Toon items op tag: Anonimiteit

De uitzending van De Wereld Draait Door van 28 januari jl. waarbij theatergroep de Verleiders aan tafel zat, zorgde voor een (hevige) discussie. In het aankaarten van de huidige thema’s die spelen is er door de theatergroep een creatieve vrijheid genomen. Privacy First is blij dat door deze opschudding het thema privacy weer op de agenda staat. In het gesprek werden een aantal prangende kwesties aangesneden die heden ten dage spelen en hoog op de agenda van Privacy First staan. Hieronder een kleine opsomming:

SyRI – Systeem Risico Indicatie

Het Systeem Risico Indicatie (SyRI) koppelt op grote schaal persoonsgegevens van onverdachte burgers uit databanken van overheden en bedrijven. Een geheim algoritme voorspelt vervolgens of zij een risico vormen om één van de vele wetten die het systeem beslaat te overtreden. Leidt de analyse van SyRI tot een risicomelding, dan wordt een burger opgenomen in het zogeheten Register Risicomeldingen, dat inzichtelijk is voor een groot aantal overheidsinstanties.

SyRI is een ‘black box’ die grote risico’s bevat voor de democratische rechtsstaat. Het is voor een burger die zonder enige aanleiding door SyRI kan worden doorgelicht, volstrekt onduidelijk welke gegevens daarvoor worden gebruikt, welke analyses daarmee worden uitgevoerd en wat hem of haar al dan niet tot risico maakt. Bovendien is de burger door de heimelijke werking van SyRI ook niet in staat om een onjuiste risicomelding te weerleggen. Over SyRI is de Staat gedagvaard door een grote coalitie die bestaat uit de Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad (LCR) en FNV. Auteurs Tommy Wieringa en Maxim Februari hebben zich op persoonlijke titel als eisers bij de zaak aangesloten.

ANPR – Automatic Number Plate Recognition

Sinds 1 januari jl. is de Wet vastleggen en bewaren kentekens door politie (wet ANPR) in werking. Hierbij maakt de politie gebruik, op honderden locaties, van zogenoemde ANPR-camera’s. Door deze wet kunnen de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen) door middel van cameratoezicht vier weken in een centrale politiedatabank worden opgeslagen voor opsporing en vervolging. Iedere automobilist wordt hierdoor een potentiële verdachte. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief. Deze wet is daarom in strijd met het recht op privacy en daarmee onrechtmatig.

Privacy First is in voorbereiding om de Staat te dagvaarden en deze wet door de rechter onrechtmatig te laten verklaren.

Onschuldpresumptie

Privacy First constateert dat in rap tempo wetgeving wordt geproduceerd die de democratische rechtsstaat aantast en die overheden, politie en geheime diensten steeds grotere bevoegdheden geeft. Waarbij steeds meer gegevens worden opgeslagen "voor het geval dat", in plaats van dat er een redelijke verdenking op een persoon is. De onschuldpresumptie is een rechtsbeginsel waar flink aan wordt getornd en dat bescherming behoeft.

Contant geld

Privacy First pleit al jaren voor de bescherming van contant geld; dit is immers het enige betaalmiddel dat anoniem is. Wij zien dat in steeds grotere mate contante betalingen niet meer worden geaccepteerd. In verschillende rechtszaken (zoals over kentekenparkeren) heeft Privacy First gepleit voor het behoud van contante betaalmogelijkheden.

PSD2 – Payment Service Directive 2

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register.

"Met kentekencamera’s binden politie en justitie de strijd aan met criminelen. Maar de camera’s boven en langs (snel)wegen registreren de gegevens van élke weggebruiker. Informatie die, zo is de bedoeling, straks vier weken lang bewaard mag worden. Privacy-organisaties zijn hier mordicus tegen en bereiden een rechtszaak voor.

Voortvluchtige criminelen, autodieven, inbrekers. Het zogeheten ANPR-systeem moet de kans dat de politie ze aanhoudt, aanmerkelijk vergroten. ANPR staat voor automatic numberplate recognition. Kort gezegd: nummerplaatherkenning. De camera’s maken opnames van kentekens. Die worden vergeleken met gegevens in politiecomputers over mensen die worden gezocht of boetes hebben openstaan. Komt de naam in de politiebestanden voor, dan kan de automobilist beboet of aangehouden worden.

De camera’s hangen al jaren boven snelwegen, op dit moment zijn het er naar schatting 450. Daarnaast zijn ongeveer 150 politieauto’s voorzien van mobiele ANPR-camera’s. En sinds dit jaar zijn provinciale wegen verspreid over het hele land voorzien van tweehonderd ANPR-camera’s. (...)

Wetsvoorstel

Tot nog toe worden de miljoenen kentekengegevens van weggebruikers die in geen enkel bestand voorkomen onmiddellijk, of in ieder geval binnen 24 uur gewist. Maar op aandringen van politie en justitie keurden Tweede en Eerste Kamer vorig jaar een wetsvoorstel goed dat voorziet in het bewaren van gegevens voor een periode van vier weken. Hierdoor kan de politie langer gebruikmaken van de gegevens bij de opsporing van een misdrijf of voor de aanhouding van voortvluchtige personen.

Gegevens

Privacyvoorvechters waarschuwen dat ook onschuldige burgers in de systemen van politie belanden. Zoals Privacy First, een onafhankelijke stichting met als doel het bevorderen van het recht op privacy. Directeur Vincent Böhre is er honderd procent van overtuigd dat de nieuwe wet de rechten van burgers schendt. “Het gaat om honderden camera’s die gegevens van weggebruikers registreren. Als je die massaal voor een periode van een maand opslaat voor opsporing en vervolging, dan behandel je de hele bevolking bij voorbaat als potentiële criminelen. Of als terroristen, want de databank zal ook door de AIVD gebruikt worden. Zij krijgt rechtstreeks toegang tot die databank”, aldus Böhre.

Maar als ik niks te verbergen heb, dan is het toch niet erg dat mijn gegevens worden opgeslagen?
Böhre: “Laat ik het omdraaien. Als je niets te verbergen hebt, dan ben je onschuldig, en dan hoeven je gegevens ook niet te worden opgeslagen. Mensen die niks te verbergen hebben, moeten buiten het vizier van politie en justitie blijven en zich in alle vrijheid door Nederland kunnen begeven en reizen. Nu is het zo dat als je niet op een zoeklijst van politie en justitie staat je gegevens binnen 24 uur worden gewist. Daar kunnen we mee leven, al zou onmiddellijk wissen beter zijn.”

Inwerkingtreding

De nieuwe wet, die het opslaan van gegevens voor maximaal vier weken moet bestendigen, is nog niet van kracht. De Raad van State heeft het uitvoeringsbesluit dat minister Ferdinand Grapperhaus (Justitie en Veiligheid) eerder dit jaar nam onlangs van advies voorzien. “Wij hebben dat advies inderdaad ontvangen”, zegt een woordvoerder van het ministerie. “Over de inhoud ervan kunnen we nu nog geen mededelingen doen. Ook over de datum van inwerkingtreding kunnen we niets zeggen. Daarover moet nog besluitvorming plaatsvinden.” (...)

Rechtszaak

Böhre vreest dat het aantal ANPR-camera’s de komende jaren alleen maar zal toenemen. “Hoe ver willen we gaan met dit soort technologie? Nogmaals, ik vind dat we moeten proberen om de samenleving zo in te richten dat onschuldige burgers zo veel mogelijk buiten het vizier van opsporings- en inlichtingendiensten blijven en dat ze zich vrij kunnen wanen.”

Zodra bekend is hoe de nieuwe wet er precies uit zal zien, spant Privacy First samen met het Platform Bescherming Burgerrechten een rechtszaak aan. “We verwachten dat andere organisaties zich bij ons aansluiten.”

Bron: BN/DeStem 17 november 2018: https://www.bndestem.nl/breda/gegevens-langer-opslaan-mensen-moeten-buiten-het-vizier-van-justitie-kunnen-blijven~a1bd3356/.

"Elke auto op de weg wordt straks heel precies bekeken door de Belastingdienst. Miljoenen foto’s van automobilisten stromen vanaf komend jaar maandelijks bij de dienst binnen, op jacht naar een kleine groep ontduikers van de motorrijtuigenbelasting.Dat staat in de Prinsjesdagstukken, enigszins weggestopt in het wetsvoorstel 'Overige Fiscale Maatregelen'.

De Belastingdienst mikt er op het systeem al vanaf 1 januari 2019 werkend te hebben. Het nummerbord van elke automobilist op de openbare weg wordt gescand. De fiscus krijgt dan al die miljoenen foto's om te bepalen of de motorrijtuigenbelasting goed is betaald.

Belastingdienst is watching you

Voor 2017 maakte de Belastingdienst al gebruik van de camerabeelden. Maar de Hoge Raad floot de Belastingdienst toen terug. Er was namelijk geen wettelijke basis voor het verzamelen en verwerken van de camerabeelden. Die wettelijke basis gaat er nu dus wel komen, staat in het Belastingplan 2019.

Heel precies houdt het plan in dat het kenteken, de locatie, de datum en het tijdstip waarop de foto gemaakt is, door de Belastingdienst mag worden verzameld en verwerkt. Daarvoor kan de Belastingdienst onder andere gebruik gaan maken van de snelwegcamera's van de politie. Die kom je tegenwoordig overal tegen, in totaal hangen er in Nederland al zo'n 800.

(...)

'Privacy in het geding'

De inzet van de camera's is omstreden; het grootschalig verzamelen van kentekengegevens wordt gezien als flinke inbreuk op de privacy van automobilisten.

Vincent Böhre van Privacy First maakt zich zorgen. "Je gaat alle kentekengegevens verzamelen om een relatief kleine groep te kunnen pakken. Er wordt beloofd dat de gegevens van automobilisten die netjes hebben betaald binnen 24 uur worden verwijderd, maar eerder bleek al een keer dat de Belastingdienst daar niet goed mee omgaat. (...) Alles aan deze wet lijkt een opstapje tot meer controle met camera's. Het wordt dan nu voor doel A gebruikt, maar je zult zien dat uiteindelijk doel B tot en met Z erbij worden gehaald."

De Belastingdienst zelf laat in een reactie weten dat het op vooralsnog echt alleen gaat om de motorrijtuigenbelasting. De dienst zegt daar wel eerlijk bij: er loopt al een onderzoek om te bekijken of de beelden ook gebruikt mogen worden om privé-gebruik van leaseauto's te controleren."

Lees het hele artikel bij RTL Nieuws en RTL-Z. Klik HIER voor het interview met Privacy First in het RTL Journaal (vanaf 6m46s).

Update 22 september 2018: zie tevens de reportage van EenVandaag via https://eenvandaag.avrotros.nl/item/belastingdienst-mag-omstreden-camera-inzetten-in-jacht-op-fraudeur/.

Handhavingsverzoek bij Autoriteit Persoonsgegevens over drie nieuwe privacyschendingen 

Naar aanleiding van drie nieuwe pogingen van Nederlandse Spoorwegen om de privacy van treinreizigers te schenden, heeft NS-klant Michiel Jonker deze week een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens. Het betreft:

• ŸHet weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan NS verstrekt;
• ŸHet weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
• ŸHet in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

Sinds juli 2014 heeft Nederlandse Spoorwegen (NS) al eerder op diverse manieren de aanval ingezet op de privacy van Nederlandse treinreizigers. Het ging toen onder andere om:

• Het discrimineren van houders van anonieme OV-chipkaarten in de voordeeluren;
• ŸHet eisen van de-anonimisering van de anonieme OV-chipkaarten bij service-verlening door NS (bijvoorbeeld geld terug bij vertraging);
• ŸHet aanbrengen van twee unieke pasnummers op elke anonieme OV-chipkaart, waardoor de anonimiteit van die kaarten wordt aangetast.

Als reiziger die zijn privacy wilde behouden, verzocht Jonker herhaaldelijk aan de Autoriteit Persoonsgegevens (AP) om deze overtredingen te onderzoeken en handhavingsmaatregelen te nemen. Jonker won daarover reeds verschillende rechtszaken tegen de AP, die aanvankelijk weigerde de meldingen zelfs maar te onderzoeken.

Bij de beoordeling van de nieuwe schendingen door NS zal de onlangs in werking getreden Algemene Verordening Gegevensbescherming (AVG) een belangrijke rol spelen. Een ander onderwerp dat centraal zal staan, is het recht op betaling met contant geld als wettig betaalmiddel dat tevens de privacy beschermt.

Jonker: “In al deze zaken gaat het om de vraag of gebruikers van het Nederlandse OV recht hebben op een reële, effectieve bescherming van hun privacy. Die vraag is actueler dan ooit, als je ziet hoe er met mensen wordt omgegaan in situaties waarin de privacy niet adequaat wordt beschermd. Dan valt niet alleen te denken aan China met zijn Sociale Kredietscore, of de Verenigde Staten met hun “No Fly”-lijsten, maar ook aan Europese landen waarin de afgelopen jaren wetten zijn aangenomen die het de overheid mogelijk maken reizigers te bespieden die niet worden verdacht van enig strafbaar of risicovol gedrag. Bijvoorbeeld Frankrijk met zijn permanente noodtoestand en Nederland met de Sleepwet.”

Jonker wordt ook in deze nieuwe zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Media:
https://www.security.nl/posting/569517/Treinreiziger+wil+dat+privacytoezichthouder+optreedt+tegen+NS
https://tweakers.net/nieuws/140841/privacy-first-en-treinreiziger-willen-dat-ns-beleid-anonieme-chipkaarten-aanpast.html 
https://www.liberties.eu/en/news/ns-privacy-fight-passenger-privacy/15444

Update 23 juli 2018: Na indiening van het handhavingsverzoek bij de AP heeft Jonker nog een verdere schending van de privacy in het OV geconstateerd, eveneens met betrekking tot het ontmoedigen van contante betaling voor vervoerbewijzen. In bussen in verschillende Nederlandse regio's wordt sinds 1 juli 2018 contante betaling geweigerd, zodat reizigers in de bus worden gedwongen daar te pinnen of hun creditcard te gebruiken, en daarmee hun persoonsgegevens te laten verwerken. Dit blijkt te berusten op een landelijk gemaakte afspraak tussen vervoerbedrijven. Op 21 juli jl. heeft Jonker zijn handhavingsverzoek daarom aangevuld met een verzoek aan de AP om in dat kader ook deze privacyschending te onderzoeken en te beëindigen.

Jonker: "Markant is dat de branche-organisatie Koninklijk Nederlands Vervoer (KNV) muisstil is over deze landelijke afspraak, en dat de maatregel midden in de zomerperiode is ingevoerd. Ik kan me niet aan de indruk onttrekken dat er wordt geprobeerd de weigering van een wettig betaalmiddel geruisloos in te laten gaan. Ik heb de AP met een beroep op de WOB gevraagd mij te informeren over alle communicatie die hierover met of door de AP achter de schermen heeft plaatsgevonden."

Media: https://www.security.nl/posting/570899/AP+gevraagd+op+te+treden+tegen+weigeren+contant+geld+in+bus
https://nieuws.nl/algemeen/20180723/klacht-wegens-weigering-contante-betaling-bus/
https://radar.avrotros.nl/nieuws/detail/bezwaar-ingediend-tegen-verdwijnen-contant-geld-uit-bus/
https://www.omroepgelderland.nl/nieuws/2320576/Arnhemmer-wil-buskaartje-contant-betalen
https://www.transport-online.nl/site/93550/klacht-wegens-weigering-contante-betaling-in-bus/ 
http://www.welingelichtekringen.nl/anp/klacht-wegens-weigering-contante-betaling-bus
https://panorama.nl/nieuws/binnenland/klacht-wegens-weigering-contante-betaling-bus
http://www.dvhn.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396995.html
http://www.lc.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396571.html
https://www.nd.nl/nieuws/actueel/binnenland/klacht-wegens-weigering-contante-betaling-bus.3076549.lynkx
https://www.metronieuws.nl/in-het-nieuws/2018/07/bezwaar-ingediend-tegen-verdwijnen-contant-geld-bus 

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde dit weekend onderstaande brief naar de Tweede Kamer. Beluister tevens het interview hierover met Privacy First vanochtend op BNR Nieuwsradio:

Update 14 mei 2018, 10.15u: zojuist is het Kamerdebat geannuleerd en "tot nader order uitgesteld".  

Geachte Kamerleden,

Deze maandagmiddag debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Onlangs heeft Privacy First dit ook in de Volkskrant betoogd. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie recente Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland in dit verband vorig jaar de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen kunnen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit nog twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit echter niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Nederland heeft hierin een eigen verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

"Als het aan de Tweede Kamer ligt, kunnen de vluchtgegevens van alle Nederlanders binnenkort voor vijf jaar worden opgeslagen in een overheidsdatabase.

Woensdag debatteert de Kamer over het wetsvoorstel dat dit mogelijk maakt. De Kamer is in ruime meerderheid voor, maar tegenstanders waarschuwen voor ‘ernstige en disproportionele’ schending van de privacy van burgers.

De nieuwe wet verplicht luchtvaartmaatschappijen de gegevens van alle passagiers standaard aan te leveren. Daardoor ontstaat er een database waarin passagiersgegevens maximaal vijf jaar mogen worden bewaard. Minister Grapperhaus van Justitie is verplicht de wet in Nederland uit te voeren, op basis van een Europese richtlijn die in 2016 werd aangenomen in het Europees Parlement.

(...)

Volgens Vincent Böhre van belangenorganisatie Privacy First is de wet verre van proportioneel. Hij wijst erop dat veruit de meeste vliegende reizigers op vakantievluchten zitten. ‘Voor minder dan 1 procent van de passagiers maak je 100 procent collectief verdacht.’ Böhre hekelt daarnaast de enorme hoeveelheid informatie die in de database zal worden opgeslagen. ‘Reisinformatie zegt ontzettend veel over wie je bent en wat je doet. Je kunt een heel profiel van mensen maken aan de hand van hun bewegingen. Het is een grote inbreuk op de privacy.’

Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden, denkt dat de wet veel problemen met zich mee kan brengen. (...) De hoogleraar benadrukt dat de wet ook in strijd kan zijn met eerdere uitspraken van het Hof van Justitie van de Europese Unie. ‘Vergelijkbare wetten zijn door het hof al eerder geannuleerd.’ Het is volgens hem denkbaar dat hetzelfde gebeurt met deze wet. De wet zou dan over een paar jaar alweer aangepast moeten worden. (...)

Wat zeggen je reisgegevens over jou? ‘Meer dan je zou denken’, zegt Vincent Böhre van Privacy First. ‘Je wilt in ieder geval niet dat ze in verkeerde handen vallen.’ Drie voorbeelden:

Iemand thuis?

De database bestaat uit vertrek- en terugkomstinformatie van miljoenen mensen. Er staat dus in wanneer mensen van huis weg zijn. Böhre: ‘Dat is behoorlijk gevaarlijk. Je kunt eruit afleiden wanneer iemands huis verlaten is. Dat is hele nuttige data voor criminelen. Omdat nu alle data van miljoenen mensen elektronisch wordt opgeslagen levert dat een risico op hacks op. Dat is een risico dat iedereen aangaat.’

Intieme informatie

In het register wordt ook opgeslagen met wie iedereen reist. Er staat ook in naast wie je op de stoel zit. Böhre: ‘Daaruit kun je de relaties tussen mensen afleiden. En dat breekt in op je privacy. Mensen kunnen allerlei redenen hebben om hun relaties verborgen te willen houden. Het kunnen geheime relaties zijn waarmee mensen zelfs gechanteerd kunnen worden. Het zijn heel gevoelige data. Je hele sociale leven kan in die data verstopt zitten.’

Medische redenen

De meeste mensen reizen met het vliegtuig om vervolgens langere tijd ergens te verblijven. Uitzonderingen daarop kunnen opvallen in de data. Böhre: ‘Mensen die naar een ongewoon land gaan voor een korte periode, reizen vaak voor een medische ingreep. Medische informatie behoort tot de meest gevoelige. Zulke informatie wil je privé houden, de mogelijkheid dat het nu in een grote database komt waarin allerlei patronen te ontdekken zijn, brengt dat in gevaar.’"

Bron: Volkskrant 25 april 2018, pp. 6-7. Lees hier het volledige artikel: https://beta.volkskrant.nl/nieuws-achtergrond/mag-de-overheid-straks-uw-reisgegevens-voor-vijf-jaar-bewaren-~b0f514e2/.

Op 21 november jl. nam de Eerste Kamer een controversieel wetsvoorstel aan waardoor de reisbewegingen van iedere automobilist 4 weken in een centrale politiedatabank zullen belanden. Privacy First start een rechtszaak om dit wetsvoorstel onrechtmatig te laten verklaren wegens strijd met het recht op privacy.

Massale privacyschending

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren reeds met succes bij de centrale opslag van ieders vingerafdrukken onder de Paspoortwet en de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie. Een actueel wetsvoorstel dat zich bij uitstek voor een dergelijke rechtszaak leent is het wetsvoorstel van minister Grapperhaus inzake Automatic Number Plate Recognition (automatische nummerplaatherkenning, ANPR). Onder dit wetsvoorstel zullen de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen) door middel van cameratoezicht vier weken in een centrale politiedatabank worden opgeslagen voor opsporing en vervolging. Iedere automobilist wordt hierdoor een potentiële verdachte. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief. Het wetsvoorstel is daarom in strijd met het recht op privacy en daarmee onrechtmatig.

Oud wetsvoorstel

Het huidige ANPR-wetsvoorstel werd reeds in februari 2013 bij de Tweede Kamer ingediend door voormalig minister Opstelten. Voorheen was ook minister van Justitie Hirsch Ballin al in 2010 van plan om een vergelijkbaar voorstel in te dienen met een bewaartermijn van 10 dagen. Vervolgens verklaarde de Tweede Kamer dit voorstel echter controversieel. De ministers Opstelten en Van der Steur deden er in het huidige wetsvoorstel alsnog drie scheppen bovenop: 4 weken opslag van ieders reisbewegingen. Wegens privacybezwaren lag de parlementaire behandeling van dit wetsvoorstel vervolgens jarenlang stil, maar werd daarna alsnog door de Tweede en Eerste Kamer heen geloodst. Het wetsvoorstel past echter allang niet meer in deze tijd: het is reeds ingehaald door Europese rechtspraak waardoor dit type wetgeving (massale opslag van gegevens van onschuldige burgers) onrechtmatig is verklaard. Bovendien heeft de ANPR-praktijk in binnen- en buitenland reeds uitgewezen dat massale ANPR-opslag niet werkt.

Rechtszaak

Privacy First zal nu (in coalitie met andere maatschappelijke organisaties) een rechtszaak beginnen om de nieuwe ANPR-wet buiten werking te laten stellen. Privacy First heeft daartoe via Pro Bono Connect het gerenommeerde advocatenkantoor CMS ingeschakeld. De eerste formele processtap is gisteren genomen: per brief (PDF) heeft Privacy First aan minister Grapperhaus (Justitie en Veiligheid) om overleg ex art. 3:305a BW gevraagd. Mocht dit overleg niet tot intrekking van het ANPR-wetsvoorstel leiden, dan valt onverbiddelijk het zwaard van Damocles: Privacy First c.s. zullen dan de Nederlandse Staat in kort geding dagvaarden om de wet buiten werking te laten stellen wegens strijd met Europees privacyrecht. Gezien de Europese en Nederlandse jurisprudentie terzake achten Privacy First c.s. de kans op een succesvolle rechtsgang buitengewoon hoog.

Update 20 december 2018: vandaag heeft de overheid aangekondigd dat de wet ANPR per 1 januari 2019 in werking zal treden. Het kort geding tegen de wet zal z.s.m. plaatsvinden bij de rechtbank Den Haag.

Morgen behandelt de Eerste Kamer een controversieel wetsvoorstel waardoor de reisbewegingen van iedere automobilist 4 weken in een politiedatabank zullen belanden. Vandaag verzocht Privacy First de Eerste Kamer om dit wetsvoorstel te verwerpen. Hieronder volgt de volledige tekst van onze brief (PDF):
 

Geachte Kamerleden,

Morgen gaat u met de minister van Justitie in debat over het wetsvoorstel inzake Automatische Nummerplaat Registratie (ANPR). Reeds sinds 2011 heeft Privacy First haar kritische standpunt over dit wetsvoorstel talloze malen kenbaar gemaakt, zowel in de media als richting Tweede en Eerste Kamer als aan de minister persoonlijk. Op 20 juni jl. vond over het wetsvoorstel in uw Kamer een kritische hoorzitting plaats.[1] Teneur van deze hoorzitting was dat dit wetsvoorstel niet voldoet aan de juridische vereisten van noodzaak en proportionaliteit. Bovendien is de effectiviteit van ANPR tot op heden niet aangetoond.[2] Het wetsvoorstel past om deze redenen niet in een democratische rechtsstaat en dient daarom verworpen te worden.

Wetsvoorstel is juridisch onhoudbaar

Het wetsvoorstel voldoet niet aan de vereisten die het Europees Hof van Justitie de laatste jaren aan dit type wetgeving heeft gesteld in de zaken Digital Rights en Tele2.[3] Bij dit wetsvoorstel is immers sprake van algemene, ongedifferentieerde gegevensopslag en wordt die opslag niet beperkt tot dat wat strikt noodzakelijk is. Bovendien ontbreekt voorafgaande rechterlijke toetsing bij toegang tot de gegevens. Privacy First verwacht dan ook dat de rechterlijke macht het wetsvoorstel desgevraagd onverbindend zal verklaren wegens strijd met Europees privacyrecht.

ANPR-sleepnet

In de kern komt het huidige wetsvoorstel neer op massale opslag van ieders reisbewegingen op de openbare weg. De maatschappelijke weerstand tegen dergelijke massa-surveillance is groot en neemt immer toe, getuige de volksopstand tegen de centrale opslag van ieders vingerdrukken onder de Paspoortwet in 2009-2011, de rechterlijke buitenwerkingstelling van de telecom-bewaarplicht in 2015 en het aanstaande referendum (en geplande grootschalige rechtszaak) tegen de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel ‘Sleepwet’ genoemd. Het huidige ANPR-wetsvoorstel vormt een vergelijkbaar sleepnet: niet van ieders vingerafdrukken, telecommunicatie of internetgedrag, maar van ieders reisbewegingen. Mocht uw Kamer dit wetsvoorstel desondanks goedkeuren, dan rest Privacy First geen andere optie dan dit door de rechter ongedaan te laten maken.

Internationale kritiek

Privacy First staat hierin niet alleen: diverse organisaties hebben reeds toegezegd zich bij onze rechtszaak tegen het ANPR-sleepnet te zullen aansluiten. Ook in het buitenland neemt de kritiek op ANPR toe: onlangs won ANPR in België een nationale Big Brother Award.[4] Daarnaast ontving Nederland vanuit de VN Mensenrechtenraad in Genève in mei dit jaar het volgende dringende advies: “Take necessary measures to ensure that the collection and maintenance of data for criminal purposes does not entail massive surveillance of innocent persons.”[5] De Nederlandse regering heeft dit advies in september jl. uitdrukkelijk geaccepteerd.[6] Daarmee heeft Nederland op internationaal niveau stelling genomen tegen massa-surveillance. Het huidige wetsvoorstel ANPR is hiermee in strijd en dient daarom te worden verworpen.

Huidige praktijk reguleren

De huidige ANPR-praktijk vindt plaats op basis van artikel 3 Politiewet. Dit oude, brede vangnet-artikel is daar echter nooit voor bedoeld en voldoet niet aan de moderne vereisten van artikel 8 EVRM (recht op privacy). De huidige ANPR-praktijk is daarom onrechtmatig. Het Nederlandse parlement zou beter die huidige praktijk wettelijk kunnen reguleren en van strikte privacywaarborgen moeten voorzien: louter opslag van kenteken-hits en slechts tijdelijke opslag van no-hits in concrete, uitzonderlijke gevallen, na rechterlijke toestemming. Het huidige wetsvoorstel schiet hier echter mijlenver voorbij: iedere automobilist wordt hierdoor een potentiële verdachte en belandt 4 weken in een centrale politiedatabank. Onder de nieuwe Wiv zal deze databank bovendien direct toegankelijk kunnen worden voor AIVD en MIVD en zullen ANPR-data tevens uitgewisseld kunnen worden met buitenlandse diensten. Massa-surveillance wordt hierdoor een feit. Nederland wordt hierdoor een Big Brother maatschappij. Dit vormt een historische breuk met het verleden. Het is aan uw Kamer om dit te voorkomen en aan te sturen op betere, privacyvriendelijke wetgeving waardoor Nederland vrij én veilig zal kunnen blijven.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

[1] Zie https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1075-hoorzitting-eerste-kamer-over-wetsvoorstel-anpr.html.

[2] Zie bijvoorbeeld meest recentelijk WODC, ANPR: toepassingen en ontwikkelingen (december 2016), https://www.wodc.nl/onderzoeksdatabase/2387-intelligente-toepassingen-van-automatic-number-plate-recognition.aspx.

[3] Zie Hof van Justitie van de Europese Unie, gevoegde zaken C-293/12 & C-594/12 (Digital Rights, 8 april 2014) en gevoegde zaken C‑203/15 & C‑698/15 (Tele2, 21 december 2016).

[4] Zie https://bigbrotherawards.be/nl/.

[5] Zie https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1071-nederland-onder-de-loep-bij-verenigde-naties.html. Zie in dit verband tevens de recente brief van de VN Hoge Commissaris voor de Mensenrechten aan de Nederlandse regering, waarin dit advies wordt herhaald en wordt aangedrongen op implementatie en rapportage: https://www.upr-info.org/sites/default/files/document/session_27_-_may_2017/letter_for_implementation_3rd_upr_nld_e.pdf (23 oktober 2017).

[6] Zie UN Doc. A/HRC/36/15/Add.1 (14 september 2017), beschikbaar op https://www.upr-info.org/sites/default/files/document/netherlands/session_27_-_may_2017/a_hrc_36_15_add.1_e.pdf. 

Update 21 november 2017: vanmiddag heeft de Eerste Kamer het wetsvoorstel ANPR aangenomen. SGP, ChristenUnie, VVD, PvdA, CDA, 50Plus, OSF & PVV stemden voor. D66, GroenLinks, SP & PvdD stemden tegen. Privacy First c.s. zullen nu een rechtszaak beginnen om deze wet onrechtmatig te laten verklaren wegens strijd met Europees privacyrecht. Nadere berichtgeving hierover volgt zeer binnenkort.

NS laat reiziger extra betalen voor privacy. Autoriteit Persoonsgegevens weigert te handhaven. Raad van State gaat zaak beoordelen.

Op maandag 4 september as. zal de Afdeling Bestuursrechtspraak van de Raad van State zich buigen over twee rechtsvragen: mag de Autoriteit Persoonsgegevens (AP) weigeren om te handhaven wanneer treinreizigers met een voordeelurenabonnement door NS worden gedwongen om extra te betalen als zij hun privacy willen behouden? Of mag de AP misschien zelfs weigeren om de zaak überhaupt te onderzoeken, ondanks haar toezichthoudende taak?

Drie jaar geleden schafte NS de papieren treinkaartjes af en verplichtte alle reizigers voortaan een OV-chipkaart te gebruiken. Het bleek dat reizigers die omwille van hun privacy voor een anonieme OV-chipkaart kozen, van NS geen voordeelurenkorting krijgen – ook niet als zij al vele jaren in het bezit zijn van een voordeelurenabonnement. Arnhemmer Michiel Jonker vroeg de AP om handhavend op te treden, wat de AP weigerde. Op 16 augustus 2016 gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de AP nog niet om handhavend op te treden. De AP en Jonker gingen beiden in hoger beroep bij de Raad van State.

Met ingang van 9 juli 2014 heeft NS Reizigers BV het voor abonnementhouders onmogelijk gemaakt om een papieren kaartje te kopen dat in de trein samen met hun abonnementskaart wordt gecontroleerd. Wie in de voordeeluren met korting wil reizen, mag dat van NS alleen als hij in- en uitcheckt met een persoonsgebonden OV-chipkaart waarop ook zijn identiteit staat vermeld. Het gevolg hiervan is dat reizigers alleen nog voordeelurenkorting krijgen als zij al hun individuele reisbewegingen via de persoonsgebonden OV-chipkaart door NS laten registreren. Als zij hun privacy wensen te behouden, verliezen zij hun voordeelurenkorting.

Jonker ervaart het feit dat een reiziger met privacy in de voordeeluren meer moet betalen dan een reiziger zonder privacy, als een vorm van discriminatie. “Ik wil net als vroeger het openbaar vervoer kunnen gebruiken zonder dat een bedrijf of de overheid precies kan bijhouden waar ik op welk moment geweest ben. Daarvoor is de anonieme OV-chipkaart ook bedoeld. Maar die wordt op deze manier ontmoedigd. Er wordt een ongerechtvaardigd onderscheid gemaakt tussen mensen met privacy en mensen zonder privacy. Mensen die hun privacy willen houden, moeten meer betalen. Dat is discriminatie. NS probeert me er zo toe te dwingen mijn privé-reisgegevens voor commerciële doelen ter beschikking te stellen. Nederlandse wetten en Europese verdragen verbieden dat.”

Ook heeft Jonker bezwaar tegen de wijze waarop NS zijn persoonsgegevens heeft overgedragen aan Trans Link Systems (TLS). “NS zegt dat ik een contract met TLS heb, maar dat is onzin. Ik heb nooit zo’n contract afgesloten, en dat heeft geen enkele treinreiziger. NS heeft zijn algemene voorwaarden veranderd. Maar NS kan niet rechtmatig in zijn algemene voorwaarden opnemen dat ik opeens een contract over mijn persoonsgegevens afgesloten zou hebben met een derde. Je ziet hier hoe de zogenaamde privatisering van een publieke voorziening, het OV, leidt tot onrechtmatige praktijken.”

-- De AP is in hoger beroep gegaan tegen de opdracht van de rechtbank om de zaak nu serieus te gaan onderzoeken.

-- Jonker is in hoger beroep gegaan tegen het ontbreken van een opdracht aan de AP om, na al die jaren van gedogen, zelfs maar een voornemen kenbaar te maken om te gaan handhaven.

-- Ook NS zal in de rechtszaal deelnemen aan het geding.

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij voor Beter OV. De rechtszitting is openbaar: iedereen is welkom om de zitting bij te wonen.

Zaakinformatie: M. Jonker vs. Autoriteit Persoonsgegevens, zaaknr. 201607123/1/A3.
Tijdstip: maandag 4 september 2017, 10.30u.
Locatie: Raad van State, Kneuterdijk 22, Den Haag. Klik HIER voor een routebeschrijving.

Update 4 september 2017: de rechtszitting vandaag verliep relatief voorspoedig, de rechters zaten goed in de materie. Klik HIER voor de pleitnota van de heer Jonker (pdf). Over 6 weken (of later) doet de Raad van State uitspraak.

Media:
https://www.computable.nl/artikel/nieuws/security/6191053/250449/conflict-ap-en-privacy-first-om-ov-chipkaart-ns.html
https://www.ad.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.gelderlander.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.hartvannederland.nl/nieuws/2017/ns-beperkt-korting-onterecht-tot-abonnees/
https://www.bnr.nl/nieuws/mobiliteit/10328758/dalurenkorting-ns-discriminatie-of-niet
http://www.treinreiziger.nl/reiziger-eist-anoniem-reizen-ook-abonnement/
http://www.dvhn.nl/binnenland/NS-beperkt-korting-onterecht-tot-abonnees-22465090.html
https://www.security.nl/posting/529824/Raad+van+State+onderzoekt+of+AP+moet+optreden+tegen+NS

Update 22 september 2017: de Raad van State heeft op 20 september jl. uitspraak gedaan in de zaak, zie ECLI:NL:RVS:2017:2555. In een eerste reactie zegt Jonker: “Een uitspraak twee weken na de zitting is opvallend snel, ook gezien de termijn van zes weken of langer die de Raad van State ter zitting had aangekondigd. Mogelijk heeft de Raad van State snel uitspraak gedaan om nog niets te hoeven zeggen over de uitkomst van het onderzoek dat de AP afgelopen jaar in opdracht van de rechtbank heeft gedaan, en waarover de AP binnenkort een besluit neemt. Of misschien wil de Raad de AP gelegenheid geven om zo’n nieuw besluit af te stemmen op de uitspraak.”

Samenvatting op hoofdpunten van de uitspraak:

(1) De Raad van State stelt, net als de rechtbank, Jonker inhoudelijk in het gelijk: de AP had Jonkers handhavingsverzoek niet mogen afwijzen zonder in deze specifieke zaak voldoende onderzoek te doen.

(2) Uit de eerdere onderzoeken waarnaar de AP had verwezen, blijkt volgens de Raad van State niet “of de verwerking van persoonsgegevens door middel van een persoonlijke OV-chipkaart noodzakelijk is voor het sluiten en de uitvoering van de overeenkomst betreffende het voordeelurenabonnement”, en ook niet “of als gevolg van het verplicht stellen van de persoonlijke OV-chipkaart voor een abonnement die verwerking van persoonsgegevens toereikend, ter zake dienend en niet bovenmatig is.”

(3) Voorts constateert de Raad van State dat “de omstandigheid dat de OV-chipkaart in haar algemeenheid voldoet aan de Wbp, niet betekent dat de omstandigheid dat het onmogelijk is een persoonlijk product te combineren met een anonieme kaart ook voldoet aan de Wbp.”

(4) Verder is de Raad het met de rechtbank eens dat de AP uit de door NS zelf opgestelde algemene voorwaarden en de voorwaarden van het voordeelurenabonnement niet het bestaan van een noodzaak voor het verwerken van persoonsgegevens mocht afleiden.

(5) De Raad is het anderzijds niet met Jonker eens dat de AP op basis van de reeds bekende feiten al had moeten concluderen dat er aanleiding was voor een voornemen tot handhaving. Volgens de Raad hoeft de AP daarover pas een standpunt in te nemen na een meer uitgebreid onderzoek.

(6) Procedureel is de Raad het met de AP eens dat de rechtbank de AP geen opdracht had mogen geven tot het doen van een meer uitgebreid onderzoek op grond van artikel 60 Wbp. Volgens de Raad had de rechtbank alleen het afwijzingsbesluit van de AP moeten vernietigen, zonder opdracht te geven tot zo’n onderzoek, omdat de rechtbank zich daarmee “de beleidsruimte van de AP toeëigende”. De AP heeft in haar beleid een “fasering” van onderzoek opgenomen, waarbij het door de rechtbank opgedragen onderzoek pas in fase III valt.

Jonker: “Ik ben blij dat de Raad van State me, net als de rechtbank, inhoudelijk in het gelijk heeft gesteld dat mijn handhavingsverzoek door de AP niet zo makkelijk had mogen worden afgewezen. De Raad heeft een aantal drogredeneringen doorgeprikt die de AP naar voren had gebracht.”

Toch is Jonker niet helemaal tevreden: “De uitspraak van de Raad van State leidt er ook toe dat de AP nu in een nieuwe ronde de gelegenheid krijgt om weer nieuwe argumenten te verzinnen om mijn handhavingsverzoek toch nog te gaan afwijzen. Het voelt een beetje als een knockout-toernooi met twee deelnemers en een half dozijn rondes, waarbij het thuisteam, de AP dus, meteen al verzekerd is van een finaleplaats, terwijl de andere partij, ik dus, in al die rondes de wedstrijd moet winnen om zelfs maar in de finale te komen. En als ik ook maar één echte fout maak, lig ik eruit. Dat is eigenlijk het tegenovergestelde van effectieve rechtsbescherming. Wat me ook opvalt is dat de Raad van State het Europees Verdrag voor de Rechten van de Mens (EVRM) met geen woord heeft genoemd, terwijl het EVRM een meer fundamentele bescherming biedt dan de door de Raad wel genoemde Europese Privacyrichtlijn. Ik heb steeds naar het EVRM verwezen.”

Gevraagd wat eventuele nieuwe argumenten van de AP dan zouden kunnen zijn, antwoordt Jonker: “Net vorige week heb ik een zogeheten bevindingenrapport van de AP ontvangen over het onderzoek dat de AP in opdracht van de rechtbank moest doen. Maar omdat de AP mij verzocht heeft daar vertrouwelijk mee om te gaan totdat de AP een nieuw besluit heeft genomen over mijn handhavingsverzoek, wil ik daar op dit moment verder niks over zeggen. De AP had dat rapport natuurlijk aan mij moeten toesturen ruim voorafgaand aan de rechtszitting van de Raad van State, maar koos er helaas voor om daarmee te wachten tot na de rechtszitting – terwijl NS in essentie wel op de hoogte was. Dat draagt niet bij aan een eerlijk proces. Volgende week houdt de AP een hoorzitting. En daarna duurt het waarschijnlijk nog een aantal weken voordat de AP een nieuw besluit neemt. Tegen dat besluit kan ik dan eventueel weer in beroep en hoger beroep gaan. Het houdt me wel van de straat...”

Wordt dus vervolgd.

Media:
http://www.omroepgelderland.nl/nieuws/2143524/Treinreiziger-uit-Arnhem-krijgt-weer-gelijk-meer-onderzoek-naar-privacy-discriminatie-ov-chipkaart
https://www.security.nl/posting/532206/Autoriteit+Persoonsgegevens+hoeft+NS+niet+uitgebreid+te+onderzoeken (met commentaar van Michiel Jonker onder artikel).
https://www.ovmagazine.nl/2017/09/opnieuw-onderzocht-tegen-privacydiscriminatie-ov-chipkaart-1527/ 

Update 7 mei 2018: op 8 september 2017 (enkele dagen na de rechtszitting van de Raad van State) heeft de AP aan de heer Jonker een bevindingenrapport toegestuurd over de uitkomsten van het uitgebreide onderzoek waarvoor de Rechtbank Gelderland op 16 augustus 2016 opdracht had gegeven. Op 25 september en 28 november 2017 heeft Jonker naar de AP een reactie gestuurd op het bevindingenrapport, waarin hij ernstige kritiek uitte op de bevindingen. Het rapport leek zijns inziens vooral te dienen als instrument om de zaak toe te dekken, en niet als weergave van een onpartijdig uitgevoerd onderzoek door een onafhankelijke toezichthouder.

Ondanks Jonkers kritiek besloot de AP op 22 december 2017 dat het uitgevoerde onderzoek geen reden opleverde om Jonkers oorspronkelijke bezwaar alsnog gegrond te verklaren. De AP vond nog steeds dat er niks aan de hand was. Tegen dit tweede besluit op bezwaar ging Jonker op 29 januari 2018 in beroep bij de Rechtbank Gelderland (tweede beroepsprocedure in de zaak, zaaknummer 18/546). Omdat de AP inmiddels onderzoek heeft gedaan, gaat deze tweede beroepsprocedure niet meer over de vraag of de AP onderzoek moet doen, maar over de inhoudelijke uitkomst van dat onderzoek.

Ondertussen loopt er in dezelfde zaak nog een tweede juridisch spoor. Op 24 november 2016 had Jonker de AP verzocht om in het door de rechtbank opgedragen, uitgebreide onderzoek ook het feit te betrekken dat op elke zogenaamd “anonieme” OV-chipkaart van NS twee unieke pasnummers worden aangebracht, waardoor die kaarten in feite niet anoniem meer zijn. De unieke pasnummers moeten worden beschouwd als persoonsgegevens.

De AP weigerde om dit feit in haar uitgebreide onderzoek te betrekken, en besloot in plaats daarvan om het op te vatten als een nieuw, separaat handhavingsverzoek, waarbij de AP, net als de eerste keer, probeerde om niet meer te doen dan een “verkennend” oftewel “globaal bureau-onderzoek”. Na dit “globale” onderzoek concludeerde de AP op 28 september 2017 dat er niks aan de hand was. Jonker diende daar op 16 oktober en 28 november 2017 bezwaar tegen in, waarbij Jonker ook aangaf het niet eens te zijn met de afsplitsing van dit aspect in een zogenaamd apart handhavingsverzoek dat volgens de AP niet uitgebreid onderzocht hoefde te worden.

Op 26 februari 2018 wees de AP ook dit bezwaar van Jonker af, waarna Jonker op 19 maart 2018 ook tegen dit besluit op bezwaar in beroep ging bij de Rechtbank Gelderland (derde beroepsprocedure in de zaak, zaaknummer 18/1487).

Jonker: “Ik hoop dat de rechtbank de twee procedures samen gaat voegen, omdat de inhoud grotendeels overlapt. En ik hoop dat de rechtbank tot de conclusie komt dat de AP inderdaad ten onrechte geweigerd heeft de unieke pasnummers te betrekken bij het eerder door de rechtbank opgedragen onderzoek. Bizar vind ik het dat de AP de eerdere uitspraak van de rechtbank op een belangrijk punt negeert. De rechtbank had duidelijk aangegeven dat NS de verantwoordelijke is voor de gegevensverwerking met de OV-chipkaart, omdat ik als klant transacties verricht met NS, terwijl TLS alleen een opdrachtnemer van NS is, die voor NS een taak uitvoert. Nu probeert de AP toch weer te doen alsof TLS de primaire verantwoordelijke zou zijn. Het is duidelijk dat in deze casus de AP er alles aan doet om zijn toezichthoudende en handhavende taak NIET naar behoren uit te voeren. Ik zie de rechtszaak of –zaken met vertrouwen tegemoet.”

Privacy First vecht kentekenparkeren aan bij rechtbank Amsterdam 

Kentekenparkeren zonder contante betaling is dubbele privacyschending 

Begin dit jaar oordeelde de Hoge Raad dat de Belastingdienst jarenlang op onrechtmatige wijze de locatiedata van alle automobilisten in Nederland heeft verzameld. De Belastingdienst deed dit middels een groot netwerk van ANPR-camera’s (nummerplaatregistratie) langs de Nederlandse snelwegen. Volgens de Hoge Raad bestond hiervoor echter geen wettelijke basis. Daarmee vormde deze praktijk van de Belastingdienst een massale privacyschending.

Ook op lokaal niveau wordt het reisgedrag van automobilisten al jarenlang op onrechtmatige wijze geregistreerd: middels kentekenparkeren heeft de gemeentelijke belastingdienst volledig zicht op wie waar en wanneer parkeert. Maar ook hier ontbreekt een specifieke wettelijke basis zoals door de Nederlandse Grondwet en art. 8 EVRM (het recht op privacy) worden vereist. Voor verplicht kentekenparkeren bestaat bovendien geen enkele maatschappelijke noodzaak. Verder ontbreekt bij kentekenparkeren de mogelijkheid om contant of anderszins anoniem te kunnen betalen. Daarmee vormt kentekenparkeren een meervoudige privacyschending.

Invoering kenteken niet verplicht

Begin 2015 won Privacy First haar eerste rechtszaak tegen kentekenparkeren: sindsdien zijn automobilisten niet meer verplicht om bij het parkeren hun kenteken in te voeren. Begin 2016 werd dit oordeel bevestigd door de Hoge Raad. Wie geen kenteken invoert, ontvangt echter nog steeds een parkeerboete die pas na bezwaar (met betalingsbewijs) wordt vernietigd. “Zo wordt je als goedwillende burger dus nog steeds gestraft als je anoniem wilt kunnen parkeren. Het is Kafka”, aldus Privacy First voorzitter Bas Filippini. “De Hoge Raad is duidelijk: verplichte invoering van kentekens mag niet. Kentekenparkeren dient dus te worden afgeschaft”, aldus onze advocaat Benito Boer. Daartoe diende onlangs een kort geding van Privacy First om anoniem parkeren mogelijk te maken zónder invoering van het kenteken en mét anonieme betaalmogelijkheid. Het Hof Amsterdam verklaarde deze zaak echter niet-ontvankelijk wegens de complexiteit ervan. Daarmee stuurde het Hof aan op een nieuwe bodemprocedure waarin alle openstaande rechtsvragen alsnog behandeld kunnen worden. Een dergelijke procedure zal aanstaande donderdag plaatsvinden bij de rechtbank Amsterdam. Naast de vraag of kentekenparkeren rechtmatig is, zal in deze zaak met name het gebrek aan contante of anonieme betalingsmogelijkheden centraal staan. In april 2016 organiseerde Privacy First een publieksdebat over deze thematiek.   

Rechtszitting bij rechtbank Amsterdam

Privacy First nodigt u hierbij van harte uit om bij de openbare rechtszitting aanwezig te zijn. Deze zal plaatsvinden op donderdagochtend 29 juni as. om 9.00u bij de rechtbank Amsterdam: zaak L.T.C. Filippini vs. gemeente Amsterdam, zaaknr. AMS 16/1758 PARKBL. Adres: Fred. Roeskestraat 73, gebouw G (Parnas). NB: dit is de nieuwe tijdelijke locatie van de rechtbank. Klik HIER voor een routebeschrijving.

Wilt u ons graag steunen bij het voeren van deze rechtszaak? Maak dan een donatie aan Privacy First over o.v.v. “privacyparkeren” t.n.v. Stichting Privacy First te Amsterdam, IBAN: NL95ABNA0495527521.

Update 29 juni 2017: de rechtszitting vanochtend was relatief lang en grondig. De uitspraak van de rechtbank staat vooralsnog gepland op 10 augustus as.

Update 30 juni 2017: naar aanleiding van de rechtszaak verscheen vandaag een lezenswaardig artikel op de website van Trouw.

Update 10 augustus 2017: het vonnis van de rechtbank is 6 weken uitgesteld.

Update 21 september 2017: het vonnis van de rechtbank is opnieuw 6 weken uitgesteld.

Update 27 oktober 2017: de rechtbank heeft de zaak helaas afgewezen. Lees HIER het commentaar van Privacy First voorzitter Bas Filippini. Privacy First gaat nu in hoger beroep bij het Hof Amsterdam.

Update 11 februari 2019: ook het Hof Amsterdam heeft de zaak helaas afgewezen. Lees HIER ons commentaar. Privacy First bezint zich op juridische vervolgstappen.