie zou dan niet in de zoekresultaten mogen worden getoond. Volgens ENISA is dit de enige nog enigszins technisch haalbare manier om “het recht om vergeten te worden” in Europa te implementeren.

Huh? Het recht om vergeten te worden? Jazeker: als het aan de Europese Commissie ligt krijgt u dat recht over een aantal jaren. Het maakt deel uit van het concept voor de nieuwe regeling voor de bescherming van persoonsgegevens waar de EU momenteel aan werkt. De oude regeling dateert alweer van 1995. Dat was de EU Privacy richtlijn, die in Nederland werd geïmplementeerd in de inmiddels welbekende Wet Bescherming Persoonsgegevens (WBP).

In 1995 gebruikte echter slechts 1% van de Europeanen internet. Vooruit, laat dat in Nederland 2% geweest zijn (ik hoorde daar toen ook bij, met mijn 14K4 modempje en Mosaic browser!). Inmiddels zitten we in Europa echter op meer dan 80% (en in Nederland tegen de 99, durf ik wel te stellen). En dat internet staat vol met informatie over iedereen. Daar beginnen de Europeanen zich zo langzamerhand wel zorgen over te maken (72% van hen, volgens onderzoek van de Commissie).

De EU komt daaraan tegemoet. Om te beginnen wordt de kern van de nieuwe privacy regeling straks gevormd door een Europese Verordening en niet langer door een Richtlijn. Dat betekent dat de hoofdregels rechtstreeks gaan gelden voor alle EU burgers, zonder dat die eerst hoeven te worden omgezet in een nationale regeling. En onderdeel van die regels wordt dus dat recht om vergeten te worden: burgers krijgen het recht bedrijven en instellingen te vragen gegevens over hen te wissen (zie ook deze pdf brochure van de EU -inhoudelijk weinig nieuws, maar best leuke cartoon tekeningen).

Maar… Onder de WBP mogen burgers toch nu óók al aan bedrijven en instellingen vragen persoonsgegevens te wissen? Inderdaad. De EU belooft echter dat dit onder de nieuwe regels allemaal uniformer, gemakkelijker en sneller zal gaan. In haar rapport (hier te downloaden in pdf) plaatst ENISA daar de nodige vraagtekens bij. Praktische, maar ook hele fundamentele. Een voorbeeld van dat laatste:

how [should] the right to be forgotten […] be balanced against the public interest in accountability, journalism, history, and scientific inquiry? Should a politician or government be able to request removal of some embarrassing reports? Should the author of a scientific study be able to request withdrawal of the publication?”

Het boeiendste deel van het rapport is echter de beschrijving van de technische mogelijkheden en onmogelijkheden om vergeten te worden op het net. Internet is een open netwerk. In een dergelijk netwerk is het onmogelijk om het kopiëren van informatie tegen te gaan. Technische oplossingen alléén helpen daarom niet. Zelfs als je bepaalde meer gevoelige informatie aan een soort tijdklok zou koppelen, waardoor deze na verloop van tijd “vanzelf” ontoegankelijk wordt (het rapport noemt daarvoor diverse bestaande mogelijkheden!), is deze (vooral als het om interessante of smeuïge informatie gaat) vóór het vertrijken van die “houdbaarheidsdatum” al talloze keren gekopieerd zónder zo'n tijdklok.

Waar de techniek alleen geen oplossing biedt moet dan ook de regelgeving bijspringen. Dat brengt ENISA er uiteindelijk toe om als één van haar aanbevelingen op te nemen:
“A possible pragmatic approach to assist with the enforcement of the right to be forgotten is to require search engine operators and sharing services within the EU to filter references to forgotten information stored inside and outside the EU region.”

Hoe dat dan precies zou moeten wordt in het rapport niet nader aangegeven en daar zit mijns inziens wel de zwakke plek. Want hoe wordt die ‘[to be?] forgotten information” dan geïdentificeerd? Natuurlijk zou daar een “tag” aan gehangen kunnen worden op de originele plaats van bewaring. Maar hoe garandeer je dan weer (anders dan door een wettelijke verplichting) dat die tag ook meegenomen wordt in ieder kopie die van de informatie op het internet verschijnt? Maar misschien is ook dat technisch op te lossen. En dan moet inderdaad gezegd dat aldus een hele grote stap zou kunnen worden gezet in de richting van het recht om vergeten te worden. Immers: wat niet gegoogeld kan worden “bestaat” niet op het net.

Dan blijven we echter uiteraard nog wel zitten met de bovengenoemde vragen naar de meer maatschappelijke kant van de zaak. Uiteindelijk is hier immers ook de vrijheid van informatie in het geding. En dat blijft een groot goed, ook (misschien wel: vooral) als die informatie niet iedereen even welgevallig is.

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Het recht om vergeten te worden