Achmea wil klanten kortingen geven als zij instemmen met de installatie van meetkastjes in auto en huis die privégegevens registreren en deze doorgeven aan de verzekeraar, zo was deze week in het nieuws. Het College Bescherming Persoonsgegevens (CBP), de privacywaakhond van Nederland, heeft gezegd dat deze voorstellen niet in strijd zijn met de Wet bescherming persoonsgegevens (WBP). Als voorwaarde stelde een woordvoerder: „Mensen moeten weten waar ze ja tegen zeggen en wat ze ervoor terugkrijgen.”

Het argument van Achmea luidt dat veiligheid van de verzekerde ten voordele strekt van zowel de verzekerde als de verzekeraar. In theorie zou dus het installeren van een conventionele rookmelder voldoende moeten zijn. Echter, de rookmelders die Achmea op het oog heeft zijn van Nest Labs. Deze rookmelders zijn ook uitgerust met bewegingsdetectoren en een microfoon. De eis van Achmea is dat alle gegevens die worden verzameld door Nest worden doorgegeven.

Nu de vraag: Wat zal het effect op iemands premie zijn wanneer Nest één keer of vaker doorgeeft dat het alarm is afgegaan? Wordt een rookmelder die veelvuldig afgaat gezien als indicatie voor een risicovolle klant? Daarnaast rijst de vraag wat Achmea verder met deze gegevens zal doen. De verzekeraar geeft aan deze niet te delen met derde partijen. Maar hoe zit dat met haar dochter Zilveren Kruis? Is deze zorgverzekeraar, nu of in de toekomst, wellicht geïnteresseerd in de tijden dat iemand naar bed gaat en opstaat?

Volgens de website van Nest worden gegevens gebruikt „voor het aanbieden, ontwikkelen en verbeteren van Nest-producten en services, inclusief informatie voor beoordelingen en aanbevelingen over producten, veiligheid of uw energiegebruik.” Deze doelomschrijving van Nest is erg ruim en niet welbepaald, een eis die wel voortvloeit uit de WBP.

De Artikel 29 Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten (zoals het CBP) in de EU vallen, heeft in 2013 aangegeven dat een doel dat vaag of algemeen is omschreven –zoals het verbeteren van gebruikers­ervaring, of marketingdoelen– zonder verdere uitleg niet voldoet aan de eis van doelbinding. Een duidelijke doelomschrijving is onontbeerlijk voor geïnformeerde toestemming. De doelomschrijving van Nest is onduidelijk. Hierover blijft het CBP stil.

In een presentatie van de Amerikaanse inlichtingendienst NSA, die dankzij klokkenluider Snowden in de openbaarheid kwam, is te zien hoe Google zich OP 14 januari 2009 aansloot bij het roemruchte surveillanceprogramma Prism. Dit stelde de NSA in staat om de gegevens van de grootste techgiganten te gebruiken voor hun spionageactiviteiten. Precies vijf jaar later, op 14 januari 2014, kocht Google Nest Labs.

Daarmee rijst de vraag of de inlichtingendiensten van de VS de privacygevoelige gegevens die de kastjes van Nest verzamelen, kunnen inzien. Juist deze week is er een interessant vonnis gewezen door het Europees Hof van Justitie. Hierin wordt bepaald dat persoonsgegevens door Facebook Ireland niet langer mogen worden doorgegeven aan Facebook in de VS. De reden is dat Snowdens onthullingen hebben aangetoond dat de manier waarop inlichtingendiensten binnen Prism omgaan met de gegevens aldaar onverenigbaar is met Europese wetgeving en specifieker de bescherming van de persoonlijke levenssfeer.

Het recht op bescherming van de persoonlijke levenssfeer is als apart recht pas geïntroduceerd in de belangrijke mensenrechtenverdragen na de Tweede Wereldoorlog. Dit recht moest mensen wapenen tegen de totalitaire neigingen van regeringen. Het willen controleren van het gedrag van het individu in de privésfeer is kenmerkend voor een totalitaire samenleving, of deze controle nu door een publiek dan wel een privaat collectief wordt uitgeoefend.

Het CBP heeft als taak toezicht te houden op wetgeving die de persoonlijke levenssfeer beschermt. Hoe is het mogelijk dat deze instantie goedkeurt dat een verzekeraar samen met een van de machtigste bedrijven ter wereld het leven van verzekerden achter de voordeur gaat registeren, controleren en manipuleren? Temeer nu deze gegevens mogelijk worden uitgeleverd aan het militair-industriële surveillancecomplex van de VS. De vraag is of het CBP wel weet waar het ja tegen zegt.

De auteur is voorzitter van het Platform Bescherming Burgerrechten en universitair docent aan de rechtenfaculteit van de Vrije Universiteit Amsterdam.