Toon items op tag: Debat

Geslaagd publieksdebat “Challenging business for privacy” resulteert in oproep tot privacyvriendelijke innovatie 

Van 23-26 oktober jl. vond de 3-jaarlijkse Amsterdam Privacy Conference plaats: een internationaal megacongres rondom alle aspecten van privacy. In het kader van ons nieuwe initiatief Privacy First Solutions organiseerde Stichting Privacy First tijdens dit congres op 26 oktober jl. een unieke discussieavond over privacy-oplossingen voor het bedrijfsleven: “Challenging business for privacy”. Onze panelleden waren Marc van Lieshout (TNO & PI.lab), Marcel van Galen (Qiy), Sacha van Geffen (Greenhost) en Jelte Timmer (Rathenau Instituut). Moderator was Privacy First Solutions-projectleider Martijn van der Veen. Locatie was de Rechtenfaculteit van de Universiteit van Amsterdam.

Tijdens de avond gingen deze experts met elkaar en met het publiek in debat over privacyvriendelijk innoveren en de vraag welke best practices hierbij als voorbeeld kunnen dienen. We bespraken met elkaar de kansen voor bedrijven om privacy als unique selling point in te zetten en privacy by design toe te passen.

De avond resulteerde in onze call to action aan alle disciplines:

Wetenschappers, overheidsinstellingen én het bedrijfsleven zullen er gezamenlijk voor moeten zorgen dat privacyvriendelijk innoveren de norm wordt en dat Nederland zich kan gaan ontwikkelen tot Privacy Gidsland.

In het bijzonder dienen bedrijven hierbij dataminimalisatie te waarborgen en de klant de regie te geven over zijn of haar eigen data. Bedrijven moeten geen afwachtende houding aannemen, maar zélf concrete oplossingen vormen voor actuele privacy-vraagstukken door privacy by default en privacy by design actief toe te passen. Het bedrijfsleven kan daarbij verder gaan dan louter “compliant ” zijn aan de bestaande privacywetgeving en een stuwende kracht voor privacybevordering worden. Privacy vormt een prachtige kans voor bedrijven om maatschappelijk verantwoord te ondernemen en te innoveren. Die kans mag Nederland niet laten liggen!

Een nader verslag van de avond volgt binnenkort. Volg onze website voor nieuwe aankondigingen van komende evenementen van Privacy First Solutions!

Vlnr: Marc van Lieshout, Marcel van Galen, Jelte Timmer en Sacha van Geffen.  Foto: Maarten Tromp.

"Er zijn grenzen aan de technieken die de overheid mag gebruiken om de burger te controleren. Dat vindt zeventig procent van de deelnemers aan de Stelling van de Dag. U meent dat de controle met waarborgen moet worden omgeven.

Een ruime meerderheid vindt het dan ook een goede zaak dat privacywaakhond Privacy First een rechtszaak tegen trajectcontroles heeft aangespannen omdat de camera's niet alleen hardrijders registreren maar ook alle andere automobilisten die langsrijden en zich netjes aan de snelheidslimiet houden. Volgens Privacy First, dat een nationaal debat over controletechnieken wil houden, is dit onrechtmatig. "De goeden mogen niet onder de kwaden lijden", aldus een lezer. U vindt dat trajectcontrole net als in Duitsland verboden zou moeten worden.

Ook andere technische systemen vindt u onaanvaardbaar, zoals het opslaan van telefoon- en internetgegevens van burgers en het invoeren van het kenteken in parkeermeters, waar de rechter overigens al een stokje voor heeft gestoken. Over het met camera's registreren van kentekens en het opslaan van passagiersgegevens verschilt u van mening. De helft is ervoor, de andere helft is tegen.

Camera's op straat, in winkelcentra, tunnels en dergelijke vindt u echter geen bezwaar. "Het is goed voor onze veiligheid", schrijft iemand. Een ander tekent echter aan dat het niet de bedoeling is dat de camera's registreren "wat voor brood ik koop bij de bakker".

Aanvaardbaar
Zeventig procent van de lezers vindt opslaan van persoonsgegevens en camerabeelden alleen aanvaardbaar als er duidelijke waarborgen zijn, bijvoorbeeld dat ze niet worden misbruikt en dat ze maar kort worden bewaard. "Alleen toestaan indien er duidelijke garanties zijn dat de gegevens alleen voor dat ene doel beschikbaar zijn en alleen voor de juiste dienst", schrijft een lezer.

U bent het er niet mee eens dat dit soort controlepraktijken een noodzakelijk kwaad is en dus zonder meer moet worden aanvaard. Een flinke minderheid van bijna 40 procent vindt echter van wel: "Met alle terreur is het hard nodig, deze controle." Een ander schrijft: "Als er ook maar één zaak wordt opgelost omdat een persoon per ongeluk ergens op een camera staat, vind ik het prima."

Minister Van der Steur (Veiligheid) stelt dat de opsporing van misdrijven wordt bemoeilijk als bedrijven niet meer kunnen worden verplicht telefonie- en internetgegevens van burgers op te slaan. Ruim 60 procent van u is echter niet van deze argumentatie onder de indruk: "Onder het mom van veiligheid wordt een steeds meer totalitaire staat ingevoerd", aldus een lezer, die verwijst naar het boek '1984' over een futuristische dictatuur waarin 'Big Brother' elke burger via een beeldscherm in de gaten houdt.

Ruim zeventig procent van u vindt dat de overheid te veel en te vaak persoonsgegevens opslaat. "Ik vind het te ver gaan, mijn privacy wordt zo op vele terreinen geschonden," schrijft iemand. Meer dan de helft vindt dat bestrijding van misdaad en terreur ook wel zonder dit soort praktijken kan: "Het is nog nooit bewezen dat het opslaan van al deze data heeft geholpen tegen terreur.""
 
Bron: Telegraaf 8 april 2015, p. 18. Tevens gepubliceerd op http://www.telegraaf.nl/watuzegt/23898277/__Burger_ongebreideld_controleren__.html.

Op 2 december 2014 introduceerde Privacy First op haar kantoorlocatie in Amsterdam (Volkshotel) het initiatief Privacy First Solutions. Hieronder ons verslag van een inspirerende avond: 

In zijn inleiding stelde Privacy First voorzitter Bas Filippini dat we ook van bedrijven mogen verwachten dat zij hun verantwoordelijkheid op het gebied van privacy nemen. Filippini ziet Privacy First Solutions als een logisch vervolg op het werk van Privacy First de laatste jaren.

Kwartiermaker Martijn van der Veen lichtte vervolgens toe dat het initiatief moet bijdragen aan het streven om van Nederland een gidsland te maken op het gebied van privacy. We zijn goed voorgesorteerd: uitstekende ICT-infrastructuur, bedrijven met know how en een goed investeringsklimaat. Maar bedrijven bewegen te langzaam. Om hen in beweging te krijgen noemt Van der Veen voorbeelden als vergelijkingssites, kennispools tussen bedrijven en praktijkseminars. Laagdrempelig, praktisch en kritisch, zodat bedrijven zakelijk én privacyvriendelijk kunnen acteren.

Bedrijven die privacyvriendelijk werken moeten het podium krijgen. Als eerste kreeg de oprichter van Greenhost, Sacha van Geffen, het woord. Greenhost is een groeiende internet service provider (ISP) die van privacy een speerpunt heeft gemaakt. Van Geffen vertelt beeldend over drijfveren van het bedrijf om te investeren in privacybescherming, hun rol als ISP daarin en ontwikkelingen van de laatste jaren. Hij verbindt op interessante wijze privacy met innovatie: het waarborgen van anoniem online verkeer van journalisten en activisten eist dat Greenhost hoge kwaliteit levert. Privacy als proeve van bekwaamheid!

Greenhost profileert zich met privacy maar deelt veel van haar kennis. Hoe meer andere ISP's meedoen met initiatieven als www.logmeniet.nl of meedenken met Publeaks of de talloze andere initiatieven, hoe beter de infrastructuur wordt. Greenhost heeft meermalen bij andere providers aangedrongen om actiever te worden op dit gebied, helaas nog met beperkte bijval. Met een aantal tips sluit Van Geffen deze interessante bijdrage af. Zijn tips aan (ICT-gerelateerde) bedrijven:
- Maak je bedrijf geschikt en bruikbaar voor activisten
- Onderwijs gebruikers in de risico's van je product
- Zet je in voor betere wetten
- Bevorder het gebruik van veilige standaarden
- Daag je management uit.

Na Greenhost was het woord aan twee nieuwe ideeën, afkomstig van de Nationale Denktank. Dit is een jaarlijks evenement waar studenten en pas-afgestudeerden zich enkele maanden in een maatschappelijk onderwerp vastbijten. Dit jaar was het thema Big Data. De privacy kregen ze er vanzelf bij, zoals Eva de Leede en Rolien Sandelowsky vertelden. Ze lichtten twee initiatieven toe die uit de zaal op de nodige bijval konden rekenen. De eerste was Hack-je-Hokje. Rond iedere internetgebruiker groeit een eigen profiel en krijgt zo op maat geselecteerde informatie. Het beïnvloedt ons denken, zonder dat we het in de gaten hebben. Met een plugin kruip je in het profiel van een ander en kijk je door andermans internetbril. De Leede vertelt dat het idee startte vanuit een soort verontwaardiging, maar dat ze gaandeweg het project genuanceerder gingen denken. Denk alleen al aan dat een zoekmachine wel móet filteren omdat het aantal resultaten anders te groot wordt. Daarmee bestaat eigenlijk geen 'waardenvrij' internet meer. Maar hoe ver mag je daarmee gaan? Het tweede project is de Datawijzer, een digitale bijsluiter bij internetsites. Websites kunnen met eenvoudige iconen en korte teksten snel aangeven wat een website met je gegevens doet, zoals wel of niet opslaan, doorverkopen en onder welke wetgeving de site valt.

De Denktankleden hadden ook een vraag aan de zaal. Ze zoeken mogelijkheden en middelen om hun ideeën groter te maken. Privacy First Solutions wil hun vraag ondersteunen en roept op om mee te denken met deze initiatieven.

De avond was een pre-launch van het initiatief. We zijn nog aan het warmdraaien, maar deze avond mag als geslaagd de boeken in gaan, zowel door de hoge opkomst als door de inspirerende inhoud. We willen privacyvriendelijke bedrijven het podium geven zodat zij als voorbeeld kunnen dienen, en kansrijke initiatieven helpen groeien. Met een oproep voor vrijwilligers en ideeën eindigde deze pre-launch tenslotte in een goedbezochte borrel in het Volkshotel-café.

Stichting Privacy First neemt het initiatief voor de volgende stap om Nederland privacyvriendelijker te maken: met Privacy First Solutions willen we drempels om privacyvriendelijke oplossingen toe te passen verlagen en bedrijven motiveren om hun bijdrage te leveren. Zullen het recht op privacy en commerciële belangen elkaar kunnen vinden?

Op 2 december as. gaan we uitgebreid in op ons nieuwste initiatief. We laten het niet bij woorden:
- Internetprovider Greenhost vertelt hoe het privacy by design tot business model maakte.
- En we hebben een sneak preview van twee oplossingen van de Nationale Denktank rondom Big Data & Privacy.

Natuurlijk vergeten we twee van onze lopende rechtszaken niet: het Paspoortproces en het proces tegen kentekenparkeren. De avond sluiten we af met een borrel.

Programma:
19.00  Inloop en ontvangst met koffie
19.30  Opening door Bas Filippini
19.45  Privacy First Solutions: een noodzakelijk initiatief, door Martijn van der Veen
20.15  Best practices: door Sacha van Geffen, CEO en oprichter van Greenhost, de privacyvriendelijke internetprovider
20.50  Goed idee 1: 'Hack je hokje' door Anne Vos, Nationale Denktank
21.00  Goed idee 2: 'de Datawijzer' door Eva de Leede, Nationale Denktank
21.10  De laatste ontwikkelingen in lopende rechtszaken, door Vincent Böhre
21.30  Afsluiting en borrel

Datum & tijdstip: dinsdag 2 december 2014, 19.00-22.00u.

Locatie: Volkshotel (Petit Canvas, 7e etage), Wibautstraat 150 Amsterdam. Klik HIER voor een routebeschrijving. Het nieuwe Volkshotel (voormalige Volkskrantgebouw) is tevens onze kantoorlocatie.

Meer weten over het initiatief Privacy First Solutions, of meedoen als vrijwilliger? Neem dan contact met ons op.

De avond is bedoeld voor belangstellenden, donateurs en voor allen die een positieve bijdrage willen leveren aan een privacyvriendelijker Nederland. U en uw introducé zijn van harte welkom! Entree is gratis. Wilt u zich van tevoren aanmelden via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.? Er is een beperkt aantal plaatsen beschikbaar.

PS: via onze nieuwe LinkedIn-groep leest u de laatste informatie en meer over onze sprekers.

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op donderdagavond 16 januari as. in het CREA Theater van de Universiteit van Amsterdam. Als gastsprekers hebben wij Jacob Kohnstamm en Simon Davies uitgenodigd. De heer Kohnstamm is voorzitter van het College bescherming persoonsgegevens (CBP) en van de Artikel 29-werkgroep waarin alle privacytoezichthouders binnen de EU zijn verenigd. Tevens is hij voorzitter van het Executive Committee van de International Conference for Data Protection and Privacy Commissioners. De heer Davies is oprichter en voormalig directeur van Privacy International. Momenteel is hij gastonderzoeker bij het Instituut voor Informatierecht (IViR) en het Amsterdam Platform for Privacy Research (APPR). Beiden zullen een lezing houden over actuele ontwikkelingen op het gebied van de bescherming van persoonsgegevens, in het bijzonder de nieuwe EU-Verordening inzake gegevensbescherming. Hierna volgt discussie onderling en met het publiek. Moderator tijdens de avond is Bart van der Sloot. De heer Van der Sloot is coördinator van het APPR en onderzoeker bij het IViR.

Datum: donderdag 16 januari 2014, aanvang 20.00u. Inloop vanaf 19.30u.
Locatie: CREA Theater, Nieuwe Achtergracht 170 Amsterdam. Lezing en discussie in de CREA Theaterzaal, gevolgd door Nieuwjaarsborrel in het CREA Café. Klik HIER voor een routebeschrijving .

Klik HIER voor de uitnodiging zoals Privacy First die aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan zetten wij u op onze mailinglist.

Op dinsdagavond 19 maart 2013 was in het programma Dichtbij Nederland (NTR, Radio 5) een discussie over de omstreden plannen van minister Opstelten om de kentekens van alle Nederlanders voortaan 4 weken op te slaan voor opsporing en vervolging. In onderstaand fragment hoort u o.a. Vincent Böhre van Stichting Privacy First, jurist en journalist Ab Jaafar en schrijver en oud-politiecommissaris Marc Jacobs:

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy First

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.

Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?


Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegevens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de Nederlandse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. Daarnaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.

Op 11 juni jl. vond in Den Haag het langverwachte Nationaal Privacy Debat plaats. Privacy First somt voor u de aspecten op die ons het meest opvielen, te beginnen met het treffende pleidooi van Brenno de Winter voor een Privacy Deltaplan:

“Het Nationaal Privacy Debat is een unieke kans iets moois te beginnen en mensen uit te dagen mee te doen met de maatschappelijke discussie. Laten we die kans grijpen en werken aan een Deltaplan. Nederland weer tot voorbeeldland maken. Een voorbeeld als rechtstaat voor wat betreft de bescherming van de burger. Daarin zijn we op ons best!”

Hierna was het woord aan Anthony House (Google), die aan het einde van zijn keynote speech de volgende vraag aan het publiek stelde:

“Are the principles of data protection that were developed in the 1970s still good today? Do we need to start from scratch on privacy principles?”

Uit de stilte in de zaal en enkele antwoorden die hierop volgden viel (gelukkig) op te maken dat de klassieke privacybeginselen nog altijd voldoen, in elk geval grotendeels.

Daarna was het de beurt aan de eerste paneldiscussie, waarbij de centrale vraag was wat momenteel de voorkeur heeft: meer wettelijke regelgeving of meer zelfregulering? Uit de reacties vanuit het panel en vanuit de zaal bleek de voorkeur in overheersende mate uit te gaan naar beide opties samen i.p.v. slechts het één of het ander. Net als in de financiële sector is goede wetgeving en strakke handhaving ook voor de ICT-sector inmiddels bittere noodzaak gebleken. Die wetgeving vormt echter slechts een minimale, snel verouderende ondergrens. Het is dan ook aan de ICT-sector zelf om altijd op het hoogste, meest privacyvriendelijke (oftewel klantvriendelijke) niveau te opereren. Dit is een belangrijk selling point en biedt belangrijke concurrentievoordelen. In die zin kunnen wetgeving en zelfregulering elkaar goed aanvullen.

Vervolgens was er een toespraak van Joost Farwerck (KPN) die onder meer aangaf dat privacy tegenwoordig een zeer hoge prioriteit heeft bij een breed Nederlands publiek: uit onderzoek van KPN was gebleken dat het publiek hier na een goede gezondheidszorg en goed onderwijs de meeste waarde aan hecht. Mede daarom heeft KPN een intern Privacy Awareness programma en een externe Privacy Missie opgesteld. Farwerck pleitte er tenslotte voor om van het Nationaal Privacy Debat een terugkerend evenement te maken. (Later die dag pleitte ook Arie van Bellen (ECP-EPN) hiervoor.) Privacy First sluit zich daar graag bij aan.

Interessant tijdens de tweede panelsessie (over privacy en beveiliging) waren vooral de parallellen die werden getrokken met de veiligheid in andere sectoren, zoals de levensmiddelenindustrie en de luchtvaartsector, zowel qua regelgeving en zelfregulering als qua toezicht en handhaving. Eerder op de dag had Vincent Böhre (Privacy First) een vergelijkbare parallel getrokken met vroegere ontwikkelingen op het terrein van milieubescherming. Veel deelnemers aan het debat waren het erover eens dat het College Bescherming Persoonsgegevens (CBP) enerzijds te weinig middelen en bevoegdheden heeft, maar anderzijds ook de bestaande privacywetgeving te zwak handhaaft. Verder maakte Walter van Holst (Mitopics) vanuit het publiek terecht de opmerking dat er meer nadruk moet worden gelegd op dataminimalisatie. Wat er niet is hoeft immers ook niet beveiligd te worden.

Het woord was hierna aan Bart de Koning: journalist en auteur van het boek 'Alles onder controle, de overheid houdt u in de gaten'. De Koning wees in zijn toespraak op een aantal positieve recente ontwikkelingen, waaronder het verzet tegen de vingerafdrukken in het paspoort, nieuwe cookiewetgeving, netneutraliteit en politieke aandacht voor de risico’s van de Amerikaanse Patriot Act. Tegelijkertijd waarschuwde hij voor negatieve ontwikkelingen zoals het voorstel om alle kentekenplaten van RFID-chips te gaan voorzien. Ook is Nederland nog steeds koploper in afluisteren. Verder constateerde hij dat de media (inclusief Elsevier) tegenwoordig meer aandacht aan privacy besteden dan voorheen en dat de burger ook steeds meer de overheid in de gaten houdt i.p.v. andersom. “De burger gluurt terug” en dit kan “een disciplinerend effect hebben op de Staat”, aldus De Koning. Voor de toekomst gaf De Koning de volgende richtsnoeren mee aan het publiek: 1) eerst denken, dan doen, 2) dataminimalisatie, 3) openbaarheid, 4) effectiviteit, 5) horizonbepalingen en 6) een permanent debat. Verder pleitte De Koning voor invoering van constitutionele toetsing (bij de rechterlijke macht), een Constitutioneel Hof en steviger toezicht door het CBP. In dit verband maakte hij een vergelijking met Duitsland, waar ANPR (automatische nummerplaatherkenning) verboden is.

Vervolgens was er ruimte voor discussie met het publiek, waarbij vooral Joyce Hes (Stichting Bescherming Burgerrechten) een belangrijk punt aanstipte: veel openbare discussies (waaronder de periodieke Privacycafe’s in Felix Meritis) worden gevoerd met privacyvoorstanders. Politici en ambtenaren die kritisch tegenover privacy staan komen bij dergelijke debatten zelden opdagen. Dit laatste is niet goed voor de discussie.

Tenslotte stelde Bart de Koning nog dat vooral de etnische ‘onderklasse’ het slachtoffer is van stelselmatige privacyschendingen, waaronder preventieve huiszoekingen. Privacy First onderschrijft al deze punten.

De derde panelsessie had als thema “privacy en overheid”:

Namens Stichting Privacy First beet Bas Filippini als volgt het spits af:

“Waar wij ons op richten zijn eigen keuzes in een vrije omgeving. Bij eigen keuzes denk je natuurlijk aan keuzevrijheid, en een vrije omgeving betekent dat wij ernaar streven om de omgeving zo vrij mogelijk te houden voor de gemiddelde burger in Nederland. Dit tenzij je met rede verdacht wordt van een strafbaar feit: dan kun je privacy inwisselen voor veiligheid. Dat is onze filosofie. Wij beredeneren dingen eerst vanuit principes, getoetst aan de Grondwet. Dan kijken we naar de uitvoering: zijn er voldoende checks & balances? Hoe zetten we beleid neer en hoe gaan we dat uitvoeren? En daarna kijken we pas naar technologie. Ik zeg altijd: “je kunt met een mes iemand neersteken, maar je kunt er ook een boterham mee smeren.” Technologie is voor velen “de heilige graal” waar men alles aan ophangt, zonder die eerste drie stappen te zetten: 1) principes, 2) beleid, 3) uitvoering, en dan pas gaan kijken hoe je slimme dingen kunt doen met technologie. Vaak worden de beginselen van subsidiariteit en proportionaliteit overschreden, en dat is erg jammer. Bij de overheid zijn veel mensen die het graag anders zouden willen doen, maar als zij het ergens niet mee eens zijn worden ze al snel als klokkenluider gezien, en dat werkt stigmatiserend. Zo vaart de Titanic dus richting de ijsschots, met als huidig resultaat: steeds meer profiling. Daarmee bedoelen wij geen gerichte profiling bij een redelijke verdenking van een strafbaar feit, maar het volgen van een gehele populatie en kijken of er “iets fout zit”, op basis van outliers, de afwijkingen van het gemiddelde. Dat vinden wij een groot gevaar, omdat iedereen dan een verdachte wordt. Daardoor krijg je heel veel zelfcensuur bij mensen, zowel bij ambtenaren als bij burgers op straat.”

Tijdens het vervolg van het paneldebat sprongen allereerst de opmerkingen van Ronald Leenes (Universiteit van Tilburg) eruit: hij waarschuwde terecht voor een verlies van vertrouwen bij burgers in de overheid indien die overheid het recht op privacy niet serieus neemt. “De afweging of een inbreuk op de privacy noodzakelijk is in een democratische samenleving wordt door de overheid op een aantal dossiers nauwelijks gemaakt”, aldus Leenes. Data worden volgens Leenes domweg verzameld “omdat het kan”, er is een enorm vertrouwen in de technologie, men denkt dat meer informatie leidt tot betere beslissingen, er is onvoldoende aandacht bij de overheid voor alternatieven om dezelfde doelen te bereiken, en er is sprake van onkunde. Hierbij waarschuwde Leenes onder meer voor de huidige plannen om prostituees centraal te gaan registreren. Ook benadrukte hij dat privacy niet alleen een individueel recht is, maar ook een sociale functie heeft.

Anderen in het panel wezen op de gevaren van risicoprofilering. Ook werd de drogredenering “je hoeft niets te vrezen als je niets te verbergen hebt” unaniem ontkracht: iedereen heeft immers het recht om zijn of haar privéleven simpelweg voor zichzelf te houden. Bovendien is het kernelement van vrijheid nu juist dat je iets te verbergen mág hebben. Verder werd opgemerkt dat er hard moet worden gewerkt aan de kennis en het bewustzijn over privacy bij de overheid. Sommigen in het panel benadrukten incompetentie bij de overheid i.p.v. opzet. Bas Filippini antwoordde hierop dat er vaak wel degelijk een agenda achter dingen zit, namelijk beleid vanuit de Verenigde Staten en de Europese Unie. “Hoe richt je je samenleving in? Doe je dat op basis van angst, haat en controle, of op basis van vertrouwen, vrijheid en liefde?”, aldus Filippini.

Vervolgens was er discussie met het publiek, waarbij Jeroen Terstegge (PrivaSense) terecht opmerkte dat men dient te waken voor het uitvoeren van Privacy Impact Assessments (PIA’s) door rechtstreeks betrokken ambtenaren i.p.v. door een onafhankelijke toezichthouder, bijvoorbeeld een Chief Privacy Officer. Op dit terrein dient er meer zelfkritiek binnen de overheid te zijn, los van de externe rol van het CBP. Een ander opvallend punt vanuit het publiek werd aan het einde van de panelsessie gemaakt door Dimitri Tokmetzis (Sargasso): verzekeringen zijn oorspronkelijk bedoeld om risico’s te spreiden, maar door profiling worden risico’s juist geïndividualiseerd. Dit gaat ten koste van de solidariteit in onze samenleving.

Hierna gaf Pim Takkenberg (KLPD) een toespraak rond het thema privacy en opsporing, waarbij hij concreet inging op de dilemma’s rond de ontmanteling van een zogeheten botnet: een netwerk van gekaapte computersystemen. Volgens Takkenberg is het wettelijk kader in dit verband soms nog “onvoldoende specifiek”, bijvoorbeeld bij 1) het op afstand “betreden” (oftewel hacken) van computersystemen door de politie en 2) internationale samenwerking bij de bestrijding van cybercrime. Ook bij publiek-private samenwerking loopt de politie in dit verband vooralsnog “op eieren”, aldus Takkenberg. Op een vraag vanuit het publiek over de effectiviteit van de bewaarplicht telecomgegevens (dataretentie) antwoordde Takkenberg dat je “soms dingen even de tijd moet geven om te zien wat het op termijn oplevert.” Dit sterkt het standpunt van Privacy First dat deze maatregel nooit ingevoerd had mogen worden. Tenslotte stelde Takkenberg dan ook terecht dat de politie niet gebaat is bij teveel informatieverzameling, maar hier juist heel selectief in moet zijn.

De paneldiscussie over privacy en opsporing die hierop volgde nam een onverwachte wending door het commentaar van Jan Grijpink (Universiteit Utrecht, voorheen tevens Justitie) over de recente verwikkelingen rond het biometrisch paspoort. Op de vraag waar hij zich in de privacydiscussie aan ergerde antwoordde Grijpink het volgende:

“De discussie over het biometrische paspoort, dat vind ik een heel mooi voorbeeld van hoe een te hardnekkig drammen – als ik het zo mag zeggen – op de privacykant, de veiligheidskant omver haalt. Als we nu zover zijn dat we zeggen “we halen de vingerafdrukken weer van het paspoort af”, dan ben ik heel tevreden. In 2002 had ik graag willen voorkomen dat we vingerafdrukken op het paspoort zouden zetten, want het is helemaal niet nodig om met vingerafdrukken te controleren wie de houder is. Dat is gewoon een overbodige handeling geweest. Maar op het moment dat je vingerafdrukken op dat paspoort zet, moet je kunnen controleren of die vingerafdrukken nog de correcte vingerafdrukken zijn, en of degene die beweert dat hij erbij hoort ook echt die persoon is. Dat heeft geleid tot een besluitvorming van de verschillende ministers die verantwoordelijk waren om vier vingers in een gemeentelijke databank onder te brengen, en als je dat dus niet hebt, dan is de burger eigenlijk rechteloos als hij rondloopt met een document met twee vingers, omdat het document ook bestemd is om aan anderen te geven. Als het iets is voor jezelf, is dat nog tot daar aan toe, maar een paspoort is er om aan een andere autoriteit af te staan. Als wij een paspoort uitdelen, dan controleren we niet eens met diezelfde biometrie of het echt wordt uitgedeeld aan de persoon die officieel de houder is. Óf geen vingerafdrukken, óf helemaal goed. Allebei dreigen we nu af te breken door een te hardnekkig drammen op één aspect van de privacy. Dat is waar ik me wel druk over maak.”

Hierop vroeg Vincent Böhre (Privacy First) aan Grijpink naar diens inschatting over het risico van function creep bij de opslag van vingerafdrukken in gemeentelijke databanken.

Daarop antwoordde Grijpink als volgt:

“Als je alleen de vingers op het paspoort zet, dan ben je gewoon alle controle kwijt voor de bescherming van de betrokkene. Ik heb mij er altijd hard voor gemaakt dat vier vingers – de twee op het paspoort en twee andere – bij de gemeente berusten om te kunnen controleren of het nog steeds de juiste persoon is en of er niets aan het document is veranderd. Daarmee kan je ook jezelf vrijpleiten als je van iets wordt beschuldigd met zo’n document. De vraag of dat dan kan leiden tot function creep: ja, alles kan leiden tot function creep. Maar ik denk dat als je het goed organiseert, en daar ben ik natuurlijk wel een groot voorstander van, ook vanwege het feit dat wij met keteninformatisering ook de grootschalige infrastructuren maken om dat goed te beheren, dan denk ik dat je daar de overheid in zekere zin ook een beetje in mag vertrouwen. Ik heb er 40 jaar in rondgelopen. Ik zie dat in de privacydiscussie heel vaak een soort spook van de overheid wordt gemaakt. Ik herken dat niet. Heel veel overheidsmensen doen getrouw hun werk.”

Eenieder concludere hieruit het zijne... ;)

Tijdens de paneldiscussie stond tevens de vraag centraal over het wel of niet vrijgeven van Nederlandse cijfers over telefoon- en internettaps. Namens Bits of Freedom pleitte Simone Halink terecht voor meer transparantie terzake. Vanuit de hoek van de KLPD (en een oud-AIVD’er in de zaal) werd echter al snel duidelijk dat men in dit verband totaal niet bereid was om openheid van zaken te verschaffen. De leidde vervolgens tot een verharding van de discussie waarbij de privacyvoorvechters en de (oud-)vertegenwoordigers van politie en justitie lijnrecht tegenover elkaar kwamen te staan. Grijpink merkte tijdens deze discussie het volgende op:

“Ik wil een aspect erbij brengen waardoor je ook voorzichtig moet zijn met die harde roep om gegevens en om metingen. Speciaal, heel duidelijk in mijn dossier, identiteitsfraude, dan maak je gebruik van de identiteit van een ander. Als dat slaagt, dan is het onzichtbaar. En als de betrokkene dood is, dan merkt hij ook niks. Dus dat is een mooi voorbeeld dat als je gaat meten, je het verkeerde antwoord krijgt. En verkeerde conclusies, en verkeerde beelden, is voor de opsporing misschien wel erger dan als iets bekend wordt. In het geval van identiteitsfraude is het heel duidelijk. Er werd mij gevraagd: “Hoe erg is het probleem?” Ik zei: “De vraag stellen betekent dat je het niet begrijpt. Je moet eerst een situatie hebben dat je zeker weet dat je degene die geslaagd fraudeert te pakken hebt.” Er is maar één situatie die ik ken: dat zijn de cellen van Justitie. Toen zei Donner: “Dan gaan we kijken.” En wat bleek: 15% had de verkeerde identiteit. De helft daarvan kenden we niet eens. En dat zit dan gewoon in de gevangenis. Met andere woorden: cijfers zijn maar tot op zekere hoogte echt bruikbaar, en in het maatschappelijk debat gaan ze vaak de mist in.”

Hierop benadrukte Böhre het belang van het besef dat privacy een mensenrecht is, waarbij de proportionaliteitsvraag zowel in individuele als in collectieve zin fundamenteel is. De discussie dient daarom altijd gevoerd te worden op basis van harde feiten en cijfers. Vage aannames over look-alike fraude zijn geen excuus om een hele bevolking met biometrische paspoorten op te zadelen. Vanuit het panel volgde hierop geen ontkennende reactie. Het belang van een verdere discussie op basis van feiten en cijfers leek ook vanuit de zaal erkend te worden. In die zin fungeerde het Nationaal Privacy Debat hopelijk als de afsluiting van een tijdperk van fact-free politics.

Bij een eerstvolgend Nationaal Privacy Debat zal Privacy First graag weer actief aanwezig zijn. In de tussentijd dient het debat met alle relevante partijen permanent te worden gevoerd.

Een volledige videoregistratie van het hele (6,5 uur durende) Nationaal Privacy Debat kunt u HIER bekijken.
Meer foto's van het evenement vindt u HIER en HIER.

Naschrift Privacy First: bovenstaand verslag is tevens integraal gepubliceerd in het vakblad Privacy & Compliance 3-4/2012, pp. 46-49.

Op woensdagavond 2 mei jl. vonden in het Amsterdamse Verzetsmuseum een viertal lezingen en discussie plaats over de vraag in hoeverre de bevolkingsregistratie in de jaren 30 en 40 te vergelijken is met de huidige situatie. Naast Annemiek Gringold (Hollandse Schouwburg), Peter Romijn (NIOD) en Bob de Graaff (Universiteit Utrecht) nam Vincent Böhre namens Privacy First deel aan het debat:

"Vincent Böhre, voorzitter van het Platform Bescherming Burgerrechten en werkzaam bij Privacy First, trok een aantal tekenende parallellen tussen het biometrisch paspoort, waar hij in 2009 een WRR-onderzoek naar deed, en het Persoonsbewijs van 1940. "Allereerst werden zowel het Persoonsbewijs als het hedendaagse biometrisch paspoort ingevoerd in 'oorlogstijd'; waar destijds de Tweede Wereldoorlog woedde, accepteren we tegenwoordig allerlei registraties mede onder druk van de War on Terror die al tien jaar bezig is. Er is bovendien bij beide sprake van propaganda; in de voorlichtingsfolder van de overheid staat dat het nieuwe paspoort er is om fraude tegen te gaan. Dat het biometrisch paspoort nog vier, vijf andere doelen dient, waaronder strafrechtelijk onderzoek, is nooit verteld in voorlichtingscampagnes."

Verder gold zowel het Persoonsbewijs als het biometrisch paspoort als een prestigeproject van de Nederlandse overheid, beide werden gepresenteerd als een state-of-the-art product waarmee Nederland een voortrekkersrol vervulde. Ten slotte wordt het identiteitsbewijs ingezet als controle-instrument; een bevolking biometrisch in kaart brengen is een krachtig middel om verzet te breken. Ook in Irak en Afghanistan worden identificatiebewijzen ingezet om opstandelingen te bestrijden.
Volgens Böhre is het verzet in Nederland er hedendaags wel degelijk, maar via andere wegen. "Er lopen op dit moment meerdere rechtszaken tegen de verplichte vingerafdruk in het paspoort. In plaats van een bombardement op het Centrale Bevolkingsregister, kunnen we vandaag de dag spreken van een juridisch bombardement.""

Lees HIER het hele verslag van de avond op de website van het Platform Bescherming Burgerrechten.