Toon items op tag: Wetgeving

"Privacywaakhonden en ict'ers verontrust

Een nieuwe conceptwet geeft de politie verregaande bevoegdheden om in computers te kunnen inbreken. Privacywaakhonden en ict-experts vinden die wet veel te ver gaan. ,,De aanslagen in Parijs worden gebruikt om een politiestaat in te voeren."

Vlak voor het weekend begon, gooide de ministerraad er afgelopen vrijdagmiddag nog snel een belangrijk persbericht uit. Ministers Ard van der Steur (Veiligheid en Justitie) en Ronald Plasterk (Binnenlandse Zaken) dienen vier wetsvoorstellen uit het actieprogramma Integrale aanpak Jihadisme in bij de Tweede Kamer. De maatregelen om het Jihadisme te bestrijden, zijn van groot belang, onderstreept de regering.

Onderdeel van die maatregelen is een uitbreiding van de bevoegdheden om onderzoek te doen in computers van criminelen en terroristen. De naam van het wetsvoorstel staat niet vermeld in het persbericht, maar desgevraagd bevestigt het ministerie van Veiligheid en Justitie dat het gaat om de wet Computercriminaliteit III, die al sinds 2013 in de maak is. De omstreden wet kan met steun van VVD en PvdA rekenen op een meerderheid in de Tweede Kamer. Maar die partijen zullen andere partijen nodig hebben om de wet door de Eerste Kamer te loodsen.

Webcams

De conceptwet geeft de politie ongekend veel bevoegdheden. Ze mag stiekem inbreken in computers, data kopiëren, toevoegen en wissen. De politie mag meekijken met webcams, afluisteren via de microfoon van een computer en live meekijken wat iemand typt. Er mag zelfs worden ingebroken bij onschuldige derden om bij een verdachte uit te komen. Privacyorganisatie Bits of Freedom spreekt van de meest verregaande wet ter wereld op dit gebied.

De conceptwet heeft dan ook tientallen bezorgde reacties opgeleverd van hoogleraren, ict'ers en privacywatchers. En ook nu klinkt kritiek. ,,Een overheid die mag inbreken in systemen en computers om zo aan informatie te komen, begeeft zich op glad ijs," meent voorzitter Lotte de Bruijn van branchevereniging Nederland ICT. ,,Stel dat de politie het recht zou hebben om zich zonder toestemming toegang te verschaffen tot woningen, zouden we dat accepteren? Ook al zouden ze daarmee verdachte buren kunnen afluisteren? Ik denk het niet."

Anderen vinden het bezwaarlijk dat de overheid baat heeft bij softwarelekken, om zo andermans computer binnen te komen. ,,Als de overheid te weten komt dat in veelgebruikte software een lek zit, kan ze dat geheim houden zodat de politie dat lek eerst mag misbruiken. Daarmee maakt de minister de hele maatschappij onveiliger, in plaats van veiliger," zegt Rejo Zenger van Bits of Freedom.

Ongepast

Zenger vindt het niet chic dat de wet nu in het kader van terrorismebestrijding aan de Kamer wordt gepresenteerd. ,,Het is absoluut ongepast dat de minister van Veiligheid en Justitie de aanslagen in Parijs gebruikt voor het doordrukken van zijn wetsvoorstel. De minister wil al lang de bevoegdheden van de politie uitbreiden. Dat verdient een grondig debat in het parlement, zonder dat dit heel erg wordt gestuurd door de gebeurtenissen in Parijs." Voorzitter Bas Filippini van Privacy First noemt de maatregelen zelfs het doodknuppelen van de rechtsstaat. ,,Na de aanslagen in Parijs wordt jacht gemaakt op snotneuzen van tussen de 20 en 30 jaar. In plaats van dat politie- en inlichtingendiensten zich schamen dat ze die mannen niet beter in beeld hadden, stelt Nederland voor om 16 miljoen burgers onder de knoet te houden. Een politiestaat, daar moeten we niet naartoe willen.""

Bron: Algemeen Dagblad 30 november 2015, p. 5. Tevens gepubliceerd in AD/Rotterdams Dagblad, AD/Haagsche Courant, AD/Utrechts Nieuwsblad, AD/Amersfoortse Courant, AD/De Dordtenaar, AD/Groene Hart, AD/Rivierenland, BN/De Stem, Dagblad Tubantia/Twentsche Courant, De Stentor/Gelders Dagblad, De Gelderlander, Eindhovens Dagblad, Provinciale Zeeuwse Courant en o.a. online op http://www.ad.nl/ad/nl/1012/Nederland/article/detail/4198274/2015/11/30/Nieuwe-wet-opent-alle-computers-voor-politie.dhtml.

Lees HIER de eerdere kritiek van Privacy First op dit draconische wetsvoorstel.

Al jaren voeren talloze Nederlandse burgers een verwoede strijd tegen de verplichte afname en opslag van hun vingerafdrukken onder de Paspoortwet. Sinds 2009 is de afname van vingerafdrukken voor een nieuw paspoort verplicht. Volgens de Nederlandse regering dienen deze vingerafdrukken ter bestrijding van look-alike fraude met paspoorten. Harde cijfers over dit type fraude zijn door de Nederlandse overheid echter nooit bekendgemaakt. Uit Wob-verzoeken van Privacy First is de laatste jaren gebleken dat het slechts gaat om een relatief gering fenomeen: hooguit enkele tientallen gevallen per jaar. Vandaag voegt Privacy First hier nieuwe cijfers over look-alike fraude aan toe: in Nederland betrof dit in 2014 slechts 7 paspoorten en 3 ID-kaarten. Deze cijfers staan in het Statistisch Jaaroverzicht Documentfraude 2014 van de Koninklijke Marechaussee (pp. 38-39). Klik HIER om de hele rapportage te downloaden (pdf, 54 pp, 10 MB).

Gebrek aan noodzaak en proportionaliteit

De afname van de vingerafdrukken van de hele Nederlandse bevolking ter bestrijding van een handjevol look-alikes kan onmogelijk “maatschappelijk noodzakelijk” en “proportioneel” worden geacht. Die noodzaak en proportionaliteit zijn echter wel vereist onder het Europese privacyrecht (art. 8 van het Europees Verdrag voor de Rechten van de Mens). De afname van ieders vingerafdrukken onder de Paspoortwet is hiermee onrechtmatig en had nooit ingevoerd mogen worden.

Zwijgende rechters

Tot nu toe heeft geen enkele Nederlandse of Europese rechter hier een kritisch, principieel oordeel over willen vellen. Op donderdag 26 november en donderdag 3 december as. vinden bij de Raad van State een zevental rechtszittingen plaats waarbij deze en andere kwesties rond de Paspoortwet (waaronder de RFID-chip in paspoorten en ID-kaarten, gewetensbezwaren en de opslag van vingerafdrukken en gezichtsscans) opnieuw uitgebreid aan de orde zullen komen. Sinds mei 2010 voerde Privacy First samen met 19 mede-eisers (burgers) reeds een uitputtende civielrechtelijke strijd tegen de eerdere centrale en decentrale (gemeentelijke) opslag van vingerafdrukken onder de Paspoortwet. In mei dit jaar verklaarde de Hoge Raad dit civiele Paspoortproces echter (onterecht) niet-ontvankelijk en verwees daarbij naar de parallelle, deels vergelijkbare bestuursrechtelijke zaken bij de hoogste bestuursrechter: de Raad van State. Het is nu dus aan de Raad van State om alsnog een kritisch oordeel over (onder meer) de afname en opslag van vingerafdrukken onder de Paspoortwet te vellen. Zo niet, dan resteert voor de betreffende burgers een kansrijke rechtsgang naar het Europese Hof voor de Rechten van de Mens in Straatsburg.

Gebrek aan rechtsbescherming

Schrijnend aspect aan de huidige zaken bij de Raad van State is dat de betreffende burgers reeds jarenlang zonder geldig paspoort door het leven gaan. Er kon door hen immers slechts bestuursrechtelijk geprocedeerd worden na afwijzing van hun paspoortaanvraag wegens hun weigering om vingerafdrukken af te staan. Mede om deze reden koos Privacy First er in 2010 voor om civielrechtelijk i.p.v. bestuursrechtelijk te procederen. De Hoge Raad bleek hier echter totaal ongevoelig voor. Nederlanders die geen vingerafdrukken voor een paspoort willen afstaan worden daardoor gedwongen tot een gekunstelde bestuursrechtelijke rechtsgang, met alle maatschappelijke nadelen en risico’s van dien. Privacy First verwacht dat deze situatie bij het Europese Hof in Straatsburg zal leiden tot een veroordeling van Nederland wegens gebrek aan toegang tot de rechter en ineffectieve rechtsmiddelen (art. 6 en 13 EVRM). Het draait in deze zaken dus allang niet meer louter om het recht op privacy, maar tevens om de effectieve rechtsbescherming van de Nederlandse bevolking tegen onrechtmatige wetgeving zoals de Paspoortwet.

Privacy First hoopt dat de Raad van State spoedig een kritisch oordeel zal vellen. Zo niet, dan zal Privacy First de betreffende burgers graag assisteren bij hun verdere rechtsgang richting Straatsburg.

Burgerrechtenvereniging Vrijbit was de laatste jaren actief betrokken bij de bestuursrechtelijke zaken die nu bij de Raad van State dienen. Voor nadere informatie terzake verwijst Privacy First u dan ook graag door naar Vrijbit.

Seminar Privacy in de praktijk 

Nieuwe privacywetgeving vertaald naar uw organisatie 

26 november 2015, Van der Valk Hotel Veenendaal  www.gemeentenucongressen.nl/privacy/ 

Privacybescherming moet in Nederland op een hoger niveau komen te staan.

Die boodschap draagt Privacy First uit in processen zoals tegen het kentekenparkeren en in onze publiekscampagnes. Steeds vaker dagen we bestuurders en beleidsmakers uit de publieke en private sector uit om privacy tot vertrekpunt van hun plannen en dienstverlening te maken.

Ook dat is privacy by design!

Bestuurders helpen betere keuzes te maken doen we bijvoorbeeld op 26 november tijdens het privacy seminar van Reed Business. Privacy First voorzitter Bas Filippini neemt deel aan het plenaire debat 'Zijn we eigenlijk wel klaar voor privacy'? Privacy First Solutions-projectleider Martijn van der Veen daagt de aanwezigen uit na te denken of het mogelijk is dienstverlening zo in te richten dat daadwerkelijk de privacybelangen van burgers op één staan.

Meer informatie en aanmelden voor dit (betaalde) evenement kan via onderstaande link: 
www.gemeentenucongressen.nl/privacy/inschrijven.html.

Verantwoording

Waarom Privacy First bijdraagt aan dit congres: de congressen van Reed Business hebben een sterke naam in de markt. Deelnemers aan dit congres zijn naar verwachting personen uit de publieke sector. Een sector die diep ingrijpt in de persoonlijke levenssfeer van mensen. En waar een wereld te winnen is. Privacy First ontvangt geen vergoeding voor haar bijdrage en heeft geen commercieel belang bij dit congres.

Naar aanleiding van de recente aanslagen in Parijs werd Stichting Privacy First vandaag geïnterviewd door BNR Nieuwsradio. Hoe kan Nederland het beste op dit soort aanslagen reageren? Hoe kan terrorisme worden bestreden zonder dat de privacy van onschuldige burgers wordt opgeofferd? Beluister hieronder het hele interview met Vincent Böhre van Privacy First:

"Door milieuzones in diverse steden dreigt er een jungle aan wetgeving, waarvan de automobilist uiteindelijk de dupe is. Zo luidt de waarschuwing van Vincent Böhre van stichting Privacy First. ‘Het zou ons daarnaast niet verbazen als er straks veel rechtszaken worden aangespannen door onvoldoende geïnformeerde automobilisten.’

Zorgen om privacy

Privacy First uitte eerder zorgen om privacy bij de kentekenregistratie in de milieuzone van Rotterdam. ‘Wij zijn voorstander van het milieu ontzien, maar de geschiedenis leert dat kentekenregistraties, bij bijvoorbeeld parkeren, uiteindelijk vaak voor andere doeleinden gebruikt worden. Die doelen kunnen onder meer de Belastingdienst, de politie en inlichtingendiensten zijn. Voor deze organisaties zijn kentekens van grote waarde.’ Böhre vindt dat kentekens alleen geregistreerd mogen worden wanneer dat strikt noodzakelijk is. ‘Wanneer deze gegevens lekken, kunnen ook criminelen er veel mee doen. Aan de hand van kentekenregistratie kun je achterhalen wie op welk moment waar is, met alle gevolgen, zoals inbraken, van dien.’

Jungle aan wetgeving

Overheden moeten daarnaast met elkaar optrekken om verschillende regelgeving per milieuzone te voorkomen, vindt Böhre. ‘Na Utrecht en Rotterdam zullen er meer gemeenten met een milieuzone komen. Dat werkt verwarrend voor automobilisten. Met meerdere milieuzones creëer je een lappendeken aan reglementen over het land. Zo ontstaat er een jungle aan regelgeving voor bestuurders, die in iedere stad worden verrast met andere voorwaarden. Het is aan de verschillende overheden om dit gezamenlijk in goede banen te leiden.’

Summier informeren

Wanneer een gemeente een milieuzone wil instellen, moet zij hun inwoners voldoende informeren, stelt Böhre. In Utrecht is er al een milieuzone, die met borden wordt aangegeven. Aan het AD liet gemeente Rotterdam daarnaast weten dat er een pictogram van een camera onder de milieuzoneborden komt. Maar die maatregel vindt Böhre te summier. ‘Leuk en aardig, zo’n pictogram. Maar de automobilist heeft nog steeds geen idee hoe lang zijn kenteken wordt opgeslagen en of deze bij derden kan belanden. Voor Rijkswaterstaat is het lastig om deze informatie langs de snelweg te delen. Ik vrees dat overheden het informeren op elkaar afschuiven en uiteindelijk is de automobilist daar de dupe van.’

Veel rechtszaken verwacht

Gemeenten moeten idealiter alle bewoners in de gemeente en omliggende gebieden per brief informeren over de kentekenregistratie en de regels die binnen de milieuzone gelden, vindt Böhre. Een bericht op de gemeentewebsite en in de media is volgens hem niet voldoende. ‘Wie leest de gemeentelijke website of de plaatselijke krant tegenwoordig nog? Een minimale voorwaarde voor de milieuzone is toch wel dat de bewoners met auto’s die niet aan de voorwaarden voldoen, tijdig per brief worden geïnformeerd. Als ze niet goed geïnformeerd zijn, worden bestuurders onnodig op kosten gejaagd met bekeuringen en daarnaast beperkt in hun bewegingsvrijheid, omdat ze een route moeten omzeilen. Als er door gemeenten niet goed geïnformeerd wordt, zal het ons niet verbazen als er veel rechtszaken komen.’"

Bron: http://www.binnenlandsbestuur.nl/digitaal/nieuws/jungle-aan-wetgeving-dreigt-bij-milieuzones.9501309.lynkx, 19 november 2015.

Dit jaar probeert de Nederlandse regering nieuwe wetgeving voor de geheime diensten (inlichtingen- en veiligheidsdiensten) op te tuigen. In dat kader vond deze zomer een openbare internetconsultatie plaats waarbij iedereen zijn/haar mening over het huidige concept-wetsvoorstel kon geven. Dit wetsvoorstel zou de huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv) uit 2002 moeten gaan vervangen.

Privacy First maakt zich grote zorgen over de voorgestelde uitbreiding van bevoegdheden in het wetsvoorstel. Deze bevoegdheden zouden de AIVD en MIVD vrijwel ongelimiteerd zicht kunnen gaan bieden op ieders privéleven.

Geheime diensten staan echter niet boven de wet: net als iedere andere overheidsdienst dienen zij het recht op privacy na te leven, te beschermen, te bevorderen en zelfs te promoten. Dit vloeit voort uit de Universele Verklaring voor de Rechten van de Mens, het Europees Verdrag voor de Rechten van de Mens (EVRM) en de Nederlandse Grondwet. Op basis hiervan stuurde Privacy First deze week een kritisch commentaar op het huidige wetsvoorstel naar het verantwoordelijke ministerie. Klik HIER voor onze brief (inclusief voetnoten) zoals gepubliceerd op internetconsultatie.nl. Hieronder volgt de volledige tekst:

Geachte heer/mevrouw,

Hierbij geeft Stichting Privacy First graag een eerste reactie op het huidige concept-wetsvoorstel ter herziening van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2002. Daarbij herinnert Privacy First allereerst graag aan de inhoud van de openbare toespraak die het hoofd van de AIVD (de heer Rob Bertholee) in september 2012 ten kantore van Privacy First in Amsterdam hield. Het door Privacy First gepubliceerde verslag van deze toespraak is destijds door de AIVD zelf geaccordeerd. Enkele relevante passages uit dit verslag luiden als volgt:

"[Bertholee] kan zich voorstellen dat correlatie (koppeling) en internationale uitwisseling van gegevens door de burger ervaren wordt als "Big Brother" en dat men zich daar zorgen om maakt. Als burger maakt Bertholee zich daar zelf ook zorgen over. (...)
Bij het vragen om informatie door de AIVD aan burgers mag overigens geen sprake zijn van enige vorm van druk. Hetzelfde geldt voor het vragen van informatie aan journalisten: journalisten zijn geheel vrij om daar wel of niet aan mee te werken. "Als een journalist er niet aan wil meewerken, dan is dat jammer voor de AIVD, maar daar houdt het mee op," aldus Bertholee. (...)
Wat eventuele herziening van de Wiv2002 betreft merkt Bertholee op dat de huidige wettelijke ruimte voor de AIVD voldoende is en dat hij niet meer bevoegdheden nodig heeft. (...)
Bertholee eindigt zijn lezing door nog eens te benadrukken dat de AIVD geen dossiers van iedereen bijhoudt, niet iedereen onder de tap houdt, (...) niet elke computer hackt, geen handhavende bevoegdheden heeft [en] geen druk op mensen uitoefent (...)."

De belangrijkste boodschap van Bertholee aan het publiek destijds was dat "hij geen voorstander was van Big Brother." Begin 2015 herhaalde hij deze boodschap ter gelegenheid van het semi-openbare ReuringCafé bij de Vereniging voor OverheidsManagement: "Het recht op privacy is voor mij net zo heilig als voor Privacy First", aldus Bertholee tegenover een zaal vol topambtenaren.

Als het hoofd van de AIVD zélf al vindt dat hij voldoende bevoegdheden heeft en waarschuwt voor Big Brother, dan heeft de Nederlandse regering bij iedere uitbreiding van deze bevoegdheden bij voorbaat de schijn tegen zich. In het licht hiervan kunnen met name de volgende aspecten uit het huidige concept-wetsvoorstel in de optiek van Privacy First niet door de beugel:

Strafbare feiten

Allereerst opvallend is dat de huidige bevoegdheid van agenten om strafbare feiten te plegen vrijwel ongemoeid wordt gelaten en niet nader juridisch wordt ingekaderd. Dit ondanks de reeds bestaande (maar nooit uitgevoerde) opdracht in de huidige Wiv om deze bevoegdheid alsnog van juridische waarborgen te voorzien middels een algemene maatregel van bestuur (AMvB). Ook de commissie Dessens achtte dergelijke nadere normering – terecht – wenselijk. Desondanks wenst het kabinet de grondslag voor de betreffende AMvB af te schaffen. Het plegen van strafbare feiten door agenten blijft daarmee grotendeels plaatsvinden in een juridisch vacuüm. Privacy First acht dit onwenselijk, riskant en ronduit gevaarlijk.

Hack-bevoegdheid en decryptiebevel

Een tweede verwerpelijk onderdeel van het wetsvoorstel is de bevoegdheid om ieders computer te kunnen hacken en mensen te kunnen verplichten om versleutelde bestanden voor de diensten te ontsleutelen, dit laatste op straffe van 2 jaar hechtenis. Privacy First acht dit volstrekt in strijd met het recht op privacy, want niet noodzakelijk en disproportioneel. Daarnaast is het voorstel in strijd met het verbod van zelfincriminatie (nemo tenetur). Het voorstel legt de basis voor toekomstig machtsmisbruik en vormt in de optiek van Privacy First een typische bouwsteen voor een politiestaat i.p.v. een democratische rechtsstaat. Dit geldt eveneens voor het onderdeel in het wetsvoorstel met betrekking tot de invoering van een massale internettap; deze bevoegdheid is ronduit totalitair. De door het kabinet veronderstelde noodzaak hiervan wordt in het voorstel slechts gesteld en nauwelijks onderbouwd, laat staan aangetoond. In een democratische samenleving is de maatschappelijke noodzaak van een dergelijke bevoegdheid echter überhaupt ondenkbaar. Dit voorstel is daarmee bij voorbaat onrechtmatig.

Datamining & profiling

De bevoegdheden tot het opvragen en gebruiken van gegevens zijn in het huidige wetsvoorstel vrijwel onbegrensd. Het voorstel maakt daartoe zelfs directe toegang tot de databanken van derde partijen (overheid én bedrijfsleven) mogelijk. Bij al deze partijen zullen bovendien complete databanken opgevraagd kunnen worden. Dit alles ten behoeve van koppeling, datamining en profiling, waarmee een uiterst gedetailleerd (zelfs voorspellend) beeld van groepen en individuen kan worden gecreëerd. Deze bevoegdheden zijn volstrekt disproportioneel en zouden in dit wetsvoorstel juist ingeperkt moeten worden, in elk geval waar het gevoelige (bijvoorbeeld medische of biometrische) data betreft.

Notificatieplicht

Een lichtpuntje in het wetsvoorstel is de handhaving van de notificatieplicht. Deze geldt echter slechts jegens individuen en niet jegens organisaties die (als zodanig) evengoed targets kunnen zijn geweest. Privacy First adviseert dan ook om deze bepaling te amenderen in de zin dat de notificatieplicht tevens voor organisaties zal gaan gelden.

Actieve openbaarheid

Privacy First adviseert om de huidige Wiv alsnog te voorzien van bepalingen ter actieve openbaarmaking van (historische) documenten van de diensten. De praktijk van "declassification and transparency" in andere landen (waaronder voorheen de Verenigde Staten) kan in dit opzicht een bron van inspiratie vormen.

Informanten

Privacy First adviseert om de huidige Wiv alsnog te voorzien van een verbod om journalisten als informanten in te zetten. Dit in het belang van een vrije pers en de journalistieke bronbescherming. In het belang van een gezond maatschappelijk middenveld zou een dergelijk verbod eveneens kunnen worden ingevoerd met betrekking tot de inzet van agenten en informanten bij maatschappelijke (non-gouvernementele) organisaties.

Internationale uitwisseling

De rechtsbasis voor internationale uitwisseling van inlichtingen werd de laatste jaren gevormd door het obscure artikel 59 Wiv. Dit artikel voldoet bij lange na niet aan de moderne eisen die art. 8 EVRM aan een dergelijke bepaling stelt. In wezen vindt de huidige praktijk van uitwisseling tussen AIVD/MIVD en buitenlandse geheime diensten daardoor al jaren plaats in een juridisch zwart gat. Het verheugt Privacy First dan ook dat art. 59 Wiv grotendeels wordt herzien en mensenrechtelijk wordt versterkt in de nieuwe artikelen 76-78. Deze herziening vormt grosso modo een positieve stap vooruit. Probleem blijft echter de internationale uitwisseling van ongeëvalueerde bulk-data; dergelijke uitwisseling wordt door het concept-wetsvoorstel en de bijbehorende Memorie van Toelichting (MvT) ten onrechte gelegitimeerd. Deze thematiek speelt sinds eind 2013 een cruciale rol in de rechtszaak Burgers tegen Plasterk van Privacy First c.s. tegen de Staat. De voortzetting van deze zaak in hoger beroep blijft door het huidige wetsvoorstel onverminderd actueel en urgent.

Internationale rechtsorde

Nederland heeft de algemene mensenrechtelijke plicht om het recht op privacy in eigen land voortdurend te bevorderen i.p.v. te beperken. Door dit wetsvoorstel schendt Nederland deze algemene plicht; het recht op privacy wordt hierdoor immers massaal ingeperkt. Dit zet de vertrouwensrelatie tussen de Nederlandse overheid en de Nederlandse bevolking op scherp, wat zal leiden tot een maatschappelijk chilling effect. Dit is funest voor de vrije dynamiek in onze democratische rechtsstaat. Het wetsvoorstel en bijbehorende technologie zullen bovendien worden gekopieerd en misbruikt door minder democratische regimes in het buitenland. Het wetsvoorstel vormt daarmee een internationaal precedent voor een wereldwijde Rule of the Jungle i.p.v. de Rule of Law. Dit is in strijd met de grondwettelijke plicht van de Nederlandse regering om de ontwikkeling van de internationale rechtsorde te bevorderen. In het licht van het Nederlandse buitenlands beleid dient dit wetsvoorstel derhalve verworpen te worden.

Toezicht

In het huidige wetsvoorstel is het toezicht op de diensten te vrijblijvend en te politiek van aard. In de optiek van Privacy First dient dit toezicht te worden versterkt en onafhankelijker te worden gemaakt, hetzij middels bindend rechtmatigheidstoezicht vooraf door de CTIVD, hetzij middels bindend toezicht vooraf door de rechter. Dergelijk toezicht dient te gelden bij de uitoefening van álle bijzondere bevoegdheden van de diensten. Pas dan zal een rechtsstatelijke uitoefening van deze bevoegdheden optimaal gewaarborgd en voldoende toekomstbestendig zijn.

Vingerafdrukken

Saillant detail is tenslotte nog dat op p. 44 van de MvT wordt opgemerkt dat "van een afzonderlijke regeling voor het onderzoek naar vingerafdrukken wordt afgezien, omdat de resultaten van een dergelijk onderzoek in de praktijk niet altijd bruikbaar zijn en als gevolg daarvan de inzet van deze mogelijkheid uitermate beperkt is." Dit sluit aan bij de eerdere bekentenissen van voormalig minister Donner en staatssecretaris Teeven dat bij biometrische verificatie van de vingerafdrukken die de laatste jaren zijn afgenomen t.b.v. Nederlandse paspoorten sprake bleek te zijn van een foutenpercentage van maar liefst 21-30%. Privacy First doet hierbij dan ook nogmaals de oproep om de afname van vingerafdrukken voor paspoorten per direct af te schaffen.

Conclusie

Het huidige concept-wetsvoorstel komt, in de woorden van het Europees Hof voor de Rechten van de Mens, neer op "destroying democracy on the ground of defending it". Dit wetsvoorstel dient dan ook grondig verbeterd danwel verworpen te worden. Bij gebreke hiervan behoudt Privacy First zich het recht voor om dit wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Privacy First hoopt u met dit advies van dienst te zijn. Desgevraagd zijn wij graag tot een nadere toelichting op bovenstaande punten bereid.

Hoogachtend,

Stichting Privacy First

Vandaag werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:

"Wanneer een politieagent je daarom vraagt, moet je jezelf in Nederland kunnen identificeren door een geldig identiteitsbewijs te laten zien. Ook de kassière bij de supermarkt kan je daarom vragen, maar alleen wanneer je alcohol wilt kopen en er twijfel is over je leeftijd. Met je identiteitsbewijs toon je dan hoe oud je bent en even later loop je tevreden de winkel uit.

Online ontbreekt zo'n middel om jezelf te identificeren en vooral bedrijven vinden dat lastig. Want met wie doen ze eigenlijk zaken? In Nederland hebben we wel DigiD, maar dat wordt eigenlijk alleen gebruikt door de overheid. Bij DigiD kies je zelf een gebruikersnaam en wachtwoord, dat bij de registratie wordt gekoppeld aan jouw burgerservicenummer: het unieke nummer van iedere persoon in de Basisregistratie Personen (BRP). Log je verolgens met je DigiD in op een website van de overheid, dan weet die overheid met wie het op dat moment zaken doet. In 2014 logden de 12 miljoen uitgegeven DigiD's samen 158 miljoen keer in.

DigiD is hiermee voor de overheid een succes, maar alle andere organisaties en bedrijven staan met lege handen. Webshops willen graag weten of hun klant wel de persoon is die hij zegt te zijn, of hij oud genoeg is, en kredietwaardig. Volgens branchevereniging Thuiswinkel.org hebben de ruim 45.000 Nederlandse webwinkels daarom momenteel maar één grote vraag: waar blijft eID? eID Stelsel is de naam voor de opvolger van DigiD, die de Nederlandse overheid nu aan het ontwikkelen is. eID moet alle benodigde manieren van online identificatie tussen burgers, overheid én bedrijven mogelijk maken.

(...)

In het programma eID (www.eid-stelsel.nl) werkt de overheid samen met wetenschappers en bedrijfsleven aan het nieuwe stelsel dat in 2017 klaar moet zijn. (...) Binnenkort starten enkele pilots, waarbij een klein groepje consumenten inlogt bij overheidsdiensten en commerciële diensten met een identificatiemiddel dat voldoet aan het nieuwe stelsel. Het voordeel van dit nieuwe stelsel is dat het identificatiemiddel niet door de overheid uitgegeven hoeft te zijn; bedrijven kunnen ook identificatiemiddelen uitgeven, bijvoorbeeld een klantenkaart of een app op je smartphone. De identiteit van de burger staat daarom online en is op afroep beschikbaar. Een naam voor het nieuwe stelsel is er ook al, Idensys. (...)

Om vaart te maken en omdat bedrijven niet willen investeren in weer een nieuw identificatiesysteem, is besloten het nieuwe stelsel te bouwen als uitbreiding op eHerkenning (www.eherkenning.nl). eHerkenning is 'de DigiD voor bedrijven', maar is anders dan DigiD geen overheidsdienst maar alleen een afsprakenstelsel. De overheid beheert het stelsel, voornamelijk bedrijven voeren het uit.

Hoewel websites straks gewoon een Idensys-login krijgen zoals ze nu een DigiD-knop hebben, werkt het verder helemaal anders dan DigiD én eID ooit was gedacht te werken. Komt bij DigiD de identificatie van de overheid, bij eHerkenning en dadelijk dus ook bij Idensys komt die van een makelaar, een tussenpartij. Deze 'ídentity provider' kent jou en met hem heb je afgesproken hoe jij je wilt identificeren, met een smartcard, je smartphone of toch gewoon gebruikersnaam en wachtwoord. Klopt de identificatie, dan krijgt die makelaar een pseudoniem voor jou en daarmee kan hij vervolgens kijken of jij gemachtigd bent de dienst te gebruiken waarvoor je wilt inloggen. Dat kijken doet hij in het BSN-koppelregister waarin de pseudoniemen gekoppeld zijn aan de Burgerservicenummers. De makelaar is dus allesbepalend inzake de veiligheid en het BSN-koppelregister als het gaat om privacy.

Om Idensys te baseren op eHerkenning is niet onomstreden. Een 'netwerkgebaseerd identiteitsmodel' zoals Idensys kenmerkt zich door veel schakels die allemaal vertrouwd moeten worden. De meest verdachte schakel is de makelaar, een marktpartij en de enige die alle transacties ziet. Weliswaar ziet hij niet wat er in de transactie gebeurt, maar hij weet wel met welke diensten iedere 'pseudoniem' zaken doet. (...) Ook ontbreekt [vooralsnog] de optie om anoniem diensten te gebruiken, iets wat bijvoorbeeld bij online medische diensten zeker wenselijk is. (...)

Waar blijft het debat?

Door de keuzes die bij Idensys worden gemaakt, zou je een publiek debat verwachten, maar dat ontbreekt volledig. Het College Bescherming Persoonsgegevens ontbreekt in de eID-werkgroepen en kon ons niet vertellen bij eID betrokken te zijn. "Ook Privacy First is niet betrokken en ook nog nooit gevraagd", zegt Vincent Böhre van Privacy First. "Blijkbaar wil men eerst een heel project afronden. Terwijl men nu door een privacy-kritische club te laten meepraten, fouten voorkomt en uiteindelijk maatschappelijk draagvlak creëert." Privacy First is voorstander van een opt-in waarbij mensen de keuze houden om het eID-systeem te gebruiken of niet. "De overheid mag niet eisen dat burgers hun zaken digitaal afhandelen en dat via een eID doen, de Algemene wet bestuursrecht verbiedt dat. Veel mensen in Nederland hebben geen computer of internet, de manier zonder eID moet daarom blijven bestaan", zegt Böhre. (...)"

Bron: Computer!Totaal, juli/augustus 2015, pp. 54-58 (openbare preview).

"Privacywaakhond: Systeem past niet bij fatsoenlijke rechtsstaat

Een chip in elke kentekenplaat, waarmee de Nationale Politie proeven doet, is een gruwel in het oog van privacywaakhond Privacy First. Voorzitter Bas Filippini noemt een dergelijke 'spionagechip' disproportioneel en niet passen in een fatsoenlijke democratische rechtsstaat . De Nationale Politie doet een proef met zogeheten RFID-chips in kentekens. Dat zijn chips die op afstand communiceren via radiogolven. Voorlopig wordt het project verkocht als oplossing voor identiteitsfraude en criminaliteit met kentekens, om de burger 'mee' te krijgen. Maar Privacy First vergelijkt de kentekenchip met enkelbanden voor veroordeelde misdadigers. Volgens de club is het systeem veel te grootschalig om de jaarlijkse fraude met naar schatting 40.000 kentekens tegen te gaan.

Het systeem zal identificatie, registratie en het permanent volgen mogelijk maken van álle burgers, onder wie ook advocaten, journalisten, politici en activisten. Een uiterst grove privacyschending. Een groot gevaar is doelverschuiving. Nu al kijken de Belastingdienst, politie en justitie mee in systemen die voor een heel ander doel waren opgezet, zoals voor parkeergarages en trajectcontroles.

Als de chip wordt ingevoerd, krijgt iedere automobilist verplicht een op afstand uitleesbare chip in zijn kentekenplaat die op de openbare weg continu wordt uitgelezen. Alle reisbewegingen worden daarmee vastgelegd.

De chip is verbonden met een flinterdunne antenne die zit vastgeplakt aan de buitenkant van de kentekenplaat, waardoor de chip kan communiceren met uitleesstations boven de wegen. Die geven de gegevens door aan de computers van de RDW. Als over een jaar blijkt dat de chips en de antennes goed werken, wordt het systeem ingevoerd. Zelfs bij extreem hoge snelheden zou het systeem goed werken.

Ook het College Bescherming Persoonsgegevens is erg kritisch. Niet alleen zet het college grote vraagtekens bij de noodzaak, maar ook of de chip alleen door de overheid kan worden uitgelezen en niet kan worden misbruikt door andere partijen.

Bas Filippini: Tevens bereidt het Europees Parlement nieuwe regelgeving voor die behalve een chip op het kenteken ook nog een chip in de auto zelf verplicht stelt. In de basisopzet worden dan meer dan zestig gegevens geregistreerd, die worden opgeslagen in een Europese databank. De chip moet startblokkering mogelijk maken, een digitale kentekenbank en online kentekenaanvraag, een Europese apk en zal uiteindelijk kunnen uitgroeien tot een Europees reis- en verblijfsrechten- en belastingsysteem."

Bron: Telegraaf 16 juni 2015, p. 3. Lees ook het hoofdredactioneel commentaar van de Telegraaf diezelfde dag, p. 2:

"Spionagechip

De Nationale Politie experimenteert met op afstand uitleesbare chips in kentekens, naar eigen zeggen als middel tegen fraude met nummerplaten. Als het aan de politie (en de fabrikant van de chip) ligt, komt er een landelijk netwerk van meetportalen zodat alle weggebruikers rond de klok in de gaten worden gehouden.

De ongebreidelde drang van de Staat der Nederlanden om privégegevens te verzamelen, leidt tot een maatschappij waarin mensen continu het gevoel hebben onder toezicht te staan. Wanneer houdt dat eens op?

Jaarlijks zou sprake zijn van 40.000 gevallen van kentekenfraude. Moet daarvoor de persoonlijke levenssfeer van miljoenen Nederlandse automobilisten worden aangetast? Is er werkelijk geen ander systeem te bedenken dat minder ingrijpend is dan het voortdurend via een chip volgen en registreren van de burger op de openbare weg?

De overheid zou zo langzamerhand ook op de hoogte moeten zijn van de risico's van databanken als het gaat om lekken in de beveiliging, oneigenlijk gebruik en criminele manipulatie. De spionagechip vormt een regelrechte bedreiging van de vrijheid van de automobilist en mag nooit en te nimmer worden ingevoerd!"

"De politie wil van alle automobilisten het voertuig 'chippen'. Stichting Privacy First noemt dit een elektronische enkelband.

De stichting Privacy First wil dat de Nationale Politie afziet van 'spionagechips' in kentekens van auto's. De politie wil zogenoemde RFID-chips invoeren, waarmee kentekenfraude kan worden opgespoord.

Volgens de politie worden er jaarlijks 40.000 kentekenplaten vervalst, waardoor de daders ongestoord (verkeers)misdrijven kunnen plegen. Een voor iedere automobilist verplichte, op afstand uitleesbare chip die op de openbare weg continu uitgelezen wordt, zou hiertegen de oplossing zijn.

Privacy First ziet echter een groot gevaar in het optuigen van een landelijk controlesysteem om de bewegingen in de openbare ruimte van alle Nederlanders te kunnen volgen. Wij vinden de verplichte spionagechip disproportioneel en niet passen in een fatsoenlijke democratische rechtsstaat , zegt voorzitter Bas Filippini.

Navraag door Privacy First leert dat de kentekenchip onderdeel is van een veel groter plan om alle wegen in Nederland uit te rusten met portals met meetapparatuur. Deze portals registreren 24 uur per dag alle auto's en daarmee de bewegingen van alle burgers in de openbare ruimte."

Bron: Metro 16 juni 2015, p. 7. Tevens in uitgebreidere vorm (inclusief online opiniepeiling) gepubliceerd op http://www.metronieuws.nl/binnenland/2015/06/spioneren-via-chip-in-kenteken-wekt-woede.