Toon items op tag: Wetgeving

"Alle vingerafdrukken en pasfoto's van alle vreemdelingen in Nederland moeten worden opgeslagen in een database, die het Openbaar Ministerie (OM) mag raadplegen als een strafrechtelijk onderzoek is vastgelopen. De Tweede Kamer stemde gisteren in met een verandering van de Vreemdelingenwet, waarmee de database wordt geïntroduceerd. Wel moet de Eerste Kamer nog akkoord gaan met de wijziging.

Het is de bedoeling dat het systeem tien vingerafdrukken en een pasfoto gaat bevatten van elke vreemdeling die in Nederland woont, en niet afkomstig is uit Europese landen. VVD, PvdA, CDA, PVV, 50Plus en de SGP stemden voor. Ook GroenLinks bracht per ongeluk een positieve stem uit, maar liet weten dit te zullen corrigeren naar een tegenstem. 'Met dit project maakt Nederland vreemdelingen collectief tot potentiële verdachten', reageert Vincent Böhre, jurist van de stichting Privacy First. Hij doelt daarmee op de mogelijkheid dat het OM - weliswaar met toestemming van de rechter-commissaris - de gegevens mag inzien als een onderzoek naar ernstige strafbare feiten is vastgelopen. 'Dit gaat niet alleen over asielzoekers, maar over alle vreemdelingen, dus ook studenten en medewerkers van bedrijven.' Volgens SP-Kamerlid Sharon Gesthuizen is de nieuwe wet om die reden 'stigmatiserend en discriminerend'. (...) Bij Nederlanders hoef je niet aan te komen met: u heeft niets met deze strafzaak te maken, maar wij gaan toch uw gegevens even nakijken.'

fraude bestrijden

Volgens staatssecretaris Teeven van Veiligheid en Justitie is de database nodig om de 'identiteit van vreemdelingen betrouwbaar vast te stellen' en om fraude te bestrijden. Met de gegevens zou het niet meer mogelijk zijn dat vreemdelingen zich uitgeven voor een ander. Er zijn echter geen rapporten over hoe vaak deze fraude voorkomt, melden diverse organisaties, waaronder stichting Vluchtelingenwerk. Naar verluidt zou dit in minder dan tien gevallen per jaar voorkomen. 'Wij vinden de wet daarom discriminerend, en vragen ons af of deze maatregel nodig is', aldus een woordvoerder. Vincent Böhre: 'Het gaat om schandalig kleine aantallen. Je kunt deze wet daar niet op baseren.'

Kamer wees database met autochtonen eerder af

(...) Een woordvoerder van de [Nederlandse Orde van Advocaten] laat weten teleurgesteld te zijn. 'Nu is onduidelijk wie er toegang heeft tot het systeem. Bovendien hoeft de noodzaak van die toegang niet te worden aangetoond, enkel en alleen omdat het een vreemdeling betreft. Dit hadden we graag duidelijker gezien, mede omdat er enkele jaren geleden een database om deze vragen niet doorging.' Dat betrof een soortgelijke database met gegevens van alle Nederlanders. Die maakte deel uit van de nieuwe Paspoortwet, die in 2009 werd aangenomen. Enkele jaren later, in 2011, rezen er echter twijfels over de betrouwbaarheid van de techniek en de bescherming van de gegevens. Nadat een meerderheid van de Tweede Kamer het vertrouwen in de database verloor, besloot minister Donner (Binnenlandse Zaken) het project voorlopig te stoppen. De ontwikkeling van de database gaat pas verder als het Europese Hof van Justitie in Luxemburg zich heeft gebogen over de vraag of het verzamelen van deze gegevens is toegestaan. Dat kan nog enkele jaren duren. Volgens jurist Vincent Böhre speelden deze bezwaren nauwelijks een rol in het debat over de verzameling gegevens van vreemdelingen. 'Kennelijk telt het belang van privacy voor hen minder zwaar mee. Ik hoop dat de Eerste Kamer deze ontwikkeling blokkeert.' Maar ook al zou de database volledig veilig zijn, dan nog heeft Böhre er problemen mee. 'Het gaat ons om het principe dat je een hele bevolkingsgroep criminaliseert.' (...)"

Bron: Nederlands Dagblad 31 januari 2013, pp. 1 & 10. Lees HIER het hele artikel bij het Nederlands Dagblad online.

"De Tweede Kamer stemt vandaag in met centrale opslag van vingerafdrukken, van vreemdelingen. Eerder wees ze zo'n database voor Nederlanders af.

De bezwaren waren groot, eind 2010. De apparatuur om vingerafdrukken te herkennen maakte fouten. Er leefden twijfels over privacy. Onduidelijk was welk probleem de overheid eigenlijk met centrale opslag van vingerafdrukken van alle Nederlanders zou oplossen.

En dus kwam die centrale opslag, onderdeel van de Paspoortwet, er niet. De Kamerleden zagen te veel problemen. Ook VVD en PvdA, inmiddels coalitiegenoten, waren behoorlijk kritisch. De PvdA noemde centrale opslag ,,dood en begraven", de VVD zag ,,aanzienlijke risico's".

En toch stemt de Tweede Kamer vandaag  opnieuw in met een wetsvoorstel dat zo'n centrale opslag regelt. Dit keer niet voor Nederlanders, maar voor vreemdelingen. VVD en PvdA zijn voor, net als CDA en PVV.

Volgens staatssecretaris Fred Teeven (Veiligheid en Justitie, VVD) is die database vooral nodig om identiteitsfraude te bestrijden. Opslag van vingerafdrukken van vreemdelingen moet een oplossing bieden voor fraude waarbij iemand zich voordoet als een persoon op wie hij of zij lijkt.

Hoe vaak dit soort lookalike-fraude precies voorkomt, is niet duidelijk, geeft Teeven toe. De Immigratie- en Naturalisatiedienst en de marechaussee registreren het aantal vervalste documenten, maar ,,het is niet altijd mogelijk om vast te stellen of sprake is van kwade opzet", zei Teeven vorige week.

Volgens de oppositie, SP en D66 onder andere, is het zonder die aantallen lastig vaststellen of de wet proportioneel is. En cijfers uit onderzoeken bevestigen hun twijfel.  Minder dan tien asielaanvragen worden jaarlijks afgewezen omdat een vreemdeling een paspoort bij zich heeft dat niet van hem is - dat is de lookalike-fraude die deze wet moet tegengaan.

In de wet over de opslag van vingerafdrukken voor vreemdelingen staat uitdrukkelijk dat die afdrukken gebruikt kunnen worden voor opsporing.  Bij de Paspoortwet was het risico dat politie en justitie die vingerafdrukken zouden kúnnen gebruiken, juist reden terughoudend te zijn.

,,Ongeoorloofd onderscheid", noemt SP-Kamerlid Sharon Gesthuizen dit. ,,Het is discriminerend. Deze maatregel was ondenkbaar als het om Nederlanders zou gaan." Ze krijgt bijval van Vincent Böhre, van belangenorganisatie Privacy First. ,,Een hele bevolkingsgroep, in dit geval vreemdelingen, is hiermee bij voorbaat potentiële verdachte."

Waarom stemmen VVD en PvdA nu wel in met zo'n opslag voor vreemdelingen, terwijl zij het voor Nederlanders niet wilden? Volgens PvdA-Kamerlid Khadija Arib omdat nu ,,echt goed is gekeken of dit technisch kan".   Staatssecretaris Teeven zegt dat binnen de vreemdelingendiensten veel meer expertise bestaat over het gebruik van vingerafdrukken dan bij de gemeentebalies die de paspoorten verstrekken.

De kans dat deze opslag alsnog stuit op bezwaren, zoals bij de Paspoortwet gebeurde, is klein, schat Vincent Böhre. ,,Kennelijk heeft de politiek er minder moeite mee om de privacy van vreemdelingen te schenden."

Vreemdelingen kunnen ook nog eens minder tegen die Nederlandse staat beginnen. Als ze een visum willen, zullen ze hun vingerafdrukken wel moeten geven. Nederlanders daagden de overheid voor de rechter, vóór ze hun vingerafdrukken afgaven. Böhre: ,,Iemand die hier wil werken of studeren, kan hooguit achteraf eisen dat zijn afdrukken weer uit die database verdwijnen."

Regels gaan verder

Asielzoekers die in Nederland aankomen, moeten nu twee vingerafdrukken afgeven. Die gaan in een EU-database, ter controle of iemand ook in een andere lidstaat asiel heeft aangevraagd. Met de nieuwe wet gaat Nederland verder. Vingerafdrukken van asielzoekers, maar ook van 'gewone' migranten die hier langer dan drie maanden willen werken of studeren, gaan in een centrale opslag. Die krijgt zo data van veel meer mensen: in 2011 vroegen  er 58.950 een gewone verblijfsvergunning aan, tegenover 11.300 asielzoekers. Ze moeten straks afdrukken van alle vingers plus pasfoto afgeven."

Bron: NRC Handelsblad 29 januari 2013, p. 8. Tevens gepubliceerd in NRC Next 30 januari 2013, p. 8, onder de titel "Nederland slaat weer vingerafdrukken op, nu van vreemdelingen".

Deze week stemt de Tweede Kamer over een wetsvoorstel ter afname van 10 vingerafdrukken van alle vreemdelingen (immigranten) voor o.a. opsporing en vervolging. Dit wetsvoorstel dateert oorspronkelijk uit maart 2009, oftewel uit de periode dat de Nederlandse regering louter privacyschendende wetgeving wist te produceren. Stichting Privacy First acht het wetsvoorstel in strijd met het recht op privacy en het verbod van zelf-incriminatie. Hieronder treft u de email aan die Privacy First vanmiddag aan relevante Kamerleden verzond:

Geachte Kamerleden,

Aanstaande dinsdag stemt u over het wetsvoorstel ter uitbreiding van het gebruik van biometrische kenmerken (vingerafdrukken en gezichtsscans) in de vreemdelingenketen. Stichting Privacy First adviseert u hierbij om tégen dit wetsvoorstel te stemmen, met name gezien het disproportionele karakter ervan. Dit blijkt reeds uit het gebrek aan kwantificering van e.e.a. en de relatief lage fraudecijfers zoals die door voormalig minister Gerd Leers (CDA) in zijn nota bij het wetsvoorstel d.d. 13 juli 2012 zijn vermeld.[1] Zoals bij alle mensenrechten vereist ook een inbreuk op het recht op privacy (art. 8 EVRM) in dit verband een harde cijfermatige noodzaak i.p.v. vage vermoedens en wishful thinking. Des te zorgwekkender is het dan ook dat onder dit wetsvoorstel bij iedere vreemdeling maar liefst 10 vingerafdrukken zullen worden afgenomen ‘ter compensatie’ voor het feit dat de biometrische techniek ontoereikend is om met één of twee vingerafdrukken te kunnen volstaan. Of dienen deze 10 vingerafdrukken in werkelijkheid vooral het opsporingsbelang achter het wetsvoorstel...? Vergelijk in dit verband de volgende overwegingen van minister Korthals van Justitie (VVD) d.d. 10 december 2001:

“In antwoord op de vraag van het [CDA] ben ik niet bereid om van alle Nederlanders vingerafdrukken te nemen in het belang van de opsporing. Dit middel is buitenproportioneel gelet op bijvoorbeeld het aantal aangeboden sporenzaken op jaarbasis, in geheel Nederland ca. 10.000. Voorts is het praktisch onuitvoerbaar omdat alle tien de vingers en eventueel de handpalmen moeten worden afgenomen, wil het zinvol zijn voor de opsporing. Dat vergt een te groot beslag op de capaciteit van de politie. Dit nog afgezien van de administratieve verwerking en controle. In het kader van het nieuwe identiteitsbewijs wordt mogelijk een biometrisch kenmerk opgenomen zoals bijvoorbeeld een vingerafdruk. Daar gaat het er om te bepalen dat de bezitter van het identiteitsbewijs ook daadwerkelijk de persoon is die op dat bewijs staat vermeld. Daarvoor is wellicht één vingerafdruk voldoende, dat is echter volstrekt onvoldoende voor de opsporing.”[2]

Met andere woorden: onder het mom van fraudebestrijding wordt met dit wetsvoorstel een centraal opsporingsregister van vreemdelingen (immigranten) gecreëerd, precies zoals dat enkele jaren geleden ook dreigde te gebeuren met de vingerafdrukken van alle Nederlanders. De diverse redenen waarom dit laatste project halverwege 2011 op aandringen van uw Kamer (!) is teruggedraaid acht Privacy First bij u bekend en evenzeer van toepassing op onderhavig wetsvoorstel. Daarnaast heeft dit wetsvoorstel een stigmatiserende werking, aangezien een gehele bevolkingsgroep (in dit geval immigranten) hierdoor bij voorbaat als potentiële verdachte wordt beschouwd. Dit vormt een omkering van de onschuldpresumptie en is in strijd met het verbod van zelf-incriminatie. In die zin vormt dit wetsvoorstel een collectieve schending van zowel art. 6 (nemo tenetur) als art. 8 EVRM (privacy en lichamelijke integriteit). Bij de Paspoortwet leidt dit sinds 2009 tot een Nederlands en Europees sneeuwbaleffect aan rechtszaken. Privacy First hoopt dan ook dat uw Kamer het voortschrijdend inzicht heeft om een herhaling van deze geschiedenis te voorkomen.

Hoogachtend,

Stichting Privacy First 

[1] Zie Nota naar aanleiding van het verslag, Kamerstukken II, 2011-2012, 33192, nr. 6, pp. 2-3, 5-6, 23, 25-27.

In het kader van een openbare consultatie verzocht het ministerie van Binnenlandse Zaken Privacy First onlangs om een reactie op het huidige kabinetsvoorstel ter herziening van artikel 13 Grondwet (brief-, telefoon- en telegraafgeheim). Ons commentaar op het concept-wetsvoorstel treft u hieronder aan (klik HIER voor de versie in pdf):

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Plaatsvervangend Directeur Constitutionele Zaken en Wetgeving
Dhr. mr. W.J. Pedroli
Postbus 20011
2500 EA Den Haag

Amsterdam, 29 december 2012

Betreft: Commentaar Privacy First op concept-wetsvoorstel tot wijziging van artikel 13 Grondwet

Geachte heer Pedroli,

Op 16 oktober jl. verzocht u Stichting Privacy First om een reactie te geven op het concept-wetsvoorstel tot wijziging van artikel 13 Grondwet. Privacy First is u erkentelijk voor uw verzoek en voorziet u hierbij graag van kritisch commentaar. Daarbij zij allereerst opgemerkt dat Privacy First de wens van dit kabinet om het huidige, archaïsche artikel 13 Grondwet te moderniseren volledig onderschrijft. Privacy First betreurt het echter dat het kabinet niet de kans heeft gegrepen om ook andere ‘grondrechten in het digitale tijdperk’ te vernieuwen en te versterken.

Positieve aspecten
In de optiek van Privacy First vormen het eerste en derde lid van het huidige concept-wetsvoorstel ter herziening van artikel 13 Grondwet krachtige ankerpunten voor een toekomstbestendig recht op vertrouwelijke communicatie. Het eerste lid moderniseert terecht het oude brief-, telefoon- en telegraafgeheim tot een techniekonafhankelijk (of techniekneutraal) brief- en telecommunicatiegeheim. Het derde lid vormt een juiste waarborg voor de horizontale uitwerking hiervan. Privacy First onderschrijft bovendien de ruime interpretatie die in de concept-memorie van toelichting (MvT) aan diverse relevante begrippen gegeven wordt. Het tweede lid van het concept-wetsvoorstel bevat echter een systematische disbalans die onze maatschappij in minder democratische tijden uit het rechtsstatelijke lood zou kunnen doen slaan. Het is dan ook met name dit tweede lid waarop de kritiek van Privacy First zich richt. Andere punten van kritiek betreffen de notificatieplicht en verkeersgegevens alsmede het ontbreken van een rechtsvergelijkende paragraaf in de MvT.

Rechterlijke machtiging en nationale veiligheid
Terecht stelt de MvT dat “in het licht van artikel 13 (…) de bescherming van de burger tegen inbreuken van de overheid voorop [staat], met name in het licht van optreden van politie en inlichtingendiensten. (…) Het stellen van de eis van een rechterlijke machtiging in de Grondwet geeft een sterke en duidelijke rechtsstatelijke waarborg.”[1] Het is dan ook onbegrijpelijk dat in het tweede lid van het concept-wetsvoorstel het domein van de nationale veiligheid van rechterlijk toezicht wordt uitgezonderd. Daar waar de machtsconcentratie het hoogst is, dienen immers de juridische checks & balances het krachtigst te zijn om (toekomstig) machtsmisbruik te voorkomen. In het licht van de Europese geschiedenis is de uitzondering in lid 2 zelfs volstrekt onverantwoord: ook in onze contreien is een democratische rechtsstaat helaas geen statisch gegeven. Daarnaast geeft e.e.a. een gevaarlijk signaal aan het buitenland. De uitzondering in lid 2 acht Privacy First bovendien onverstandig met het oog op mogelijke technologische ontwikkelingen in de (verre) toekomst.[2] Hetzelfde geldt in verband met de (verdere) oprekking van het begrip “nationale veiligheid”. Ook in de toekomst dient de Nederlandse bevolking tegen willekeurige inbreuken op het communicatiegeheim beschermd te zijn; de huidige formulering van lid 2 biedt hiertoe geen enkele garantie.

Het toevoegen van een extra ‘rechterlijke laag’ zou het huidige stelsel van intern en extern toezicht op de inlichtingen- en veiligheidsdiensten (en daarmee de democratische rechtsstaat) versterken. Het systeem van rechterlijk toezicht in een land als Canada kan in dit opzicht een bron van inspiratie vormen. Een dergelijke rechterlijke check zou tevens in lijn zijn met de jurisprudentie van het Europees Hof voor de Rechten van de Mens:

“The Court has indicated, when reviewing legislation governing secret surveillance in the light of Article 8 [ECHR], that in a field where abuse is potentially so easy in individual cases and could have such harmful consequences for democratic society as a whole, it is in principle desirable to entrust supervisory control to a judge.”[3]

In het licht hiervan is de huidige formulering van lid 2 niet opportuun. Privacy First adviseert dan ook om dit lid als volgt te herzien:

“Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, met machtiging van één of meer bij de wet aangewezen ministers.” [doorstreping Privacy First]

Als eventueel alternatief voor de invoering van rechterlijk toezicht in het veiligheidsdomein adviseert Privacy First om de bestaande Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) te upgraden tot een krachtiger onafhankelijk toezichtsorgaan à la het Belgische of Duitse model, met algehele, verplichte toetsing vooraf i.p.v. steekproefsgewijs toezicht achteraf.

Notificatieplicht
Een tweede punt van kritiek betreft het ontbreken van expliciete grondwettelijke vermelding van een notificatieplicht bij inbreuken op het brief- en telecommunicatiegeheim. Een notificatieplicht versterkt immers de rechtsbescherming voor burgers en draagt bij aan correcte naleving van de wet door de overheid, ook in het veiligheidsdomein. Evenals rechterlijke machtiging biedt dit de beste garanties tegen misbruik op korte én lange termijn.

Verkeersgegevens
In de optiek van Privacy First dienen ook verkeersgegevens onder de reikwijdte van artikel 13 Grondwet te vallen. Deze gegevens zien immers vaak mede op de inhoud van communicatie; dit blijkt zelfs met zoveel woorden uit de MvT zelf, waar terecht SMS en de onderwerp-regel van email als voorbeelden worden genoemd.[4] Hetzelfde geldt bijvoorbeeld voor zoekopdrachten in zoekmachines. Daarnaast kan uit verkeersgegevens in combinatie met andere (al dan niet real-time verzamelde) gegevens alsnog de inhoud van communicatie tussen individuen en/of bedrijven worden afgeleid. Een krachtig regime van artikel 13 Grondwet in combinatie met rechterlijk toezicht is dus ook hier geboden.

Rechtsvergelijking
Tenslotte mist Privacy First in de huidige MvT een rechtsvergelijkende paragraaf waarin het huidige artikel 13 Grondwet vergeleken wordt met grondwettelijke best practices uit landen met hetzij een civil law, hetzij een common law traditie. Met een nieuw artikel 13 Grondwet als internationale state-of-the-art zou Nederland zich bovendien positief kunnen onderscheiden en haar vroegere positie als mensenrechtelijk gidsland enigszins kunnen heroveren.

Privacy First hoopt u met dit advies van dienst te zijn. Desgevraagd zijn wij graag tot een nadere toelichting op bovenstaande punten bereid.

Hoogachtend,

Stichting Privacy First

Vincent Böhre
director of operations

"In de Security Tip van de Week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
(...)
Deze week de tip van Vincent Böhre [Stichting Privacy First]:

Laat je paspoort voortaan thuis
De meeste mensen leven al jaren in de veronderstelling dat ze verplicht zijn een geldig paspoort of identiteitskaart (of rijbewijs) bij zich te dragen. Volgens de Wet op de uitgebreide identificatieplicht (januari 2005) hoef je echter alleen maar een geldig identiteitsbewijs te kunnen tonen. Van een officiële draagplicht is nooit sprake geweest. Dus de eerstvolgende keer dat oom agent naar je identiteitsbewijs vraagt, kun je zeggen: “Prima, meneer de agent, loopt u maar even met me mee naar huis en dan laat ik u mijn identiteitsbewijs zien. Drinken we ook meteen even een bakkie koffie.”
Nu zul je misschien denken: “Leuke tip, maar wat heeft dit met security te maken?” Heel veel, als je je realiseert dat er jaarlijks honderdduizenden paspoorten en ID-kaarten vermist raken. Die documenten kunnen vervolgens door anderen worden misbruikt. Dus kun je je paspoort of ID-kaart beter thuislaten. Da’s wel zo veilig!

Vermom je paspoort als boterham
Er is nog een tweede reden waarom ik mensen zou willen adviseren om hun paspoort of identiteitskaart voortaan thuis te laten: de op-afstand-uitleesbare RFID-chip in het document. Eind augustus 2006 is die chip in Nederland ingevoerd. Nut en noodzaak ervan zijn overigens nooit aangetoond. Ondanks hoge beveiligingsnormen is er geen enkele garantie dat de RFID-chip niet ongemerkt door onbevoegden kan worden uitgelezen, gekloond of misbruikt. Bijvoorbeeld terwijl je nietsvermoedend in de rij staat bij de bakker. Of in een drukke tram, of waar dan ook. Mocht je alsnog graag je paspoort of ID-kaart op zak willen hebben, zorg er dan voor dat de chip niet meer op afstand uitleesbaar is. Bijvoorbeeld door je identiteitsbewijs in huis-tuin-en-keuken aluminiumfolie te wikkelen (kooi van Faraday!), net als een boterham.

Word staatsburger van Sealand
En dan zijn er nog die vervelende vingerafdrukken. Volgens de “tentatieve planning” van het ministerie van Binnenlandse Zaken komen identiteitskaarten zonder vingerafdrukken pas per oktober 2013 op de markt. Tot die tijd zal de Nederlandse bevolking het dus nog even moeten uitzingen met een biometrisch foutenpercentage van 21-25%. Of tijdelijk een buitenlandse ID-kaart zonder vingerafdrukken aanvragen, bijvoorbeeld in Sealand (een microstaatje in de Noordzee). Er zijn ook andere, fysieke methoden om de afname van vingerafdrukken te omzeilen, maar die laat ik aan je eigen verbeelding over… en op eigen risico. ;)

Paspoortproces Privacy First
Op 18 december jl. daagde Privacy First de Nederlandse Staat voor het Hof Den Haag wegens schending van de privacy in de nieuwe Paspoortwet. In deze zaak zal ook het RFID-aspect van paspoorten en ID-kaarten aan de orde komen. Dit tenzij de Tweede Kamer voortijdig besluit dat de RFID-chip een vrijwillig karakter dient te krijgen. En dat Nederlandse paspoorten en ID-kaarten van metaalfolie in de hoes moeten worden voorzien (zoals in de Verenigde Staten al jaren gebruikelijk is). Een mooiere Kerst zal Privacy First zich volgend jaar niet kunnen wensen!"

Bron: Security.nl, 24 december 2012.

Vandaag dient het hoger beroep van Privacy First en 19 burgers tegen de Nederlandse Staat. Privacy First acht de nieuwe Paspoortwet in strijd met het recht op privacy. Ondanks kritiek van de Tweede Kamer besloot het kabinet onlangs om de controversiële wet door te zetten. De zaak van Privacy First richt zich vooral tegen de centrale opslag van vingerafdrukken. Deze civielrechtelijke procedure is uniek.

Toelichting
Op 2 februari 2011 werden Stichting Privacy First en 21 mede-eisers (burgers) door de rechtbank Den Haag niet-ontvankelijk verklaard in onze civiele rechtszaak tegen de Nederlandse Staat (Paspoortproces). Een voorstel van minister Spies (Binnenlandse Zaken) ter herziening van de Paspoortwet is op 17 oktober jl. bij de Tweede Kamer ingediend. In dit wetsvoorstel blijft de oorspronkelijke bepaling (art. 4b) inzake een centrale databank echter grotendeels intact. Onder deze bepaling zullen de biometrische gegevens van alle Nederlanders alsnog worden gebruikt voor opsporing en vervolging, inlichtingenwerk, terrorisme- en rampenbestrijding. Dit vormt een flagrante schending van (onder meer) Europese privacywetgeving. Pogingen van individuele burgers om dit langs bestuursrechtelijke weg aan te vechten zijn tot nu toe vruchteloos gebleken, aangezien de bestuursrechter de betreffende bepaling niet heeft willen toetsen. Wel heeft de Raad van State onlangs enkele prejudiciële vragen over de Europese Paspoortverordening gesteld aan het Europees Hof van Justitie in Luxemburg. In afwachting van de beantwoording daarvan liggen alle bestuursrechtelijke procedures minstens anderhalf jaar stil en moeten bezwaarde burgers zichzelf zien te redden zonder geldig identiteitsdocument. Reden voor Privacy First om opnieuw in het algemeen belang de civielrechtelijke zeilen te hijsen en ons Paspoortproces in hoger beroep voort te zetten.

Wij hebben daartoe vandaag onze Memorie van Grieven ingediend bij het Hof Den Haag. In deze Memorie zetten Christiaan Alberdingk Thijm en Vita Zwaan (SOLV Advocaten. Update 1 augustus 2013: Bureau Brandeis) uiteen waarom Privacy First c.s. alsnog ontvankelijk dienen te worden verklaard. Vervolgens zal de Paspoortwet door de civiele rechter alsnog in volle omvang kunnen worden getoetst aan hoger recht, waaronder Europese privacywetgeving. Onze volledige Memorie van Grieven kunt u HIER downloaden. Het Hof Den Haag komt naar verwachting voor de zomer met een uitspraak.

Oproep
Privacy First doet hierbij een dringende oproep aan alle Nederlanders om een steentje aan de financiering van dit proces bij te dragen. Dit kan door een donatie op rekeningnummer 49.55.27.521 t.n.v. Stichting Privacy First te Amsterdam o.v.v. "donatie Paspoortproces". Dank voor uw steun!

Update 28 maart 2013: deze week diende de Staat zijn Memorie van Antwoordin bij het Hof Den Haag. Een uitspraak van het Hof over de ontvankelijkheid volgt hopelijk nog voor de zomer.

Update 19 april 2013: deze week zijn (eindelijk) de schriftelijke vragen van de Tweede Kamer d.d. 5 december 2012 bij het wetsvoorstel ter herziening van de Paspoortwet beantwoord; klik HIER. Op de vraag van de VVD-fractie "naar de stand van zaken met betrekking tot de eventuele invoering van een centrale reisdocumentenadministratie" antwoordt minister Plasterk (Binnenlandse Zaken) op p. 12 als volgt: "Over de vraag of de [centrale] online raadpleegbare reisdocumentenadministratie (ORRA) daadwerkelijk zal worden gerealiseerd, en zo ja in welke vorm, moet nog [ambtelijke] besluitvorming plaatsvinden. Dit zal niet gebeuren zonder dat uw Kamer daarin gekend is." In lijn hiermee blijft de vraag van de PvdA-fractie "of [het hele artikel 4b] niet beter geschrapt kan worden" vooralsnog onbeantwoord (zie p. 15). Het belang van Privacy First c.s. bij het civiele Paspoortproces blijft daarmee onverminderd groot.

Update 26 mei 2013: de voorlopige datum van arrest (uitspraak) van het Hof Den Haag is dinsdag 29 oktober 2013.

Update 29 oktober 2013: het Hof Den Haag heeft vandaag de uitspraak uitgesteld tot dinsdag 7 januari 2014.

Update 7 januari 2014: het Hof Den Haag heeft de uitspraak vandaag opnieuw uitgesteld. Nieuwe datum: dinsdag 18 februari as.

"Meer dan 40 organisaties en experts uit binnen- en buitenland schrijven een open brief aan minister Opstelten waarin zij wijzen op de gevaren van het zogenaamde 'terughacken'. "Niet acceptabel."

Veertig internationale organisaties en individuen die zich inzetten voor de digitale burgerrechten doen een appel op minister Opstelten om af te zien van het plan om de politie het recht te geven terug te hacken bij cyberdreigingen en in de opsporing naar (cyber)criminelen. "Ondanks dat uw doel, het bestrijden van cybercrime, prijzenswaardig is, is de oplossing niet acceptabel", schrijven de ondertekenaars in een brief.

Zelfs als het alleen binnenlands wordt gebruikt beperkt het binnendringen van computers de privacy van de verdachte, maar daarnaast ook nog eens van alle niet-verdachten waarvan informatie op de bewuste computer staat, vinden de ondertekenaars. "U heeft niet aangetoond dat uw voorstel noodzakelijk en proportioneel is."

Risico's voor het wereldwijde internet

Aan de andere kant brengt het voorstel wel risico's met zich mee betreffende cybersecurity en "het wereldwijde internet", menen de experts. Volgens hen zou het voorstel overheden prikkelen de beveiliging van informatietechnologie zwak te houden door kwetsbaarheden niet meer te delen en die juist uit te buiten voor eigen doeleinden. "Dat brengt miljoenen onschuldige computergebruikers in gevaar."

Mocht het inbreken in andermans computers ook over de grens gebeuren, zullen de complicaties van het voorstel alleen nog maar toenemen. Het breekt de wet in een ander land en is dus illegaal, daarnaast schendt het de soevereiniteit van andere landen.

Andere landen volgen Nederland

"Het probleem wordt nog groter doordat andere landen waarschijnlijk het voorbeeld van Nederland gaan volgen en dat leidt tot een situatie waarin landen de eigen wetten gaan handhaven op buitenlandse computers, in plaats van te investeren in internationale samenwerking in handhaving."

Daarbij zal het uiteindelijk ook gaan om het najagen van politieke tegenstanders, journalisten en dissidenten, schrijven de mensenrechtenactivisten, waarbij aanvallen op computers worden gedaan vanwege blasfemie, haatzaaien, homoseksualiteit of inbreuken op het copyright. Daarbij wijzen de ondertekenaars op de gebruikers van het Tor-netwerk, "die zich kunnen uitspreken zonder vrees voor vervolging. Het zullen juist deze gebruikers zijn die doelwit worden zonder juridische bescherming van het land waar ze verblijven."

Bruce Schneier en Richard Stallman

De brief is onder meer ondertekend door Bruce Schneier en Richard Stallman, de Nederlandse organisaties Bits of Freedom, Vrijbit, Free Press Unlimited, Internet Protection Lab, Humanistisch Verbond, Privacy First, Ouders Online en Vrijschrift en onder meer de buitenlandse organisaties Chaos Computer Club (Duitsland) EDRi (Europa), EFF (VS), La Quadrature du Net (Frankrijk), Netzpolitik (Duitsland) en de Tor Project (VS)."

Bron: Webwereld, 4 december 2012.

"Stichting Privacy First wil dat de overheid opschiet met de invoering van een identiteitskaart zonder vingerafdrukken en dat er per direct een uitzondering wordt gemaakt voor biometrisch gewetensbezwaarden, bijvoorbeeld in de vorm van een tijdelijke identiteitskaart met een verkorte geldigheidsduur. Morgen wordt de herziening van de Paspoortwet besproken, die ervoor zorgt dat vingerafdrukken niet langer worden opgeslagen.

Volgens de privacywaakhond werd tijdens een rechtszitting bij de Raad van State in juli duidelijk dat de Nederlandse Staat geen enkel juridisch of feitelijk belang heeft bij de afname van vingerafdrukken voor Nederlandse identiteitskaarten met een geldigheidsduur van één jaar.

"Juridisch valt een dergelijk document immers niet onder de Europese Paspoortverordening. Tevens is feitelijk sprake van een biometrisch foutenpercentage van 21-25% en worden de in het document opgeslagen vingerafdrukken, mede om die reden, in het geheel niet gecontroleerd of gebruikt", aldus Privacy First.

Software
In september kwam de minister van Binnenlandse Zaken en Koninkrijksrelaties met het voorstel om de Paspoortwet aan te passen en niet meer om de vingerafdruk te vragen bij het aanvragen van een identiteitskaart.

Tijdens de zitting liet de landsadvocaat weten dat de gemeentelijke software nog niet op e.e.a. zou zijn toegerust. Privacy First wil nu weten of de software inmiddels is aangepast en vindt dat er een tijdelijke oplossing voor biometrisch gewetensbezwaarden moet komen."

Bron: security.nl, 28 november 2012.

"Vier vragen over Dna-onderzoek 
Door dna-onderzoek lijkt de zaak-Vaatstra nu eindelijk opgelost. Maar in hoeverre tast deze manier van opsporing ons recht op privacy aan?

Wat is er allemaal mogelijk in de opsporing?

De opsporingsmogelijkheden van politie en justitie groeien mee met de ontwikkeling van de techniek. Nederland loopt daarin voorop: nergens ter wereld worden zoveel burgers afgeluisterd. Een ander voorbeeld is het voorstel van staatssecretaris van Justitie Teeven (VVD), die wil dat opsporingsdiensten kunnen 'terughacken'.

Hetzelfde geldt voor dna-onderzoek. Sinds onderzoekers in de jaren tachtig deze methode ontdekten, kan er met maar weinig sporen dna naar een dader worden gezocht. Sinds 1997 worden dna-profielen van veroordeelden, slachtoffers en verdachten opgeslagen bij het Nederlands Forensisch Instituut (NFI). De databank bevat nu meer dan 150 duizend profielen, in 2010 waren dat er nog 50 duizend.

Waarom wordt er van steeds meer mensen dna opgeslagen?

Steeds meer groepen zijn de afgelopen jaren verplicht om dna af te staan. Zo moeten minderjarige slachtoffers vanaf april dit jaar wangslijmvlies afstaan voor de opsporing van de daders. Tegelijkertijd werd ook het dna-verwantschapsonderzoek wettelijk toegestaan dat is gebruikt in de zaak-Vaatstra. Hierbij kan de dader via het dna van familieleden worden opgespoord.

De afgelopen jaren kwamen er steeds meer voorstellen om de dna-databank uit te breiden. Zo wilde minister Edith Schippers in oktober dat justitie toegang zou krijgen tot het dna dat in ziekenhuizen wordt opgeslagen voor wetenschappelijk onderzoek.

'De privacy erodeert, wordt uitgehold door zulke voorstellen,' zegt hoogleraar regulering van technologie Bert-Jaap Koops van de universiteit Tilburg. 'Nieuwe technologieën voor opsporing worden steeds vaker toegelaten. En de wetgever gaat daar erg makkelijk in mee.' 

Zullen nieuwe opsporingstechnieken onze privacy aantasten?

Volgens hoogleraar Koops wel. 'Die ontwikkeling is niet te keren. Nieuwe technologieën veroorzaken een logische verschuiving van grenzen. Tien jaar geleden was het onvoorstelbaar dat alles werd gefilmd. Hetzelfde geldt voor de situatie over tien jaar, we zullen alleen maar aan privacy inleveren.'

Een volgende stap zou een nationale dna-databank kunnen zijn, volgens Koops. Dan moet iedere Nederlander dna afstaan. 'Het kan twee kanten op. Of de maatschappij zegt dat door de zaak-Vaatstra, en mogelijke volgende doorbraken, het nut van zo'n databank is aangetoond. Of de maatschappij zegt: blijkbaar hoeft niet iedereen dna in te leveren, het kan ook op vrijwillige basis.'

Wat zijn de voors en tegens van een nationale dna-databank?

Door het succes in de zaak-Vaatstra is de discussie weer opgelaaid. In 2011 pleitte korpschef Frank Paauw van de politie Rotterdam-Rijnmond ook voor een nationale databank. Zijn argumentatie is die van de voorstanders: wie niets heeft te verbergen, heeft ook niets te vrezen.

Privacy is juist veiligheid, vinden tegenstanders. 'Dat is de persoonlijke veiligheid van het individu tegenover een overheid', zegt Vincent Böhre van de stichting Privacy First. 'Een nationale databank zou impliceren dat de overheid haar eigen burgers niet meer vertrouwt en iedere Nederlander als potentiële verdachte ziet.'

Volgens Böhre is de grens bereikt met het verwantschapsonderzoek in de zaak-Vaatstra. 'Dat is het dilemma: nu lijkt er eindelijk een dader te zijn opgepakt. Daar ben ik blij om. Maar verplichting mag er nooit komen. Dat staat op gespannen voet met het klassieke rechtsbeginsel dat niemand tegen zichzelf hoeft te getuigen.'"

Bron: Volkskrant 21 november 2012, p. 5. Klik HIER voor de versie op Volkskrant.nl

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy First

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.

Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?


Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegevens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de Nederlandse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. Daarnaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.