Toon items op tag: Solutions
Adviesorgaan overheid: geef publiek veilig toegang tot wifi
Recent heeft het Forum Standaardisatie een advies uitgebracht om openbare wifi-netwerken voor gastgebruik altijd veilig aan te bieden. Het onafhankelijke adviesorgaan beveelt aan om de veiligheid van wifi te verbeteren door gebruik van de standaard WPA2-Enterprise. Het advies geldt voor alle publieke en semi-publieke instellingen in Nederland en heeft daarmee impact op duizenden wifi-netwerken.
Het Forum Standaardisatie is hét adviesorgaan voor de publieke sector wat betreft gebruik van open standaarden. Alle standaarden die het Forum adviseert zijn grondig getoetst, verlagen het risico van internetfraude en gegevensmisbruik en verlagen de kosten, aldus de organisatie op haar eigen website. Aanleiding voor het advies was een aanvraag van Stichting Privacy First en de wifi-roaming aanbieder Publicroam, ruim een jaar geleden. Zij verzochten het Forum om WPA2-Enterprise als standaard te verplichten voor toegang tot gastwifi. Het Forum Standaardisatie besloot daarop om nader onderzoek te doen, met het huidige advies als resultaat.
Stoppen met onveilige gastwifi
Paul Korremans, voorzitter van Privacy First, is zeer verheugd met het advies. Hij zegt hierover: “Het heeft even geduurd maar nu ligt er een duidelijk advies. Het Forum Standaardisatie roept op tot het veilig aanbieden van gastwifi, bij voorkeur met gebruik van de standaard WPA2-Enterprise. Dit advies schept duidelijkheid voor alle partijen die betrokken zijn bij het inrichten en beheren van openbare wifi-netwerken bij de overheid. Bovendien heeft het een bredere werking: het Forum zegt in onze ogen dat we moeten stoppen met onveilige gastwifi.”
Nederland voorloper
Forum Standaardisatie nam haar besluit afgelopen zomer na meerdere expertrondes en een publieke consultatie. Het advies werd begin september toegevoegd aan de bestaande verplichting rond WPA2-Enterprise. Nederland is één van de eerste landen die een dergelijke verplichting kent.
WPA2-Enterprise
Experts beschouwen de standaard WPA2-Enterprise (en de opvolger WPA3-Enterprise) als de meest geschikte methode om veilige toegang tot wifi te realiseren. De standaard is verplicht voor wifi-toegang voor overheidsmedewerkers en wordt breed toegepast in andere sectoren zoals het bedrijfsleven en in het onderwijs. Doordat het een al lang bestaande open standaard is, is deze breed beschikbaar en eenvoudig te implementeren.
Winnaars Nederlandse Privacy Awards 2020 bekend!
Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2020 zijn Publicroam, NUTS en Candle.
Winnaar: Publicroam
Als gast overal veilig en gemakkelijk op WiFi
In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Omdat de mobiele datanetwerken niet overal binnen goed werken en omdat je abonnement dan minder snel wordt verbruikt. Vaak werken die WiFi’s met één lokaal wachtwoord, wat op alle tafels of schermen staat. Dit maakt je digitale activiteiten op verschillende manieren kwetsbaar, met alle vervelende gevolgen die dit kan hebben. Bovendien weet je niet wat de aanbieders van die netwerken met jouw persoonlijke gegevens doen. Er wordt wel gezegd dat de handel in persoonsgegevens intussen meer geld oplevert dan de handel in olie.
Bij onderwijsinstellingen werden deze risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden eerder al Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal? Dat idee is opgepakt door Publicroam en valt op steeds meer plekken in goede aarde. En terecht, is de mening van de jury. Verschillende grote gemeenten en organisaties (zoals alle bibliotheken in ons land) zijn al aangesloten of sluiten binnenkort aan. Op zichzelf is deze voorziening dus niet een volstrekt nieuwe oplossing, maar de jury is vooral onder de indruk omdat de voorziening letterlijk voor iedereen in ons land – en mogelijk ook daarbuiten – grote voordelen kan bieden en daarmee grote impact kan hebben op wat we gewend zijn: één account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.
Het is dus mogelijk: goede zakelijke initiatieven en toch respect voor de privacy, zie hier het bewijs.
Winnaar: NUTS
Decentrale infrastructuur voor privacyvriendelijke zorgcommunicatie
Stichting NUTS is een initiatief dat een privacyvriendelijke oplossing wil bieden voor identiteitsmanagement en het delen van persoonsgegevens in de zorg. Het initiatief houdt in dat individuen zeggenschap houden over welke zorggegevens gedeeld mogen worden door zorgverleners met andere zorgverleners. Stichting NUTS heeft zijn uitgangspunten in een Manifest neergelegd die door deelnemers onderschreven moeten worden, en alle software die ontwikkeld wordt moet voldoen aan de eisen van open source. Het resultaat waar stichting NUTS naar streeft is een decentrale architectuur die controle en zeggenschap over persoonsgegevens in de zorg bij de betrokkenen houdt.
De diensten die via het decentrale netwerk worden geleverd zijn gebaseerd op de uitgangspunten van privacy by design. Identiteitsmanagementoplossingen dragen bij aan het onomstotelijk bewijzen van de identiteit van de betrokkene. De decentrale benadering sluit aan op de zorgarchitectuur die momenteel in de zorg in ontwikkeling is – en ook al deels wordt uitgerold. Zo kunnen de zorginformatiebouwstenen gebruik maken van de decentrale voorzieningen die via NUTS gerealiseerd worden.
Voor de jury is stichting NUTS een mooi voorbeeld van een initiatief dat op een omvattende manier naar privacyvraagstukken kijkt en daar ook concrete oplossingen voor realiseert. De open source community die de stichting NUTS aan het realiseren is, voorkomt vendor-lock-in op cruciale onderdelen van de zorginfrastructuur. De in opkomst zijnde Persoonlijke Gezondheidsomgevingen kunnen eveneens gebruik maken van de decentrale beheersvoorzieningen die NUTS nastreeft. De gedachte achter NUTS – het creëren van een nutsvoorziening voor een cruciaal onderdeel van de zorgarchitectuur – spreekt de jury bijzonder aan. Verbreding van de Stichting, die nu nog grotendeels door één bedrijf wordt gedragen, zal het draagvlak voor het initiatief verder vergroten.
Om de Stichting NUTS de mogelijkheid te geven zijn idealen verder te realiseren en breder uit te dragen, kent de jury daarom dit jaar de juryprijs voor bedrijfsoplossingen toe aan stichting NUTS.
Winnaar: Candle
Privacyvriendelijke smart home oplossing
Candle is een reactie op een risicoanalyse (privacy by design) van IoT-producten die een verbinding met een cloud server maken zonder dat dit noodzakelijk is. Het is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet noodzakelijk is. Het is gestart als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op het ontwikkelen van praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de CV, camera's, een CO2-sensor en andere toepassingen eenvoudig met elkaar verbonden worden. Voor het contact maken met een extern netwerk wordt een schakelaar toegepast. Als gebruiker maak je een bewuste keuze wanneer je de mail en andere data naar binnen haalt en naar buiten zendt.
Candle laat zien dat het eenvoudig mogelijk is om een Smart oplossing te creëren zonder de Big Tech bedrijven met hun data driven modellen. Inmiddels zijn er diverse conceptoplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.
“Net zoals de markt voor biologisch eten enorm gegroeid is, zo zal de markt voor ethische technologie ook groeien. Maar hoe zwengel je die markt aan? Dat is de uitdaging. De AVG heeft de grond geploegd. Nu is het tijd om te zaaien en het concept aan de consument toe te vertrouwen”, aldus Candle.
Nominaties
Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:
1. categorie Consumentenoplossingen (van bedrijven voor consumenten)
2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)
3. categorie Overheidsdiensten (van de overheid voor burgers)
4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.
Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:
Consumentenoplossingen: | Bedrijfsoplossingen: | Overheidsdiensten: |
Publicroam | NUTS | (geen inzendingen) |
Candle | Rabobank/Deloitte | |
Skotty |
Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.
Nationale Privacy Conferentie
De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en Privacy First is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.
Sprekers tijdens de Nationale Privacy Conferentie 2020 waren achtereenvolgens:
Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens)
Richard van Hooijdonk (trendwatcher/futurist) en Bas Filippini (oprichter en voorzitter van Privacy First)
Tom Vreeburg (IT-auditor) )
Coen Steenhuisen (privacy-adviseur Privacy Company)
Peter Fleischer (global privacy counsel Google)
Sander Klous (hoogleraar Big Data Ecosystemen, Universiteit van Amsterdam)
Kees Verhoeven (Tweede Kamerlid D66).
Jury Nederlandse Privacy Awards
De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en eigenaar NMLA
- Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
- Alex Commandeur, senior adviseur BMC Advies.
Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u ook sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!
Genomineerden Nederlandse Privacy Awards 2020 bekend!
Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.
Genomineerden
Dit jaar heeft opnieuw een groot aantal hoogwaardige inzenders zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse bedrijfsbezoeken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:
Publicroam
In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Vaak met één lokaal wachtwoord, wat op alle tafels staat. Bij onderwijsinstellingen werden de risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal als gast veilig en gemakkelijk op WiFi? Dat idee is opgepakt door Publicroam en valt op veel plekken in goede aarde. Verschillende grote gemeenten en organisaties, zoals alle bibliotheken zijn al aangesloten of sluiten aan. Eén account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.
Candle
Candle is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet en een cloud noodzakelijk is. Candle is als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de cv, camera's, sensoren etc eenvoudig hierop aangesloten worden. De smart oplossing zonder de Big Tech bedrijven en hun data driven modellen is dus mogelijk en eenvoudig te realiseren en Candle laat dat zien. Inmiddels zijn er diverse oplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.
Skotty
Het ambitieniveau van Skotty is hoog; de beste zijn in veilige digitale communicatie. Skotty biedt een veilig alternatief voor het regelmatig versturen van e-mails met bijlagen. Bij de ontwikkeling van Skotty stond privacy by design centraal. In de architectuur is het uitgangspunt geen toegang te willen tot gegevens over gebruikers. Via de browser worden databestanden versleuteld verzonden en opgeslagen. Skotty heeft geen toegang tot de data in de bestanden, alleen het gebruikersprofiel en is daarmee met recht een zero knowledge provider.
NUTS
NUTS wil als stichting bijdragen aan het creëren van een Open Source Community die privacyvriendelijke oplossingen voor het delen van persoonsgegevens in de zorg biedt. NUTS werkt aan een decentrale benadering van toestemmingsverlening. Patiënten krijgen regie over wie toegang krijgt tot hun gegevens. De stichting nodigt iedereen uit om – binnen de lijnen van het Manifest van de stichting – bij te dragen aan open source oplossingen. Privacy staat bovenaan in de benadering. NUTS beperkt zich tot processen rond authenticatie en identificatie, adressering en logging. Daarmee onderscheidt NUTS zich als een hoeder van privacy bij het delen van gegevens in de zorg.
Rabobank en Deloitte
Voor het in aanmerking komen voor (sociale) huurwoningen zijn veel persoonlijke gegevens noodzakelijk. Woningcorporaties hebben vanuit een ambitie om efficiënter te werken en daarbij recht te doen aan de vertrouwelijkheid van klantinformatie gezocht naar andere oplossingen. Uitgangspunten daarbij zijn dataminimalisatie en regie voor de potentiële huurder. Door de Rabobank is een Wallet (app) ontwikkeld die de gebruiker in staat stelt veilig via DigiD op het juiste moment in het proces een inkomenstoets te doen. Door Deloitte is een Zero Knowledge Proof algoritme ontwikkeld dat dataminimalisatie mogelijk maakt. Hiermee krijgt de potentiële huurder meer regie op zijn gegevens en wordt de hoeveelheid data geminimaliseerd.
Jury Nederlandse Privacy Awards
De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en eigenaar NMLA
- Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
- Alex Commandeur, senior adviseur BMC Advies.
Uitreiking Awards
Tijdens de Nationale Privacy Conferentie op 28 januari as. in Nieuwspoort (Den Haag) worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens door Tweede Kamerlid Kees Verhoeven (D66) worden uitgereikt in drie categorieën: 1) Bedrijfsoplossingen, 2) Consumentenoplossingen en 3) Aanmoedigingsprijs.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Media zijn van harte welkom om verslag van het evenement te doen. Neem voor nadere informatie en verzoeken om interviews contact op met Privacy First.
Privacy First jaarverslag 2018
Hierbij publiceert Stichting Privacy First graag haar jaarverslag 2018: klik HIER om de pdf-versie te downloaden. Bij dit jaarverslag hoort tevens onze jaarrekening 2018 (pdf, reeds in april 2019 gepubliceerd). In ons jaarverslag leest u alles over onze voornaamste activiteiten in 2018 (en deels alvast 2019), waaronder onze Nederlandse Privacy Awards, onze campagne rond het referendum tegen de Sleepwet, onze rechtszaken, onze lobby, onze evenementen en projecten.
Privacy First heeft opnieuw een positief en turbulent jaar achter de rug. De publicatie van dit jaarverslag is daardoor vertraagd, maar immer actueel. Ondanks de komst van de Europese privacywet AVG staat het recht op privacy in Nederland nog steeds onder enorme druk. Een krachtige organisatie als Privacy First blijft daarom cruciaal en uw steun als sponsor of donateur is en blijft daarbij onmisbaar. Klik HIER om donateur van Privacy First te worden!
Website psd2meniet.nl is live!
Website is live!
Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.
Duidelijke informatie over risico's
De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?
Informatie in dossiers
Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!
Neem direct een kijkje op de site!
Opvallend logo
Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.
We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!
Inschrijving Nederlandse Privacy Awards 2020 geopend!
Begin 2020 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.
Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:
-
categorie Consumentenoplossingen (van bedrijven voor consumenten)
-
categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)
-
categorie Overheidsdiensten (van de overheid voor burgers)
-
Aanmoedigingsprijs voor een baanbrekende technologie of persoon.
Voorwaarden voor deelname
Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!
De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:
a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie
b) Toepassen van een privacy policy
c) Toepassen van risico analyse(s)
d) Privacy awareness in de organisatie
e) Een inzichtelijk privacybeleid en communicatie hiervan.
Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:
f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;
g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;
h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;
i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.
Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.
Bepalen van de genomineerden
Organisaties kunnen zich t/m 1 oktober 2019 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio november 2019 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.
Voorschriften pitch
● Maximaal 3 minuten
● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)
● De presentatie bevat in ieder geval de volgende onderdelen:
o Organisatienaam
o Privacy project omschrijving
o Doel en behaalde resultaten.
Jury
De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects
(tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
> Alex Commandeur, senior adviseur BMC Advies.
Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Of zou u graag (vrijwillig) jurylid willen worden? Neem dan contact op met Privacy First!
SIDN Fonds steunt initiatief voor PSD2-me-niet-register van Privacy First
PSD2-me-niet-register
Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.
Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.
Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!
Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!
Verslag Nationale Privacy Conferentie 2019
28 januari is de Europese Dag van de Privacy. In dit verband organiseerden ECP en Privacy First op 28 januari 2019 in Nieuwspoort gezamenlijk de Nationale Privacy Conferentie en reikte Privacy First de jaarlijkse Nederlandse Privacy Awards uit. Het was een succesvolle dag waar de belangrijkste spelers op het gebied van privacy in Nederland aanwezig waren. Vertegenwoordigers van de overheid, ondernemers met innovatieve ideeën, juristen, geïnteresseerden en voorvechters, ze waren er allemaal.
De Nationale Privacy Conferentie werd geopend door dagvoorzitter Tom Jessen (presentator RTL-Z en BNR), die vervolgens het woord gaf aan Bas Filippini (voorzitter Privacy First) en Marjolijn Bonthuis (adjunct-directeur ECP|Platform voor de InformatieSamenleving).
Bas Filippini – voorzitter Stichting Privacy First
Bas Filippini vertelt dat Stichting Privacy First nu tien jaar bestaat en dat er in die tien jaar veel veranderd is, zowel in positieve als in negatieve zin. De slogan van Privacy First is ‘eigen keuzes in een vrije omgeving’; dat is waar Privacy First voor staat. Dagelijks spreekt Privacy First met een breed privacyveld op basis van feiten en altijd met een positieve insteek. Daarom wil Privacy First door middel van de Nederlandse Privacy Awards graag een groene kaart geven aan organisaties die de privacy in Nederland versterken. Privacy First voert tevens rechtszaken in het algemeen belang, doet aan politieke lobby en organiseert evenementen, waaronder de Nederlandse Privacy Awards. Naast een nationale ambitie heeft Privacy First ook de ambitie om uit te groeien tot een internationale (Europese) organisatie. Privacy First is afhankelijk van donaties en vrijwilligers en doet graag een oproep aan het publiek om Privacy First in haar missie te steunen.
Marjolijn Bonthuis - adjunct-directeur ECP|Platform voor de InformatieSamenleving
ECP werkt aan de knelpunten die de informatiesamenleving nog heeft. Dat doet ECP graag publiekelijk en met alle relevante partijen. ECP is er trots op dat een brede afspiegeling van de samenleving aanwezig is bij de Nationale Privacy Conferentie en is trots op de unieke samenwerking met Privacy First en de Nederlandse Privacy Awards. De winnaar van de Nederlandse Privacy Awards 2018, IRMA, heeft na de Privacy Awards afgelopen jaar nog diverse andere awards binnengesleept. Dit laat zien dat de Privacy Awards een belangrijke steun zijn voor goede initiatieven.
ECP doet veel, ook op het gebied van privacy. Op privacygebied gebeurt dat op publiek-privaat vlak, samen met andere initiatieven en werkgroepen. Aan de publieke kant wordt er samengewerkt met het Ministerie van Economische Zaken en mede dankzij hen kan deze dag worden georganiseerd.
Aleid Wolfsen – Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens heeft een actuele enquête gehouden die goed weergeeft waar de zorgen in de samenleving zitten als het gaat om de bescherming van privacyrechten. Uit de enquête blijken verrassende dingen: zo heeft 94% van de bevolking enige zorgen of zijn of haar privacyrechten wel worden gerespecteerd, waarvan een derde zelfs veel tot zeer veel zorgen heeft. Dat is één op de drie die serieuze zorgen heeft of de privacyrechten wel goed worden nageleefd. Dit percentage is hoger dan aanvankelijk werd gedacht; mogelijk komt dat door de huidige ontwikkelingen en omdat er veel datalekken in het nieuws zijn geweest. Hierdoor zijn privacyrechten heftig geschonden en zijn mensen teleurgesteld. Het schaden van het vertrouwen doet iets met mensen.
De top drie van zaken waarover mensen de meeste zorgen hebben zijn: ‘kopietje ID’, dit komt mogelijk doordat mensen vaak horen over identiteitsfraude en hoe makkelijk dat gaat. Het tweede waar mensen zich zorgen over maken is het tracken van online zoekgedrag. Hierover ontvangt de Autoriteit Persoonsgegevens veel klachten. Binnenkort komt de Autoriteit Persoonsgegevens met guidance over hoe om te gaan met cookies en tracking cookies. Daarin staat onder andere wat er mag en wat er niet mag. Mensen zijn serieus bezorgd over welke gegevens er allemaal worden verzameld als ze online zijn. Twee vragen die rijzen zijn: welke gegevens worden verzameld en wat gebeurt er met al die gegevens? Hier hebben mensen geen goed zicht op en er wordt geen duidelijke uitleg over gegeven. Het derde waar mensen zich zorgen over maken zijn locatiegegevens. Er is steeds meer berichtgeving over camera’s die overal hangen. En over bijvoorbeeld WiFi-tracking, dat veel wordt toegepast in Nederland. Hierover heeft de Autoriteit Persoonsgegevens onlangs ook een guide uitgegeven. Het tracken van mensen, dat je als vrij burger in een vrij land, vrij in een stad moet kunnen winkelen, vrij moet kunnen reizen, als dat wordt aangetast, daar zijn mensen serieus bezorgd over. Want we willen niet gevolgd worden. Dat is de top drie van de zorgen die mensen hebben.
De Autoriteit Persoonsgegevens geeft ook altijd tips. Eén ervan is: check de instellingen van de apps op je telefoon. Veel van die apps zijn razend nieuwsgierig. We zijn ons onbewust van het feit dat je veel over jezelf blootgeeft aan die apps en veel informatie prijsgeeft als je de instellingen niet aanpast. Wees je bijvoorbeeld bewust van het dataspoor dat je achterlaat op het internet. En daarnaast: maak gebruik van je privacyrechten. Veel mensen zijn zich nog onbewust van het feit dat je aan organisaties kan vragen welke gegevens ze over je hebben, dat je die gegevens kunt laten verwijderen als ze niet meer nodig zijn of ze kunt laten corrigeren. Of je gaat naar een nieuwe provider en je wilt je data meenemen: dit heet dataportabiliteit en dit recht kennen mensen nog nauwelijks.
Als kijktip geeft Aleid Wolfsen aan om de documentaire Democracy te kijken, over de totstandkoming van de Algemene Verordening Gegevensbescherming. Bekijk de trailer HIER (Youtube).
Hoe staat de Autoriteit Persoonsgegevens er, qua werk, nu voor sinds de inwerkingtreding van de AVG op 25 mei tot eind december 2018? Een aantal cijfers: er zijn zo’n 10.000 klachten binnengekomen, oftewel 10.000 potentiële schendingen van de AVG. De AP vond dit opvallend veel; dit hadden zij aanvankelijk lager ingeschat. In 2018 heeft de AP ook heel veel telefoontjes gekregen: het totale aantal lag op zo’n 35.000, dit waren vijf keer meer telefoontjes dan in 2017. Momenteel loopt er een groot aantal onderzoeken. De eerste handhavingsactiviteiten hebben plaatsgevonden en de eerste serieuze boete onder de AVG is opgelegd aan een bedrijf. Het eerste verwerkingsverbod is opgelegd, aan de Belastingdienst in dit geval, wegens de verwerking van het BSN-nummer in het BTW-nummer van zelfstandigen. Ook zijn er voor het eerst dwangsommen opgelegd, aan de Nationale Politie, het UWV en private bedrijven. In de beginfase van de AVG had de AP nog een voorlichtende rol, maar gaandeweg zal de AP steeds strenger worden. Er is ook een toename in het aantal gemelde datalekken en het is schokkend om te zien hoe slecht data soms beveiligd zijn bij zorginstellingen en overheden. De Autoriteit Persoonsgegevens heeft ook veel onderzoek gedaan naar overheden en bedrijven om daar basaal de boel op orde te krijgen, zoals “heeft u een functionaris gegevensbescherming nodig, ja of nee? Heeft u de boekhouding op orde, ja of nee? Heeft u een verwerkingsovereenkomst?” Dat soort basale dingen. Als dit op orde is, dan ondervind je daar veel plezier van.
Als afsluiting: mensen realiseren zich steeds meer over alles wat met privacy en dataprotectie te maken heeft. En eigenlijk zijn het ook geen synoniemen, want dataprotectie is nog groter en veel meer dan het klassieke privacy. Onder privacy valt onder andere lichamelijke integriteit, je vrijheid van geweten, je huisrecht, je communicatievrijheden en dat je je vrij kunt bewegen. Dat zijn allemaal afzonderlijke grondrechten. Dataprotectie is door de digitalisering inmiddels ontwikkeld tot een soort moeder of hoeder van alle andere grondrechten. Zoals over je geloof, je vrijheid van geweten, je lichamelijke integriteit, je politieke activiteiten, al dat soort informatie vertaalt zich in data. Als je de datarechten van mensen schendt, dan raak je de fundamenten van de westerse rechtsorde. Deze hebben te maken met de democratische rechtsstaat, gelijkheid van mensen, solidariteitssystemen zoals verzekeringen en gelijkwaardigheid van mensen. En al die vier fundamenten zijn at stake als je de privacyrechten van mensen schendt. Als je de privacyrechten niet beschermt, dan eroderen die fundamenten. Om het nog iets groter te maken: de vrijheid van de vrije wil, kan dan ook eroderen. Daarom is privacybescherming zo belangrijk en neemt het belang daarvan iedere dag toe.
Aleid Wolfsen beantwoordde ook nog een aantal vragen van de dagvoorzitter, zoals over de 10.000 klachten die zijn binnengekomen in 2018. Dit was meer dan aanvankelijk gedacht en de Autoriteit Persoonsgegevens denkt dat dit ook wel zal aanhouden, doordat er steeds meer data wordt verzameld. Met de komst van PSD2 is het toezichtsveld van de Autoriteit Persoonsgevens uitgebreid naar fintechs, waarmee bankgegevens, na toestemming, kunnen worden gedeeld. Deze bankgegevens zijn zeer persoonlijk; daaraan kan je immers zien waar je bent, waar je aan geeft, wat je hobby’s zijn en wat je politieke voorkeur is.
Er is ook wel kritiek op de AP, aangezien de AP zo’n cruciale rol vervult. De vraag is of ze de werklast wel aankunnen, ook al is de AP inmiddels verdubbeld. Hierop zegt Aleid Wolfsen dat de Autoriteit de komende periode wel moet blijven groeien en misschien zelfs nog wel een keer moet verdubbelen om de toenemende werklast aan te kunnen.
Vragen uit het publiek
Hoe ziet Aleid Wolfsen de schendingen van privacy die plaatsvinden met toestemming van mensen zelf? Die toestemming is een belangrijk onderdeel van de AVG en mensen drukken online al snel op “OK”, niet omdat mensen lui zijn, maar omdat de teksten te uitgebreid zijn om door te nemen. Of dat je op “OK” moet drukken, omdat je anders niet krijgt wat je wilt en dat hierin eigenlijk geen vrije toestemming mogelijk is.
Aleid geeft aan dat hij die zorgen grotendeels deelt. Toestemming is een fundament. Maar wat je ziet is dat er allemaal verleidingstechnieken zijn, zodra je op een site zit, door onder andere de kleur en grootte van een knop om toestemming te geven, anders dan je misschien van plan was. Dit is geen privacy by design; het is geen eerlijke, gelijkwaardige keuze. Wat we moeten doen met zijn allen, is strenger worden. Zorgen dat je dat soort systemen goed gaat bekijken. Is het echt zuivere, eerlijke en integere privacy by design? En ten tweede: mensen proberen te emanciperen in ‘weet waar je ja tegen zegt’. Daar zijn mensen zich helaas nog niet goed van bewust. Door een enkele klik kan jouw data heel makkelijk worden verspreid. De Franse toezichthoudercollega’s hebben bijvoorbeeld een boete opgelegd aan Google van 50 miljoen, omdat het niet goed duidelijk was waarvoor je toestemming verleende. Eén van de dingen die moet veranderen is dat je je toestemming even gemakkelijk moet kunnen intrekken, als dat je hem hebt gegeven.
Een andere vraag uit het publiek ging over de kracht van de boete als signaal. De vraagsteller zou het eigenlijk fijn vinden om eens te zien van de AP dat er een boete zou worden opgelegd over privacy by design. Bedrijven zitten namelijk nog heel erg in compliance modus en willen slechts het minimale doen om aan de wetgeving te voldoen. Terwijl privacy by design gaat over proactief die problemen aanpakken. Dat er bijvoorbeeld een rechtszaak wordt gestart waaruit een boete volgt, omdat er niet het hoogst haalbare werd gedaan.
Aleid Wolfsen reageert hierop dat je dat dan mooi als voorbeeld zou kunnen gebruiken voor de rest van de wereld. Hij verklapt hierbij een geheim: de AP heeft bij allerlei overheidsinstellingen gekeken of er een Functionaris Gegevensbescherming (FG) aanwezig was, daarbij ook zoekende naar eentje die geen FG had. Die zou de AP dan als voorbeeld kunnen gebruiken voor heel Nederland. Maar uiteindelijk bleek (gelukkig) dat iedereen op tijd een FG had.
Bekijk de presentatie van Aleid Wolfsen (pdf).
Sophie in ’t Veld – D66 Europarlementariër en privacyvoorvechtster
We hebben natuurlijk de AVG, of de GDPR zoals we die soms liefkozend noemen. Van de vijftien jaar dat Sophie zich met privacy bezighoudt zijn er vijf jaar opgegaan aan de GDPR. Het was een lang en ingewikkeld proces, met onder andere 4000 amendementen. Vorig jaar waren we natuurlijk heel erg blij dat de GDPR van kracht werd. We waren ook heel trots, van kijk ons Europa nou toch eens even. Wij hebben gewoon de beste privacywet ter wereld! Maar daar mag het natuurlijk niet ophouden. Het begint er natuurlijk al mee, dat de GDPR goed moet worden toegepast en gehandhaafd. En dan valt Sophie in ’t Veld het op, dat de toezichthouders eigenlijk belachelijk weinig middelen hebben gekregen om dat goed te doen. Want het is natuurlijk hartstikke fijn dat de Autoriteit Persoonsgegevens is verdubbeld, naar 150 man. Maar met 150 man tegen Facebook alleen al, begin je natuurlijk bijna niks. Om over alle andere bedrijven maar te zwijgen. En dan hebben we het nog niet eens over de NSA of de Chinese geheime diensten of de Europese geheime diensten.
We hebben het allemaal over de GDPR en iedereen is vergeten dat er eigenlijk een dataprotection package was. Er was nog een tweede poot, maar die is volstrekt uit het beeld verdwenen. We noemen die onderling de Police Directive, maar eigenlijk heeft hij een hele lange naam (red: Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens). Het is een richtlijn die regels stelt voor het gebruik van persoonsgegevens door politie, justitie en soms geheime diensten. En de omzetting daarvan is werkelijk belabberd. Er zijn momenteel ongeveer acht EU-lidstaten die hem hebben omgezet, ruimschoots te laat. En dat betekent dat 20 andere lidstaten dat niet hebben gedaan. Maar dit is wel de richtlijn die ons beschermt als de politie bijvoorbeeld gegevens uitwisselt met andere landen. In de tussentijd worden er door de Europese Commissie en de Europese lidstaten nieuwe maatregelen aangekondigd voor het gebruik van persoonsgegevens door politie en justitie, ook over de grenzen heen. Terwijl de bescherming gewoon dramatisch achterblijft en dat is een van de grootste punten van zorg. Wij zijn ons natuurlijk allemaal heel bewust van privacy, risico’s en gegevensbeschermingsrisico’s. Inmiddels weet iedereen wel, dat als je je gegevens aan Facebook geeft, dat er van alles en nog wat mee gedaan kan worden. We zijn eigenlijk ongelooflijk naïef als het gaat over wat de overheid allemaal met onze gegevens mag doen. En dan voornamelijk de overheden die onder de Police Directive zouden vallen. Wij hebben blijkbaar een blind vertrouwen in de overheid, en dat is op zich eigenlijk goed nieuws. Maar Sophie leeft onder het motto van: “trust is good, control is better”. We zien ook gewoon in de praktijk dat er niet alleen maar fouten worden gemaakt met onze gegevens door politie, justitie en veiligheidsdiensten, maar dat er ook sprake is van misbruik. De groei van behoorlijk autoritaire partijen binnen Europa, partijen die inmiddels ook wel aan de macht zijn en die er niet voor terugschrikken om Europese databestanden te gebruiken voor politieke doeleinden, tegen politieke tegenstanders. Dan moeten we ons wel écht zorgen over gaan maken. We zijn hier te naïef over.
We zijn terecht bezorgd over wat bedrijven met onze persoonsgegevens kunnen doen en of dat goed beschermd is. Maar we zijn ons nog steeds te weinig bewust van het feit dat die bedrijven in overgrote meerderheid, in toenemende mate, niet-Europese bedrijven zijn. Sophie las onlangs een alarmerend rapport van KPMG, waarin is berekend dat van alle grote platformen wereldwijd, er slechts 18% in Europese handen zijn. En als je dat omrekent naar waarde, dan is dat slechts 2%. Wij zijn er zo aan gewend, al voor het internet, dat onze halve economie uit Amerika komt. Dat is even een ander verhaal: driekwart is zo ongeveer in handen van de Amerikanen, dan heb je nog een deel in handen van de Chinezen en een heel minimaal deel in handen van de Europeanen zelf. Wij gebruiken die diensten, dag in dag uit. Dat betekent dan ook, dat zij niet alleen onze gegevens hebben en daarmee ook heel veel geld verdienen. Maar ze vormen ook onze kijk op de wereld. Zij filteren in hoge mate de informatie die tot ons komt. Het wordt nog bitter ironisch als je bedenkt dat onze eigen overheden die bedrijven vragen om de informatie te filteren, uit allemaal zogenaamde veiligheidsoverwegingen. Dit is buitengewoon zorgelijk. We stonden terecht op onze achterste benen na de onthullingen van Facebook en Cambridge Analytica, die de verkiezingen hadden gemanipuleerd. We maken ons grote zorgen over fake news dat wordt gepropageerd door Rusland. Maar het feit dat wij allemaal, elke dag, dit soort diensten gebruiken, zonder erbij stil te staan dat zij ons venster op de wereld zijn, dat is heel zorgelijk.
Binnen Europa hebben we dan de GDPR en Sophie heeft de hoop dat de Police Directive binnenkort ook goed uitgevoerd gaat worden. Maar ze ziet dat er voortdurend spanningen zijn binnen Europa, waarbij het Europees Parlement in meerderheid staat voor hele stevige privacybescherming en vaak ook standpunten inneemt die dan later door het Europees Hof van Justitie bevestigd worden. Maar ze ziet dat de meer conservatieve krachten en ook de regeringen van de Europese lidstaten, onafhankelijk van de politieke kleur, voortdurend maar ontzettende druk zetten tegen goede privacybescherming. Dit uit een aantal overwegingen, maar vooral de nationale veiligheid. Er is trouwens geen definitie van nationale veiligheid, maar het wordt wel te pas en te onpas gebruikt om de privacy te beperken. Er wordt dan geroepen "privacy zit de nationale veiligheid in de weg". En dat is dan genoeg om de meest kritische stemmen te doen verstommen. Er is ook nog een ander aspect, in de trans-Atlantische verhoudingen met name, dat Europa een ongelooflijk onderdanige houding tentoonspreidt. Dat is in het licht van het voorgaande, dat de meeste bedrijven in handen zijn van de Amerikanen, zorgelijk.
In Europa is een wet in voorbereiding genaamd e-evidence. In principe een goed idee, want die wet zegt "we hebben een grote open ruimte in Europa zonder binnengrenzen". Boeven kunnen naadloos over de grens samenwerken. Internationale criminele organisaties gebruiken ook internet, apps, mobieltjes en dergelijke. Dus moeten we daar snel op kunnen reageren: als bijvoorbeeld de politie in Nederland digitaal bewijsmateriaal nodig heeft uit Roemenië, dan moet de Nederlandse politie dat rechtstreeks kunnen opvragen. Dat is op zich een logische gedachte, alleen is het jammer dat de Europese Commissie, altijd onder druk van de Europese lidstaten, een voorstel heeft gedaan dat totaal disproportioneel is. Waar nauwelijks nog safeguards voor burgers ingebouwd zitten. Maar wat nog meer zorgen baart is dat de Europese Commissie dit voorstel eigenlijk op tafel heeft gelegd om daarna te kunnen zeggen: wij hebben dit in Europa en nu gaan we hetzelfde doen met Amerika. Dan hebben we toch echt een probleem. In Europa maken we zelf de wetten en kunnen we stemmen voor onze eigen volksvertegenwoordigers. Maar wij hebben geen enkele invloed op de Verenigde Staten. Punt is dat de Verenigde Staten een wet hebben aangenomen genaamd de US Cloud Act. Daarmee hebben ze zichzelf de macht gegeven om bedrijven die een aanwezigheid hebben in de VS, te dwingen om persoonsgegevens te overhandigen ook als ze niet in de VS zijn opgeslagen. Misschien dat wij dat ook wel handig zouden vinden als we dat zouden kunnen doen. Maar in een democratische rechtsstaat vinden wij het toch wel logisch als daar een rechter tussen zit, om zoiets te toetsen. Sophie ziet een houding bij de Europese Commissie en de lidstaten die verregaand onderdanig is aan de VS, in plaats van aan de rechten van de eigen Europese burgers. Ze vindt dat we daarin een omslag moeten maken.
Dus, jazeker we moeten alert zijn wat bedrijven met onze gegevens doen, maar we moeten ons nog veel meer zorgen maken over wat overheden met onze gegevens kunnen doen. En de vrijwel onbeperkte bevoegdheden die wij de afgelopen jaren hebben geschapen voor politie, justitie en veiligheidsdiensten. Want zeker veiligheidsdiensten, daarop is toch minder controle dan op andere activiteiten. Zelfs al is het in Nederland goed geregeld, dat betekent nog niet dat het in andere landen ook goed geregeld is. Als ze ziet hoe Europese lidstaten de afgelopen jaren de Amerikaanse en de Britse geheime diensten volledig hun gang hebben laten gaan, bijvoorbeeld de hack van Proximus, de Belgische telecomprovider, door de Britse geheime dienst. Dat kan niet onderzocht worden en de waarheid hierover zal nooit volledig boven tafel komen. Maar die diensten breken wel in binnen onze systemen, ook die van Europese instellingen, misschien wel van de NAVO. Dit is overigens ook relevant als je bedenkt wat Brexit allemaal gaat betekenen voor gegevensbescherming.
Als conclusie moet dit volgens Sophie in ’t Veld echt het volgende hoofdstuk zijn. We moeten nu ten eerste die AVG zeer stevig handhaven en uitleg geven aan hoe die moet worden geïnterpreteerd. Als architecten van de AVG hebben ze zeer expliciet bedoeld dat toestemming of instemming gegeven moet worden in een context, waarmee mensen op een hele simpele en toegankelijke manier informatie krijgen. Dat staat er ook expliciet in, dus als bedrijven dat omzeilen door het ingewikkeld te maken, dan is dat gewoon een overtreding en moeten ze daarvoor bestraft worden. Daarnaast moet de Police Directive geïmplementeerd worden. En wat Sophie in ’t Veld betreft, en daar zal ze de komende jaren druk op uitoefenen, komt er een nieuw voorstel waarbij die Police Directive niet meer een richtlijn is, maar meteen een verordening wordt. Want we hebben steviger bescherming nodig. Misschien wordt het ook tijd om te spreken over Eurocommissarissen en Ministers die gegevens, gebruik van gegevens en bescherming van gegevens als portefeuille hebben. Niet als een nevenactiviteit, maar een Minister voor Data en een Eurocommissaris voor Data. Die gewoon horizontaal kijkt hoe het zit met de gegevensbescherming, maar natuurlijk ook gewoon met het positieve gebruik en de ontwikkeling van persoonsgegevens.
Ook moeten we kijken naar andere instrumenten, zoals mededingingsregels, belastingen en het vertalen van de economische waarde van persoonsgegevens in een prijskaartje. Laat gebruikers van persoonsgegevens betalen voor het gebruik van die gegevens. Net zoals ze moeten betalen voor het gebruik van energie. Als het wat kost, dan zult u zien dat het gebruik van gegevens omlaag gaat. Dat geldt zowel voor bedrijven als voor overheden, dus misschien moeten we ook eens kijken naar het belasten van de grote internetgiganten, niet op basis van hun winst maar op basis van hun gebruik van persoonsgegevens.
Uiteindelijk ligt dit ook bij onszelf, we hebben absoluut wetgeving nodig om het individu te beschermen tegen giganten als Facebook of de NSA en de grote jongens, maar uiteindelijk moeten we ook kritische burgers zijn. Natuurlijk is dat een ontwikkelingsproces. Net zoals dat je vanzelfsprekend je deur op slot doet, en dat je bij jezelf nadenkt over hoe je je door deze wereld beweegt.
Dagvoorzitter Tom Jessen geeft een andere invalshoek. Wanneer je op internet zoekt hoe tech-bedrijven gemaakt zijn, dan kom je ook het woord dopamine tegen. Iedere keer als er een berichtje in je sociale media verschijnt, wanneer je een melding hebt, dan komt er dopamine vrij. Dit heeft een verslavend effect. Nu zijn er campagnes vanuit de overheid over drank, drugs en roken en hij vraagt aan Sophie in ’t Veld of het niet tijd is voor een campagne vanuit de overheid die waarschuwt voor het verslavende effect van sociale media.
Sophie in ’t Veld reageert hierop: stel, er zijn mensen die niet op Facebook en Instagram zitten, maar dat is niet voldoende. Zelfs al heb je geen mobiele telefoon, zelfs dan word je overal waar je rondloopt gefilmd, is er facial recognition, je ontkomt er niet aan. Daarom is het belangrijk dat we goed reguleren en dat we alle instrumenten gebruiken om ons zo goed mogelijk te beschermen. Ze is het met Aleid Wolfsen eens: het gaat niet om privacy, misschien moeten we daar ook eens een andere term voor verzinnen. Want privacy klinkt toch een beetje als witte wijn en grachtengordel. En dat is natuurlijk niet zo, het heeft zo langzamerhand alles te maken met onze vrijheid, met de kwaliteit van onze democratie, onze burgerrechten, onze verhouding met de overheid en met gelijke behandeling. Dus een campagne vanuit de overheid om te waarschuwen voor het verslavende effect van sociale media is een aardig idee, maar bij lange na niet genoeg.
Vragen uit het publiek
Vraag uit de zaal: als we het hebben over een andere term voor privacy dan kan er worden gewezen op het boek Surveillance Capitalism van Shoshana Zuboff, daarin gaat het over een sanctuary. Een thuis waarin mensen zichzelf kunnen zijn, zonder zich bespied te voelen et cetera. Deze vraag heeft hier ook mee te maken: veel instanties zoals de Autoriteit Persoonsgegevens zeggen dat digitalisering een feit is. Maar, gezien de huidige stand van de techniek, maar ook van de politiek, hoe denk je over de bescherming van de analoge omgeving? De vrije leefomgeving van mensen waarin ze zich beschermd willen voelen op het gebied van hun persoonsgegevens en de mate waarin ze bespied kunnen worden?
Sophie in ’t Veld reageert dat er natuurlijk nog zoiets is als een analoge wereld, maar we hadden al regels. Er zijn weleens mensen die denken dat er voor de GDPR helemaal niks was en dat de GDPR een soort van oerknal is, maar dat is helemaal niet waar. We hebben al 25 jaar privacywetgeving en diezelfde principes blijven gewoon van toepassing. Punt is dat het niet alleen gaat om de bescherming van privacy, het gaat er ook om wat er bijvoorbeeld met Big Data kan gebeuren. De vraagstelling is dus veel breder dan dat, want laten we er ook bij stilstaan dat het ongelooflijk veel goeds brengt. Maar we moeten wel het individu, de mens, blijven beschermen. Misschien moeten we het niet hebben over bescherming van persoonsgegevens, maar over bescherming van personen.
Tweede vraag uit het publiek: Neelie Kroes heeft in 2013 naar aanleiding van de Snowden-onthullingen gezegd, toen ze Eurocommissaris was, dat Europa behoefte heeft aan een huge privacy focused company. Voor zover de vraagsteller weet is deze er in de afgelopen zes jaar niet gekomen. En als Europa iets uitvindt, dan wordt dat overgenomen door Amerikanen. De realiteit is dat wij consument zijn van Amerikaanse en Chinese producten. Wat is volgens Sophie in ’t Veld echt nodig in Europa om de concurrentie met de Amerikanen en Chinezen aan te gaan?
Sophie reageert dat er in Europa ongelooflijk veel leuke nieuwe bedrijven en start-ups zijn, maar dat wanneer ze een beetje gaan groeien, ze vaak worden weggekocht. En als je aan die bedrijven vraagt: waarom dan? Dan zeggen ze dat ze in Europa niet meer kunnen groeien, omdat er geen echte Europese markt is. Er zijn gewoon 28 nationale markten en het punt is dat die nationale markten barrières zijn. Want die hebben nationale wetgeving en nationale belastingen. Die fiscale grenzen zijn een drama, die voorkomen dat we onze eigen Europese internetgiganten krijgen. En het punt is dat de nationale lidstaten zich beroepen op hun nationale soevereiniteit. Maar het is een fictieve nationale soevereiniteit, want we geven de macht gewoon weg. In de digitale wereld is praten over nationale soevereiniteit kletskoek. We moeten veel meer concurrentie hebben. We moeten zorgen dat onze Europese kampioenen hier blijven, dat ze niet worden weggekocht en de ruimte krijgen om te groeien en dat moet ook snel gaan gebeuren, want onze afhankelijkheid van Amerikaanse bedrijven en in toenemende mate van Chinese bedrijven is echt heel erg zorgwekkend.
Laatste vraag uit het publiek gaat over de geldelijke waarde van persoonsgegevens. Sophie in ’t Veld stelde voor als maatregel het betalen voor het gebruik van data en dan is de vraagsteller benieuwd aan wie die betaling gaat plaatsvinden en wat Sophie zich daarbij voorstelt. Want als de gebruiker betaald wordt voor het delen van zijn data, kan dat een extra druk geven om die data te delen.
Sophie in ’t Veld reageert dat ze niet een groot plan hiervoor in een la heeft liggen. Maar de vraag is: waarom worden al die data door bedrijven opgeslagen? Omdat ze er geld mee verdienen. Dat is dus een prikkel en iets waarmee je ze kan pakken. Je zou dus kunnen beginnen met te zeggen, we gaan bedrijven belasten voor het gebruik van persoonsgegevens. Dus dan zullen ze gedwongen worden om veel meer na te denken of ze al die data nodig hebben. Verdienen ze er wel echt zoveel geld mee? Want dat hele verhaal dat ze dat allemaal nodig hebben vanwege de adverteerders, daar wil ze toch wel haar vraagtekens bij zetten. En of dat verdienmodel wel klopt, of ze allemaal ten gronde zullen gaan als ze dat verdienmodel niet meer kunnen hanteren.
Er zitten grote ethische aspecten aan, als je bijvoorbeeld zou voorstellen dat mensen de keuze zouden krijgen tussen betalen met hun gegevens of betalen met cash. Mensen die minder vermogend zijn, die zullen dan toch geneigd zijn om te betalen met hun gegevens. Dat vindt ze een ethische kwestie. Maar er zijn ook andere invalshoeken. Zo is er een app ontwikkeld waarmee je kan zien wat jouw waarde op dat moment voor een bedrijf is, en wat jouw handelingen voor invloed hebben op die waarde. Dat maakt mensen al veel bewuster. Er zullen ongetwijfeld nog veel meer goede ideeën komen in die richting.
Maar hoe dan ook, als bedrijven geld verdienen met gegevens, dat die economische waarde dan ook gebruikt moet worden, dat geldt ook voor de overheid. Want hoe makkelijk is het om voor een nationale wetgever te besluiten “wij moeten alles weten van iedereen, want dat is goed voor de veiligheid.” Dat is heel makkelijk te besluiten als je dat niet in begrotingshandelingen hoeft te verdedigen. Want als het niks kost, omdat al die gegevens toch al voor het grijpen liggen bij al die bedrijven, dan is het makkelijk. Maar als ze er echt voor moeten gaan betalen en als ze moeten zeggen “we gaan minder geld uitgeven aan zorg, want we moeten meer uitgeven aan het opvragen van gegevens”, dan wordt het een ander verhaal en een politieke afweging. De economische waarde van persoonsgegevens meewegen zal dan zeker leiden tot ander gedrag.
Tijmen Schep – Privacy Label
Tijmen Schep start met een vraag aan het publiek: wat is langer, het toneelstuk van Shakespeare Much Ado About Nothing of de iTunes Terms of Service? Het toneelstuk is met 1000 woorden iets langer, maar het scheelt niet veel. Niemand gaat dat dus lezen en iedereen klikt gewoon op I agree. Maar kunnen we dat dan niet beter ontwerpen? Zodat we begrijpen welke data er wordt verzameld en wat daarmee gebeurt. En dat we niet zo’n lap tekst hoeven te lezen die, laten we eerlijk zijn, is gemaakt voor lawyers. Gewoon leesbaar en begrijpelijk. De EU begrijpt al dat dit een issue is. In de AVG staat al dat er in de toekomst iconen kunnen komen, want die maken het allemaal makkelijker. Maar die iconen van de AVG, dat waren nou niet de meest sexy iconen. Dus kreeg Tijmen de vraag van ECP: kunnen jullie hier niet iets mee en kunnen jullie niet iets beters ontwerpen?
Het eerste wat we beseften is dat we niet een icoontje moesten maken, dat is te simpel en niet genoeg. We moeten een soort template maken, waarbij we als eerste werden geïnspireerd door de Amerikanen, die hebben bijvoorbeeld een systeem waarbij banken tegenwoordig bepaalde vragen moeten beantwoorden op hun website. Gewoon menselijke, begrijpelijke Jip-en-Janneke vragen. Zoals: wat doe je nou precies en hoe? En dat mogen ze in hun eigen huisstijl doen, zolang ze die vragen maar beantwoorden. Een ander ding wat we interessant vonden was bijvoorbeeld de verpakking van een pak hagelslag. Naast alle informatie die erop staat en keurmerken heb je ook de ingrediëntenlijst en die is eigenlijk heel interessant, want die vertelt je een boel en is tegelijkertijd een beetje vaag. Zo weet je dat er het meeste van het eerste ingrediënt in zit, maar je weet niet precies hoeveel.
Tijmen geeft vervolgens een demo van het Privacy Label. De demoversie is HIER te bekijken.
Pitches Privacy Awards
Na deze drie inspirerende presentaties werd het publiek getrakteerd op 7 pitches van organisaties die genomineerd waren voor een Nederlandse Privacy Award. Hieronder staan alle genomineerden voor de Nederlandse Privacy Awards 2019. Klik op een genomineerde voor de betreffende pitch:
Consumentenoplossingen: |
Bedrijfsoplossingen: |
Overheidsdiensten: |
Brenno de Winter – ICT-onderzoeker
We gaan met elkaar de jungle in. Waarom de jungle? Omdat dieren dingen doorhebben die wij niet doorhebben. Sommige mensen die Brenno de Winter kennen, weten dat hij Aleid Wolfsen (Autoriteit Persoonsgegevens) altijd een soort giraffe vindt. Want wat doet een toezichthouder? Zo’n giraffe eet in Kenia de bomen leeg en draait zich om en gaat naar Tanzania en na exact een half jaar komt hij bij precies dezelfde bomen terug. Vraag maar aan de Belastingdienst, vraag maar aan het UWV, vraag maar aan Google, Facebook et cetera. Dat is wat een toezichthouder doet en ook al ziet hij er oh zo lief uit, maar ondertussen... Maar even verder die jungle in, je ziet hier een paar zebra’s relaxt water drinken. Simpele vraag: is er geen gevaar? Er is een leeuw en toch staan ze relaxt te drinken. Dit komt omdat er andere dieren op de uitkijk staan. En zodra er één klaar is met drinken, wisselt hij een beveiliger af en zo gaan ze verder. Dat doen eigenlijk alle dieren in de jungle, behalve één soort, namelijk de homo sapiens. Wij doen dat niet, wij gaan niet elkaar waarschuwen als er gevaar is, wij gaan niet elkaar vertellen hoe je iets moet doen om gevaar af te wentelen. En dus overvalt, een beetje zoals een narwal, die hele jungle ons met regelgeving die zo eng is.
En waarom de narwal? De narwal is een dier dat heel goed is in verstijven. De hartslag en de stofwisseling gaan omlaag. Dit dier zit bij gevaar dodelijk stil en gaat langzaamaan zo de diepte in. Maar ja, als je gevaar ziet, dan wil je misschien ook wel vluchten of vechten. Dat kan dat dier niet, want hij kan geen piekinspanning meer leveren. Volledig verstijfd gaat hij vervolgens zijn dood tegemoet.
Brenno laat zijn kat Hiero zien. Hiero ziet iets en verstijft en even later verstijft Hiero een tweede keer en is het duidelijk wat hij gaat doen: díe mug gaat het niet overleven. Ook zo kun je verstijven. Maar in de ICT doen we dat niet. De waanzin voor de invoering van de AVG was bijvoorbeeld, in een Italiaanse slagerij: "Pas op, in onze slagerij zouden wij uw naam kunnen vragen en uw vleesvoorkeur kunnen herinneren. Indien u hiermee niet akkoord gaat, gelieve heel hard IK GA NIET AKKOORD te roepen en vanaf vandaag doen we alsof we u niet kennen."
Dit was de waanzin vlak voor het ingaan van de AVG en hoe er met dit soort problematiek werd omgegaan. We vonden het doodeng. Zelfs de website Music for Cats is tot groot verdriet van Hiero niet te bereiken en hij zal dan ook die muziek moeten missen, dat dan weer tot vreugde van Brenno.
En nog steeds gaat het door. Vorige week was er bijvoorbeeld dit artikel: de AVG is schadelijk en beperkend, een litanie over hoeveel gedoe het allemaal is om bijvoorbeeld te weten welke data je allemaal hebt. Je krijgt continu te horen: het is allemaal te complex en te lastig. Brenno heeft lang nagedacht waarom dat zo is. Dat komt onder andere doordat we alles hele enge woorden geven, zoals het woordje cyber erbij. Cyberveilig, cyberplatform et cetera. Ironisch zegt Brenno: begin met het voor jezelf simpeler te maken, zoals de woordjes eerst in het klein te schrijven, dan wordt het weer leesbaar. En laten we daarna nog een stapje doen en het woordje cyber gaan schrappen. Oftewel we hebben het dan weer over woorden en grootheden die eenvoudig zijn en al die zeepsop eromheen een beetje vergeten.
Brenno heeft een aantal prominente datalekken in Nederland naast elkaar gezet. Ze hebben één ding allemaal met elkaar gemeen en dat is: niet updaten. Het simpelweg niet doen. In november 2018 stond het aantal datalekken dat sinds de invoering van de AVG is gemeld nog op 18.000. Het gaat dus structureel verkeerd, we maken dezelfde fouten opnieuw en opnieuw.
Hij wordt moedeloos als hij hoort: "het mag niet van de AVG". Lees de AVG voor de grap eens. In de AVG staat 70 keer het woordje ‘risico’ (en niet één keer het woord ‘privacy’). Het woordje ‘risico’ is best wel ingewikkeld, maar Brenno is daarin de laatste tijd een stuk pragmatischer geworden en denkt niet meer in risico’s, maar in hoe dingen fout kunnen gaan. Dat blijkt namelijk al ver voordat de ICT een beetje goed en wel op gang was al de methodiek te zijn. Waarbij je je afvraagt: hoe kan het fout gaan en hoe erg is dat? Dat kun je genormeerd een waarde geven. Hoe vaak komt het voor en hoe detecteerbaar is het als het misgaat? Hij vertelt een anekdote over dat hij laatst bij een klant was die zei dat ze datalekken heel goed detecteerden: “Wij hebben Twitter openstaan en dan zien we het vanzelf langskomen als wij een datalek hebben.”
Hij geeft een voorbeeld van een datalek bij een zorgadministratiekantoor in Singapore. Op 23 augustus 2017 raakt het systeem geïnfecteerd. En reeds op 11 juni kregen de systeembeheerders alarm dat er mensen probeerden in te loggen in het zorgsysteem, waar dat niet zou moeten. Die alarmen herhaalden zich de dagen daarna. En op een gegeven moment bleef het alarm rinkelen en elke keer was het heel veel gedoe om dat uit te schakelen. Met op een gegeven moment de melding dat er mensen medische records aan het benaderen waren. Pas op 9 juli werd het management geïnformeerd. Dit is dus precies wat Brenno eerder bedoelde met het narwalgedrag. We raken zo overweldigd en vinden het zo raar dat iemand probeert ten onrechte in te loggen. Dan gaan we een beetje om ons heen lopen kijken in plaats van iets te doen. Het bizarre is dat dit een hele grote casus blijkt te zijn, waarbij ook van ministers van Singapore medische gegevens zijn gestolen. Hierover is een dik rapport geschreven, waarbij de conclusie is dat een beetje basale hygiëne de aanval zou hebben gestopt. Zullen we afspreken met elkaar om de basale hygiëne te doen, om de simpele dingen te doen? Niets hoogdravends, niets ingewikkelds, want dit is elke keer de bron van ellende.
De digitale hygiëne, de simpele dingen maken het verschil. En dan is dus het AVG-verhaal een niet ingewikkeld AVG-verhaal. Dan weet je wat je in huis hebt en dan weet je welke risico’s je eventueel loopt. En vervolgens eet de toezichthouder uit je hand, want je hebt alles gedocumenteerd.
Vragen uit het publiek
Vanuit het publiek komt de opmerking dat het soms moeilijk is om duidelijk te maken wat nou precies de schade is van een datalek, voor bijvoorbeeld een bedrijf bij dit soort risico’s.
Brenno de Winter reageert dat het niet makkelijk is om dit in geld uit te drukken. Als het medisch dossier van de premier van Singapore op straat ligt: pijnlijker dan dat wordt het niet. Als je een centraal medisch systeem hebt, waarbij je bij alle data kunt komen. En dit is niet de eerste keer, daarvoor hebben we ook al met het Wannacry virus zoiets gezien in het Verenigd Koninkrijk waar ze ook alle systemen al gecentraliseerd hadden. Eigenlijk betekent dat, dat je dan afscheid hebt genomen van het medisch beroepsgeheim. Als een organisatie niet wil inzien dat de data die zij hebben enige waarde heeft, dan kunnen we elk project of Big Data project gelijk gaan stoppen. En als dat niet wordt geapprecieerd, dan is de enige stok achter de deur nog wettelijke handhaving.
Jeroen Terstegge – Privacy Management Partners
Aan Jeroen Terstegge is gevraagd om een overzicht te geven van reacties uit het bedrijfsleven. Hij heeft gekeken in zijn eigen klantenkring en sociale media, en geprobeerd om mensen te categoriseren. En die narwal van Brenno de Winter zit er niet tussen, maar dat is eigenlijk categorie nummer elf.
1. Hel-en-verdoemenis prediker
Met stip op nummer 1 staat de ‘hel-en-verdoemenis prediker’. U kent ze wel, ze beginnen elke training, elk verkooppraatje, elke cursus en elke presentatie en nu dus ook met ‘er komen hoge boetes aan’. Twintig miljoen of 4% van je wereldwijde jaaromzet. Het voelt als veel, en veel klanten die om hulp vragen bij de AVG beginnen dus ook met ‘want er komen hoge boetes aan en hoe hoog zijn ze dan voor mij?’ En Jeroen zegt daarop dat voor het zinnetje over de boetes een ander zinnetje staat waarin wordt aangegeven dat de boetes proportioneel moeten zijn. En proportioneel betekent onder andere dat je er niet aan failliet gaat. Die boetes zijn niet bedoeld voor de gemiddelde MKB’er of de gemiddelde voetbalvereniging. Maar toch blijft het een goed verkooppraatje voor de zelfbenoemde AVG-experts, want daar zijn er heel veel van tegenwoordig. Aan de AVG hangt ook de persoonlijke aansprakelijkheid voor bestuurders, waar veelvuldig voor wordt gewaarschuwd. Die AVG-experts hebben waarschijnlijk Jeroen Terstegge horen spreken op het congres van het Nationaal Cyber Security Centrum over datalekken. Waarin hij het uit 1954 stammende ‘IJzerdraadarrest’ van de Hoge Raad heeft genoemd, waaruit volgt dat het mogelijk is dat een boete persoonlijk wordt opgelegd wanneer de leidinggevende persoonlijk heeft leidinggegeven aan de overtreding. Dat is vaststaand recht en dat volgt niet uit de AVG. Maar het is een goed verkooppraatje, waarvoor veel mensen gevoelig lijken te zijn.
2. De flauwekul verspreiders
Op nummer 2 staan de flauwekul verspreiders. Hij heeft afgelopen 2 jaar het woord ‘flauwekul’ het meest gebruikt op sociale media. Allerlei Twitter-berichten, LinkedIn-berichten die hij leest en waarbij hij zich niet kan inhouden om te zeggen dat wat daarin staat flauwekul is. Zoals dat het gros van de regels in de AVG helemaal niet nieuw is: de eerste dataprotectiewet in Nederland is van 1988, namelijk de Wet Persoonsregistraties en daar stond al bijna hetzelfde in als in de AVG. Dus elke keer als er wordt gezegd dat er een nieuwe wet is en dat je vanaf nu inzage kan vragen, is het flauwekul. Dat inzagerecht is al 30 jaar oud.
Vanmorgen zette Jeroen het NOS-journaal aan. Van de nieuwslezer van het journaal was bijna iedere zin die zij vanmorgen heeft uitgesproken juridisch onjuist. Inclusief de soundbite die ze hadden gemaakt van Aleid Wolfsen. Hij zal vast een heel goed verhaal hebben gehad daaromheen, maar de soundbite die de redactie van de NOS eruit pikte en liet zien is juridisch onjuist. Zijn broek zakt er van af hoeveel onzin er wordt verspreid over de AVG. Je hoeft helemaal niet overal toestemming voor te vragen, dat staat helemaal niet in de AVG. Sommige dingen zijn wettelijk verplicht, moeten ter uitvoering van een overeenkomst of voor een publieke taak. Zoals Brenno de Winter al zei: de mensen die zeggen “het mag niet van de AVG”, dat zijn de zogenoemde nee-zeggers. En naarmate ze vaker nee zeggen en tegen steeds belangrijkere dingen nee zeggen, gaan andere mensen in de organisatie met een grotere boog om hen heen lopen. Dus je moet ervoor zorgen dat je ‘ja, mits…’ zegt. En dan vervolgens het gesprek aangaat over hoe we dat vervolgens gaan doen.
3. De ontkenners
De volgenden in het rijtje zijn de directeuren. De gemiddelde directeur die we hebben bij de start van zo’n AVG-workshop bij een AVG-traject. Dan wil Jeroen dat de directeur aan tafel zit en binnen vijf minuten krijgt hij de volgende zin te horen: ‘ik ben de hele dag bezig met risico’s te managen, hoezo is die AVG iets anders’. En dan zijn we vier uur verder en dan is het kwartje hopelijk wel gevallen dat je daar iets mee moet.
4. De oogklepdragers
Op de vierde plek staan, met alle respect voor IT’ers, de oogklepdragers. Laten we ophouden met alles een datalek te noemen. Het niet hebben van een verwerkersovereenkomst met de verwerker is geen datalek. Het nadeel van de invoering van het meldpunt datalekken in 2016 is dat de opvatting is ontstaan dat zolang je maar geen datalekken hebt, dat het dan goed is. Wat vervolgens betekende: zolang je maar geen datalek hebt van gegevens die je illegaal verwerkt of die je überhaupt al lang het moeten weggooien. ‘Dat is allemaal niet erg, want we hebben geen datalek’. Dat gedrag zijn we veel tegengekomen in de IT-hoek.
5. De windowdressers
De ‘windowdressers’. Dat hebben wij met zijn allen 30 jaar lang gedaan, sinds de Wet Persoonsregistraties. Zo hebben we al netjes 30 jaar een privacy statement. Het doorsnee MKB-bedrijf, stichting of vereniging die vraagt om geholpen te worden met de aanpassing van de privacyverklaring en de verwerkersovereenkomsten. Op de opmerking dat ze nog meer verplichtingen hebben vanuit de AVG, zeggen ze dat dat later wel komt.
6. De visielozen
Heel veel grote organisaties die vragen ‘kun je ons helpen met compliant te worden onder de AVG’. Zodra je daar dan zit, verwachten ze dat je daar je trucje komt doen in zo’n vier maanden en dan weer doorgaat. Op die basis werd Jeroen in 2001 ingehuurd door Philips, om binnen een jaar compliant te worden met de toen net in werking getreden Wet bescherming persoonsgegevens. Hij heeft er 10 jaar gezeten en was toen waarschijnlijk nog niet klaar met het implementeren van de Wbp bij Philips. Je bent namelijk nooit klaar. Het eist dat je als organisatie een visie hebt waar je naartoe gaat. Het eerste wat hij dus deed bij Philips was te kijken naar de visie: ‘hoe willen wij met gegevens omgaan?’ En als je dat aan een gemiddelde directeur vroeg, dan kreeg je 100 verschillende antwoorden, want elke directeur wilde iets anders met zijn eigen departement binnen Philips. Dus je moet intelligent meebewegen met zo’n organisatie, maar je moet ze wel bij de les houden. Waar wil jij naartoe en hoe wil jij daar komen?
7. De bewust-onbekwamen
Jeroen geeft veel privacy-trainingen en dan vooral de CIPP/E training. En dit is waarschijnlijk wel de nummer 1 vraag: ‘wat is het verschil tussen een verwerker en een verwerkersverantwoordelijke?’ en ‘wanneer moet ik nou een verwerkersovereenkomst met een dienstverlener afsluiten?’ En wanneer hij dat heeft uitgelegd dan gaat er altijd een soort van zucht door de zaal met ‘goh, dan hebben we veel te veel verwerkersovereenkomsten afgesloten’. Er is een enorme kennisachterstand als het gaat om kennis over de AVG. En dan gaan we elkaar met zijn allen in de weg zitten.
8. De activisten
De mensen die zeggen ‘het moet allemaal anders’, en dat is prima, en de activisten hebben ook hun rol. Maar je moet dan niet opeens allemaal dingen in de AVG gaan lezen die er niet in staan. Persoonsgegevens zijn niet uw eigendom, het staat ook nergens in de AVG dat dat zo is. En u hebt helemaal niet altijd het recht om vergeten te worden. Sterker nog: als een organisatie 100% compliant is met de AVG dan kan een verzoek om verwijderd te worden, altijd worden afgewezen. We zitten alleen nog op 30 jaar achterstallig huiswerk en dus op bergen data die er allang niet meer horen te zijn. Dus dan gaan we ook veel geslaagde verwijderingsverzoeken zien.
9. De geloofwaardigen
Iedereen die dit vak al een tijdje doet is gegaan van privacy compliance naar data ethics. Je kan dit vak niet doen als je het niet vanuit een morele overtuiging doet. Als je het alleen vanuit compliance doet, dan gaat het hopeloos mis.
10. De evangelisten
Dat zijn de mensen die schreeuwen van de daken hoe het nou eigenlijk moet. De beste evangelist die hij kent op dit gebied is Michelle Dennedy die Chief Privacy Officer is van Cisco. Die weet als geen ander uit te leggen waar dit vak nou eigenlijk over gaat. “Data Privacy is telling a story about a person with integrity and respect.” Het is niet dat je de gegevens niet verwerkt. Als je persoonsgegevens mag hebben, dan moet je ze alleen fatsoenlijk verwerken. Dat staat ook gewoon in de eerste zin van artikel 5 van de AVG. Het allerbelangrijkste artikel van de AVG is artikel 5, niet artikel 6 waar juristen altijd naar gluren. Je kan geen toestemming vragen voor iets wat unfair is. Je kan geen toestemming vragen voor iets wat disproportioneel is. Je kan geen toestemming vragen voor iets dat onrechtmatig is. Artikel 5 is het belangrijkste en dat gaat precies over wat Michelle zegt. “Telling a story about a person with integrity and respect”. Jeroen hoopt dat u dat ook gaat doen, want als u alleen compliance doet dan bent u over tien jaar nog niet klaar met het implementeren van de AVG.
Bekijk de hele presentatie van Jeroen Terstegge (pdf).
Nederlandse Privacy Awards
De middag werd vervolgens afgesloten met de uitreiking van de Nederlandse Privacy Awards. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn... Startpage.com en Privacy Company i.s.m. SURF ! Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.
Winnaar: Startpage.com
Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever ‘by default’ afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.
Winnaar: Privacy Designer (Privacy Company en SURF)
Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.
De jury van de Awards was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.
Winnaar: PublicSpaces
Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden.
PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!
Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.
De jury van de Nederlandse Privacy Awards 2019 bestond uit onafhankelijke privacy-experts uit diverse sectoren:
- Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
- Matthijs Koot, senior security specialist, Secura BV
- Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
- Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.
Na afloop van het congres kreeg iedere aanwezige een exemplaar van het nieuwe Blauwe Boekje van Jaap-Henk Hoepman over privacy by design mee. Klik HIER voor de digitale versie.
Deze editie van de Nationale Privacy Conferentie & Awards was een groot succes. Dit vraagt om een vervolg en de plannen voor 2020 zijn in de maak!
Privacy First lanceert PSD2 Privacy Panel
PSD2 in Nederland van kracht
Sinds deze week is PSD2 in Nederland van kracht: de nieuwe Europese bankenwet die onder meer mogelijk maakt dat bankgegevens ook door andere partijen verwerkt mogen worden. Dit brengt grote privacy-risico's met zich mee. Op 7 januari jl. was Privacy First daarom tafelgast bij het televisieprogramma Radar en zagen bijna 1,3 miljoen kijkers dat Privacy First een serieuze speler is in het debat over PSD2 en privacy. Hoeveel informatie zit verstopt in tien jaar rekeninginformatie denkt u? Inkomsten, uitgaven, lidmaatschappen, donaties, locaties? En welk profiel maakt een kredietbeoordelaar als die kijkt naar roodstand, relaties en onlineaankopen? Bij hoeveel partijen komen al die gegevens straks te liggen?
Uitdrukkelijke toestemming vraagt té veel van consument
De dataoverdracht van bank naar een andere financiële dienstverlener (fintech) mag alleen gebeuren met uw uitdrukkelijke toestemming en binnen de kaders van de wet, maar het is niet voor niets dat Privacy First aan dit dossier werkt!
Samen met de Volksbank, Betaalvereniging Nederland en andere partijen zetten we ons al een tijd in voor betere informatie en transparantie. De stem van bedrijven wordt gehoord, die van consumenten en kritische privacydenkers nauwelijks. Uit onderzoek van De Nederlandse Bank (DNB) blijkt dat 94 procent van de consumenten nog niet van PSD2 heeft gehoord en over het algemeen terughoudend is om een derde partij toegang tot zijn of haar rekening te geven. En dat terwijl de eerste licentieaanvragen van rekeninginformatie-dienstaanbieders al bij DNB liggen...
Neem deel aan ons PSD2 Privacy Panel
Privacy First zet zich in voor eigen keuzes in een vrije omgeving. Daarom nodigen we u uit om deel te nemen aan ons nieuwe PSD2 Privacy Panel. We willen panelleden de komende tijd informeren en vragen om mee te denken over privacy-risico's. Doet u mee? Als u zich inschrijft kunt u een waardevolle bijdrage leveren aan diverse onderwerpen op het gebied van PSD2 en privacy. Bovendien: uw medewerking versterkt de boodschap van Privacy First!
U kunt zich via deze link opgeven voor het PSD2 Privacy Panel. U ontvangt een welkomstmail en hierna enkele informatieve mails over PSD2 en privacy-risico's. Vervolgens vragen we uw mening in een aantal enquêtes. Later dit jaar organiseren we een bijeenkomst over dit uiterst relevante thema.
We willen uw mening, niet uw privacy.
We hechten veel waarde aan uw privacy. Daarom hebben we een aantal maatregelen getroffen zodat u zo anoniem mogelijk kunt deelnemen. Bij voorkeur schrijft u zich in met een e-mailadres zonder herleidbare naam, organisatie of bedrijf erin. De mailings worden uitgevoerd met LaPosta, een Nederlands bedrijf dat al jaren serieus werk maakt van privacy en informatiebeveiliging. We hebben de omgeving zo ingesteld dat we uw gedrag niet kunnen volgen. En natuurlijk kunt u zich ieder moment uitschrijven.
Doet u mee?
Privacy First zet zich in voor de bescherming van privacy. Rondom PSD2 kunnen nog belangrijke verbeteringen gemaakt worden. U kunt op een eenvoudige manier bijdragen. Bovendien wordt u geïnformeerd over deze belangrijke wet, waarmee betalingsverkeer ingrijpend kan veranderen. Word daarom lid van het PSD2 Privacy Panel.
Alvast bedankt!
Nederlandse Privacy Awards 2019 uitgereikt!
Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn Startpage.com en Privacy Company i.s.m. SURF. Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.
Winnaar: Startpage.com
Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever 'by default' afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.
Winnaar: Privacy Designer (Privacy Company en SURF)
Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.
De jury was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.
Winnaar: PublicSpaces
Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden.
PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!
Nominaties
Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:
1. categorie Consumentenoplossingen (van bedrijven voor consumenten)
2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)
3. categorie Overheidsdiensten (van de overheid voor burgers)
4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.
Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:
Consumentenoplossingen: | Bedrijfsoplossingen: | Overheidsdiensten: |
Private Search 2.0 (Startpage.com) | Privacy op Schooltas | Passantentellingen (gemeente Nijmegen) |
VraagApp | Privacy Designer (Privacy Company en SURF) | Project privacy by design (Belastingdienst) |
Schluss |
Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.
Nationale Privacy Conferentie
De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en Privacy First is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.
Sprekers tijdens de Nationale Privacy Conferentie 2019 waren achtereenvolgens:
Aleid Wolfsen (voorzitter Autoriteit Persoonsgegevens)
Sophie in 't Veld (Europarlementariër)
Tijmen Schep (PrivacyLabel)
Brenno de Winter (ICT-onderzoeker)
Jeroen Terstegge (Privacy Management Partners).
Jury Nederlandse Privacy Awards
De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
- Matthijs Koot, senior security specialist, Secura BV
- Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
- Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.
Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!