Toon items op tag: AVG
Privacy First duikt in de wereld van connected cars
Niet een pc, laptop of tablet maar een auto is de meest krachtige en waardevolle computer die veel mensen in hun bezit hebben. De geavanceerde software en elektronica waar moderne auto’s mee zijn uitgerust vergemakkelijken het rijden, wijzen via navigatie de weg en helpen bij het inparkeren. Vandaag de dag is een nieuw voertuig al gauw voorzien van honderd miljoen regels aan programmeertaal.
Het gebruik van computers in auto’s is niets nieuws. De eerste geautomatiseerde systemen in voertuigen verschenen al in 1969. De mogelijkheid om de technische staat van een voertuig af te lezen via ‘on-board diagnostics’ (OBD) werd in de jaren ’80 geïntroduceerd en in de jaren ’90 gestandaardiseerd.
Inmiddels zijn we decennia verder en lijken auto’s met name onderhuids nog maar weinig op hun voorgangers. Nieuwe exemplaren zijn vaak elektrisch en beschikken over allerlei rijhulpsystemen (Advanced Driver-Assistance Systems), waarvan er om veiligheidsredenen inmiddels een flink aantal door de EU verplicht is gesteld. Denk aan noodremsystemen, rijbaanassistentie en automatische snelheidsbeperking.
Autotechniek schrijdt logischerwijs voort, maar er is één ontwikkeling in het bijzonder die ten aanzien van autogebruik en mobiliteit zorgt voor radicale verandering: verbinding met het internet. Alle modellen die nu worden gefabriceerd, zijn voorzien van een simkaart en staan te boek als ‘connected’. Het aantal ‘connected cars’ groeit gestaag: in de meeste (Westerse) landen zullen ze binnen enkele jaren in de meerderheid zijn. Dat levert een schat aan nieuwe mogelijkheden op.
Als het aan fabrikanten en overheden ligt worden voertuigen een integraal onderdeel van het Internet of Things. Binnen dat internet der dingen, dat volop in ontwikkeling is, wisselt een oneindig aantal objecten, apparaten en systemen gegevens met elkaar uit. Connected cars staan in verbinding met elkaar (Vehicle-to-Vehicle, V2V), hier en daar al met infrastructuur zoals stoplichten (Vehicle-to-Infrastructure, V2I) en op den duur, zo is de bedoeling, al het andere waarmee een connectie wenselijk of noodzakelijk is (Vehicle-to-Everything, V2X). Dat kunnen ook de smartphones of smartwatches van voetgangers zijn (Vehicle-to-Pedestrians, V2P).
Dergelijke vormen van communicatie moeten van steden slim-opererende omgevingen maken (smart cities). Connected cars moeten daarnaast zorgen voor meer verkeersveiligheid, efficiëntere routes, minder files, zuiniger rijden en trivialer zaken zoals het makkelijker kunnen vinden van een parkeerplaats. Comfort, gebruiksgemak en efficiëntie voeren de boventoon, maar voor de automobilist is er ook een keerzijde.
Grote hoeveelheden data die moderne auto’s genereren (tot wel 25Gb per uur) worden regelrecht of via een tussenpartij teruggestuurd naar de fabrikant, zij het soms met enige vertraging. Connected cars, ook wel smart cars genoemd, staan namelijk eerst en vooral in contact met wat vaak wordt aangeduid als de Original Equipment Manufacturers (‘OEMs’). Dat gebeurt met het oog op het monitoren van prestaties, (voorspelbaar) onderhoud, software-updates (steeds vaker over the air) en algehele productverbetering.
Het gaat echter niet alleen om technische data zoals oliepeil, motortemperatuur, brandstofverbruik, en kilometerstand, óók persoonsgegevens (personally identifiable information, PII) worden verzameld. In veel gevallen is dat niet zozeer uit noodzaak, als wel om commerciële redenen. Lang niet iedere automobilist is hiervan op de hoogte. De door autofabrikanten ontwikkelde telefoonapps om op de hoogte te blijven van de algehele status van een auto, blijken eveneens meer persoonlijke data te verzamelen dan nodig. Daarmee is de auto het zoveelste instrument geworden dat de privacy van honderden miljoenen mensen onder druk zet. De beeldspraak is inmiddels wat afgezaagd, maar de nieuwste auto’s kan je met recht smartphones op wielen noemen.
Voorkeurinstellingen, rijgedrag, routes, GPS-locaties, bestemmingen, tijdstippen, camerabeelden van binnen en buiten de auto, allerlei gevoelige informatie uit je telefoon die is aangesloten op de boordcomputer evenals bijvoorbeeld gezondheids- en biometrische gegevens kunnen immers allemaal worden bijgehouden en verzameld.
Dergelijke informatie is waardevol en daarom gewild. In algemene zin geldt: hoe meer relevante voertuigdata, hoe groter winsten van fabrikanten in potentie kunnen uitvallen. Consultancybedrijf Capgemini schat dat de markt van voertuigdata in 2030 wereldwijd tot wel 800 miljard dollar waard kan zijn. Naar verwachting levert de vergaarde data over enkele jaren meer op dan regulier onderhoud. Het zijn echter niet alleen de automerken die op voertuigdata azen.
De fabrikanten worden omringd door een web van toeleveranciers en bedrijven gespecialiseerd in software, infotainment, telematics, telecommunicatie en dataverwerking en -analyse. Ook importeurs, dealers, secundaire marktpartijen zoals garagehouders (de aftermarket), verhuurbedrijven en bijvoorbeeld verzekeraars maken onderdeel uit van dit ecosysteem. Deze partijen werken samen, zijn van elkaar afhankelijk maar zijn met tegengestelde belangen soms ook met elkaar in concurrentie. Gemene deler is dat iedereen een graantje wil meepikken van de lucratieve (persoons)gegevens die voertuigen genereren.
Privacy First start onderzoek
Privacy First wil graag meer inzicht krijgen in de werking van en de machtsverhoudingen binnen dit ecosysteem, en meer aandacht vestigen op de grootschalige datavergaring door de auto-industrie en de privacy-aspecten die daarmee gepaard gaan. Daarom duiken wij de komende periode in dit complexe onderwerp.
Aan de hand van artikelen en interviews met experts willen we het thema vanuit verschillende invalshoeken verder uitdiepen. Zo komt er bij connected cars veel technologie om de hoek kijken, zitten er juridische haken en ogen aan situaties die eerder niet voorkwamen en zijn bepaalde diensten van derde partijen mee-geëvolueerd met de innovaties binnen de automotivesector.
Denk bijvoorbeeld aan verzekeraars die digitaal meekijken in de auto in ruil voor korting op de premie. Dergelijke rijverzekeringen zijn al jaren gemeengoed, ook in Nederland. Meest opvallende voorbeeld hier is de autoverzekering van de ANWB. Waar de ene tak van deze organisatie het principe van my car, my data propageert en autobezitters op het hart drukt zoveel mogelijk de regie te voeren over eigen voertuigdata, houdt de afdeling die zich bezighoudt met verzekeringen het rijgedrag van automobilisten met de Veilig Rijden autoverzekering nauwlettend in de gaten.
Ondertussen zijn de traditionele rollen van fabrikant en autobezitters aan het verschuiven. Binnen de auto-industrie worden voertuigen namelijk allang niet meer gezien enkel als vervoersmiddel waarmee je van A naar B kan reizen. Het zijn (hele grote) gadgets geworden waarbij inmiddels net zozeer wordt gestunt met software als met pk’s. Juist omdat auto’s verbonden zijn met het internet, worden ze tegenwoordig bij uitstek geschikt geacht om allerlei abonnementen, diensten en technische features mee aan de man te brengen. Op hun beurt worden autobezitters steeds meer benaderd als afnemers van informatie en vermaak. De één zal het prettiger vinden dan de ander om ook ná de aanschaf van een auto in de rol van consument te worden geduwd.
In dit opzicht kun je je overigens afvragen of vraag leidt tot aanbod, of aanbod leidt tot vraag. Wie zat er in 1995 verlegen om een iPhone? Zouden er in 2007 al automobilisten zijn geweest die stonden te springen om een verwarmd stuur of de mogelijkheid je boodschappenlijstje tevoorschijn te toveren op het dashboard?
Connected cars; een hot topic
Uit de vele links in dit artikel blijkt wel dat Privacy First geen onontgonnen terrein betreedt. Connected cars staan al geruime tijd volop in de belangstelling. In het afgelopen decennium hebben tal van wetenschappers, commerciële en minder commerciële onderzoekbureaus, accountantskantoren, ngo’s, autoriteiten persoonsgegevens, consumentenbonden en overheidsinstellingen in binnen- en buitenland artikelen en rapporten over het thema gepubliceerd. Er zijn campagnes gevoerd om de bewustwording omtrent de privacy-gevaren van connected cars te vergroten en vanzelfsprekend is over alle ontwikkelingen ook veel in de media verschenen.
In Nederland zijn onder meer Trouw (Slimme auto’s nemen ons leven over met de data die ze verzamelen), De Groene Amsterdammer/Investico (De auto, een datavergaarbak), FD (Stortvloed aan data van automobilist naar fabrikant en derde partijen) en het online techplatform Tweakers (De auto als gegevensverzamelaar) in het onderwerp gedoken.
Het nieuwsitem Carmakers are collecting data and cashing in – and most drivers have no clue van CBS en de artikelen Connected Cars Are Just As Revolutionary As Electric Vehicles van Forbes en Who Is Collecting Data from Your Car? van The Markup zijn slechts enkele in het oog springende voorbeelden van mediaberichtgeving uit het buitenland, in dit geval de VS.
Privacy blijft kind van de rekening
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) staan autorijdende consumenten wat sterker in hun schoenen. Het uit de AVG voortgekomen Europees Comité voor gegevensbescherming heeft specifiek in het kader van verbonden voertuigen gezorgd voor uitgebreide richtsnoeren ten aanzien van de verwerking van persoonsgegevens. Die richtsnoeren vallen uit in het voordeel van de automobilist.
Toch concludeert Privacy First op basis van een globale analyse van een grote hoeveelheid rapporten, media-artikelen, lezingen en discussies over connected cars, dat er in bepaalde opzichten de afgelopen – plusminus – tien jaar maar weinig lijkt te zijn veranderd. De privacyrisico’s waarvoor rond 2012 werd gewaarschuwd, zijn er nu nog steeds, terwijl het bewustzijn hieromtrent niet significant lijkt te zijn toegenomen. Bovendien is het nog altijd in hoge mate aan automobilisten zelf om ervoor te zorgen dat er zorgvuldig met hun data wordt omgesprongen.
De ellenlange privacyverklaringen waarmee zij bij het kopen van een auto haast altijd met een gedachteloze handtekening akkoord gaan, zijn voor de meeste mensen even juridisch als onbegrijpelijk. Gezien de complexiteit van dergelijke verklaringen kan van consumenten ook niet redelijkerwijs worden verwacht dat ze die zullen begrijpen of ook maar lezen. Laat staan dat ze in staat zullen zijn om de verklaringen van verschillende merken met elkaar te vergelijken.
Daarnaast blijft de vraag in welke mate fabrikanten hun klanten daadwerkelijk de mogelijkheid bieden om niet te worden gevolgd (opt out). En als je daar al voor kan kiezen, in hoeverre is dat dan van (negatieve) invloed op het functioneren van de auto? Tesla-rijders die geen locatiegegevens willen delen krijgen de waarschuwing dat dat kan resulteren in ernstige schade aan de auto. Dat heeft toch alle schijn van een mes-op-de-keel tactiek.
Ja, er is voor automobilisten veel om rekening mee te houden. Wat gebeurt er bijvoorbeeld met je gegevens als er sprake is van meerdere gebruikers, zoals bij een deel- of huurauto? Je doet er goed aan die te wissen aan het eind van een rit. Eigenaren die hun voiture van de hand doen kunnen de boordcomputer maar beter resetten naar fabrieksinstellingen. Doe je dat niet, dan kan het zomaar zijn dat je maanden later nog steeds toegang hebt tot een auto die inmiddels in het bezit is van een ander.
Zo lek als een mandje
Nog niet aan de orde gekomen maar van groot belang is de cybersecurity. Er bestaat immers geen privacy zonder beveiliging. En ieder privacybeleid is slechts zo sterk als het beveiligingssysteem dat er achter zit. Ook op dit vlak valt door de jaren heen een zorgwekkende constante te ontwaren: steeds opnieuw komt aan het licht dat autofabrikanten (en soms aanverwante partijen) de beveiliging van hun auto’s niet op orde hebben.
Dit beeld werd vorige week nog eens spectaculair bevestigd toen Amerikaanse onderzoekers aantoonden dat de beveiliging van zowel ‘gewone’ als luxe auto’s (van Kia’s tot Ferrari’s) schromelijk tekortschiet. Niet alleen blijken de persoonlijke accounts van autobezitters in te zien, te bewerken en zelfs te vervangen, ook de algehele besturing van verschillende modellen kan op tal van manieren worden gehackt en dus overgenomen. Onder meer door de motor te starten of juist uit te zetten. Zowel de privacy als de fysieke veiligheid van bestuurders en passagiers is kortom in gevaar.
Het is het meest recente voorbeeld in een lange lijst van goedaardige (white hat) autohacks. In 2010 – de begindagen van connected cars – toonden wetenschappers al aan wat er op dit vlak zoal mogelijk is. In 2015 deed een journalist van Wired verslag van hoe twee mannen gewapend met een laptop zijn Jeep overnamen terwijl hij alleen op de snelweg reed. Het werd de meest besproken (vooraf afgestemde) computerkraak van een auto tot nu toe.
Onderzoekers aan de TU Delft en twee mensen van de politie waarschuwen in een gezamenlijk artikel dat er tussen de veiligheid (safety) en de beveiliging (security) van auto’s een fundamentele kloof bestaat. ‘‘De investeringen die de auto-industrie doet op het vlak van veiligheid [zoals crashtests] staan in schril contrast met de investeringen in beveiliging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatiestromen in de auto. Men voegt allerhande comfort toe, maar investeert onvoldoende in de beveiliging van dat comfort en evenmin in de beveiliging van de internetverbinding van de auto.’’
Voor zover bekend hebben criminelen of anderen met kwade intenties deze kwetsbaarheden in voertuigen tot dusverre nauwelijks geëxploiteerd. Dat is opvallend. Maar hoe meer er van digitale technologie gebruik wordt gemaakt, hoe meer er valt te hacken, en dat is niet per se een geruststellende gedachte. Inmiddels moeten auto’s die nu van de band rollen voldoen aan eisen op het gebied van cybersecurity om te worden goedgekeurd. Het zal de komende tijd interessant zijn om te zien of de beveiliging als gevolg hiervan daadwerkelijk wordt opgeschroefd.
Mogelijk zet het fabrikanten er ook toe aan af te rekenen met een ander hardnekkig beveiligingsprobleem waar autobezitters de dupe van kunnen worden. ‘Keyless entry’, het systeem waarmee auto’s zonder het gebruik van sleutels op afstand kunnen worden ontgrendeld, blijkt in veel gevallen eveneens zo lek als een mandje. Voor enigszins gewiekste dieven is dit systeem bij veel auto’s een koud kunstje om te kraken, blijkt uit herhaaldelijk onderzoek van ADAC, de Duitse ANWB. En eenmaal open is een auto zo gestolen.
Van connected naar self-driving
We kunnen er niet omheen, dus tenslotte werpen we nog een korte blik op die andere radicale ontwikkeling binnen de auto-industrie. De connected cars van vandaag zijn immers niet het eindstation, maar de opmaat naar de zelfrijdende auto’s van morgen. Self-driving cars en connected cars worden vaak in één adem genoemd en zijn niet los van elkaar te zien. Althans, waar de huidige connected cars slechts ten dele zelfrijdend zijn, zullen de volledig zelfrijdende auto’s van de toekomst per definitie verbonden zijn met het internet. Zonder internet komen ze niet van hun plaats.
Er wordt onderscheid gemaakt tussen zes niveaus van zelfstandigheid van auto’s:
• Niveau 0 – No automation: Besturing volledig in handen van automobilist.
• Niveau 1 – Hands on/shared control: Systemen als cruise control, traction control aan boord.
• Niveau 2 – Hands off (vanaf dit niveau is sprake van connected cars): eCall (april 2018), camera’s die helpen bij het inparkeren, navigatie, rijbaanassistentie en tal van andere vormen van infotainment.
• Niveau 3 – Eyes off: Auto rijdt in hoge mate zelfstandig, automobilist kan enige tijd controle uit handen geven.
• Niveau 4 – Mind off: Auto kan zelfstandig van A naar B rijden, maar deze zelfstandigheid kent nog geografische beperkingen en de automobilist kan de besturing overnemen.
• Niveau 5 – Steering wheel optional: De auto is volledig zelfstandig, een bestuurder is niet meer nodig.
De meeste (relatief) nieuwe auto’s beschikken over toepassingen die behoren bij niveau 2. Sommige merken hikken tegen niveau 3 aan, waaronder Nissan, Volvo en Tesla. Enkele Mercedes-Benz modellen zijn al uitgerust met niveau 3-systemen. Met niveau 4-auto’s worden al enige tijd testen op de openbare weg uitgevoerd. Toch verloopt de ontwikkeling van zelfrijdende auto’s al met al een stuk minder voorspoedig dan aanvankelijk voorspeld door onder meer Tesla-baas Elon Musk. Die had gedacht dat zijn auto’s in 2017 al volledig autonoom op de openbare weg zouden rondrijden. Dat dit jaren later nog steeds niet het geval is, heeft Tesla-rijders doen besluiten een schadeclaim in te dienen.
Er is één bedrijf – géén autofabrikant – dat op dit vlak flink aan de weg timmert. Het Amerikaanse Comma.ai wil de ontwikkeling van autonome auto’s versnellen. Met de aanschaf van Comma 3 (hardware) en het installeren van OpenPilot (open source software) zijn bezitters van meer dan 200 verschillende modellen van veel verschillende automerken in staat om de besturing van hun auto voor langere tijd uit handen te geven. De software wordt voortdurend verbeterd aan de hand van kunstmatige intelligentie, machine learning en de technische input van gebruikers.
Dit systeem werkt opmerkelijk goed, maar de RDW – de overheidsinstantie die in Nederland voertuigen goedkeurt en rijbewijzen en kentekens uitgeeft – staat gebruik van OpenPilot zonder goedkeuring vooraf niet toe. Overigens ontbreekt het vooralsnog bijna overal aan specifieke wetgeving omtrent zelfrijdende auto’s, wat hun introductie verder bemoeilijkt.
Hoe interessant ook, de capaciteit van auto’s om autonoom te opereren is voor Privacy First op zichzelf niet het meest relevant omdat de privacy van automobilisten er niet mee in het geding is. Aan auto’s zonder bestuurder kleven veeleer uiteenlopende ethische vraagstukken.
Wij houden het hoofdzakelijk bij de vraagstukken die worden opgeworpen door connected cars. Daarover zullen we publiceren op een speciale pagina van onze website, die zeer binnenkort volledig wordt vernieuwd. Houd privacyfirst.nl in de gaten!
EU Hof haalt streep door openbaar UBO-register
Het Hof van Justitie van de EU heeft op 22 november 2022 een dikke streep gezet door de openbare toegankelijkheid van het UBO-register. De toegang van het grote publiek tot informatie over uiteindelijk begunstigden van vennootschappen en andere rechtspersonen is een ernstige aantasting van de privacy. In een principiële uitspraak leggen de 15 rechters van de Grote Kamer van het Europese Hof uit dat de strijd tegen witwassen van geld en terrorismefinanciering in de eerste plaats een zaak is van de overheid. De bestrijding van witwassen rechtvaardigt niet dat een register met privacygevoelige gegevens voor iedereen openbaar is, aldus de hoogste Europese rechter. De gehele tekst van deze ‘landmark decision’ vindt u hier.
Privacy First is zeer verheugd over deze kritische en principiële uitspraak van het Hof van Justitie. Hiermee is een inhoudelijk oordeel gegeven over de vragen die Privacy First eerder over het UBO-register aanhangig maakte.
Begin 2021 heeft Privacy First een kort geding over het UBO-register aangespannen, met als inzet dat de Nederlandse rechter de zaak aan het Hof van Justitie van de EU zou voorleggen. Dat wilde de Nederlandse rechter niet doen omdat er op dat moment net een vergelijkbare Luxemburgse zaak aan het Hof van Justitie was voorgelegd. De voorzieningenrechter bevestigde daarbij wel al dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter tot de conclusie zou komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. In hoger beroep werd dit oordeel bevestigd.
De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten, zei hier indertijd al over: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’
Op 22 november 2022 is dat dus inderdaad gebeurd. De openbaarheid van het UBO-register is van de baan. De belangrijkste overwegingen van de uitspraak van het Hof van Justitie van de EU kunnen als volgt worden samengevat:
het beschikbaar stellen van UBO-gegevens aan het algemene publiek is een ernstige inmenging in de privacy van UBO’s. Op basis van de informatie uit het UBO-register kan een profiel worden gemaakt met bepaalde persoonlijke identificatiegegevens, de financiële situatie van de betrokkene en de economische sectoren, landen en specifieke ondernemingen waarin hij heeft geïnvesteerd. Een vrij toegankelijk UBO-register maakt deze gegevens beschikbaar voor een onbeperkt aantal personen, ook voor wie het wil inzien om redenen die geen verband hoeven houden met de anti-witwasregels. Deze UBO-gegevens zijn niet alleen voor eenieder vrij raadpleegbaar, maar kunnen daarna door derden worden opgeslagen en verder verspreid, waarbij het voor de UBO steeds moeilijker of zelfs illusoir wordt om zich te verdedigen tegen misbruik.
Het bestrijden van witwassen en de financiering van terrorisme is een doelstelling van algemeen belang die de privacy-inbreuk die ontstaat met een UBO-register kan rechtvaardigen, maar dit betekent niet zonder meer dat iedereen toegang tot dat register moet hebben.
Het Hof legt uit dat in dit kader de volgende drie punten moeten worden beoordeeld:
1. Is de publieke toegankelijkheid van het UBO-register een geschikt middel in de strijd tegen witwassen?
2. Voldoet de inbreuk op de privacy van de UBO’s door toegang voor iedereen aan de eis van subsidiariteit en beperkt blijft tot het strikt noodzakelijke, met andere woorden: kan de strijd tegen witwassen niet redelijkerwijs even doeltreffend worden gevoerd op een andere wijze, die de grondrechten van de betrokkenen minder aantast?
3. Is de privacy-inbreuk die het gevolg is van volledige openbaarheid van het UBO-register evenredig en proportioneel, bij afweging van enerzijds het belang van witwasbestrijding en anderzijds de ernst van de privacy-inbreuk?
Aan de eerste vraag besteedt het Hof van Justitie weinig woorden: een publiek toegankelijk UBO-register kán door de daaruit voortvloeiende transparantie bijdragen aan een omgeving die minder makkelijk voor witwassen kan worden gebruikt. Maar op de andere twee punten voldoet de openbaarheid van het UBO-register niet aan de daaraan te stellen eisen.
Het antwoord van het Hof van Justitie op de tweede vraag is dat de privacyschending die het gevolg is van volledige openbaarheid van het UBO-register niet strikt noodzakelijk is. In een vorige versie van de anti-witwasregelgeving stond dat ‘personen of organisaties die een legitiem belang kunnen aantonen’ toegang hadden tot het UBO-register. Het Hof van Justitie benoemt nu als groepen die zo’n legitiem belang kunnen hebben:
a. de pers en maatschappelijke organisaties die zich bezig houden met de voorkoming en bestrijding van het witwassen van geld en terrorismefinanciering;
b. personen die de identiteit van een UBO willen kennen in het kader van een mogelijke transactie; en
c. financiële instellingen en autoriteiten die betrokken zijn bij de strijd tegen witwassen en terrorismefinanciering.
De Europese Commissie heeft eerder aangegeven dat het moeilijk is om een juridische definitie te geven van het begrip ‘legitiem belang’. Dat vindt de rechter te kort door de bocht: dat het moeilijk is om dat begrip af te bakenen, rechtvaardigt nog niet om dan maar aan iedereen toegang te geven. En dus sneuvelt de openbaarheid van het UBO-register, omdat de privacy-inbreuk voor de UBO’s niet beperkt blijft tot wat strikt noodzakelijk is.
Ook in het antwoord op de derde vraag, naar de evenredigheid van de privacy-inbreuk ten opzichte van het belang van anti-witwasdoelstellingen, laat het Hof van Justitie de privacy prevaleren. De strijd tegen witwassen en terrorismefinanciering is primair een taak van de overheid en financiële instellingen. Die hadden eerder ook al volledige toegang tot het UBO-register. De uitbreiding van de toegang tot het UBO-register tot het volledige publiek leidt tot een aanzienlijk zwaardere aantasting van de privacy, zonder dat dit wordt gecompenseerd door voordelen in de strijd tegen witwassen en terrorismefinanciering.
Voor Nederland betekent dit dat het UBO-register per direct niet meer openbaar toegankelijk mag zijn. Privacy First heeft direct na deze uitspraak de Minister van Financiën opgeroepen om dat zo spoedig mogelijk in orde te maken. Nog op de dag van de uitspraak is gehoor gegeven aan deze oproep en is de openbare toegankelijkheid van het UBO-register afgesloten. Een grote overwinning voor de privacy. Het doel van de rechtszaak die Privacy First in 2021 begon is hiermee bereikt. Het UBO-register is niet langer openbaar toegankelijk. Bij gebreke hieraan zal Privacy First een nieuw kort geding starten om de uitspraak van het EU Hof te handhaven.
Er zal mogelijk een discussie komen over de afbakening van de groep personen die op basis van een ‘legitiem belang’ toegang hebben tot het UBO-register. Die discussie kan het best op het niveau van de EU worden gevoerd, omdat de anti-witwasregelgeving ook EU-regelgeving is. Daarbij zal dan ook de European Data Protection Supervisor zich inhoudelijk kunnen bemoeien. Deze onafhankelijke toezichthouder adviseerde al in 2017 dat openbare toegankelijkheid van het UBO-register niet proportioneel zou zijn.
De Europese wetgever heeft zich indertijd helaas niets van dat advies aangetrokken. Het komt helaas vaker voor dat de Europese wetgever regels opstelt die een forse inbreuk op de privacy maken, en dat de hoogste Europese rechter jaren later oordeelt dat die regels een te grove schending zijn. Het is goed dat de rechter kritisch is en het belang van privacy zwaar laat wegen. De rechter heeft in een democratische rechtsstaat immers het laatste woord, en de Grote Kamer van het Hof van Justitie van de EU heeft de afgelopen jaren keer op keer in het voordeel van de privacy geoordeeld. Maar het zou nog beter zijn als de regelgever zelf het belang van privacybescherming op waarde schat. Dan zouden veel privacyschendingen door de overheid kunnen worden voorkomen.
Terugblik op publieksdebat “Waar is morgen uw medisch dossier?”
Op 2 juni jl. organiseerde Privacy First in het Amsterdamse Volkshotel een paneldiscussie over de toekomst van zorgcommunicatie. Vier deskundigen op het gebied van zorg en gegevensuitwisseling gingen in gesprek over wat er nodig is om dit slepende dossier uit het slop te halen.
Met de vraag “Gegevensuitwisseling in de zorg: waarom werkt het nog niet?” luidde Privacy First-bestuurslid Marc Smits de centrale kwestie van de avond in. Er wordt in Nederland al bijna twintig jaar gewerkt aan digitalisering van communicatie tussen zorgverleners, maar, zo constateert hij: “het werkt nog steeds niet echt”. Na een presentatie waarin Smits kort de probleemstelling van de avond toelichtte, ging een panel van vier deskundigen op het snijvlak van zorg, privacy en technologie in discussie over de toekomst van gegevensuitwisseling in de zorg.
Het panel bestond uit:
Guido van ’t Noordende, informaticus die is gepromoveerd op decentrale systemen en vanuit die achtergrond onderzoeker en voorvechter van decentrale communicatie. Van ’t Noordende is oprichter van Whitebox Systems, een decentraal opererend zorgcommunicatiesysteem.
Geranne Lautenbach, jurist en consultant op het gebied van gezondheid bij adviesbureau MedicalPHIT. Ze is betrokken bij onder andere het landelijk programma TWIN, een afspraakstelsel voor standaardisatie van berichten en is daarnaast privacy-adviseur bij het Radboud UMC en functionaris gegevensbescherming voor de landelijke prenatale screening.
Herman Pieterman is gepensioneerd radioloog, voormalig secretaris van de Nederlandse Vereniging voor Radiologen en werkte in het Erasmus MC. De laatste tien jaar was hij daar hoofd patiëntenzorg en liep hij tegen veel problemen aan bij de beschikbaarheid van radiologische beelden. Pieterman werkte aan een systeem waarmee radiologen sneller onderling beelden konden uitwisselen en is na zijn pensionering nauw betrokken gebleven bij dit onderwerp.
Wim Jongejan is gepensioneerd huisarts en publiceert al geruime tijd op de website ZorgICTZorgen kritische stukken over (digitale) ontwikkelingen in de zorg, waarbij privacy en het medisch beroepsgeheim belangrijke thema’s zijn.
De moderator van de avond was Privacy First vice-voorzitter Nelleke Groen.
In de anderhalf uur durende paneldiscussie werd ingegaan op de knelpunten die de huidige zorgcommunicatiesystemen kennen, wat er moet gebeuren om deze op te lossen en welke problemen vooralsnog in de weg stonden van toekomstbestendige zorgcommunicatie. Dit aan de hand van stellingen die inhaakten op dilemma’s bij de wetgeving, de keuze voor technologie en de politiek van de Nederlandse zorgsector:
“Beschikbaarheid van gegevens is belangrijker dan het medisch beroepsgeheim.”
Deze discussie werd in de voorgaande jaren vaak beslecht met het scenario “als je in Leeuwarden onder een bus komt, kennen ze daar je medische dossier niet.’' Maar moet de huisartsenpost dan ook inzien welke huwelijksproblemen je onlangs met je huisarts hebt besproken? Hoe gaan we om met medische noodsituaties waarin patiënten geen toestemming voor het raadplegen van hun gegevens kunnen geven? Op dit moment is het niet mogelijk om bij voorbaat een specifieke set noodgegevens beschikbaar te stellen, maar slechts een samenvatting van het dossier. Een beter systeem zou dan ook moeten zijn ingericht om specifiek bepaalde gegevens beschikbaar te stellen in geval van nood – zonder daarbij niet-noodzakelijke gegevens te delen. Dat is immers in strijd met het beroepsgeheim en levert artsen tuchtrechtelijke problemen op.
“Iedere dokter moet altijd bij alle gegevens kunnen.”
Vanuit de beroepspraktijk van een zorgverlener kan het zeer frustrerend zijn om niet te kunnen beschikken over alle gegevens die je nodig hebt voor een behandeling. Maar toch is het vanuit veiligheidsoogpunt onwenselijk om iedere zorgverlener ‘met één druk op de knop’ inzage te bieden. Hoe breder gegevens toegankelijk worden gemaakt, des te kwetsbaarder wordt een systeem voor hackers en ander misbruik. En hoe controleer je of een zorgverlener die je gegevens opvraagt, ook werkelijk een behandelrelatie heeft? Hedendaagse zorgcommunicatiesystemen als het Landelijk Schakelpunt (LSP) zijn daar niet op ingericht.
“Het is onrealistisch om te denken dat we binnen afzienbare tijd een landelijk dekkend systeem voor zorgcommunicatie hebben dat voldoet aan de eisen van privacy en veiligheid.”
Ondanks torenhoge ambities en dito investeringen is er elf jaar na de eerste poging tot een landelijk dekkende gegevensuitwisseling in de zorg slechts op beperkte schaal uitwisseling gerealiseerd, in een beperkt deel van de zorg. Via het huidige LSP wordt alleen een professionele samenvatting van het huisartsendossier uitgewisseld en wordt medicatie-informatie met de apotheek gedeeld. Het doorsturen van beelden is bijvoorbeeld niet mogelijk; informatie die buiten deze professionele samenvatting valt, kan niet door het LSP worden gedeeld. Er zijn ook nu nog veel obstakels voor een landelijk geharmoniseerde zorgcommunicatie. De zorg in Nederland is geprivatiseerd, wordt geacht met elkaar te concurreren en is daarom sterk gefragmenteerd. Gezamenlijke inkoop is aan banden gelegd, waardoor er veel technische problemen optreden bij het koppelen van verschillende systemen, geleverd door verschillende bedrijven. Organisaties in de zorg werken vaak op hun eigen eilandje, waardoor er ook sterk variërende interpretaties zijn van wet- en regelgeving.
“Het is onverantwoord om patiënten zelf verantwoordelijk te maken voor de afscherming van hun medische gegevens.”
Op verschillende manieren werd en wordt gepoogd om patiënten een sterkere regie te geven in het beheren van hun medische dossiers. Dit gaat van patiëntenportalen waar een afschrift van het dossier kan worden opgevraagd tot initiatieven om patiënten zelf aan te laten vinken welke zorgverleners welke informatie mogen raadplegen. Om verschillende redenen is dit een riskant plan; begrijpen alle patiënten immers wel waar ze toestemming voor geven? Voor veel mensen, vooral mensen met een hoge zorgvraag, is dat niet het geval en zal dit vooral een drempel opleveren. Daarnaast staat het op gespannen voet met het medisch beroepsgeheim, dat niet door de patiënt maar door de arts wordt gewaarborgd. Het biedt derde partijen tevens mogelijkheden om medische gegevens die ze nooit van een arts zouden krijgen, toch via patiënten zelf los te peuteren.
“De ‘corona opt-in’ moet permanent worden voor alle noodsituaties.”
Ondanks het feit dat miljoenen Nederlanders geen toestemming hadden gegeven om hun dossier beschikbaar te stellen via het Landelijk Schakelpunt, werd dit in april 2021 door het Ministerie van Volksgezondheid overruled en konden medewerkers van huisartsenposten en de spoedeisende hulp toch toegang krijgen tot de professionele samenvatting van hun medisch dossier. In Kamerbrieven heeft het Ministerie inmiddels aangegeven dat zij deze maatregel permanent wil maken. In feite is het dan ook geen ‘opt-in’, wat impliceert dat de patiënt hier zelf toestemming voor heeft gegeven. Het is een opt-out naar model van het landelijk EPD dat in 2011 werd verworpen door de Eerste Kamer. Ook hier moesten patiënten onder een ‘wie zwijgt, stemt toe’ regime zelf aangeven dat hun gegevens niet mochten worden gedeeld. Aangezien de corona opt-in werd gerechtvaardigd door de noodsituatie van de coronapandemie, kan deze nu moeilijk als houdbaar worden beschouwd. Het kan zeker nuttig zijn om voor noodsituaties bepaalde noodzakelijke gegevens beschikbaar te stellen, maar dat is binnen de architectuur van het LSP niet mogelijk.
Privacy First voorzitter Paul Korremans sloot vervolgens de avond af met een kort dankwoord aan de aanwezigen en de panelleden.
De Wet Elektronische Gegevensuitwisseling in de Zorg (Wegiz) ligt op dit moment in de Tweede Kamer en zou een doorbraak kunnen betekenen naar een zorgvuldige, efficiënte en veilige zorgcommunicatie. Lees HIER het commentaar dat Privacy First eerder inbracht op dit wetsvoorstel.
Privacy First is voor de uitvoering van haar dagelijkse werkzaamheden en het voeren van politieke lobby volledig afhankelijk van giften en donaties – zo ook op dit onderwerp. Steun Privacy First met een financiële bijdrage via deze pagina. Wilt u voortaan een directe uitnodiging voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.
Privacy First zoekt ondersteuning bij Nederlandse Privacy Awards
Help mee bij de organisatie van de Nederlandse Privacy Awards!
Privacy First is op zoek naar ondersteuning bij de voorbereiding van de Awards-uitreiking eind januari 2023. We starten liefst z.s.m.
Deze rol kost gemiddeld een halve dag per week en kan worden ingevuld als vrijwilligerswerk of als stage. Voor de ondersteuning is helaas geen vergoeding beschikbaar, wel worden noodzakelijke onkosten en reiskosten vergoed.
Wat moet je kunnen en wat is nodig voor het invullen van deze rol?
- Interesse in privacy;
- Organisatorisch talent;
- Eigen initiatief;
- Ondersteuning bij het organiseren van meetings, vooral digitaal;
- Assistentie bij het opstellen van persberichten, contacten met media en beheer van de Awards-website;
- Assistentie bij de organisatie van de Nationale Privacy Conferentie en Awards-uitreiking op 28 januari 2023.
Er zal veel digitaal gebeuren, deels ook op ons kantoor aan de Nieuwe Herengracht in Amsterdam. En uiteraard de uitreiking zelf in Nieuwspoort, Den Haag.
Wat ga je leren en meemaken?
- Privacy en de daaraan verbonden maatschappelijke ontwikkelingen zijn in een stroomversnelling terechtgekomen. Hier zit je met je neus bovenop;
- De Nederlandse Privacy Awards bieden dé gelegenheid voor organisaties, bedrijven en overheden om te laten zien wat voor positiefs zij in het kader van privacy kunnen betekenen;
- Door ervaren experts in de jury wordt beoordeeld wat echt impact heeft op bescherming van de persoonlijke levenssfeer en wat die impact is;
- Je helpt mee om een groot evenement te organiseren in Nieuwspoort, met veel bezoekers, als geïntegreerd onderdeel van de Nationale Privacy Conferentie met ECP, inclusief digitale streaming daarvan.
Kortom, de kans om een interessante, leerzame en nuttige bijdrage te leveren aan een positieve nationale bijeenkomst rond het actuele thema privacy.
Interesse? Neem contact op met Privacy First!
Inschrijving Nederlandse Privacy Awards 2023 geopend!
Op 25 januari 2023 (in aanloop naar de Europese Dag van de Privacy) worden door Stichting Privacy First weer de jaarlijkse Nederlandse Privacy Awards uitgereikt!
Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:
-
categorie Consumentenoplossingen (van bedrijven voor consumenten)
-
categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)
-
categorie Non-profit (overheid, zorg en onderwijs)
-
Aanmoedigingsprijs voor een baanbrekende technologie, initiatief of persoon.
"Achter de schermen zijn de juryleden al bezig met de voorbereiding van de nieuwe editie van de Privacy Awards. We zien dat mensen zich steeds meer bewust worden van hun privacy in de digitale wereld. De grootste uitdaging is grip te krijgen op het gebruik van je digitale data. Die grip zijn we onderweg kwijtgeraakt aan Big Tech. Een beetje het gevoel van ‘we stonden erbij en we keken ernaar’. Om de grip terug te krijgen, moeten we de krachten bundelen. Zo is dit jaar de Privacy Coalitie ontstaan. Het staat ook steeds meer op de politieke agenda. En wij proberen met de Privacy Awards hier een bescheiden bijdrage aan te leveren door privacyvriendelijke initiatieven in de spotlights te zetten. We zijn ontzettend benieuwd naar de nieuwe inzendingen. Kom maar op!”, aldus Magdalena Magala, voorzitter van de jury.
De voorwaarden voor deelname vindt u hier.
Bepalen van de genomineerden
Alle inzenders kunnen zich t/m 30 november 2022 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op de criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2022 hoort u of u wel of niet tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.
Wilt u uw eigen organisatie niet kandideren maar kent u wel een ander die in uw optiek voor een Nederlandse Privacy Award in aanmerking komt? Tip ons via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. ! Dit kan t/m 30 november 2022.
Voorschriften pitch
● Maximaal 3 minuten
● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)
● De presentatie bevat in ieder geval de volgende onderdelen:
o Organisatienaam
o Privacy project omschrijving
o Doel en behaalde resultaten.
Jury Nederlandse Privacy Awards
De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
> Magdalena Magala, Vaktechnisch coördinator AVG, Belastingdienst (jury-voorzitter)
> Paul Korremans, voorzitter Privacy First
> Nico Mookhoek, privacyjurist en oprichter DePrivacyGuru
> Rion Rijker, privacy- en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting
> Mathieu Paapst, universitair docent IT-recht Rijksuniversiteit Groningen en projectlead cookiedatabase.org
> Jaap van der Wel, IT-deskundige en privacyjurist, managing partner Comfort Information Architects
> Erik Bruinsma, jurist; directeur Strategie en bestuursadvisering, Centraal Bureau voor de Statistiek
> Mabel de Vries, Functionaris Gegevensbescherming en senior adviseur informatiebeveiliging, risk en privacy
> Walter van Wijk, Community manager privacy, Centrum Informatiebeveiliging en Privacybescherming.
Om te garanderen dat de verkiezing van de Awards objectief verloopt wordt uitgesloten dat een jurylid een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.
Privacy First organiseert de Nederlandse Privacy Awards in samenwerking met ECP.
Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!
Privacy Coalitie roept op tot meer bewustzijn en actie om digitale privacy te beschermen
Laat Nederland niet alleen vooroplopen met digitalisering, maar tegelijk koploper zijn op het gebied van digitale privacy en een betere bescherming van mensen. Maak mensen bewust van de risico’s, geef zelf het goede voorbeeld en zorg voor voldoende privacyvriendelijke alternatieven. Die oproep heeft een brede coalitie van organisaties en bedrijven vandaag gedaan aan de Tweede Kamer in een manifest.
De nieuwe Privacy Coalitie constateert in een gezamenlijk manifest dat steeds meer digitale platforms, diensten en apps de data van gebruikers verzamelen zonder dat die het beseffen. Die data worden doorverkocht en gekoppeld en vervolgens gebruikt om mensen te tracken, hun online gedrag te volgen en te beïnvloeden. “Zo ontstaat een digitaal profiel op basis waarvan bedrijven en zelfs overheden beslissingen nemen die grote impact hebben op onze levens, zonder dat we daar zelf invloed op hebben”, aldus de coalitie. Ze waarschuwt ook voor verdere polarisatie in de samenleving omdat mensen niet meer in de hand hebben welke informatie ze wel en niet online te zien krijgen.
Keuzevrijheid
Zowel op Europees als nationaal niveau wordt gewerkt aan wetgeving om het ongebreideld gebruik van persoonlijke data aan banden te leggen. Maar met alleen regelgeving en toezicht gaan we het niet redden; de ontwikkelingen gaan zo snel dat we altijd achter de feiten blijven aanlopen, stelt de Privacy Coalitie.
De Privacy Coalitie vraagt de vaste commissie Digitale Zaken van de Tweede Kamer om veel actiever te werken aan het bewustzijn bij mensen over het belang van digitale privacy. De overheid, maar ook het bedrijfsleven zou hier zelf het goede voorbeeld in kunnen geven door alleen nog digitale platforms en diensten te gebruiken die de privacy respecteren. Ook pleit de coalitie voor meer steun aan privacyvriendelijke alternatieven, zodat mensen keuzevrijheid hebben.
Hoge prijs
“We zien dat digitale platforms steeds handiger worden in het verzamelen van data van gebruikers, zonder daar transparant over te zijn”, zegt Haykush Hakobyan van Privacy First, één van de initiatiefnemers van de Privacy Coalitie. “Mensen denken dat de diensten gratis zijn, maar ze betalen onbewust een hoge prijs met hun persoonlijke gegevens. Die trend moeten we nu stoppen. Het is een maatschappelijke verantwoordelijkheid van bedrijven, organisaties en overheden om zich actief in te zetten voor digitale privacy. Er zijn genoeg technologische mogelijkheden om digitaal actief te zijn zonder de privacy te schenden.”
Hakobyan riep de Tweede Kamer op om een technische briefing te organiseren met aanbieders van privacyvriendelijke oplossingen. “Onlangs hield de Tweede Kamer een hoorzitting met onder andere Google en Facebook. Het is nu tijd om ook partijen aan het woord te laten die de privacy van mensen wél respecteren.” De Privacy Coalitie nodigde de digitale commissie van de Tweede Kamer uit om in gesprek te blijven en oplossingen te zoeken.
Lisa van Ginneken, die namens D66 deel uitmaakt van de commissie Digitale Zaken: “Wat mij betreft is privacy niet onderhandelbaar. Het is een basisprincipe dat onze vrijheid en ons recht om niet bespied te worden garandeert. In de fysieke ruimte maar ook op internet. Digitale mensenrechten zijn geen sluitstuk maar een startpunt van elke technologische ontwikkeling.”
Download HIER het actuele manifest van de Privacy Coalitie met alle mede-ondertekenaars (pdf).
Wilt u met uw bedrijf of organisatie de oproep van de Privacy Coalitie steunen? Neem dan Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. op met de coalitie!
Privacy? Het is nu of nooit!
Sinds haar oprichting in 2008 maakt Stichting Privacy First zich dagelijks zorgen om het toenemende gebrek aan privacy in de Nederlandse samenleving, zowel online als offline. Sluipenderwijs wordt ieders persoonlijke levenssfeer steeds verder aangetast en lijkt privacy zoals die vroeger bestond steeds meer een illusie te worden. Tegelijkertijd heeft de invoering van de AVG ervoor gezorgd dat het privacybewustzijn steeds hoger wordt. Voorbeelden van gebrekkige of onzorgvuldige omgang met persoonsgegevens in het nieuws en de impact ervan hebben bijgedragen aan de noodzaak en sterkere behoefte voor de bescherming van ons privacyrecht. In Nederland zijn bovendien de kennis en de techniek aanwezig om onze maatschappij op een privacyvriendelijke manier te kunnen inrichten. Tegelijkertijd komen er vanuit Brussel plannen voor een alomvattend eID op ons af waardoor ieders resterende anonimiteit voorgoed tot het verleden zou kunnen gaan behoren. De vooruitzichten vanuit Den Haag zijn evenmin rooskleurig; zo heeft het ministerie van Binnenlandse Zaken het eerder verfoeide plan voor een centrale biometrische databank na 11 jaar uit de ijskast gehaald en wil dit alsnog gaan verwezenlijken. Om de surveillance samenleving compleet te maken, dreigen ook de buitenwettelijke praktijken van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) wettelijk te worden verankerd en wordt de NCTV een nieuwe geheime dienst. Van het debacle rond het Systeem Risico Indicatie (SyRI) en de Toeslagenaffaire heeft men in Den Haag evenmin iets geleerd: “Super SyRI” (de Wet gegevensverwerking door samenwerkingsverbanden, WGS) is inmiddels in aantocht. Intussen raken burgers, bedrijven en andere organisaties steeds verder ingekapseld door Big Tech, getuige bijvoorbeeld de ijzeren greep van Google op het onderwijs. En zo zijn er nog talloze voorbeelden, teveel om hier te noemen.
Privacy First kan deze ontwikkelingen niet langer laten voortduren. We staan nu op een historisch kruispunt: welke samenleving willen we? In wat voor maatschappij willen wij onze kinderen en kleinkinderen laten opgroeien? Het is NU tijd voor actie. Actie om het tij te keren en een privacyvriendelijke toekomst af te dwingen. We hebben de kennis. We hebben de technologie. De alternatieven bestaan of zijn in ontwikkeling. “Be the change you want to see in this world.” Alles is mogelijk, maar dat vergt communicatie, solidariteit en samenwerking. Privacy First maakt zich hier dagelijks sterk voor. Wie sluit zich hierbij aan?
Publieksdebat Privacy First over medische privacy
Waar is morgen uw medisch dossier?
“Digitale communicatie in de zorg: waarom is dat nog niet geregeld?!”
Elf jaar na het sneuvelen van het Landelijk Elektronisch Patiëntendossier geldt digitale zorgcommunicatie nog altijd als een chronisch hoofdpijndossier. Hoewel de nadelen van het “dossier met duizend deuren aan de achterkant” helder zijn, bleef een beter alternatief vooralsnog uit. De patiëntenlobby en zorgverlenerskoepels bleven fervent voorstander van de EPD-systematiek, en ook het ministerie van VWS bleef met wet- en regelgeving de werking van een landelijk dekkend, centraal toegankelijk systeem ondersteunen.
Met de Wet Elektronische Gegevensuitwisseling In de Zorg (WEGIZ) lijkt er ruim elf jaar nadat de Eerste Kamer het EPD afschoot, ruimte te komen voor alternatieve systemen. De wet maakt nieuwe technische normen en standaarden mogelijk en moet patiënten meer keuzevrijheid bieden in de manier waarop hun medische gegevens worden uitgewisseld. Tijdens een publieksdebat georganiseerd door Privacy First gaan we op zoek naar kansen die deze nieuwe situatie biedt.
Hoe verschillen alternatieve systemen van het ‘oude EPD’ en bieden deze een oplossing voor eerdere tekortkomingen? Zijn ze in staat om de discussie “toegankelijkheid versus privacy” eindelijk te beslechten?
Welke belangen en politieke tegenstellingen stonden voorheen in de weg aan efficiënte en veilige zorgcommunicatie? Zullen alternatieve systemen een eerlijke kans krijgen tegenover het EPD-systeem dat al elf jaar door zorgverzekeraars wordt gepusht?
Wie kan er allemaal in uw dossier als u zich aanmeldt voor een uitwisselingssysteem? Wie bepaalt dat: de patiënt, diens arts, of de werkwijze van het gebruikte systeem? Hoe kan technologie worden ingezet om het beroepsgeheim ook digitaal te kunnen waarborgen?
Na een korte introductie over het onderwerp en de dilemma’s van digitale zorgcommunicatie zal een panel van deskundigen een open debat houden over de toekomst van het medisch dossier.
Sprekers zijn o.a. Guido van 't Noordende (Whitebox), Geranne Lautenbach (MedicalPHIT), Herman Pieterman (oud-radioloog en voormalig secretaris NVvR) en Wim Jongejan (ZorgICTZorgen, voormalig huisarts).
Iedereen is welkom en toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.
Datum: donderdag 2 juni 2022, 19.30-22.00u (inloop vanaf 19.00u, borrel na afloop).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.
In het verleden organiseerde Privacy First regelmatig openbare publieksdebatten rond actuele thema’s. Na twee jaar corona-beperkingen kunnen we nu eindelijk weer een dergelijk evenement organiseren. Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.
Burgerrechtencoalitie: Eerste Kamer moet datasurveillancewet ‘Super SyRI’ afwijzen
De coalitie die eerder de rechtszaak tegen SyRI won, roept de Eerste Kamer op de nog ingrijpendere datakoppelwet WGS af te wijzen. Volgens de partijen ligt het voorstel op ramkoers met de rechtsstaat en weigert het kabinet lessen te trekken uit de Toeslagenaffaire.
De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om data die overheden en bedrijven bewaren over burgers en bedrijven samen te brengen in zogeheten samenwerkingsverbanden. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen. Dit moet helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.
Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij kunnen deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die in hun vizier belanden.
Datasurveillance op burgers door overheden en bedrijven
Om het massaal delen van persoonsgegevens tussen de overheid en bedrijven mogelijk te maken, schuift de WGS tal van geheimhoudingsplichten, privacyrechten en juridische waarborgen opzij die vanouds hebben gegolden voor het verwerken van persoonsgegevens. Dit leidt tot een “verregaande, grootschalige uitholling van de rechtsbescherming van burgers”, aldus de partijen: “Indien dit wetsvoorstel wordt aangenomen zal de deur wagenwijd open worden gezet voor de uitvoerende tak van de overheid om samen met private partijen zowel burgers als bedrijven te onderwerpen aan willekeur in de vorm van ongerichte data-surveillance.”
Het kabinet wil bovendien de mogelijkheid creëren om in geval van ‘spoed’ nieuwe samenwerkingsverbanden te starten, zonder dat de Kamer zich hierover kan buigen. Deze worden na hun oprichting pas voorgelegd aan de Kamer, die daarna moet beslissen of ze als wet worden aangenomen. Dit is in strijd met de Grondwet, die voorschrijft dat inbreuken op de privacy moeten worden opgenomen in wetgeving die door het parlement is goedgekeurd. De partijen vinden het onacceptabel dat het parlement niet wordt betrokken bij de totstandkoming van nieuwe samenwerkingsverbanden en hier pas over kan beslissen nadat ze zijn opgericht.
Jarenlange onwettige praktijken legitimeren
Behalve de mogelijkheid om nieuwe samenwerkingsverbanden op te richten, bevat het voorstel ook vier samenwerkingsverbanden die al jarenlang functioneren, maar tot nu toe nooit in wetgeving waren vastgelegd. Met de WGS wil het kabinet daar nu achteraf alsnog een wettelijke basis voor creëren.
De partijen uit de SyRI-coalitie wijzen erop dat het door de rechter verboden Systeem Risico Indicatie (SyRI) ook jarenlang zonder wettelijke basis werd toegepast en zien sterke overeenkomsten met de samenwerkingsverbanden die de WGS nu moet legitimeren: “Ingrijpende praktijken waarbij persoonsgegevens worden verwerkt in strijd met de fundamentele rechten van burgers, worden bij wijze van proef opgetuigd en jarenlang voortgezet, om deze later als voldongen feit te voorzien van een wettelijke basis. Fundamentele rechten die burgers moeten beschermen tegen ongerechtvaardigd overheidshandelen verworden daarbij tot te nemen obstakels.”
Risico-analyses, zwarte lijsten en vermoedens
De coalitie schreef eerder dat de praktijken die onder de WGS moeten plaatsvinden, in vele opzichten lijken op de gegevensverwerkingen die vooraf gingen aan de Toeslagenaffaire. Op basis van geheime data-analyses werden lijsten met burgers die ten onrechte als crimineel fraudeur waren bestempeld, via verschillende instanties verspreid, waardoor de persoonlijke levens van tienduizenden gezinnen werden geruïneerd. Onder de samenwerkingsverbanden van de WGS zullen risico-analyses, zwarte lijsten en vele andere typen gegevens, vermoedens en signalen over burgers volop kunnen worden gedeeld tussen overheden en bedrijven. Privacytoezichthouder Autoriteit Persoonsgegevens adviseerde de Eerste Kamer in november 2021 de wet niet aan te nemen en stelde daarbij dat het voorstel kan leiden tot “Kafkaëske toestanden voor grote aantallen mensen.”
De maatschappelijke coalitie tegen SyRI bestaat uit het Platform Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten, FNV, de Landelijke Cliëntenraad, Privacy First, Stichting KDVP en schrijvers Maxim Februari en Tommy Wieringa.
Download HIER de recente brief van de coalitie aan de Eerste Kamer (pdf).
Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-eerste-kamer-moet-datasurveillancewet-super-syri-afwijzen/, 15 februari 2022.
Nationale Privacy Conferentie 2022
Voor de vijfde achtereenvolgende keer organiseren ECP en Privacy First op vrijdag 28 januari 2022 de jaarlijkse Nationale Privacy Conferentie. 28 januari is de Europese Dag van de Privacy, de dag waarop in 1981 het Europese Dataprotectieverdrag werd ondertekend. De Dag van de Privacy is in het leven geroepen om burgers beter te informeren over hun rechten. Daarnaast worden bedrijven en organisaties aangespoord om de bescherming van persoonsgegevens te verbeteren.
Deze editie zal online plaatsvinden en heeft als overkoepelend thema: privacy is grensoverschrijdend. De rol van Europa is hierin van groot belang. Wat staat ons te wachten? Hoe moeten we vanuit privacy-oogpunt omgaan met Artificial Intelligence? Hoe kunnen organisaties zich voorbereiden op de privacy-toekomst en hoe kunnen we in Europa onze invloed laten gelden? Deze en andere vragen komen aan bod. Daarnaast reikt Stichting Privacy First weer de jaarlijkse Nederlandse Privacy Awards uit.
Sprekers zijn o.a. Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens), Max Schrems (oprichter NOYB), Haroon Sheikh (WRR), Martin Vliem (National Security Officer, Microsoft), Gry Hasselbalch (cofounder, European thinkdotank DataEthics), Wilmar Hendriks (jury-voorzitter Nederlandse Privacy Awards) en Paul Korremans (voorzitter Privacy First). Dagvoorzitter is Tom Jessen.
Aan het slot van de conferentie vindt de uitreiking van de jaarlijkse Nederlandse Privacy Awards plaats. Alle genomineerde projecten zullen door de inzenders aan het publiek worden gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.
Programma
13.00u |
Welkom door dagvoorzitter Tom Jessen. |
13.05u |
Q&A Tom Jessen en Monique Verdier (Autoriteit Persoonsgegevens). |
13.20u |
Pitches genomineerden Privacy Awards: Privacy Rating, KPN en Street Art Museum Amsterdam. |
13.30u |
Martin Vliem (National Security Officer, Microsoft): Privacy en/of Hyperscale Cloud? |
13.45u |
Pitches genomineerden Privacy Awards: Scoor voor je Club en Quodari. |
13.50u |
Pauze |
14.00u |
Max Schrems, oprichter None of Your Business (NOYB). |
14.30u |
Haroon Sheikh (WRR): Opgave AI: de nieuwe systeemtechnologie. |
14.45u |
Pitches genomineerden Privacy Awards: Summitto en Shuttercam. |
14.55u |
Gry Hasselbalch (European thinkdotank DataEthics): Data Ethics of Power – A Human Approach in the Big Data and AI Era. |
15.15u |
Pauze |
15:20u |
Uitreiking Privacy Awards. |
Aanmelden kan via https://ecp.nl/agenda/privacy-conferentie/.
Normaliter organiseren ECP en Privacy First deze conferentie jaarlijks voor een relatief select publiek uit onze netwerken en achterban (maximaal 200 personen in Nieuwspoort, Den Haag). I.v.m. de coronamaatregelen hebben we dit jaar opnieuw besloten om het evenement grotendeels online en dus voor een breder publiek te organiseren. Klik HIER voor de video van de conferentie vorig jaar.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP.