Toon items op tag: Privacy

Deze week behandelt de Tweede Kamer een "tijdelijke" Corona-noodwet waardoor de bewegingen van iedereen in Nederland voortaan "anoniem" in kaart gebracht kunnen worden. Eerder uitte Privacy First reeds kritiek op dit plan in een uitzending van Nieuwsuur. In vervolg hierop verzond Privacy First vandaag onderstaande brief aan de Tweede Kamer:

Geachte Kamerleden,

Met grote zorg heeft Stichting Privacy First kennisgenomen van het “tijdelijke” wetsvoorstel informatieverstrekking RIVM i.v.m. COVID-19. Privacy First adviseert u om dit wetsvoorstel te verwerpen wegens de volgende fundamentele bezwaren en risico’s:

Strijdig met fundamentele bestuurlijke en privacy principes

- De maatschappelijke noodzaak voor dit wetsvoorstel ontbreekt. Het Corona-virus ebt momenteel immers weg uit de Nederlandse samenleving. Andere vormen van monitoring zijn reeds voldoende effectief gebleken. De noodzaak voor dit wetsvoorstel is niet aangetoond, en net zomin bestaan er voorbeelden uit het buitenland waar toepassing van vergelijkbare technieken een wezenlijke bijdrage leverde.
- Het wetsvoorstel is volstrekt disproportioneel, want het omvat alle telecom-locatiedata in heel Nederland. Van enige differentiatie is geen sprake. Hetzelfde geldt voor dataminimalisatie: een steekproef zou kunnen volstaan.
- Het wetsvoorstel werkt met terugwerkende kracht vanaf 1 januari 2020. Dit is in strijd met de rechtszekerheid en het legaliteitsbeginsel, zeker omdat deze datum ver vóór de Nederlandse ‘start’ van de pandemie ligt (11 maart).
- De in het wetsvoorstel gekozen systematiek van nadere aanwijzingen door de Minister is ronduit ondemocratisch. Het holt de democratische rechtsstaat en toezicht door de volksvertegenwoordiging verder uit.
- In het wetsvoorstel wordt niet gerept over privacy-by-design of hoe dit toegepast zal worden, terwijl dat juist bij dit wetsvoorstel aan de orde zou moeten zijn.

Alternatieven zijn minder invasief: subsidiariteit

- Privacyvriendelijker alternatieven zijn door de staatssecretaris onvoldoende onderzocht. Heeft zij hierin wel interesse?
- Data bij telecomproviders worden gepseudonimiseerd met een uniek ID-nummer en als zodanig aangeleverd bij het CBS. Massale aantallen gevoelige persoonsgegevens worden hierdoor enorm kwetsbaar. Anonimisering door het CBS gebeurt pas in een later stadium.
- De data worden bij gebruik gefilterd op geografische herkomst. Dit creëert een risico van verboden discriminatie naar nationaliteit.
- Onduidelijk is of men de gebruikte data bij CBS of RIVM zal willen “verrijken” met andere data, met function creep (doelverschuiving) en mogelijk data-misbruik tot gevolg.

Transparantie en onafhankelijk toezicht ontbreken

- De Privacy Impact Assessment (PIA) bij het wetsvoorstel is vooralsnog niet openbaar.
- Onafhankelijk toezicht op de maatregelen en effecten (door een rechter of onafhankelijke commissie) ontbreekt.
- De AVG is wellicht slechts deels op het wetsvoorstel van toepassing, aangezien anonieme data en statistieken van de werking van de AVG uitgezonderd zijn. Dit veroorzaakt nieuwe risico’s op data-misbruik, slechte beveiliging, datalekken etc. Algemene privacy-beginselen zouden daarom in elk geval van toepassing verklaard moeten worden.

Structurele wijzigingen en chilling effect

- Dit wetsvoorstel lijkt nu formeel tijdelijk, maar de geschiedenis rond dergelijke wetgeving leert dat het hoogstwaarschijnlijk permanent zal worden.
- Ongeacht de “anonimiteit” van e.e.a. zullen veel mensen zich door dit wetsvoorstel gemonitord gaan wanen en zich onnatuurlijk gaan gedragen. Het risico van een maatschappelijk chilling effect is enorm.

Gebrekkige methode met grote impact

- De effectiviteit van het wetsvoorstel is onbekend. Het wetsvoorstel vormt in wezen dus een massaal experiment. De Nederlandse maatschappij is echter niet bedoeld als levend laboratorium.
- Anonieme data kunnen middels koppeling alsnog herleidbaar blijken. Ook bij de gekozen drempelwaarde van minimaal 15 eenheden per datapunt is het risico van unieke “singling out” en identificatie waarschijnlijk nog steeds te groot.
- Het wetsvoorstel leidt tot valse signalen en blinde vlekken door mensen met meerdere telefoons, kwetsbare groepen zonder telefoon etc.
- Er is een groot risico op function creep (doelverschuiving), heimelijk gebruik en misbruik van data door andere overheidsdiensten (waaronder AIVD), toekomstige overheden, internationale uitwisseling etc.
- Naast het recht op privacy komen ook andere mensenrechten door dit wetsvoorstel onder druk te staan, waaronder de vrijheid van beweging en het recht op demonstratie. Dit wetsvoorstel kan gemakkelijk leiden tot structurele crowd control die niet past in een democratische samenleving.

Specifieke toestemming vooraf

Naast bovenstaande bezwaren en risico’s betwijfelt Privacy First of het gebruik van telecomdata zoals door dit wetsvoorstel beoogd voor telecom-providers überhaupt rechtmatig is. In de optiek van Privacy First zou daartoe tenminste sprake moeten zijn van expliciete, specifieke toestemming vooraf (opt-in) door de klant in kwestie, danwel van de mogelijkheid van een opt-out achteraf en het individuele recht op verwijdering van alle data.

Het is aan u als Kamerleden om onze maatschappij voor dit wetsvoorstel te behoeden. Bij gebreke daarvan behoudt Privacy First zich het recht voor om juridische stappen inzake deze wet te nemen.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

Consumenten zullen beter geïnformeerd worden over rekeninginformatiediensten. Het Maatschappelijk Overleg Betalingsverkeer publiceerde daartoe recentelijk ‘good practices’ voor betere informatie. Privacy First is blij met de gepubliceerde ‘good practices’ en roept MOB-leden op om hier echt werk van te gaan maken. 

Het Maatschappelijk Overleg Betalingsverkeer (MOB) is in 2002 opgericht door de minister van Financiën met als opdracht bij te dragen aan de maatschappelijk efficiënte inrichting van het betalingsverkeer. DNB zit het MOB voor en verzorgt het secretariaat. Rekeninginformatiediensten zijn diensten waarmee een 'geconsolideerde weergave' van iemands betaalgegevens gemaakt kan worden. Dit kan sinds de inwerkingtreding van PSD2 (Payment Service Directive 2), die mogelijk maakt dat je je betaalgegevens deelt met andere partijen dan je eigen bank. Een voorbeeld hiervan is een digitaal huishoudboekje, maar ook andere vormen zijn mogelijk.

Betere informatie hard nodig

Als je je toestemming aan een aanbieder geeft, krijgt deze toegang tot alle transactiegegevens die je in je eigen bankomgeving ook ziet. Als je bij je eigen bank tot tien jaar terug kunt kijken, dan kan de rekeninginformatiedienst dat dus ook. Je deelt daarmee een compleet profiel aan data.

Het delen van data is niet zonder risico. De winst voor veel rekeninginformatiedienstverleners zit namelijk niet in het digitale huishoudboekje, maar in aanvullende diensten die geleverd kunnen worden. Denk aan analyses naar vaste lasten, risicoanalyses bij het aanvragen van een hypotheek of het beoordelen van kredietwaardigheid.

Omdat het gaat over veel vertrouwelijke gegevens moeten consumenten goed begrijpen waar ze toestemming voor geven. De informatie die consumenten nu krijgen is te veel en te onduidelijk. Wettelijk verplichte informatie is te lang, lastig te lezen en weggestopt in lange privacy-statements.

MOB publiceert good practices rekeninginformatiediensten

De roep om betere informatie klonk al een tijd. Vanaf eind 2017 was Privacy First betrokken bij een initiatief van de Volksbank om consumenten beter te informeren over rekeninginformatiediensten. Dit initiatief werd vervolgens overgenomen door de Betaalvereniging Nederland en vanaf mei 2019 door het MOB.

Het MOB stemde afgelopen mei in met good practices. Dit zijn zeven gestandaardiseerde vragen aan rekeninginformatiedienstverleners om te beantwoorden voordat een consument toestemming geeft. De vragen bevatten de belangrijkste (wettelijke) informatie én ze geven antwoord op de belangrijkste vragen van consumenten. Daarnaast heeft het MOB een uitwerking met toelichting opgesteld. De vragen zijn:

1. Wie vraagt toegang tot mijn rekeninginformatie? Hoe is de dienst gereguleerd?
2. Welke dienst biedt <naam van de aanbieder> aan waar mijn data voor nodig is?
3. Welke gegevens van mijn rekening gaat <naam van de aanbieder> gebruiken?
4. Waarvoor gebruikt <naam van de aanbieder> de gegevens nog meer?
5. Welke gegevens gaan naar derden en waarvoor?
6. Hoe kan ik mijn eerder gegeven toestemming terugdraaien?
7. Waar is verdere informatie te vinden?

Oppassen dat het niet vrijblijvend blijft

De good practices van het MOB zijn een hele goede stap. Nu komt het aan op het toepassen en benutten van deze good practices. Het gebruik van de good practices is helaas vrijblijvend. “Het MOB kan aanbieders van rekeninginformatiediensten niet verplichten om gehoor te geven aan de good practice. Wel hebben de MOB-leden afgesproken de best practice onder de aandacht te brengen bij hun achterban.” Gezien het krachtenveld van het MOB, waar zowel aanbieders als gebruikers in zitten, is dat te begrijpen. Maar het wordt oppassen dat de good practices niet té vrijblijvend worden. De belangen van aanbieders en consumenten gaan hand in hand.

Eind 2021 zal het MOB inventariseren of aanbieders de good practices hanteren en rapporteert hierover in de mei vergadering van 2022.

Privacy First wil niet wachten

Privacy First roept de leden van het MOB op de good practices in praktijk te brengen. Bescherming van burgers door hen als consumenten betere informatie en keuzes te geven is immers in ieders belang.

Privacy First is positief over het resultaat van het MOB. De zeven vragen en de gestandaardiseerde antwoorden kunnen een hele verbetering zijn ten opzichte van de huidige situatie. Tegelijk vinden we dat de lat hoger gelegd mag worden. Hoe zou het MOB de good practices beter onder de aandacht kunnen brengen?

• Het MOB kan haar leden en relevante derde partijen oproepen de good practices te gaan gebruiken, in plaats van alleen de mogelijkheid te bieden.
• De MOB-leden kunnen zich ieder voor zich uitspreken vóór gebruik van de good practices en gebruik ervan als voorwaarde stellen voor samenwerking.
• Het MOB kan duidelijk maken wie de relevante MOB-partijen zijn die een rol kunnen spelen bij het verspreiden van de good practices.
• Het MOB kan explicieter zijn over het moment waarop een consument wordt geïnformeerd via de good practices. Privacy hoort thuis "in de klantreis"; deze good practices mogen dus niet weggestopt worden.
• Het MOB kan in plaats van eenmaal te beoordelen of de good practices worden ingezet, dit vaker, bijvoorbeeld ieder kwartaal doen.
• Het MOB kan aanbieders in Europa alvast een brief sturen, zodat ze weten hoe Nederlandse consumenten denken mochten ze plannen maken om diensten in Nederland te gaan aanbieden.

Privacy First vindt dat het MOB bij de uitrol en toepassing aan zet is. Maar Privacy First onderzoekt ook of zij zelf een rol kan spelen om aanbieders gebruik te laten maken van de good practices.

Meer informatie:

• Link naar het bericht van het MOB (zie laatste alinea voor het stuk over de rekeninginformatiediensten)
• Link naar het document Good practice transparantie rekeninginformatiedienstverlening in Nederland (DOCX, 75,6 kB)
• Link naar de Toelichting good practice rekeninginformatiedienstverlening in Nederland (DOCX, 70,6 kB)
  

Dit bericht verscheen eerder op onze PSD2-campagnewebsite: https://psd2meniet.nl/betere-informatie-over-rekeninginformatiediensten/.

Terwijl de inkt van het SyRI-vonnis nog moet drogen, dient het kabinet alweer een wetsvoorstel voor een grotere, ingrijpender opvolger in. Volgens de coalitie tegen het Systeem Risico Indicatie (SyRI) is er niets geleerd uit de rechtszaak: “De uitspraak over SyRI was een streep in het zand. Daar gaat de regering nu met een bulldozer overheen.” In een brief aan het kabinet roept de maatschappelijke coalitie die in februari een rechtszaak won tegen SyRI de regering op om de invoering van een grotere datasurveillancewet (WGS) op te delen en uit te stellen.

Op het laatste moment uitgebreid

Het kabinet slaat met het wetsvoorstel Gegevensverwerking door Samenwerkingsverbanden (WGS) de hevige kritiek van NGO’s en de negatieve adviezen van de Raad van State en de Autoriteit Persoonsgegevens (AP) in de wind. Dat is op zich al ernstig. Daarbovenop werd het voorstel op het laatste moment, nadat de Raad van State en AP reeds hun adviezen over het wetsvoorstel hadden uitgebracht, uitgebreid met vier publiek-private SyRI’s: samenwerkingsverbanden die nog niet in de eerdere versie van het wetsvoorstel stonden. Dit terwijl de Raad van State juist stelde dat elk samenwerkingsverband een afzonderlijke wet vereist.

Daarmee doet het kabinet het tegenovergestelde van wat de Raad van State adviseert en wordt de wet zo complex dat een grondige parlementaire behandeling van alle onderdelen vrijwel onmogelijk wordt. Door de wet zo fors uit te breiden nadat de Raad van State en de AP er al over adviseerden, zijn deze organen bovendien buitenspel gezet in hun wettelijke adviesrol, zo stelt de SyRI-coalitie in haar brief.

Gevaar voor de rechtsstaat

Het voorstel was ook zonder de vier samenwerkingsverbanden reeds zeer controversieel. De WGS biedt vergeleken met SyRI immers nog ruimere mogelijkheden om grootschalige datasurveillance toe te passen op burgers, teneinde schaduwadministraties aan te leggen voor uiteenlopende doelen. In de SyRI-wetgeving was dit beperkt tot overheidsdatabases, onder de WGS kunnen alle data die bij publieke én private partijen liggen opgeslagen worden gekoppeld en geanalyseerd.
Tijmen Wisman, voorzitter van het Platform Burgerrechten: “Werkelijk alle her en der opgeslagen persoonsgegevens worden met dit wetsvoorstel fair game voor massasurveillance. Deze data kunnen voortaan zonder verdachtmaking of concrete aanleiding tegen burgers worden gebruikt in heimelijke analyses met ingrijpende gevolgen. In onze ogen vormt dit voorstel daarom een gevaar voor het functioneren van de rechtsstaat.”

Niets geleerd van SyRI en toeslagenaffaire

De coalitie schrijft dat het voorstel de risico’s van heimelijke data-analyses op burgers miskent. Hoe desastreus de gevolgen daarvan kunnen zijn, is op dit moment actueler dan ooit wegens de toeslagenaffaire. “Duizenden onschuldige burgers werden hierdoor geraakt. De gegevensanalyses op basis waarvan dit gebeurde waren ondoorzichtig, discrimineerden en zijn tot op de dag van vandaag geheim voor de getroffen burgers.”

De partijen in de SyRI-coalitie constateren dat het kabinet net als in 2014 bij de invoering van SyRI de kritiek van haar adviesorganen slechts cosmetisch overneemt. Zowel de Autoriteit Persoonsgegevens als de Raad van State gaven in niet mis te verstane woorden aan dat de WGS de rechtsbescherming van de burger ernstig ondermijnt. Deze fundamentele kritiek is niet geadresseerd in het aangepaste voorstel dat naar de Tweede Kamer is verstuurd.

Haastige behandeling

Vooralsnog lijkt vanuit de kabinetspartijen te worden ingezet op haast bij de invoering van het voorstel in de Kamer. Nog voordat het bij de Kamergriffier binnenkwam, verzocht het CDA al om een zo spoedig mogelijke behandeling op 15 mei 2020; dit verzoek haalde het op één stem na niet. De eerste behandeling van het wetsvoorstel staat nu vandaag gepland.

Deze gang van zaken is onacceptabel, licht Wisman toe: “Niet alleen blijkt het kabinet zich niets gelegen te laten liggen aan de oorzaken van het SyRI-debacle, de publiek-private opvolger moet ook nog eens in hoog tempo door het parlement worden geloodst. De uitspraak van de rechtbank over SyRI was een streep in het zand. Daar gaat men nu met een bulldozer overheen.”

Het kabinet zou volgens de coalitie op zijn minst de vier samenwerkingsverbanden die onderdeel zijn van de WGS, als aparte wetsvoorstellen moeten indienen, zo stellen de organisaties in hun brief: “Opdat de wetgevingsprocedure deze keer wél zorgvuldig kan worden doorlopen, zodat de burger deze keer wél beschermd wordt tegen nieuwe misstanden.”


Lees HIER de brief (pdf) die de maatschappelijke coalitie tegen SyRI deze week aan het kabinet stuurde.

Bovenstaand artikel verscheen eerder op https://bijvoorbaatverdacht.nl/syri-coalitie-maant-kabinet-stop-overhaaste-invoering-super-syri/.

Privacy First heeft op 28 januari 2020 in samenwerking met ECP (Platform voor de Informatiesamenleving) voor de derde keer de Nationale Privacy Conferentie georganiseerd, om aandacht te vragen voor het onderwerp privacy. In 1981 werd op deze dag, 28 januari, het Europese Dataprotectieverdrag ondertekend, daarom is deze dag door de Raad van Europa erkend als de Europese Dag van de Privacy.

Adjunct-directeur van ECP Marjolijn Bonthuis opende de dag door alle aanwezigen in Nieuwspoort welkom te heten. Dagvoorzitter Tom Jessen (presentator RTL-Z en BNR) gaf een korte toelichting over het programma van de dag. Daarna ging hij in vogelvlucht met Monique Verdier van de Autoriteit Persoonsgegevens (AP) door de tegenwoordige ontwikkelingen bij de AP. Verdier gaf aan dat er een toename is in het bewustzijn over privacy en de media-aandacht voor het onderwerp. Maar ze stipte ook twee problemen aan: de overmatige vergaring van data zonder duidelijke doelmatigheid en de toename van interesse van bedrijven in het geld verdienen met persoonlijke data. Ook spraken zij samen over de focus voor de komende jaren, waaronder datahandel, digitale overheid, smart cities, Artificial Intelligence en algoritmes. De AP hoopt de komende jaren te kunnen groeien om een grotere toezichthoudende taak te kunnen vervullen.

Daarna kwam Richard van Hooijdonk, futurist en trendwatcher, aan het woord. ‘Hij leeft voor tech’, zijn de woorden waarmee hij ingeleid werd door Jessen. Van Hooijdonk sprak bevlogen over de verhouding tussen Artificial Intelligence en privacy, en dan met name over alle mogelijkheden die de toekomst ons kan brengen, van zelfrijdende auto's, robots en slimme apparaten die ons kunnen ondersteunen tot het upgraden van ons lichaam door middel van neurotechnologie. Hij pleit voor verbetering van het onderwijs als basis voor de toekomst. In zijn optiek is de wereld de afgelopen decennia enorm veranderd, maar het onderwijs heeft niet eenzelfde modernisering doorgemaakt. Juist wanneer we meegaan met de tijd met passie en nieuwsgierigheid zal dit ons volgens hem het meeste opleveren in deze snel veranderende, moderne wereld, mits we een kritische blik behouden. Bas Filippini, oprichter en voorzitter van Privacy First, ging daarna met hem in discussie over de mogelijke botsingen van technologische ontwikkelingen met ethische waarden en de bijbehorende privacy implicaties. Filippini geeft aan dat veel technologische ontwikkelingen naast gemak ook vragen opleveren of de technologie daadwerkelijk vanuit de menselijke voorkeuren ontwikkeld wordt of vanuit algoritmes die ontwikkeld zijn zonder oog voor ethiek. Uiteindelijk kwam Filippini tot 10 geboden voor het ontwikkelen en inzetten van technologie in een menselijke samenleving, waaronder bijvoorbeeld ‘ethiek en de menselijke maat moet centraal staan’ en ‘de mens heeft het recht op vergetelheid’.

De volgende spreker was Tom Vreeburg, voormalig IT-auditor bij een big four company en onafhankelijk IT-risk- en assurance-professional. Hij zet zijn vraagtekens bij de aanname dat de overheid de grote waakhond is over onze privacy met een schijnbaar realistisch hanteerbare AVG, door de complexiteit van de materie. Vreeburg legt uit dat privacy onoverzichtelijker is geworden door middel van Big Data-koppelingen waar conclusies aan verbonden worden door middel van algoritmes. Daarnaast geeft hij aan dat het belangrijk is om gewichtige informatie online goed te beschermen, in plaats van een schijn illusie van privacy hoog te houden.

Na een pauze kwam Peter Fleischer aan het woord over de rol van privacy binnen Google en de ontwikkeling en uitwerking van de AVG. Hij legde uit wat 'privacy by design' inhoudt en hoe dit vorm gegeven wordt binnen Google. Ook legde hij uit welke maatregelen Google heeft moeten doorvoeren, zoals bijvoorbeeld alle contracten van werknemers veranderen. Ook licht hij toe met welke maatregelen ze nog actief bezig zijn zodat voldaan wordt aan de AVG.

Daarna heeft Sander Klous, hoogleraar Big Data Ecosystemen aan de Universiteit van Amsterdam en tevens data-analyticus bij KPMG, uitgelegd welke risico's kleven aan mogelijke bias van algoritmes wanneer er ongebalanceerde input voor gebruikt wordt. Een algoritme kan en gaat heel waarschijnlijk fouten maken. Tevens stipt hij aan hoe persoonlijk de filters zijn aan de hand waarvan een selecte informatiestroom naar je toe komt, de zogenaamde filter bubble. Volgens hem zorgt dit voor escalatie van spanningen in de wereld, het begrip voor de andere partij neemt af omdat er nog maar een selecte stroom van informatie op mensen af komt.

Door de dag heen kregen vijf kanshebbers voor de Nederlandse Privacy Awards het podium om een korte pitch te geven over hun project, nadat zij eerder geselecteerd waren door de jury. De kanshebbers waren Publicroam, Candle en Skotty in de categorie Consumentoplossingen en NUTS en Rabobank/Deloitte binnen de categorie Bedrijfsoplossingen.

Publicroam is een initiatief dat veilige gast-WiFi-netwerken wil opzetten. Hierbij is er sprake van betere waarborging van privacy van gebruikers en van hun persoonsgegevens, aangezien zo min mogelijk bewaard wordt en data niet worden doorverkocht. Dit in tegenstelling tot veel openbare WiFi-netwerken, waarbij ook de veiligheid van het netwerk vaak betwistbaar is door makkelijk te verkrijgen wachtwoorden. Eenzelfde systeem als Publicroam wordt al gebruikt bij de overheid en onderwijsinstellingen: Govroam en Eduroam. “Wij hopen de Privacy Award te winnen, want daarmee kunnen we een beweging op gang brengen waarin veilige en privacyproof WiFi vanzelfsprekend wordt.”

De tweede kanshebber was Candle, zij presenteerden een privacyvriendelijke smart home oplossing waarbij verbinding met een cloud niet noodzakelijk is en dus geen verbinding met internet. Verschillende huishoudelijke apparaten kunnen eenvoudig met elkaar verbonden worden door middel van praktische hardware-oplossingen, gecombineerd met een open-source netwerk. “Ons doel was de industrie uit te dagen om beter over privacy na te denken door te laten zien dat het gewoon kan. Door te laten zien dat je niet hoeft te kiezen tussen privacy en gebruiksgemak. Als je het goed ontwerpt kan je allebei hebben.”

Het volgende initiatief dat een pitch mocht houden was Skotty. Skotty is een platform dat het voor ondernemers mogelijk maakt om informatie veilig van A naar B te brengen met volledige end-to-end encryptie. Volgens Skotty is enkel privacy niet genoeg, zij willen binnen hun platform ook extra functionaliteiten aanbieden zoals bijvoorbeeld contracten meteen online kunnen tekenen, aangezien privacy vaak niet een doel op zich is voor veel mensen. Alleen zo kunnen we privacy volgens hen echt de standaard maken.

De vierde kanshebber was stichting NUTS. Zij willen een privacyvriendelijke oplossing bieden voor identiteitsmanagment en het delen van persoonsgegevens in de zorg, waarbij gebruikers zeggenschap hebben over welke zorggegevens wel of niet gedeeld mogen worden tussen zorgverleners onderling. Dit willen ze doen via diensten die via een decentraal netwerk geleverd worden en gebaseerd zijn op de uitgangspunten van Privacy by Design. De identiteit van de betrokkene kan onomstotelijk bewezen worden door de identiteitsmanagementoplossingen en de decentrale benadering sluit goed aan op ontwikkelingen in de zorgarchitectuur.

De laatste kanshebbers waren Rabobank en Deloitte, die in samenwerking met woningcorporaties een concept hebben uitgewerkt dat de inkomenstoets zou kunnen vervangen voor sociale huurwoningen. De mogelijke kandidaat dient vaak inkomensgegevens via pdf-bestanden te versturen, welke de woningcorporatie dan weer dient te toetsen; een complex proces waarbij de gegevens tevens niet te valideren zijn. Binnen het ontwerp van Rabobank/Deloitte zullen deze data verstuurbaar zijn door de consument waarbij hij/zij zelf zeggenschap houdt over de data, maar de toetsing zal worden uitgevoerd door een wiskundig algoritme. De toetsing zal dan dus niet meer bij de woningcorporaties liggen en er is sprake van dataminimalisatie waarbij de data tevens niet meer gemanipuleerd kunnen worden.

Vervolgens was er een paneldiscussie met alle sprekers over datahandel en het geven van toestemming voor het delen van data.

Aan het einde van de middag werden door Tweede Kamerlid Kees Verhoeven (D66) de Nederlandse Privacy Awards uitgereikt: de winnaars waren Publicroam, NUTS en Candle. Meer informatie en het juryrapport vindt u HIER.

Het was een enerverende, interessante dag waar geïnteresseerden en professionals samenkwamen en waar privacybevorderende organisaties in het zonnetje werden gezet. Op naar de volgende editie in 2021!

Vandaag is het 5 mei en “vieren wij de vrijheid”. Vrijheid waarvoor onze voorouders hebben gevochten, maar die tijdens de Corona-crisis wereldwijd zwaar onder druk staat.

Ook in Nederland zijn de afgelopen weken talloze mensenrechten en democratische verworvenheden drastisch ingeperkt, waaronder:
- de vrijheid van beweging
- het recht op demonstratie
- de vrijheid van vereniging en vergadering
- het recht op privacy en het recht op huisvrede
- het recht op onderwijs, sport en recreatie
- het recht op contante betaling
- de toegang tot reguliere gezondheidszorg
- het medisch beroepsgeheim.

Aan de noodzaak, proportionaliteit en juridische houdbaarheid van veel van deze inperkingen kan inmiddels sterk worden getwijfeld. Bij de handhaving ervan is de kans op willekeur bovendien groot.

In plaats van intrekking van de tijdelijke noodverordeningen dreigen een aantal van deze vrijheidsbeperkende maatregelen nu in wetgeving te worden verankerd. Een “tijdelijke” spoedwet ligt daartoe inmiddels klaar voor parlementaire behandeling. De geschiedenis leert dat dergelijke spoedwetgeving in crisistijd vaak een permanent karakter krijgt. Opperste waakzaamheid in en buiten ons parlement is nu dus geboden.

Niet zelden worden crises door overheden misbruikt om hun macht tegenover de bevolking sterk te vergroten en eerdere agenda’s door te drukken. Draconische wetgeving dreigt nu versneld door het parlement te worden gejaagd, waaronder de opvolger van het illegale Systeem Risico Indicatie (SyRI): de nieuwe Wet Gegevensverwerking Samenwerkingsverbanden (WGS), oftewel “Super SyRI”. Onlangs zijn de medische dossiers van miljoenen Nederlanders, zonder hun toestemming, breed toegankelijk geworden in de zorg (“Corona opt-in”). Er wordt gewerkt aan de ontwikkeling van “Corona apps” die tot schijnveiligheid en massa-surveillance zullen leiden. Wob-verzoeken rond Corona worden niet langer door de overheid beantwoord.

Juist in crisistijd dient een bevolking op de overheid te kunnen vertrouwen. En juist in crisistijd dienen onze Grondwet en de mensenrechten te worden beschermd. De wijze waarop de overheid nu rigide maatregelen neemt onder het mom van crisisbeleid is zorgwekkend. Als deze houding een voorbode is van "het nieuwe normaal" dat onze regering voor ogen heeft, zullen we na de strijd tegen Corona direct een nieuwe strijd voor onze vrijheid moeten voeren.

De bevrijding 75 jaar geleden betekende de terugkeer van de open samenleving en de democratische rechtsstaat. Het is deze 5 mei meer dan ooit belangrijk om niet alleen te kijken naar vrijheden bevochten in het verleden, maar ons bewust te zijn van de slag om onze vrijheid die op dit moment wordt geleverd. Opdat we deze vrijheid kunnen doorgeven, en niet opnieuw hoeven te bevechten.

Stichting Privacy First
Platform Burgerrechten

Tevens gepubliceerd op https://platformburgerrechten.nl/2020/05/05/geef-ons-onze-vrijheid-terug/.

Gisteren hield de Tweede Kamer een kritische hoorzitting ("rondetafelgesprek") over de inmiddels beruchte "Corona-app". De Tweede Kamer had voor deze gelegenheid diverse experts en organisaties (waaronder Privacy First) uitgenodigd om position papers in te dienen en aan de hoorzitting deel te nemen. Hieronder volgt de volledige tekst van onze position paper en spreektekst. Een video van de gehele hoorzitting staat HIER online. Klik HIER voor het programma, alle sprekers en position papers.

Geachte Kamerleden,

Dank voor uw uitnodiging om deel te nemen aan de rondetafelbijeenkomst inzake de zogeheten Corona-app. In de optiek van Stichting Privacy First vormt een dergelijke app een bedreiging voor ieders privacy. Hieronder zullen wij dit kort toelichten.

Gebrek aan noodzaak en effectiviteit

Met grote zorg heeft Privacy First kennisgenomen van het voornemen van de Nederlandse overheid om een contact-traceerapp te gaan inzetten ter bestrijding van het Corona-virus. De maatschappelijke noodzaak van een dergelijke app is tot op heden niet aangetoond. Ervaringen vanuit het buitenland laten bovendien zien dat aan het nut en de effectiviteit ervan ernstig kan worden getwijfeld. Mogelijk werken deze apps zelfs contra-productief, aangezien de inzet ervan tot schijnveiligheid leidt. Daarnaast wordt de meest kwetsbare doelgroep (ouderen) met dit middel nauwelijks bereikt. Alleen al om deze redenen zou van de inzet van “Corona apps” moeten worden afgezien.

Surveillance maatschappij

Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg.

Risico’s op misbruik

Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. Het risico van heimelijke toegang, hacking, datalekken en misbruik is met name groot bij centrale i.p.v. decentrale (persoonlijke) opslag en bij gebrek aan open source software. Tegelijkertijd biedt ook louter persoonlijke opslag geen enkele garantie tegen misbruik, afhankelijk van technische kwetsbaarheden of aanwezige malware en spyware. In handen van criminele organisaties vormen de verzamelde data bovendien een goudmijn voor criminele activiteiten.

Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen. Dus adviseert Privacy First uw Kamer om er bij het kabinet op aan te dringen niet tot de inzet van dergelijke apps over te gaan.

Testen i.p.v. appen

Vanuit de beginselen van proportionaliteit en subsidiariteit in de strijd tegen het Corona-virus bestaat volgens Privacy First een betere en effectievere oplossing, namelijk het grootschalig testen van de bevolking op het virus en op immuniteit. De benodigde testcapaciteit dient daartoe zo spoedig mogelijk beschikbaar te zijn.

Haastige spoed, zelden goed

Mocht ondanks bovenstaande bezwaren alsnog besloten worden tot de inzet van “Corona apps”, dan kan dit pas gebeuren na een zorgvuldig maatschappelijk en democratisch proces met voldoende kritische, objectieve en onafhankelijke toetsing. Tot op heden is hier geen sprake van geweest, getuige de ontwikkelingen de afgelopen dagen. Privacy First adviseert uw Kamer in dit verband om het kabinet een pas op de plaats te laten maken en een moratorium op de inzet van “Corona apps” in te stellen.

Privacy by design

Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem, tijdelijk en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.

Hoogachtend,

Stichting Privacy First
(...)

Geachte kamerleden,

U heeft onze position paper, hierbij onze mondelinge toelichting.

Allereerst: Privacy First is fel tegen iedere surveillance infrastructuur, met of zonder app.

Wij kijken hierbij naar drie juridische principes:

•  Legitieme doelbinding.
  - Wat is het probleem?
  - Hoe groot is het probleem?
  - Wat zijn mogelijke doelstellingen en hoe kunnen we deze meten en bereiken?
  
  De eerste vraag kunnen we al niet beantwoorden, we meten namelijk onvolledig en selectief. De totaal geïnfecteerde populatie is onbekend, de mensen die genezen zijn niet bekend en worden niet gerapporteerd. Wel worden we angst aangejaagd vanuit emotie en selectieve rapportages: sterfgevallen (met daarin multiple oorzaken) en IC-opnames.
  
  Laat ons punt duidelijk zijn, we zullen eerst het probleem in kaart moeten brengen voordat we het over conclusies en oplossingen hebben. Niet alleen de IT’ers en virologen, maar juist filosofen, rechtswetenschappers, sociologen, ondernemers en een brede vertegenwoordiging van onze samenleving moeten hierin betrokken zijn.
  
  
• Noodzaak en proportionaliteit. Feitelijk hebben we een capaciteitsprobleem in de zorg inzake IC-capaciteit, materialen, mensen en testcapaciteit. Dan lijkt het ons duidelijk waar we de aandacht op moeten richten, ook voor toekomstige uitbraken. Test de gehele bevolking op besmetting en immuniteit zodat we het echte probleem kunnen vaststellen. 97% van de bevolking heeft helemaal niets. Zorg voor scheiding en verzorging van de kwetsbare groepen. Stop met crisis-communicatie en start met crisis-management. En neem alle behandelmethoden serieus, ook die waar niets aan verdiend kan worden door Big Pharma of Big IT.
  
  
• Subsidiariteit. Als we het probleem kennen, wat zijn dan de oplossingen? Extra handjes tijdelijk bij de GGD? Bouwen van een IC-ziekenhuis speciaal voor deze situaties? Testcapaciteit verhogen om door cijfers onderbouwde beslissingen te kunnen nemen? Dit kan allemaal binnen ons huidige zorgsysteem, met de huisarts als aanspreekpunt.

Wij hebben deze regering vanuit vertrouwen 6 weken de tijd gegeven hun zaakjes op orde te krijgen en wat krijgen we terug? Wantrouwen en controlemiddelen. En nog steeds tekorten in middelen! Dus fix the fundamentals, regel behandel- en testcapaciteit en stop met het bouwen van technische speeltjes en draconische apps uit dictatoriale regimes in Azië. En haal Nederland zo snel mogelijk uit deze verlengde lockdown. Voor Privacy First geen 1,5-meter-samenleving als nieuwe normaal, maar een gezond-verstand-samenleving. Vanuit vertrouwen in een volwassen burger.

Privacy en ‘privacy by design’ blijkt voor het Ministerie van Volksgezondheid, Welzijn en Sport vooral op papier te bestaan. Privacy organisaties zijn niet welkom in het Informatieberaad Zorg, een gesprekstafel van het Ministerie die belangrijke knopen doorhakt over beveiliging en privacy bij digitale zorgcommunicatie. Hoe het echt werkt bleek zeer recent uit de ‘Corona opt-in’, waarin privacy en het medisch beroepsgeheim zonder pardon buitenspel werden gezet. Niemand uit de privacywereld werd om advies gevraagd.

In 2018 verzocht de Tweede Kamer in een motie om privacy- en burgerrechtenpartijen actief te betrekken in het Informatieberaad Zorg (IBZ). In het IBZ maken partijen uit de zorgsector met het Ministerie van Volksgezondheid belangrijke plannen en afspraken over de ontwikkeling van digitale zorgcommunicatie. Privacy First voert al jaren lobby en actie op dit thema, onder meer via onze campagne Specifieke Toestemming.

In reactie op de aanmelding van Privacy First voor deelname aan het IBZ liet minister Bruins echter weten dat het IBZ geen plaats ziet voor de privacyorganisatie aan haar gesprekstafel. “Het beraad is namelijk een bestuurlijke samenwerking van deelnemers uit het zorgveld. De kerngroep van het Informatieberaad Zorg bestaat uit deelnemers van de leden van dit beraad. Daardoor kan de Stichting ook niet deelnemen aan de Kerngroep als voorportaal voor het Informatieberaad”, aldus de Minister. Volgens het ministerie kan Privacy First haar inbreng op het gebied van privacy en beveiliging kwijt in de landelijke expertgroep Informatieveiligheid en privacy (IV&P), waar Privacy First reeds lid van is en “waar onze inbreng zeer welkom is.” Afgelopen week bleef het echter oorverdovend stil in deze hoek.

Toetsing en correctie door privacyexperts

Privacy First schrijft vandaag in een reactie aan het ministerie dat de rol van de expertgroep IV&P niet zwaar genoeg is om een verschil te maken in de besluitvorming van de kerngroep IBZ, die in de huidige hiërarchie het laatste woord heeft in de besluitvorming over privacy en veiligheid.

De adviserende rol van deze expertgroep zou daarom moeten worden vervangen door een toetsende en zo nodig corrigende rol. Zodra dit het geval is, wordt ons inziens voldoende recht gedaan aan de intentie van genoemde Kamermotie, en biedt deelname aan de Expertcommunity IV&P voldoende perspectief.

Burgerperspectief onderbelicht

Volgens Privacy First is het van groot belang dat naast de belangen van de zorgpartijen ook de belangen van burgers formele vertegenwoordiging krijgen in het Informatieberaad. Op dit moment hebben burgerrechtenorganisaties en onafhankelijke privacy- en beveiligingsexperts geen evidente plek in het IBZ, terwijl deze partijen wel nodig zijn om de maatschappelijke implicaties van voorstellen op waarde te schatten en zo nodig alternatieven aan te dragen. NGO’s zoals Privacy First kunnen de burger in brede zin vertegenwoordigen en perspectieven bieden die anders wellicht onderbelicht zouden blijven.

Privacy by design als uitgangspunt

Privacy First wil onder meer bijdragen aan het realiseren van privacy by design in de architectuur van zorg-ICT, een eis waaraan veel toepassingen in de zorgcommunicatie niet voldoen. Dit terwijl er het afgelopen decennium meerdere moties in het parlement zijn aangenomen die hierop aansturen, en dit tevens een vereiste is onder de Algemene Verordening Gegevensbescherming. Om een kritische toetsing op privacy-implicaties van voorstellen mogelijk te maken, dienen partijen van buiten de zorg een afdoende sterke rol te krijgen in de governance-structuur van het IBZ.

In het IBZ dienen volgens Privacy First procedures te komen waarmee onafhankelijk wordt getoetst of de architectuur van huidige en toekomstige zorgcommunicatie voldoet aan het vereiste van privacy by design. Kruisbestuiving tussen privacy- en burgerrechtenorganisaties en de zorgpartijen die nu de knopen doorhakken in het IBZ is daarbij cruciaal. De belangen van zorgkoepels en andere stakeholders zijn immers niet noodzakelijkerwijs dezelfde als die van burgers (soms niet-patiënten) in brede zin. Burgerrechtenorganisaties zoals Privacy First zijn bij uitstek geschikt om deze belangen te vertegenwoordigen.

Lees HIER de hele brief die Privacy First vandaag aan het ministerie van VWS verzond (pdf).

Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen. Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.

Waar gaat het om? Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners. Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is. Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt. De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven. In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier. Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen. Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen). Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk. Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers. De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Schijnzeggenschap

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten. De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit. Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd. Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost. Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd. Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.

Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP

Dit gezamenlijke standpunt is eerder tevens gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Met grote zorg heeft Privacy First gisteren kennisgenomen van het voornemen van de Nederlandse overheid om speciale apps te gaan inzetten ter bestrijding van de Corona-crisis. Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg. Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. In handen van criminele organisaties vormen deze data bovendien een goudmijn voor criminele activiteiten. Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen.

Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.

Momenteel wordt de wereld hard getroffen door het Corona-virus. Deze pandemie vormt niet alleen een aanslag op de gezondheid, maar kan ook leiden tot een crisis voor de mensenrechten, waaronder het recht op privacy.

Onder het recht op privacy vallen de bescherming van ieders persoonlijke levenssfeer, persoonsgegevens, vertrouwelijke communicatie, het huisrecht en het recht op lichamelijke integriteit. Privacy First is opgericht om deze rechten te beschermen en te bevorderen. Niet alleen in tijden van vrede en voorspoed, maar ook in tijden van crisis.

Juist in deze tijd komt het er op aan om onze maatschappelijke vrijheid en persoonlijke levenssfeer te blijven bewaken. Angst mag daarbij geen rol spelen. In diverse landen zien we echter draconische wetgeving, maatregelen en infrastructuren doorgevoerd worden. Daarbij staat veel op het spel, namelijk het behoud van ieders vrijheid, autonomie en menselijke waardigheid.

Privacy First monitort de ontwikkelingen en reageert proactief zodra overheden maatregelen dreigen te treffen die niet strikt noodzakelijk en proportioneel zijn. In dit verband acht Privacy First de volgende maatregelen in principe onrechtmatig:
- Massa surveillance
- Gedwongen controle achter de voordeur
- Afschaffing van anonieme of contante betaalmogelijkheden
- Heimelijke inzet van cameratoezicht en biometrie
- Elke vorm van inbreuk op het medisch beroepsgeheim.

Privacy First zal er op toezien dat gerechtvaardigde maatregelen slechts tijdelijk zullen gelden en opgeheven worden zodra de Corona-crisis voorbij is. Van nieuwe structurele, permanente noodwetgeving mag geen sprake zijn. Gedurende de maatregelen moeten effectieve rechtsmiddelen beschikbaar zijn en dienen privacy-toezichthouders kritisch te blijven.

Ter effectieve bestrijding van het Corona-virus kan bovendien vooral een beroep worden gedaan op de eigen verantwoordelijkheid van de burger. Veel is mogelijk op basis van vrijwilligheid en met individuele, volledig geïnformeerde en specifieke toestemming vooraf.

Zoals altijd is Privacy First bereid te assisteren bij de ontwikkeling van privacyvriendelijk beleid en privacy by design, zoveel mogelijk in samenwerking met relevante organisaties en experts. Juist in deze tijd kan Nederland (en de Europese Unie) immers een internationaal voorbeeld zijn voor de bestrijding van een pandemie mét behoud van privacyrechten en democratische waarden. Alleen op deze manier zal de Corona-crisis onze wereld niet duurzaam kunnen verzwakken, maar komen we er samen sterker uit.