‘Ik heb niets te verbergen’ een risicovol misverstand

De uitspraak “ik heb niets te verbergen” duikt steevast op in gesprekken die ik heb over privacy, gegevensbescherming en informatiebeveiliging. Vaak wordt zij uitgesproken met een zekere opluchting, soms zelfs met lichte ergernis: waar maken we ons druk om? Op het eerste gezicht klinkt de uitspraak logisch. Wie niets fout doet, hoeft toch niets te vrezen?

Toch is dit ogenschijnlijk redelijke standpunt gebaseerd op een aantal aannames die bij nadere beschouwing wankel blijken. Niet alleen miskent het hoe gegevens in organisaties en samenlevingen functioneren, het verhult ook reële risico’s voor individuen, professionals en organisaties. Dit misverstand is daarmee niet onschuldig, maar potentieel schadelijk.

Privacy gaat niet over geheimen, maar over controle

Een eerste probleem met de uitspraak “ik heb niets te verbergen” is dat zij privacy reduceert tot het verbergen van verkeerd gedrag. Privacy wordt daarmee gelijkgesteld aan geheimhouding, terwijl het in werkelijkheid draait om autonomie en regie: wie mag wat over mij weten, in welke context en met welk doel?

Iedereen handelt anders in verschillende rollen en situaties. Wat iemand deelt met een arts, een werkgever of een collega is contextafhankelijk. Het bestaan van die verschillende contexten impliceert dat informatie niet waardevrij is. Gegevens krijgen betekenis door de setting waarin zij worden gebruikt — en kunnen daarbuiten verkeerd worden geïnterpreteerd of misbruikt.

Dat geldt niet alleen voor gevoelige persoonsgegevens in klassieke zin, maar ook voor ogenschijnlijk neutrale informatie zoals werkpatronen, communicatiestijl of metadata. Wie zegt niets te verbergen te hebben, ziet daarmee over het hoofd dat verlies van privacy vooral een verlies van zeggenschap is, niet van moraliteit.

De risico’s zitten zelden bij de persoon zelf

Een tweede misverstand is dat de gevolgen van datadeling vooral het individu zouden raken dat de informatie aanlevert. In de praktijk liggen de risico’s vaak elders. Gegevens worden gedeeld, verrijkt, geanalyseerd en opnieuw ingezet — soms voor doelen die ten tijde van het verzamelen nog niet eens waren voorzien.

In een organisatiecontext kan dat leiden tot ongewenste conclusies over medewerkers, cliënten of samenwerkingspartners. Denk aan profilering, onbedoelde bias of beslissingen die grotendeels worden genomen op basis van datasets die incompleet of contextloos zijn. De persoon over wie het gaat, heeft daar meestal weinig zicht op, laat staan invloed op.

Juist daarom is het argument “maar ik heb niets te verbergen” irrelevant: de vraag is niet wat iemand te verbergen heeft, maar wat een ander met de informatie kan doen — nu of in de toekomst.

Cybersecurity en de AVG vorm gegeven door een laptop met en slotje. — information security online, cybersecurity and personal data protection, gdpr

Normalisering van toezicht is een sluipend proces

Wanneer de uitspraak maatschappelijk breed wordt geaccepteerd, ontstaat een derde risico: de normalisering van toezicht. Als privacy slechts wordt gezien als bescherming voor mensen met ‘iets te verbergen’, verschuift het morele kader. Aandacht voor gegevensbescherming wordt dan al snel weggezet als lastig, overdreven of inefficiënt.

In organisaties vertaalt dit zich in praktijken waarin dataminimalisatie, doelbinding en transparantie onder druk komen te staan. Systemen worden ingericht vanuit technische mogelijkheden in plaats van vanuit noodzakelijkheid. Wat kan worden gemeten, wordt gemeten — niet omdat het nodig is, maar omdat het kan.

Het probleem hiervan is niet dat toezicht per definitie verkeerd is, maar dat het zonder expliciete afwegingen en grenzen plaatsvindt. Daarmee verdwijnt het onderscheid tussen proportioneel gebruik en structurele controle. Dat is niet alleen een ethisch vraagstuk, maar ook een governance‑risico.

‘Niets te verbergen’ bestaat niet in een professionele context

Voor veel professionals is het argument extra problematisch. In rollen zoals leidinggevende, zorgverlener, adviseur of HR‑professional werken mensen structureel met informatie die niet van henzelf is. Vertrouwelijkheid, zorgvuldigheid en contextbehoud zijn hier geen voorkeuren, maar kernvoorwaarden.

Wie vanuit zijn eigen gevoel zegt niets te verbergen te hebben, projecteert dat gemak onterecht op anderen. Professionals hebben wél iets te beschermen: de belangen van cliënten, medewerkers, burgers of partners. Dat vraagt om terughoudendheid in dataverwerking, ook wanneer de betrokkenen daar zelf aanvankelijk weinig bezwaar tegen lijken te hebben.

Hier raakt het misverstand aan verantwoordelijkheid. Privacybescherming is geen individuele luxe, maar een collectieve plicht.

Bewustzijn als fundament, niet als rem

Het hardnekkige karakter van de uitspraak “ik heb niets te verbergen” maakt duidelijk dat privacy en informatiebeveiliging nog te vaak worden gezien als obstakels. In werkelijkheid vormen zij juist de randvoorwaarden voor vertrouwen, professionele autonomie en duurzaam samenwerken.

Wie privacy serieus neemt, zegt niet: “ik verberg iets”, maar erkent dat informatie kracht heeft — en dat met kracht zorgvuldig moet worden omgegaan. Bewustzijn hiervan leidt niet tot minder transparantie, maar tot betere keuzes over wanneer, hoe en door wie informatie wordt gebruikt.

Het loslaten van het misverstand is daarmee geen stap richting wantrouwen, maar juist richting volwassen omgang met data, technologie en verantwoordelijkheid.