Wie in Eindhoven een avondje gaat stappen wordt continu in de gaten gehouden door "slim" cameratoezicht met microfoons en monitoring van social media. De gemeente, de politie en ICT-bedrijf Atos denken Eindhoven op deze manier veiliger te kunnen maken. Privacy First zet hier grote vraagtekens bij en overweegt juridische stappen. Hieronder een eerste reactie van Privacy First voorzitter Bas Filippini bij RTL Nieuws en een radio-interview met Filippini bij Omroep Brabant:

© RTL Nieuws

Interview Omroep Brabant, 12 november 2015:

Geslaagd publieksdebat “Challenging business for privacy” resulteert in oproep tot privacyvriendelijke innovatie 

Van 23-26 oktober jl. vond de 3-jaarlijkse Amsterdam Privacy Conference plaats: een internationaal megacongres rondom alle aspecten van privacy. In het kader van ons nieuwe initiatief Privacy First Solutions organiseerde Stichting Privacy First tijdens dit congres op 26 oktober jl. een unieke discussieavond over privacy-oplossingen voor het bedrijfsleven: “Challenging business for privacy”. Onze panelleden waren Marc van Lieshout (TNO & PI.lab), Marcel van Galen (Qiy), Sacha van Geffen (Greenhost) en Jelte Timmer (Rathenau Instituut). Moderator was Privacy First Solutions-projectleider Martijn van der Veen. Locatie was de Rechtenfaculteit van de Universiteit van Amsterdam.

Tijdens de avond gingen deze experts met elkaar en met het publiek in debat over privacyvriendelijk innoveren en de vraag welke best practices hierbij als voorbeeld kunnen dienen. We bespraken met elkaar de kansen voor bedrijven om privacy als unique selling point in te zetten en privacy by design toe te passen.

De avond resulteerde in onze call to action aan alle disciplines:

Wetenschappers, overheidsinstellingen én het bedrijfsleven zullen er gezamenlijk voor moeten zorgen dat privacyvriendelijk innoveren de norm wordt en dat Nederland zich kan gaan ontwikkelen tot Privacy Gidsland.

In het bijzonder dienen bedrijven hierbij dataminimalisatie te waarborgen en de klant de regie te geven over zijn of haar eigen data. Bedrijven moeten geen afwachtende houding aannemen, maar zélf concrete oplossingen vormen voor actuele privacy-vraagstukken door privacy by default en privacy by design actief toe te passen. Het bedrijfsleven kan daarbij verder gaan dan louter “compliant ” zijn aan de bestaande privacywetgeving en een stuwende kracht voor privacybevordering worden. Privacy vormt een prachtige kans voor bedrijven om maatschappelijk verantwoord te ondernemen en te innoveren. Die kans mag Nederland niet laten liggen!

Een nader verslag van de avond volgt binnenkort. Volg onze website voor nieuwe aankondigingen van komende evenementen van Privacy First Solutions!

Vlnr: Marc van Lieshout, Marcel van Galen, Jelte Timmer en Sacha van Geffen.  Foto: Maarten Tromp.

Vandaag zijn de IIR Nationale Privacy Innovatie Awards 2015 uitgereikt aan bedrijven en instellingen die zich inzetten voor privacy binnen hun organisatie en/of privacyvriendelijke oplossingen bieden. Uit een groot aantal inzendingen is een 5-tal bedrijven genomineerd waaruit een tweetal winnaars is gekozen. Privacy Perfect in de categorie Bedrijfsoplossingen, het bedrijf Ixquick in de categorie Consumentenoplossingen en Whitebox Systems dat als start-up de aanmoedigingsprijs heeft gekregen.

IIR Nationale Privacy Innovatie Awards

De IIR Nationale Privacy Innovatie Awards zijn bedoeld voor overheden, bedrijven en organisaties die zich op positieve wijze onderscheiden in het toepassen van privacyvriendelijke diensten of toepassingen binnen hun organisatie. Er zijn 4 categorieën waarin inschrijvingen genomineerd konden worden:

• Bedrijfsoplossingen

• Consumentenoplossingen

• Overheidsdiensten

• Start-ups.

De eerste selectie bestond uit een screening voor nominaties op de wijze waarop met de volgende zaken wordt omgegaan:

• Het hebben van een privacyverantwoordelijke in de organisatie

• Toepassen van een privacy policy

• Toepassen van risico-analyses

• Privacy awareness in de organisatie

• Een inzichtelijk privacybeleid en communicatie hiervan

Vervolgens werden de deelnemers die genomineerd zijn gescreend op zaken als innovatiekracht, technologisch vernieuwend, het business model, schaalbaarheid van de oplossing, type van implementatie en bijdrage aan Nederland Privacy Gidsland.

Jury van de IIR Nationale Privacy Innovatie Awards

De jury bestond uit de volgende personen:

• Paul Korremans (lid), vice-voorzitter Nederlands Genootschap van Functionarissen voor Gegevensbescherming

• Dr John Borking (lid), EuropriSe GmbH, voormalig vice-voorzitter College Bescherming Persoonsgegevens

• Drs Bas Filippini (juryvoorzitter), voorzitter stichting Privacy First.

Nominaties

Uit de inzendingen zijn de volgende bedrijven genomineerd:

• Privacy Perfect, een bedrijf dat gespecialiseerd is in data mapping & governance voor het uitvoeren van privacy impact analyses binnen bedrijven met betrekking tot de nieuwe Europese wet- en regelgeving;

• Pseudonimiseer, een bedrijf dat als third party optreedt naar vragers en aanbieders van data en daarbij de data versleutelt van de identiteit die eraan gekoppeld is;

• Ixquick, een privacyvriendelijke zoekmachine die als third party optreedt voor zoekopdrachten naar Google en andere zoekmachines waardoor de identiteit achter de zoekopdracht niet bekend wordt bij deze zoekmachines;

• Qiy, een platform voor pseudo-ID’s voor het anoniem surfen en kopen op internet;

• Whitebox Systems, een versleutelde wijze van selectieve data-uitwisseling van patiëntgegevens in het kader van het artsengeheim.

Winnaars IIR Nationale Privacy Innovatie Awards 2015

De Awards zijn uitgereikt op het jaarlijkse Nationaal Congres Dataprotectie & Privacy van de bekende trainings- en seminar organisatie IIR in het Westcord Fashion Hotel Amsterdam, waar meer dan 80 deelnemers aanwezig waren.

“De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden. Waar milieuvervuiling een negatief bijproduct van de industriële revolutie is, is privacy schending dat van de informatierevolutie”, aldus Bas Filippini, voorzitter van de jury.

“Privacy Perfect speelt uitstekend op deze trend in door het gemakkelijker maken van privacy impact scans en het verbeteren van privacymaatregelen in organisaties. Met een klantvriendelijk software dashboard kan snel en effectief inzicht worden verkregen hoe het staat met de datahuishouding van een organisatie en is dit dagelijks up-to-date. Een prima oplossing die ook internationaal kan aanslaan.

Ixquick is een bedrijf dat winstgevend is met een privacyvriendelijke anonieme zoekmachine waarmee miljoenen zoekopdrachten vooral in de VS en Duitsland al worden uitgevoerd. Het bedrijf gaat nu ook starten met een betaalde anonieme emaildienst zonder opslag en analyse van berichten en fungeert daarmee als het Internet Postkantoor van morgen.

Tot slot hebben wij als jury aan Whitebox Systems de start-up aanmoedigingsprijs toegekend, aangezien deze oplossing het medisch geheim centraal stelt en tevens al door een aantal huisartsen daadwerkelijk in de praktijk wordt toegepast. “Het zou goed zijn voor de gehele gezondheidszorg als er eens goed naar dit bedrijf wordt gekeken in plaats van het huidige centraal en ICT-georiënteerde zorgverzekeraarsplatform LSP”, aldus Filippini.

1-daags Actualiteitencongres + 1-daagse Workshop

Nationaal Congres Dataprotectie & Privacy

16 & 24 september 2015 | Amsterdam

Het Nationaal Congres Dataprotectie & Privacy bundelt de nieuwste visies en voorlopers uit diverse branches op het gebied van Privacy. Zo kunt u versneld met de implementatie van de verplichtingen aan de slag. Dé plek bij uitstek om uw aanpak te toetsen aan vakgenoten en experts. Zo maakt u uw organisatie privacy proof!

IIR Nationale Privacy Innovatie Award 2015

Heeft u het meest originele, innovatieve en kansrijke Privacy Project van Nederland?

Grijp dan deze unieke kans en schrijf u in voor de IIR Nationale Privacy Innovatie Award 2015. Zie Privacy Innovatie als kans en raak geïnspireerd door de projecten van andere bedrijven en/of personen.

De juryleden

Een deskundige jury beoordeelt alle inzendingen. De juryleden die dit jaar samen met de congresdeelnemers hun stem zullen laten gelden zijn:

– Paul Korremans, Functionaris Gegevensbescherming, vice-voorzitter NGFG
– Bas Filippini, oprichter en voorzitter, Privacy First
– John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH

Klik hier voor het volledige programma of het bestellen van tickets.

Deze week werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:

Vandaag werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:

"Wanneer een politieagent je daarom vraagt, moet je jezelf in Nederland kunnen identificeren door een geldig identiteitsbewijs te laten zien. Ook de kassière bij de supermarkt kan je daarom vragen, maar alleen wanneer je alcohol wilt kopen en er twijfel is over je leeftijd. Met je identiteitsbewijs toon je dan hoe oud je bent en even later loop je tevreden de winkel uit.

Online ontbreekt zo'n middel om jezelf te identificeren en vooral bedrijven vinden dat lastig. Want met wie doen ze eigenlijk zaken? In Nederland hebben we wel DigiD, maar dat wordt eigenlijk alleen gebruikt door de overheid. Bij DigiD kies je zelf een gebruikersnaam en wachtwoord, dat bij de registratie wordt gekoppeld aan jouw burgerservicenummer: het unieke nummer van iedere persoon in de Basisregistratie Personen (BRP). Log je verolgens met je DigiD in op een website van de overheid, dan weet die overheid met wie het op dat moment zaken doet. In 2014 logden de 12 miljoen uitgegeven DigiD's samen 158 miljoen keer in.

DigiD is hiermee voor de overheid een succes, maar alle andere organisaties en bedrijven staan met lege handen. Webshops willen graag weten of hun klant wel de persoon is die hij zegt te zijn, of hij oud genoeg is, en kredietwaardig. Volgens branchevereniging Thuiswinkel.org hebben de ruim 45.000 Nederlandse webwinkels daarom momenteel maar één grote vraag: waar blijft eID? eID Stelsel is de naam voor de opvolger van DigiD, die de Nederlandse overheid nu aan het ontwikkelen is. eID moet alle benodigde manieren van online identificatie tussen burgers, overheid én bedrijven mogelijk maken.

(...)

In het programma eID (www.eid-stelsel.nl) werkt de overheid samen met wetenschappers en bedrijfsleven aan het nieuwe stelsel dat in 2017 klaar moet zijn. (...) Binnenkort starten enkele pilots, waarbij een klein groepje consumenten inlogt bij overheidsdiensten en commerciële diensten met een identificatiemiddel dat voldoet aan het nieuwe stelsel. Het voordeel van dit nieuwe stelsel is dat het identificatiemiddel niet door de overheid uitgegeven hoeft te zijn; bedrijven kunnen ook identificatiemiddelen uitgeven, bijvoorbeeld een klantenkaart of een app op je smartphone. De identiteit van de burger staat daarom online en is op afroep beschikbaar. Een naam voor het nieuwe stelsel is er ook al, Idensys. (...)

Om vaart te maken en omdat bedrijven niet willen investeren in weer een nieuw identificatiesysteem, is besloten het nieuwe stelsel te bouwen als uitbreiding op eHerkenning (www.eherkenning.nl). eHerkenning is 'de DigiD voor bedrijven', maar is anders dan DigiD geen overheidsdienst maar alleen een afsprakenstelsel. De overheid beheert het stelsel, voornamelijk bedrijven voeren het uit.

Hoewel websites straks gewoon een Idensys-login krijgen zoals ze nu een DigiD-knop hebben, werkt het verder helemaal anders dan DigiD én eID ooit was gedacht te werken. Komt bij DigiD de identificatie van de overheid, bij eHerkenning en dadelijk dus ook bij Idensys komt die van een makelaar, een tussenpartij. Deze 'ídentity provider' kent jou en met hem heb je afgesproken hoe jij je wilt identificeren, met een smartcard, je smartphone of toch gewoon gebruikersnaam en wachtwoord. Klopt de identificatie, dan krijgt die makelaar een pseudoniem voor jou en daarmee kan hij vervolgens kijken of jij gemachtigd bent de dienst te gebruiken waarvoor je wilt inloggen. Dat kijken doet hij in het BSN-koppelregister waarin de pseudoniemen gekoppeld zijn aan de Burgerservicenummers. De makelaar is dus allesbepalend inzake de veiligheid en het BSN-koppelregister als het gaat om privacy.

Om Idensys te baseren op eHerkenning is niet onomstreden. Een 'netwerkgebaseerd identiteitsmodel' zoals Idensys kenmerkt zich door veel schakels die allemaal vertrouwd moeten worden. De meest verdachte schakel is de makelaar, een marktpartij en de enige die alle transacties ziet. Weliswaar ziet hij niet wat er in de transactie gebeurt, maar hij weet wel met welke diensten iedere 'pseudoniem' zaken doet. (...) Ook ontbreekt [vooralsnog] de optie om anoniem diensten te gebruiken, iets wat bijvoorbeeld bij online medische diensten zeker wenselijk is. (...)

Waar blijft het debat?

Door de keuzes die bij Idensys worden gemaakt, zou je een publiek debat verwachten, maar dat ontbreekt volledig. Het College Bescherming Persoonsgegevens ontbreekt in de eID-werkgroepen en kon ons niet vertellen bij eID betrokken te zijn. "Ook Privacy First is niet betrokken en ook nog nooit gevraagd", zegt Vincent Böhre van Privacy First. "Blijkbaar wil men eerst een heel project afronden. Terwijl men nu door een privacy-kritische club te laten meepraten, fouten voorkomt en uiteindelijk maatschappelijk draagvlak creëert." Privacy First is voorstander van een opt-in waarbij mensen de keuze houden om het eID-systeem te gebruiken of niet. "De overheid mag niet eisen dat burgers hun zaken digitaal afhandelen en dat via een eID doen, de Algemene wet bestuursrecht verbiedt dat. Veel mensen in Nederland hebben geen computer of internet, de manier zonder eID moet daarom blijven bestaan", zegt Böhre. (...)"

Bron: Computer!Totaal, juli/augustus 2015, pp. 54-58 (openbare preview).

"'Nederland moet privacygidsland van de wereld worden'

Nederland moet hét privacygidsland van de wereld worden. Daartoe ontwikkelt Stichting Privacy First (SPF) een 'webwarenhuis' met producten die burgers kunnen beschermen tegen meeloerende instanties en bedrijven. SPF wil als een 'soort softwarewarenhuis' mogelijkheden aanbieden om zo anoniem mogelijk gebruik te maken van data. Door apps en programma's te installeren kunnen smartphones, tablets of internetverbindingen op legale wijze beschermd worden, zodat bij gebruik geen digitale sporen worden achtergelaten.Zodoende blijven controlerende instanties en gretige bedrijven als Facebook, Google en WhatsApp buiten de deur. Burgers kunnen via zo'n beveiligde app anoniem bellen, mailen en chatten. Die digitale bescherming blijkt hard nodig omdat overheden en bedrijven data opslaan die ze helemaal niet nodig hebben, claimt voorzitter Bas Filippini van de privacywaakhond.

We hoeven het wiel niet helemaal uit te vinden. Er zijn al veel goede apps gebouwd, die wij ook in ons assortiment opnemen. Burgers kunnen er zeker van zijn dat wij alleen programma's gebruiken die 100 procent veilig zijn. Ons land loopt in ontwikkeling van programma's al voorop. Dat moeten we uitbuiten door ons met dit soort legale digitale diensten te profileren als gidsland in privacy, meent Filippini.

Spionagechip

De diensten zijn hard nodig: SPF ziet de vrijheid van de burger steeds verder ingeperkt worden. Van zwarte dozen in de auto, diefstalpreventiechips, verplichte dashcams, trajectcontrole tot een netwerk van politiecamera's. Onlangs sloeg de club alarm over een spionagechip in de autokentekenplaat.

Allemaal om totale registratie van het reisgedrag van de burgers in te voeren. En er dienen zich alweer nieuwe gevaren aan, aldus Filippini. Zo worden automobilisten steeds meer verplicht overal hun kenteken in te voeren, bijvoorbeeld bij parkeergarages. Ook al betalen ze gewoon voor het stallen van hun voertuig. Van de gekke. Wij starten een rechtszaak tegen de opslag van alle kentekens en alle parkeer- en reisgegevens van burgers. Voordat het ingevoerd is.

Eerder kreeg de particuliere belangengroep boetes van tafel voor mensen die in Amsterdam wel contant een parkeerkaartje kochten maar geen kenteken wilden laten opslaan. Ook zorgde de stichting ervoor dat de verplichte opslag van alle bel- en internetgegevens is geschrapt. Daarnaast trok de privacywaakhond aan het langste eind in enkele rechtszaken tegen de verplichte opslag van vingerafdrukken voor paspoorten.

Het is pure noodzaak je privacy te beschermen. Vanaf 2018 zit in alle nieuwe auto's de E-call, een apparaatje dat bij een ongeluk automatisch de 112-centrale belt. Dat lijkt leuk en veilig, maar die chip in je auto wordt door gsm-masten opgepikt , zegt Filippini. Kortom, ze weten voortdurend waar je auto is. Die gegevens kunnen worden opgeslagen, als het aan de lobby van leveranciers ligt zelfs in heel Europa.

Justitie moet criminelen vroeg met datacontroles kunnen opsporen, erkent de stichting. Filippini: Vroeger werden belgegevens van criminelen voor opsporing opgevraagd door politie. Prima. Maar nu worden alle burgers voortdurend via hun data real time gevolgd. Daar blijven wij tegen strijden."

Bron: Telegraaf 25 juni 2015, p. 10. Tevens HIER online beschikbaar en met commentaar van lezers op http://www.telegraaf.nl/binnenland/24197318/__Gevecht_voor_privacy__.html.

Uitzendbureau Tempo-Team verplicht uitzendkrachten om in- en uit te klokken met hun vingerafdruk. Op Radio 1 en BNR Nieuwsradio werd Privacy First om een reactie gevraagd. Beluister hieronder beide interviews:

Radio 1:

Vandaag werd bekend dat uitzendbureau Tempo-Team uitzendkrachten wil verplichten om in- en uit te klokken met hun vingerafdruk. Dit vormt per definitie een inbreuk op het recht op privacy en lichamelijke integriteit: vingerafdrukken zijn immers hoogstpersoonlijk en vormen een onlosmakelijk onderdeel van iemands lichaam en identiteit. Deze inbreuk op de privacy is ongerechtvaardigd, want niet noodzakelijk en disproportioneel. Daarmee is sprake van een onrechtmatige privacyschending.

Privacy First ontvangt al jaren klachten over registratie van vingerafdrukken bij bedrijven, waaronder sportscholen, zwembaden en videotheken. Standpunt van Privacy First is dat dergelijke registratie nooit verplicht mag worden maar altijd vrijwillig dient te zijn en vergezeld dient te gaan van een privacyvriendelijk alternatief. Zelfs bij "vrijwillige" registratie kan immers nog sprake zijn van privacyschending: onder druk van een werkgever zal immers vaak geen sprake zijn van rechtsgeldige (vrije, ongedwongen) toestemming van werknemers of uitzendkrachten om hun vingerafdrukken te laten registreren. Met andere woorden: naast privacyschending is vaak ook sprake van machtsmisbruik en, in de sfeer van private dienstverlening tussen bedrijven en klanten, oneerlijke handelspraktijken. De mate van beveiliging (middels encryptie) doet daarbij niet ter zake: dit doet immers niet af aan het feit dat mensen onterecht gedwongen worden om hun vingerafdrukken te laten registreren. Hetzelfde geldt voor bedrijfsmatige overwegingen van "efficiency": dit is onvoldoende om een inbreuk op de privacy te kunnen rechtvaardigen.

Het is hoog tijd dat aan deze praktijken een einde wordt gemaakt, hetzij door ingrijpen van het College Bescherming Persoonsgegevens, hetzij middels een rechtszaak. Zou u graag zelf een dergelijke zaak willen beginnen? Neem dan contact op met Stichting Privacy First!

Nog mooier zou het echter zijn wanneer bedrijven gaan inzien dat privacy een mensenrecht is dat zij zélf dienen te respecteren tegenover hun werknemers en klanten. Maatschappelijk verantwoord ondernemen anno 2015 is privacyvriendelijk ondernemen. Privacy kan daarbij een selling point zijn. Met ons nieuwe initiatief Privacy First Solutions zijn wij graag bereid om bedrijven hierbij de helpende hand (en mogelijk zelfs een podium) te bieden!

Update: luister HIER naar de interviews met Privacy First over dit onderwerp op Radio 1 en BNR Nieuwsradio.