Toon items op tag: Overheid
SyRI-coalitie aan Eerste Kamer: ‘Super SyRI’ blauwdruk voor meer toeslagenaffaires
De partijen die in februari vorig jaar een rechtszaak wonnen tegen fraudesysteem SyRI, waarschuwen de Eerste Kamer voor een nog grotere en ingrijpendere datakoppelwet. “Dit voorstel legitimeert de werkwijze die leidde tot de toeslagenaffaire.”
De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om databases van zowel overheden als bedrijven in zogeheten samenwerkingsverbanden aan elkaar te knopen. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen om daarmee data-analyses uit te voeren. Deze moeten helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.
De coalitie, bestaand uit het Platform Burgerrechten, FNV, het Nederlands Juristen Comité voor de Mensenrechten, Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari noemt de wet ‘Super SyRI’, omdat deze in meerdere opzichten verder gaat dan het vorig jaar door de rechter uit de wet geschrapte SyRI (Systeem Risico Indicatie). De partijen noemen het voorstel een bedreiging voor het functioneren van de rechtsstaat in een brief aan de Eerste Kamer, die deze dinsdag start met de behandeling.
Parlement buitenspel gezet
De Eerste en Tweede Kamer worden in dit voorstel buitenspel gezet, schrijven de partijen. De belangrijke onderdelen staan namelijk niet geregeld in de wet waarover de Kamer nu stemt, maar worden naderhand bepaald door de minister in lagere regelgeving. Kwesties als de hoeveelheid en soorten gegevens, de partijen die erbij kunnen en de manier waarop ze worden geanalyseerd en verder worden gebruikt, worden bepaald zonder dat de Kamer daarmee instemt. Zo’n wetsconstructie is in strijd met de Grondwet, die voorschrijft dat een inbreuk op de privacy moet worden goedgekeurd door het parlement. Als de Eerste Kamer instemt met deze insteek, plaatst ze zichzelf effectief langs de zijlijn.
Alle data over burgers fair game
Het kabinet stelt in haar toelichting op de wet dat het ‘nee, tenzij’ principe bij het verwerken van persoonsgegevens moet worden omgedraaid naar een ‘ja, mits’. Daarmee keert ze het doelbindingsprincipe om, dat voorschrijft dat persoonsgegevens verzameld voor een specifiek doel, niet zomaar voor andere doelen mogen worden verwerkt. De vanzelfsprekende vertrouwelijkheid waarmee werd omgegaan met persoonsgegevens, wordt daarmee afgeschaft, zo schrijven de partijen. “Alle data over burgers zijn ‘fair game’ onder de WGS.”
Voor burgers wordt het zo onmogelijk om na te gaan wat er zoal over hen wordt uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij is het de bedoeling dat deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die ze in het vizier krijgen.
Blauwdruk voor meer toeslagenaffaires
Uit de toeslagenaffaire is gebleken dat het heimelijk plaatsen van burgers op lijsten rampzalige gevolgen kan hebben. Het wetsvoorstel voor de WGS leest als een blauwdruk voor een nieuw data-schandaal, stellen de partijen: “Met dit voorstel koerst het kabinet af op een vorm van governance die niet past in een vrije samenleving en doet denken aan de dataverwerkingspraktijken die vooraf gingen aan de toeslagenaffaire.”
De coalitie hoopt dat de fundamentele bezwaren tegen dit voorstel, die eerder werden geuit door de Raad van State en de Autoriteit Persoonsgegevens, in de Eerste Kamer tot een uitvoerige en kritische behandeling leiden. De Tweede Kamer nam het voorstel aan op 17 december 2020, de dag dat het rapport “Ongekend Onrecht” van de parlementaire ondervragingscommissie kinderopvangtoeslagaffaire werd gepubliceerd. “Met dit debacle zo vers in het geheugen verdient dit voorstel, dat de door Belastingdienst gehanteerde werkwijze in feite van een wettelijke basis voorziet, een grondige behandeling in de Kamer die de nadrukkelijke verantwoordelijkheid heeft voor het bewaken van de kwaliteit van wetgeving.”
Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-aan-eerste-kamer-super-syri-blauwdruk-voor-meer-toeslagenaffaires/, 11 januari 2021.
Privacy First start rechtszaak tegen privacyschendend UBO-register
Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.
Het UBO-register beoogt witwassen tegen te gaan, maar zal zwartmaken tot gevolg hebben.
De privacyschending die het gevolg is van het UBO-register en de openbare toegankelijkheid van gevoelige gegevens is niet proportioneel. Het doel van het UBO-register is witwassen tegengaan en terrorismefinanciering bestrijden. Om dat doel te bereiken is geen UBO-register nodig, in ieder geval geen register dat voor iedereen openbaar toegankelijk is.
Privacy First verzoekt daarom de Nederlandse rechter om het UBO-register buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Uiteindelijk heeft de rechter in dit soort zaken het laatste woord. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.
De rechtszaak zal door de Rechtbank Den Haag worden behandeld. Het kort geding wordt behandeld op 25 februari 2021 om 12.00 uur. De dagvaarding vindt u HIER (pdf). De uitspraak volgt twee of drie weken na de zitting.
Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.
Achtergrond rechtszaak tegen UBO-register
Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.
Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren.
De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. Iedereen heeft toegang tot het UBO-register, tegen betaling van € 2,50 per uittreksel.
Europese anti-witwasrichtlijn
Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.
Massale privacyschending en fundamentele kritiek
De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het al proportioneel is om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.
Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.
Rechtszaak is kansrijk
Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie.
De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Dat gebeurt vaker. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Dataretentierichtlijn en recent het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht.
Update 25 februari 2021: vanmiddag vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechter staat gepland op donderdag 18 maart as.
Media:
Security.nl, 6 januari 2021: Privacy First start rechtszaak tegen Staat over UBO-register
Mr. Online, 7 januari 2021: Privacy First begint rechtszaak over ‘ongeldig’ UBO-register
Advocatie, 7 januari 2021: Kort geding Privacy First om ‘privacy schendend’ UBO-register buiten werking te stellen
Security.nl, 7 januari 2021: Belgische overheid haalt UBO-register offline wegens beveiligingslek
Financieel Dagblad, 8 januari 2021: Privacyclub sleept staat voor rechter om UBO-register
Controllers Magazine, 23 februari 2021: UBO-register: Buitenproportioneel middel tegen witwassen?
TaxLive, 24 februari 2021: Op weg naar een beperkt openbaar UBO-register
NOS.nl, 25 februari 2021: Privacy First vecht met kort geding het UBO-register aan
Radio 1 Journaal (NOS), 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register (vanaf 6.44u)
BNR Nieuwsradio, 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register
Genomineerden Nederlandse Privacy Awards 2021 bekend!
Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.
Genomineerden
Dit jaar heeft opnieuw een groot aantal inzenders (waaronder meerdere overheidsorganisaties) zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse gesprekken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:
NLdigital
NLdigital (voorheen Nederland ICT) is een branchevereniging in de digitale sector. Ze vertegenwoordigt 600 leden van start-up tot multinational. Veel van deze leden behoren tot het MKB en zijn verwerker. NLdigital heeft gezocht naar een manier om hun leden te ondersteunen bij het implementeren van de AVG op een wijze die verder gaat dan alleen het aanbieden van een 10-stappenplan.
Door het beschikbaar stellen van een model verwerkersovereenkomst afgestemd op de branche, de Data Pro Code en het Data Pro Statement, heeft NLdigital een concrete invulling gegeven van de AVG voor verwerkers in de digitale sector. De Data Pro Code is bovendien transparant met een openbare certificering, staat open voor niet-leden en zal toetsbaar zijn door een nog in te stellen onafhankelijk toezichthoudend orgaan. De Data Pro Code is bovendien goedgekeurd door de Autoriteit Persoonsgegevens. Daarmee heeft NLdigital als brancheorganisatie een innovatieve werkwijze gevonden voor het ondersteunen van leden bij de implementatie van de AVG.
Simple Analytics
Simple Analytics heeft een eenvoudige analysetool ontwikkeld om het bezoek aan websites te meten. Met deze betalende dienstverlening respecteren zij de “do-not-track” instelling van gebruikers door niets van hen op te slaan. Er worden geen cookies en advertenties geplaatst tijdens het bezoek aan een website.
Met de dienstverlening voor bedrijven en organisaties doorbreekt Simple Analytics de trend van mondiale aanbieders die gratis een analysetool aanbieden waarbij o.a. trackgegevens worden doorverkocht in de vorm van advertenties. Binnen 2 jaar maken al ruim 500 organisaties gebruik van deze dienstverlening die bewust kiezen om geen persoonsgegevens te verzamelen van bezoekers, maar uitsluitend geaggregeerde data gebruiken om analyses te maken.
Door op deze wijze bezoeksdata te analyseren wordt maximaal de privacy van burgers gerespecteerd die gebruik maken van het internet als informatiebron. Dit verdienmodel heeft bewezen levensvatbaar te zijn.
FCInet & Ministerie van Justitie en Veiligheid
FCInet Secretariat is onderdeel van een internationale samenwerking gericht op het bestrijden van economische misdrijven zoals belastingfraude, corruptie en witwassen. Als uitgangspunt daarbij geldt Connect, don't collect. Daartoe is Ma³tch ontwikkeld.
Via een wiskundig formalisme (hashing) versleutelt organisatie A (bundels van) persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. Pas als blijkt dat er een match is vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd.
FCInet is er in geslaagd om samen met het Ministerie van Justitie en Veiligheid een Privacy by Design toepassing concreet toepasbaar te maken in een internationale samenwerking. Alleen noodzakelijke gegevens worden uitgewisseld. Het toepasbaar maken van de techniek in een bestaand proces van gegevensuitwisseling heeft veel overredingskracht gevraagd binnen traditioneel ingerichte (internationale) overheidsorganisaties. De volharding en de potentie van de gebruikte techniek rechtvaardigen een nominatie voor dit initiatief.
Schluss
Schluss biedt een datakluis aan voor het beheer van persoonlijke gegevens. De datakluis die Schluss in ontwikkeling heeft geeft individuen verregaande mogelijkheden om hun gegevens te beheren en beschikbaar te stellen op basis van hun eigen voorwaarden.
Naast de technische voorziening van een veilige datakluis wil Schluss betrokkenen ook ondersteunen in de wijze waarop ze met hun gegevens om kunnen gaan. Daartoe onderzoekt Schluss de voordelen van een coöperatie bij het beheer van gegevens, en welke spelregels over het beschikbaar stellen van gegevens gebruikt zouden moeten worden.
Op deze wijze zet Schluss niet alleen in op technische innovatie maar ook op een organisatorisch innovatieve manier om de privacy van individuen beter te beschermen.
Nkey
Nkey is een inspirerende Privacy by Design oplossing, die als plug-in voor website en app bouwers gemakkelijk een deel van de privacy voldoende veilig kan inrichten.
De bouwer van je website, bijvoorbeeld een online shop, neemt een abonnement en ‘plugt je site erop in’, je betaalt per maand en je klanten kunnen zelf de beschikbaarheid van hun gegevens zien en bijhouden.
Nkey laat zien dat er goede mogelijkheden zijn om maximaal controle te houden over je persoonsgegevens en deze alleen te laten gebruiken met jouw toestemming.
Ministerie van Volksgezondheid, Welzijn en Sport
De CoronaMelder app is inmiddels al door meer dan 4,3 miljoen mensen in Nederland gedownload. De app waarschuwt je op het moment dat je in de buurt bent geweest van iemand met corona. De app maakt gebruik van de technologie Bluetooth Low Energy. Via dit signaal kan gemeten worden of je in de buurt bent geweest van iemand die later positief is getest. Door de samenwerking met corona apps uit andere EU-landen krijg je ook een melding als je in contact bent geweest met een persoon die een corona-app gebruikt van een ander EU-land.
Gebruikers van de app ontvangen een melding nadat ze:
1. minimaal 15 minuten dicht bij iemand zijn geweest die later corona blijkt te hebben;
2. deze persoon de app ook gebruikt; en
3. deze persoon via CoronaMelder samen met de GGD aangeeft het coronavirus te hebben.
De app is een aanvulling op het bron- en contactonderzoek dat door de GGD wordt uitgevoerd. De app zelf slaat alleen statische gegevens op, zogenaamde wiskundige codes die om de 14 dagen worden verwijderd en niet te herleiden zijn tot een persoon. Mocht blijken dat de app-gebruiker corona heeft dan kan die ervoor kiezen om de wiskundig gegenereerde code op een server op te slaan, zodat andere gebruikers die mogelijk in de buurt zijn geweest geïnformeerd kunnen worden. De melding bevat alleen informatie over het feit dat je in buurt bent geweest van een besmet persoon en niet wie het was of waar dit is geweest.
STER
STER verzorgt alle reclame-uitingen voor de publieke omroep. Voor de online reclames heeft STER radicaal gebroken met de gebruikelijke aanpak om via ´cookies´ advertenties zoveel mogelijk af te stemmen op de kenmerken die over een persoon verzameld worden.
In plaats daarvan is STER overgestapt op een systeem dat uitsluitend gebruik maakt van informatie over het product dat bekeken wordt. Deze contextuele benadering van het aanbieden van advertenties blijkt in de praktijk net zo effectief als de gebruikelijke manier van advertentieselecties en biedt daarnaast nog een aantal extra voordelen, ook voor de adverterende partijen.
STER heeft deze stap gezet omdat duidelijk was dat het gebruik van persoonskenmerken voor het aanbieden van advertenties bij veel mensen irritatie opwekt. De Algemene Verordening Gegevensbescherming gaf het laatste zetje om over te stappen.
Door de nieuwe aanpak verdwijnen er partijen uit de keten die vooral dienden om persoonskenmerken te verzamelen en te verwerken voor adverteerders. Er blijft meer geld over voor de adverteerders. STER beheert de gehele advertentiecampagne in huis. Een door de STER ontwikkelde aanpak voegt automatisch trefwoorden aan de digitale content toe. STER geeft door aan adverteerders wat de effectiviteit van hun campagnes is geweest. Met deze aanpak heeft STER een technisch en organisatorisch model ontwikkeld dat beter aansluit op de privacybehoeften van betrokkenen, ten minste net zo effectief is als het oude systeem en minder kosten met zich meebrengt. Het model is naar andere domeinen buiten de publieke omroep over te brengen.'
4MedBox
4LifeSupport van 4MedBox zet de verhouding tussen bron en betrokkene in een ander daglicht. Het individu, de persoon, wordt als bron en bepaler beschouwd, die bepaalt welke partijen of professionals toegang tot de gegevens verkrijgen. Door het zelfbeschikkingsprincipe dat in het platform is verwerkt stelt het individuen in staat om vervolgens die data naar eigen inzicht bijvoorbeeld te delen of te verkopen aan door hen geselecteerde partijen. Het kan wat van de mensen vragen qua handigheid, begrip en inzicht, maar kan dan ook veel bieden op het vlak van zelfregie. Die heeft zeker te maken met privacy, maar werkt dan ook breder.
4LifeSupport staat nog aan het begin van een langer proces en vraagt nog uitwerking op een aantal onderdelen, maar de jury beoordeelt de aanpak en vorderingen als voldoende om het te nomineren.
Roseman Labs
Roseman Labs is door drie academici opgericht met als doel om moderne privacy technologieën zoals secure multiparty computation (MPC) breed en gemakkelijk toepasbaar te maken.
Multiparty computation stelt meerdere partijen in staat om berekeningen uit te voeren op hun gezamenlijke dataset, zonder deze data onderling te hoeven delen; alleen het resultaat van de berekening wordt bekend.
MPC is met name relevant voor sectoren waarin zowel data-privacy als samenwerking tussen meerdere stakeholders cruciaal is, zoals de financiële sector, de gezondheidssector, geo-informatiediensten, energiebedrijven, e-commerce en cyber-weerbaarheid.
Roseman Labs heeft Cranmera ontwikkeld, een MPC software engine waarmee in korte tijd domeinspecifieke applicaties op basis van MPC kunnen worden gebouwd. Voorbeelden van dergelijke applicaties zijn een enquêtesysteem waarbij de antwoorden van respondenten op basis van MPC versleuteld worden verwerkt, en een pseudonimisatie-oplossing met sterke privacygaranties voor interbancaire transactiemonitoring.
Jury Nederlandse Privacy Awards
De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
- Ancilla van de Leest, voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Alex Commandeur, senior adviseur BMC Advies
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
- Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.
Uitreiking Awards
Tijdens de Nationale Privacy Conferentie op 28 januari as. worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP. Wilt u graag ook (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!
Standpunt Privacy First inzake mondkapjesplicht
Onder de Corona-noodwet heeft het kabinet de mogelijkheid om allerlei beperkende maatregelen in te voeren, waaronder een brede mondkapjesplicht, tenzij de Tweede Kamer dit deze week verwerpt. Vandaag stuurde Privacy First hierover onderstaande email aan de Tweede Kamer:
Geachte Kamerleden,
Op 19 november jl. heeft het kabinet de Regeling aanvullende mondkapjesverplichtingen covid-19 bij u ingediend. Onder deze regeling zal het dragen van mondkapjes op talloze locaties (waaronder winkels, stations, luchthavens en onderwijs) per 1 december as. verplicht worden. Periodiek zal deze plicht door het kabinet – zonder instemming van het parlement – kunnen worden verlengd. Op basis van de Corona-noodwet heeft u momenteel zeven dagen de tijd om uw vetorecht uit te oefenen en de inwerkingtreding van een brede mondkapjesplicht te voorkomen. Uiterlijk op 26 november as. zult u dit in stemming kunnen brengen en de voorgestelde mondkapjesplicht kunnen verwerpen.
Over het dragen van mondkapjes is al maanden veel maatschappelijke discussie gaande. Standpunt van zowel het kabinet als het RIVM is herhaaldelijk geweest dat het dragen van een niet-medisch mondkapje nauwelijks effectief is ter bestrijding van het coronavirus. Wetenschappers lijken hierover verdeeld. Tegelijkertijd kan het dragen van mondkapjes ook averechts werken, d.w.z. de gezondheid van mensen juist schaden. Waar wel consensus over bestaat is dat het verplicht dragen van een mondkapje in juridische zin een inbreuk op de persoonlijke levenssfeer en zelfbeschikking vormt. Dit valt daarmee onder het werkterrein van Privacy First. Het recht op bescherming van de persoonlijke levenssfeer (privacy) is een universeel mensenrecht dat in Nederland wordt beschermd door zowel internationale en Europese verdragen als door onze nationale Grondwet. Iedere inbreuk op het recht op privacy dient daarom strikt noodzakelijk, proportioneel en effectief te zijn. Zo niet, dan is sprake van een ongerechtvaardigde inbreuk en derhalve een schending van het recht op privacy als mensenrecht en als grondrecht. Zolang het dragen van niet-medische mondkapjes ter bestrijding van het coronavirus niet effectief gebleken is en zelfs averechtse gezondheidseffecten kan hebben, kan van een maatschappelijke noodzaak ter invoering van een algemene mondkapjesplicht geen sprake zijn. Een dergelijke plicht zou dan immers neerkomen op een maatschappelijk experiment met onvoorziene consequenties. Dit past niet in een vrije democratische rechtsstaat. Privacy First adviseert u daarom om de voorgestelde regeling ter invoering van de mondkapjesplicht te verwerpen en het dragen van mondkapjes op vrijwillige basis te continueren.
Hoogachtend,
Stichting Privacy First
Privacy First roept Eerste Kamer op om Corona-noodwet te verwerpen
Aanstaande maandag en dinsdag debatteert en stemt de Eerste Kamer over één van de meest verregaande wetten die Nederland ooit gekend heeft. Gisteren stuurde Privacy First in dat verband onderstaande brief (pdf) aan de Eerste Kamer:
Geachte Kamerleden,
Begin deze week vindt in de Eerste Kamer het debat en de stemming plaats over een wetsvoorstel dat de afgelopen maanden terecht veel kritiek en onrust in de Nederlandse samenleving heeft veroorzaakt. Dit wetsvoorstel heet eufemistisch de Tijdelijke wet maatregelen Covid-19 en is beter bekend als de “Spoedwet”, “Noodwet” of “Coronawet”. Sinds de allereerste concept-versie van deze wet (mei 2020) heeft Privacy First diverse malen kritisch commentaar op het wetsvoorstel geleverd. Ons voornaamste punt van kritiek betrof het totalitaire karakter van deze wet: de minister zou per decreet talloze grondrechten kunnen gaan inperken en het parlement zou daarbij grotendeels buitenspel komen te staan. Dit aspect van de wet lijkt inmiddels slechts te zijn “gerepareerd” voorzover het de betrokkenheid van de Tweede Kamer betreft. Ook in de huidige versie van het wetsvoorstel krijgt de minister nog steeds een breed arsenaal aan beperkende middelen tot zijn beschikking. Daarbij staat de Eerste Kamer nog steeds grotendeels buitenspel. De Tweede Kamer zou inmiddels een “bekrachtigingsrecht” bij maatregelen onder de wet hebben, maar bij nader inzien blijkt dit slechts een verwerpingsrecht onder hoge tijdsdruk. Hieronder lichten wij dit kort toe.
Corona-noodwet als menukaart voor talloze inperkingen van grondrechten
Evenals eerdere versies biedt het huidige wetsvoorstel nog steeds alle mogelijkheden om talloze vrijheden, grondrechten en mensenrechten verregaand te kunnen inperken. Geen enkel segment van de samenleving blijft daarbij gespaard, denk bijvoorbeeld aan de vrijheid van beweging in de openbare ruimte, het openbaar vervoer, onderwijs en kinderopvang, openbare gelegenheden, horeca, evenementen, sport en recreatie, zorginstellingen etc, alles op straffe van hoge boetes. Getuige alle ontwikkelingen in de afgelopen maanden rijst daarbij inmiddels de vraag of de negatieve maatschappelijke, economische en sociale gevolgen van dergelijke maatregelen de veronderstelde positieve effecten niet verregaand en langdurig zullen (gaan) overtreffen. Naar analogie met vroegere uitspraken van het Europees Hof voor de Rechten van de Mens: in hoeverre is hier sprake van “destroying society on the ground of defending it?”
Eerste Kamer voortaan buitenspel
Privacy First zal er geen doekjes om winden: zodra u dit wetsvoorstel accordeert, zet u zichzelf als Eerste Kamer gedurende de rest van dit tijdsgewricht grotendeels buitenspel. De Corona-noodwet zal na inwerkingtreding immers voor onbeperkte duur kunnen blijven gelden; periodieke verlenging zal geschieden bij koninklijk besluit en zonder parlementaire goedkeuring. Onder deze wet zullen door de minister (en diens onbekende opvolger(s)) talloze draconische maatregelen genomen kunnen worden, waarbij u als Kamerlid het nakijken zult hebben. Bij iedere nieuwe ministeriële regeling onder de Corona-noodwet zal immers louter de Tweede Kamer het recht hebben om deze binnen een week te verwerpen, waardoor de betreffende regeling niet in werking zal treden (of, bij spoedregelingen, buiten werking zal worden gesteld). Een dergelijk recht krijgt de Eerste Kamer echter niet. Een amendement van die strekking werd in de Tweede Kamer immers recentelijk verworpen.[1] Daarmee heeft de Tweede Kamer de Eerste Kamer in de Corona-crisis buitenspel gezet, in strijd met de systematiek die bijvoorbeeld bij noodsituaties geldt onder art. 103 Grondwet. Los van de vraag of er reeds sprake is van een noodsituatie (quod non), zou dit voor uw Kamer voldoende reden moeten zijn om dit wetsvoorstel geheel te verwerpen.
Tweede Kamer heeft slechts recht van verwerping i.p.v. bekrachtiging van maatregelen
Ten onrechte is de afgelopen tijd (door Kamerleden en zelfs door de Raad van State) gesuggereerd dat maatregelen onder de Corona-noodwet pas in werking kunnen treden nadat de Tweede Kamer hiermee heeft ingestemd.[2] De betreffende passage in het huidige wetsvoorstel (art. 58c lid 2-3) leest echter als volgt: “Indien binnen [een week] de Tweede Kamer besluit niet in te stemmen met de regeling, vervalt deze van rechtswege.” (onderstreping toegevoegd) Dit is dus geen recht van bekrachtiging, maar een recht van verwerping dat actieve besluitvorming vergt, dit alles onder hoge tijdsdruk. Hoe zal dit uitpakken tijdens het Kerstreces? Zie ter vergelijking het bekrachtigingsrecht zoals dat bij noodmaatregelen geldt onder art. 176 Gemeentewet. Het is aan uw Kamer om de interpretatie en toepassing van art. 58c lid 2-3 onder het huidige wetsvoorstel te laten verduidelijken. Tevens adviseert Privacy First u om alsnog een sterker bekrachtigingsrecht voor zowel de Tweede als Eerste Kamer af te dwingen en daartoe het huidige wetsvoorstel te verwerpen. Het behoud van onze vrije democratische rechtsstaat is daarmee het meest gediend.
Hoogachtend,
Stichting Privacy First
[1] Zie Kamerstukken II, 2020-2021, 35526, nr. 49.
[2] Zie de plenaire vergadering over het wetsvoorstel in de Tweede Kamer, 7-8 oktober 2020. Zie tevens de brief van de vice-president van de Raad van State met voorlichting over het wetsvoorstel d.d. 22 oktober 2020, Kamerstukken I, 2020-2021, 35526, nr. F, p. 10 (1e alinea) en p. 12 (1e alinea).
Inschrijving Nederlandse Privacy Awards 2021 geopend!
Begin 2021 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.
Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:
-
categorie Consumentenoplossingen (van bedrijven voor consumenten)
-
categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)
-
categorie Overheidsdiensten (van de overheid voor burgers)
-
Aanmoedigingsprijs voor een baanbrekende technologie of persoon.
“De Coronacrisis laat zien, naast natuurlijk gezondheid en zorg, hoe actueel het belang van zorgvuldige omgang met persoonsgegevens is. Technische mogelijkheden, politieke ambities, commercieel streven en zorgwensen moeten voortdurend tegen het licht gehouden worden qua privacy. Niet omdat we tegen ontwikkeling zijn, maar omdat die respect voor de persoonlijke levenssfeer moet hebben. Deze positieve en constructieve benadering van privacy is de essentie van de Nederlandse Privacy Awards”, aldus Wilmar Hendriks, voorzitter van de jury.
Voorwaarden voor deelname
Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!
De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:
Ten aanzien van het product, proces of dienst:
Waardering van privacy
De Nederlandse Privacy Awards zijn gericht op een positieve(re) waardering van gegevensbescherming. Het product, proces of dienst levert hierop merkbare toegevoegde waarde.
Maatschappelijke impact
In hoeverre draagt het product, proces of dienst merkbaar bij aan de privacybescherming van de consument/gebruiker/burger? Staat de betrokkene hierin centraal? Welke maatschappelijke waarde wordt hiermee ondersteund? Is daarbij aandacht voor ethische aspecten en de maatschappelijke impact?
Innovatief vermogen
Is of biedt het product, proces of dienst een noviteit op privacygebied en heeft het zich in de markt nog niet uitgebreid technisch en/of commercieel bewezen? Is het voldoende innovatief en onderscheidend van bestaande commerciële producten of diensten of maatschappelijke dienstverlening?
Zelfredzaamheid
Is het product, proces of dienst binnen een reële termijn (ca 3 jaar) economisch realiseerbaar? Is er een businessmodel? Voor overheidsgerelateerde inzendingen: is er voldoende politiek, bestuurlijk en maatschappelijk draagvlak (te realiseren)?
Risicoanalyse
Is voor het product, proces of dienst een risico-analyse uitgevoerd (uitgaande van de (beoogde) verwerking)? Zijn daarbij waar nodig mitigerende maatregelen genomen? Welke?
Ten aanzien van de inzendende organisatie:
Privacyverantwoordelijke
Heeft de inzendende organisatie een FG (als dit verplicht is) of is er een privacyadviseur?
Privacy policy
Wordt een privacy policy gecommuniceerd en toegepast wanneer persoonsgegevens worden verwerkt?
Privacy awareness
Is privacy awareness herkenbaar in de beginselen van de organisatie? In hoeverre worden stakeholders betrokken bij ontwikkeling, ontwerp en uitvoering?
Bepalen van de genomineerden
Organisaties kunnen zich t/m 1 oktober 2020 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2020 hoort u of u tot de genomineerden behoort. De mogelijkheid bestaat dat de jury een aangekondigd (vertrouwelijk) bedrijfsbezoek aan de genomineerden zal brengen. Indien u genomineerd wordt ontvangt u van Privacy First tevens een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.
Voorschriften pitch
● Maximaal 3 minuten
● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)
● De presentatie bevat in ieder geval de volgende onderdelen:
o Organisatienaam
o Privacy project omschrijving
o Doel en behaalde resultaten.
Jury
De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
> Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Alex Commandeur, senior adviseur BMC Advies
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Piek Visser-Knijff, data-ethicus en eigenaar Filosofie in actie
> Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.
Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.
Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!
Privacy First bereidt rechtszaak tegen privacyschendend UBO-register voor
Op 23 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ aangenomen. Op basis van deze nieuwe wet komt in het Handelsregister van de KvK informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. De wet treedt op korte termijn in werking. Daarna hebben juridische entiteiten nog achttien maanden om hun UBO’s te registreren. De gevolgen van deze nieuwe wetgeving zullen ingrijpend zijn. Het is een wet die beoogt witwassen tegen te gaan, maar zwartmaken bewerkstelligt.
Europese richtlijn
Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.
Massale privacyschending
De vraag is of het middel het doel niet voorbijschiet. Het voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,9% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. In het privacyrecht is een belangrijk principe dat gegevens die voor het ene doel zijn verzameld niet voor een ander doel mogen worden gebruikt. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en de bestrijding van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.
Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest en privacyrisico’s ziet. Familiebedrijven waarvan de UBO’s tot nu toe buiten de openbaarheid bleven hebben veel privacy te verliezen. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.
Rechtszaak
Privacy First zal een rechtszaak starten tegen het UBO-register wegens schending van het Europees privacyrecht. De Nederlandse wet en ook de bovenliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. Het is aan de rechter om daar een grondige toetsing op te doen. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie.
Privacy First voert haar strategische procedures over privacy veelal met een coalitie van belanghebbenden. Privacy First inventariseert momenteel welke partijen hieraan een bijdrage kunnen leveren. Zou u (of uw organisatie) graag als mede-eiser aan deze rechtszaak willen deelnemen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Als u Privacy First hierin financieel wilt steunen kunt u tevens donateur worden.
Update 6 januari 2021: vandaag is de rechtszaak van Privacy First tegen het UBO-register van start gegaan. Lees HIER meer over de zaak, onze dagvaarding en de geplande rechtszitting bij de rechtbank Den Haag.
Deskundigenbijeenkomst Eerste Kamer over Wet digitale overheid
Deze week vond in de Eerste Kamer een zeer kritische deskundigenbijeenkomst plaats over een relatief complex maar belangrijk onderwerp: de nieuwe Wet digitale overheid. Door deze wet zal o.a. het verouderde DigiD vervangen worden door nieuwe digitale eID-middelen voor burgers om bij de overheid te kunnen inloggen en zaken te kunnen regelen. Aan de huidige opzet van de nieuwe wet en de bijbehorende infrastructuur kleven echter een aantal privacyrisico's. De Eerste Kamer had daarom Privacy First voor deze gelegenheid uitgenodigd om een position paper in te dienen en spreker te zijn. Klik HIER voor het volledige programma, alle sprekers en position papers. Hieronder volgt de volledige tekst van onze inbreng en het videoverslag van de gehele bijeenkomst:
Position paper:
Geachte Kamerleden,
Dank voor uw uitnodiging om deel te nemen aan de deskundigenbijeenkomst over de Wet digitale overheid (Wdo). Stichting Privacy First heeft een aantal kritische kanttekeningen bij deze wet. Hieronder zullen wij dit kort uiteenzetten.
Allereerst wil Privacy First in dit verband graag benadrukken dat burgers te allen tijde het recht hebben, en zullen moeten blijven hebben, om langs niet-digitale weg met de overheid te communiceren of zaken te doen, hetzij telefonisch, op papier of in persoon. Voor grote groepen in de samenleving is en blijft dit cruciaal voor hun maatschappelijke participatie. Bovendien biedt de ‘klassieke’ analoge ruimte vaak betere privacybescherming dan het digitale domein.
Dit brengt ons op ons voornaamste punt van zorg inzake de Wet digitale overheid, namelijk eID. Bij een gecentraliseerde infrastructuur kunnen eID-bedrijven die de certificaten (sleutels) verstrekken precies zien waar mensen inloggen. Daarnaast zijn er certificaten (digitale handtekeningen) voor het ondertekenen van documenten en bestaat het risico dat bedrijven exact kunnen weten welke documenten mensen ondertekenen. Dit leidt tot talloze privacyrisico’s, zeker waar het privacygevoelige transacties (en dus gevoelige persoonsgegevens) betreft. Wat is het verdienmodel van deze bedrijven? En wat kunnen zij doen met al deze gegevens, ook via platforms zoals Facebook en Google?
Dit pleit voor een decentrale i.p.v. centrale architectuur met dataminimalisatie en privacy by design. Dat brengt ons op een actueel onderwerp dat bij deze wet van belang is, namelijk de invoering van een op attributen gebaseerd stelsel naast het eID-stelsel. Biedt de huidige Wdo meer controle over het afschermen van persoonsidentificatiegegevens en beschermt het de privacy van de burger? Ons antwoord is nee. In 2017 was men daar dichterbij dan nu. De Wdo kent een lange aanloop en is van een uitwerking van een infrastructuur voor digitale overheidsdienstverlening versmald tot een “Wet op de inlogmiddelen”. In 2017 was het streven nog deels om te komen tot een raamwet voor een op attributen gebaseerd stelsel. In de eerdere versie van de wet werd daarom nog duidelijk onderscheid gemaakt tussen identificatie/authenticatiediensten enerzijds en attributendiensten anderzijds. De definitie was eens: “De attributendienst is een partij die ten behoeve van elektronische dienstverlening een verklaring afgeeft over bepaalde kenmerken of gegevens van een natuurlijke persoon (bijvoorbeeld leeftijd of beroep) of een rechtspersoon (bijvoorbeeld erkend bedrijf).”
Tevens zou deze dienst zowel door een overheidsorganisatie als door een private partij geleverd kunnen worden en moest er iets worden geregeld voor erkenning. Men stelde in de Memorie van Toelichting: “Aan attributendiensten worden in op basis van dit wetsvoorstel vast te stellen uitvoeringsregelgeving technische en organisatorische eisen gesteld en er wordt voorzien in een erkenningsstelsel, op gelijke wijze als bij authenticatiediensten. Op dit moment zijn er nog geen publieke en private attributendiensten operationeel, maar met uitbreiding van de digitale dienstverlening zal ook de behoefte aan elektronische ondersteuning van deze functie toenemen. Deze attributendiensten kunnen publiek of privaat zijn. Te denken valt bijvoorbeeld aan een generieke attributendienst die leeftijdsverificatie mogelijk maakt op basis van de basisregistratie personen. Tot nu toe verrichten publieke dienstverleners waar nodig zelf de leeftijdscontrole aan de hand van de eigen klantadministratie (die in de regel is afgeleid van de BRP). Het wetsvoorstel bevat een basis voor het stellen van technische en organisatorische eisen aan publieke en private attributendiensten. Of in de toekomst behoefte bestaat aan een publieke attributendiensten is nog onderwerp van onderzoek.”
De realisatie van die toekomst en behoefte lijkt nu te zijn geblokkeerd. Terwijl die behoefte er inmiddels vooral bij gemeenten wel is. Ook zij waren in 2017 nog overtuigd dat je iemand niet hoefde te identificeren om deel te nemen aan, bijvoorbeeld, een online peiling. De huidige Wdo ondersteunt dat echter niet. De definitie van attributendienst is immers geschrapt uit de Wet en op grond van art. 12 Wdo is de ministeriële aanwijsbevoegdheid beperkt tot het aanwijzen van een attribuut dat naar het oordeel van de Minister van belang is voor de identificatie van ondernemingen of rechtspersonen.
Het idee dat kenmerken/attributen een belangrijke rol spelen in het terugdringen van de online-identificatiedrift van publieke organisaties is in zijn geheel verloren gegaan. Qua privacy en dataminimalisatie is dit een grote misser. Dikwijls volstaat immers dat ik aantoon wat ik ben (inwoner van Amsterdam) in plaats van wie ik ben op basis van mijn BSN. In de huidige afgeslankte Wdo ontbreekt hiervoor het wettelijke kader. Alles is gericht op authenticatie en het verstrekken van persoonsidentificatiegegevens. Dit terwijl de wet eerder wel ruimte bood om met attributen toegang te krijgen tot digitale dienstverlening. Een actueel voorbeeld hiervan is overigens IRMA, dat begin 2018 de allereerste Nederlandse Privacy Award won.
Deze wet is dus een gemiste kans om als aanvulling op de eIDAS-verordening te dienen en een op attributen gebaseerd privacy-centrisch eID-stelsel in Nederland neer te zetten. Integendeel: met deze wet worden met een waaier aan regelingen juist hoge drempels opgeworpen voor private partijen (waaronder stichtingen) om goede, privacyvriendelijke middelen en voorzieningen te laten erkennen en aan te bieden aan burgers.
Privacy First betreurt dit en hoopt dat uw Kamer hier alsnog positieve veranderingen in zal kunnen bewerkstelligen.
Hoogachtend,
Stichting Privacy First
Mondelinge toelichting:
Geachte Kamerleden,
Nogmaals dank voor uw uitnodiging om aan deze bijeenkomst deel te nemen. Onze voornaamste punten van kritiek op de huidige Wet digitale overheid hebben wij reeds uiteengezet in onze position paper. Kort gezegd gaat het daarbij voornamelijk om de kwetsbaarheden en privacyrisico’s van het nieuwe eID-stelsel, waaronder de volgende aspecten:
- De centrale i.p.v. decentrale opzet van de infrastructuur. Over het algemeen is een centrale opzet riskanter en onveiliger dan een decentrale architectuur. Een decentrale opzet is ook meer in lijn met moderne privacyvereisten zoals dataminimalisatie en privacy by design. Bovendien leent dit zich minder goed voor grootschalige hacks of heimelijke toegang, massale datalekken en function creep, oftewel sluipende doelverschuiving. Niet voor niets is er de laatste jaren in diverse gevoelige domeinen een ontwikkeling van centrale naar decentrale infrastructuren zichtbaar, bijvoorbeeld op het terrein van biometrie en in de medische wereld. Ook bij een uitermate gevoelig persoonsgegeven als het BSN en allerlei gevoelige transacties tussen burgers, bedrijven en overheden zou dus bij uitstek voor een decentrale opzet gekozen moeten worden. Dat zou ook meer passen bij het idee van informationele zelfbeschikking en de slogan ‘Regie op gegevens’ van het ministerie van Binnenlandse Zaken zelf.
- In dit verband is het een gemiste kans dat het wettelijk kader tot op heden onvoldoende gebaseerd is op een stelsel dat werkt aan de hand van minimale attributen (d.w.z. relevante kenmerken) van personen i.p.v volledige identificatie waarbij veel meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Een actueel voorbeeld van een dergelijk privacyvriendelijk alternatief is IRMA (I Reveal My Attributes) dat op 28 januari 2018, de Europese Dag van de Privacy, de allereerste Nederlandse Privacy Award won. Vanuit gemeenten, en wellicht ook andere overheden, lijkt daar ook steeds meer behoefte aan. Waarom wordt dit tot op heden niet wettelijk gefaciliteerd?
- Een ander aspect dat wij in onze position paper abusievelijk onvermeld hadden gelaten, is dat eID-middelen open source dienen te zijn. Dat is immers de meest effectieve manier om onbetrouwbare partijen buiten de deur te houden en de veiligheid en privacy te waarborgen. Open source zou daarom als harde eis toegevoegd moeten worden voor de toelating van eID-middelen.
- Tevens zouden wij hier graag nogmaals willen benadrukken dat het eID-stelsel zoals nu in de Wet digitale overheid beoogd is, per definitie enorme risico’s voor de privacy van burgers teweeg zal brengen, gezien de commerciële aard van nieuwe eID-aanbieders, waaronder techbedrijven met dubieuze businessmodellen en schimmige profileringspraktijken. Deze risico’s lijken in dit wetstraject nog niet te zijn geadresseerd. Dit dient alsnog op democratische en toekomstbestendige wijze te gebeuren op het niveau van de parlementaire wet zelf en niet in lagere, bestuurlijke regelgeving.
Dank voor uw aandacht.
(...)
Tijdens de bijeenkomst werden door de Kamerleden talloze kritische vragen gesteld, zie onderstaand videoverslag. Mede naar aanleiding van deze bijeenkomst is de Eerste Kamer voornemens om de verdere behandeling van de Wet digitale overheid tot na de zomer uit te stellen.
Toespraak voorzitter Privacy First bij demonstratie tegen Corona-noodwet
Op zondag 21 juni 2020 werd op het Malieveld in Den Haag een grootschalig protest tegen de Corona-noodwetgeving georganiseerd. Vele duizenden mensen waren van plan om hier vreedzaam voor hun vrijheid te komen demonstreren. Ondanks een onterecht verbod op deze demonstratie gaven diverse sprekers die voor deze gelegenheid waren uitgenodigd alsnog acte de présence, waaronder Privacy First voorzitter Bas Filippini. Bekijk hieronder zijn gehele toespraak. In de aanloop naar deze demonstratie verscheen Privacy First tevens in het NOS Journaal.
Privacy First zal zich met alle politieke en juridische middelen blijven verzetten tegen totalitaire noodwetgeving, waaronder de Corona-spoedwet. Steunt u ons hierin? Wordt dan donateur van Privacy First!
Update 10 augustus 2020: klik hier voor de Engelstalig nagesynchroniseerde versie van de toespraak.
Privacyschendend UBO-register schiet doel voorbij
Aankomende dinsdag 16 juni 2020 staat op de agenda van de Eerste Kamer het aannemen van de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’: https://www.eerstekamer.nl/wetsvoorstel/35179_implementatiewet_registratie . Die wet wijzigt onder andere de Handelsregisterwet 2007. In het Handelsregister van de KvK komt dan informatie over de uiteindelijk belanghebbende (‘ultimate beneficial owners’ / ‘UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Deze informatie wordt dan dus openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.
Europese richtlijn
Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel.
Massale privacyschending
Hierbij rijst de vraag of het middel het doel niet voorbijschiet. Het openbaar maken van de persoonsgegevens van UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. Het allergrootste deel van de UBO’s heeft immers niets te maken met witwassen of financiering van terrorisme. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor de overheidsdiensten die zich bezig houden met de bestrijding van witwassen en de bestrijding van de financiering van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken.
De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is: https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf . Maar dat oordeel heeft niet geleid tot aanpassing van de Richtlijn.
Juridische stappen
Privacy First overweegt om juridische stappen tegen het UBO-register te nemen wegens schending van het Europees privacyrecht. Zou u (of uw organisatie) graag als mede-eiser aan een dergelijke rechtszaak tegen het UBO-register willen deelnemen of Privacy First hierin financieel willen steunen? Neem dan contact met ons op of wordt donateur!