De Autoriteit Persoonsgegevens (AP) kraakt het conceptwetsvoorstel Wet gegevensvergaring openbare orde, dat de politie vergaande bevoegdheden moet geven om online gegevens te verzamelen ter handhaving van de openbare orde. Volgens de toezichthouder ontbreekt het voorstel aan essentiële waarborgen, waardoor ongerichte en onevenredige monitoring van onverdachte burgers dreigt.
De AP is door de minister van Justitie en Veiligheid geraadpleegd over het concept voor de Wet gegevensvergaring openbare orde, die een specifieke grondslag moet bieden voor het overnemen van persoonsgegevens uit publiek toegankelijke online bronnen, zoals sociale media en fora, om ernstige verstoringen van de openbare orde te voorkomen of te bestrijden. De AP onderschrijft dat zo’n wettelijke basis in principe evenredig kan zijn, maar constateert dat verschillende bepalingen de toets aan hoger recht niet doorstaan en bij ongewijzigde vaststelling buiten toepassing gelaten zullen moeten worden.
Onvoldoende afbakening en risico op massasurveillance
Kern van de kritiek is dat het wetsvoorstel onvoldoende borgt dat geautomatiseerd zoeken en overnemen van persoonsgegevens uit publiek toegankelijke internetbronnen daadwerkelijk wordt beperkt tot wat noodzakelijk is. Het voorstel vereist niet dat vooraf duidelijk wordt afgebakend welke bronnen worden doorzocht, hoe vaak en hoe ver terug in de tijd, en welke (soorten) persoonsgegevens worden overgenomen. Zonder deze grenzen kan een toepassing als een crawler of scraper in theorie vrijwel het gehele publiek toegankelijke internet binnenhalen, inclusief grote hoeveelheden niet-relevante en gevoelige gegevens van onverdachte burgers.
Volgens de AP ontstaat bovendien het risico dat steeds dezelfde personen of groepen, bijvoorbeeld vanwege hun online zichtbaarheid, structureel onder een vergrootglas komen te liggen zonder concrete aanleiding, met mogelijke ongerechtvaardigde ongelijke behandeling tot gevolg. De toezichthouder wijst ook op de gevaren van algoritmische profilering: verbanden die systemen leggen zijn vaak gebaseerd op statistische correlaties, niet op diepgaand inzicht, waardoor discriminatie en willekeur op de loer liggen.
Gebrek aan rijksbreed kader en transparantie
De AP plaatst de wetgevingstoets nadrukkelijk in een bredere context van zogenoemde OSINT‑wetgeving: het door overheden geautomatiseerd verzamelen, bewaren en analyseren van grote hoeveelheden online persoonsgegevens. Er ontbreekt volgens de toezichthouder nog altijd een rijksbreed harmoniserend kader dat aangeeft welke mogelijkheden, waarborgen en beperkingen in welke gevallen toelaatbaar zijn. De keuzes in het huidige concept zouden juist op zo’n kader moeten worden geijkt.
Verder stelt de AP dat het voorstel onvoldoende waarborgen bevat voor het beperken van het vergelijken en combineren van overgenomen gegevens tot wat verenigbaar en proportioneel is, en dat niet duidelijk is vastgelegd hoe het recht op informatie van betrokkenen wordt ingeperkt. Ook dwingt het concept onvoldoende af dat expliciet verantwoording wordt afgelegd over keuzes rond de verwerking van persoonsgegevens. Tot slot wijst de AP op het risico van verwerking van evident onrechtmatig gepubliceerde gegevens, zoals datalekken, en pleit zij voor strikte noodzaakstoetsing en uitsluiting van beruchte bronnen, tenzij de rechter-commissaris uitdrukkelijk anders oordeelt.
