Toon items op tag: Grondrechten
Privacy First bereidt rechtszaak tegen privacyschendend UBO-register voor
Op 23 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ aangenomen. Op basis van deze nieuwe wet komt in het Handelsregister van de KvK informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. De wet treedt op korte termijn in werking. Daarna hebben juridische entiteiten nog achttien maanden om hun UBO’s te registreren. De gevolgen van deze nieuwe wetgeving zullen ingrijpend zijn. Het is een wet die beoogt witwassen tegen te gaan, maar zwartmaken bewerkstelligt.
Europese richtlijn
Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.
Massale privacyschending
De vraag is of het middel het doel niet voorbijschiet. Het voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,9% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. In het privacyrecht is een belangrijk principe dat gegevens die voor het ene doel zijn verzameld niet voor een ander doel mogen worden gebruikt. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en de bestrijding van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.
Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest en privacyrisico’s ziet. Familiebedrijven waarvan de UBO’s tot nu toe buiten de openbaarheid bleven hebben veel privacy te verliezen. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.
Rechtszaak
Privacy First zal een rechtszaak starten tegen het UBO-register wegens schending van het Europees privacyrecht. De Nederlandse wet en ook de bovenliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. Het is aan de rechter om daar een grondige toetsing op te doen. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie.
Privacy First voert haar strategische procedures over privacy veelal met een coalitie van belanghebbenden. Privacy First inventariseert momenteel welke partijen hieraan een bijdrage kunnen leveren. Zou u (of uw organisatie) graag als mede-eiser aan deze rechtszaak willen deelnemen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Als u Privacy First hierin financieel wilt steunen kunt u tevens donateur worden.
Update 6 januari 2021: vandaag is de rechtszaak van Privacy First tegen het UBO-register van start gegaan. Lees HIER meer over de zaak, onze dagvaarding en de geplande rechtszitting bij de rechtbank Den Haag.
Toespraak voorzitter Privacy First bij demonstratie tegen Corona-noodwet
Op zondag 21 juni 2020 werd op het Malieveld in Den Haag een grootschalig protest tegen de Corona-noodwetgeving georganiseerd. Vele duizenden mensen waren van plan om hier vreedzaam voor hun vrijheid te komen demonstreren. Ondanks een onterecht verbod op deze demonstratie gaven diverse sprekers die voor deze gelegenheid waren uitgenodigd alsnog acte de présence, waaronder Privacy First voorzitter Bas Filippini. Bekijk hieronder zijn gehele toespraak. In de aanloop naar deze demonstratie verscheen Privacy First tevens in het NOS Journaal.
Privacy First zal zich met alle politieke en juridische middelen blijven verzetten tegen totalitaire noodwetgeving, waaronder de Corona-spoedwet. Steunt u ons hierin? Wordt dan donateur van Privacy First!
Update 10 augustus 2020: klik hier voor de Engelstalig nagesynchroniseerde versie van de toespraak.
Privacyschendend UBO-register schiet doel voorbij
Aankomende dinsdag 16 juni 2020 staat op de agenda van de Eerste Kamer het aannemen van de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’: https://www.eerstekamer.nl/wetsvoorstel/35179_implementatiewet_registratie . Die wet wijzigt onder andere de Handelsregisterwet 2007. In het Handelsregister van de KvK komt dan informatie over de uiteindelijk belanghebbende (‘ultimate beneficial owners’ / ‘UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Deze informatie wordt dan dus openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.
Europese richtlijn
Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel.
Massale privacyschending
Hierbij rijst de vraag of het middel het doel niet voorbijschiet. Het openbaar maken van de persoonsgegevens van UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. Het allergrootste deel van de UBO’s heeft immers niets te maken met witwassen of financiering van terrorisme. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor de overheidsdiensten die zich bezig houden met de bestrijding van witwassen en de bestrijding van de financiering van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken.
De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is: https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf . Maar dat oordeel heeft niet geleid tot aanpassing van de Richtlijn.
Juridische stappen
Privacy First overweegt om juridische stappen tegen het UBO-register te nemen wegens schending van het Europees privacyrecht. Zou u (of uw organisatie) graag als mede-eiser aan een dergelijke rechtszaak tegen het UBO-register willen deelnemen of Privacy First hierin financieel willen steunen? Neem dan contact met ons op of wordt donateur!
Privacy First waarschuwt Tweede Kamer voor telecom-noodwet
Deze week behandelt de Tweede Kamer een "tijdelijke" Corona-noodwet waardoor de bewegingen van iedereen in Nederland voortaan "anoniem" in kaart gebracht kunnen worden. Eerder uitte Privacy First reeds kritiek op dit plan in een uitzending van Nieuwsuur. In vervolg hierop verzond Privacy First vandaag onderstaande brief aan de Tweede Kamer:
Geachte Kamerleden,
Met grote zorg heeft Stichting Privacy First kennisgenomen van het “tijdelijke” wetsvoorstel informatieverstrekking RIVM i.v.m. COVID-19. Privacy First adviseert u om dit wetsvoorstel te verwerpen wegens de volgende fundamentele bezwaren en risico’s:
Strijdig met fundamentele bestuurlijke en privacy principes
- De maatschappelijke noodzaak voor dit wetsvoorstel ontbreekt. Het Corona-virus ebt momenteel immers weg uit de Nederlandse samenleving. Andere vormen van monitoring zijn reeds voldoende effectief gebleken. De noodzaak voor dit wetsvoorstel is niet aangetoond, en net zomin bestaan er voorbeelden uit het buitenland waar toepassing van vergelijkbare technieken een wezenlijke bijdrage leverde.
- Het wetsvoorstel is volstrekt disproportioneel, want het omvat alle telecom-locatiedata in heel Nederland. Van enige differentiatie is geen sprake. Hetzelfde geldt voor dataminimalisatie: een steekproef zou kunnen volstaan.
- Het wetsvoorstel werkt met terugwerkende kracht vanaf 1 januari 2020. Dit is in strijd met de rechtszekerheid en het legaliteitsbeginsel, zeker omdat deze datum ver vóór de Nederlandse ‘start’ van de pandemie ligt (11 maart).
- De in het wetsvoorstel gekozen systematiek van nadere aanwijzingen door de Minister is ronduit ondemocratisch. Het holt de democratische rechtsstaat en toezicht door de volksvertegenwoordiging verder uit.
- In het wetsvoorstel wordt niet gerept over privacy-by-design of hoe dit toegepast zal worden, terwijl dat juist bij dit wetsvoorstel aan de orde zou moeten zijn.
Alternatieven zijn minder invasief: subsidiariteit
- Privacyvriendelijker alternatieven zijn door de staatssecretaris onvoldoende onderzocht. Heeft zij hierin wel interesse?
- Data bij telecomproviders worden gepseudonimiseerd met een uniek ID-nummer en als zodanig aangeleverd bij het CBS. Massale aantallen gevoelige persoonsgegevens worden hierdoor enorm kwetsbaar. Anonimisering door het CBS gebeurt pas in een later stadium.
- De data worden bij gebruik gefilterd op geografische herkomst. Dit creëert een risico van verboden discriminatie naar nationaliteit.
- Onduidelijk is of men de gebruikte data bij CBS of RIVM zal willen “verrijken” met andere data, met function creep (doelverschuiving) en mogelijk data-misbruik tot gevolg.
Transparantie en onafhankelijk toezicht ontbreken
- De Privacy Impact Assessment (PIA) bij het wetsvoorstel is vooralsnog niet openbaar.
- Onafhankelijk toezicht op de maatregelen en effecten (door een rechter of onafhankelijke commissie) ontbreekt.
- De AVG is wellicht slechts deels op het wetsvoorstel van toepassing, aangezien anonieme data en statistieken van de werking van de AVG uitgezonderd zijn. Dit veroorzaakt nieuwe risico’s op data-misbruik, slechte beveiliging, datalekken etc. Algemene privacy-beginselen zouden daarom in elk geval van toepassing verklaard moeten worden.
Structurele wijzigingen en chilling effect
- Dit wetsvoorstel lijkt nu formeel tijdelijk, maar de geschiedenis rond dergelijke wetgeving leert dat het hoogstwaarschijnlijk permanent zal worden.
- Ongeacht de “anonimiteit” van e.e.a. zullen veel mensen zich door dit wetsvoorstel gemonitord gaan wanen en zich onnatuurlijk gaan gedragen. Het risico van een maatschappelijk chilling effect is enorm.
Gebrekkige methode met grote impact
- De effectiviteit van het wetsvoorstel is onbekend. Het wetsvoorstel vormt in wezen dus een massaal experiment. De Nederlandse maatschappij is echter niet bedoeld als levend laboratorium.
- Anonieme data kunnen middels koppeling alsnog herleidbaar blijken. Ook bij de gekozen drempelwaarde van minimaal 15 eenheden per datapunt is het risico van unieke “singling out” en identificatie waarschijnlijk nog steeds te groot.
- Het wetsvoorstel leidt tot valse signalen en blinde vlekken door mensen met meerdere telefoons, kwetsbare groepen zonder telefoon etc.
- Er is een groot risico op function creep (doelverschuiving), heimelijk gebruik en misbruik van data door andere overheidsdiensten (waaronder AIVD), toekomstige overheden, internationale uitwisseling etc.
- Naast het recht op privacy komen ook andere mensenrechten door dit wetsvoorstel onder druk te staan, waaronder de vrijheid van beweging en het recht op demonstratie. Dit wetsvoorstel kan gemakkelijk leiden tot structurele crowd control die niet past in een democratische samenleving.
Specifieke toestemming vooraf
Naast bovenstaande bezwaren en risico’s betwijfelt Privacy First of het gebruik van telecomdata zoals door dit wetsvoorstel beoogd voor telecom-providers überhaupt rechtmatig is. In de optiek van Privacy First zou daartoe tenminste sprake moeten zijn van expliciete, specifieke toestemming vooraf (opt-in) door de klant in kwestie, danwel van de mogelijkheid van een opt-out achteraf en het individuele recht op verwijdering van alle data.
Het is aan u als Kamerleden om onze maatschappij voor dit wetsvoorstel te behoeden. Bij gebreke daarvan behoudt Privacy First zich het recht voor om juridische stappen inzake deze wet te nemen.
Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..
Hoogachtend,
Stichting Privacy First
SyRI-coalitie maant kabinet: stop overhaaste invoering ‘Super SyRI’
Terwijl de inkt van het SyRI-vonnis nog moet drogen, dient het kabinet alweer een wetsvoorstel voor een grotere, ingrijpender opvolger in. Volgens de coalitie tegen het Systeem Risico Indicatie (SyRI) is er niets geleerd uit de rechtszaak: “De uitspraak over SyRI was een streep in het zand. Daar gaat de regering nu met een bulldozer overheen.” In een brief aan het kabinet roept de maatschappelijke coalitie die in februari een rechtszaak won tegen SyRI de regering op om de invoering van een grotere datasurveillancewet (WGS) op te delen en uit te stellen.
Op het laatste moment uitgebreid
Het kabinet slaat met het wetsvoorstel Gegevensverwerking door Samenwerkingsverbanden (WGS) de hevige kritiek van NGO’s en de negatieve adviezen van de Raad van State en de Autoriteit Persoonsgegevens (AP) in de wind. Dat is op zich al ernstig. Daarbovenop werd het voorstel op het laatste moment, nadat de Raad van State en AP reeds hun adviezen over het wetsvoorstel hadden uitgebracht, uitgebreid met vier publiek-private SyRI’s: samenwerkingsverbanden die nog niet in de eerdere versie van het wetsvoorstel stonden. Dit terwijl de Raad van State juist stelde dat elk samenwerkingsverband een afzonderlijke wet vereist.
Daarmee doet het kabinet het tegenovergestelde van wat de Raad van State adviseert en wordt de wet zo complex dat een grondige parlementaire behandeling van alle onderdelen vrijwel onmogelijk wordt. Door de wet zo fors uit te breiden nadat de Raad van State en de AP er al over adviseerden, zijn deze organen bovendien buitenspel gezet in hun wettelijke adviesrol, zo stelt de SyRI-coalitie in haar brief.
Gevaar voor de rechtsstaat
Het voorstel was ook zonder de vier samenwerkingsverbanden reeds zeer controversieel. De WGS biedt vergeleken met SyRI immers nog ruimere mogelijkheden om grootschalige datasurveillance toe te passen op burgers, teneinde schaduwadministraties aan te leggen voor uiteenlopende doelen. In de SyRI-wetgeving was dit beperkt tot overheidsdatabases, onder de WGS kunnen alle data die bij publieke én private partijen liggen opgeslagen worden gekoppeld en geanalyseerd.
Tijmen Wisman, voorzitter van het Platform Burgerrechten: “Werkelijk alle her en der opgeslagen persoonsgegevens worden met dit wetsvoorstel fair game voor massasurveillance. Deze data kunnen voortaan zonder verdachtmaking of concrete aanleiding tegen burgers worden gebruikt in heimelijke analyses met ingrijpende gevolgen. In onze ogen vormt dit voorstel daarom een gevaar voor het functioneren van de rechtsstaat.”
Niets geleerd van SyRI en toeslagenaffaire
De coalitie schrijft dat het voorstel de risico’s van heimelijke data-analyses op burgers miskent. Hoe desastreus de gevolgen daarvan kunnen zijn, is op dit moment actueler dan ooit wegens de toeslagenaffaire. “Duizenden onschuldige burgers werden hierdoor geraakt. De gegevensanalyses op basis waarvan dit gebeurde waren ondoorzichtig, discrimineerden en zijn tot op de dag van vandaag geheim voor de getroffen burgers.”
De partijen in de SyRI-coalitie constateren dat het kabinet net als in 2014 bij de invoering van SyRI de kritiek van haar adviesorganen slechts cosmetisch overneemt. Zowel de Autoriteit Persoonsgegevens als de Raad van State gaven in niet mis te verstane woorden aan dat de WGS de rechtsbescherming van de burger ernstig ondermijnt. Deze fundamentele kritiek is niet geadresseerd in het aangepaste voorstel dat naar de Tweede Kamer is verstuurd.
Haastige behandeling
Vooralsnog lijkt vanuit de kabinetspartijen te worden ingezet op haast bij de invoering van het voorstel in de Kamer. Nog voordat het bij de Kamergriffier binnenkwam, verzocht het CDA al om een zo spoedig mogelijke behandeling op 15 mei 2020; dit verzoek haalde het op één stem na niet. De eerste behandeling van het wetsvoorstel staat nu vandaag gepland.
Deze gang van zaken is onacceptabel, licht Wisman toe: “Niet alleen blijkt het kabinet zich niets gelegen te laten liggen aan de oorzaken van het SyRI-debacle, de publiek-private opvolger moet ook nog eens in hoog tempo door het parlement worden geloodst. De uitspraak van de rechtbank over SyRI was een streep in het zand. Daar gaat men nu met een bulldozer overheen.”
Het kabinet zou volgens de coalitie op zijn minst de vier samenwerkingsverbanden die onderdeel zijn van de WGS, als aparte wetsvoorstellen moeten indienen, zo stellen de organisaties in hun brief: “Opdat de wetgevingsprocedure deze keer wél zorgvuldig kan worden doorlopen, zodat de burger deze keer wél beschermd wordt tegen nieuwe misstanden.”
Lees HIER de brief (pdf) die de maatschappelijke coalitie tegen SyRI deze week aan het kabinet stuurde.
Bovenstaand artikel verscheen eerder op https://bijvoorbaatverdacht.nl/syri-coalitie-maant-kabinet-stop-overhaaste-invoering-super-syri/.
Geef ons onze vrijheid terug
Vandaag is het 5 mei en “vieren wij de vrijheid”. Vrijheid waarvoor onze voorouders hebben gevochten, maar die tijdens de Corona-crisis wereldwijd zwaar onder druk staat.
Ook in Nederland zijn de afgelopen weken talloze mensenrechten en democratische verworvenheden drastisch ingeperkt, waaronder:
- de vrijheid van beweging
- het recht op demonstratie
- de vrijheid van vereniging en vergadering
- het recht op privacy en het recht op huisvrede
- het recht op onderwijs, sport en recreatie
- het recht op contante betaling
- de toegang tot reguliere gezondheidszorg
- het medisch beroepsgeheim.
Aan de noodzaak, proportionaliteit en juridische houdbaarheid van veel van deze inperkingen kan inmiddels sterk worden getwijfeld. Bij de handhaving ervan is de kans op willekeur bovendien groot.
In plaats van intrekking van de tijdelijke noodverordeningen dreigen een aantal van deze vrijheidsbeperkende maatregelen nu in wetgeving te worden verankerd. Een “tijdelijke” spoedwet ligt daartoe inmiddels klaar voor parlementaire behandeling. De geschiedenis leert dat dergelijke spoedwetgeving in crisistijd vaak een permanent karakter krijgt. Opperste waakzaamheid in en buiten ons parlement is nu dus geboden.
Niet zelden worden crises door overheden misbruikt om hun macht tegenover de bevolking sterk te vergroten en eerdere agenda’s door te drukken. Draconische wetgeving dreigt nu versneld door het parlement te worden gejaagd, waaronder de opvolger van het illegale Systeem Risico Indicatie (SyRI): de nieuwe Wet Gegevensverwerking Samenwerkingsverbanden (WGS), oftewel “Super SyRI”. Onlangs zijn de medische dossiers van miljoenen Nederlanders, zonder hun toestemming, breed toegankelijk geworden in de zorg (“Corona opt-in”). Er wordt gewerkt aan de ontwikkeling van “Corona apps” die tot schijnveiligheid en massa-surveillance zullen leiden. Wob-verzoeken rond Corona worden niet langer door de overheid beantwoord.
Juist in crisistijd dient een bevolking op de overheid te kunnen vertrouwen. En juist in crisistijd dienen onze Grondwet en de mensenrechten te worden beschermd. De wijze waarop de overheid nu rigide maatregelen neemt onder het mom van crisisbeleid is zorgwekkend. Als deze houding een voorbode is van "het nieuwe normaal" dat onze regering voor ogen heeft, zullen we na de strijd tegen Corona direct een nieuwe strijd voor onze vrijheid moeten voeren.
De bevrijding 75 jaar geleden betekende de terugkeer van de open samenleving en de democratische rechtsstaat. Het is deze 5 mei meer dan ooit belangrijk om niet alleen te kijken naar vrijheden bevochten in het verleden, maar ons bewust te zijn van de slag om onze vrijheid die op dit moment wordt geleverd. Opdat we deze vrijheid kunnen doorgeven, en niet opnieuw hoeven te bevechten.
Stichting Privacy First
Platform Burgerrechten
Tevens gepubliceerd op https://platformburgerrechten.nl/2020/05/05/geef-ons-onze-vrijheid-terug/.
Kritische hoorzitting Tweede Kamer over Corona-app
Gisteren hield de Tweede Kamer een kritische hoorzitting ("rondetafelgesprek") over de inmiddels beruchte "Corona-app". De Tweede Kamer had voor deze gelegenheid diverse experts en organisaties (waaronder Privacy First) uitgenodigd om position papers in te dienen en aan de hoorzitting deel te nemen. Hieronder volgt de volledige tekst van onze position paper en spreektekst. Een video van de gehele hoorzitting staat HIER online. Klik HIER voor het programma, alle sprekers en position papers.
Geachte Kamerleden,
Dank voor uw uitnodiging om deel te nemen aan de rondetafelbijeenkomst inzake de zogeheten Corona-app. In de optiek van Stichting Privacy First vormt een dergelijke app een bedreiging voor ieders privacy. Hieronder zullen wij dit kort toelichten.
Gebrek aan noodzaak en effectiviteit
Met grote zorg heeft Privacy First kennisgenomen van het voornemen van de Nederlandse overheid om een contact-traceerapp te gaan inzetten ter bestrijding van het Corona-virus. De maatschappelijke noodzaak van een dergelijke app is tot op heden niet aangetoond. Ervaringen vanuit het buitenland laten bovendien zien dat aan het nut en de effectiviteit ervan ernstig kan worden getwijfeld. Mogelijk werken deze apps zelfs contra-productief, aangezien de inzet ervan tot schijnveiligheid leidt. Daarnaast wordt de meest kwetsbare doelgroep (ouderen) met dit middel nauwelijks bereikt. Alleen al om deze redenen zou van de inzet van “Corona apps” moeten worden afgezien.
Surveillance maatschappij
Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg.
Risico’s op misbruik
Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. Het risico van heimelijke toegang, hacking, datalekken en misbruik is met name groot bij centrale i.p.v. decentrale (persoonlijke) opslag en bij gebrek aan open source software. Tegelijkertijd biedt ook louter persoonlijke opslag geen enkele garantie tegen misbruik, afhankelijk van technische kwetsbaarheden of aanwezige malware en spyware. In handen van criminele organisaties vormen de verzamelde data bovendien een goudmijn voor criminele activiteiten.
Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen. Dus adviseert Privacy First uw Kamer om er bij het kabinet op aan te dringen niet tot de inzet van dergelijke apps over te gaan.
Testen i.p.v. appen
Vanuit de beginselen van proportionaliteit en subsidiariteit in de strijd tegen het Corona-virus bestaat volgens Privacy First een betere en effectievere oplossing, namelijk het grootschalig testen van de bevolking op het virus en op immuniteit. De benodigde testcapaciteit dient daartoe zo spoedig mogelijk beschikbaar te zijn.
Haastige spoed, zelden goed
Mocht ondanks bovenstaande bezwaren alsnog besloten worden tot de inzet van “Corona apps”, dan kan dit pas gebeuren na een zorgvuldig maatschappelijk en democratisch proces met voldoende kritische, objectieve en onafhankelijke toetsing. Tot op heden is hier geen sprake van geweest, getuige de ontwikkelingen de afgelopen dagen. Privacy First adviseert uw Kamer in dit verband om het kabinet een pas op de plaats te laten maken en een moratorium op de inzet van “Corona apps” in te stellen.
Privacy by design
Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem, tijdelijk en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.
Hoogachtend,
Stichting Privacy First
(...)
Geachte kamerleden,
U heeft onze position paper, hierbij onze mondelinge toelichting.
Allereerst: Privacy First is fel tegen iedere surveillance infrastructuur, met of zonder app.
Wij kijken hierbij naar drie juridische principes:
- Legitieme doelbinding.
- Wat is het probleem?
- Hoe groot is het probleem?
- Wat zijn mogelijke doelstellingen en hoe kunnen we deze meten en bereiken?
De eerste vraag kunnen we al niet beantwoorden, we meten namelijk onvolledig en selectief. De totaal geïnfecteerde populatie is onbekend, de mensen die genezen zijn niet bekend en worden niet gerapporteerd. Wel worden we angst aangejaagd vanuit emotie en selectieve rapportages: sterfgevallen (met daarin multiple oorzaken) en IC-opnames.
Laat ons punt duidelijk zijn, we zullen eerst het probleem in kaart moeten brengen voordat we het over conclusies en oplossingen hebben. Niet alleen de IT’ers en virologen, maar juist filosofen, rechtswetenschappers, sociologen, ondernemers en een brede vertegenwoordiging van onze samenleving moeten hierin betrokken zijn. - Noodzaak en proportionaliteit. Feitelijk hebben we een capaciteitsprobleem in de zorg inzake IC-capaciteit, materialen, mensen en testcapaciteit. Dan lijkt het ons duidelijk waar we de aandacht op moeten richten, ook voor toekomstige uitbraken. Test de gehele bevolking op besmetting en immuniteit zodat we het echte probleem kunnen vaststellen. 97% van de bevolking heeft helemaal niets. Zorg voor scheiding en verzorging van de kwetsbare groepen. Stop met crisis-communicatie en start met crisis-management. En neem alle behandelmethoden serieus, ook die waar niets aan verdiend kan worden door Big Pharma of Big IT.
- Subsidiariteit. Als we het probleem kennen, wat zijn dan de oplossingen? Extra handjes tijdelijk bij de GGD? Bouwen van een IC-ziekenhuis speciaal voor deze situaties? Testcapaciteit verhogen om door cijfers onderbouwde beslissingen te kunnen nemen? Dit kan allemaal binnen ons huidige zorgsysteem, met de huisarts als aanspreekpunt.
Wij hebben deze regering vanuit vertrouwen 6 weken de tijd gegeven hun zaakjes op orde te krijgen en wat krijgen we terug? Wantrouwen en controlemiddelen. En nog steeds tekorten in middelen! Dus fix the fundamentals, regel behandel- en testcapaciteit en stop met het bouwen van technische speeltjes en draconische apps uit dictatoriale regimes in Azië. En haal Nederland zo snel mogelijk uit deze verlengde lockdown. Voor Privacy First geen 1,5-meter-samenleving als nieuwe normaal, maar een gezond-verstand-samenleving. Vanuit vertrouwen in een volwassen burger.
Privacy vooralsnog een papieren tijger voor VWS
Privacy en ‘privacy by design’ blijkt voor het Ministerie van Volksgezondheid, Welzijn en Sport vooral op papier te bestaan. Privacy organisaties zijn niet welkom in het Informatieberaad Zorg, een gesprekstafel van het Ministerie die belangrijke knopen doorhakt over beveiliging en privacy bij digitale zorgcommunicatie. Hoe het echt werkt bleek zeer recent uit de ‘Corona opt-in’, waarin privacy en het medisch beroepsgeheim zonder pardon buitenspel werden gezet. Niemand uit de privacywereld werd om advies gevraagd.
In 2018 verzocht de Tweede Kamer in een motie om privacy- en burgerrechtenpartijen actief te betrekken in het Informatieberaad Zorg (IBZ). In het IBZ maken partijen uit de zorgsector met het Ministerie van Volksgezondheid belangrijke plannen en afspraken over de ontwikkeling van digitale zorgcommunicatie. Privacy First voert al jaren lobby en actie op dit thema, onder meer via onze campagne Specifieke Toestemming.
In reactie op de aanmelding van Privacy First voor deelname aan het IBZ liet minister Bruins echter weten dat het IBZ geen plaats ziet voor de privacyorganisatie aan haar gesprekstafel. “Het beraad is namelijk een bestuurlijke samenwerking van deelnemers uit het zorgveld. De kerngroep van het Informatieberaad Zorg bestaat uit deelnemers van de leden van dit beraad. Daardoor kan de Stichting ook niet deelnemen aan de Kerngroep als voorportaal voor het Informatieberaad”, aldus de Minister. Volgens het ministerie kan Privacy First haar inbreng op het gebied van privacy en beveiliging kwijt in de landelijke expertgroep Informatieveiligheid en privacy (IV&P), waar Privacy First reeds lid van is en “waar onze inbreng zeer welkom is.” Afgelopen week bleef het echter oorverdovend stil in deze hoek.
Toetsing en correctie door privacyexperts
Privacy First schrijft vandaag in een reactie aan het ministerie dat de rol van de expertgroep IV&P niet zwaar genoeg is om een verschil te maken in de besluitvorming van de kerngroep IBZ, die in de huidige hiërarchie het laatste woord heeft in de besluitvorming over privacy en veiligheid.
De adviserende rol van deze expertgroep zou daarom moeten worden vervangen door een toetsende en zo nodig corrigende rol. Zodra dit het geval is, wordt ons inziens voldoende recht gedaan aan de intentie van genoemde Kamermotie, en biedt deelname aan de Expertcommunity IV&P voldoende perspectief.
Burgerperspectief onderbelicht
Volgens Privacy First is het van groot belang dat naast de belangen van de zorgpartijen ook de belangen van burgers formele vertegenwoordiging krijgen in het Informatieberaad. Op dit moment hebben burgerrechtenorganisaties en onafhankelijke privacy- en beveiligingsexperts geen evidente plek in het IBZ, terwijl deze partijen wel nodig zijn om de maatschappelijke implicaties van voorstellen op waarde te schatten en zo nodig alternatieven aan te dragen. NGO’s zoals Privacy First kunnen de burger in brede zin vertegenwoordigen en perspectieven bieden die anders wellicht onderbelicht zouden blijven.
Privacy by design als uitgangspunt
Privacy First wil onder meer bijdragen aan het realiseren van privacy by design in de architectuur van zorg-ICT, een eis waaraan veel toepassingen in de zorgcommunicatie niet voldoen. Dit terwijl er het afgelopen decennium meerdere moties in het parlement zijn aangenomen die hierop aansturen, en dit tevens een vereiste is onder de Algemene Verordening Gegevensbescherming. Om een kritische toetsing op privacy-implicaties van voorstellen mogelijk te maken, dienen partijen van buiten de zorg een afdoende sterke rol te krijgen in de governance-structuur van het IBZ.
In het IBZ dienen volgens Privacy First procedures te komen waarmee onafhankelijk wordt getoetst of de architectuur van huidige en toekomstige zorgcommunicatie voldoet aan het vereiste van privacy by design. Kruisbestuiving tussen privacy- en burgerrechtenorganisaties en de zorgpartijen die nu de knopen doorhakken in het IBZ is daarbij cruciaal. De belangen van zorgkoepels en andere stakeholders zijn immers niet noodzakelijkerwijs dezelfde als die van burgers (soms niet-patiënten) in brede zin. Burgerrechtenorganisaties zoals Privacy First zijn bij uitstek geschikt om deze belangen te vertegenwoordigen.
Lees HIER de hele brief die Privacy First vandaag aan het ministerie van VWS verzond (pdf).
'Corona opt-in’ zet medisch beroepsgeheim buitenspel
Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen. Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.
Waar gaat het om? Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners. Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is. Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.
Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt. De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.
De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven. In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”
Medisch beroepsgeheim massaal omzeild
Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).
Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier. Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen. Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen). Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.
Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk. Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers. De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”
Schijnzeggenschap
De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten. De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit. Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.
Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd. Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost. Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.
Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd. Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.
Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP
Dit gezamenlijke standpunt is eerder tevens gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.
Corona apps vormen bedreiging voor ieders privacy
Met grote zorg heeft Privacy First gisteren kennisgenomen van het voornemen van de Nederlandse overheid om speciale apps te gaan inzetten ter bestrijding van de Corona-crisis. Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg. Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. In handen van criminele organisaties vormen deze data bovendien een goudmijn voor criminele activiteiten. Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen.
Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.