Toon items op tag: Wetgeving

"Boordcomputers gemakkelijk te kraken. Tweede Kamer bespreekt wetsvoorstel.

Auto's dreigen speelbal te worden van cybercriminelen en de politie. Dat komt omdat de computersystemen aan boord kinderlijk eenvoudig te kraken zijn. De ANWB en verschillende privacyorganisaties maken zich daar grote zorgen over.

De auto- en privacyorganisaties vrezen dat agenten auto's op de snelweg van afstand kunnen stopzetten, met alle gevaren voor de overige weggebruikers van dien.

Vandaag wordt in de Tweede Kamer gesproken over het wetsvoorstel Computercriminaliteit, waarin is opgenomen dat de politie de mogelijkheid krijgt om vrijwel alle computers die op internet aangesloten zijn, te kunnen hacken. De ANWB vreest dat de politie door het hacken van boordcomputers auto's op afstand staande kan houden.

„Dat kan bijvoorbeeld als alternatief voor het creëren van een filefuik gebeuren", zegt directeur Frits van Bruggen van de ANWB. „De ANWB vindt dit zowel vanuit het oogpunt van verkeersveiligheid als privacybescherming zeer zorgelijk. Daarnaast werkt brede toegankelijkheid van genoemde systemen voertuigcriminaliteit in de hand."

Het ministerie van Veiligheid en Justitie erkent dat navigatiesystemen en boordcomputers gehackt kunnen worden. (...) Hoewel het hacken van auto's voor velen als sciencefiction klinkt, is het dichterbij dan ooit, juist omdat er steeds meer geavanceerde apparatuur in auto's wordt geplaatst. „Technisch is het absoluut mogelijk om een auto tot stilstand te brengen via een hack", zegt privacyonderzoeker Jaap-Henk Hoepman van de Radboud Universiteit. „In Amerika is dat recentelijk al gebeurd."

Volgens deskundigen als Wim van Campen is hacken van auto's bijzonder gemakkelijk, omdat de meeste autofabrikanten geen of nauwelijks aandacht hebben voor de beveiliging van de systemen aan boord. (...)

Privacyorganisaties Bits of Freedom en Privacy First zijn eveneens fel gekant tegen het wetsvoorstel. Volgens de belangenclubs zijn de maatschappelijke noodzaak en proportionaliteit ver te zoeken. „De hackbevoegdheid in het wetsvoorstel beperkt zich immers niet tot apparaten van verdachten, maar ook tot daarmee in verbinding staande apparatuur van onschuldige, nietsvermoedende burgers. De minister sluit in de memorie van toelichting zelfs niet uit dat pacemakers worden gehackt.""

Bron: Telegraaf 11 februari 2016, sectie Binnenland, p. 10. Tevens online beschikbaar, klik HIER.

Vandaag vindt in de Tweede Kamer een belangrijke hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. In dit kader leverde Privacy First gisteren kritische inbreng aan relevante Kamerleden. Enkele passages uit onze brief verschenen vanochtend in De Telegraaf, klik HIER. Hieronder de volledige tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte leden van de Tweede Kamer,

Morgen vindt een hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. Door dit wetsvoorstel dreigt de overheid zelf de grootste cybercrimineel te worden. Privacy First zet hieronder kort uiteen waarom.

Pacemakers hacken

Onder het wetsvoorstel krijgt de politie de bevoegdheid om vrijwel alle computers die op internet aangesloten zijn te kunnen hacken, inclusief smartphones, televisies, fototoestellen, autonavigatie, boordcomputers, medische systemen, etc. etc. De politie wil zelfs pacemakers kunnen hacken, zo blijkt uit p. 86 van de Memorie van Toelichting bij het wetsvoorstel. Geen enkel apparaat wordt uitgesloten. Enige voorwaarde lijkt slechts te zijn dat het betreffende apparaat in verbinding staat met het internet. Met het 'Internet of Things' in zicht (waarbij vrijwel de hele maatschappij op internet aangesloten kan worden, tot en met sportschoenen en koelkasten aan toe) is deze bevoegdheid ronduit totalitair. Het zal dan ook slechts een kwestie van tijd zijn voordat de hackbevoegdheden in dit wetsvoorstel voor allerlei onvoorziene doelen worden gebruikt en misbruikt. Het huidige wetsvoorstel beperkt dit totaal niet en laat er juist alle ruimte toe. Reeds op basis hiervan dient het wetsvoorstel verworpen te worden.

Disaster by legal design

In politiekringen wordt de doelverschuiving (function creep) die in dit wetsvoorstel ingebakken zit juist beoogd, zo weet Privacy First uit betrouwbare bron. Bijvoorbeeld om auto’s op afstand te kunnen hacken en stilzetten (politiefuik op afstand). Technisch is dit prima mogelijk te maken en het wetsvoorstel verbiedt dit ook niet. De risico’s hiervan voor de verkeersveiligheid (met name ook van onschuldige inzittenden en omstanders) zijn echter enorm. Hetzelfde geldt voor computers in ziekenhuizen, industrie, vitale infrastructuur, etc. Waarom legt het wetsvoorstel in dit opzicht geen enkele beperking op?

Noodzaak ontbreekt

De internationaalrechtelijk vereiste “maatschappelijke noodzaak” en proportionaliteit van dit wetsvoorstel zijn ver te zoeken, zo heeft zelfs het doorgaans coulante College Bescherming Persoonsgegevens (nu Autoriteit Persoonsgegevens) begin 2014 terecht gesteld. Vervolgens lag dit controversiële wetsvoorstel enkele jaren stil, maar lijkt nu alsnog opeens door de Tweede Kamer heen te worden gejaagd. Vanwaar opeens deze haast?

Iedere burger vogelvrij

Door dit wetsvoorstel lijkt ieders computer, tablet, smartphone etc. (zelfs in het buitenland!) vogelvrij te worden verklaard. De hackbevoegdheid in het wetsvoorstel beperkt zich immers niet tot de apparatuur van verdachten, maar ook tot daarmee in verbinding staande apparatuur van onschuldige, nietsvermoedende burgers. Iedere burger als potentieel target van de overheid. Hadden we de laatste jaren nu juist niet geleerd dat dit geen heilzame weg is voor een democratische rechtsstaat?

Kruispunt

Nederland staat momenteel op een kruispunt. Welk voorbeeld willen we voor de rest van de wereld zijn? Ons land heeft alle randvoorwaarden om van Nederland een veilig Privacy Gidsland te kunnen maken. Het huidige wetsvoorstel vormt echter een typische bouwsteen voor een politiestaat, niet voor een democratische, op vrijheid en vertrouwen gebaseerde rechtsstaat. Bij de internetconsultatie van een eerdere versie van dit wetsvoorstel in 2013 heeft Privacy First dit ook al gesteld. Afgezien van de latere schrapping van het decryptiebevel uit het wetsvoorstel is het treurig om te moeten constateren dat er sindsdien weinig veranderd is. Privacy First pleit voor privacy by design, niet alleen middels techniek, maar ook middels privacyvriendelijke wetgeving en beleid. Door dit wetsvoorstel raakt de overheid echter gebaat bij suboptimale, door de overheid te kraken ICT-beveiliging. Daarmee zet de overheid koers richting een maatschappij waarin ieders privacy illusoir wordt.

Privacy Impact Assessment ontbreekt

Nog steeds is er bij dit wetsvoorstel geen sprake van een grondige en onafhankelijke Privacy Impact Assessment (PIA). De bijbehorende “PIA” is niet meer dan een oppervlakkig afvinklijstje en is de term PIA niet waard. Ook de privacyparagraaf in de Memorie van Toelichting is flinterdun en slechts bedoeld om het wetsvoorstel te legitimeren. Gezien de veiligheidsrisico’s van dit wetsvoorstel ligt bovendien een Security Impact Assessment voor de hand. Bij deze stand van zaken kan Privacy First dit wetsvoorstel dan ook überhaupt niet serieus nemen.

Tweede Kamer aan zet

Mocht het huidige wetsvoorstel ongewijzigd beide Kamers passeren, dan zal Privacy First niet aarzelen om het door de rechter onrechtmatig te laten verklaren. Het is nu aan de Tweede Kamer om het niet zover te laten komen.

Minister Schippers van Volksgezondheid wil generieke toestemming voorlopig de standaard maken in haar nieuwe EPD-wet, waardoor met een eenmalige toestemming patiëntendossiers toegankelijk worden voor alle op het systeem aangesloten zorgverleners. Ze gaat daarmee voorbij aan de wens van de Tweede Kamer, die deze toestemmingsvorm wegens privacybezwaren schrapte uit het oorspronkelijke wetsvoorstel. Dat mag de Eerste Kamer niet laten gebeuren, schrijft onze campagne Specifieke Toestemming in een brief aan de Senaat, die zich binnenkort over het wetsvoorstel buigt.

Het wetsvoorstel Cliëntenrechten bij elektronische gegevensverwerking (33509) is de opvolger van de Wet-EPD, die in 2011 wegens privacybezwaren unaniem werd verworpen door de Eerste Kamer. Dossiers werden toegankelijk voor tienduizenden zorgverleners en hun medewerkers, zonder voorafgaande check van de dossierhoudende arts.

In de nieuwe EPD-wet die Schippers in 2014 presenteerde, moesten patiënten weliswaar vooraf toestemming geven om hun gegevens beschikbaar te stellen, maar was deze toestemming zo breed dat zowel arts als patiënt geen zicht hadden op wie welke gegevens met welk doel kon raadplegen. De Tweede Kamer vond dat onaanvaardbaar. Generieke toestemming, oftewel met een eenmalige toestemming alle op een systeem aangesloten zorgverleners toegang verschaffen, werd in juli 2014 uit het wetsvoorstel geschrapt.

In reactie hierop presenteerde de minister een nieuwe toestemmingsvorm: gespecificeerde toestemming. Anders dan deze term doet vermoeden, komt ook deze vorm van toestemming neer op een carte blanche, zo beargumenteerde Specifieke Toestemming al eerder uitgebreid naar de Eerste Kamer. In de expertmeetings en behandelingen in de Senaat bleek vervolgens dat ook Eerste Kamerleden nog veel vraagtekens hadden bij Schippers’ gespecificeerde toestemming.

Die bezwaren lijken echter voorbarig, nu deze vorm van toestemming überhaupt niet realiseerbaar blijkt. Huidige systemen om medische gegevens mee uit te wisselen, waarvan het Landelijk Schakelpunt (LSP, het voormalige EPD) het bekendst is, zijn namelijk in hun ontwerp niet ingericht om patiënten specifiek gegevens te laten delen (ook niet met gespecificeerde toestemming), zo informeerde de minister de Tweede Kamer in december jl. Voor er een manier is om gerichter gegevens beschikbaar te stellen, wil de minister dat patiënten in ieder geval drie jaar lang alsnog een brede, generieke toestemming kunnen geven, die, eenmaal gegeven, ook daarna geldig blijft.

Fundamentele bezwaren Eerste en Tweede Kamer genegeerd

De campagne Specifieke Toestemming volgt het wetsvoorstel al sinds haar introductie op de voet, en wees de Eerste Kamer begin deze week in een brief met klem op de fundamentele bezwaren die er kleven aan generieke toestemming.

“Specifieke Toestemming vindt dat de huidige wetgeving – Wgbo en Wbp – een goede basis is voor het vragen van toestemming in de zorg, en vindt generieke toestemming – ook ‘tijdelijk’ voor drie jaar – onacceptabel. Generieke toestemming kan door onoverzichtelijkheid voor zowel patiënt als dossierhoudend arts niet voldoen aan de eisen die wet en verdrag stellen aan het delen van medische gegevens”, zo stelde de campagne al eerder.

Onze campagne stelt aan Senaatsleden voor dat ofwel alle artikelen over toestemming uit het wetsvoorstel worden geschrapt zodat er op basis van al bestaande wetgeving medische gegevens kunnen worden gedeeld, óf dat de behandeling van het wetsvoorstel wordt uitgesteld totdat duidelijk is welke gevolgen de gespecificeerde toestemming van de minister heeft voor de privacy van patiënten.

De Eerste Kamer hield gisteren een zogeheten nadere procedure over het wetsvoorstel, en besloot daarin de verdere behandeling te laten afhangen van de termijn en de wijze waarop de Eerste Kamer zich kan laten informeren over nog bij de Kamer levende vragen. De campagne Specifieke Toestemming zal de Eerste Kamer te zijner tijd van nadere inbreng voorzien.

Download HIER de brief die Specifieke Toestemming begin deze week naar de Eerste Kamer stuurde (pdf) en klik HIER voor bovenstaand bericht zoals gisteren gepubliceerd op de campagne-website.

"Stel het elektronisch patiëntendossier uit, want het is nog niet haalbaar. Dat zegt artsenverbond KNMG dinsdag, op de dag dat de Eerste Kamer over de plannen praat.

In het voorstel staat dat patiënten moeten kunnen aangeven wie welke informatie over hen mag zien. ''Die vereisten zijn op dit moment niet uitvoerbaar'', aldus de KNMG.

De huisartsenvereniging (LHV) had vorige week ook voor uitstel gepleit. De beide organisaties willen dat er eerst onderzoek komt of het bepalen wie wat mag zien gevolgen heeft voor de 'zorgpraktijk'.

In de loop van 2017 moet dat duidelijk worden. Pas dan zou de Eerste Kamer het voorstel moeten behandelen, vinden artsen en huisartsen.

Privacy First

Ook de groepering Privacy First ziet niets in de plannen. Tot de tijd dat gerichte toestemming kan, wil de minister namelijk dat mensen algemene toestemming geven, dus dat elke zorgverlener toegang krijgt tot alle medische gegevens.

Onacceptabel, vindt Privacy First. Daarom zou de Eerste Kamer de wet moeten aanpassen of uitstellen.

Bron: http://www.nu.nl/binnenland/4200100/artsen-pleiten-uitstel-elektronisch-patientendossier.html, 19 januari 2016 (via ANP). Tevens gepubliceerd op http://www.ad.nl/ad/nl/1012/Nederland/article/detail/4228235/2016/01/19/Artsen-Patientendossier-is-nog-niet-haalbaar.dhtml, http://www.gelderlander.nl/algemeen/specials/gezond-en-wetenschap/artsen-pati%C3%ABntendossier-is-nog-niet-haalbaar-1.5641229, http://www.bndestem.nl/algemeen/specials/gezond-en-wetenschap/artsen-pati%C3%ABntendossier-is-nog-niet-haalbaar-1.5641229, http://www.ed.nl/algemeen/specials/gezond-en-wetenschap/artsen-patiëntendossier-is-nog-niet-haalbaar-1.5641229, http://www.automatiseringgids.nl/nieuws/2016/03/artsen-patientendossier-is-nog-niet-haalbaar, http://www.skipr.nl/actueel/id25179-artsen-patientendossier-is-nog-niet-haalbaar.html, http://www.radartv.nl/nieuws/archief/detail/article/artsen-patientendossier-is-nog-niet-haalbaar/, etc.

"Privacy, en het gebrek eraan, was een onderwerp dat vorig jaar bijna dagelijks in het nieuws kwam en gezien de resultaten van de poll verwachten de lezers van Security.NL dat privacy ook in 2016 weer veelvuldig de actualiteit zal beheersen.

Aanleiding voor Security.NL om drie organisaties die zich inzetten voor privacy, zowel buiten als op het internet, te vragen welke zaken dit jaar het nieuws zullen beheersen. Daarnaast zullen Bits of Freedom, Privacy Barometer en Stichting Privacy First laten weten waar ze zich op gaan richten en wat je dit jaar absoluut moet doen op het gebied van privacy.

Wetgeving

Alle drie de organisaties zien vooral voor de wetgever een belangrijke rol weggelegd als het om privacy gaat. "Komend jaar zal er vanuit de politiek al voorgesorteerd worden voor de verkiezingen in maart 2017. Het wetsvoorstel voor inbraakbevoegdheid voor de politie is net naar de Tweede Kamer gestuurd, maar het is maar de vraag of het kabinet het met andere gevoelige wetsvoorstellen nog aandurft. Zo is het uitbreiden van bevoegdheden voor de AIVD en MIVD zeer controversieel en dat wetsvoorstel staat ook niet genoemd op de lijst voor de komende maanden", zegt Reinout Barth van Privacy Barometer.

Daphne van der Kroft van Bits of Freedom stelt dat er de komende maanden in verschillende Europese landen voorstellen zullen verschijnen om massasurveillance door geheime diensten mogelijk te maken. "In Nederland gebeurt dat in de vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten. Het wordt spannend of ook onschuldige burgers daar de dupe van zullen worden", zo laat ze weten. Vincent Böhre van Privacy First kijkt onder andere naar de rol van privacy bij lokale overheden. "Met name de gemeenten zullen nadat de eerste stofwolken van de decentralisaties zijn neergedaald nog eens goed moeten nadenken hoe ze duurzaam met persoonsgegevens kunnen omgaan."

Meldplicht Datalekken

Ook verwachten alle drie de organisaties het nodige van de Europese privacywetgeving en de Meldplicht Datalekken die sinds 1 januari van kracht is. "Bedrijven en overheden zullen een tandje bij moeten zetten om aan de nieuwe regels te voldoen nu deze definitief zijn. De Wet Meldplicht Datalekken was een aardig voorproefje van wat komen gaat, bij veel organisaties bleek dat toch wel een big issue”, merkt Böhre op. In Nederland kan de Autoriteit Persoonsgegevens bij datalekken boetes van 820.000 euro uitdelen. Iets dat zeker impact zal hebben, aldus Van der Kroft. "Dat gaat betekenen dat bedrijven nu veel meer geneigd zullen zijn zich netter aan de wet te houden."

Bits of Freedom en Privacy First noemen ook het nieuwe privacy-akkoord dat tussen de Verenigde Staten en Europa moet worden gesloten, aangezien de Safe Harbour-overeenkomst vorig jaar ongeldig werd verklaard. "Tot nog toe zijn dat heel moeilijke onderhandelingen. We zijn benieuwd wat daaruit komt!”, laat Van der Kroft weten.

Volgens Barth zijn er daarnaast nog twee aandachtsgebieden die wat onder de radar zitten. Het gaat om de ontwikkelingen op het nieuwe eID-systeem als opvolger van DigiD. “Kunnen we straks nog anoniem het internet op of zullen we bij elke webshop of website ons moeten identificeren met het eID?”, vraagt hij zich af. Een ander punt zijn de leerlinggegevens die door uitgevers worden verzameld. "Sander Dekker [staatssecretaris van Onderwijs - red.] doet er luchtig over, maar dat uitgevers het gehele studiegedrag inclusief resultaten op BSN-nummer kunnen volgen is een flinke privacyschending, want zijn die gegevens voor de uitgever wel noodzakelijk? De visie van Dekker kan nog een flink debat in Tweede Kamer of bij ouders opleveren", verwacht Barth.

Speerpunten

Dat privacy op steeds meer plekken een rol speelt blijkt wel uit de verschillende punten waar de privacyorganisaties zich dit jaar mee gaan bezighouden. Bits of Freedom richt zich op verschillende wetsvoorstellen. "Het hackvoorstel moet van tafel. Als de politie wil kunnen hacken, heeft zij belang bij kwetsbaarheden in systemen. Daarmee wordt de internetter dus uiteindelijk alleen maar onveiliger. Dat willen we voorkomen”, zegt Van der Kroft. Ook wil de privacyvoorvechter het nieuwe voorstel voor de Bewaarplicht stoppen en dat het ongericht aftappen van de kabel door de geheime diensten uit het nieuwe voorstel voor de Wet op de inlichtingen- en veiligheidsdiensten wordt gehaald.

Bij Privacy First staan andere onderwerpen op de agenda. De stichting gaat zich richten op anonimiteit in de openbare ruimte, zoals cameratoezicht, ANPR (automatisch kentekenherkenning) en kentekenparkeren, Big Data en profiling, medische privacy en 'slimme' energiemeters. Verder verwacht Privacy First verschillende rechtszaken voort te zetten, waaronder 'Burgers tegen Plasterk', en nieuwe rechtszaken te starten, mogelijk tegen Facebook en ANPR.

Privacytips

Als het om privacybescherming gaat ligt de bal niet alleen bij privacyorganisaties. Er is genoeg dat burgers en internetgebruikers kunnen doen. Van der Kroft wijst daarbij naar de toolbox van Bits of Freedom, die verschillende privacytools bevat. Böhre van Privacy First combineert bewustzijn en techniek. "Behandel privacy net als je auto of tandarts en neem periodiek de tijd om na te gaan of je instellingen, programma's etc. nog op orde zijn en doen wat jij wilt", adviseert hij. Ook raadt hij aan om advertenties en trackingcookies te blokkeren en privacyorganisaties te steunen.

Privacy Barometer zet vooral in op bewustzijn. "De belangrijkste tip die we zouden willen meegeven is: probeer jezelf en je omgeving bewust te maken over al de persoonsgegevens die je deelt en met wie. We geven sommige bedrijven ongekend veel macht door in hun fuik te zwemmen en hen onze diepste geheimen toe te vertrouwen. Wil je Facebook en Whatsapp zo machtig maken dat het steeds moeilijker wordt zonder hen je leven te kunnen leiden?”, stelt Barth de vraag. “Laat grote internetbedrijven niet de baas over ons worden. Maak mensen bewust over persoonsgegevens, zoek alternatieven en promoot de mooiste daarvan in je eigen omgeving.""

Bron: https://www.security.nl/posting/457026/Privacy+in+2016%3A+van+wetgeving+tot+bewustzijn, 9 januari 2016.

"De privacy-actiegroep 'Burgers tegen Plasterk' gaat via het Europese Hof voor de Rechten van de Mens de afluisterpraktijken van de Nederlandse overheid aanvechten. "De directe aanleiding zijn de afluisterpraktijken waarbij de Amerikaanse NSA al onze data opslurpt en een deel van die illegale data aan de Nederlandse inlichtingendiensten geeft."

Het Hof heeft de [coalitie, waaronder Privacy First,] toegelaten tot een lopende Britse procedure van Big Brother Watch, een Engelse zaak die draait om het aftappen van internetverkeer. De Nederlandse [coalitie], die een einde wil maken aan het gebruik van NSA-data door de Nederlandse inlichtingendiensten, heeft hiermee een belangrijke overwinning behaald.

In 2013 kwam aan het licht dat de Amerikaanse inlichtingendienst NSA zich bezighield met illegale afluisterpraktijken, ook in Nederland. De [coalitie] Burgers tegen Plasterk zegt dat de Nederlandse inlichtingendienst AIVD en MIVD een deel van de in Nederland verkregen illegale data van de NSA krijgen en wil dat hier een einde aan komt.

Bijzondere beslissing
Advocaat Christiaan Alberdingk Thijm staat de [coalitie] bij en legt waarom de beslissing van het Europees Hof zo speciaal is: “Als je een schending van de mensenrechten wilt aankaarten bij dit Europees Hof, is de kans heel klein dat het lukt. 94 procent van de gevallen die daar worden aangekaart, worden direct afgewezen. Het is dus heel bijzonder dat onze zaak wordt behandeld door het Europees Hof van de Rechten van de Mens."

En nu mag de Nederlandse zaak zich dus voegen in een andere procedure. Alberdingk Thijm: “Wij worden nu als partij gehoord in een Engelse zaak die heel erg lijkt op onze zaak. De Engelsen konden alleen eerder naar het Europese Hof, omdat al hun [nationale] voorzieningen al waren uitgeput. In Nederland moet je eerst helemaal naar de Hoge Raad voordat je bij het mensenrechtenhof mag aankloppen."

Bindende uitspraak
De Nederlandse zaak ligt nu nog bij het gerechtshof Den Haag, maar de kans bestaat dat de hele gang naar de Hoge Raad nu overgeslagen kan worden. Alberdingk Thijm: “De uitspraken van het Europese Hof zijn bindend voor de Nederlandse rechter. Het Hof Den Haag zal de uitspraak van de Europees Hof moeten overnemen, wat wellicht grote gevolgen zal hebben." Dat betekent dus ook dat als de actiegroep in het gelijk wordt gesteld, dit grote gevolgen zal hebben voor de samenwerking tussen de Nederlandse en Amerikaanse inlichtingendiensten: “Er zal dan geen gebruik meer gemaakt mogen worden van de illegale data die de NSA in Nederland heeft afgetapt.”"

Bron: http://www.bnr.nl/nieuws/juridisch/329530-1601/nederlands-privacyprotest-naar-europees-hof, 6 januari 2016.

"Vier Nederlandse burgerrechtenorganisaties dreigen Facebook voor de rechter te slepen, als het sociale netwerk niet stopt met het verzenden van privégegevens naar de Verenigde Staten.

In een brief aan Facebook-directeur Mark Zuckerberg beklagen onder meer Bits of Freedom en Privacy First zich erover dat het bedrijf zich niet heeft gemengd in de discussie over het afgeschafte Safe Harbor-verdrag tussen de VS en de EU.

In dat dataverdrag maakten de regio's afspraken over de opslag van persoonsgegevens op elkaars grondgebied. Door het Safe Harbor-verdrag konden bedrijven als Facebook, Google en Twitter onder bepaalde voorwaarden gegevens van Europeanen opslaan in de VS.

Het Europees Hof van Justitie besloot onlangs echter dat het verdrag ongeldig is, onder meer omdat de VS onvoldoende bescherming biedt voor Europese persoonsgegevens. De EU en VS zitten momenteel om tafel om een nieuw verdrag op te stellen.

Ondertussen gaat Facebook echter verder met het opslaan van Europese persoonsgegevens op servers in de VS. Het bedrijf beroept zich daarvoor op standaardcontracten, die volgens de schrijvers van de brief ook niet meer geldig zijn.

Dialoog

"Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht", zegt voorzitter Bas Filippini van Privacy First.

"Wij nodigen Facebook uit om in het openbaar deel te nemen aan een betekenisvolle en transparante dialoog met als doel om een oplossing te vinden", staat in de brief, die Facebook een deadline van 15 januari 2016 stelt voor het vinden van een goede oplossing.

Als dat niet lukt, zeggen de organisaties een kort geding te starten om ervoor te zorgen dat Facebook de doorgifte van gegevens naar de VS helemaal stopt. De eis geldt ook voor de dochterdiensten Instagram en Whatsapp.

Mechanismen

Facebook laat in een reactie weten dat het bedrijf "dezelfde mechanismen als duizenden andere bedrijven in de EU" gebruikt om gegevens "rechtmatig te verstrekken".

"Wij geloven dat een nieuwe Safe Harbor-overeenkomst met adequate en passende waarborgen voor Europese burgers de beste oplossing is voor de ontstane situatie", aldus een woordvoerder van Facebook.

De socialenetwerksite zegt vertrouwen te hebben dat onderhandelingen over een nieuw verdrag door de autoriteiten van de EU en de VS zullen leiden tot een oplossing.

Schrems

Ook de Oostenrijkse rechtenstudent Max Schrems eist in meerdere procedures tegen Facebook dat het bedrijf de privacy van gebruikers beter beschermt, en dat de datadoorgifte aan de VS wordt gestopt. Door een van de klachten van Schrems kwam het Europees Hof tot zijn oordeel over het Safe Harbor-akkoord."

Bron: http://www.nu.nl/internet/4183232/nederlandse-privacy-organisaties-dreigen-facebook-met-rechtszaak.html

Zie ook de volgende nieuwsbronnen:
http://nos.nl/artikel/2075316-facebook-stop-met-opslaan-data-europeanen-in-vs.html
http://www.nrc.nl/nieuws/2015/12/15/nederlandse-organisaties-dreigen-met-rechtzaak-tegen-facebook
http://www.volkskrant.nl/tech/privacyorganisaties-facebook-moet-stoppen-met-datadoorgifte-naar-vs~a4208407/ 
http://www.telegraaf.nl/digitaal/24880159/__Privacyvechters_dreigen_Facebook_met_rechtszaak__.html
http://www.telecompaper.com/nieuws/privacy-organisaties-dreigen-met-proces-tegen-facebook--1119055 
https://www.security.nl/posting/454590/Nederlandse+privacyorganisaties+dreigen+Facebook+met+rechter
http://nieuws.tpo.nl/kort-nieuws/2015/12/15/organisaties-dreigen-facebook-met-rechter/ 
http://tweakers.net/nieuws/106862/privacyorganisaties-sommeren-facebook-te-stoppen-met-datadoorgifte-naar-vs.html
http://www.ravage-webzine.nl/2015/12/15/privacyclubs-stellen-facebook-een-ultimatum/

Vandaag verzoekt Privacy First samen met drie andere Nederlandse mensenrechtenorganisaties en een aantal individuele gebruikers van Facebook, WhatsApp en Instagram aan Mark Zuckerberg om stelling te nemen in het publieke debat over de gevolgen van de uitspraak van het Europese Hof van Justitie in de zaak Schrems.

Het Europese Hof van Justitie vernietigde op 6 oktober 2015 het Safe Harbour-besluit dat de grondslag was voor de doorgifte van persoonsgegevens vanuit de EU naar de VS door Facebook. Het Hof van Justitie oordeelde dat de wetgeving in de VS tekortschiet omdat het geen beschermingsniveau biedt dat vergelijkbaar is met dat in de EU. Zo heeft de NSA toegang tot de Facebook-content van gebruikers in de EU, zonder dat die enige rechtsbescherming hebben. Volgens het Hof van Justitie is dit een inbreuk op de essentie van het fundamentele recht op privacy. Deze problemen zijn nog steeds niet opgelost.

Na de uitspraak is Facebook doorgegaan met de doorgifte van persoonsgegevens vanuit de EU naar de VS. Bas Filippini van Privacy First: "Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht. Dat is een schending van de privacy van miljoenen gebruikers. Als dit niet binnenkort wordt opgelost, zullen wij juridische stappen ondernemen."

Tot op heden heeft Facebook zich opvallend afzijdig gehouden van het publieke debat na het vonnis van het Hof van Justitie. Ton Siedsma van Bits of Freedom: "Wij verzoeken Facebook om zich publiekelijk te mengen in het debat over de oplossing van dit probleem, en om druk te zetten op de autoriteiten om zo’n oplossing te bereiken. Het zou goed zijn als Facebook haar huidige en toekomstige beleid over de doorgifte van persoonsgegevens publiekelijk bekend zou maken."

Facebook ontving vandaag een sommatiebrief, met als deadline 15 januari 2016 om een oplossing te vinden. Als die niet bereikt wordt, zal een kort geding tegen Facebook aanhangig worden gemaakt bij de Rechtbank Den Haag, met als eis dat Facebook per direct stopt met de doorgifte van persoonsgegevens naar de VS. Dit betreft alle diensten van Facebook, inclusief WhatsApp en Instagram.

"Zo lang de VS geen passende bescherming biedt tegen mass surveillance, mogen persoonsgegevens niet worden doorgegeven naar de VS. Een rechtszaak tegen Facebook onderstreept de urgentie om dit op te lossen", zegt Jelle Klaas van het Public Interest Litigation Project (PILP, NJCM). "Ons doel is niet om de computerschermen van miljoenen gebruikers op zwart te zetten, maar om het niveau van privacybescherming te verhogen. Hopelijk vinden de wetgevers snel een oplossing."

Klik HIER(pdf) voor de volledige sommatiebrief van Privacy First c.s. aan Facebook.

Update 21 januari 2016: vlak voor het verstrijken van de deadline reageerde Facebook per fax op onze sommatiebrief, klik HIER (pdf). Ondanks de ongeldigheid van Safe Harbour bestaat volgens Facebook nog steeds een bruikbare rechtsbasis voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Privacy First c.s. betwisten dit en hebben vandaag een reactie naar Facebook gestuurd, klik HIER (pdf).

Na onze sommatiebrief nam Facebook publiekelijk stelling in de discussie over een nieuw voorgestelde surveillance-wet in Engeland:

“Governments should not be able to compel the production of private communications content absent authorization from an independent and impartial judicial official. (...) Surveillance laws should not permit bulk collection of information. The principles require that the Government specifically identify the individuals or accounts to be targeted and should expressly prohibit bulk surveillance.” Aldus Facebook.

Precies op deze aspecten schiet de rechtsbescherming in de VS volgens het Europese Hof van Justitie echter tekort. In onze brief van hedenmiddag hebben Privacy First c.s. Facebook daarom verzocht haar standpunt ook uit te dragen in het debat over mass surveillance in de VS. Over dit onderwerp vinden momenteel onderhandelingen plaats tussen de EU en de VS. Het zou goed zijn als Facebook zich daar inhoudelijk in mengt, in lijn met het standpunt dat Facebook heeft over het Engelse wetsvoorstel.

Als er niet op korte termijn een oplossing wordt gevonden voor de fundamentele privacyproblemen waar het Europese Hof van Justitie op heeft gewezen, overwegen Privacy First c.s. om een kort geding aanhangig te maken bij de rechtbank Den Haag.

"Worstelen met nieuw systeem

Twintig minuten aan de telefoon om een auto aan te melden, ondernemers die noodgedwongen naar hun winkel lopen. Negen maanden nadat Delft overschakelde op digitaal parkeren staan nog lang niet alle Delftenaren te juichen. Ook vinden inwoners het nog ongemakkelijk dat de gemeente zoveel persoonlijke gegevens opslaat.
(...)
Tegelijkertijd zijn echter ook de parkeerinkomsten die de gemeente ontvangt teruggelopen, mede doordat het nieuwe systeem in het begin flink werd geplaagd door technische storingen. Die storingen zijn ondertussen verholpen, laat de gemeente in reactie weten. Wel waarschuwt de gemeente dat de internetverbinding soms trager is op piekmomenten, wat het aanmelden van auto's soms bemoeilijkt.

Te weinig parkeeruren voor bezoekers en het gedoe om steeds nieuwe klanten aan en af te melden zijn minpunten die Delftse ondernemers het vaakst noemen. (...)

Ook zijn er ondernemers die op eigen creatieve wijze omspringen met het aantal toebedeelde parkeeruren. Bob Junius (48), eigenaar van snackbar De Snek aan de Bieslandsekade, weet wel raad met het nieuwe parkeersysteem. De snackbarhouder blijkt nota bene de broer van voormalig wethouder Milène Junius, die het digitaal parkeren besloot in te voeren.

Het digitale parkeren vindt hij prima werken - en nee, dat zegt hij niet omdat zijn zus toevallig de wethouder was. ,,Je moet gewoon goed weten hoe de regels in elkaar steken. Voor mijn bezoekers vormt het geen probleem, ik kan namelijk de scanauto van ver aan zien komen rijden. Er is dan meer dan genoeg tijd om alle auto's eventjes aan te melden. En wanneer de parkeerwachters voorbij zijn, dan meld ik ze weer af.''
(...)
Delftenaren op straat zijn negatiever gestemd. Opvallend veel ouderen geven toe dat ze nog worstelen met de digitale drempel. Een ander heikel punt dat veel geïnterviewden noemen, betreft de persoonsgegevens die de gemeente nu digitaal opslaat. De gemeente Delft verzekert dat gegevens van iedere auto die juist staat geparkeerd na twee dagen worden gewist. Op straat wordt dat met scepsis ontvangen.

Jurist Vincent Böhre van Privacy First, een stichting die opkomt voor de bescherming van privacy van burgers, is welbekend met deze zorgen. ,,Er is onbehagen tegen het opslaan van zoveel persoonlijke gegevens, vooral onder ouderen die na de Tweede Wereldoorlog zijn opgegroeid. Voor hen ligt dit nog bijzonder gevoelig.''

Ouderen

Naast rechtszaken aanspannen wordt er ook op andere wijze protest gevoerd. Zo verzamelden ouderen in Zaandam afgelopen zomer honderden handtekeningen tegen het digitale parkeren, mede door zorgen over hun privacy. Böhre: ,,Het is eigenlijk triest dat het de ouderen zijn die voor hun rechten opkomen.''

De 73-jarige Leny, die niet met haar achternaam in de krant wil, verwoordt het sentiment onder de oudere Delftse inwoners het scherpst. ,,Ik vind het systeem waardeloos. Het voelt alsof ik constant word gecontroleerd, niet prettig. Je hangt nu soms twintig minuten aan de telefoon om bezoek aan te melden, en soms lukt het dan nog niet. Het is zelfs al een keer voorgekomen dat er ondertussen een parkeerboete was uitgeschreven. Ik heb liever weer een papieren bezoekerskaart.''

Rechtszaken

In verschillende steden waar kentekenparkeren afgelopen jaren is ingevoerd, worden rechtszaken gevoerd tegen het digitale parkeren. Volgens Vincent Böhre van stichting Privacy First laat een recente uitspraak van het gerechtshof in Amsterdam zien dat burgers niet verplicht mogen worden om hun kenteken in te voeren. Het hof behandelde acht zaken van burgers die een onjuist kenteken in een parkeerautomaat hadden ingevoerd, maar die wel netjes hadden betaald. Daarvoor kregen ze een parkeerboete van de gemeente Amsterdam, maar het hof veegde deze boetes weer allemaal van tafel. De gemeente Delft, die eenzelfde parkeersysteem als Amsterdam gebruikt (met een controlewagen), is op de hoogte van de uitspraak, maar laat weten dat het geen verdere gevolgen zal hebben voor de handhaving in de stad. Volgens Böhre kan het echter de bijl aan de wortel van het digitale parkeren zetten. ,,Als mensen massaal weigeren om hun kenteken in te voeren, dan zou je het systeem overladen. Mensen krijgen dan wel eerst een boete opgestuurd, maar die kan je nu succesvol aanvechten. Het is gedoe, maar soms moet je dat voor de bescherming van je privacy over hebben.''"

Bron: AD/Haagsche Courant, zaterdag 12 december 2015, pp. 2-3.

"Ruim 20.000 mensen hebben vorig jaar in Nederland een boete gekregen omdat ze geen identiteitsbewijs bij zich hadden of zich weigerden te legitimeren. Vooral jongeren (18 – 30 jaar) worden vaak op de bon geslingerd. Zij kregen 4,5 keer vaker een boete dan dertigplussers.

Maar hoe werkt het nou precies met die identificatieplicht?

Wanneer moet je je ID-kaart laten zien en wanneer ga je op de bon?

Je bent formeel niet verplicht om een ID-kaart bij je te dragen. In Nederland hebben we namelijk een toonplicht, geen draagplicht. "Die keuze is bewust gemaakt, omdat er sinds de Tweede Wereldoorlog veel weerstand is tegen het verplicht bij je dragen van een persoonsbewijs", zegt jurist Vincent Böhre van Privacy First. "Tijdens de oorlog was iedereen verplicht zich te kunnen identificeren."

Böhre vroeg zich vanochtend bij het horen van het nieuws over het aantal boetes als eerste af hoeveel mensen protest hadden aangetekend tegen hun bon. "Het gebeurt vaak dat mensen in de buurt wonen en geen identiteitskaart bij zich hebben. Je kunt dan gewoon zeggen: loop maar even mee, dan laat ik 'm thuis zien. Zo werkt de toonplicht namelijk."
(...)"

Bron: http://nos.nl/op3/artikel/2074560-geen-id-kaart-bij-je-vraag-agent-even-mee-te-lopen.html. Zie ook http://nieuws.nl/algemeen/20151211/geen-id-op-zak-laat-hem-dan-thuis-zien-aan-oom-agent/.

Naschrift Privacy First: naast het onderscheid tussen toonplicht en draagplicht had Privacy First de NOS ook gewezen op het feit dat de politie mensen niet zonder reden om hun identiteitsbewijs mag vragen. Hier dient altijd een objectief gerechtvaardigde aanleiding voor te zijn, bijvoorbeeld een redelijke verdenking van een concreet strafbaar feit. In principe heeft iedereen in Nederland immers het recht op anonimiteit in de openbare ruimte. De overheid mag hier niet zomaar inbreuk op maken. Daarnaast blijkt in de praktijk vaak sprake van discriminatie ('etnisch profileren') en willekeur bij de toepassing van de identificatieplicht door (met name) de politie. Dit vormt een schending van het discriminatieverbod en werkt gevoelens van onveiligheid en stigmatisering van bevolkingsgroepen in de hand. Dit nog afgezien van de risico's die iedereen loopt door de op-afstand-uitleesbare RFID-chips in paspoorten en ID-kaarten, identiteitsfraude met verloren of gestolen identiteitsbewijzen, etc. Het advies van Privacy First blijft dan ook: paspoort of ID-kaart thuis laten en een eventuele boete aanvechten bij de rechter!