Toon items op tag: Grondrechten

Onderstaande oproep verzond Privacy First vandaag aan de Tweede Kamer: 

Geachte Kamerleden, 

Met grote afkeuring heeft Stichting Privacy First kennisgenomen van de geplande invoering van coronatoegangsbewijzen voor de horeca, evenementen en culturele instellingen. Dit zal leiden tot een tweedeling in de samenleving, uitsluiting van kwetsbare groepen en massale schending van ieders recht op privacy. Hieronder zal Privacy First dit kort toelichten.

Zware inbreuk op grondrechten

Het coronatoegangsbewijs (“coronapas”) vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, fysieke zelfbeschikking, lichamelijke integriteit en de vrijheid van beweging in combinatie met andere klassieke mensenrechten zoals het recht op deelname aan het culturele leven en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij de coronapas is dit tot op heden echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken nooit serieus te zijn overwogen. Reeds om deze redenen kan de coronapas de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken. In dit verband herinnert Privacy First u tevens graag aan landen zoals Engeland, België en Denemarken waar een vergelijkbare pas bewust niet is ingevoerd of inmiddels weer is afgeschaft. In Nederland is de laatste dagen een groot gebrek aan maatschappelijk draagvlak voor de coronapas gebleken en hebben vele duizenden ondernemers reeds laten weten hier niet aan te zullen meewerken. Privacy First verwacht dan ook dat invoering van de coronapas zal leiden tot massale burgerlijke ongehoorzaamheid en kansrijke rechtszaken tegen de Staat.

Sociale uitsluiting

De invoering van de coronapas is bovendien in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen of vaccineren, of een digitaal test- of vaccinatiebewijs zullen kunnen bemachtigen. Reeds tijdens onze Nationale Privacy Conferentie begin 2021 nam Privacy First het standpunt in dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking zou hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens nadrukkelijk stelling tegen de invoering van een coronapas. De genoemde maatschappelijke risico’s gelden des te sterker voor de vaccinatiedwang die het coronatoegangsbewijs impliceert. In dit verband herinnert Privacy First u graag aan het feit dat zowel uw Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal de coronapas precedentwerking kunnen krijgen voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om deze redenen roept Privacy First u op om de invoering van de coronapas te blokkeren.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden tevens een aantal specifieke bezwaren en vragen. Allereerst introduceert de coronapas een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Middels het verplicht tonen van een ID-bewijs naast de coronapas wordt een geheel nieuwe identificatieplicht in openbare gelegenheden gecreëerd. De bestaande anonimiteit in de openbare ruimte wordt daardoor opgeheven, met alle gevaren en risico’s van dien. Bovendien roept deze nieuwe identificatieplicht vragen op over de bevoegdheid van een ondernemer om de identiteit van een persoon vast te stellen en de gezondheidstoestand door middel van de coronapas te beoordelen.

De onderliggende wetgeving resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of de registratie van het testen onder de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er juist aansluiting is gezocht bij Wpg en/of Wgbo nu het gaat om het verkrijgen van een bewijs voor deelname aan de maatschappij en het niet een medische behandeling (Wgbo) noch publieke gezondheidstaak voor dat doel betreft. Hier zou de enige mogelijkheid voor verwerking van persoonsgegevens ten behoeve van het verkrijgen van een coronabewijs en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen en vaccineren een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn en blijven voortdurend onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en in welke systemen, in hoeverre vindt internationale en Europese uitwisseling van gegevens plaats, welke partijen met welke doelen hebben toegang of kopiëren gegevens of zetten die in enorme nieuwe, nationale databases met onze gezondheidsgegevens? In hoeverre zal er sprake kunnen zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre is er überhaupt met enige serieuze aandacht nagedacht over decentrale, privacyvriendelijke technologieën en privacy by design, open source software, dataminimalisatie en anonimisering? Hoe lang zullen testbewijzen kosteloos blijven? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” naast de CoronaCheck app, namelijk een chip(kaart), met alle bezwaren en risico’s van dien? Waarom is er geen sprake geweest van een onafhankelijke Privacy Impact Assessment (PIA)? Hoe vaak moet het land nog accepteren dat nood- en spoedwetten lekkende privacygaten dichten, als onze overbelaste en onderbezette Autoriteit Persoonsgegevens al opmerkt dat er geen wettelijke grondslag voor verwerking is? Hoe zullen onvoorzien gebruik en misbruik, doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Waarom wordt het “gele boekje” niet geaccepteerd als privacyvriendelijk alternatief, zoals dat in andere landen wel gebeurt? Wat gebeurt er op de diverse testlocaties met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zal de coronapas weer worden afgeschaft? Met andere woorden: in hoeverre is dit daadwerkelijk "tijdelijk”?

In de optiek van Privacy First zal invoering van de coronapas slechts tot onwerkbare belasting van ondernemers, talloze wantoestanden en grote maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom om invoering van de coronapas te blokkeren. Bij gebreke hieraan behoudt Privacy First zich het recht voor om de wetgeving ter invoering van de coronapas aan internationaal en Europees recht te laten toetsen en door de rechter buiten werking te laten stellen. De voorbereidingen voor een dergelijke rechtszaak worden door ons en vele anderen reeds getroffen. 

Hoogachtend, 

Stichting Privacy First 

[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

Een eerdere, vergelijkbare versie van dit commentaar verscheen reeds in maart 2021: 
https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1224-standpunt-privacy-first-inzake-concept-wetsvoorstel-testbewijzen-covid-19.html.

Politie doet aan 24/7 tracking van burgers

Stichting Privacy First heeft de bescherming van de privacy bij Burgernet beoordeeld en maakt zich grote zorgen. Privacy First roept de Tweede Kamer op om te onderzoeken of het systeem van 24/7 tracking van burgers door de Politie wel in overeenstemming is met de beginselen van onze rechtsstaat.

Burgernet is een samenwerkingsverband tussen politie, gemeenten en burgers met als doel meer en sneller criminele zaken op te lossen. Bij inbraak, beroving, of een vermist persoon krijgen app-gebruikers in de omgeving van het incident een bericht van de politie om relevante informatie terug te koppelen.

Deze manier van werken betekent dat Burgernet 24/7 de locatiegegevens van alle deelnemers registreert. Daar dient uiteraard zeer zorgvuldig mee om te worden gegaan vanuit de AVG en de grondrechten van burgers. Privacy First heeft bekeken of er binnen Burgernet wel sprake is van die benodigde zorgvuldigheid, maar constateert verschillende problemen.

Van wie is Burgernet eigenlijk?

De wet schrijft voor dat altijd helder moet zijn welke (rechts)persoon de persoonsgegevens verwerkt. Dat is bij Burgernet niet het geval. Burgernet zat o.a. in een BV, In-Pact BV, maar die is inmiddels, volgens de Kamer van Koophandel, opgeheven. Maar waarom staat deze niet-bestaande BV bij de Burgernet app in de Apple store dan nog altijd vermeld als provider?

De website https://www.burgernet.nl vermeldt uitsluitend dat het een samenwerking is van burgers, gemeenten en politie. Contactgegevens ontbreken en het privacy statement van Burgernet vermeldt hier evenmin iets over. Burgernet lijkt inmiddels van de Politie te zijn, getuige onder meer een recente brief[1] en antwoorden[2] van demissionair minister Grapperhaus op Kamervragen, maar dit wordt binnen de app of de website van Burgernet nergens vermeld.

Geen (afdoende) toestemming voor 24/7 tracking

Voor het registreren en verwerken van locatiegegevens moet toestemming worden gevraagd. De app van Burgernet vraagt inderdaad toestemming om berichten te kunnen sturen die relevant zijn voor de buurt waarin de deelnemer zich bevindt. Volgens de AVG is gegeven toestemming echter pas geldig als het gaat om een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betreffende verwerking van persoonsgegevens wordt aanvaard. Privacy First meent dat eenieder die zich aanmeldt bij Burgernet moet worden verteld dat zijn/haar locatie door de Politie kan worden vastgesteld. Pas dan is er sprake van rechtsgeldige toestemming. Dat gebeurt nu echter nog niet.

Risico’s op ander gebruik van locatiegegevens

Het privacy statement van Burgernet vermeldt niet wat het doel is van de verwerking van persoonsgegevens, hoewel de AVG dat wel voorschrijft. Daarom is het niet duidelijk of Burgernet echt uitsluitend gegevens verzamelt en verwerkt ten behoeve van het versturen van alerteringen, of dat er meer mee gedaan wordt. De vraag rijst dan of de politie de locatiegegevens mogelijk ook voor andere doelen gebruikt. In dat verband valt op dat het privacy statement verwijst naar de Wet politiegegevens (Wpg). Dit doet vermoeden dat de persoonsgegevens mogelijk ook gebruikt worden voor andere politietaken. De politie kan in de verleiding komen om de locatiegegevens van de deelnemers van de Burgernet-app veel breder te gebruiken, zoals bijvoorbeeld bij voetbalrellen. Kan die goedbedoelende deelnemer aan Burgernet die daar toevallig in de buurt is, dan door gebruik van de app verdachte worden? En als dat zo is, volstaat dan een korte verwijzing naar de Wpg in het privacy statement? Privacy First meent van niet.

Niet voldaan aan het voorschrift van minimale gegevensverwerking

Burgernet geeft zelf aan dat er locatiegegevens verzameld worden met als doel om alleen relevante berichten te kunnen versturen. Het is onnavolgbaar waarom de app ook vraagt naar postcode en huisnummer; voor verzending van een alertering is iemands huidige verblijfplaats relevant, maar iemands privéadres in het geheel niet. Daarmee handelt Burgernet in strijd met het beginsel van dataminimalisatie. Daarnaast lijkt er binnen Burgernet geen Functionaris Gegevensbescherming te zijn, die hierop en op bovengenoemde zaken toezicht houdt.

Is het effect van dit alles behoorlijk beoordeeld?

De AVG schrijft ook voor dat bij gegevensverwerking waarbij nieuwe technologieën worden gebruikt, welke een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, altijd een behoorlijke analyse moet worden verricht van de mogelijke effecten. Nu de Politie via de Burgernet-app grootschalig gevoelige persoonsgegevens verzamelt en verwerkt met 24/7 tracking van Burgernet-leden, is een behoorlijke risicoanalyse volgens Europees recht verplicht. Privacy First heeft niet kunnen terugvinden dat een dergelijke grondige risicoanalyse ten aanzien van deze app ooit heeft plaatsgevonden. Privacy First vermoedt dat, als dat wel was gedaan, de app er heel anders uit zou hebben gezien.

Oproep aan Tweede Kamer

Privacy First roept de Tweede Kamer op om zo snel mogelijk een onafhankelijk onderzoek in te laten stellen naar de vraag (van) wie Burgernet tegenwoordig is, welke gegevens verzameld worden en waarom. Hierbij moet worden onderzocht of er wel voldaan wordt aan de huidige wetgeving. Tot slot vraagt Privacy First zich af of de doelen van Burgernet binnen een rechtsstaat niet beter gerealiseerd kunnen worden door de persoonsgegevens weg te halen bij de Politie.

[1] Zie brief d.d. 1 april 2021, Stand van zaken functionaliteit Alertering Vermist Kind, Kamerstukken II 2020-2021, 29668-57, p. 2, https://zoek.officielebekendmakingen.nl/kst-29668-57.html.

[2] Zie Antwoorden op vragen van de leden Kathmann en Van Nispen over het stopzetten van AMBER Alert, 4 mei 2021, Aanhangsel van de Handelingen II 2020-2021, nr. 2595, https://zoek.officielebekendmakingen.nl/ah-979655.

Vandaag verstuurde Stichting Privacy First onderstaande brief (pdf) aan informateur Tjeenk Willink. Privacy First roept de informateur hierin op om bij de kabinetsformatie serieuze aandacht aan het onderwerp privacy te besteden: 

Geachte heer Tjeenk Willink,

Graag vragen wij hierbij uw aandacht voor privacy als noodzakelijk onderwerp binnen de gesprekken die door u en de partijen gevoerd worden.

De Coronacrisis waarin we momenteel leven heeft niet alleen veel geld gekost en de gezondheid van heel veel Nederlanders op het spel gezet, maar heeft ook het belang van goede bescherming van de persoonlijke levenssfeer van Nederlanders benadrukt. De CoronaMelder app en het datalek bij de GGD’en zijn pijnlijke voorbeelden van een gebrekkige bescherming van de persoonlijke levenssfeer en in deze gevallen meer specifiek de bescherming van persoonsgegevens. Andere voorbeelden zijn de talloze incidenten in de (semi)publieke en private sector, alsook de vaststelling[1] dat de meeste grote bedrijven in ons land zich bewust niet aan de (U)AVG houden.

Uit reacties in politiek en samenleving wordt de AVG onterecht en soms zelfs onrechtmatig gekarikaturiseerd als een stapel nieuwe, strenge maatregelen, die onhaalbare inspanningen van bedrijven (of overheid) vraagt en effectiviteit en efficiency bij overheid en ondernemers belemmert. Het zorgvuldig omgaan met persoonsgegevens is niet alleen een kwestie van normaal fatsoen: het is een fundamenteel recht, een mensenrecht.[2] De wettelijke voorwaarden waaraan organisaties moeten voldoen om dit recht te beschermen zijn bovendien voor bijna alle organisaties goed te realiseren. Zorgvuldige omgang met persoonsgegevens en respect voor het privéleven zal altijd uitgangspunt moeten zijn binnen organisaties en bij de ontplooiing van hun activiteiten. Dat kan doorgaans met redelijke inspanningen worden gerealiseerd, waardoor niet alleen aan de minimale eisen vanuit de wet wordt voldaan, maar bovendien wordt bijgedragen aan transparantie, vertrouwen en betere (klanten)binding met betrokkenen. Zeker wanneer privacy en gegevensbescherming worden gezien als onderdeel van een kwalitatieve dienstverlening. Sinds het van toepassing worden van de AVG, maar zeker ook in het afgelopen jaar waarin de gemiddelde Nederlandse burger zich steeds bewuster is geworden van het belang van de bescherming van de eigen persoonlijke levenssfeer, is het brede belang van privacy terechte aandacht gaan krijgen. Dit is een goed begin, maar er valt nog veel te leren en veel winst op verschillende vlakken te behalen; naast persoonlijk zeker ook economisch.

Het is daarom onze wens, aansluitend op de visie van onze stichting, dat het aankomende kabinet:

1. zich voldoende bewust is van het belang van bescherming van dit grondrecht en dit ook expliciet onderkent en uitdraagt;
2. hierbij zelf het goede voorbeeld geeft door haar eigen verantwoordelijkheden voldoende zorgvuldig in te richten;
3. hierbij de positieve effecten onderkent en praktisch vertaalt, volgend uit zorgvuldige omgang met persoonsgegevens van Nederlanders, vergelijkbaar met zorgvuldige omgang met hun (belasting)geld;
4. het bedrijfsleven en alle andere sectoren actief aanspoort en waar nodig en mogelijk dit ook te doen;
5. de Autoriteit Persoonsgegevens alsnog snel de ruimte en middelen biedt die nodig zijn om haar taken volwaardig te kunnen uitoefenen;[3]
6. de ambitie overweegt om op dit terrein van Nederland een internationaal voorbeeldland te maken door:
   1. als overheid heel transparant te zijn;
   2. open te staan voor leren van, investeren in en samenwerken met goede initiatieven;
   3. open te staan voor toetsing van wetgeving,
   4. waar nodig via rechtspraak en/of
   5. leidend tot aanpassing van nationale wetgeving of
   6. inzet tot aanpassing van Europese wet- en regelgeving.

Wij hopen dat u het belang van privacy en gegevensbescherming en de serieuze aandacht die hiervoor in ons land nodig is, deelt en in uw gesprekken in de informatiefase meeneemt. Voor concrete input per politieke partij verwijzen wij u naar het onafhankelijke rapport van de Datavakbond[4] waarin de standpunten uit de meeste partijprogramma’s op het gebied van privacy en informatieveiligheid zijn verzameld.

Hoogachtend,

Stichting Privacy First

[1] Zie o.m. https://fd.nl/economie-politiek/1379255/meerderheid-nederlandse-bedrijven-voldoet-na-drie-jaar-nog-niet-aan-privacywet, met als kanttekening dat wij stellen dat het bedrijfsleven in dit artikel de schuld te ver buiten de eigen verantwoordelijkheden legt, omdat zij dit voor veruit de meeste vraagstukken goed kunnen, maar vaak nog niet voldoende serieus oppakken.

[2] Het recht op de bescherming van privacy is o.a. vastgelegd in de Nederlandse Grondwet (art. 10), Handvest van de grondrechten van de Europese Unie (art. 7 en 8), het Europees Verdrag voor de Rechten van de Mens (art. 8) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (art. 17).

[3] https://www.trouw.nl/nieuws/autoriteit-persoonsgegevens-kampt-met-dramatische-achterstand-nog-10-000-klachten-op-de-plank~b808a335/.

[4] https://datavakbond.nl/?page_id=2725.

Met grote zorg heeft Privacy First kennisgenomen van het concept-wetsvoorstel testbewijzen covid-19. Onder dit wetsvoorstel zal een negatief corona-testbewijs verplicht worden voor toegang tot openbare gelegenheden, waaronder horeca, evenementen, sport en jeugdactiviteiten, culturele instellingen en waarschijnlijk ook een deel van het (hoger) onderwijs, e.e.a. op straffe van hoge boetes. Dit zet ieders recht op privacy onder druk.

Zware inbreuk op grondrechten

Het concept-wetsvoorstel vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, de lichamelijke integriteit en de vrijheid van beweging in combinatie met andere relevante mensenrechten zoals het recht op deelname aan het culturele leven, het recht op onderwijs en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij het huidige concept-wetsvoorstel is dit echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken niet te zijn overwogen. Reeds om deze redenen kan het voorstel de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken.

Sociale uitsluiting

Het voorstel is daarnaast in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen. Ook tijdens de recente Nationale Privacy Conferentie van Privacy First en ECP bleek dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking kan hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens hier dan ook nadrukkelijk stelling tegen. Dergelijke maatschappelijke risico’s gelden des te sterker voor de indirecte vaccinatieplicht die in het verlengde van het corona-testbewijs ligt. In dit verband herinnert Privacy First graag aan het feit dat recentelijk zowel de Tweede Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal het onderhavige concept-wetsvoorstel precedentwerking kunnen hebben voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om al deze redenen adviseert Privacy First het kabinet met klem om dit concept-wetsvoorstel in te trekken.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden bovendien een aantal specifieke bezwaren en vragen. Allereerst introduceert het concept-wetsvoorstel een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Ook introduceert het concept-wetsvoorstel een identificatieplicht “aan de voordeur” bij openbare gelegenheden, in strijd met het recht op anonimiteit in de openbare ruimte. Het wetsvoorstel resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of het dossier onder de Wgbo valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er in het huidige concept-wetsvoorstel aansluiting wordt gezocht bij Wpg en/of Wgbo als het hier enkel gaat om het verkrijgen van een testbewijs met als doel deelname aan de maatschappij (en dus geen medische behandeling noch publieke gezondheidstaak voor dat doel). Hier zou de enige mogelijkheid voor verwerking en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn nog onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en wat zal er kunnen worden uitgewisseld? In hoeverre zal er sprake zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang (5 of zelfs 20 jaar) worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre zal er sprake zijn van decentrale, privacyvriendelijke technologie en privacy by design, open source software, dataminimalisatie en anonimisering? Zullen testbewijzen kosteloos blijven en in hoeverre zal er sprake kunnen zijn van privacyvriendelijke diversiteit en keuzevrijheid bij test-applicaties? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” i.p.v. de CoronaCheck app, namelijk een chip, met alle risico’s van dien? Hoe zullen doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Wat gebeurt er met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zullen de corona-testbewijzen weer worden afgeschaft?

Zolang dergelijke bezwaren en vragen onbeantwoord blijven, heeft indiening van dit wetsvoorstel überhaupt geen zin en zal het corona-testbewijs slechts tot maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom nogmaals om het huidige voorstel in te trekken en dit niet bij het parlement in te dienen. Bij gebreke hieraan zal Privacy First zich het recht voorbehouden om e.e.a. door de rechter te laten toetsen en onrechtmatig te laten verklaren.

[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

De Nederlandse rechter heeft vandaag vonnis gewezen in het kort geding dat Privacy First aanhangig maakte over het UBO-register. De rechter heeft bevestigd dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelt dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt sinds kort al bij het Hof van Justitie, omdat daarover recent door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vindt de Nederlandse rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First had ook om tijdelijke buitenwerkingstelling van het UBO-register gevraagd. Dat gaat de rechter een stap te ver. De rechter meent dat buitenwerkingstelling van het register niet mogelijk is zolang de onderliggende EU-richtlijn nog van kracht is. Dan zou de Nederlandse Staat in een positie worden gebracht dat er in strijd wordt gehandeld met een Europese richtlijn. Met deze vordering loopt Privacy First volgens de rechter op de muziek vooruit. Privacy First zal het vonnis op dit punt bestuderen, ook met het oog op een mogelijk hoger beroep.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Achtergrond

Begin dit jaar maakte Stichting Privacy First een principiële rechtszaak tegen de Staat aanhangig over het nieuwe UBO-register bij de Kamer van Koophandel. Onder de wetgeving waarop het UBO-register is gebaseerd moeten alle 1,5 miljoen rechtspersonen die in het Handelsregister zijn ingeschreven allerlei privacygevoelige informatie over hun UBO’s (‘ultimate beneficial owners’ oftewel ‘uiteindelijk belanghebbenden’) openbaar maken. Dit betreft de persoonsgegevens van miljoenen bestuurders, aandeelhouders en hoge leidinggevenden van bedrijven (waaronder familiebedrijven), stichtingen, verenigingen, maatschappelijke organisaties en goede doelen, kerken etc. Privacy First acht dit een massale privacyschending die tevens persoonlijke veiligheidsrisico’s creëert. Privacy First heeft daarom de rechter verzocht om het UBO-register per direct onrechtmatig te verklaren. Veel informatie in het UBO-register zal openbaar toegankelijk zijn en door iedereen opgevraagd kunnen worden. Privacy First acht dit volstrekt disproportioneel en in strijd met Europees privacyrecht. Het Hof van Justitie van de EU zal toetsen of de Europese regelgeving waarop het UBO-register is gebaseerd in strijd is met het grondrecht op privacy.

Het vonnis van de kort geding rechter staat hier: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:2457.

Update 15 april 2021: gisteren heeft Privacy First spoedappèl tegen het gehele vonnis ingesteld bij het Hof Den Haag. De appèldagvaarding vindt u HIER (pdf). Privacy First verzoekt het Hof o.a. om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Gezien de grote belangen die op het spel staan hoopt Privacy First dat het Hof Den Haag deze zaak op de kortst mogelijke termijn zal behandelen.

Update 17 augustus 2021: de rechtszitting in het hoger beroep (spoedappèl) van Privacy First tegen het vonnis zal op maandag 27 september as. bij het Hof Den Haag plaatsvinden. 

In de strijd tegen corona dreigt het demissionaire kabinet deze week een avondklok in te voeren. Vandaag stuurde Privacy First hierover onderstaande oproep aan de Tweede Kamer:

Geachte Kamerleden,

Deze week staat Nederland op een historisch mensenrechtelijk kruispunt: wordt voor het eerst sinds de Tweede Wereldoorlog weer een nationale avondklok ingevoerd? Privacy First acht een dergelijk verregaande, generieke maatregel in vrijwel elke situatie verre van noodzakelijk en disproportioneel. Bovendien is de effectiviteit ervan in de strijd tegen het coronavirus tot op heden onbekend. Alleen daarom al kan van de juridisch vereiste maatschappelijke noodzaak van een avondklok geen sprake zijn. Een avondklok zal ook averechts kunnen werken, omdat dit de mentale en (dus ook) fysieke gezondheid van grote groepen in de samenleving schaadt. Daarnaast vormt een avondklok in Nederland een zoveelste stap richting surveillance maatschappij. De inzet van lichtere, gerichte en effectievere maatregelen heeft dan altijd de voorkeur. Mocht desondanks een avondklok worden ingevoerd, dan vormt dat in de optiek van Privacy First een massale schending van het recht op bescherming van de persoonlijke levenssfeer en de vrijheid van beweging. Privacy First roept u hierbij dan ook op om dit te voorkomen en de invoering van een avondklok te blokkeren.

Hoogachtend,

Stichting Privacy First

Update 17 februari 2021: deze week deed de rechtbank Den Haag in kort geding een baanbrekende uitspraak door te oordelen dat de avondklok ten onrechte is ingevoerd onder de Wet buitengewone bevoegdheden burgerlijk gezag. De huidige avondklok is daarmee onrechtmatig. Bovendien oordeelde de rechtbank dat er "grote vraagtekens te plaatsen zijn bij de feitelijke onderbouwing door de Staat van de noodzaak van de avondklok. (...) Voordat een vergaande beperking als een avondklok wordt ingevoerd moet duidelijk zijn dat er geen andere, minder verstrekkende maatregelen meer open staan en dat de invoering van de avondklok daadwerkelijk een substantieel effect zal hebben", aldus de rechtbank die hiervan niet overtuigd was. Daarnaast wierp de rechtbank de vraag op waarom niet was gekozen voor een dringend (maar vrijwillig) avondklokadvies. Tevens stelde de rechtbank vast "dat het OMT naar eigen zeggen geen bewijs heeft dat de avondklok een substantiële bijdrage levert aan het terugdringen van het virus." E.e.a. "maakt de stelling van de Staat dat een avondklok onvermijdelijk is minst genomen discutabel en ook niet erg overtuigend gemotiveerd", aldus de rechtbank. (Zie vonnis, ro. 4.12-4.14.)

Het vonnis van de rechtbank Den Haag is in lijn met het eerdere standpunt van Privacy First. Privacy First hoopt dat dit in hoger beroep door het Hof Den Haag zal worden bevestigd en dat het tevens zal leiden tot verwerping van de avondklok door de Eerste en Tweede Kamer.

De partijen die in februari vorig jaar een rechtszaak wonnen tegen fraudesysteem SyRI, waarschuwen de Eerste Kamer voor een nog grotere en ingrijpendere datakoppelwet. “Dit voorstel legitimeert de werkwijze die leidde tot de toeslagenaffaire.”

De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om databases van zowel overheden als bedrijven in zogeheten samenwerkingsverbanden aan elkaar te knopen. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen om daarmee data-analyses uit te voeren. Deze moeten helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.

De coalitie, bestaand uit het Platform Burgerrechten, FNV, het Nederlands Juristen Comité voor de Mensenrechten, Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari noemt de wet ‘Super SyRI’, omdat deze in meerdere opzichten verder gaat dan het vorig jaar door de rechter uit de wet geschrapte SyRI (Systeem Risico Indicatie). De partijen noemen het voorstel een bedreiging voor het functioneren van de rechtsstaat in een brief aan de Eerste Kamer, die deze dinsdag start met de behandeling.

Parlement buitenspel gezet

De Eerste en Tweede Kamer worden in dit voorstel buitenspel gezet, schrijven de partijen. De belangrijke onderdelen staan namelijk niet geregeld in de wet waarover de Kamer nu stemt, maar worden naderhand bepaald door de minister in lagere regelgeving. Kwesties als de hoeveelheid en soorten gegevens, de partijen die erbij kunnen en de manier waarop ze worden geanalyseerd en verder worden gebruikt, worden bepaald zonder dat de Kamer daarmee instemt. Zo’n wetsconstructie is in strijd met de Grondwet, die voorschrijft dat een inbreuk op de privacy moet worden goedgekeurd door het parlement. Als de Eerste Kamer instemt met deze insteek, plaatst ze zichzelf effectief langs de zijlijn.

Alle data over burgers fair game

Het kabinet stelt in haar toelichting op de wet dat het ‘nee, tenzij’ principe bij het verwerken van persoonsgegevens moet worden omgedraaid naar een ‘ja, mits’. Daarmee keert ze het doelbindingsprincipe om, dat voorschrijft dat persoonsgegevens verzameld voor een specifiek doel, niet zomaar voor andere doelen mogen worden verwerkt. De vanzelfsprekende vertrouwelijkheid waarmee werd omgegaan met persoonsgegevens, wordt daarmee afgeschaft, zo schrijven de partijen. “Alle data over burgers zijn ‘fair game’ onder de WGS.”

Voor burgers wordt het zo onmogelijk om na te gaan wat er zoal over hen wordt uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij is het de bedoeling dat deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die ze in het vizier krijgen.

Blauwdruk voor meer toeslagenaffaires

Uit de toeslagenaffaire is gebleken dat het heimelijk plaatsen van burgers op lijsten rampzalige gevolgen kan hebben. Het wetsvoorstel voor de WGS leest als een blauwdruk voor een nieuw data-schandaal, stellen de partijen: “Met dit voorstel koerst het kabinet af op een vorm van governance die niet past in een vrije samenleving en doet denken aan de dataverwerkingspraktijken die vooraf gingen aan de toeslagenaffaire.”

De coalitie hoopt dat de fundamentele bezwaren tegen dit voorstel, die eerder werden geuit door de Raad van State en de Autoriteit Persoonsgegevens, in de Eerste Kamer tot een uitvoerige en kritische behandeling leiden. De Tweede Kamer nam het voorstel aan op 17 december 2020, de dag dat het rapport “Ongekend Onrecht” van de parlementaire ondervragingscommissie kinderopvangtoeslagaffaire werd gepubliceerd. “Met dit debacle zo vers in het geheugen verdient dit voorstel, dat de door Belastingdienst gehanteerde werkwijze in feite van een wettelijke basis voorziet, een grondige behandeling in de Kamer die de nadrukkelijke verantwoordelijkheid heeft voor het bewaken van de kwaliteit van wetgeving.”

Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-aan-eerste-kamer-super-syri-blauwdruk-voor-meer-toeslagenaffaires/, 11 januari 2021. 

Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.

Het UBO-register beoogt witwassen tegen te gaan, maar zal zwartmaken tot gevolg hebben.

De privacyschending die het gevolg is van het UBO-register en de openbare toegankelijkheid van gevoelige gegevens is niet proportioneel. Het doel van het UBO-register is witwassen tegengaan en terrorismefinanciering bestrijden. Om dat doel te bereiken is geen UBO-register nodig, in ieder geval geen register dat voor iedereen openbaar toegankelijk is.

Privacy First verzoekt daarom de Nederlandse rechter om het UBO-register buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Uiteindelijk heeft de rechter in dit soort zaken het laatste woord. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De rechtszaak zal door de Rechtbank Den Haag worden behandeld. Het kort geding wordt behandeld op 25 februari 2021 om 12.00 uur. De dagvaarding vindt u HIER (pdf). De uitspraak volgt twee of drie weken na de zitting.

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.

Achtergrond rechtszaak tegen UBO-register

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren.

De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. Iedereen heeft toegang tot het UBO-register, tegen betaling van € 2,50 per uittreksel.

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het al proportioneel is om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Dat gebeurt vaker. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Dataretentierichtlijn en recent het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht.

Update 25 februari 2021: vanmiddag vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechter staat gepland op donderdag 18 maart as.

Media:
Security.nl, 6 januari 2021: Privacy First start rechtszaak tegen Staat over UBO-register
Mr. Online, 7 januari 2021: Privacy First begint rechtszaak over ‘ongeldig’ UBO-register 
Advocatie, 7 januari 2021: Kort geding Privacy First om ‘privacy schendend’ UBO-register buiten werking te stellen
Security.nl, 7 januari 2021: Belgische overheid haalt UBO-register offline wegens beveiligingslek
Financieel Dagblad, 8 januari 2021: Privacyclub sleept staat voor rechter om UBO-register 
Controllers Magazine, 23 februari 2021: UBO-register: Buitenproportioneel middel tegen witwassen?
TaxLive, 24 februari 2021: Op weg naar een beperkt openbaar UBO-register
NOS.nl, 25 februari 2021: Privacy First vecht met kort geding het UBO-register aan
Radio 1 Journaal (NOS), 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register (vanaf 6.44u)
BNR Nieuwsradio, 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register

Onder de Corona-noodwet heeft het kabinet de mogelijkheid om allerlei beperkende maatregelen in te voeren, waaronder een brede mondkapjesplicht, tenzij de Tweede Kamer dit deze week verwerpt. Vandaag stuurde Privacy First hierover onderstaande email aan de Tweede Kamer: 

Geachte Kamerleden,

Op 19 november jl. heeft het kabinet de Regeling aanvullende mondkapjesverplichtingen covid-19 bij u ingediend. Onder deze regeling zal het dragen van mondkapjes op talloze locaties (waaronder winkels, stations, luchthavens en onderwijs) per 1 december as. verplicht worden. Periodiek zal deze plicht door het kabinet – zonder instemming van het parlement – kunnen worden verlengd. Op basis van de Corona-noodwet heeft u momenteel zeven dagen de tijd om uw vetorecht uit te oefenen en de inwerkingtreding van een brede mondkapjesplicht te voorkomen. Uiterlijk op 26 november as. zult u dit in stemming kunnen brengen en de voorgestelde mondkapjesplicht kunnen verwerpen.

Over het dragen van mondkapjes is al maanden veel maatschappelijke discussie gaande. Standpunt van zowel het kabinet als het RIVM is herhaaldelijk geweest dat het dragen van een niet-medisch mondkapje nauwelijks effectief is ter bestrijding van het coronavirus. Wetenschappers lijken hierover verdeeld. Tegelijkertijd kan het dragen van mondkapjes ook averechts werken, d.w.z. de gezondheid van mensen juist schaden. Waar wel consensus over bestaat is dat het verplicht dragen van een mondkapje in juridische zin een inbreuk op de persoonlijke levenssfeer en zelfbeschikking vormt. Dit valt daarmee onder het werkterrein van Privacy First. Het recht op bescherming van de persoonlijke levenssfeer (privacy) is een universeel mensenrecht dat in Nederland wordt beschermd door zowel internationale en Europese verdragen als door onze nationale Grondwet. Iedere inbreuk op het recht op privacy dient daarom strikt noodzakelijk, proportioneel en effectief te zijn. Zo niet, dan is sprake van een ongerechtvaardigde inbreuk en derhalve een schending van het recht op privacy als mensenrecht en als grondrecht. Zolang het dragen van niet-medische mondkapjes ter bestrijding van het coronavirus niet effectief gebleken is en zelfs averechtse gezondheidseffecten kan hebben, kan van een maatschappelijke noodzaak ter invoering van een algemene mondkapjesplicht geen sprake zijn. Een dergelijke plicht zou dan immers neerkomen op een maatschappelijk experiment met onvoorziene consequenties. Dit past niet in een vrije democratische rechtsstaat. Privacy First adviseert u daarom om de voorgestelde regeling ter invoering van de mondkapjesplicht te verwerpen en het dragen van mondkapjes op vrijwillige basis te continueren.

Hoogachtend,

Stichting Privacy First

Aanstaande maandag en dinsdag debatteert en stemt de Eerste Kamer over één van de meest verregaande wetten die Nederland ooit gekend heeft. Gisteren stuurde Privacy First in dat verband onderstaande brief (pdf) aan de Eerste Kamer:

Geachte Kamerleden,

Begin deze week vindt in de Eerste Kamer het debat en de stemming plaats over een wetsvoorstel dat de afgelopen maanden terecht veel kritiek en onrust in de Nederlandse samenleving heeft veroorzaakt. Dit wetsvoorstel heet eufemistisch de Tijdelijke wet maatregelen Covid-19 en is beter bekend als de “Spoedwet”, “Noodwet” of “Coronawet”. Sinds de allereerste concept-versie van deze wet (mei 2020) heeft Privacy First diverse malen kritisch commentaar op het wetsvoorstel geleverd. Ons voornaamste punt van kritiek betrof het totalitaire karakter van deze wet: de minister zou per decreet talloze grondrechten kunnen gaan inperken en het parlement zou daarbij grotendeels buitenspel komen te staan. Dit aspect van de wet lijkt inmiddels slechts te zijn “gerepareerd” voorzover het de betrokkenheid van de Tweede Kamer betreft. Ook in de huidige versie van het wetsvoorstel krijgt de minister nog steeds een breed arsenaal aan beperkende middelen tot zijn beschikking. Daarbij staat de Eerste Kamer nog steeds grotendeels buitenspel. De Tweede Kamer zou inmiddels een “bekrachtigingsrecht” bij maatregelen onder de wet hebben, maar bij nader inzien blijkt dit slechts een verwerpingsrecht onder hoge tijdsdruk. Hieronder lichten wij dit kort toe.

Corona-noodwet als menukaart voor talloze inperkingen van grondrechten

Evenals eerdere versies biedt het huidige wetsvoorstel nog steeds alle mogelijkheden om talloze vrijheden, grondrechten en mensenrechten verregaand te kunnen inperken. Geen enkel segment van de samenleving blijft daarbij gespaard, denk bijvoorbeeld aan de vrijheid van beweging in de openbare ruimte, het openbaar vervoer, onderwijs en kinderopvang, openbare gelegenheden, horeca, evenementen, sport en recreatie, zorginstellingen etc, alles op straffe van hoge boetes. Getuige alle ontwikkelingen in de afgelopen maanden rijst daarbij inmiddels de vraag of de negatieve maatschappelijke, economische en sociale gevolgen van dergelijke maatregelen de veronderstelde positieve effecten niet verregaand en langdurig zullen (gaan) overtreffen. Naar analogie met vroegere uitspraken van het Europees Hof voor de Rechten van de Mens: in hoeverre is hier sprake van “destroying society on the ground of defending it?”

Eerste Kamer voortaan buitenspel

Privacy First zal er geen doekjes om winden: zodra u dit wetsvoorstel accordeert, zet u zichzelf als Eerste Kamer gedurende de rest van dit tijdsgewricht grotendeels buitenspel. De Corona-noodwet zal na inwerkingtreding immers voor onbeperkte duur kunnen blijven gelden; periodieke verlenging zal geschieden bij koninklijk besluit en zonder parlementaire goedkeuring. Onder deze wet zullen door de minister (en diens onbekende opvolger(s)) talloze draconische maatregelen genomen kunnen worden, waarbij u als Kamerlid het nakijken zult hebben. Bij iedere nieuwe ministeriële regeling onder de Corona-noodwet zal immers louter de Tweede Kamer het recht hebben om deze binnen een week te verwerpen, waardoor de betreffende regeling niet in werking zal treden (of, bij spoedregelingen, buiten werking zal worden gesteld). Een dergelijk recht krijgt de Eerste Kamer echter niet. Een amendement van die strekking werd in de Tweede Kamer immers recentelijk verworpen.[1] Daarmee heeft de Tweede Kamer de Eerste Kamer in de Corona-crisis buitenspel gezet, in strijd met de systematiek die bijvoorbeeld bij noodsituaties geldt onder art. 103 Grondwet. Los van de vraag of er reeds sprake is van een noodsituatie (quod non), zou dit voor uw Kamer voldoende reden moeten zijn om dit wetsvoorstel geheel te verwerpen.

Tweede Kamer heeft slechts recht van verwerping i.p.v. bekrachtiging van maatregelen

Ten onrechte is de afgelopen tijd (door Kamerleden en zelfs door de Raad van State) gesuggereerd dat maatregelen onder de Corona-noodwet pas in werking kunnen treden nadat de Tweede Kamer hiermee heeft ingestemd.[2] De betreffende passage in het huidige wetsvoorstel (art. 58c lid 2-3) leest echter als volgt: “Indien binnen [een week] de Tweede Kamer besluit niet in te stemmen met de regeling, vervalt deze van rechtswege.” (onderstreping toegevoegd) Dit is dus geen recht van bekrachtiging, maar een recht van verwerping dat actieve besluitvorming vergt, dit alles onder hoge tijdsdruk. Hoe zal dit uitpakken tijdens het Kerstreces? Zie ter vergelijking het bekrachtigingsrecht zoals dat bij noodmaatregelen geldt onder art. 176 Gemeentewet. Het is aan uw Kamer om de interpretatie en toepassing van art. 58c lid 2-3 onder het huidige wetsvoorstel te laten verduidelijken. Tevens adviseert Privacy First u om alsnog een sterker bekrachtigingsrecht voor zowel de Tweede als Eerste Kamer af te dwingen en daartoe het huidige wetsvoorstel te verwerpen. Het behoud van onze vrije democratische rechtsstaat is daarmee het meest gediend.

Hoogachtend,

Stichting Privacy First

[1] Zie Kamerstukken II, 2020-2021, 35526, nr. 49.
[2] Zie de plenaire vergadering over het wetsvoorstel in de Tweede Kamer, 7-8 oktober 2020. Zie tevens de brief van de vice-president van de Raad van State met voorlichting over het wetsvoorstel d.d. 22 oktober 2020, Kamerstukken I, 2020-2021, 35526, nr. F, p. 10 (1e alinea) en p. 12 (1e alinea).