Toon items op tag: Grondrechten

Rechtszaak tegen massale privacyschending door ANPR-cameratoezicht 

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren met succes tegen de centrale opslag van ieders vingerafdrukken onder de Paspoortwet, tegen de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie en (in coalitieverband) tegen massale risicoprofilering door het Systeem Risico Indicatie (SyRI). Een kwestie die zich bij uitstek ook voor een dergelijke rechtszaak leent betreft de Nederlandse wetgeving inzake automatische nummerplaatherkenning (Automatic Number Plate Recognition, ANPR) zoals die sinds 2019 geldt onder het nieuwe art. 126jj Sv. 

Strijd met Europees privacyrecht 

Onder de ANPR-wet worden de kentekens en locaties van miljoenen auto's in Nederland (oftewel ieders reisbewegingen) continu vier weken in een centrale politiedatabank opgeslagen voor o.a. opsporing en vervolging, ongeacht of men ergens van verdacht wordt. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek de afgelopen jaren uit diverse onafhankelijke onderzoeken. Bovendien ontbreekt toezicht en kan het systeem eenvoudig worden misbruikt, zo bevestigde o.a. onderzoek door NRC Handelsblad. De huidige ANPR-wet vormt daarmee een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Privacy First heeft daarom besloten om een rechtszaak tegen de Staat aan te spannen ter buitenwerkingstelling van de ANPR-wetgeving wegens strijd met Europees privacyrecht. 

Bodemprocedure 

Eind 2021 vond reeds een kort geding van Privacy First tegen de ANPR-wet plaats. In deze zaak oordeelde de rechtbank Den Haag echter dat bij dit kort geding geen sprake zou zijn van voldoende spoedeisend belang. Dit oordeel was onbegrijpelijk, aangezien bij een dagelijkse massale privacyschending per definitie sprake is van spoedeisend belang om die schending juridisch te laten toetsen en te laten stoppen. Privacy First heeft vervolgens besloten om deze zaak voort te zetten als bodemprocedure waarin alle relevante rechtsvragen aan de orde zullen komen. Vandaag heeft Privacy First daartoe bij de landsadvocaat een uitgebreide dagvaarding ingediend. De volledige dagvaarding vindt u HIER (pdf). 

De ANPR-wetgeving waar de rechtszaak van Privacy First om draait ziet vooral op de massale verzameling en opslag van ieders “historische” ANPR-data, ook wel “no hits” genoemd. Dit dient te worden onderscheiden van de al vele jaren bestaande politiepraktijk waarbij kentekens van verdachte personen (zogeheten “hits”) real-time kunnen worden gebruikt voor opsporing. 

Kansrijke zaak 

Via Pro Bono Connect heeft Privacy First het advocatenkantoor CMS ingeschakeld om zowel het kort geding als de bodemprocedure voor ons te voeren. Inmiddels wordt deze rechtszaak tevens gesteund door het Digital Freedom Fund. Indien nodig zal Privacy First de zaak tot de hoogste rechterlijke instanties voortzetten, waaronder het Europees Hof van Justitie in Luxemburg. Gezien de Europese jurisprudentie terzake acht Privacy First de kans op een succesvolle rechtsgang buitengewoon hoog. 

Het Hof van Justitie van de EU heeft op 22 november 2022 een dikke streep gezet door de openbare toegankelijkheid van het UBO-register. De toegang van het grote publiek tot informatie over uiteindelijk begunstigden van vennootschappen en andere rechtspersonen is een ernstige aantasting van de privacy. In een principiële uitspraak leggen de 15 rechters van de Grote Kamer van het Europese Hof uit dat de strijd tegen witwassen van geld en terrorismefinanciering in de eerste plaats een zaak is van de overheid. De bestrijding van witwassen rechtvaardigt niet dat een register met privacygevoelige gegevens voor iedereen openbaar is, aldus de hoogste Europese rechter. De gehele tekst van deze ‘landmark decision’ vindt u hier.

Privacy First is zeer verheugd over deze kritische en principiële uitspraak van het Hof van Justitie. Hiermee is een inhoudelijk oordeel gegeven over de vragen die Privacy First eerder over het UBO-register aanhangig maakte.

Begin 2021 heeft Privacy First een kort geding over het UBO-register aangespannen, met als inzet dat de Nederlandse rechter de zaak aan het Hof van Justitie van de EU zou voorleggen. Dat wilde de Nederlandse rechter niet doen omdat er op dat moment net een vergelijkbare Luxemburgse zaak aan het Hof van Justitie was voorgelegd. De voorzieningenrechter bevestigde daarbij wel al dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter tot de conclusie zou komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. In hoger beroep werd dit oordeel bevestigd.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten, zei hier indertijd al over: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Op 22 november 2022 is dat dus inderdaad gebeurd. De openbaarheid van het UBO-register is van de baan. De belangrijkste overwegingen van de uitspraak van het Hof van Justitie van de EU kunnen als volgt worden samengevat:

het beschikbaar stellen van UBO-gegevens aan het algemene publiek is een ernstige inmenging in de privacy van UBO’s. Op basis van de informatie uit het UBO-register kan een profiel worden gemaakt met bepaalde persoonlijke identificatiegegevens, de financiële situatie van de betrokkene en de economische sectoren, landen en specifieke ondernemingen waarin hij heeft geïnvesteerd. Een vrij toegankelijk UBO-register maakt deze gegevens beschikbaar voor een onbeperkt aantal personen, ook voor wie het wil inzien om redenen die geen verband hoeven houden met de anti-witwasregels. Deze UBO-gegevens zijn niet alleen voor eenieder vrij raadpleegbaar, maar kunnen daarna door derden worden opgeslagen en verder verspreid, waarbij het voor de UBO steeds moeilijker of zelfs illusoir wordt om zich te verdedigen tegen misbruik.

Het bestrijden van witwassen en de financiering van terrorisme is een doelstelling van algemeen belang die de privacy-inbreuk die ontstaat met een UBO-register kan rechtvaardigen, maar dit betekent niet zonder meer dat iedereen toegang tot dat register moet hebben.

Het Hof legt uit dat in dit kader de volgende drie punten moeten worden beoordeeld:
1. Is de publieke toegankelijkheid van het UBO-register een geschikt middel in de strijd tegen witwassen?
2. Voldoet de inbreuk op de privacy van de UBO’s door toegang voor iedereen aan de eis van subsidiariteit en beperkt blijft tot het strikt noodzakelijke, met andere woorden: kan de strijd tegen witwassen niet redelijkerwijs even doeltreffend worden gevoerd op een andere wijze, die de grondrechten van de betrokkenen minder aantast?
3. Is de privacy-inbreuk die het gevolg is van volledige openbaarheid van het UBO-register evenredig en proportioneel, bij afweging van enerzijds het belang van witwasbestrijding en anderzijds de ernst van de privacy-inbreuk?

Aan de eerste vraag besteedt het Hof van Justitie weinig woorden: een publiek toegankelijk UBO-register kán door de daaruit voortvloeiende transparantie bijdragen aan een omgeving die minder makkelijk voor witwassen kan worden gebruikt. Maar op de andere twee punten voldoet de openbaarheid van het UBO-register niet aan de daaraan te stellen eisen.

Het antwoord van het Hof van Justitie op de tweede vraag is dat de privacyschending die het gevolg is van volledige openbaarheid van het UBO-register niet strikt noodzakelijk is. In een vorige versie van de anti-witwasregelgeving stond dat ‘personen of organisaties die een legitiem belang kunnen aantonen’ toegang hadden tot het UBO-register. Het Hof van Justitie benoemt nu als groepen die zo’n legitiem belang kunnen hebben:
a. de pers en maatschappelijke organisaties die zich bezig houden met de voorkoming en bestrijding van het witwassen van geld en terrorismefinanciering;
b. personen die de identiteit van een UBO willen kennen in het kader van een mogelijke transactie; en
c. financiële instellingen en autoriteiten die betrokken zijn bij de strijd tegen witwassen en terrorismefinanciering.

De Europese Commissie heeft eerder aangegeven dat het moeilijk is om een juridische definitie te geven van het begrip ‘legitiem belang’. Dat vindt de rechter te kort door de bocht: dat het moeilijk is om dat begrip af te bakenen, rechtvaardigt nog niet om dan maar aan iedereen toegang te geven. En dus sneuvelt de openbaarheid van het UBO-register, omdat de privacy-inbreuk voor de UBO’s niet beperkt blijft tot wat strikt noodzakelijk is.

Ook in het antwoord op de derde vraag, naar de evenredigheid van de privacy-inbreuk ten opzichte van het belang van anti-witwasdoelstellingen, laat het Hof van Justitie de privacy prevaleren. De strijd tegen witwassen en terrorismefinanciering is primair een taak van de overheid en financiële instellingen. Die hadden eerder ook al volledige toegang tot het UBO-register. De uitbreiding van de toegang tot het UBO-register tot het volledige publiek leidt tot een aanzienlijk zwaardere aantasting van de privacy, zonder dat dit wordt gecompenseerd door voordelen in de strijd tegen witwassen en terrorismefinanciering.

Voor Nederland betekent dit dat het UBO-register per direct niet meer openbaar toegankelijk mag zijn. Privacy First heeft direct na deze uitspraak de Minister van Financiën opgeroepen om dat zo spoedig mogelijk in orde te maken. Nog op de dag van de uitspraak is gehoor gegeven aan deze oproep en is de openbare toegankelijkheid van het UBO-register afgesloten. Een grote overwinning voor de privacy. Het doel van de rechtszaak die Privacy First in 2021 begon is hiermee bereikt. Het UBO-register is niet langer openbaar toegankelijk. Bij gebreke hieraan zal Privacy First een nieuw kort geding starten om de uitspraak van het EU Hof te handhaven.  

Er zal mogelijk een discussie komen over de afbakening van de groep personen die op basis van een ‘legitiem belang’ toegang hebben tot het UBO-register. Die discussie kan het best op het niveau van de EU worden gevoerd, omdat de anti-witwasregelgeving ook EU-regelgeving is. Daarbij zal dan ook de European Data Protection Supervisor zich inhoudelijk kunnen bemoeien. Deze onafhankelijke toezichthouder adviseerde al in 2017 dat openbare toegankelijkheid van het UBO-register niet proportioneel zou zijn.

De Europese wetgever heeft zich indertijd helaas niets van dat advies aangetrokken. Het komt helaas vaker voor dat de Europese wetgever regels opstelt die een forse inbreuk op de privacy maken, en dat de hoogste Europese rechter jaren later oordeelt dat die regels een te grove schending zijn. Het is goed dat de rechter kritisch is en het belang van privacy zwaar laat wegen. De rechter heeft in een democratische rechtsstaat immers het laatste woord, en de Grote Kamer van het Hof van Justitie van de EU heeft de afgelopen jaren keer op keer in het voordeel van de privacy geoordeeld. Maar het zou nog beter zijn als de regelgever zelf het belang van privacybescherming op waarde schat. Dan zouden veel privacyschendingen door de overheid kunnen worden voorkomen.

Middels een grootschalige wijziging van de Wet publieke gezondheid dreigen diverse corona-maatregelen binnenkort permanent juridisch verankerd te worden. Vandaag stuurde Privacy First hierover onderstaande brief (pdf) aan de Tweede Kamer: 

Geachte Kamerleden,

Met grote zorg heeft Stichting Privacy First kennisgenomen van de voorgenomen wijziging van de Wet publieke gezondheid, Wpg (36194, Coronawet). Deze wetswijziging introduceert een nieuw wettelijk kader met diverse mogelijke maatregelen ter bestrijding van een epidemie. Dit terwijl de maatschappelijke noodzaak, proportionaliteit, effectiviteit en impact van de maatregelen in het kader van de recente corona-epidemie tot op heden niet geëvalueerd zijn. Privacy First acht het onbestaanbaar dat dergelijke maatregelen reeds wettelijk verankerd zouden kunnen worden zolang hun mensenrechtelijke houdbaarheid onbekend is. Bovendien introduceert het wetsvoorstel enkele elementen die niet thuishoren in een vrije democratische rechtsstaat met volwaardige parlementaire zeggenschap. Hieronder zetten wij onze huidige overwegingen en voornaamste actuele bezwaren kort uiteen.

Botsende grondrechten?

In lijn met onze missie heeft Privacy First altijd een brede interpretatie van het recht op bescherming van de persoonlijke levenssfeer en lichamelijke integriteit gehanteerd, waar relevant ook in relatie tot andere mensenrechten, waaronder in dit geval het recht op (de hoogst mogelijke graad van volks)gezondheid. In dit verband geldt tevens dat ieder land verplicht is om maatregelen te treffen ter bestrijding van een epidemie of pandemie. Goede publieksvoorlichting en facilitering van mogelijkheden ter preventie zijn daarbij cruciaal. In onze optiek mag nimmer sprake zijn van enige vorm van dwang, repressie of maatschappelijke uitsluiting. Dit behoudens zeer extreme situaties, waarvoor de huidige Wpg reeds ruimte biedt. Maatschappelijke en politieke angst leiden echter tot collectieve bewustzijnsvernauwing en onevenwichtig of schadelijk beleid, waarbij “goedbedoelde” maatregelen ter bescherming van het ene mensenrecht ten koste kunnen gaan van talloze andere rechten. De kunst blijft daarom altijd om alle relevante mensenrechten in onderlinge samenhang te blijven effectueren. Het ene mensenrecht prevaleert daarbij zelden boven het andere. Dit geldt ook in de huidige context. Van botsende grondrechten of mensenrechten is in onze optiek dan ook geen sprake.

Een nieuw wettelijk kader?

Ter bestrijding van corona werd in Nederland de afgelopen twee jaar deels gewerkt met tijdelijke noodverordeningen. Dit was echter in strijd met de Grondwet, aangezien de Grondwet vereist dat iedere privacy-inbreuk gebaseerd moet zijn op een wet in formele zin. De Tijdelijke wet maatregelen COVID-19 (Twm) werd in mei 2022 echter niet verlengd door de Eerste Kamer, waardoor sindsdien een “juridisch vacuüm” resteert. Naarmate corona uit de wereld wegebt, wordt de maatschappelijke noodzaak en proportionaliteit (en daarmee de juridische houdbaarheid) van een nieuwe, permanente Coronawet steeds kleiner. Tegelijkertijd zou bepleit kunnen worden dat men op een ongewisse toekomst voorbereid dient te zijn, inclusief de lessen die de afgelopen jaren geleerd zijn. Die lessen zijn nu echter nog onduidelijk, aangezien nog geen deugdelijke evaluatie van de effectiviteit en impact van alle corona-maatregelen van de laatste jaren heeft plaatsgevonden. Dit verzet zich tegen een structureel wettelijk kader zoals in het huidige wetsvoorstel beoogd, aangezien de noodzaak, proportionaliteit en effectiviteit van diverse maatregelen tot op heden niet zijn aangetoond. Idem voor alle schadelijke neveneffecten die deze maatregelen gehad hebben. De corona-maatregelen waren grotendeels een maatschappelijk experiment. De voorgestelde Coronawet codificeert en legitimeert dit experiment als het ware. Mensenrechten lenen zich echter niet voor experimenten: zonder aantoonbare noodzaak en effectiviteit is iedere inbreuk onrechtmatig.

Het huidige wetsvoorstel is derhalve te vroeg ingediend en dient te worden ingetrokken of tenminste “on hold” te worden gezet. Mocht uw Kamer echter besluiten om de behandeling van het wetsvoorstel voort te zetten, dan dient in de uiteindelijke wet sprake te zijn van de best mogelijke democratische en rechtsstatelijke waarborgen, heldere kaders, duidelijke verantwoordelijkheden en evenwichtige maatregelen die grondig overwogen zijn.

Avondklok, coronapas en 2G-beleid terecht van de baan

Graag benoemen wij allereerst enkele lichtpuntjes in het huidige wetsvoorstel, namelijk dat dit welbewust geen wettelijke basis biedt voor eventuele maatregelen “achter de voordeur” (binnenshuis), geen toekomstige herinvoering van een avondklok, geen coronatoegangsbewijs (coronapas) en daarmee evenmin zogeheten 2G-beleid wat tot een tweedeling in de samenleving zou leiden. Dergelijke maatregelen lijken daarmee vooralsnog van de baan, in lijn met de kritische standpunten van Privacy First in de afgelopen jaren.[1] Mochten deze maatregelen echter alsnog (weer) worden ingevoerd, dan behoudt Privacy First zich het recht voor om dit bij de rechter aan te vechten en buiten werking te laten stellen wegens strijdigheid met internationaal en Europees recht. Dit geldt eveneens wanneer er alsnog weer een coronapas zal worden ingevoerd in bepaalde maatschappelijke sectoren.

Carte blanche onder nieuw artikel 58d Wpg

Grootste bezwaar van Privacy First tegen het huidige wetsvoorstel is het nieuwe artikel 58d Wpg. Onder deze bepaling kan in een “noodsituatie” vrijwel elke willekeurige maatregel direct worden ingevoerd. Welke mogelijke nieuwe maatregelen hieronder kunnen vallen is volstrekt onduidelijk. Zou dit alsnog ook een avondklok of coronapas kunnen zijn? Een dergelijk brede, vage “carte blanche”-bepaling biedt alle aanleiding voor toekomstige willekeur en machtsmisbruik. Dit past niet in een vrije democratische rechtsstaat en is in strijd met het vereiste van rechtszekerheid. Deze bepaling dient daarom te worden geschrapt. Privacy First herinnert u hierbij graag aan het feit dat het voorgestelde artikel 58d Wpg lijkt op het beruchte artikel 58s in het vroegere wetsvoorstel Twm. Na veel kritiek werd die bepaling (58s) in oktober 2020 unaniem geschrapt, maar is nu dus weer in alle stilte terug. Het is aan uw Kamer om deze bepaling voorgoed naar de schroothoop der ondeugdelijke wetgeving te verwijzen. Bij gebreke hieraan verwacht Privacy First dat de Eerste Kamer dit alsnog zal bewerkstelligen.

Gebrekkige parlementaire zeggenschap

Onder het huidige wetsvoorstel lijkt de Tweede Kamer weliswaar een “vetorecht” te hebben bij activering van maatregelen (zie art. 58c), maar hoe sterk werkt dit vetorecht in de praktijk in procedurele en temporele zin? Bij de eerdere Twm bestond hierover vaak onduidelijkheid en onjuiste beeldvorming. Tevens heeft Privacy First zorgen over de te ruime ministeriële bevoegdheden die het wetsvoorstel biedt. Bij mogelijke inbreuken op de mensenrechten dient immers zoveel mogelijk sprake te zijn van regulering op het niveau van de wet zelf. Daarnaast heeft activering van maatregelen middels AMvB de voorkeur boven ministeriële regelingen, aangezien dit betere parlementaire controle biedt.

Eerste Kamer buitenspel

Een ondemocratisch aspect aan het huidige wetsvoorstel is dat de Eerste Kamer bij activering van maatregelen buitenspel gezet wordt. De Eerste Kamer heeft daarbij immers geen vetorecht (“blokkeringsrecht”). Dit ondermijnt het democratisch stelsel. Mocht uw Kamer dit onderdeel van het wetsvoorstel niet willen repareren, dan vergroot dit de kans dat het wetsvoorstel in de Eerste Kamer zal stranden.

Overige zorgen

Het voorgestelde artikel 58f Wpg lijkt bij voorbaat een verplichte “veilige afstand” buitenshuis te introduceren. Geldt dit ook zonder activering middels ministeriële regeling? Zo ja, dan is dit uiterst kwalijk, zelfs als die “veilige afstand” standaard op nihil gezet zou worden. In de optiek van Privacy First is het niet aan de overheid om afstanden tussen mensen op te leggen; dit is een eigen verantwoordelijkheid die de meeste mensen in aangewezen situaties zelf in acht zullen nemen. Idem voor mogelijke herintroductie van een mondkapjesplicht (art. 58g). Standpunt van Privacy First is altijd geweest dat het dragen van mondkapjes vrijwillig dient te zijn, zeker zolang de effectiviteit ervan niet is aangetoond.[2] 

Tenslotte

Voornaamste risico van de voorgestelde Coronawet is dat deze in de toekomst te gemakkelijk zal kunnen worden geactiveerd, uitgebreid en misbruikt door toekomstige regeringen, ook ter bestrijding van andere ziekten en virussen. Hetzelfde patroon was de afgelopen decennia zichtbaar bij de invoering en geleidelijke uitbreiding van allerhande anti-terrorismewetgeving; ook die wetgeving werd vaak in de waan van de dag ingevoerd en bleek vervolgens nauwelijks effectief, maar heeft maatschappijen wereldwijd wel structureel veranderd ten koste van talloze klassieke burgerrechten. In de nasleep van de Coronacrisis dienen we dat heilloze pad niet opnieuw te bewandelen. Aan uw Kamer de taak om dit te voorkomen.

Desgewenst zijn wij graag bereid om bovenstaande aspecten nader toe te lichten.

Hoogachtend,

Stichting Privacy First 

[1] Zie bijv. https://www.privacyfirst.nl/aandachtsvelden/mobiliteit/item/1217-standpunt-privacy-first-inzake-avondklok.html, https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1224-standpunt-privacy-first-inzake-concept-wetsvoorstel-testbewijzen-covid-19.html, https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1234-oproep-privacy-first-aan-tweede-kamer-ter-blokkering-van-coronapas.html.
[2] Zie bijv. https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1211-standpunt-privacy-first-inzake-mondkapjesplicht.html.

Herinnert u zich nog de massale maatschappelijke weerstand tegen een centrale databank met de biometrische gegevens (vingerafdrukken en gezichtsscans) van alle Nederlanders in de periode 2009-2011? Wegens privacybezwaren werd de ontwikkeling van die databank begin 2011 stopgezet. Staatssecretaris van Digitale Zaken Alexandra van Huffelen lijkt echter voornemens om een dergelijke databank nu alsnog te willen gaan invoeren. Hieronder de eerste reactie van Privacy First bij de recente internetconsultatie over dit abjecte plan: 

Excellentie,

Met verbazing heeft Stichting Privacy First kennisgenomen van uw voornemen om middels een wijziging van de Paspoortwet alsnog een centrale databank met ieders biometrische gegevens (gezichtsscans en – vooralsnog “tijdelijke” – vingerafdrukken) te kunnen creëren. Dit nadat het oorspronkelijke plan voor een dergelijke databank in 2011, na twee jaar massale weerstand uit alle geledingen van de Nederlandse samenleving, terecht was stopgezet wegens juridische, politieke, ambtelijke en technische bezwaren. Destijds was er zelfs binnen het ministerie van BZK geen ambtenaar meer te vinden die nog openlijk de ontwikkeling van een dergelijke databank durfde te bepleiten. Inmiddels is dit “voortschrijdend inzicht” binnen uw ministerie blijkbaar geheel verdwenen, juist op het moment dat de internationale ontwikkelingen ertoe nopen om de historische lessen over de risico’s van centrale bevolkingsregisters niet te vergeten. Met een centrale biometrische databank wordt immers een uiterst riskant target voor kwaadwillenden gecreëerd. Een overtuigende noodzaak en proportionaliteit van een dergelijke databank is in de concept-memorie van toelichting bij het huidige wetsvoorstel niet te vinden en is overigens ook ondenkbaar. De ervaring leert bovendien dat dergelijke databanken in de loop der tijd altijd voor allerlei onvoorziene doelen zullen worden gebruikt en misbruikt (function creep) en dat oorspronkelijke bewaartermijnen steeds verder zullen worden opgerekt. In dit verband herinnert Privacy First u graag aan het feit dat bij de eerder geplande centrale biometrische databank sprake was van heimelijke, afgeschermde toegang door de Nederlandse geheime diensten (die daartoe ook bij de ontwikkeling van deze databank betrokken waren), maar dat vervolgens de AIVD zelf de verwezenlijking van deze databank te riskant vond. Niet valt in te zien waarom de overwegingen van destijds niet nog steeds zouden gelden. 

Vingerafdrukken

Reeds sinds onze oprichting in 2008 verzet Privacy First zich tegen de verplichte afname van vingerafdrukken voor paspoorten en identiteitskaarten. Privacy First deed dit sinds de invoering van de nieuwe Paspoortwet in 2009 middels rechtszaken, campagnes, Wob-verzoeken, politieke lobby en activering van media. Ondanks de daaropvolgende stopzetting van de (geplande) centrale opslag van vingerafdrukken in een nationale databank en bij gemeenten in 2011 worden ieders vingerafdrukken nog steeds afgenomen bij de aanvraag van een paspoort en inmiddels ook (door de nieuwe Europese Verordening identiteitskaarten) alsnog weer bij Nederlandse identiteitskaarten nadat dit in 2014 afgeschaft was. Tot op heden zijn alle miljoenen afgenomen vingerafdrukken van vrijwel de gehele volwassen Nederlandse bevolking in de praktijk echter niet of nauwelijks gebruikt, aangezien e.e.a. reeds in 2009 technisch ondeugdelijk en onwerkbaar was gebleken. De verplichte afname van ieders vingerafdrukken onder de Paspoortwet vormt daarmee nog steeds de meest massale en langst voortdurende privacyschending die Nederland ooit gekend heeft. Wij verzoeken u dan ook om het onderhavige concept-wetsvoorstel in te trekken en te vervangen door een nieuw wetsvoorstel ter afschaffing van de afname van vingerafdrukken onder de Paspoortwet, ook tegen het Europese beleid in. Immers:

1. Reeds in mei 2016 heeft de Raad van State geoordeeld dat vingerafdrukken in Nederlandse identiteitskaarten in strijd zijn met het recht op privacy wegens gebrek aan noodzaak en proportionaliteit, zie https://www.raadvanstate.nl/pers/persberichten/tekst-persbericht.html?id=956.
   
   
2. Uit Wob-verzoeken van Privacy First is gebleken dat het te bestrijden fenomeen (lookalike fraude met paspoorten en identiteitskaarten) dusdanig kleinschalig is, dat verplichte afgifte van ieders vingerafdrukken ter bestrijding hiervan volstrekt disproportioneel en dus onrechtmatig is. Zie https://www.privacyfirst.nl/rechtszaken-1/wob-procedures/item/524-onthullende-cijfers-over-look-alike-fraude-met-nederlandse-reisdocumenten.html.
   
   
3. Bij de vingerafdrukken in paspoorten en identiteitskaarten gold voorheen een biometrisch foutenpercentage van maar liefst 30%, zie https://zoek.officielebekendmakingen.nl/kst-32317-163.html (staatssecretaris Teeven, 31 jan. 2013). Eerder gaf minister Donner een foutenpercentage van 21-25% toe: zie https://zoek.officielebekendmakingen.nl/kst-25764-47.html (27 april 2011). Hoe hoog zijn deze foutenpercentages anno 2022?
   
   
4. Mede vanwege bovengenoemde hoge foutenpercentages worden de vingerafdrukken in paspoorten en identiteitskaarten tot op heden vrijwel niet gebruikt, noch in het binnenland, noch aan de landsgrenzen of op luchthavens.
   
   
5. Vanwege deze hoge foutenpercentages instrueerde voormalig staatssecretaris Bijleveld (BZK) reeds in september 2009 alle Nederlandse gemeenten om (in principe) geen vingerafdruk-verificaties uit te voeren bij de uitgifte van paspoorten en identiteitskaarten. Bij een “mismatch” dient het betreffende ID-document immers retour aan de paspoortfabrikant gezonden te worden, wat bij hoge aantallen tot snelle maatschappelijke ontwrichting zou leiden. Tevens maakte BZK zich in dit verband zorgen om grootschalige onrust en mogelijk geweld bij gemeentebalies. De betreffende zorgen en instructie van staatssecretaris Bijleveld gelden tot op heden nog steeds.
   
   
6. Voor mensen die om welke reden dan ook geen vingerafdrukken wensen af te geven (biometrisch gewetensbezwaarden, art. 9 EVRM) dient alsnog een wettelijke uitzondering te worden gecreëerd.

Zie voor meer achtergrondinformatie over het biometrisch paspoort het WRR-rapport ‘Happy Landings’ dat ondergetekende schreef in 2010. Mede naar aanleiding van dit kritische rapport (en de grootschalige rechtszaak van Privacy First c.s. tegen de Paspoortwet) werd in 2011 de decentrale (gemeentelijke) opslag van vingerafdrukken grotendeels afgeschaft en werd de geplande centrale opslag van vingerafdrukken stopgezet.

Wij hopen van harte dat het niet weer tot een rechtszaak van Privacy First zal hoeven komen om het tij te keren.

Desgewenst zijn wij graag bereid om bovenstaande aspecten nader toe te lichten.

Hoogachtend,

Stichting Privacy First 

Bron: https://www.internetconsultatie.nl/biometrischegegevenspaspoortwet/b1 --> reacties --> reactie directeur Privacy First (Vincent Böhre) d.d. 31 mei 2022.

De coalitie die eerder de rechtszaak tegen SyRI won, roept de Eerste Kamer op de nog ingrijpendere datakoppelwet WGS af te wijzen. Volgens de partijen ligt het voorstel op ramkoers met de rechtsstaat en weigert het kabinet lessen te trekken uit de Toeslagenaffaire.

De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om data die overheden en bedrijven bewaren over burgers en bedrijven samen te brengen in zogeheten samenwerkingsverbanden. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen. Dit moet helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen. 

Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij kunnen deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die in hun vizier belanden. 

Datasurveillance op burgers door overheden en bedrijven 

Om het massaal delen van persoonsgegevens tussen de overheid en bedrijven mogelijk te maken, schuift de WGS tal van geheimhoudingsplichten, privacyrechten en juridische waarborgen opzij die vanouds hebben gegolden voor het verwerken van persoonsgegevens. Dit leidt tot een “verregaande, grootschalige uitholling van de rechtsbescherming van burgers”, aldus de partijen: “Indien dit wetsvoorstel wordt aangenomen zal de deur wagenwijd open worden gezet voor de uitvoerende tak van de overheid om samen met private partijen zowel burgers als bedrijven te onderwerpen aan willekeur in de vorm van ongerichte data-surveillance.”

Het kabinet wil bovendien de mogelijkheid creëren om in geval van ‘spoed’ nieuwe samenwerkingsverbanden te starten, zonder dat de Kamer zich hierover kan buigen. Deze worden na hun oprichting pas voorgelegd aan de Kamer, die daarna moet beslissen of ze als wet worden aangenomen. Dit is in strijd met de Grondwet, die voorschrijft dat inbreuken op de privacy moeten worden opgenomen in wetgeving die door het parlement is goedgekeurd. De partijen vinden het onacceptabel dat het parlement niet wordt betrokken bij de totstandkoming van nieuwe samenwerkingsverbanden en hier pas over kan beslissen nadat ze zijn opgericht. 

Jarenlange onwettige praktijken legitimeren

Behalve de mogelijkheid om nieuwe samenwerkingsverbanden op te richten, bevat het voorstel ook vier samenwerkingsverbanden die al jarenlang functioneren, maar tot nu toe nooit in wetgeving waren vastgelegd. Met de WGS wil het kabinet daar nu achteraf alsnog een wettelijke basis voor creëren. 

De partijen uit de SyRI-coalitie wijzen erop dat het door de rechter verboden Systeem Risico Indicatie (SyRI) ook jarenlang zonder wettelijke basis werd toegepast en zien sterke overeenkomsten met de samenwerkingsverbanden die de WGS nu moet legitimeren: “Ingrijpende praktijken waarbij persoonsgegevens worden verwerkt in strijd met de fundamentele rechten van burgers, worden bij wijze van proef opgetuigd en jarenlang voortgezet, om deze later als voldongen feit te voorzien van een wettelijke basis. Fundamentele rechten die burgers moeten beschermen tegen ongerechtvaardigd overheidshandelen verworden daarbij tot te nemen obstakels.” 

Risico-analyses, zwarte lijsten en vermoedens

De coalitie schreef eerder dat de praktijken die onder de WGS moeten plaatsvinden, in vele opzichten lijken op de gegevensverwerkingen die vooraf gingen aan de Toeslagenaffaire. Op basis van geheime data-analyses werden lijsten met burgers die ten onrechte als crimineel fraudeur waren bestempeld, via verschillende instanties verspreid, waardoor de persoonlijke levens van tienduizenden gezinnen werden geruïneerd. Onder de samenwerkingsverbanden van de WGS zullen risico-analyses, zwarte lijsten en vele andere typen gegevens, vermoedens en signalen over burgers volop kunnen worden gedeeld tussen overheden en bedrijven. Privacytoezichthouder Autoriteit Persoonsgegevens adviseerde de Eerste Kamer in november 2021 de wet niet aan te nemen en stelde daarbij dat het voorstel kan leiden tot “Kafkaëske toestanden voor grote aantallen mensen.” 

De maatschappelijke coalitie tegen SyRI bestaat uit het Platform Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten, FNV, de Landelijke Cliëntenraad, Privacy First, Stichting KDVP en schrijvers Maxim Februari en Tommy Wieringa. 

Download HIER de recente brief van de coalitie aan de Eerste Kamer (pdf). 

Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-eerste-kamer-moet-datasurveillancewet-super-syri-afwijzen/, 15 februari 2022. 

"Het was een proef van 3 jaar en binnenkort beslist het kabinet of de politie door mag gaan met het fotograferen en opslaan van miljoenen kentekens. Het is een schending van mensenrechten, zegt stichting Privacy First, die de staat voor de rechter daagt.

De rechtszaak draait om zogeheten ANPR-camera's (voluit: Automatic Number Plate Recognition) langs wegen in het hele land. Dit zijn speciale camera's die automatisch alle langskomende kentekens scannen. Soms geeft een kenteken een 'hit' in het systeem van de politie. Agenten in de buurt krijgen dan een melding. Door de ANPR-camera's weet de politie precies waar de auto op dat moment rijdt.

'Niet meteen verdacht' 

"Het systeem geeft een indicatie. Het is nog niet zo dat je meteen een verdachte bent, maar er zou een reden kunnen zijn om het voertuig te controleren", zegt politieleidinggevende Gert Wibbelink van de Landelijke Eenheid. (...) 

'Miljoenen kentekens opgeslagen'

Bij de moord op Peter R. de Vries bleek hoe nuttig de camera's kunnen zijn. De verdachten vluchtten in een auto, maar het kenteken werd al snel bekend bij politie. Eenmaal ingevoerd in het systeem lokaliseerden de camera's de verdachten razendsnel.

Vincent Böhre van Privacy First wil iets rechtzetten: zijn stichting is niet tegen ANPR-camera's als ze worden gebruikt voor het real time volgen en opsporen van mogelijke verdachten. "Waar het ons om gaat is dat sinds enkele jaren ook alle gescande kentekens worden opgeslagen. Dat zijn er miljoenen per dag van voornamelijk onschuldige burgers."

Gemiddeld twee keer vastgelegd 

Terugkijken in de tijd ligt vanwege privacyredenen gevoelig. Wie waar was op welk moment, is vooral een privézaak. Daarom stond het kabinet het tijdelijk toe. Een tijdelijke wet, artikel 126jj, maakte het mogelijk om van begin 2019 tot eind dit jaar alle gescande kentekens op te slaan in een database.

Er zijn inmiddels 919 ANPR-camera's actief, die dagelijks 5 miljoen foto's scannen en opslaan. Iedere burger die de weg opgaat wordt gemiddeld meer dan twee keer vastgelegd. Politieleidinggevende Wibbelink: "Voor ons is het nuttig dat foto's worden opgeslagen. Als er bij een plaats-delict van een ernstig misdrijf meerdere voertuigen zijn gesignaleerd, willen we die personen achteraf kunnen identificeren. Dat kan dan met die analyse van kentekens."

'Wet moet van tafel' 

Het kabinet moet komende maanden beslissen of de wet in 2022 wordt doorgezet. Privacy First heeft inmiddels een kort geding aangespannen en wil de wet van tafel. "5 miljoen kentekens is volstrekt disproportioneel. De meeste mensen weten niet eens dat dit gebeurt", zegt Böhre.

Er is sprake van massasurveillance, zegt hij: "99,99 procent van alle kentekens zijn van onschuldige burgers. Ook beseffen mensen niet wat er allemaal met de informatie kan gebeuren. Bronnen van journalisten kunnen worden achterhaald, maar ook gegevens van politici, activisten of andere mensen die anoniem willen reizen."

'Politie kan niet zomaar grasduinen in database' 

Wibbelink benadrukt dat agenten niet lukraak de database kunnen raadplegen. Er moet een speciale aanvraag voor worden ingediend, die moet worden goedgekeurd door een officier van justitie (...). 

'Nauwelijks toezicht'

Privacy First zet daar vraagtekens bij. Het toezicht ligt nu vooral bij het Openbaar Ministerie en dat is geen onafhankelijke instantie, zegt Böhre. (...)  

Böhre wijst op een recent WODC-rapport, waarin de tijdelijke wet 126jj wordt geëvalueerd. Daarin wordt geconcludeerd dat de Autoriteit [Persoonsgegevens] nauwelijks tot geen toezicht houdt op de aanvragen. "Het gebrek aan toezicht is een punt dat in de Europese rechtspraak heel zwaar weegt. Het zou zomaar kunnen dat wij deze zaak winnen op dat punt."

Wat levert het opslaan van miljoenen kentekens op?

In de WODC-evaluatie is ook onderzocht hoe effectief ANPR-camera's nu eigenlijk waren in de afgelopen 3 jaar. De politie sloeg miljarden foto's op en ruim 3.000 keer deed de politie een aanvraag. Het rapport concludeert dat de foto's in geringe mate bijdragen aan de bewijsvoering. Het is vooral een additioneel middel.

Als je weet dat een kenteken op een bepaalde plaats was, heb je nog niet aangetoond wie de auto reed. Dan moet je allerlei andere opsporingsmiddelen inzetten, zoals telefoongegevens of getuigen. Wibbelink vindt het moeilijk om concreet aan te geven wat het middel heeft opgeleverd (...). 

'Het mag simpelweg niet' 

Volgens Böhre bevestigt het WODC-rapport zijn gelijk: "Wat ons dwarszit is dat er dagelijks kentekens van miljoenen onschuldige burgers in een database belanden om hooguit een paar zaken op te lossen. We hebben in het verleden de opslag van vingerafdrukken en telecomgegevens van alle Nederlanders succesvol aangevochten bij de rechter."

Hier gaat het om precies hetzelfde, legt hij uit. "Namelijk het voortdurend opslaan van ieders gegevens voor opsporing en vervolging. Volgens Europese rechters mag dat simpelweg niet. Ik begrijp dat de politie het vervelend vindt dat privacywetgeving drempels opwerpt, maar het hoort bij de spelregels van een vrije democratie."" 

Bron: EenVandaag, 6 november 2021. Lees HIER het hele artikel en bekijk hieronder de bijbehorende televisiereportage. 

Nader commentaar Privacy First: 

Recente verwarring bij nationale media door misleidende politie-informatie 

De ANPR-wet waar de rechtszaak van Privacy First om draait ziet op de massale verzameling en opslag van ieders “historische” ANPR-data, ook wel “no hits” genoemd. Dit dient te worden onderscheiden van de al vele jaren bestaande politiepraktijk waarbij kentekens van verdachte personen (zogeheten “hits”) kunnen worden gebruikt voor opsporing. Recentelijk ontstond hierover bij diverse nationale media verwarring naar aanleiding van misleidende informatie op de website van de Nationale Politie. Op https://www.politie.nl/informatie/bewaart-de-politie-anpr-gegevens.html stond vermeld dat de politie louter gezochte kentekens (“hits”) 28 dagen zou bewaren en alle niet-gezochte kentekens (“no hits”) direct zou verwijderen. Dat is echter onjuist: op basis van art. 126jj Sv worden immers alle passerende kentekens (met foto’s, locaties en tijdstippen) van miljoenen onschuldige burgers continu 28 dagen bewaard t.b.v. eventuele opsporing en vervolging. Dit leidde op 2 oktober jl. tot misleiding en verwarring bij diverse nationale media n.a.v. een ANP-persbericht waarin de foutieve politie-informatie klakkeloos was overgenomen, zie bijvoorbeeld deze nieuwsberichten bij Telegraaf, RTL Nieuws en Algemeen Dagblad:

https://www.telegraaf.nl/nieuws/1896849644/kort-geding-tegen-staat-om-massale-privacyschending-met-nummerplaat-camera-s
https://www.rtlnieuws.nl/tech/artikel/5257823/kenteken-nummerplaat-camera-herkenning-politie-anpr-privacy
https://www.ad.nl/binnenland/staat-aangeklaagd-over-gebruik-kentekencamera-s-disproportioneel-en-ineffectief~a7f9896f/ .

Naar aanleiding van een klacht hierover van Privacy First is de betreffende politie-webpagina inmiddels verwijderd.

In bovenstaande reportage van EenVandaag over ANPR bleek echter opnieuw sprake van misleiding door de politie: “[De politie] benadrukt dat agenten niet lukraak de [ANPR-database] kunnen raadplegen. Er moet een speciale aanvraag voor worden ingediend, die moet worden goedgekeurd door een officier van justitie, een rechter-commissaris en er is een centrale toetsingscommissie.” (Bron. Cursivering toegevoegd.) Het is Privacy First een raadsel op welke “rechter-commissaris en centrale toetsingscommissie” de politie hierbij doelt. Probleem is immers nu juist dat toetsing door een rechter-commissaris of een onafhankelijke commissie bij het gebruik van ANPR-data simpelweg niet bestaat. Dit vormt een flagrante schending van Europees privacyrecht waarbij dergelijke onafhankelijke toetsing veelal verplicht is.  

Privacy First betreurt de misleiding door de politie en hoopt dat media zich hierdoor niet opnieuw op het verkeerde been zullen laten zetten.  

Rechtszaak tegen massale privacyschending door ANPR-cameratoezicht 

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren met succes tegen de centrale opslag van ieders vingerafdrukken onder de Paspoortwet, tegen de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie en (in coalitieverband) tegen massale risicoprofilering door het Systeem Risico Indicatie (SyRI). Een actuele en urgente kwestie die zich bij uitstek voor een dergelijke rechtszaak leent betreft de Nederlandse wetgeving inzake automatische nummerplaatherkenning (Automatic Number Plate Recognition, ANPR) zoals die sinds 2019 geldt onder art. 126jj Sv. Onder deze wetgeving worden de kentekens van miljoenen auto's in Nederland (oftewel ieders reisbewegingen) continu vier weken in een centrale politiedatabank opgeslagen voor o.a. opsporing en vervolging, ongeacht of men ergens van verdacht wordt. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek o.a. uit vandaag verschenen evaluatierapporten van het WODC. Toezicht ontbreekt en het systeem kan eenvoudig worden misbruikt, zo bevestigde onderzoek door NRC Handelsblad onlangs. Privacy First heeft daarom een rechtszaak voorbereid om de ANPR-wetgeving buiten werking te laten stellen wegens strijd met Europees privacyrecht. Daartoe zal op 10 november as. bij de rechtbank Den Haag een kort geding van Privacy First tegen de Staat plaatsvinden. Via Pro Bono Connect heeft Privacy First het advocatenkantoor CMS ingeschakeld om deze zaak voor ons te voeren. Onze dagvaarding in kort geding vindt u HIER (pdf). Indien nodig volgt na dit kort geding tevens een bredere bodemprocedure. De huidige ANPR-wet vormt immers een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Gezien de Europese jurisprudentie terzake acht Privacy First de kans op een succesvolle rechtsgang buitengewoon hoog. 

Zaakgegevens: Stichting Privacy First vs. de Staat (Ministerie van Justitie en Veiligheid), woensdag 10 november 2021 11.00u, rechtbank Den Haag. Zaaknummer: C/09/617630 KG ZA 21-853. U bent van harte welkom om de rechtszitting bij te wonen (mits de zaalcapaciteit het toelaat). Een routebeschrijving vindt u hier. 

Update 7 november 2021: door de aangescherpte coronamaatregelen zijn een mondkapje en aanmelding vooraf voor bezoekers aan de rechtbank helaas opnieuw verplicht. Klik HIER voor nadere informatie en het aanmeldformulier als u de rechtszitting wilt bijwonen. 

Update 8 november 2021: de rechtbank blijkt helaas slechts twee (reeds aangemelde) bezoekers bij de rechtszitting te willen toestaan. Wegens grote publieke belangstelling is er echter een livestream: 
https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Den-Haag/Nieuws/Paginas/Livestream-rechtszaak-stichting-Privacy-First-tegen-de-Staat.aspx . 

Update 10 november 2021: vandaag vond de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechtbank staat gepland op woensdag 1 december as. 

Update 1 december 2021: vandaag heeft de rechtbank Den Haag vonnis gewezen. In het vonnis stelt de rechter allereerst vast dat Privacy First in deze zaak ontvankelijk is als ideële belangenorganisatie ter waarborging van de privacy van alle burgers in Nederland. Daarmee staat opnieuw vast dat Privacy First deze en volgende rechtszaken in het algemeen belang kan voeren. Vervolgens oordeelt de rechter echter dat bij dit kort geding geen sprake zou zijn van voldoende spoedeisend belang. Privacy First acht dit oordeel onbegrijpelijk, aangezien bij een dagelijkse massale privacyschending per definitie sprake is van spoedeisend belang om die schending juridisch te laten toetsen en te laten stoppen. Privacy First zal nu op korte termijn een bodemprocedure tegen de ANPR-wetgeving starten en overweegt tevens het instellen van spoedappèl tegen het huidige vonnis bij het Hof Den Haag. Gezien de relevante Europese jurisprudentie acht Privacy First de kans op een succesvolle rechtsgang nog steeds buitengewoon hoog.

De ANPR-wetgeving waar de rechtszaak van Privacy First om draait ziet op de massale verzameling en opslag van ieders “historische” ANPR-data, ook wel “no hits” genoemd. Dit dient te worden onderscheiden van de al vele jaren bestaande politiepraktijk waarbij kentekens van verdachte personen (zogeheten “hits”) kunnen worden gebruikt voor opsporing. Regelmatig ontstaat hierover bij media verwarring naar aanleiding van misleidende overheidsinformatie, bijvoorbeeld op de websites van de Nationale Politie en het Openbaar Ministerie. Privacy First betreurt dergelijke misleiding en hoopt dat media zich hierdoor niet op het verkeerde been zullen laten zetten. 


Wilt u ons graag steunen in deze zaak? Wordt dan donateur! Privacy First bestaat grotendeels uit vrijwilligers en is voor het voeren van rechtszaken geheel afhankelijk van sponsoring en donaties.

Ondanks een dringende oproep van Stichting Privacy First aan de Tweede Kamer om het coronatoegangsbewijs te blokkeren, lijkt de Nederlandse invoering van de "coronapas" per 25 september 2021 helaas een feit. Privacy First verwacht dat dit zal leiden tot een tweedeling in de samenleving, discriminatie, uitsluiting van kwetsbare groepen en schending van ieders recht op privacy. De coronapas leidt bovendien tot vaccinatiedwang, wat in strijd is met ieders recht om geheel vrij te beschikken over zijn/haar eigen lichaam. Dit is onverenigbaar met het recht op lichamelijke integriteit en zelfbeschikking en voedt de ondermijning van ons vertrouwen in de democratische rechtsstaat, waarin deze fundamentele rechten verankerd zijn. 

Nu massale aantasting en schending van mensenrechten dreigt, is het aan de rechter om in te grijpen en de overheid te corrigeren. In lijn met onze statutaire doelstelling in het algemeen belang heeft de actuele rechtszaak van Bart Maes c.s. ter stopzetting van de coronapas daarom onze volledige steun. Privacy First hecht eraan daarbij te benadrukken dat hiermee geen statement wordt gemaakt tegen het vaccineren (integendeel), maar dat het van cruciaal belang is om juist in deze tijd ieders mensenrechten volledig te respecteren en te beschermen. Kritische geluiden, op welke grond dan ook, dienen serieus genomen te worden en niet op emotionele gronden terzijde geschoven te worden. Zowel op korte als lange termijn vormt dit de beste waarborg voor een open, vrije en gezonde samenleving.

Op maandag 27 september 2021 is de zitting bij het Gerechtshof Den Haag in de procedure van Privacy First tegen het UBO-register.

Stichting Privacy First is in hoger beroep gegaan van het vonnis van de kort geding-rechter van 18 maart 2021. De kort geding-rechter bevestigde dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt al bij het Hof van Justitie, omdat daarover door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vond de Nederlandse kort geding-rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First heeft hoger beroep ingesteld bij het Gerechtshof Den Haag. De appèldagvaarding vindt u hier (pdf). Privacy First verzoekt het Gerechtshof Den Haag om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Verder vraagt Privacy First de rechter om de openbaarheid van het UBO-register tijdelijk op te schorten, in ieder geval totdat het Hof van Justitie van de Europese Unie hierover heeft geoordeeld. De uitspraak van het Gerechtshof wordt een paar weken na de zitting van 27 september 2021 verwacht.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet. In ieder geval door de openbaarheid. Tot dat moment adviseer ik UBO’s om geen gegevens aan te leveren aan het UBO-register. Gegevens die eenmaal openbaar zijn, kun je niet terugnemen.’

Achtergrond van de rechtszaak tegen het UBO-register

Privacy First voert een principiële procedure tegen de Staat over het in 2020 ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging. Die openbaarheid is niet proportioneel.

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’, kortweg ‘UBO’s’) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacyrisico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. 

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren. Maar de effectiviteit van een UBO-register in de strijd tegen witwassen en terrorisme is nooit onderbouwd.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het wel proportioneel zou zijn om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Follow the Money zocht uit wat de maatschappelijke kosten van het Nederlandse UBO-register zijn. Follow the Money schrijft: Het UBO-register brengt voor miljoenen ondernemers en bestuurders kosten, rompslomp en soms licht absurde bureaucratie met zich mee. Het ministerie van Financiën becijfert op vragen van Follow the Money de totale kosten van het register voor het bedrijfsleven op 99 miljoen euro. Daar komt nog 9 miljoen aan eenmalige invoeringskosten bij de overheid bij. Als advocaat Volgenant dat bedrag ziet, reageert hij verbijsterd: ‘De totale kosten zijn nog veel hoger dan ik zelf dacht! Als je dat voor de hele EU extrapoleert zijn de kosten astronomisch.’

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Telecom-dataretentierichtlijn en het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht. 

Update 27 september 2021: vanmiddag vond in het Gerechtshof Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van het Hof staat vooralsnog gepland op dinsdag 16 november as. 

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.