Toon items op tag: MVO

Begin 2020 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2019 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio november 2019 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
> Alex Commandeur, senior adviseur BMC Advies.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Of zou u graag (vrijwillig) jurylid willen worden? Neem dan contact op met Privacy First!

28 januari is de Europese Dag van de Privacy. In dit verband organiseerden ECP en Privacy First op 28 januari 2019 in Nieuwspoort gezamenlijk de Nationale Privacy Conferentie en reikte Privacy First de jaarlijkse Nederlandse Privacy Awards uit. Het was een succesvolle dag waar de belangrijkste spelers op het gebied van privacy in Nederland aanwezig waren. Vertegenwoordigers van de overheid, ondernemers met innovatieve ideeën, juristen, geïnteresseerden en voorvechters, ze waren er allemaal. 

De Nationale Privacy Conferentie werd geopend door dagvoorzitter Tom Jessen (presentator RTL-Z en BNR), die vervolgens het woord gaf aan Bas Filippini (voorzitter Privacy First) en Marjolijn Bonthuis (adjunct-directeur ECP|Platform voor de InformatieSamenleving). 

Bas Filippini – voorzitter Stichting Privacy First

Bas Filippini vertelt dat Stichting Privacy First nu tien jaar bestaat en dat er in die tien jaar veel veranderd is, zowel in positieve als in negatieve zin. De slogan van Privacy First is ‘eigen keuzes in een vrije omgeving’; dat is waar Privacy First voor staat. Dagelijks spreekt Privacy First met een breed privacyveld op basis van feiten en altijd met een positieve insteek. Daarom wil Privacy First door middel van de Nederlandse Privacy Awards graag een groene kaart geven aan organisaties die de privacy in Nederland versterken. Privacy First voert tevens rechtszaken in het algemeen belang, doet aan politieke lobby en organiseert evenementen, waaronder de Nederlandse Privacy Awards. Naast een nationale ambitie heeft Privacy First ook de ambitie om uit te groeien tot een internationale (Europese) organisatie. Privacy First is afhankelijk van donaties en vrijwilligers en doet graag een oproep aan het publiek om Privacy First in haar missie te steunen. 

Marjolijn Bonthuis - adjunct-directeur ECP|Platform voor de InformatieSamenleving

ECP werkt aan de knelpunten die de informatiesamenleving nog heeft. Dat doet ECP graag publiekelijk en met alle relevante partijen. ECP is er trots op dat een brede afspiegeling van de samenleving aanwezig is bij de Nationale Privacy Conferentie en is trots op de unieke samenwerking met Privacy First en de Nederlandse Privacy Awards. De winnaar van de Nederlandse Privacy Awards 2018, IRMA, heeft na de Privacy Awards afgelopen jaar nog diverse andere awards binnengesleept. Dit laat zien dat de Privacy Awards een belangrijke steun zijn voor goede initiatieven.  

ECP doet veel, ook op het gebied van privacy. Op privacygebied gebeurt dat op publiek-privaat vlak, samen met andere initiatieven en werkgroepen. Aan de publieke kant wordt er samengewerkt met het Ministerie van Economische Zaken en mede dankzij hen kan deze dag worden georganiseerd. 

Aleid Wolfsen – Autoriteit Persoonsgegevens (AP) 

De Autoriteit Persoonsgegevens heeft een actuele enquête gehouden die goed weergeeft waar de zorgen in de samenleving zitten als het gaat om de bescherming van privacyrechten. Uit de enquête blijken verrassende dingen: zo heeft 94% van de bevolking enige zorgen of zijn of haar privacyrechten wel worden gerespecteerd, waarvan een derde zelfs veel tot zeer veel zorgen heeft. Dat is één op de drie die serieuze zorgen heeft of de privacyrechten wel goed worden nageleefd. Dit percentage is hoger dan aanvankelijk werd gedacht; mogelijk komt dat door de huidige ontwikkelingen en omdat er veel datalekken in het nieuws zijn geweest. Hierdoor zijn privacyrechten heftig geschonden en zijn mensen teleurgesteld. Het schaden van het vertrouwen doet iets met mensen.

De top drie van zaken waarover mensen de meeste zorgen hebben zijn: ‘kopietje ID’, dit komt mogelijk doordat mensen vaak horen over identiteitsfraude en hoe makkelijk dat gaat. Het tweede waar mensen zich zorgen over maken is het tracken van online zoekgedrag. Hierover ontvangt de Autoriteit Persoonsgegevens veel klachten. Binnenkort komt de Autoriteit Persoonsgegevens met guidance over hoe om te gaan met cookies en tracking cookies. Daarin staat onder andere wat er mag en wat er niet mag. Mensen zijn serieus bezorgd over welke gegevens er allemaal worden verzameld als ze online zijn. Twee vragen die rijzen zijn: welke gegevens worden verzameld en wat gebeurt er met al die gegevens? Hier hebben mensen geen goed zicht op en er wordt geen duidelijke uitleg over gegeven. Het derde waar mensen zich zorgen over maken zijn locatiegegevens. Er is steeds meer berichtgeving over camera’s die overal hangen. En over bijvoorbeeld WiFi-tracking, dat veel wordt toegepast in Nederland. Hierover heeft de Autoriteit Persoonsgegevens onlangs ook een guide uitgegeven. Het tracken van mensen, dat je als vrij burger in een vrij land, vrij in een stad moet kunnen winkelen, vrij moet kunnen reizen, als dat wordt aangetast, daar zijn mensen serieus bezorgd over. Want we willen niet gevolgd worden. Dat is de top drie van de zorgen die mensen hebben. 

De Autoriteit Persoonsgegevens geeft ook altijd tips. Eén ervan is: check de instellingen van de apps op je telefoon. Veel van die apps zijn razend nieuwsgierig. We zijn ons onbewust van het feit dat je veel over jezelf blootgeeft aan die apps en veel informatie prijsgeeft als je de instellingen niet aanpast. Wees je bijvoorbeeld bewust van het dataspoor dat je achterlaat op het internet. En daarnaast: maak gebruik van je privacyrechten. Veel mensen zijn zich nog onbewust van het feit dat je aan organisaties kan vragen welke gegevens ze over je hebben, dat je die gegevens kunt laten verwijderen als ze niet meer nodig zijn of ze kunt laten corrigeren. Of je gaat naar een nieuwe provider en je wilt je data meenemen: dit heet dataportabiliteit en dit recht kennen mensen nog nauwelijks. 

Als kijktip geeft Aleid Wolfsen aan om de documentaire Democracy te kijken, over de totstandkoming van de Algemene Verordening Gegevensbescherming. Bekijk de trailer HIER (Youtube). 

Hoe staat de Autoriteit Persoonsgegevens er, qua werk, nu voor sinds de inwerkingtreding van de AVG op 25 mei tot eind december 2018? Een aantal cijfers: er zijn zo’n 10.000 klachten binnengekomen, oftewel 10.000 potentiële schendingen van de AVG. De AP vond dit opvallend veel; dit hadden zij aanvankelijk lager ingeschat. In 2018 heeft de AP ook heel veel telefoontjes gekregen: het totale aantal lag op zo’n 35.000, dit waren vijf keer meer telefoontjes dan in 2017. Momenteel loopt er een groot aantal onderzoeken. De eerste handhavingsactiviteiten hebben plaatsgevonden en de eerste serieuze boete onder de AVG is opgelegd aan een bedrijf. Het eerste verwerkingsverbod is opgelegd, aan de Belastingdienst in dit geval, wegens de verwerking van het BSN-nummer in het BTW-nummer van zelfstandigen. Ook zijn er voor het eerst dwangsommen opgelegd, aan de Nationale Politie, het UWV en private bedrijven. In de beginfase van de AVG had de AP nog een voorlichtende rol, maar gaandeweg zal de AP steeds strenger worden. Er is ook een toename in het aantal gemelde datalekken en het is schokkend om te zien hoe slecht data soms beveiligd zijn bij zorginstellingen en overheden. De Autoriteit Persoonsgegevens heeft ook veel onderzoek gedaan naar overheden en bedrijven om daar basaal de boel op orde te krijgen, zoals “heeft u een functionaris gegevensbescherming nodig, ja of nee? Heeft u de boekhouding op orde, ja of nee? Heeft u een verwerkingsovereenkomst?” Dat soort basale dingen. Als dit op orde is, dan ondervind je daar veel plezier van. 

Als afsluiting: mensen realiseren zich steeds meer over alles wat met privacy en dataprotectie te maken heeft. En eigenlijk zijn het ook geen synoniemen, want dataprotectie is nog groter en veel meer dan het klassieke privacy. Onder privacy valt onder andere lichamelijke integriteit, je vrijheid van geweten, je huisrecht, je communicatievrijheden en dat je je vrij kunt bewegen. Dat zijn allemaal afzonderlijke grondrechten. Dataprotectie is door de digitalisering inmiddels ontwikkeld tot een soort moeder of hoeder van alle andere grondrechten. Zoals over je geloof, je vrijheid van geweten, je lichamelijke integriteit, je politieke activiteiten, al dat soort informatie vertaalt zich in data. Als je de datarechten van mensen schendt, dan raak je de fundamenten van de westerse rechtsorde. Deze hebben te maken met de democratische rechtsstaat, gelijkheid van mensen, solidariteitssystemen zoals verzekeringen en gelijkwaardigheid van mensen. En al die vier fundamenten zijn at stake als je de privacyrechten van mensen schendt. Als je de privacyrechten niet beschermt, dan eroderen die fundamenten. Om het nog iets groter te maken: de vrijheid van de vrije wil, kan dan ook eroderen. Daarom is privacybescherming zo belangrijk en neemt het belang daarvan iedere dag toe. 

Aleid Wolfsen beantwoordde ook nog een aantal vragen van de dagvoorzitter, zoals over de 10.000 klachten die zijn binnengekomen in 2018. Dit was meer dan aanvankelijk gedacht en de Autoriteit Persoonsgegevens denkt dat dit ook wel zal aanhouden, doordat er steeds meer data wordt verzameld. Met de komst van PSD2 is het toezichtsveld van de Autoriteit Persoonsgevens uitgebreid naar fintechs, waarmee bankgegevens, na toestemming, kunnen worden gedeeld. Deze bankgegevens zijn zeer persoonlijk; daaraan kan je immers zien waar je bent, waar je aan geeft, wat je hobby’s zijn en wat je politieke voorkeur is. 

Er is ook wel kritiek op de AP, aangezien de AP zo’n cruciale rol vervult. De vraag is of ze de werklast wel aankunnen, ook al is de AP inmiddels verdubbeld. Hierop zegt Aleid Wolfsen dat de Autoriteit de komende periode wel moet blijven groeien en misschien zelfs nog wel een keer moet verdubbelen om de toenemende werklast aan te kunnen. 

Vragen uit het publiek

Hoe ziet Aleid Wolfsen de schendingen van privacy die plaatsvinden met toestemming van mensen zelf? Die toestemming is een belangrijk onderdeel van de AVG en mensen drukken online al snel op “OK”, niet omdat mensen lui zijn, maar omdat de teksten te uitgebreid zijn om door te nemen. Of dat je op “OK” moet drukken, omdat je anders niet krijgt wat je wilt en dat hierin eigenlijk geen vrije toestemming mogelijk is. 

Aleid geeft aan dat hij die zorgen grotendeels deelt. Toestemming is een fundament. Maar wat je ziet is dat er allemaal verleidingstechnieken zijn, zodra je op een site zit, door onder andere de kleur en grootte van een knop om toestemming te geven, anders dan je misschien van plan was. Dit is geen privacy by design; het is geen eerlijke, gelijkwaardige keuze. Wat we moeten doen met zijn allen, is strenger worden. Zorgen dat je dat soort systemen goed gaat bekijken. Is het echt zuivere, eerlijke en integere privacy by design? En ten tweede: mensen proberen te emanciperen in ‘weet waar je ja tegen zegt’. Daar zijn mensen zich helaas nog niet goed van bewust. Door een enkele klik kan jouw data heel makkelijk worden verspreid. De Franse toezichthoudercollega’s hebben bijvoorbeeld een boete opgelegd aan Google van 50 miljoen, omdat het niet goed duidelijk was waarvoor je toestemming verleende. Eén van de dingen die moet veranderen is dat je je toestemming even gemakkelijk moet kunnen intrekken, als dat je hem hebt gegeven. 

Een andere vraag uit het publiek ging over de kracht van de boete als signaal. De vraagsteller zou het eigenlijk fijn vinden om eens te zien van de AP dat er een boete zou worden opgelegd over privacy by design. Bedrijven zitten namelijk nog heel erg in compliance modus en willen slechts het minimale doen om aan de wetgeving te voldoen. Terwijl privacy by design gaat over proactief die problemen aanpakken. Dat er bijvoorbeeld een rechtszaak wordt gestart waaruit een boete volgt, omdat er niet het hoogst haalbare werd gedaan. 

Aleid Wolfsen reageert hierop dat je dat dan mooi als voorbeeld zou kunnen gebruiken voor de rest van de wereld. Hij verklapt hierbij een geheim: de AP heeft bij allerlei overheidsinstellingen gekeken of er een Functionaris Gegevensbescherming (FG) aanwezig was, daarbij ook zoekende naar eentje die geen FG had. Die zou de AP dan als voorbeeld kunnen gebruiken voor heel Nederland. Maar uiteindelijk bleek (gelukkig) dat iedereen op tijd een FG had. 

Bekijk de presentatie van Aleid Wolfsen (pdf).

Sophie in ’t Veld – D66 Europarlementariër en privacyvoorvechtster 

We hebben natuurlijk de AVG, of de GDPR zoals we die soms liefkozend noemen. Van de vijftien jaar dat Sophie zich met privacy bezighoudt zijn er vijf jaar opgegaan aan de GDPR. Het was een lang en ingewikkeld proces, met onder andere 4000 amendementen. Vorig jaar waren we natuurlijk heel erg blij dat de GDPR van kracht werd. We waren ook heel trots, van kijk ons Europa nou toch eens even. Wij hebben gewoon de beste privacywet ter wereld! Maar daar mag het natuurlijk niet ophouden. Het begint er natuurlijk al mee, dat de GDPR goed moet worden toegepast en gehandhaafd. En dan valt Sophie in ’t Veld het op, dat de toezichthouders eigenlijk belachelijk weinig middelen hebben gekregen om dat goed te doen. Want het is natuurlijk hartstikke fijn dat de Autoriteit Persoonsgegevens is verdubbeld, naar 150 man. Maar met 150 man tegen Facebook alleen al, begin je natuurlijk bijna niks. Om over alle andere bedrijven maar te zwijgen. En dan hebben we het nog niet eens over de NSA of de Chinese geheime diensten of de Europese geheime diensten. 

We hebben het allemaal over de GDPR en iedereen is vergeten dat er eigenlijk een dataprotection package was. Er was nog een tweede poot, maar die is volstrekt uit het beeld verdwenen. We noemen die onderling de Police Directive, maar eigenlijk heeft hij een hele lange naam (red: Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens). Het is een richtlijn die regels stelt voor het gebruik van persoonsgegevens door politie, justitie en soms geheime diensten. En de omzetting daarvan is werkelijk belabberd. Er zijn momenteel ongeveer acht EU-lidstaten die hem hebben omgezet, ruimschoots te laat. En dat betekent dat 20 andere lidstaten dat niet hebben gedaan. Maar dit is wel de richtlijn die ons beschermt als de politie bijvoorbeeld gegevens uitwisselt met andere landen. In de tussentijd worden er door de Europese Commissie en de Europese lidstaten nieuwe maatregelen aangekondigd voor het gebruik van persoonsgegevens door politie en justitie, ook over de grenzen heen. Terwijl de bescherming gewoon dramatisch achterblijft en dat is een van de grootste punten van zorg. Wij zijn ons natuurlijk allemaal heel bewust van privacy, risico’s en gegevensbeschermingsrisico’s. Inmiddels weet iedereen wel, dat als je je gegevens aan Facebook geeft, dat er van alles en nog wat mee gedaan kan worden. We zijn eigenlijk ongelooflijk naïef als het gaat over wat de overheid allemaal met onze gegevens mag doen. En dan voornamelijk de overheden die onder de Police Directive zouden vallen. Wij hebben blijkbaar een blind vertrouwen in de overheid, en dat is op zich eigenlijk goed nieuws. Maar Sophie leeft onder het motto van: “trust is good, control is better”. We zien ook gewoon in de praktijk dat er niet alleen maar fouten worden gemaakt met onze gegevens door politie, justitie en veiligheidsdiensten, maar dat er ook sprake is van misbruik. De groei van behoorlijk autoritaire partijen binnen Europa, partijen die inmiddels ook wel aan de macht zijn en die er niet voor terugschrikken om Europese databestanden te gebruiken voor politieke doeleinden, tegen politieke tegenstanders. Dan moeten we ons wel écht zorgen over gaan maken. We zijn hier te naïef over. 

We zijn terecht bezorgd over wat bedrijven met onze persoonsgegevens kunnen doen en of dat goed beschermd is. Maar we zijn ons nog steeds te weinig bewust van het feit dat die bedrijven in overgrote meerderheid, in toenemende mate, niet-Europese bedrijven zijn. Sophie las onlangs een alarmerend rapport van KPMG, waarin is berekend dat van alle grote platformen wereldwijd, er slechts 18% in Europese handen zijn. En als je dat omrekent naar waarde, dan is dat slechts 2%. Wij zijn er zo aan gewend, al voor het internet, dat onze halve economie uit Amerika komt. Dat is even een ander verhaal: driekwart is zo ongeveer in handen van de Amerikanen, dan heb je nog een deel in handen van de Chinezen en een heel minimaal deel in handen van de Europeanen zelf. Wij gebruiken die diensten, dag in dag uit. Dat betekent dan ook, dat zij niet alleen onze gegevens hebben en daarmee ook heel veel geld verdienen. Maar ze vormen ook onze kijk op de wereld. Zij filteren in hoge mate de informatie die tot ons komt. Het wordt nog bitter ironisch als je bedenkt dat onze eigen overheden die bedrijven vragen om de informatie te filteren, uit allemaal zogenaamde veiligheidsoverwegingen. Dit is buitengewoon zorgelijk. We stonden terecht op onze achterste benen na de onthullingen van Facebook en Cambridge Analytica, die de verkiezingen hadden gemanipuleerd. We maken ons grote zorgen over fake news dat wordt gepropageerd door Rusland. Maar het feit dat wij allemaal, elke dag, dit soort diensten gebruiken, zonder erbij stil te staan dat zij ons venster op de wereld zijn, dat is heel zorgelijk. 

Binnen Europa hebben we dan de GDPR en Sophie heeft de hoop dat de Police Directive binnenkort ook goed uitgevoerd gaat worden. Maar ze ziet dat er voortdurend spanningen zijn binnen Europa, waarbij het Europees Parlement in meerderheid staat voor hele stevige privacybescherming en vaak ook standpunten inneemt die dan later door het Europees Hof van Justitie bevestigd worden. Maar ze ziet dat de meer conservatieve krachten en ook de regeringen van de Europese lidstaten, onafhankelijk van de politieke kleur, voortdurend maar ontzettende druk zetten tegen goede privacybescherming. Dit uit een aantal overwegingen, maar vooral de nationale veiligheid. Er is trouwens geen definitie van nationale veiligheid, maar het wordt wel te pas en te onpas gebruikt om de privacy te beperken. Er wordt dan geroepen "privacy zit de nationale veiligheid in de weg". En dat is dan genoeg om de meest kritische stemmen te doen verstommen. Er is ook nog een ander aspect, in de trans-Atlantische verhoudingen met name, dat Europa een ongelooflijk onderdanige houding tentoonspreidt. Dat is in het licht van het voorgaande, dat de meeste bedrijven in handen zijn van de Amerikanen, zorgelijk. 

In Europa is een wet in voorbereiding genaamd e-evidence. In principe een goed idee, want die wet zegt "we hebben een grote open ruimte in Europa zonder binnengrenzen". Boeven kunnen naadloos over de grens samenwerken. Internationale criminele organisaties gebruiken ook internet, apps, mobieltjes en dergelijke. Dus moeten we daar snel op kunnen reageren: als bijvoorbeeld de politie in Nederland digitaal bewijsmateriaal nodig heeft uit Roemenië, dan moet de Nederlandse politie dat rechtstreeks kunnen opvragen. Dat is op zich een logische gedachte, alleen is het jammer dat de Europese Commissie, altijd onder druk van de Europese lidstaten, een voorstel heeft gedaan dat totaal disproportioneel is. Waar nauwelijks nog safeguards voor burgers ingebouwd zitten. Maar wat nog meer zorgen baart is dat de Europese Commissie dit voorstel eigenlijk op tafel heeft gelegd om daarna te kunnen zeggen: wij hebben dit in Europa en nu gaan we hetzelfde doen met Amerika. Dan hebben we toch echt een probleem. In Europa maken we zelf de wetten en kunnen we stemmen voor onze eigen volksvertegenwoordigers. Maar wij hebben geen enkele invloed op de Verenigde Staten. Punt is dat de Verenigde Staten een wet hebben aangenomen genaamd de US Cloud Act. Daarmee hebben ze zichzelf de macht gegeven om bedrijven die een aanwezigheid hebben in de VS, te dwingen om persoonsgegevens te overhandigen ook als ze niet in de VS zijn opgeslagen. Misschien dat wij dat ook wel handig zouden vinden als we dat zouden kunnen doen. Maar in een democratische rechtsstaat vinden wij het toch wel logisch als daar een rechter tussen zit, om zoiets te toetsen. Sophie ziet een houding bij de Europese Commissie en de lidstaten die verregaand onderdanig is aan de VS, in plaats van aan de rechten van de eigen Europese burgers. Ze vindt dat we daarin een omslag moeten maken. 

Dus, jazeker we moeten alert zijn wat bedrijven met onze gegevens doen, maar we moeten ons nog veel meer zorgen maken over wat overheden met onze gegevens kunnen doen. En de vrijwel onbeperkte bevoegdheden die wij de afgelopen jaren hebben geschapen voor politie, justitie en veiligheidsdiensten. Want zeker veiligheidsdiensten, daarop is toch minder controle dan op andere activiteiten. Zelfs al is het in Nederland goed geregeld, dat betekent nog niet dat het in andere landen ook goed geregeld is. Als ze ziet hoe Europese lidstaten de afgelopen jaren de Amerikaanse en de Britse geheime diensten volledig hun gang hebben laten gaan, bijvoorbeeld de hack van Proximus, de Belgische telecomprovider, door de Britse geheime dienst. Dat kan niet onderzocht worden en de waarheid hierover zal nooit volledig boven tafel komen. Maar die diensten breken wel in binnen onze systemen, ook die van Europese instellingen, misschien wel van de NAVO. Dit is overigens ook relevant als je bedenkt wat Brexit allemaal gaat betekenen voor gegevensbescherming. 

Als conclusie moet dit volgens Sophie in ’t Veld echt het volgende hoofdstuk zijn. We moeten nu ten eerste die AVG zeer stevig handhaven en uitleg geven aan hoe die moet worden geïnterpreteerd. Als architecten van de AVG hebben ze zeer expliciet bedoeld dat toestemming of instemming gegeven moet worden in een context, waarmee mensen op een hele simpele en toegankelijke manier informatie krijgen. Dat staat er ook expliciet in, dus als bedrijven dat omzeilen door het ingewikkeld te maken, dan is dat gewoon een overtreding en moeten ze daarvoor bestraft worden. Daarnaast moet de Police Directive geïmplementeerd worden. En wat Sophie in ’t Veld betreft, en daar zal ze de komende jaren druk op uitoefenen, komt er een nieuw voorstel waarbij die Police Directive niet meer een richtlijn is, maar meteen een verordening wordt. Want we hebben steviger bescherming nodig. Misschien wordt het ook tijd om te spreken over Eurocommissarissen en Ministers die gegevens, gebruik van gegevens en bescherming van gegevens als portefeuille hebben. Niet als een nevenactiviteit, maar een Minister voor Data en een Eurocommissaris voor Data. Die gewoon horizontaal kijkt hoe het zit met de gegevensbescherming, maar natuurlijk ook gewoon met het positieve gebruik en de ontwikkeling van persoonsgegevens. 

Ook moeten we kijken naar andere instrumenten, zoals mededingingsregels, belastingen en het vertalen van de economische waarde van persoonsgegevens in een prijskaartje. Laat gebruikers van persoonsgegevens betalen voor het gebruik van die gegevens. Net zoals ze moeten betalen voor het gebruik van energie. Als het wat kost, dan zult u zien dat het gebruik van gegevens omlaag gaat. Dat geldt zowel voor bedrijven als voor overheden, dus misschien moeten we ook eens kijken naar het belasten van de grote internetgiganten, niet op basis van hun winst maar op basis van hun gebruik van persoonsgegevens. 

Uiteindelijk ligt dit ook bij onszelf, we hebben absoluut wetgeving nodig om het individu te beschermen tegen giganten als Facebook of de NSA en de grote jongens, maar uiteindelijk moeten we ook kritische burgers zijn. Natuurlijk is dat een ontwikkelingsproces. Net zoals dat je vanzelfsprekend je deur op slot doet, en dat je bij jezelf nadenkt over hoe je je door deze wereld beweegt. 

Dagvoorzitter Tom Jessen geeft een andere invalshoek. Wanneer je op internet zoekt hoe tech-bedrijven gemaakt zijn, dan kom je ook het woord dopamine tegen. Iedere keer als er een berichtje in je sociale media verschijnt, wanneer je een melding hebt, dan komt er dopamine vrij. Dit heeft een verslavend effect. Nu zijn er campagnes vanuit de overheid over drank, drugs en roken en hij vraagt aan Sophie in ’t Veld of het niet tijd is voor een campagne vanuit de overheid die waarschuwt voor het verslavende effect van sociale media. 

Sophie in ’t Veld reageert hierop: stel, er zijn mensen die niet op Facebook en Instagram zitten, maar dat is niet voldoende. Zelfs al heb je geen mobiele telefoon, zelfs dan word je overal waar je rondloopt gefilmd, is er facial recognition, je ontkomt er niet aan. Daarom is het belangrijk dat we goed reguleren en dat we alle instrumenten gebruiken om ons zo goed mogelijk te beschermen. Ze is het met Aleid Wolfsen eens: het gaat niet om privacy, misschien moeten we daar ook eens een andere term voor verzinnen. Want privacy klinkt toch een beetje als witte wijn en grachtengordel. En dat is natuurlijk niet zo, het heeft zo langzamerhand alles te maken met onze vrijheid, met de kwaliteit van onze democratie, onze burgerrechten, onze verhouding met de overheid en met gelijke behandeling. Dus een campagne vanuit de overheid om te waarschuwen voor het verslavende effect van sociale media is een aardig idee, maar bij lange na niet genoeg. 

Vragen uit het publiek

Vraag uit de zaal: als we het hebben over een andere term voor privacy dan kan er worden gewezen op het boek Surveillance Capitalism van Shoshana Zuboff, daarin gaat het over een sanctuary. Een thuis waarin mensen zichzelf kunnen zijn, zonder zich bespied te voelen et cetera. Deze vraag heeft hier ook mee te maken: veel instanties zoals de Autoriteit Persoonsgegevens zeggen dat digitalisering een feit is. Maar, gezien de huidige stand van de techniek, maar ook van de politiek, hoe denk je over de bescherming van de analoge omgeving? De vrije leefomgeving van mensen waarin ze zich beschermd willen voelen op het gebied van hun persoonsgegevens en de mate waarin ze bespied kunnen worden?

Sophie in ’t Veld reageert dat er natuurlijk nog zoiets is als een analoge wereld, maar we hadden al regels. Er zijn weleens mensen die denken dat er voor de GDPR helemaal niks was en dat de GDPR een soort van oerknal is, maar dat is helemaal niet waar. We hebben al 25 jaar privacywetgeving en diezelfde principes blijven gewoon van toepassing. Punt is dat het niet alleen gaat om de bescherming van privacy, het gaat er ook om wat er bijvoorbeeld met Big Data kan gebeuren. De vraagstelling is dus veel breder dan dat, want laten we er ook bij stilstaan dat het ongelooflijk veel goeds brengt. Maar we moeten wel het individu, de mens, blijven beschermen. Misschien moeten we het niet hebben over bescherming van persoonsgegevens, maar over bescherming van personen. 

Tweede vraag uit het publiek: Neelie Kroes heeft in 2013 naar aanleiding van de Snowden-onthullingen gezegd, toen ze Eurocommissaris was, dat Europa behoefte heeft aan een huge privacy focused company. Voor zover de vraagsteller weet is deze er in de afgelopen zes jaar niet gekomen. En als Europa iets uitvindt, dan wordt dat overgenomen door Amerikanen. De realiteit is dat wij consument zijn van Amerikaanse en Chinese producten. Wat is volgens Sophie in ’t Veld echt nodig in Europa om de concurrentie met de Amerikanen en Chinezen aan te gaan?

Sophie reageert dat er in Europa ongelooflijk veel leuke nieuwe bedrijven en start-ups zijn, maar dat wanneer ze een beetje gaan groeien, ze vaak worden weggekocht. En als je aan die bedrijven vraagt: waarom dan? Dan zeggen ze dat ze in Europa niet meer kunnen groeien, omdat er geen echte Europese markt is. Er zijn gewoon 28 nationale markten en het punt is dat die nationale markten barrières zijn. Want die hebben nationale wetgeving en nationale belastingen. Die fiscale grenzen zijn een drama, die voorkomen dat we onze eigen Europese internetgiganten krijgen. En het punt is dat de nationale lidstaten zich beroepen op hun nationale soevereiniteit. Maar het is een fictieve nationale soevereiniteit, want we geven de macht gewoon weg. In de digitale wereld is praten over nationale soevereiniteit kletskoek. We moeten veel meer concurrentie hebben. We moeten zorgen dat onze Europese kampioenen hier blijven, dat ze niet worden weggekocht en de ruimte krijgen om te groeien en dat moet ook snel gaan gebeuren, want onze afhankelijkheid van Amerikaanse bedrijven en in toenemende mate van Chinese bedrijven is echt heel erg zorgwekkend. 

Laatste vraag uit het publiek gaat over de geldelijke waarde van persoonsgegevens. Sophie in ’t Veld stelde voor als maatregel het betalen voor het gebruik van data en dan is de vraagsteller benieuwd aan wie die betaling gaat plaatsvinden en wat Sophie zich daarbij voorstelt. Want als de gebruiker betaald wordt voor het delen van zijn data, kan dat een extra druk geven om die data te delen. 

Sophie in ’t Veld reageert dat ze niet een groot plan hiervoor in een la heeft liggen. Maar de vraag is: waarom worden al die data door bedrijven opgeslagen? Omdat ze er geld mee verdienen. Dat is dus een prikkel en iets waarmee je ze kan pakken. Je zou dus kunnen beginnen met te zeggen, we gaan bedrijven belasten voor het gebruik van persoonsgegevens. Dus dan zullen ze gedwongen worden om veel meer na te denken of ze al die data nodig hebben. Verdienen ze er wel echt zoveel geld mee? Want dat hele verhaal dat ze dat allemaal nodig hebben vanwege de adverteerders, daar wil ze toch wel haar vraagtekens bij zetten. En of dat verdienmodel wel klopt, of ze allemaal ten gronde zullen gaan als ze dat verdienmodel niet meer kunnen hanteren. 

Er zitten grote ethische aspecten aan, als je bijvoorbeeld zou voorstellen dat mensen de keuze zouden krijgen tussen betalen met hun gegevens of betalen met cash. Mensen die minder vermogend zijn, die zullen dan toch geneigd zijn om te betalen met hun gegevens. Dat vindt ze een ethische kwestie. Maar er zijn ook andere invalshoeken. Zo is er een app ontwikkeld waarmee je kan zien wat jouw waarde op dat moment voor een bedrijf is, en wat jouw handelingen voor invloed hebben op die waarde. Dat maakt mensen al veel bewuster. Er zullen ongetwijfeld nog veel meer goede ideeën komen in die richting.  

Maar hoe dan ook, als bedrijven geld verdienen met gegevens, dat die economische waarde dan ook gebruikt moet worden, dat geldt ook voor de overheid. Want hoe makkelijk is het om voor een nationale wetgever te besluiten “wij moeten alles weten van iedereen, want dat is goed voor de veiligheid.” Dat is heel makkelijk te besluiten als je dat niet in begrotingshandelingen hoeft te verdedigen. Want als het niks kost, omdat al die gegevens toch al voor het grijpen liggen bij al die bedrijven, dan is het makkelijk. Maar als ze er echt voor moeten gaan betalen en als ze moeten zeggen “we gaan minder geld uitgeven aan zorg, want we moeten meer uitgeven aan het opvragen van gegevens”, dan wordt het een ander verhaal en een politieke afweging. De economische waarde van persoonsgegevens meewegen zal dan zeker leiden tot ander gedrag.

Tijmen Schep – Privacy Label

Tijmen Schep start met een vraag aan het publiek: wat is langer, het toneelstuk van Shakespeare Much Ado About Nothing of de iTunes Terms of Service? Het toneelstuk is met 1000 woorden iets langer, maar het scheelt niet veel. Niemand gaat dat dus lezen en iedereen klikt gewoon op I agree. Maar kunnen we dat dan niet beter ontwerpen? Zodat we begrijpen welke data er wordt verzameld en wat daarmee gebeurt. En dat we niet zo’n lap tekst hoeven te lezen die, laten we eerlijk zijn, is gemaakt voor lawyers. Gewoon leesbaar en begrijpelijk. De EU begrijpt al dat dit een issue is. In de AVG staat al dat er in de toekomst iconen kunnen komen, want die maken het allemaal makkelijker. Maar die iconen van de AVG, dat waren nou niet de meest sexy iconen. Dus kreeg Tijmen de vraag van ECP: kunnen jullie hier niet iets mee en kunnen jullie niet iets beters ontwerpen? 

Het eerste wat we beseften is dat we niet een icoontje moesten maken, dat is te simpel en niet genoeg. We moeten een soort template maken, waarbij we als eerste werden geïnspireerd door de Amerikanen, die hebben bijvoorbeeld een systeem waarbij banken tegenwoordig bepaalde vragen moeten beantwoorden op hun website. Gewoon menselijke, begrijpelijke Jip-en-Janneke vragen. Zoals: wat doe je nou precies en hoe?  En dat mogen ze in hun eigen huisstijl doen, zolang ze die vragen maar beantwoorden. Een ander ding wat we interessant vonden was bijvoorbeeld de verpakking van een pak hagelslag. Naast alle informatie die erop staat en keurmerken heb je ook de ingrediëntenlijst en die is eigenlijk heel interessant, want die vertelt je een boel en is tegelijkertijd een beetje vaag. Zo weet je dat er het meeste van het eerste ingrediënt in zit, maar je weet niet precies hoeveel.   

Tijmen geeft vervolgens een demo van het Privacy Label. De demoversie is HIER te bekijken. 

Pitches Privacy Awards

Na deze drie inspirerende presentaties werd het publiek getrakteerd op 7 pitches van organisaties die genomineerd waren voor een Nederlandse Privacy Award.  Hieronder staan alle genomineerden voor de Nederlandse Privacy Awards 2019. Klik op een genomineerde voor de betreffende pitch:  

Brenno de Winter – ICT-onderzoeker

We gaan met elkaar de jungle in. Waarom de jungle? Omdat dieren dingen doorhebben die wij niet doorhebben. Sommige mensen die Brenno de Winter kennen, weten dat hij Aleid Wolfsen (Autoriteit Persoonsgegevens) altijd een soort giraffe vindt. Want wat doet een toezichthouder? Zo’n giraffe eet in Kenia de bomen leeg en draait zich om en gaat naar Tanzania en na exact een half jaar komt hij bij precies dezelfde bomen terug. Vraag maar aan de Belastingdienst, vraag maar aan het UWV, vraag maar aan Google, Facebook et cetera. Dat is wat een toezichthouder doet en ook al ziet hij er oh zo lief uit, maar ondertussen... Maar even verder die jungle in, je ziet hier een paar zebra’s relaxt water drinken. Simpele vraag: is er geen gevaar? Er is een leeuw en toch staan ze relaxt te drinken. Dit komt omdat er andere dieren op de uitkijk staan. En zodra er één klaar is met drinken, wisselt hij een beveiliger af en zo gaan ze verder. Dat doen eigenlijk alle dieren in de jungle, behalve één soort, namelijk de homo sapiens. Wij doen dat niet, wij gaan niet elkaar waarschuwen als er gevaar is, wij gaan niet elkaar vertellen hoe je iets moet doen om gevaar af te wentelen. En dus overvalt, een beetje zoals een narwal, die hele jungle ons met regelgeving die zo eng is.

En waarom de narwal? De narwal is een dier dat heel goed is in verstijven. De hartslag en de stofwisseling gaan omlaag. Dit dier zit bij gevaar dodelijk stil en gaat langzaamaan zo de diepte in. Maar ja, als je gevaar ziet, dan wil je misschien ook wel vluchten of vechten. Dat kan dat dier niet, want hij kan geen piekinspanning meer leveren. Volledig verstijfd gaat hij vervolgens zijn dood tegemoet. 

Brenno laat zijn kat Hiero zien. Hiero ziet iets en verstijft en even later verstijft Hiero een tweede keer en is het duidelijk wat hij gaat doen: díe mug gaat het niet overleven. Ook zo kun je verstijven. Maar in de ICT doen we dat niet. De waanzin voor de invoering van de AVG was bijvoorbeeld, in een Italiaanse slagerij: "Pas op, in onze slagerij zouden wij uw naam kunnen vragen en uw vleesvoorkeur kunnen herinneren. Indien u hiermee niet akkoord gaat, gelieve heel hard IK GA NIET AKKOORD te roepen en vanaf vandaag doen we alsof we u niet kennen."  

Dit was de waanzin vlak voor het ingaan van de AVG en hoe er met dit soort problematiek werd omgegaan. We vonden het doodeng. Zelfs de website Music for Cats is tot groot verdriet van Hiero niet te bereiken en hij zal dan ook die muziek moeten missen, dat dan weer tot vreugde van Brenno. 

En nog steeds gaat het door. Vorige week was er bijvoorbeeld dit artikel: de AVG is schadelijk en beperkend, een litanie over hoeveel gedoe het allemaal is om bijvoorbeeld te weten welke data je allemaal hebt. Je krijgt continu te horen: het is allemaal te complex en te lastig. Brenno heeft lang nagedacht waarom dat zo is. Dat komt onder andere doordat we alles hele enge woorden geven, zoals het woordje cyber erbij. Cyberveilig, cyberplatform et cetera. Ironisch zegt Brenno: begin met het voor jezelf simpeler te maken, zoals de woordjes eerst in het klein te schrijven, dan wordt het weer leesbaar. En laten we daarna nog een stapje doen en het woordje cyber gaan schrappen. Oftewel we hebben het dan weer over woorden en grootheden die eenvoudig zijn en al die zeepsop eromheen een beetje vergeten. 

Brenno heeft een aantal prominente datalekken in Nederland naast elkaar gezet. Ze hebben één ding allemaal met elkaar gemeen en dat is: niet updaten. Het simpelweg niet doen. In november 2018 stond het aantal datalekken dat sinds de invoering van de AVG is gemeld nog op 18.000. Het gaat dus structureel verkeerd, we maken dezelfde fouten opnieuw en opnieuw. 

Hij wordt moedeloos als hij hoort: "het mag niet van de AVG". Lees de AVG voor de grap eens. In de AVG staat 70 keer het woordje ‘risico’ (en niet één keer het woord ‘privacy’). Het woordje ‘risico’ is best wel ingewikkeld, maar Brenno is daarin de laatste tijd een stuk pragmatischer geworden en denkt niet meer in risico’s, maar in hoe dingen fout kunnen gaan. Dat blijkt namelijk al ver voordat de ICT een beetje goed en wel op gang was al de methodiek te zijn. Waarbij je je afvraagt: hoe kan het fout gaan en hoe erg is dat? Dat kun je genormeerd een waarde geven. Hoe vaak komt het voor en hoe detecteerbaar is het als het misgaat? Hij vertelt een anekdote over dat hij laatst bij een klant was die zei dat ze datalekken heel goed detecteerden: “Wij hebben Twitter openstaan en dan zien we het vanzelf langskomen als wij een datalek hebben.”

Hij geeft een voorbeeld van een datalek bij een zorgadministratiekantoor in Singapore. Op 23 augustus 2017 raakt het systeem geïnfecteerd. En reeds op 11 juni kregen de systeembeheerders alarm dat er mensen probeerden in te loggen in het zorgsysteem, waar dat niet zou moeten. Die alarmen herhaalden zich de dagen daarna. En op een gegeven moment bleef het alarm rinkelen en elke keer was het heel veel gedoe om dat uit te schakelen. Met op een gegeven moment de melding dat er mensen medische records aan het benaderen waren. Pas op 9 juli werd het management geïnformeerd. Dit is dus precies wat Brenno eerder bedoelde met het narwalgedrag. We raken zo overweldigd en vinden het zo raar dat iemand probeert ten onrechte in te loggen. Dan gaan we een beetje om ons heen lopen kijken in plaats van iets te doen. Het bizarre is dat dit een hele grote casus blijkt te zijn, waarbij ook van ministers van Singapore medische gegevens zijn gestolen. Hierover is een dik rapport geschreven, waarbij de conclusie is dat een beetje basale hygiëne de aanval zou hebben gestopt. Zullen we afspreken met elkaar om de basale hygiëne te doen, om de simpele dingen te doen?  Niets hoogdravends, niets ingewikkelds, want dit is elke keer de bron van ellende.

De digitale hygiëne, de simpele dingen maken het verschil. En dan is dus het AVG-verhaal een niet ingewikkeld AVG-verhaal. Dan weet je wat je in huis hebt en dan weet je welke risico’s je eventueel loopt. En vervolgens eet de toezichthouder uit je hand, want je hebt alles gedocumenteerd. 

Vragen uit het publiek

Vanuit het publiek komt de opmerking dat het soms moeilijk is om duidelijk te maken wat nou precies de schade is van een datalek, voor bijvoorbeeld een bedrijf bij dit soort risico’s.

Brenno de Winter reageert dat het niet makkelijk is om dit in geld uit te drukken. Als het medisch dossier van de premier van Singapore op straat ligt: pijnlijker dan dat wordt het niet. Als je een centraal medisch systeem hebt, waarbij je bij alle data kunt komen. En dit is niet de eerste keer, daarvoor hebben we ook al met het Wannacry virus zoiets gezien in het Verenigd Koninkrijk waar ze ook alle systemen al gecentraliseerd hadden. Eigenlijk betekent dat, dat je dan afscheid hebt genomen van het medisch beroepsgeheim. Als een organisatie niet wil inzien dat de data die zij hebben enige waarde heeft, dan kunnen we elk project of Big Data project gelijk gaan stoppen. En als dat niet wordt geapprecieerd, dan is de enige stok achter de deur nog wettelijke handhaving. 

Jeroen Terstegge – Privacy Management Partners

Aan Jeroen Terstegge is gevraagd om een overzicht te geven van reacties uit het bedrijfsleven. Hij heeft gekeken in zijn eigen klantenkring en sociale media, en geprobeerd om mensen te categoriseren. En die narwal van Brenno de Winter zit er niet tussen, maar dat is eigenlijk categorie nummer elf.

1. Hel-en-verdoemenis prediker
Met stip op nummer 1 staat de ‘hel-en-verdoemenis prediker’. U kent ze wel, ze beginnen elke training, elk verkooppraatje, elke cursus en elke presentatie en nu dus ook met ‘er komen hoge boetes aan’. Twintig miljoen of 4% van je wereldwijde jaaromzet. Het voelt als veel, en veel klanten die om hulp vragen bij de AVG beginnen dus ook met ‘want er komen hoge boetes aan en hoe hoog zijn ze dan voor mij?’ En Jeroen zegt daarop dat voor het zinnetje over de boetes een ander zinnetje staat waarin wordt aangegeven dat de boetes proportioneel moeten zijn. En proportioneel betekent onder andere dat je er niet aan failliet gaat. Die boetes zijn niet bedoeld voor de gemiddelde MKB’er of de gemiddelde voetbalvereniging. Maar toch blijft het een goed verkooppraatje voor de zelfbenoemde AVG-experts, want daar zijn er heel veel van tegenwoordig. Aan de AVG hangt ook de persoonlijke aansprakelijkheid voor bestuurders, waar veelvuldig voor wordt gewaarschuwd. Die AVG-experts hebben waarschijnlijk Jeroen Terstegge horen spreken op het congres van het Nationaal Cyber Security Centrum over datalekken. Waarin hij het uit 1954 stammende ‘IJzerdraadarrest’ van de Hoge Raad heeft genoemd, waaruit volgt dat het mogelijk is dat een boete persoonlijk wordt opgelegd wanneer de leidinggevende persoonlijk heeft leidinggegeven aan de overtreding. Dat is vaststaand recht en dat volgt niet uit de AVG. Maar het is een goed verkooppraatje, waarvoor veel mensen gevoelig lijken te zijn. 

2. De flauwekul verspreiders
Op nummer 2 staan de flauwekul verspreiders. Hij heeft afgelopen 2 jaar het woord ‘flauwekul’ het meest gebruikt op sociale media. Allerlei Twitter-berichten, LinkedIn-berichten die hij leest en waarbij hij zich niet kan inhouden om te zeggen dat wat daarin staat flauwekul is. Zoals dat het gros van de regels in de AVG helemaal niet nieuw is: de eerste dataprotectiewet in Nederland is van 1988, namelijk de Wet Persoonsregistraties en daar stond al bijna hetzelfde in als in de AVG. Dus elke keer als er wordt gezegd dat er een nieuwe wet is en dat je vanaf nu inzage kan vragen, is het flauwekul. Dat inzagerecht is al 30 jaar oud. 

Vanmorgen zette Jeroen het NOS-journaal aan. Van de nieuwslezer van het journaal was bijna iedere zin die zij vanmorgen heeft uitgesproken juridisch onjuist. Inclusief de soundbite die ze hadden gemaakt van Aleid Wolfsen. Hij zal vast een heel goed verhaal hebben gehad daaromheen, maar de soundbite die de redactie van de NOS eruit pikte en liet zien is juridisch onjuist. Zijn broek zakt er van af hoeveel onzin er wordt verspreid over de AVG. Je hoeft helemaal niet overal toestemming voor te vragen, dat staat helemaal niet in de AVG. Sommige dingen zijn wettelijk verplicht, moeten ter uitvoering van een overeenkomst of voor een publieke taak. Zoals Brenno de Winter al zei: de mensen die zeggen “het mag niet van de AVG”, dat zijn de zogenoemde nee-zeggers. En naarmate ze vaker nee zeggen en tegen steeds belangrijkere dingen nee zeggen, gaan andere mensen in de organisatie met een grotere boog om hen heen lopen. Dus je moet ervoor zorgen dat je ‘ja, mits…’ zegt. En dan vervolgens het gesprek aangaat over hoe we dat vervolgens gaan doen. 

3. De ontkenners
De volgenden in het rijtje zijn de directeuren. De gemiddelde directeur die we hebben bij de start van zo’n AVG-workshop bij een AVG-traject. Dan wil Jeroen dat de directeur aan tafel zit en binnen vijf minuten krijgt hij de volgende zin te horen: ‘ik ben de hele dag bezig met risico’s te managen, hoezo is die AVG iets anders’. En dan zijn we vier uur verder en dan is het kwartje hopelijk wel gevallen dat je daar iets mee moet. 

4. De oogklepdragers 
Op de vierde plek staan, met alle respect voor IT’ers, de oogklepdragers. Laten we ophouden met alles een datalek te noemen. Het niet hebben van een verwerkersovereenkomst met de verwerker is geen datalek. Het nadeel van de invoering van het meldpunt datalekken in 2016 is dat de opvatting is ontstaan dat zolang je maar geen datalekken hebt, dat het dan goed is. Wat vervolgens betekende: zolang je maar geen datalek hebt van gegevens die je illegaal verwerkt of die je überhaupt al lang het moeten weggooien. ‘Dat is allemaal niet erg, want we hebben geen datalek’. Dat gedrag zijn we veel tegengekomen in de IT-hoek. 

5. De windowdressers
De ‘windowdressers’. Dat hebben wij met zijn allen 30 jaar lang gedaan, sinds de Wet Persoonsregistraties. Zo hebben we al netjes 30 jaar een privacy statement. Het doorsnee MKB-bedrijf, stichting of vereniging die vraagt om geholpen te worden met de aanpassing van de privacyverklaring en de verwerkersovereenkomsten. Op de opmerking dat ze nog meer verplichtingen hebben vanuit de AVG, zeggen ze dat dat later wel komt. 

6. De visielozen
Heel veel grote organisaties die vragen ‘kun je ons helpen met compliant te worden onder de AVG’. Zodra je daar dan zit, verwachten ze dat je daar je trucje komt doen in zo’n vier maanden en dan weer doorgaat. Op die basis werd Jeroen in 2001 ingehuurd door Philips, om binnen een jaar compliant te worden met de toen net in werking getreden Wet bescherming persoonsgegevens. Hij heeft er 10 jaar gezeten en was toen waarschijnlijk nog niet klaar met het implementeren van de Wbp bij Philips. Je bent namelijk nooit klaar. Het eist dat je als organisatie een visie hebt waar je naartoe gaat. Het eerste wat hij dus deed bij Philips was te kijken naar de visie: ‘hoe willen wij met gegevens omgaan?’ En als je dat aan een gemiddelde directeur vroeg, dan kreeg je 100 verschillende antwoorden, want elke directeur wilde iets anders met zijn eigen departement binnen Philips. Dus je moet intelligent meebewegen met zo’n organisatie, maar je moet ze wel bij de les houden. Waar wil jij naartoe en hoe wil jij daar komen? 

7. De bewust-onbekwamen
Jeroen geeft veel privacy-trainingen en dan vooral de CIPP/E training. En dit is waarschijnlijk wel de nummer 1 vraag: ‘wat is het verschil tussen een verwerker en een verwerkersverantwoordelijke?’ en ‘wanneer moet ik nou een verwerkersovereenkomst met een dienstverlener afsluiten?’ En wanneer hij dat heeft uitgelegd dan gaat er altijd een soort van zucht door de zaal met ‘goh, dan hebben we veel te veel verwerkersovereenkomsten afgesloten’. Er is een enorme kennisachterstand als het gaat om kennis over de AVG. En dan gaan we elkaar met zijn allen in de weg zitten. 

8. De activisten
De mensen die zeggen ‘het moet allemaal anders’, en dat is prima, en de activisten hebben ook hun rol. Maar je moet dan niet opeens allemaal dingen in de AVG gaan lezen die er niet in staan. Persoonsgegevens zijn niet uw eigendom, het staat ook nergens in de AVG dat dat zo is. En u hebt helemaal niet altijd het recht om vergeten te worden. Sterker nog: als een organisatie 100% compliant is met de AVG dan kan een verzoek om verwijderd te worden, altijd worden afgewezen. We zitten alleen nog op 30 jaar achterstallig huiswerk en dus op bergen data die er allang niet meer horen te zijn. Dus dan gaan we ook veel geslaagde verwijderingsverzoeken zien. 

9. De geloofwaardigen
Iedereen die dit vak al een tijdje doet is gegaan van privacy compliance naar data ethics. Je kan dit vak niet doen als je het niet vanuit een morele overtuiging doet. Als je het alleen vanuit compliance doet, dan gaat het hopeloos mis.

10. De evangelisten
Dat zijn de mensen die schreeuwen van de daken hoe het nou eigenlijk moet. De beste evangelist die hij kent op dit gebied is Michelle Dennedy die Chief Privacy Officer is van Cisco. Die weet als geen ander uit te leggen waar dit vak nou eigenlijk over gaat. “Data Privacy is telling a story about a person with integrity and respect.” Het is niet dat je de gegevens niet verwerkt. Als je persoonsgegevens mag hebben, dan moet je ze alleen fatsoenlijk verwerken. Dat staat ook gewoon in de eerste zin van artikel 5 van de AVG. Het allerbelangrijkste artikel van de AVG is artikel 5, niet artikel 6 waar juristen altijd naar gluren. Je kan geen toestemming vragen voor iets wat unfair is. Je kan geen toestemming vragen voor iets wat disproportioneel is. Je kan geen toestemming vragen voor iets dat onrechtmatig is. Artikel 5 is het belangrijkste en dat gaat precies over wat Michelle zegt. “Telling a story about a person with integrity and respect”. Jeroen hoopt dat u dat ook gaat doen, want als u alleen compliance doet dan bent u over tien jaar nog niet klaar met het implementeren van de AVG.

Bekijk de hele presentatie van Jeroen Terstegge (pdf).

Nederlandse Privacy Awards

De middag werd vervolgens afgesloten met de uitreiking van de Nederlandse Privacy Awards. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn... Startpage.com en Privacy Company i.s.m. SURF ! Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.

Winnaar: Startpage.com

Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever ‘by default’ afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

Winnaar: Privacy Designer (Privacy Company en SURF)

Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.

De jury van de Awards was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.

Winnaar: PublicSpaces

Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden. 

PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

De jury van de Nederlandse Privacy Awards 2019 bestond uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Na afloop van het congres kreeg iedere aanwezige een exemplaar van het nieuwe Blauwe Boekje van Jaap-Henk Hoepman over privacy by design mee. Klik HIER voor de digitale versie.

Deze editie van de Nationale Privacy Conferentie & Awards was een groot succes. Dit vraagt om een vervolg en de plannen voor 2020 zijn in de maak!

Nederlandse Privacy Awards

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar hebben bijna 20 deelnemers zich aangemeld, met een groot aantal hoogwaardige inzendingen. Uit deze inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen

Private Search 2.0: eind 2018 heeft het Nederlandse bedrijf Startpage.com een nieuwe versie geïntroduceerd van haar privacyvriendelijke zoekmachine, met daarin een Anonymous View-functie. Hiermee kan de gebruiker een website bekijken zonder de privacyvriendelijke Startpage.com-omgeving te verlaten. De nieuwe Startpage.com website biedt privacybewuste internetters daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

VraagApp is een app die kwetsbare burgers de mogelijkheid biedt om vragen te stellen aan vrijwilligers over praktische problemen die ze in het dagelijks leven tegenkomen. Deze app is genomineerd omdat het een excellent voorbeeld is hoe gebruikers “echt” te informeren. Niet louter een afvink-mentaliteit, maar privacy doordenken in alle lagen van de organisatie én de technologie. Privacy wordt hier niet gezien als een hindernis maar als een noodzakelijke voorwaarde om de dienst te laten functioneren. Door privacy in zowel het ontwerp als gebruik centraal te zetten, wordt het mogelijk een kwetsbare doelgroep op een veilige en vertrouwensvolle manier toegang te bieden tot de informatiemaatschappij en zo bij te dragen aan hun zelfstandigheid.

Schluss is met recht dé doorzetter, want nu voor de tweede keer genomineerd. Schluss heeft als missie dat iedereen de baas wordt over zijn of haar gegevens op internet en zo zelf kan bepalen wie wat van hen mag weten. Meer zeggenschap van gebruikers over hun eigen gegevens is een belangrijk goed en Schluss draagt bij aan maatschappelijke bewustwording omtrent privacyrechten van burgers. Schluss heeft daarbij inmiddels een duidelijke nuance in de omvang van het gebruik van haar toepassing aangebracht en faciliteert nu per ‘use case’ privacyvriendelijke gegevensuitwisseling.

Bedrijfsoplossingen

Privacy op Schooltas is een privacy-bewustwordingstool voor leerkrachten. Aan de hand van ‘escaperoom-achtige’ opdrachten maken leraren op een speelse en spannende manier kennis met zaken die mis kunnen gaan op het gebied van informatiebeveiliging en privacy van leerlingdata, zoals fouten in leerlingdossiers, datalekken en agenda’s met inloggegevens. Deze tool is genomineerd omdat het op een innovatieve wijze werkt aan bewustwording op de werkvloer. Het speelse element versterkt de kennisoverdracht en zet aan tot gesprek met collega’s over hoe in de dagelijkse praktijk privacybescherming vorm te geven.

Privacy Designer: MKB-bedrijven zijn de motor van de Nederlandse economie en dienen ook te voldoen aan de AVG. De gratis app/website Privacy Designer van Privacy Company en SURF helpt hen om snel en eenvoudig inzichtelijk te krijgen welke maatregelen genomen moeten worden.

Overheidsdiensten

Passantentellingen is een nieuw privacyvriendelijk concept dat de gemeente Nijmegen als eerste in Nederland in haar binnenstad gaat toepassen. Met camera’s worden ‘on the flight’ personen en looppatronen anoniem geregistreerd. Puntjes en streepjes zijn het resultaat.

Project privacy by design: de Belastingdienst werkt datagedreven en wil dat goed doen. Bij de afdeling Datafundamenten & Analytics van de Belastingdienst is nu een project gaande om privacy by design binnen de organisatiestructuur in te bedden. Onderdeel daarvan is het pseudonimiseren van alle data. Bepaald geen sinecure.

Tevens zal de vakjury op eigen initiatief een speciale Aanmoedigingsprijs uitreiken.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

 
Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op maandag 28 januari 2019 in Nieuwspoort (Den Haag) worden de zeven genomineerde projecten door de inzenders aan het publiek gepresenteerd. De vakjury reikt vervolgens de Nederlandse Privacy Awards 2019 uit.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Op 28 januari 2019 (de Europese Dag van de Privacy) worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Privacy Award is de belangrijkste prijs in Nederland voor organisaties en bedrijven die op een positieve manier met privacy willen omgaan. Privacy als kans in plaats van obstakel. Dit jaar zal de jury extra nadruk leggen op het feit dat privacy meer moet zijn dan informed-consent en de controle geven aan de burger. Veel meer zelfs”, aldus Bart van der Sloot, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m zondag 14 oktober 2018 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Uiterlijk begin december 2018 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
> Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
> Matthijs Koot, senior security specialist, Secura BV
> Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
> Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

NATIONALE PRIVACY CONFERENTIE 2018 

Op dinsdag 30 januari 2018 organiseerden ECP|Platform voor de InformatieSamenleving en Privacy First in het Amsterdamse Volkshotel gezamenlijk de allereerste Nationale Privacy Conferentie. Met de snelle digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Tijdens de conferentie probeerden wij gezamenlijk antwoorden op deze vragen te vinden.

SPREKERS

Aleid Wolfsen (Autoriteit Persoonsgegevens)

Onze eerste keynote speaker was Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Hij begon zijn presentatie met het filmpje dat te vinden is op www.hulpbijprivacy.nl, de nieuwe campagne van de Autoriteit Persoonsgegevens over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Dit is een bewustmakingscampagne voor iedereen over de rechten en plichten die voortvloeien uit de nieuwe Europese privacywetgeving.

De huidige Wet bescherming persoonsgegevens (Wbp) wordt ingetrokken, want die wet is verouderd en niet up-to-date met de huidige digitale samenleving. De Algemene Verordening Gegevensbescherming is technologieneutraal en voorziet in die behoefte.

Het recht op privacy is een grondrecht en is ook in verschillende Europese verdragen opgenomen. Dit recht wordt door de EU uitgewerkt in wetgeving door middel van richtlijnen en verordeningen. De Algemene Verordening Gegevensbescherming heeft directe werking in de lidstaten.

“Als we praten over privacy, dan praten we ook over de fundamenten van de Nederlandse rechtsorde. Als je het privacyrecht van mensen schendt, dan raak je die fundamenten. En die fundamenten van de Nederlandse rechtsorde zijn 1) gelijkheid, 2) solidariteit, 3) de klassieke vrijheidsrechten en als laatste de democratische rechtsstaat.”

Privacy was vroeger een stuk eenvoudiger, je deed bijvoorbeeld de gordijnen dicht en niemand kon zien wat je op tv keek of welke boeken je in de kast had staan. Het privacyrecht wordt alsmaar belangrijker, aangezien alle gegevens kunnen worden opgeslagen en aan elkaar kunnen worden gekoppeld. Wanneer we zouden kijken in de telefoon van de bezoekers van deze conferentie en zouden opzoeken wat hun laatste zoektermen waren in een zoekmachine, dan zouden we wellicht meer weten over de bezoekers dan zijn/haar partner en ook meer weten over je gezondheid dan je huisarts. Daarom is het zo belangrijk dat er nu in Europees recht is vastgelegd dat je persoonsgegevens worden beschermd.

Waar gaat het nou eigenlijk om bij privacy?
Privacy is bescherming tegen een almachtige, alwetende overheid. Het recht om met rust gelaten te worden, om onbevangen overal jezelf kunnen zijn, zonder dat je gevolgd wordt en bespied wordt of dat overal camera’s hangen. Dat je als vrij burger, in een vrij land, vrij kunt leven. Dat je alleen maar prijsgeeft waarvan jij denkt dat dat prijsgegeven moet worden. Daarom wordt dataprotectie per dag alsmaar belangrijker.

De drie pijlers onder de AVG
De eerste pijler is versterking en verbreding van de privacyrechten van mensen. Zoals het recht op inzage, de toestemming wordt strenger, recht op correctie, recht op vergetelheid, dataportabiliteit en het recht om te kunnen klagen. Als je vanaf 25 mei as. denkt dat je onrecht wordt aangedaan, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen en die klacht gaat de Autoriteit verplicht behandelen. Want als tweede pijler heeft de Autoriteit Persoonsgegevens als Europese privacytoezichthouder meer bevoegdheden gekregen. Indien de Autoriteit oordeelt dat bepaald handelen onrechtmatig was, dan zal de Autoriteit ook optreden. Dit kan door middel van een waarschuwing, maar ook door het opleggen van (draconische) boetes.

Als derde pijler: meer verantwoordelijkheden voor organisaties. De plicht om gegevensverwerkingen te melden bij de Autoriteit komt te vervallen, want elke overheid en bedrijf verwerkt inmiddels gegevens. Organisaties moeten wel een register bij gaan houden met wat ze verwerken en dit moet je ook kunnen verantwoorden. Elke overheidsinstelling en sommige private organisaties zijn verplicht om een Functionaris Gegevensbescherming aan te stellen. Daarnaast moeten bedrijven en overheden een Privacy Impact Assessment doen. Twee andere belangrijke beginselen voor verwerkingsverantwoordelijken zijn privacy by design – als je iets gaat ontwikkelen dan moet dat privacyvriendelijk worden ontwikkeld – en privacy by default.

Wat betekent de wet voor de toezichthouder?
De Autoriteit Persoonsgegevens is verantwoordelijk voor het toezicht en de handhaving van de wet, krijgt steviger boetebevoegdheden, internationale samenwerking, grensoverschrijdende bevoegdheden, voorlichting voor het algemeen publiek en aan organisaties.

Wanneer is een Functionaris Gegevensbescherming verplicht?
Overheden en publieke organisaties zijn altijd verplicht een functionaris gegevensbescherming te hebben. Daarnaast ook wanneer een organisatie bijzondere persoonsgegevens verwerkt, zoals een zorginstelling, of indien je grootschalig mensen observeert.

Antwoorden op vragen uit het publiek:

Wat gebeurt er met het geld van de boetes?
Deze gaan terug naar de Rijkskas, naar de algemene middelen.

Kunt u meer vertellen over de Uitvoeringswet van de AVG en heeft het invloed op Europese samenwerking?
De Uitvoeringswet ligt momenteel nog bij de Tweede Kamer. Nederland probeert de AVG zo neutraal mogelijk te implementeren, want hoe meer we zouden afwijken, hoe moeilijker het zou worden om op Europees niveau samen te werken.

Is er een overgangstermijn voor de handhaving?
Nee, er is geen overgangstermijn, want de inwerkingtreding heeft al heel lang geduurd. In 2016 is er nog twee jaar extra gegeven voor de inwerkingtreding zodat bedrijven compliant met de AVG kunnen worden.

Klik HIER voor de presentatie van Aleid Wolfsen (pdf).

Gerrit-Jan Zwenne (Universiteit Leiden)

De tweede keynote speaker was Gerrit-Jan Zwenne, als hoogleraar verbonden aan het eLaw Centrum voor Recht en Digitale Technologie van de Universiteit Leiden. Zwenne plaatste in zijn betoog een aantal kanttekeningen bij de privacywetgeving en begon met een citaat van Niels Bohr: “It’s hard to make predictions. Especially about the future.” Onze wetgever doet voorspellingen over de toekomst en technologische ontwikkelingen. Wat was het begin van het moderne denken over privacy? In vrijwel alle scripties die Zwenne voorbij ziet komen staat een voetnoot of citaat uit een belangrijke publicatie uit 1890 door Samuel Warren en Louis Brandeis in de Harvard Law Review. Zij schreven een artikel over the right to be left alone naar aanleiding van een technologische ontwikkeling, namelijk het draagbare fototoestel. Een aantal andere ontwikkelingen, zoals de trein en de krantenpers, zorgden ervoor dat een beeld binnen aanzienlijke tijd het hele continent kon bereiken. Hierover dachten Samuel Warren en Louis Brandeis na: zou dit allemaal zomaar mogen, je zou toch het recht moeten hebben om met rust gelaten te worden?

Waar komt onze eigen huidige privacywetgeving vandaan? Ook dat is een reactie op technologische ontwikkelingen en dan denken we vooral aan de computer. Al in de jaren 50 zorgden computers voor vrees over wat er met de gegevens gebeurde. Begin jaren 70 richtte de maatschappelijke discussie zich op het profileren door middel van computers. Moeten we het machtsevenwicht dat is verstoord door computers, doordat gegevens worden vastgelegd, reguleren door middel van wetgeving en de burger rechten geven over wat er is vastgelegd in die computer? In Nederland werd toen de Commissie Koopmans ingesteld, deze heeft een rapport geschreven dat is behandeld in de Tweede Kamer, maar daar is vervolgens niks mee gedaan. In Duitsland is toen wel wetgeving gekomen, als directe reactie op de technologische ontwikkelingen. Uiteindelijk is dat de basis geweest voor de Europese Privacyrichtlijn (95/46/EC) en onze Wet bescherming persoonsgegevens (Wbp). Bij nieuwe wetgeving probeer je te voorspellen wat de komende technologische ontwikkelingen zijn, aangezien je wilt dat de wet toekomstbestendig is. In het juridische domein lossen we dat op door open begrippen en vage normen. We bedenken nieuwe rechten en soms zijn die experimenteel. Een gewaagd en interessant experiment is het recht op vergetelheid. Dat is eigenlijk een wat merkwaardig experiment; we hebben nog geen idee wat dat betekent voor onze samenleving. En het is ook te ongenuanceerd. Daarnaast is er dataportabiliteit, waarbij je gegevens van de ene partij kan overdragen naar een andere partij. De partijen moeten de gegevens helder aan de consument verstrekken, vaak zul je hierbij eigen ‘kluisjes’ krijgen bij bedrijven, mijn-telecomprovider, mijn-muziekdienst, mijn-energiedienst. En daaraan kleven ook privacyrisico’s, onder andere qua beveiliging en ook wanneer je van de ene partij wilt overstappen naar een ander. Dit kan al snel via één klik, maar je wilt hierbij ook een sterke authenticatie.

Het recht op vergetelheid
De Chinese keizer Qin Shi Huangdi liet alle boeken van vorige regimes verbranden. Dat is het gevoel dat Gerrit-Jan Zwenne een beetje heeft bij het recht op vergetelheid. Is het een goed idee dat we de geschiedenis op die manier gaan herschrijven? Inmiddels is hij wat genuanceerder, in de tijd van Big Data, dat we iets moeten hebben wat lijkt op het recht op vergetelheid, maar wellicht is het nu nog te absoluut. Misschien moet het vergeetrecht gelden voor vijf of tien jaar en daarna krijg je een jaar van te voren een mededeling, mocht je het langer willen laten gelden, dat je een nieuw verzoek moet doen. We moeten die rechten in balans brengen met het recht op informatie en het recht op vrijheid van meningsuiting. Zo’n absoluut vergeetrecht is niet alleen onhoudbaar, via bijvoorbeeld een VPN in de Verenigde Staten vind je de informatie toch wel weer, maar het is ook niet wenselijk. Het vergeetrecht is nog onvoldoende doordacht.

Er zijn volgens Zwenne nog meer gebreken in de privacywetgeving aan te wijzen. Deze definitie kent u natuurlijk: “’personal data’ means any information relating to an identified or identifiable natural person”. Dit is een kernbegrip uit de AVG en de Wbp en het is toch raar dat mensen met verstand van data, met verstand van informatie, zich afvragen waarom wij dat zo definiëren. Mensen met verstand van informatie definiëren informatie immers aan de hand van data. In de privacywetgeving wordt dat omgedraaid en dat kan helemaal niet, aldus Zwenne.

Klik HIER voor de presentatie van Gerrit-Jan Zwenne (pdf).

 “Onderzoeker”

Plots kwam een onderzoeker de zaal binnen. Op een ludieke manier testte hij de bereidwilligheid van aanwezigen om hun mobiele telefoon af te geven aan hun buurman of buurvrouw. Met de vragen die hij stelde probeerde hij in kaart te brengen welke informatie je wel wilt delen en welke niet. Het publiek van deze conferentie was op haar hoede en deelde weinig. De onderzoeker was een acteur van “Wat we doen”; een theatergroep die een maatschappelijk thema (dit keer privacy) onder de aandacht wil brengen van o.a. scholieren. Voor meer informatie hierover verwijzen we graag naar https://watwedoen.nl/.

Jaap-Henk Hoepman (Radboud Universiteit)

De derde spreker van de dag was Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab aan de Radboud Universiteit Nijmegen. Hoepman sprak met name over privacy by design:

Voor veel mensen is privacy by design een vaag begrip. Het gaat erom dat je privacyaspecten meeneemt in het hele ontwikkeltraject van systemen. Vanaf het moment dat je gaat nadenken van het concept van het systeem, tot het ontwerp en daarna de implementatie. Dat maakt privacy eigenlijk een soort software quality attribute, vergelijkbaar met security en performance. Daarnaast is privacy by design een proces, omdat het door het gehele ontwikkelproces moet worden meegenomen.

Waarom is privacy by design belangrijk?
Privacy by design beperkt privacy-risico’s en daarmee ook eventuele reputatieschade of herstelkosten. Wie verkleint, vermindert of voorkomt kan deze schade beperken, onder het motto: “Wat je niet hebt kun je ook niet verliezen.” Een ander aspect dat onderbelicht is, is dat het nieuwe business mogelijk maakt, net zoals security by design internetbankieren mogelijk maakt. Privacy by design is noodzakelijk als je dingen in bijvoorbeeld de zorg, Internet of Things of Quantified Self voor elkaar wilt krijgen op een verantwoorde manier. En als laatste waarom privacy by design noodzakelijk is, is omdat het een vereiste is uit de AVG.

In Nijmegen heeft men nagedacht over privacy design strategies waarin vage juridische normen worden vertaald naar een achttal (technische) ontwerpeisen. Dit zijn acht onderwerpen waar je als techneut over moet praten met de business en de juridische afdeling als het gaat om het ontwerp van het systeem.

Data georiënteerde strategieën
Als je kijkt naar een informatieverwerkend systeem als een database, waarbij gegevens worden verzameld over individuen, en over die individuen worden verschillende attributen verzameld, zoals leeftijd, adres, naam et cetera, dan is minimaliseren één van de eerste dingen die je kunt doen, dus niet alle mogelijke attributen verzamelen, maar daar een selectie uit maken. Als tweede kan je attributen in verschillende databases stoppen, zodat data niet gecombineerd kunnen worden. Het derde wat je kan doen is gegevens abstraheren, door bijvoorbeeld te registreren of iemand ouder is dan achttien in plaats van de specifieke leeftijd. En het laatste wat je kunt doen, bij een kleinere database, is deze adequaat te beschermen.

Proces-georiënteerde strategieën
Ten eerste: informeer gebruikers over de verwerking van hun persoonsgegevens. Geef vervolgens gebruikers controle over de verwerking van hun persoonsgegevens. Daarna committeer je aan een privacyvriendelijke verwerking van persoonsgegevens en dwingt dit af. En als laatste toon je aan dat je op een privacyvriendelijke wijze persoonsgegevens verwerkt.

Het scheiden van gegevens
Het is belangrijk om na te denken over het fysiek scheiden van gegevens en na te denken over een ontwerp van een systeem waarin deze gegevens niet centraal worden verzameld, maar op bijvoorbeeld individuele apparaten van gebruikers. Een interessant voorbeeld hiervan is de mogelijkheid op een iPhone om op basis van gezichtsherkenning automatisch mappen aan te laten maken en foto’s te selecteren; dit gebeurt op de smartphone zelf en niet in een centraal systeem. Een ander goed voorbeeld hiervan heeft betrekking op social media. Facebook is centraal georganiseerd: alle informatie staat centraal opgeslagen bij Facebook. Maar als je kijkt naar de functionaliteit, namelijk het directe contact met vrienden en kennissen, dan zou je dit ook peer-to-peer kunnen doen. En dat dan de gegevens die je wilt delen op je eigen smartphone staan en dat je die direct deelt met de smartphone van vrienden en kennissen. Dat is een hele andere manier van denken, en hierover kun je nadenken bij de ontwikkeling van elk systeem.

Gegevens abstraheren
Dit houdt in dat je gegevens niet in detail verwerkt, maar dit meer in abstracto doet. Een van de triviale voorbeelden waarin dit is toegepast is in de slimme energiemeter. Bij de eerste slimme meter was het idee nog dat je gebruik realtime zou worden doorgegeven aan de leverancier. Dit gaf veel ophef, omdat dat veel informatie prijsgeeft over je persoonlijke levenssfeer. Daarom verzamelt de slimme meter nu je verbruik en geeft het totaal elke drie maanden door. Andere voorbeelden zijn leeftijdsverificatie: als je alleen hoeft te weten of iemand ouder is dan achttien, dan heb je niet per se de geboortedatum nodig.

Informeren
Zorg ervoor dat gebruikers direct op een makkelijke manier inzage hebben in de gegevens die jij van hen hebt verzameld. De meeste bedrijven hebben inmiddels wel een portal zoals mijn-internetprovider, mijn-telefoonprovider et cetera, waarbij gebruikers worden geïnformeerd.

Op de latere vraag vanuit de congresorganisatie wat Hoepmans ervaring was van deze middag antwoordde hij: “Goed te zien dat er steeds meer privacyvriendelijke oplossingen op de markt komen. Privacy by design is vooral een kwestie van *willen* en dan doen. Wel is extra aandacht nodig voor een goede uitwisseling van kennis tussen de verschillende partijen: er is in de techniek veel meer mogelijk dan de meeste organisaties weten. Daardoor blijven potentieel super-privacyvriendelijke oplossingen liggen.”

Klik HIER voor de presentatie van Jaap-Henk Hoepman (pdf).

Panel

Moderator Marjolijn Bonthuis (ECP) onderwierp het panel aan een aantal stellingen. De reactie van het publiek op de stellingen was vaak eensgezind, maar soms ook verschillend van mening. Vanuit het panel reageerde Tim Toornvliet (Nederland ICT) later als volgt: “Ik vond het een mooie mix van privacy-experts en privacy voorvechters. Het was inspirerend om te zien hoe de genomineerden met innovatieve technische oplossingen de privacy van gebruikers willen verbeteren”.  “Privacy is springlevend!” is een uitspraak van panellid Lennart Huizing (Privacy Company). Hij vond het heel grappig dat de reactie van de zaal op de stelling ‘privacy is belangrijker dan veiligheid’ massaal was: “dat is een valse dichotomie!” Dan heb je een interessant publiek gevonden... Het tastbare ongemak rondom het afgeven van mobieltjes aan de buurman vond hij ook heel boeiend.

Nederlandse Privacy Awards

Genomineerden

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen:
IRMA (I Reveal My Attributes)
Schluss

Bedrijfsoplossingen:
TrustTester
Personal Health Train

Overheidsdiensten:
Jeugd Implementatieplan Privacy (gemeente Amsterdam)

Na de discussie met panel en publiek kregen de vijf genomineerden de kans om hun verhaal te vertellen: Schluss, Personal Health Train, IRMA, TrustTester en Jeugd Implementatieplan Privacy (gemeente Amsterdam) deelden hun mooie initiatieven met de zaal.

Presentaties

IRMA (pdf) https://www.youtube.com/watch?v=q6IihEQFPys

Schluss (pdf) https://www.youtube.com/watch?v=f-cU5Izs5EI

TrustTester (pdf) https://www.youtube.com/watch?v=JCivU3LQg-8

Personal Health Train (pdf) https://www.youtube.com/watch?v=Sn-KK4reRGg

Jeugd Implementatieplan Privacy, gemeente Amsterdam (pdf)

Winnaars

Na afloop van de Award-pitches door de genomineerden nam juryvoorzitter Bas Filippini (Privacy First) het woord en kon Bart Jacobs van IRMA de felbegeerde allereerste Nederlandse Privacy Award in ontvangst nemen. IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authenticeren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’). Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan.

In het bredere kader van Nederland Privacy Gidsland is IRMA door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam). 

De middag werd afgesloten met een borrel waar de winnaars de felicitaties in ontvangst namen en de sprekers hun verhaal verder toelichtten. Deze editie smaakt naar meer! Binnenkort volgt meer informatie over volgend jaar.

Voor meer informatie over de privacy by design community verwijzen we graag naar https://ecp.nl/community-privacy-by-design.

Tot de volgende editie!

Privacy First en ECP | Platform voor de InformatieSamenleving

Privacy First organiseerde deze editie van de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

IRMA en Referendum-studenten winnen Nederlandse Privacy Awards 

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag de allereerste Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Grote winnaar van de Nederlandse Privacy Awards 2018 is IRMA (I Reveal my Attributes). Daarnaast ontvingen de studenten achter het Sleepwet-referendum de Aanmoedigingsprijs.

Winnaar: IRMA (I Reveal my Attributes)

IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authentiseren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’).

Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De Awards-jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan. IRMA is door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

Winnaars: ‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam).  Foto: Maarten Tromp.

Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt voortaan jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en de Nederlandse Privacy Awards is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2018 waren achtereenvolgens:  

Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens
Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij (Universiteit Leiden)
Jaap-Henk Hoepman, associate Professor Privacy by Design (Radboud Universiteit Nijmegen)

Ulco van de Pol, voorzitter Commissie Persoonsgegevens Amsterdam  
Tim Toornvliet, Nederland ICT
Lennart Huizing, Privacy Company.

Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens.  Foto: Maarten Tromp

Jury Nederlandse Privacy Awards

De onafhankelijke vakjury van de Awards bestaat uit privacy-experts uit diverse sectoren:
• Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
• Paul Korremans, data protection & security professional, Comfort Information Architects
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Bart van der Sloot, senior researcher, Tilburg University
• Marjolein Lanzing, promovenda Filosofie & Ethiek, Eindhoven University of Technology.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Nationale Privacy Conferentie 2018

Hét privacy congres van Nederland!

Op dinsdag 30 januari 2018 organiseren ECP|Platform voor de InformatieSamenleving en Privacy First gezamenlijk de allereerste Nationale Privacy Conferentie. De Nationale Privacy Conferentie brengt relevante spelers samen en biedt u de gelegenheid te leren van de fine fleur van het Nederlandse privacyveld. Tijdens deze conferentie worden ook de Nederlandse Privacy Awards uitgereikt aan bedrijven en overheden die hebben laten zien dat zij privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm maken.

Privacy als missie

Met de digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Privacy First en ECP gaan graag samen met u deze uitdaging aan en bieden u daartoe met deze conferentie de nodige kennis en inspiratie.

Nederlandse Privacy Awards

Tijdens de conferentie worden de nieuwe Nederlandse Privacy Awards uitgereikt. Privacy is immers méér dan louter compliance: duurzame privacy vergt bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Privacy by design vormt daartoe de sleutel.

Nominaties

Uit de inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

 
Naast deze genomineerden kan de jury op eigen initiatief een Aanmoedigingsprijs uitreiken t.b.v. een baanbrekende technologie of persoon.

Tijdens de conferentie worden de genomineerde projecten aan het publiek gepresenteerd. De vakjury maakt vervolgens bekend wie de winnaars zijn van de Nederlandse Privacy Awards 2018.

Het congresprogramma ziet er als volgt uit:

13:00u Inloop

13:30u Start congres

13:35u Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens

14:05u Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij (Universiteit Leiden)

14:35u Sell me your secret (theatergroep Stichting WAT WE DOEN)

14:45u Break

15.00u Jaap-Henk Hoepman, associate Professor Privacy by Design (Radboud Universiteit)

15.30u Paneldebat en publieksdiscussie

16:15u Uitreiking Nederlandse Privacy Awards

17:00u Afsluitende borrel

Aanmelden

U kunt zich aanmelden voor deze conferentie door het inschrijfformulier op de website van ECP in te vullen. Nadat u zich heeft aangemeld, krijgt u de uitnodiging met het volledige programma per email toegestuurd. NB: het aantal beschikbare plaatsen is reeds beperkt, wees er dus tijdig bij!

Nationale Privacy Conferentie

Datum: dinsdag 30 januari 2018
Locatie: Volkshotel Amsterdam (zaal Riet), klik HIER voor een routebeschrijving
Tijd: 13.30 – 18.00u.

Op 30 januari 2018 worden door Privacy First in het Amsterdamse Volkshotel de nieuwe Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten) 

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. aanmoedigingsprijs voor een baanbrekende technologie of persoon.

De Nederlandse Privacy Awards geven een podium aan bedrijven en overheden die Privacy zien als een kans om zich positief te onderscheiden. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw Privacy Innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor Privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m 30 november 2017 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2017 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Organisatienaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Bart van der Sloot, senior researcher, Tilburg University
> Marjolein Lanzing, promovenda Filosofie & Ethiek, Eindhoven University of Technology.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Tijdens het Nationaal Congres Dataprotectie & Privacy 2016 worden de jaarlijkse Nationale Privacy Innovatie Awards uitgereikt. Deze Awards belonen de meest originele, innovatieve en kansrijke privacyprojecten van Nederland.

IIR en Privacy First belichten met deze Awards organisaties die privacy-innovatie zien als kans om zich positief te onderscheiden en privacyvriendelijk te ondernemen. Dit in lijn met de missie van Privacy First: Nederland Privacy Gidsland.

Uit de vele inzendingen heeft de vakjury de volgende genomineerden per categorie bepaald:

Jury IIR Nationale Privacy Innovatie Awards
De jury bestaat uit privacy experts uit verscheidene branches en sectoren:
• Bas Filippini, oprichter en voorzitter, Privacy First (juryvoorzitter)
• John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
• Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
• Jaap Henk Hoepman, Scientific Director, Privacy & Identity Lab.

De verkiezing
Tijdens het congres worden de zes genomineerde projecten aan het publiek gepresenteerd. De vakjury bepaalt wie de winnaars worden van de IIR Nationale Privacy Innovatie Awards 2016. Daarnaast stemt het publiek live mee voor de publieksprijs, die naast de Awards wordt uitgereikt.

Op woensdag 14 september 2016 tijdens het Nationaal Congres Dataprotectie & Privacy wordt bekendgemaakt wie deze prestigieuze prijzen in de wacht sleept.

Lees HIER meer over de IIR Nationale Privacy Innovatie Awards.

Tijdens de conferentie Dataprotectie & Privacy op 14 september 2016 in Amsterdam (Westcord Fashion Hotel) worden de IIR Nationale Privacy Innovatie Awards 2016 uitgereikt. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury. Evenals in 2015 steunt Privacy First de IIR Nationale Privacy Innovatie Awards 2016 van harte en verwacht dat de uitreiking ook dit jaar een groot succes zal worden.  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Bedrijfsoplossingen

2. categorie Consumentenoplossingen

3. categorie Overheidsdiensten

4. categorie Start-ups

De Awards geven een podium aan bedrijven en overheden die Privacy Innovatie zien als kans om zich positief te onderscheiden. Maximaal 8 bedrijven/overheden die werken met privacy-innoverende projecten mogen gratis naar het congres komen en maken kans op één van de titels!

Maak kans op gratis congreskaarten

IIR zoekt originele, innovatieve en kansrijke Privacy Innovatie Projecten (een product, proces, procedé of dienst). Het is een voorwaarde dat u met uw innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere bedrijven waardoor Privacy niet alleen wordt gezien als belemmering, maar vooral als kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces, procedé of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces, procedé of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces, procedé of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de winnaar

Organisaties kunnen zich t/m 31 juli 2016 aanmelden voor de Privacy Innovatie Awards door een email met korte toelichting over het Privacy Innovatie Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Jasper Savenije (IIR) via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Na 1 augustus 2016 hoort u of u een plaats heeft bemachtigd voor de Awardsuitreiking. Vervolgens ontvangt u van IIR een uitnodiging om een korte pitch tijdens het congres voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Bedrijfsnaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
> Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
> Jaap-Henk Hoepman, Scientific Director, Privacy & Identity Lab.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Lees HIER over de winnaars van de IIR Nationale Privacy Innovatie Awards 2015 en bekijk ook onderstaande video-impressie!