Toon items op tag: Politiek

Vandaag verzond Privacy First onderstaande oproep aan alle leden van de Tweede Kamer:

Geachte Kamerleden,

Hierbij doet Privacy First een klemmend beroep op u om de concept-motie Mulder c.s. d.d. 10 november 2011 inzake het EPD niet aan te nemen. De motie zoals die nu voorligt gaat immers lijnrecht in tegen de unanieme, weldoordachte wens van de Eerste Kamer (en daarmee de wens van uw eigen partij zoals die in april dit jaar na uitvoerig beraad tot uiting kwam) dat de minister van VWS geen financiële, beleidsmatige en organisatorische betrokkenheid meer mag hebben bij het Landelijk Schakelpunt (LSP). De Eerste en Tweede Kamer komen hierdoor diametraal tegenover elkaar te staan. Dit schept een gevaarlijk precedent: ongewijzigde aanname van de motie zou een ontwrichtende werking kunnen hebben op het verdere functioneren van onze parlementaire democratie. Alvorens te worden aangenomen zou de motie dan ook tenminste langs de volgende twee lijnen dienen te worden herzien:

- in plaats van behoud van het LSP dient te worden aangedrongen op het onderzoeken en stimuleren van mogelijk hergebruik van LSP-technieken zonder Landelijk Schakelpunt (bij voorkeur op regionaal niveau);

- ieder hergebruik, verdere ontwikkeling en verbetering van LSP-technieken op regionaal niveau dient zoveel mogelijk te geschieden volgens de beginselen van keuzevrijheid, transparantie en privacy by design.

Op deze wijze kan een confrontatie tussen de Eerste en Tweede Kamer worden vermeden, kan de privacy van de burger alsnog gewaarborgd worden en zal geen sprake zijn van onnodige kapitaalvernietiging.

Hoogachtend,

Stichting Privacy First

Update 14 nov. 2011: vanmiddag deden een zestal burgerrechtenorganisaties (waaronder Privacy First) een dringend beroep op de Tweede Kamer om de motie Mulder c.s. te verwerpen.

Update 15 nov. 2011, 11.55u: motie Mulder c.s. is als volgt gewijzigd: "(...) verzoekt de regering de betrokken organisaties – inclusief patiëntenorganisaties, cliëntenorganisaties en privacy experts – op te roepen om het elektronisch patiëntendossier alsnog van de grond te laten komen."

Geweldig nieuws vandaag: de private doorstart van het landelijk Elektronisch Patiëntendossier (EPD) lijkt definitief van de baan. Wegens privacybezwaren verwees de Eerste Kamer het EPD eerder dit jaar al terecht naar de prullenbak. Pogingen van een aantal belanghebbenden (waaronder Nictiz) om ditzelfde EPD alsnog langs private, buitenparlementaire weg door te starten zijn nu gestrand op de financiële onhaalbaarheid daarvan, zo meldde de Volkskrant vanmiddag. Te weinig huisartsen en apothekers bleken voor aansluiting op dit EPD te porren. Het hele project werd daardoor een "ship dead in the water". Een zinkend wrak. Een Titanic die temidden van ijsbergen aan privacy- en veiligheidsbezwaren reddeloos verloren was.

De schipbreuk van het landelijk EPD staat niet op zichzelf: dit is het tweede megalomane anti-privacyproject dat dit jaar onder zware maatschappelijke druk bezwijkt. (Het eerste was de centrale database met vingerafdrukken.) Ons bewijs dat nationaal verzet tegen een dreigende collectieve privacyschending loont is daarmee andermaal geleverd.

De stap van nationaal naar internationaal verzet (via de Verenigde Naties) tegen dit Nederlandse EPD hoeft nu niet meer te worden gezet. Stichting Privacy First was reeds van plan om het EPD stevig te agenderen tijdens de komende Universal Periodic Review van Nederland bij de VN-Mensenrechtenraad in Genève (mei 2012). Dat agendapunt kan nu tijdig worden geschrapt. In plaats daarvan zal Privacy First hopelijk aan de VN kunnen gaan melden dat Nederland een positieve omslag heeft gemaakt: van een privacyschendend landelijk EPD naar privacyvriendelijke EPD's op regionaal niveau. Daarmee zullen zowel de belangen van patiënten als van zorgverleners optimaal gediend kunnen worden.

Update 11 nov. 2011: Helaas lijkt een meerderheid in de Tweede Kamer (VVD, CDA & PvdA) het landelijk EPD alsnog te willen behouden; zie de concept-Kamermotie op https://zoek.officielebekendmakingen.nl/kst-138211.html. Een stemming over deze motie staat vooralsnog gepland voor dinsdag 15 november as.

Het zijn woelige tijden in privacyland. Mede onder druk van Privacy First is er sinds vorig jaar sprake van een positieve kentering. Privacy staat steeds hoger op de politieke agenda. Media berichten steeds vaker en uitvoeriger over privacyzaken. Hierdoor neemt het privacybewustzijn onder de Nederlandse bevolking toe. Dit versterkt onze democratische rechtsstaat. Voorbeelden van positieve ontwikkelingen zijn de afschaffing van rekeningrijden (geen 'spionagekastje' in de auto), vrijwillige i.p.v. verplichte 'slimme energiemeters', vrijwillige i.p.v. verplichte bodyscans op luchthavens, afschaffing van de opslag van vingerafdrukken onder de Paspoortwet en de invoering van Privacy Impact Assessments bij nieuwe wetgeving die de privacy van de burger aantast. Al die ontwikkelingen passen perfect bij het motto van Privacy First: "eigen keuzes in een vrije omgeving". Tegelijkertijd trekken de privacybeperkende krachten van weleer nog volop aan de touwtjes. "Bad habits die hard." De laatste maanden was dit vooral goed te zien aan ontwikkelingen richting een private doorstart van het landelijk Elektronisch Patiëntendossier (EPD). Eerder dit jaar had de Eerste Kamer dit EPD terecht naar de prullenbak verwezen. Sommige beleidsmakers en commerciële partijen waren daar blijkbaar niet van gediend. Met vergelijkbare koppigheid proberen anderen momenteel hun oude plannen voor Automatische Nummerplaatherkenning (ANPR) en cameratoezicht aan de landsgrenzen door te drukken. Deze plannen lagen jaren geleden al op de tekentafel, in een tijd waarin privacy steeds meer taboe leek te worden. Een tijd waarin de regering Bush de hele Europese Unie nog kon opzadelen met biometrische paspoorten en bijbehorende databases. Die tijd is nu voorbij, maar de erfenis ervan ijlt nog lang na...

Privacy is inmiddels terug van weggeweest. Privacy is het "nieuwe groen". Wat dat betreft gedragen de voorvechters van een landelijk EPD en ANPR zich als een stel oude milieuvervuilers. Als roestige oude fabrieken uit de jaren 70 die - zonder dat ze het zelf beseffen - naar het jaar 2011 zijn geteleporteerd. De Tweede Kamer leek dit goed aan te voelen toen zij vorige week unaniem een motie aannam over een onderwerp waar Privacy First al sinds haar oprichting op hamert: "Privacy by Design". Oftewel het van ontwerp af aan inbouwen van privacybescherming in technische zin, op microniveau, middels Privacy Enhancing Technologies (PET). In de visie van Privacy First geldt het principe van "Privacy by Design" echter ook op meso- en macroniveau. Dus in organisatorische en in wettelijke zin. Daarmee bereik je immers een privacyvriendelijk ontwerp én praktijk van een duurzame informatiemaatschappij als geheel. Enfin, u kunt hier zelf verder over doorfilosoferen. Ter inspiratie geeft Privacy First u met groot genoegen de gehele tekst van de parlementaire motie mee:

De Kamer,

gehoord de beraadslaging,

overwegende, dat er bij ICT-projecten van de overheid te weinig aandacht is voor de bescherming van privacy en er te weinig aandacht is voor het voorkomen van misbruik van deze systemen;

overwegende, dat privacy van burgers niet verder aangetast dient te worden dan strikt noodzakelijk is en dat onveilige systemen privacy in gevaar brengen;

overwegende, dat systemen die gemakkelijk gekraakt kunnen worden het aanzien van de overheid ernstig aantasten;

overwegende, dat achteraf systemen aanpassen om privacy te waarborgen en veiligheid te verhogen in de regel duurder is en vaak tot een lager beschermingsniveau leidt dan wanneer privacy en veiligheid aan het begin van een project randvoorwaarden zijn;

verzoekt de regering om bij de ontwikkeling van alle nieuw te starten ICT-projecten privacy by design en security by design toe te passen zodat nieuwe ICT-systemen veiliger zijn en beter berekend op misbruik en slechts privacygevoelige gegevens bevatten als dat strikt noodzakelijk is,

en gaat over tot de orde van de dag.

Deze zomer was het al aangekondigd (en door Privacy First becommentarieerd), maar gisteren verscheen het opnieuw in de media: dit najaar gaan vier regionale politiekorpsen een pilot uitvoeren met mobiele vingerscanners ter opsporing van illegale vreemdelingen. In ambtelijk jargon heet dit proefproject een "leertuin", zo blijkt uit de langverwachte beantwoording (na drie maanden) van eerdere Kamervragen. Wat zouden onze beste vrienden van de politie zoal kunnen gaan leren in de tuin die Nederland heet? Privacy First zet mogelijke leermomenten alvast voor u op een rij:

1) het collectief inbreuk maken op andermans privacy en lichamelijke integriteit door vingerafdrukken af te nemen bij iedereen die in de ogen van oom agent weleens 'illegaal' zou kunnen zijn,

2) wat hoogstwaarschijnlijk gepaard zal gaan met discriminatoire 'handhaving', etnisch profileren en toenemende stigmatisering van bepaalde bevolkingsgroepen,

3) in eerste instantie vooral gericht op 'illegale' vreemdelingen (ongedocumenteerden), maar daarna ongetwijfeld ook op andere groepen en uiteindelijk op iedere burger, bijvoorbeeld voor het innen van openstaande boetes of belastingschulden (in vakjargon: doelverschuiving of function creep),

4) terwijl dit jaar reeds gebleken is dat de huidige stand van de biometrische techniek (met actuele foutenpercentages in paspoorten en ID-kaarten van minstens 21%) nog in de kinderschoenen staat en niet geschikt is voor massaal gebruik,

5) met alle gevolgen van dien, waaronder valse verdenkingen en onterechte plaatsingen in vreemdelingenbewaring, wederzijdse gevoelens van onveiligheid en risico's van irritatie, confrontaties en agressie op straat,

6) nog afgezien van mogelijke datalekken en hacking van de gebruikte apparatuur,

7) dit alles zonder openbare Privacy Impact Assessment en kosten-batenanalyse terzake.

Gevaarlijk speelgoed dus, die mobiele vingerscanners. Ons advies is: niet mee beginnen. Deze "leertuin" vormt immers een heus privacymoeras.

Sinds september 2009 dient iedere Nederlander bij de aanvraag van een nieuw paspoort of identiteitskaart vingerafdrukken te laten afnemen. Deze plicht vloeit voort uit de nieuwe Paspoortwet die toen in werking trad. De ontwikkeling van deze wet begon reeds eind jaren 90 en is tot op heden door mysteries omgeven. Dit ondanks enkele WRR-onderzoeken (door Vincent Böhre en Max Snijder) die eind 2010 enig licht in de duisternis brachten. Naar aanleiding van alle ophef rond de opslag van vingerafdrukken vond in april 2011 tevens een parlementaire hoorzitting over de nieuwe Paspoortwet plaats. Een officieel verslag van deze hoorzitting bestaat echter niet. Een 'officieus', gedeeltelijk verslag ervan door Privacy First vindt u HIER. Naar aanleiding van deze hoorzitting verscheen tevens een uitstekend artikel in Vrij Nederland. Toch duurde de schimmigheid vervolgens voort... Wat ligt er nog onder het tapijt bij de Nederlandse overheid? Om dit op te helderen diende Privacy First eerder dit jaar een Wob-verzoek in bij het primair verantwoordelijke departement: het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Dit verzoek had betrekking op alle overheidsdocumentatie over de introductie van 'biometrische kenmerken' (waaronder vingerafdrukken) in Nederlandse reisdocumenten. Al met al dus een flinke klus voor de 'tapijtdienst' van BZK...

It's a dirty job, but someone has to do it

Het door Privacy First opgevraagde dossier is gigantisch en gaat minstens terug tot 1997. Zowel de departementale BZK-archieven als het externe BZK-archief in Winschoten werden (en worden) doorgekamd. Hetzelfde geldt voor de persoonlijke archieven van ambtenaren. Om aan ons Wob-verzoek te kunnen voldoen heeft BZK zelfs extra personeel moeten inhuren, zo vernam Privacy First via via. De eerste van een (lange?) reeks deelbesluiten ontving Privacy First dan ook pas na twee maanden, in juni 2011. Had dit sneller gekund als de overheid haar archieven beter op orde had gehad, die archieven reeds waren gedigitaliseerd en de inhoud ervan niet ten onrechte als vertrouwelijk of 'staatsgeheim' was bestempeld? Of is e.e.a. juist vertraagd i.p.v. versneld door een parallel onderzoek dat sinds deze zomer in opdracht van Minister Donner plaatsvindt? Dit onderzoek wordt uitgevoerd door de Leidse hoogleraar (tevens oud-topambtenaar) Roel Bekker, zo meldde Automatisering Gids onlangs.

Hoe dan ook, middels deelbesluiten werpt BZK sinds enkele maanden periodieke "Wob-kluifjes" toe aan Privacy First. Tot nu toe bevat dit geen schokkend nieuw materiaal. Gezien de omvang van het dossier is het vooral erg weinig. De inhoud ervan was deels reeds bekend, deels past het met name in het (toekomstige?) straatje van BZK. In dit stadium maakt dit laatste aspect het echter juist interessant... Vanaf vandaag zullen wij alle ontvangen documenten dan ook integraal op onze website publiceren. Hetzelfde geldt voor een aantal documenten die onlangs uiterst slordig op de website van BZK gepubliceerd werden en die tot nu toe aan de aandacht van de media zijn ontsnapt. De hele waslijst met documenten treft u hieronder aan. Deze lijst zal voortdurend worden aangevuld en door ons nog van commentaar worden voorzien.

Voor 't gemak heeft Privacy First de meest belangwekkende documenten alvast met een sterretje * gemarkeerd. Een enkele maal zelfs een dubbel sterretje ** bij het inmiddels geruchtmakende TNO-rapport van Ruud van Renesse. Nader commentaar op alle stukken volgt als gezegd nog. Houdt daarom onze website goed in de gaten. Wij wensen u veel 'leesplezier'!

DOCUMENTEN:

Ontvangstbevestiging BZK 4 mei 2011

Tussenbericht BZK 17 mei 2011

Deelbesluit 1 BZK 22 juni 2011

 Bijlage 1: lijst Kamerstukken rond biometrie in paspoorten

*Bijlage 2: memo TNO over pasfoto's (sept. 1998)

*Bijlage 3: evaluatieonderzoek biometrie Ernst & Young (maart 2001)

*Bijlage 3a: ontbrekende pagina's onderzoek Ernst & Young

 Bijlage 4: brief Minister Van Boxtel over biometrie in reisdocumenten (mei 2001)

 Bijlage 5: uitnodigingen biometrie-conferentie BZK (mei 2002)

 Bijlage 6: aanvullende uitnodigingen biometrie-conferentie (mei 2002)

*Bijlage 7: samenvatting biometrie-conferentie BZK (sept. 2002)

 Bijlage 8: brief BZK (BPR) aan Finland (sept. 2002)

*Bijlage 9: verkennend onderzoek biometrie Bureau Veldkamp (jan. 2003)

Deelbesluit 2 BZK 14 sept. 2011

*Bijlage 1: rapportage biometrie-conferentie BZK (aug. 2002)

 Bijlage 2: ambtelijke notitie aan Minister Van Boxtel ivm interview Volkskrant (april 2001)

 Bijlage 3: overzicht pilots biometrie en elektronische identificatie (april 2001)

**Bijlage 4: TNO-rapport 'Quick-scan biometrie - alle mensen zijn ongelijk' (okt. 1999)

 Bijlage 5: ambtelijke notitie aan Minister Van Boxtel ivm aanbieding rapport Registratiekamer (okt. 1999)

 Bijlage 6: persbericht Registratiekamer ivm presentatie rapport 'At face value' (okt. 1999)

*Bijlage 7: rapport Registratiekamer 'At face value' (sept. 1999)

 Bijlage 8a: afstudeerscriptie Erasmus Universiteit biometrie & chipkaart (aug. 1996) (deel 1)

 Bijlage 8b: afstudeerscriptie Erasmus Universiteit biometrie & chipkaart (aug. 1996) (deel 2)

*Bijlage 9: rapport Agentschap Senter 'Overheid, burger en biometrie' (nov. 1998)

Besluit BZK 18 juni 2010 n.a.v. Wob-verzoek Brenno de Winter

*Bijlage 1: brief Minister De Graaf over biometrie in reisdocumenten (dec. 2003), overzicht pilots en onderzoeksrapport BZK (juni 2003)

*Bijlage 2: brief Minister Pechtold en BZK-onderzoeksrapport '2b or not 2b' (sept. 2005)

*Bijlage 3: adviesaanvraag Minister Nicolai aan CBP over concept-Paspoortwet, concept-MvT en Functioneel Ontwerp ORRA (dec. 2006) (deel 1)

 Bijlage 4: Functioneel Ontwerp van de Online Raadpleegbare Reisdocumenten Administratie (ORRA, dec. 2006) (deel 2)

 Bijlage 5: Functioneel Ontwerp van de ORRA (dec. 2006) (deel 3) en 'reminder' adviesaanvraag BZK (BPR) aan CBP (maart 2007)

 Bijlage 6: onderzoeksprotocol beveiliging reisdocumenten BZK (aug. 2007) en onderzoeksrapport reisdocumenten BZK (okt. 2007)

 Bijlage 7: brieven Agentschap BPR over steekproef-onderzoek reisdocumenten (feb. - juni 2008).

Update 30 maart 2012: Onderstaande documenten zijn relatief interessant, want laten zien dat medio 2004 in het Europees Parlement (EP) belangrijke vragen leefden omtrent 1) de proportionaliteit en 2) de kosten van de invoering van biometrie als maatregel tegen fraude met reisdocumenten. Uit de documenten blijkt dat de Nederlandse overheid (c.q. BZK) de betreffende cijfers niet paraat had en dat het veel tijd en moeite kostte om de EP-vragen (slechts gedeeltelijk) te kunnen beantwoorden. Uit de antwoorden blijkt bovendien dat de cijfers over fraude zeer laag waren en de kosten van invoering van biometrie erg hoog. Cijfers over look-alike fraude met reisdocumenten ontbraken destijds overigens, althans bij BZK. De antwoorden reppen vooral over valse / vervalste documenten. Dit terwijl de reden voor de invoering van biometrie in reisdocumenten de bestrijding van look-alike fraude was; dit is een specifieke, kleinschalige categorie binnen het bredere fenomeen van identiteitsfraude. Zie voor overheidsstatistieken over look-alike fraude met Nederlandse reisdocumenten onze recente Wob-resultaten vanuit het ECID (KMar).

Deelbesluit 3 BZK 8 februari 2012

*Bijlage 1: brief van JBZ-commissie Eerste Kamer d.d. 28 mei 2004 aan minister De Graaf (BZK) n.a.v. vragen van EP-rapporteur Sørensen over proportionaliteit en kosten van biometrie in reisdocumenten

*Bijlage 2: ambtelijke nota agentschap BPR (BZK) d.d. 10 september 2004 n.a.v. de vragen van EP-rapporteur Sørensen

*Bijlage 3: ambtelijke nota BPR d.d. 13 oktober 2004 n.a.v. de vragen van EP-rapporteur Sørensen

*Bijlage 4: antwoorden van minister De Graaf d.d. 25 oktober 2004 op vragen van EP-rapporteur Sørensen (cijfers over valse reisdocumenten en kosten van biometrie)

 Bijlage 5: ambtelijke nota BPR d.d. 15 juli 2004 aan minister De Graaf over praktijkproef '2b or not 2b'

 Bijlage 6: cursus-uitnodigingen van projectmanager biometrie BPR aan Nederlandse gemeenten d.d. 15 juli 2004

*Bijlage 7: ambtelijke nota BPR d.d. 30 september 2004 n.a.v. vragen Zembla over biometrie en centrale opslag

 Bijlage 8: ambtelijke nota BPR d.d. 9 juli 2003 n.a.v. krantenberichten over biometrievoorstellen Europese Commissie 

Update 15 september 2012: onlangs ontving Privacy First weer wat Wob-brokjes vanuit BZK. Onderstaand materiaal betreft o.a. de gunning van een (aanvullende) technische verkenning inzake biometrie door BZK (BPR) aan VKA & TNO in de zomer van 2002. Dit gebeurde destijds met uitsluiting van TNO-expert Ruud van Renesse, die door BPR eerder "te kritisch" was bevonden. Meer over deze affaire kunt u lezen in ons verslag van de parlementaire hoorzitting over de nieuwe Paspoortwet en in een interview met dhr. Van Renesse in Vrij Nederland. Zie verder het rapport Happy Landings.

Deelbesluit 4 BZK 28 augustus 2012

 Bijlage 1: ambtelijke nota Directeur Projecten aan Directeur-Generaal Openbaar Bestuur (DGOB, BZK) d.d. 14 april 1999, inzake samenwerking BZK en IND bij ontwikkeling elektronische ID-kaart (e-NIK)   

 Bijlage 2: brief Directeur-Generaal Openbaar Bestuur (BZK) d.d. 19 april 1999 aan directeur IND, inzake samenwerking BZK en IND bij ontwikkeling elektronische ID-kaart (e-NIK) 

 Bijlage 3: aanbiedingsbrief Directeur Projecten (DGOB, BZK) d.d. 13 november 2000 inzake overeenkomst met derde partij ter uitvoering van onderzoek naar gebruik van biometrie ter vermindering van look-alike fraude 

 Bijlage 4: fax van derde partij aan BZK d.d. 10 oktober 2000 n.a.v. het niet gunnen van opdracht 'project biometrie'

 Bijlage 5: brief BZK d.d. 25 oktober 2000 ter reactie op bovenstaande fax (zie bijlage 4)

 Bijlage 6: verzoek BZK (BPR) d.d. 11 april 2002 aan een vijftal derde partijen om offerte uit te brengen ter uitvoering van laboratoriumtest gelaatsherkenning 

 Bijlage 7: ambtelijk memo BZK (BPR) d.d. 2 mei 2002 inzake gunning van opdracht laboratoriumtest gelaatsherkenning 

 Bijlage 8: aanbiedingsbrief BZK (BPR) d.d. 15 mei 2002 inzake overeenkomst met derde partij ter uitvoering van laboratoriumtest gelaatsherkenning 

 Bijlage 9: verzoek BZK (BPR) d.d. 1 juli 2002 om offertes aan een viertal derde partijen ter aanvullende technische verkenning van biometrie ter bestrijding van look-alike fraude

 Bijlage 10: brief van derde partij aan BZK (BPR) d.d. 12 juli 2002 ter mededeling van samenwerking met andere derde partij n.a.v. bovenstaand verzoek BZK om offertes (zie bijlage 9)

 Bijlage 11: afwijzingsbrief BZK (BPR) d.d. 23 juli 2002 aan tweetal derde partijen n.a.v. bovenstaand verzoek BZK om offertes (zie bijlage 9)

 Bijlage 12: aanbiedingsbrief BZK (BPR) d.d. 5 augustus 2002 inzake overeenkomst met derde partij ter uitvoering van aanvullende technische verkenning biometrie ter bestrijding look-alike fraude

 Bijlage 13: ambtelijk memo BZK (BPR) d.d. 18 juli 2002 inzake gunning van opdracht aanvullende technische verkenning biometrie ter bestrijding look-alike fraude

Update 7 december 2012: onlangs ontving Privacy First weer enkele Wob-kruimels vanuit BZK, waaronder een plan van aanpak door Verdonck, Klooster & Associates (VKA, in opdracht van BPR) voor vervolgonderzoek naar de toepassing van biometrie uit 2002. Opvallend in dit document is met name de volgende passage op p. 39: "Er is beperkte informatie beschikbaar over de aard en omvang van look-alike fraude met Nederlandse reisdocumenten. (...) Wanneer een enigszins realistisch beeld van de mate waarin look-alike fraude met Nederlandse reisdocumenten voorkomt ontbreekt, zal het onmogelijk zijn om kwantitatieve uitspraken te doen over de maatschappelijke bate die met toepassing van biometrie gerealiseerd kan worden. Dit hoeft geen probleem te zijn als het voldoende is te werken met de veronderstelling dat biometrie look-alike fraude zal verminderen." (!) Het betreffende document vindt u hieronder als bijlage 3:

Deelbesluit 5 BZK 13 november 2012

 Bijlage 1: brief BZK (BPR) d.d. 15 januari 2001 inzake aanpassing overeenkomst met derde partij ter uitvoering van onderzoek naar gebruik van biometrie ter vermindering van look-alike fraude 

 Bijlage 2: interne ambtelijke nota BZK (BPR) d.d. 24 oktober 2001 aan minister Van Boxtel inzake "Actieplan terrorismebestrijding en veiligheid biometrie" 

*Bijlage 3: plan van aanpak VKA d.d. 26 februari 2002 inzake vervolgonderzoek naar toepassing van biometrie 

 Bijlage 4: interne ambtelijke notitie BZK (BPR) d.d. 20 maart 2002 inzake "position paper biometrie en reisdocumenten" 

 Bijlage 5: interne ambtelijke nota BZK (BPR) d.d. 25 september 2001 aan minister Van Boxtel inzake het in de JBZ-raad melding maken van Nederlandse voornemens m.b.t. biometrie in reisdocumenten
                                                                            
Update 5 april 2013: deze week ontving Privacy First enkele documenten vanuit BZK die betrekking hebben op een vroeger onderzoek naar het maatschappelijk draagvlak voor biometrie in reisdocumenten (Bureau Veldkamp, 2003) en de inmiddels beruchte biometrie-praktijkproef '2b or not 2b' (BZK, 2005). Veel nieuws bevat het materiaal echter niet. Positief is wel dat BZK e.e.a. inmiddels integraal op haar eigen website publiceert; klik HIER voor BZK-deelbesluit 6 d.d. 28 maart 2013. 

Update 8 augustus 2013: deze week ontving Privacy First weer wat oude documenten vanuit BZK. Uit deze documenten blijkt o.a. de Europese voortrekkersrol van Nederland op het vlak van biometrie in reisdocumenten rond 2001/2002. Tevens blijkt dat BZK en Justitie er t.a.v. biometrie op (en naast...) reisdocumenten verschillende visies op nahielden. En hier en daar wordt zelfs gerept over DNA... Wat de verschillende visies op e.e.a. precies inhielden wordt echter niet duidelijk; veel passages zijn weggelakt. Zo blijft dit dossier 12 jaar na dato helaas nog steeds een black box... Klik HIER voor BZK-deelbesluit 7 d.d. 30 juli 2013. Wat ligt er nog onder het tapijt bij BZK en Justitie? 

Update 19 december 2014: vandaag ontving Privacy First weer wat oude Wob-brokjes vanuit BZK. Het betreft voornamelijk nietszeggende, grotendeels zwartgelakte documenten uit de jaren 2001-2002, toen Nederland op Europees niveau het initiatief nam tot de (latere) opname van vingerafdrukken in alle Europese paspoorten. Klik HIER voor BZK-deelbesluit 8 d.d. 17 december 2014. Met name van belang is de volgende passage in een brief van minister Van Boxtel d.d. 20 februari 2002 aan zijn Europese collega's: "Enige maanden geleden (...) heb ik u geïnformeerd over de voornemens die in Nederland bestaan om in de reisdocumenten (het paspoort en de identiteitskaart) biometrische kenmerken op te nemen. Het doel hiervan is primair om zogenaamde look-alike fraude te voorkomen. Secundair biedt het gebruik van biometrische kenmerken de mogelijkheid van geautomatiseerde grenscontrole. (...) Mijn intentie is immers om in de komende maanden gezamenlijk vast te stellen of er een basis bestaat voor gezamenlijke afspraken en zo ja wat de beste weg zou kunnen zijn om tot een formulering daarvan te komen." Dit resulteerde uiteindelijk in de Europese Paspoortverordening van december 2014. 

Een volgend, hopelijk informatiever deelbesluit van BZK volgt waarschijnlijk pas in de lente van 2015.

Update 1 september 2017: vandaag is eindelijk BZK-deelbesluit nr. 9 online verschenen, zie HIER. Opnieuw bevat dit materiaal weinig nieuws. Wel interessant zijn de cijfers over look-alike fraude met Nederlandse reisdocumenten op Schiphol in de periode 2001-2002, zie deze brief en deze vervolgbrief van de Koninklijke Marechaussee aan BZK (pdf). Nader commentaar door Privacy First op e.e.a. volgt wellicht nog.

Update 30 augustus 2019: bovenstaande hyperlinks naar de Wob-deelbesluiten op de website van BZK blijken inmiddels deels verouderd en niet meer werkzaam. Alle reeds geopenbaarde documenten zijn echter digitaal in bezit van Privacy First en kunnen door een ieder bij ons worden opgevraagd. Privacy First zal BZK tevens verzoeken om de betreffende hyperlinks te actualiseren en e.e.a opnieuw te publiceren. Uit betrouwbare bron vernam Privacy First overigens dat een tiende (tevens laatste) deelbesluit binnenkort door BZK genomen en gepubliceerd zal worden.

Update 25 maart 2020: vandaag verscheen uiteindelijk het 10e en laatste BZK-deelbesluit, zie HIER. Ondanks de relatief grote hoeveelheid documenten bevat dit opnieuw weinig nieuws. Eventueel commentaar door Privacy First op e.e.a. volgt wellicht nog.

                                                       ***    

In april dit jaar werd de invoering van een landelijk Elektronisch Patiëntendossier (EPD) vrijwel unaniem getorpedeerd door de Eerste Kamer. En terecht. Een dergelijk kolossaal EPD brengt immers grote privacy- en veiligheidsrisico's met zich mee. Aldus ook experts die door de Eerste Kamer waren geraadpleegd. Betrokken marktpartijen (waaronder zorgverzekeraars) lieten zich echter niet zomaar met dit democratische kluitje in het riet sturen en stuurden vrijwel meteen aan op een private doorstart. Ja, u leest het goed: een private doorstart van precies ditzelfde EPD buiten onze volksvertegenwoordiging om. Afgezien van een zomers interpellatiedebatje stuitte dit vreemdgenoeg niet op noemenswaardige tegenstand van de Tweede (!) Kamer. Ook Minister Schippers leek er weinig moeite mee te hebben, mits men het landelijk EPD zonder overheidssteun zou kunnen financieren. Een tweede voorwaarde was echter de ondubbelzinnige toestemming van iedere Nederlandse burger. Dit naar aanleiding van een tussentijdse 'zienswijze' van het College Bescherming Persoonsgegevens (CBP). Het CBP bleek recht in de leer: zonder individuele toestemming geen uitwisseling van medische gegevens. Voorwaar een spaak in het wiel van een landelijk EPD... de weerstand tegen dit EPD onder de Nederlandse bevolking is immers onverminderd groot.

Diezelfde bevolking is van een mogelijke private doorstart echter niet of nauwelijks op de hoogte: de meeste mensen verkeren nog steeds in de gelukkige veronderstelling dat het landelijk EPD door de Eerste Kamer voorgoed naar de prullenbak is verwezen. Men kan dit de burger niet kwalijk nemen: door de media is de laatste maanden nauwelijks aandacht aan de private doorontwikkeling besteed, misschien ook vanwege de stilte en schimmigheid eromheen. E.e.a. vindt immers vooral achter de schermen plaats, zonder inzage en inspraak door maatschappelijke privacy-organisaties als Privacy First. Dit terwijl door de Tweede Kamer wel op dergelijke inspraak is aangedrongen. Het is dan ook volstrekt onduidelijk in hoeverre momenteel aandacht wordt besteed aan privacyvriendelijke alternatieven. Hiermee lijkt zich eenzelfde patroon te ontvouwen als bij de gemankeerde ontwikkeling van de nieuwe Paspoortwet enkele jaren geleden: een klein groepje gelijkgestemde insiders beslist, daarbij hooguit terzijde gestaan door patiënten- en artsenorganisaties die als 'controlled opposition' fungeren. Diezelfde artsen worden momenteel zelfs massaal onder druk gezet om hun goedkeuring te verlenen. De termijn voor deze goedkeuring verloopt begin volgende week (met als uiterste deadline 1 november as). Daarmee nadert de eventuele doorstart van het landelijk EPD een kritiek ondemocratisch moment. Afgelopen zaterdag trok Marc Chavannes hierover terecht aan de bel in NRC Handelsblad. Weer heerste er vervolgens mediastilte. Welk radio- of televisieprogramma zal deze stilte als eerste durven doorbreken?

Update 6 oktober 2011: vanochtend doorbrak het RTL Ontbijtnieuws de televisiestilte. 's Middags debatteerde de Tweede Kamer met Minister Schippers over de eventuele doorstart van het EPD. Een audioverslag van dit debat vindt u HIER.

Update 13 oktober 2011: gisteravond zond ook Nieuwsuur een item over het EPD uit.

Ter gelegenheid van het privacydebat op 15 september as. verzond Privacy First vandaag de volgende brief aan de Tweede Kamer (PDF):

Geachte Kamerleden,

Voor u ligt een interessante taak: hoe kan Nederland zich op privacyterrein gaan ontwikkelen van Europese middenmoter tot internationaal gidsland? Dit vergt de best denkbare privacywetgeving in combinatie met de meest privacyvriendelijke techniek. Door hierin te investeren ontwikkelt Nederland tevens enorme exportkansen, vooral in technologisch opzicht. Het leidende motto van Privacy First daarbij is "eigen keuzes in een vrije omgeving." Oftewel: keuzevrijheid voor de burger in een maatschappij waarin privacy zowel wettelijk als technisch optimaal gewaarborgd is. Dit geldt in individuele én in collectieve zin. Immers: zonder privacy geen vrije individuele ontwikkeling en geen vrije democratische dynamiek.

Eerder AO Eerste Kamer en motie Franken

Het belang van een goede privacybescherming voor een democratische rechtsstaat kan nauwelijks overschat worden. In het licht hiervan is het des te pijnlijker om te moeten constateren dat het niveau van privacybescherming (en -beleving) in Nederland de laatste 10 jaar sterk gedaald is. Tegelijkertijd constateert Privacy First dat inmiddels sprake lijkt te zijn van een positieve kentering, zowel op Europees als op nationaal niveau. Op Europees niveau blijkt dit onder meer uit de plannen voor herziening van de Europese Privacyrichtlijn. Ook op nationaal niveau lijkt het privacybewustzijn onder beleidsmakers hoger dan enkele jaren geleden. Die tendens biedt perspectief. Niettemin brengt Privacy First ter gelegenheid van het aanstaande Algemeen Overleg (AO) over het Nederlandse privacybeleid graag een aantal aandachtspunten in. Deze aandachtspunten dienen ter aanvulling op de algemene aandachtspunten die Privacy First ten behoeve van een vergelijkbaar AO eerder dit jaar aan de Eerste Kamer toezond. Tevens verwijst Privacy First in dit verband graag naar de motie Franken die de Eerste Kamer vervolgens aannam. Privacy First hoopt dat de Tweede Kamer deze motie integraal en unaniem zal overnemen. Tevens adviseert Privacy First de Tweede Kamer zich ter voorbereiding op het AO te laten inspireren door de Aanbevelingen die de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) eerder dit jaar deed in het rapport iOverheid.

Collectiefbelangacties in het privacyrecht

Blijkens de brief d.d. 29 april 2011 staat het kabinet "niet afwijzend tegenover de introductie van collectiefbelangacties in het privacyrecht". Buiten de door de Europese Commissie beoogde invoering van privacyrechtelijke class actions bestaan Nederlandse mogelijkheden terzake echter allang, getuige art. 3:305a BW en art. 1:2 lid 3 Awb. In dit verband verwijst Privacy First tevens naar de wetsgeschiedenis van deze artikelen, de Wet bescherming persoonsgegevens (Wbp) en art. 10 van de vroegere Wet persoonsregistraties (Wpr). Tijdens het Kamerdebat over het al dan niet toekennen van procesbevoegdheid aan het College voor de Rechten van de Mens (eind maart 2011) leek minister Donner zich van het collectieve actierecht – en daarmee van bovengenoemde wetsartikelen – in mensenrechtelijke (inclusief privacyrechtelijke) zin te distantiëren. Hierbij refereerde de minister nadrukkelijk aan lopende rechtszaken tegen de nieuwe Paspoortwet. Vervolgens kondigde het kabinet aan de griffiekosten te willen verhogen. Het bestaande recht op toegang tot de rechter voor zowel ideële organisaties als voor individuele burgers komt hierdoor ernstig in de verdrukking. Bovendien rijst de vraag in hoeverre de bestaande wetgeving inzake collectiefbelangacties überhaupt nog door dit kabinet wordt erkend. In de optiek van Privacy First duiden deze ontwikkelingen op een nakende crisis in de rechtsstaat die veel verder zal gaan reiken dan de Wbp.

Vingerafdrukken in identiteitskaarten

Eind april 2011 deed minister Donner de toezegging om de nieuwe Paspoortwet dusdanig aan te passen dat burgers voor de aanvraag van een nieuwe identiteitskaart niet langer vingerafdrukken zouden hoeven af te geven. Deze wetswijziging zal echter pas medio 2012 aan de Raad van State worden voorgelegd en daardoor niet eerder dan eind 2012 / begin 2013 in werking kunnen treden. Niet valt in te zien waarom dit niet door de Tweede Kamer kan worden bespoedigd. Gezien de privacybezwaren tegen het gebruik van vingerafdrukken en de enorme foutenpercentages in de huidige biometrische techniek zou de Nederlandse regering zich op aandringen van de Kamer tevens sterk kunnen maken voor intrekking of amendering van de Paspoortverordening op Europees niveau.

Speciale categorieën persoonsgegevens

In de brief van de staatssecretaris van Buitenlandse Zaken d.d. 21 december 2010 worden enkele paragrafen gewijd aan het begrip '(gevoelige) persoonsgegevens'. De actuele reikwijdte (en daarmee de bescherming) van dit begrip omvat in de visie van Privacy First ook 'gepseudonimiseerde persoonsgegevens'. Voorbeelden hiervan zijn de medische gegevens die gepseudonimiseerd worden opgeslagen in de Nederlandse centrale database DIS (Diagnose-behandelcombinatie Informatie Systeem) en andere (bijvoorbeeld biometrische) gegevens die middels encryptietechnieken kunnen worden versleuteld. In een herziene Privacyrichtlijn (c.q. verordening) dienen biometrische en genetische gegevens uitdrukkelijk als 'gevoelige persoonsgegevens' te worden erkend en beschermd. Eventuele pseudonimisering van die gegevens doet daar niet aan af. Interessant gegeven in dit verband is dat ICT-bedrijven momenteel steeds meer onderzoek doen naar persoonsgebonden en -beheerde opslag van medische en andere privacygevoelige data.

Cameratoezicht en ANPR

Tenslotte enkele opmerkingen over de plannen van dit kabinet om openbaar cameratoezicht en automatische nummerplaatherkenning (ANPR) breder te gaan inzetten. Middels Privacy Impact Assessments (PIA) dienen dergelijke plannen zo grondig en onafhankelijk mogelijk te worden getoetst aan internationaal, Europees en nationaal recht en aan vereisten van maatschappelijke noodzakelijkheid, effectiviteit en proportionaliteit (inclusief openbare kosten-batenanalyses). In combinatie met voortgaande ontwikkelingen op het terrein van automatische gezichtsherkenning en digitale gelaatsscans doemt hierbij een Orwelliaans toekomstbeeld op dat zijn historische weerga niet kent. Privacy First doet hierbij dan ook een dringend beroep op de Tweede Kamer om het zover niet te laten komen en de plannen van het kabinet voor meer cameratoezicht en ANPR te blokkeren. Dit komt zowel de vrijheid van de Nederlandse burger als de besteding van schaarse overheidsmiddelen ten goede, ook aangezien er privacyvriendelijke alternatieven voorhanden zijn in zowel wetgevend als technologisch opzicht. Privacy First is ten zeerste bereid de Kamer hierover voor te lichten, opdat heldere en evenwichtige keuzes kunnen worden gemaakt. Met behoud van de principes van onze rechtsstaat, vanuit het uitgangspunt dat deze principes niet onderhandelbaar zijn, aangezien diegene die vrijheid inruilt voor veiligheid geen van beide verdient!

Hoogachtend,

drs. L.T.C. (Bas) Filippini
voorzitter Stichting Privacy First

Deze week incasseerde Big Brother een terechte nederlaag in Groningen: een proef met 'luistercamera's' in de Groningse binnenstad is totaal mislukt. Doel van de proef was om 'afwijkend gedrag' te kunnen detecteren. Dit blijkt echter technisch onhaalbaar: de microfoons kunnen niet eens een vechtpartij onderscheiden van een langsrijdende brommer. Burgemeester Peter Rehwinkel heeft daarom besloten de microfoons af te schaffen.

Het besluit van de burgemeester past in een actuele Europese trend: onlangs werd op aandringen van het Europees Parlement de geldkraan voor het Europese Big Brother-project INDECT dichtgedraaid. Ook dit project was bedoeld ter opsporing van 'afwijkend gedrag'. De politie verwachtte hiermee misdaden te kunnen voorspellen en voorkomen, ongeveer zoals in de Hollywoodfilm 'Minority Report'.

Het wachten is nu op de ontwikkeling van nieuwe software ter opsporing van afwijkend Big Brother-gedrag bij beleidsmakers. Privacy First houdt u op de hoogte...!  ;)

Bronnen: Volkskrant 20 juli & Webwereld 8 juni 2011.

Hedenmiddag verzond Privacy First de volgende brief aan de EPD-woordvoerders in de Tweede Kamer:

"Geachte Kamerleden,

Geheel terecht wees de Eerste Kamer onlangs met algemene stemmen het wetsvoorstel ter invoering van een landelijk Elektronisch Patiëntendossier (EPD) af, met name gezien de enorme privacyrisico's die dit EPD met zich zou meebrengen. Het is dan ook met grote zorg dat Privacy First inmiddels heeft kennisgenomen van ontwikkelingen die duiden op een mogelijke 'doorstart' van ditzelfde EPD langs private, buitenparlementaire weg. Een dergelijke 'doorstart' getuigt niet alleen van minachting van het democratisch proces, maar tevens van ontkenning van de risico's en zorgen op basis waarvan wettelijke invoering van een landelijk EPD (L-EPD) onlangs geen doorgang vond. Hierbij doet Privacy First dan ook een dringend beroep op u om deze ontwikkeling een halt toe te roepen en de relevante bewindspersoon ter verantwoording te roepen. In privacyrechtelijke zin blijft de Nederlandse overheid in de optiek van Privacy First immers onverminderd verantwoordelijk voor de privacy-inbreuken die uit een 'privaat L-EPD' zullen voortvloeien, juist ook gezien het feit dat een dergelijk systeem door de Eerste Kamer nadrukkelijk om privacyredenen is verworpen.

In lijn met de recentelijk aangenomen motie Franken dringt Privacy First er in dit verband tevens bij u op aan om zo spoedig mogelijk een onafhankelijke, openbare Privacy Impact Assessment (PIA) uit te (laten) voeren naar zowel 1) een landelijk EPD zoals dit betrokken private partijen voor ogen staat als naar 2) mogelijke alternatieven voor dit L-EPD. De criteria van noodzakelijkheid, proportionaliteit, subsidiariteit en keuzevrijheid dienen bij de uitvoering van deze PIA leidend te zijn. Een belangrijke rol bij de PIA zou moeten toekomen aan privacy by design en privacy enhancing technologies, waaronder bijvoorbeeld geavanceerde patiëntenpassen of personal health records. Totdat deze PIA zal zijn afgerond dienen geen onomkeerbare stappen richting een private doorstart van het L-EPD te worden gezet.

In de visie van Privacy First dient het Landelijk Schakelpunt (LSP) van het L-EPD conform de wens van de Eerste Kamer te worden omgevormd naar kleinschalige regionale systemen. Voor regionale uitwisseling is een LSP onnodig: daartoe volstaan immers regionale schakelpunten (RSP's), eventueel aangevuld met bovenregionale push-communicatie. Dit bevordert de beveiliging en vermindert de risico's van misbruik die aan een L-EPD inherent zijn."

Op dinsdag 24 mei jl. nam de Eerste Kamer een belangrijke motie aan waarin een aantal privacygaranties bij nieuwe wetgeving worden bevestigd en versterkt. De motie werd met overweldigende meerderheid aangenomen (slechts de VVD stemde tegen). Een week eerder (tijdens het Kamerdebat over digitale dataverwerking) was de motie door senator Hans Franken (CDA) ingediend en hadden zelfs minister Donner en staatssecretaris Teeven laten weten dat "er allemaal dingen in staan waar wij best mee kunnen leven." Hoewel de motie formeel gezien niet juridisch bindend is, is de inhoud ervan dat deels wel en komt aan de motie tevens groot politiek gewicht toe. De gehele motie luidt als volgt:

MOTIE VAN HET LID FRANKEN C.S.

Voorgesteld 17 mei 2011