Toon items op tag: Maatschappij

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsreceptie! Deze zal plaatsvinden op donderdagavond 19 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van de Shared Democracy: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak zal Privacy First voorzitter Bas Filippini hier onze visie op geven. Vervolgens vertelt ICT-onderzoeker Brenno de Winter over de problemen rond privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur. In zijn nieuwe boek Digitale Stormvloed legt hij pijnlijk bloot hoe informatiebeveiliging en privacybescherming tekortschieten en hoe we als samenleving kunnen sturen naar werkbare oplossingen.

Hoe kunnen we de Shared Democracy gebruiken om oplossingen te verwezenlijken? Graag gaan wij hierover met u in debat om gezamenlijk tot mogelijke antwoorden te komen, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2017!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 19 januari 2017, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Na talloze rechtszaken in diverse Europese landen is de kogel nu eindelijk door de kerk: in een baanbrekende uitspraak heeft het Europese Hof van Justitie deze week bepaald dat een algemene bewaarplicht van telecomgegevens (dataretentie) onrechtmatig is wegens strijd met het recht op privacy. Deze uitspraak heeft verstrekkende consequenties voor surveillance-wetgeving in alle EU-lidstaten, ook in Nederland.

Eerdere dataretentie in Nederland

In Nederland werden sinds 2009 onder de Wet Bewaarplicht Telecommunicatie ieders communicatiegegevens (telefonie- en internetverkeer) respectievelijk 12 maanden en 6 maanden door telecomproviders opgeslagen voor de opsporing en vervolging van strafbare feiten. Deze Nederlandse dataretentie-wetgeving vloeide voort uit de Europese Dataretentierichtlijn van 2006. In april 2014 verklaarde het Europese Hof van Justitie deze Europese richtlijn echter ongeldig wegens strijd met het recht op privacy. Vervolgens weigerde minister Opstelten (Justitie) de Nederlandse Wet Bewaarplicht Telecommunicatie in te trekken, waarna een brede coalitie van Nederlandse organisaties en ondernemingen in kort geding eiste dat de wet buiten werking zou worden gesteld. De eisers in dit kort geding waren Stichting Privacy First, de Nederlandse Vereniging van Strafrechtadvocaten (NVSA), de Nederlandse Vereniging van Journalisten (NVJ), het Nederlands Juristen Comité voor de Mensenrechten (NJCM), internetprovider BIT en telecomaanbieders VOYS en SpeakUp. De zaak werd gevoerd door Boekx Advocaten in Amsterdam, en met succes: in een uniek vonnis (wetten worden zelden door rechters buiten werking gesteld, laat staan in kort geding) stelde de rechtbank Den Haag op 11 maart 2015 per direct de gehele wet buiten werking. Vervolgens besloot de Staat niet in hoger beroep te gaan, waardoor het vonnis sindsdien definitief is. Vervolgens zijn de betreffende data bij alle relevante Nederlandse telecombedrijven gewist. Tot problemen in het kader van strafrechtelijke opsporing en vervolging lijkt dit tot nu toe niet te hebben geleid.

Europees Hof maakt definitief gehakt van massale data-opslag

Het oordeel van het Europees Hof uit april 2014 liet helaas nog enige ruimte voor interpretatie in hoeverre brede, algemene opslag van ieders communicatiedata alsnog zou kunnen worden toegestaan, bijvoorbeeld door streng rechterlijk toezicht vooraf op de toegang en het gebruik van die data. In een Zweedse en Britse zaak over dataretentie hakt het Europees Hof die knoop nu alsnog door ten gunste van het recht op privacy van iedere onschuldige burger op Europees grondgebied:

"Het Handvest van de grondrechten van de Europese Unie verzet zich tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronische communicatiemiddelen." Aldus het Hof.

Oftewel: massale opslag van ieders data ter opsporing en vervolging van strafbare feiten is onrechtmatig. Volgens het Hof gaat dit immers "verder dan strikt noodzakelijk en gerechtvaardigd is in een democratische samenleving".

In diplomatieke bewoordingen zegt het Hof hier eigenlijk dat dergelijke wetgeving niet thuishoort in een democratische rechtsstaat, maar in een totalitaire dictatuur. Dat is ook precies de bestaansreden van het Handvest van de Grondrechten van de Europese Unie (geïnspireerd door universele mensenrechten) waarop het oordeel van het Hof gebaseerd is.

Consequenties voor Nederland

Onlangs heeft Minister Van der Steur ("Veiligheid en Justitie") opnieuw een wetsvoorstel ter herinvoering van een brede, algemene telecom-bewaarplicht ingediend bij de Tweede Kamer. Tevens is momenteel een vergelijkbaar wetsvoorstel ter herkenning en bewaring van de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen, locatiedata) aanhangig bij de Eerste Kamer. Beide wetsvoorstellen zijn na de uitspraak van het EU Hof bij voorbaat onrechtmatig wegens strijd met het recht op privacy. Hetzelfde geldt voor geplande massa-opslag van kabeldata onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (en de internationale uitwisseling daarvan), eventuele toekomstige herinvoering van centrale databanken met ieders vingerafdrukken, nationale DNA-databanken, nationale registers met ieders financiële transacties, etc. etc.

Na de huidige uitspraak van het EU Hof is voor het Nederlandse kabinet dan ook maar één conclusie mogelijk: zowel het wetsvoorstel met de nieuwe telecom-bewaarplicht als het wetsvoorstel voor massale kentekenregistratie dienen per direct te worden ingetrokken. Zo niet, dan zal Privacy First dit opnieuw bij de rechter afdwingen. Hetzelfde geldt voor andere wetsvoorstellen waardoor het recht op privacy van onschuldige burgers massaal dreigt te worden geschonden.

Lees ook: https://www.nrc.nl/nieuws/2016/12/22/eu-hof-beperkt-opslag-van-data-tegenslag-voor-terreurbestrijders-5891446-a1537920 & https://www.security.nl/posting/497384/Privacy+First+dreigt+kabinet+met+rechtszaken+na+uitspraak+EU-hof.

Privacy First wenst u fijne feestdagen en een privacyvriendelijk 2017!  

De campagne Specifieke Toestemming van Privacy First en het Platform Bescherming Burgerrechten maakt na drie jaar actie de balans op.

Na bijna drie jaar actie te hebben gevoerd tegen de nieuwe EPD-wet van minister Schippers, mag onze campagne Specifieke Toestemming een bescheiden maar belangrijk succes vieren. De wet waartegen we hebben gelobbyd, is tot onze spijt aangenomen. Er zijn echter een aantal belangrijke lichtpunten, en nog meer redenen om de komende tijd deze wet en haar gevolgen zeer kritisch te blijven volgen. We beginnen met de lichtpunten:

Onze campagnemissie kreeg brede steun van maatschappelijke organisaties en academici

Een groot aantal maatschappelijke organisaties en academici op het gebied van privacy, ICT en gezondheidszorg onderschrijft de missie van onze campagne al sinds haar lancering. Die brede steun laat zien dat vele organisaties en personen met deskundigheid en statuur onze zorgen delen. Ons standpunt is dan ook verre van controversieel: we strijden om de rechten die patiënten al sinds vanouds hebben in de zorg ook te waarborgen bij het digitaal uitwisselen van medische gegevens. We zijn desalniettemin trots dat we al die tijd namens een grote en relevante groep onze boodschap onder de aandacht hebben kunnen brengen.

We hebben de politieke discussie over patiëntprivacy en toestemming op scherp gesteld

Vanaf haar lancering heeft Specifieke Toestemming een zeer duidelijk onderscheid gemaakt tussen specifieke, rechtmatige toestemming zoals die is vastgelegd in privacywetgeving en mensenrechtenverdragen, en de brede, generieke toestemming die minister Schippers mogelijk wilde maken met dit wetsvoorstel. Daarmee hebben we een belangrijke invloed gehad op hoe er over deze wet is gediscussieerd. Regelmatig werd onze input aangehaald in debatten die Eerste en Tweede Kamerleden met de minister voerden. Ook waren we deel van het expertpanel waarmee de Eerste Kamer in april dit jaar een hoorzitting organiseerde over de privacy-aspecten van de nieuwe EPD-wet.

Voor het eerst sinds de verwerping van het Elektronisch Patiëntendossier (EPD) werd weer een stevig inhoudelijk debat over patiëntprivacy gevoerd. We hopen dat onze campagne een basis heeft gelegd voor een duurzame discussie over hoe vertrouwelijkheid in de zorg in het digitale tijdperk dient te worden gewaarborgd.

Dankzij een cruciale motie blijven privacyvriendelijke alternatieve systemen mogelijk

Met de aanname van de motie-Teunissen, waarvoor we in de laatste dagen van het wetgevingstraject hard hebben gelobbyd, kunnen alternatieve systemen naast het Landelijk Schakelpunt (LSP) blijven bestaan. De regering wordt in de motie verzocht “ervoor zorg te dragen dat toegang tot het medisch dossier niet alleen gecentraliseerd, maar ook decentraal mogelijk zal blijven.”

Er zitten grote risico’s aan een centraal toegangssysteem zoals het LSP, zo waarschuwden hoogleraren tijdens de expertmeetings in de Eerste Kamer. Met de motie-Teunissen blijft het mogelijk om bij elke zorgverlener apart te kunnen aangeven welke gegevens deze met welke andere zorgverleners mag delen – zonder dat dit aan een centraal systeem zoals het LSP is verbonden. Zo voorkom je als patiënt dat je toestemmingen (en dus ook informatie over welke zorgverleners je bezoekt) in een landelijk register worden opgeslagen en blijven ze alleen bij de zorgverlener bewaard.

Er zal uiteraard krachtig op moeten worden toegezien dat de motie ook echt vorm krijgt en uitgevoerd wordt.

Helaas zijn er weinig echte lichtpunten te melden:

In zijn algemeenheid is deze wet een privacydraak die de patiëntprivacy en het medisch beroepsgeheim ondermijnt. Hieronder lichten we toe waarom, en waarop we de komende tijd strak moeten gaan letten.

De “gespecificeerde toestemming” die patiënten straks moeten geven is onbegrijpelijk

Deze wet introduceert een problematische vorm van toestemming: gespecificeerde toestemming. Anders dan de naam doet vermoeden, is deze vorm van toestemming weinig specifiek. Het kan alles betekenen van een ongerichte toestemming om tienduizenden zorgverleners in Nederland inzage in je dossier te geven, tot het beschikbaar stellen van een doktersrecept voor de apotheker om de hoek.

Gespecificeerde toestemming creëert de mogelijkheid om patiënten een vage toestemmingsvraag te stellen met onoverzichtelijke gevolgen. Een voorbeeld daarvan kan nu al worden gevonden in de folders die VZVZ verspreidt voor deelname aan het LSP. Mensen worden geregeld een opt-in formulier onder de neus geschoven met het verzoek te tekenen omdat anders de medicatieveiligheid niet gegarandeerd zou kunnen worden. Vergelijkbare risico’s voorzien we voor het nog te introduceren online patiëntenportaal, waarmee patiënten straks zelf de regie zouden moeten voeren over wie hun medische gegevens kunnen inzien. Hoe geïnformeerd is de toestemming die patiënten geven? Hoe wordt voorkomen dat men uit onwetendheid of “voor de zekerheid” maar een brede, ongerichte toestemming geeft? De praktijk van “gespecificeerde toestemming” zal scherp in de gaten gehouden moeten worden.

Overigens staat nog niet eens vast of de patiënt in de praktijk echt zo’n specifieke keus zal kunnen maken. De minister heeft het er zelf vooral over dat toestemming gegeven moet kunnen worden voor categorieën van zorgverleners. De huidige systemen (lees: het LSP) zijn niet uitgerust om iets anders dan generieke toestemming te geven en ICT-partijen en zorgkoepels moeten de komende drie jaar “gespecificeerde toestemming” vormgeven en implementeren – tot nog toe lijken deze partijen de toestemming steeds zo ruim mogelijk te willen maken. We bevelen de Tweede Kamer daarom met klem aan om dit traject kritisch te volgen. Om te voldoen aan de motie-Bredenoord (D66) zouden zowel de juridische uitwerking van “gespecificeerde toestemming” als de implementatie ervan onderwerp moeten zijn van Privacy Impact Assessments en de eisen zoals geformuleerd in de motie-Franken (2011).

De komende drie jaar wordt het uit de wet geschrapte Generieke Toestemming gedoogd

In de drie jaar dat “gespecificeerde toestemming” moet worden uitgewerkt en geïmplementeerd, wil de minister dat patiënten generieke toestemming kunnen geven: de toestemmingsvorm die de Tweede Kamer juist uit het wetsvoorstel schrapte. Dit plan diende minister Schippers zelf nog in tijdens de behandeling in de Senaat. Een kwalijke zaak waartegen Specifieke Toestemming fel heeft geageerd.

Hierdoor krijgt het LSP, dat zo ongeveer alles waartegen Specifieke Toestemming campagne voert in de praktijk brengt, ruim baan. Ook zullen de generieke toestemmingen die in de komende drie jaar worden gegeven naderhand geldig blijven. In de praktijk zal dit plan er dan ook op neerkomen dat VZVZ deze periode kan gebruiken om zoveel mogelijk patiënten met een brede generieke toestemming te laten deelnemen aan het LSP. De monopoliepositie van dit systeem zal dan binnen niet al te lange tijd een voldongen feit zijn.

Specifieke toestemming blijft echter een fundamenteel recht, vastgelegd in artikel 8 van het EVRM. Daar verandert de invoering van bredere toestemmingsvormen niets aan. Daarom is het ook zo kwalijk dat het LSP, een systeem dat enkel met generieke toestemming werkt, nu vrij doorgang krijgt. Er moet op worden toegezien dat ook na de invoering van dit wetsvoorstel het mogelijk blijft om specifiek toestemming te verlenen. Om dat recht op te eisen, is het nog steeds mogelijk om vanaf de website van Specifieke Toestemming een zeggenschapsbrief naar uw zorgverlener te sturen.

Het digitaal inzage- en afschriftrecht verklaart de patiëntprivacy vogelvrij

Tot slot hebben we grote bedenkingen bij het nieuwe recht van de patiënt om online een kopie van het medisch dossier te downloaden of dit in één keer te uploaden naar de cloud. Zonder de dossierhoudend arts (die een beroepsgeheim heeft) als tussenpersoon lopen patiënten een groot risico om hun medische gegevens zonder veel nadenken, met een druk op de knop af te staan aan partijen die niet gebonden zijn aan het beroepsgeheim. Zowel de LHV als de KNMG hebben reeds aangegeven grote risico’s te zien in een dergelijke achterdeur naar het medisch dossier.

De Tweede Kamer zou de implementatie van het online patiëntenportaal, dat ook toegang gaat geven tot de digitale kopie van het medisch dossier, daarom ook zeer kritisch moeten volgen.

Andere zaken om de komende tijd in de gaten te houden:

VP Huisartsen voert een rechtszaak tegen de landelijke uitrol van het LSP. De bodemprocedure startte in 2014 en momenteel loopt de cassatiezaak bij de Hoge Raad. In deze zaak speelt ook de toestemming die patiënten in het LSP kunnen geven een belangrijke rol.

Wetsvoorstel 33980 geeft zorgverzekeraars de bevoegdheid om bij een vermoeden van fraude het medisch dossier bij zorgverleners op te eisen. Dit alles zonder voorafgaande toestemming van de patiënt. Een onnodige en disproportionele inbreuk op de patiëntprivacy. PrivacyBarometer heeft een brievenactie waaraan iedereen zou moeten meedoen.

De Autoriteit Persoonsgegevens (AP) moet intensiever toezien op de uitwisseling van medische gegevens, zo stelt een motie van de Eerste Kamer. We maken ons echter grote zorgen over hoe de toezichthouder deze taak inhoudelijk zal opvatten. In de afgelopen jaren heeft de AP juist het LSP gefaciliteerd, door goedkeuring te verlenen aan de private uitrol van het systeem.

In hoeverre bestaat er een recht op contante of anderszins anonieme betaling? Hoe kan dit recht juridisch worden versterkt en technisch worden gerealiseerd?

Op donderdagavond 7 april 2016 vond op de kantoorlocatie van Privacy First (Volkshotel, Amsterdam) een enerverend publieksdebat plaats over het recht op anonieme betaling. Privacy First organiseerde dit debat omdat anoniem betalen steeds meer onder druk komt te staan. Contant betalen wordt uitgebannen, zonder dat daar anonieme digitale alternatieven voor in de plaats komen.

Privacy First voorzitter Bas Filippini opende de avond en het debat werd geleid door moderator Ancilla Tilia (columnist FD). Voor het debat waren een viertal gastsprekers uitgenodigd: Vincent Jansen (Innopay – Payments & Digital Identity), Bram Scholten (DNB), Eric Verheul (KeyControls/Radboud Universiteit Nijmegen) en Olivier Oosterbaan (Leopold Meijnen Oosterbaan Advocaten).

Ancilla Tilia begon de avond met haar column voor het Financieel Dagblad ‘Ik ben niet mijn bankrekening’, waarin zij zich afvraagt: ‘Wie komt er op voor het behoud van contant geld?’

Bas Filippini – voorzitter Privacy First

Vervolgens was het woord aan Privacy First voorzitter Bas Filippini. In zijn voorwoord benadrukte Filippini dat privacy niet alleen zij aan zij staat met veiligheid, maar dat het een basisprincipe is van onze democratische rechtsstaat. Het is een fundamenteel recht om anoniem te kunnen zijn in de openbare ruimte. Het recht op anonieme betaling vormt hier een belangrijk onderdeel van. We zijn de laatste jaren echter gegaan van ‘Cash is King naar Cash is Crimineel’. Filippini is benieuwd of er privacyvriendelijke alternatieven bestaan voor bankbiljetten en klinkende munten, en om te kijken of technologie het principe van anoniem betalen kan ondersteunen in plaats van ondermijnen.

Olivier Oosterbaan – Leopold Meijnen Oosterbaan Advocaten

Olivier Oosterbaan zet zich onder meer in voor privacy en tegen identiteitsdiefstal. Tijdens het publieksdebat legt hij een paar mogelijke verwerkingsgrondslagen uit in het kader van de Wet bescherming persoonsgegevens en de balans met de bescherming van de persoonlijke levenssfeer. Zo vertelt hij wie er mogelijk allemaal bij een parkeertransactie betrokken zijn en welke gegevens er worden gedeeld. Daarnaast laat je hiermee de gemeente weten dat je op een bepaalde plek gedurende een bepaalde periode bent geweest. Maar ook bij sommige winkels kan je alleen nog met pin betalen en laat je de bank daardoor weten dat je op een bepaalde plek bent geweest.

Vincent Jansen – InnoPay en Digital Identity

Vincent specialiseert zich in innovatief betalen en dat heeft in zijn kader weinig met cash geld te maken. Hij geeft een inleiding over context: hoe meer context je geeft aan een betaling, hoe minder anoniem je zult zijn.

Cash geld
In deze context: hoe vaker je bij een winkel komt, hoe meer informatie je deelt met de ontvangende partij, bijvoorbeeld wanneer je elke week bij je lievelingskoffietentje komt: op den duur weet men dat je daar elke week een lekkere latte macchiato komt halen. Door meer context te geven verdwijnt een deel van je anonimiteit.

Pinnen
Wanneer je gaat pinnen, krijgt de ontvangende partij informatie: op het bonnetje staan bijvoorbeeld de laatste cijfers van je bankrekeningnummer en je pasnummer. Hierdoor kan de ontvangende partij weten dat je een terugkerende klant bent. Als klant krijg je niet veel meer informatie dan wanneer je contant betaalt: je weet bijvoorbeeld de naam van de winkel en waar deze gevestigd is. Het verschil tussen pinnen en contant betalen is dus voornamelijk dat er een betaaldienstverlener tussen zit, die moet weten wie er wil betalen en aan wie er betaald moet worden. Hierbij dient de betaaldienstverlener te weten op welke tijd en bij welke vestiging je bijvoorbeeld bent en daarbij ontstaat een hele hoop data.

Overschrijving
Hoe zit het dan bij betaling door middel van overschrijving? Hierbij heb je indien je geld wilt overmaken veel informatie nodig van de begunstigde. Wat opmerkelijk is, is dat de begunstigde ook veel informatie krijgt, zoals het rekeningnummer, de tenaamstelling en ook de adresgegevens en woonplaats van de verzender.

Trends

• Crypto-currency als trend, het fenomeen dat je eigenlijk een soort van online cash kunt hebben. Dit is niet anoniem, maar een zekere vorm van pseudonimiteit waar geen bank tussen zit en waar we met zijn allen vaststellen wie het geld heeft en waar het zich bevindt. Het is een trend die relatief jong is, maar waar veel potentie in zit, in de vorm van het hebben van 'digitaal cash'.

• Een ander fenomeen is om reguliere transacties in de huidige betaalstructuur te pseudonimiseren. Dit is een generieke trend, waarbij gegevens niet meer te relateren zijn en waarbij er minder statische gegevens met de transactie worden meegegeven.

• Een andere trend vanuit de Europese Commissie is de Payment Service Directive die in 2018 van kracht zal zijn. Hierbij krijgen banken de opdracht om, als de klant dat wil, een rekening open te stellen voor betaaldiensten en informatiediensten. Anders gezegd: ik moet een provider vertellen dat jij namens mij naar mijn afschriften kunt kijken, in al mijn bankrekeningen, om bijvoorbeeld mijn budgetcoach te worden. Wat er echter waarschijnlijk gaat gebeuren is dat bankgegevens elders geraadpleegd kunnen worden en zullen worden opgeslagen.

• De laatste trend die benoemd wordt is Social Payments, voornamelijk in de peer-to-peer sfeer dat betalen steeds meer een onderdeel wordt van interactie en dat het juist heel 'cool' en leuk kan zijn om een betaling te verrijken met context. Zodat het gaat leven in de bankomgeving, door te vermelden waarom je betaalt, waar het was en hierbij bijvoorbeeld een leuke foto te plaatsen. Een ander fenomeen is dat IBANS (wat lastige dingen zijn) mogelijk vervangen zullen worden door 06-nummers en e-mailadressen, die ook weer extra herleidbaarheid met zich meebrengen.

Bram Scholten – De Nederlandsche Bank

Sinds 2012 maakt De Nederlandsche Bank (DNB) zich zorgen over de druk op contant geld. In de jaarverslagen van DNB wordt het belang van contant geld dan ook onderstreept. Bram Scholten stelt dat contant geld een bescherming van privacy geeft. Hij citeert uit het DNB jaarverslag van 2012: ‘In deze tijd waarin de samenleving langs elektronische weg steeds meer de persoonlijke levenssfeer binnendringt blijft daaraan behoefte bestaan’. De Nederlandsche Bank heeft zich ingezet om met marktpartijen zoals Detailhandel Nederland en de Nederlandse Betaalvereniging, die de banken vertegenwoordigd, in november 2015 in het Maatschappelijk Overleg Betalingsverkeer (MOB) in eigen kring uit te dragen dat voor toonbankbetalingen (betalingen buiten de deur) contant betalen mogelijk blijft. Daarmee wordt dus afstand genomen van het feit dat er soms geen contante betalingen meer mogelijk zouden zijn. De Nederlandsche Bank heeft gemeten dat de helft van alle betalingen nog met contant geld wordt gedaan.

Contant betalen is natuurlijk een mogelijkheid om anoniem te betalen. Als wij een recht zouden hebben om contant te betalen, dan zouden wij ook een rechtmatige mogelijkheid hebben om anoniem te betalen. In wezen is het zo dat in het Burgerlijk Wetboek contant betalen als de gewone manier van betalen wordt beschreven. Er moeten in principe nadere afspraken gemaakt worden om af te wijken van de wet om contant te betalen. In het rapport van het MOB is dan ook gesteld dat met name in situaties waarin er sprake is van een lokaal monopolie, zoals een apotheek in een gebied waar geen andere apotheken zijn, als je daar niet contant zou kunnen betalen, dan zou dit bepaalde mensen kunnen duperen, omdat mensen niet meer kunnen krijgen wat ze nodig hebben. Het MOB ziet dit als onwenselijk en vraagt zich ook af of het rechtmatig is om contant geld te weigeren. Dit is een open vraag en in wezen ook een vraag op het gebied van Europees recht, omdat op Europees niveau is vastgelegd dat contant geld een wettig betaalmiddel is. Er bestaat echter nog geen jurisprudentie van het Europees Hof van Justitie hoe dit moet worden toegepast en wat het begrip 'wettig betaalmiddel' precies inhoudt. Dat leent zich dus wellicht voor een proefproces.

Eric Verheul – Radboud Universiteit Nijmegen & Digital Security Group

Eric hield een presentatie over online betalen en online aanloggen. Wat gebeurt er precies wanneer je iets afrekent in een webshop? Bijvoorbeeld: Jan Jansen koopt iets in een webshop, wat hij precies aanschaft kan iets zeggen over hem als persoon, misschien is het wel iets waarvoor hij zich schaamt en waarvan hij niet wil dat iedereen het weet. Het zou ook kunnen dat die informatie bijzondere persoonsgegevens bevat. Wanneer je online betaalt, dan weet de bank wie jij bent en aan wie je betaalt. Dit kan vanuit privacy-oogpunt nadelig zijn, maar qua veiligheid prettig zijn. Hierdoor kan een bank bijvoorbeeld zien dat een betaling frauduleus is en deze betaling stopzetten. Daarnaast kan het voor de webshop handig zijn om je rekeningnummer te weten, wanneer zij bijvoorbeeld geld terug willen storten.

Dit staat in relatie met een online applicatie: je hebt bijvoorbeeld DigiD om te kunnen inloggen bij de Belastingdienst. Daarbij geldt dezelfde problematiek als met online betalingen, omdat je hierbij jezelf identificeert met bijvoorbeeld je naam of in sommige gevallen een pseudoniem. Zo’n toegangsdienst weet jouw identiteit en tot welke website jij toegang zoekt. En zo’n toegangsdienst zou bijvoorbeeld gehackt kunnen worden. Steeds meer zorginstellingen gaan werken met DigiD, maar hoe wenselijk is het dat DigiD weet dat jij een GGZ-instelling bezoekt? En wat als bijvoorbeeld een bank zo’n toegangsdienst verleent, hoe wenselijk is het dat zo’n partij dat allemaal weet? In de parallel met de fysieke wereld: dan weet iemand welke fysieke winkels jij allemaal bezoekt. Digitaal is het momenteel heel vanzelfsprekend dat dat allemaal zo gaat.

In 2014 hebben we een nieuwe techniek ontwikkeld: polymorfe pseudonimisering. Het werkt eigenlijk op dezelfde manier als bijvoorbeeld DigiD of een andere toegangsdienst, je moet alleen een speciale kaart laten zien en het bijzondere van die kaart is dat de toegangsdienst die die kaart leest niet je identiteit kan achterhalen, maar alleen versleutelde pseudoniemen kan aflezen. Hiermee verleent de toegangsdienst wel toegang tot een website, de website die je bezoekt weet met wie hij te maken heeft, maar de toegangsdienst heeft niet meer jouw (persoons)gegevens. Deze dienst zou je ook kunnen gebruiken voor online betalen, door bijvoorbeeld een encrypted e-wallet te vullen met geld. Met een bank kun je wel geld overmaken naar die e-wallet, maar de bank weet niet meer met wie hij precies te maken heeft, omdat de e-wallet is gepseudonimiseerd.

Na afloop van de inleidingen en presentaties volgde een publieksdebat, waarbij diverse vragen werden beantwoord en enkele aanbevelingen werden gegeven:

Aanbevelingen:

• Kijk naar het digitale betalingsverkeer en hoe dit privacyvriendelijker gemaakt kan worden.
• Contant betalen moet mogelijk blijven voor toonbankbetalingen (betalingen buiten de deur).

Een greep uit de vragen vanuit het publiek aan de gastsprekers:

In hoeverre is een prepaid creditcard een anoniem betaalmiddel?

• Voor een prepaid creditcard wordt identificatie gevraagd.
• Vaak moet ook een prepaid creditcard worden geactiveerd voor specifieke betalingen.

Hoe staan jullie er tegenover dat het briefje van 500 euro wordt uitgefaseerd?

• Het zal niet nuttig zijn in het kader van terrorismebestrijding.

Klik HIER voor de uitnodiging (pdf) die Privacy First voor dit evenement aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist!

In de visie van Privacy First omvat het recht op privacy ook het recht op anonieme betaling. Dit recht staat de laatste jaren echter steeds meer onder druk. Contant geld wordt meer en meer uitgebannen, zonder dat daar anonieme digitale alternatieven voor in de plaats komen. In hoeverre bestaat er een recht op contante of anderszins anonieme betaling? Hoe kan dit recht juridisch worden versterkt en technisch worden gerealiseerd?

Over deze en andere vragen debatteert Privacy First op 7 april as. onder leiding van moderator Ancilla Tilia (columnist FD) met een viertal gastsprekers: Vincent Jansen (Innopay – Payments & Digital Identity), Bram Scholten (DNB), Eric Verheul (KeyControls/Radboud University) en Olivier Oosterbaan (Leopold Meijnen Oosterbaan Advocaten). De avond wordt geopend door Privacy First voorzitter Bas Filippini. Na afloop van het publieksdebat sluiten we af met een borrel.

Iedereen is welkom en toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 7 april 2016, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Dit is tevens de kantoorlocatie van Privacy First. Een routebeschrijving vindt u HIER.

Klik HIER voor de uitnodiging die Privacy First onlangs aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! Bent u overigens al donateur van Privacy First? Dit kan ook anoniem! ;)

"Privacy, en het gebrek eraan, was een onderwerp dat vorig jaar bijna dagelijks in het nieuws kwam en gezien de resultaten van de poll verwachten de lezers van Security.NL dat privacy ook in 2016 weer veelvuldig de actualiteit zal beheersen.

Aanleiding voor Security.NL om drie organisaties die zich inzetten voor privacy, zowel buiten als op het internet, te vragen welke zaken dit jaar het nieuws zullen beheersen. Daarnaast zullen Bits of Freedom, Privacy Barometer en Stichting Privacy First laten weten waar ze zich op gaan richten en wat je dit jaar absoluut moet doen op het gebied van privacy.

Wetgeving

Alle drie de organisaties zien vooral voor de wetgever een belangrijke rol weggelegd als het om privacy gaat. "Komend jaar zal er vanuit de politiek al voorgesorteerd worden voor de verkiezingen in maart 2017. Het wetsvoorstel voor inbraakbevoegdheid voor de politie is net naar de Tweede Kamer gestuurd, maar het is maar de vraag of het kabinet het met andere gevoelige wetsvoorstellen nog aandurft. Zo is het uitbreiden van bevoegdheden voor de AIVD en MIVD zeer controversieel en dat wetsvoorstel staat ook niet genoemd op de lijst voor de komende maanden", zegt Reinout Barth van Privacy Barometer.

Daphne van der Kroft van Bits of Freedom stelt dat er de komende maanden in verschillende Europese landen voorstellen zullen verschijnen om massasurveillance door geheime diensten mogelijk te maken. "In Nederland gebeurt dat in de vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten. Het wordt spannend of ook onschuldige burgers daar de dupe van zullen worden", zo laat ze weten. Vincent Böhre van Privacy First kijkt onder andere naar de rol van privacy bij lokale overheden. "Met name de gemeenten zullen nadat de eerste stofwolken van de decentralisaties zijn neergedaald nog eens goed moeten nadenken hoe ze duurzaam met persoonsgegevens kunnen omgaan."

Meldplicht Datalekken

Ook verwachten alle drie de organisaties het nodige van de Europese privacywetgeving en de Meldplicht Datalekken die sinds 1 januari van kracht is. "Bedrijven en overheden zullen een tandje bij moeten zetten om aan de nieuwe regels te voldoen nu deze definitief zijn. De Wet Meldplicht Datalekken was een aardig voorproefje van wat komen gaat, bij veel organisaties bleek dat toch wel een big issue”, merkt Böhre op. In Nederland kan de Autoriteit Persoonsgegevens bij datalekken boetes van 820.000 euro uitdelen. Iets dat zeker impact zal hebben, aldus Van der Kroft. "Dat gaat betekenen dat bedrijven nu veel meer geneigd zullen zijn zich netter aan de wet te houden."

Bits of Freedom en Privacy First noemen ook het nieuwe privacy-akkoord dat tussen de Verenigde Staten en Europa moet worden gesloten, aangezien de Safe Harbour-overeenkomst vorig jaar ongeldig werd verklaard. "Tot nog toe zijn dat heel moeilijke onderhandelingen. We zijn benieuwd wat daaruit komt!”, laat Van der Kroft weten.

Volgens Barth zijn er daarnaast nog twee aandachtsgebieden die wat onder de radar zitten. Het gaat om de ontwikkelingen op het nieuwe eID-systeem als opvolger van DigiD. “Kunnen we straks nog anoniem het internet op of zullen we bij elke webshop of website ons moeten identificeren met het eID?”, vraagt hij zich af. Een ander punt zijn de leerlinggegevens die door uitgevers worden verzameld. "Sander Dekker [staatssecretaris van Onderwijs - red.] doet er luchtig over, maar dat uitgevers het gehele studiegedrag inclusief resultaten op BSN-nummer kunnen volgen is een flinke privacyschending, want zijn die gegevens voor de uitgever wel noodzakelijk? De visie van Dekker kan nog een flink debat in Tweede Kamer of bij ouders opleveren", verwacht Barth.

Speerpunten

Dat privacy op steeds meer plekken een rol speelt blijkt wel uit de verschillende punten waar de privacyorganisaties zich dit jaar mee gaan bezighouden. Bits of Freedom richt zich op verschillende wetsvoorstellen. "Het hackvoorstel moet van tafel. Als de politie wil kunnen hacken, heeft zij belang bij kwetsbaarheden in systemen. Daarmee wordt de internetter dus uiteindelijk alleen maar onveiliger. Dat willen we voorkomen”, zegt Van der Kroft. Ook wil de privacyvoorvechter het nieuwe voorstel voor de Bewaarplicht stoppen en dat het ongericht aftappen van de kabel door de geheime diensten uit het nieuwe voorstel voor de Wet op de inlichtingen- en veiligheidsdiensten wordt gehaald.

Bij Privacy First staan andere onderwerpen op de agenda. De stichting gaat zich richten op anonimiteit in de openbare ruimte, zoals cameratoezicht, ANPR (automatisch kentekenherkenning) en kentekenparkeren, Big Data en profiling, medische privacy en 'slimme' energiemeters. Verder verwacht Privacy First verschillende rechtszaken voort te zetten, waaronder 'Burgers tegen Plasterk', en nieuwe rechtszaken te starten, mogelijk tegen Facebook en ANPR.

Privacytips

Als het om privacybescherming gaat ligt de bal niet alleen bij privacyorganisaties. Er is genoeg dat burgers en internetgebruikers kunnen doen. Van der Kroft wijst daarbij naar de toolbox van Bits of Freedom, die verschillende privacytools bevat. Böhre van Privacy First combineert bewustzijn en techniek. "Behandel privacy net als je auto of tandarts en neem periodiek de tijd om na te gaan of je instellingen, programma's etc. nog op orde zijn en doen wat jij wilt", adviseert hij. Ook raadt hij aan om advertenties en trackingcookies te blokkeren en privacyorganisaties te steunen.

Privacy Barometer zet vooral in op bewustzijn. "De belangrijkste tip die we zouden willen meegeven is: probeer jezelf en je omgeving bewust te maken over al de persoonsgegevens die je deelt en met wie. We geven sommige bedrijven ongekend veel macht door in hun fuik te zwemmen en hen onze diepste geheimen toe te vertrouwen. Wil je Facebook en Whatsapp zo machtig maken dat het steeds moeilijker wordt zonder hen je leven te kunnen leiden?”, stelt Barth de vraag. “Laat grote internetbedrijven niet de baas over ons worden. Maak mensen bewust over persoonsgegevens, zoek alternatieven en promoot de mooiste daarvan in je eigen omgeving.""

Bron: https://www.security.nl/posting/457026/Privacy+in+2016%3A+van+wetgeving+tot+bewustzijn, 9 januari 2016.

"Ruim 20.000 mensen hebben vorig jaar in Nederland een boete gekregen omdat ze geen identiteitsbewijs bij zich hadden of zich weigerden te legitimeren. Vooral jongeren (18 – 30 jaar) worden vaak op de bon geslingerd. Zij kregen 4,5 keer vaker een boete dan dertigplussers.

Maar hoe werkt het nou precies met die identificatieplicht?

Wanneer moet je je ID-kaart laten zien en wanneer ga je op de bon?

Je bent formeel niet verplicht om een ID-kaart bij je te dragen. In Nederland hebben we namelijk een toonplicht, geen draagplicht. "Die keuze is bewust gemaakt, omdat er sinds de Tweede Wereldoorlog veel weerstand is tegen het verplicht bij je dragen van een persoonsbewijs", zegt jurist Vincent Böhre van Privacy First. "Tijdens de oorlog was iedereen verplicht zich te kunnen identificeren."

Böhre vroeg zich vanochtend bij het horen van het nieuws over het aantal boetes als eerste af hoeveel mensen protest hadden aangetekend tegen hun bon. "Het gebeurt vaak dat mensen in de buurt wonen en geen identiteitskaart bij zich hebben. Je kunt dan gewoon zeggen: loop maar even mee, dan laat ik 'm thuis zien. Zo werkt de toonplicht namelijk."
(...)"

Bron: http://nos.nl/op3/artikel/2074560-geen-id-kaart-bij-je-vraag-agent-even-mee-te-lopen.html. Zie ook http://nieuws.nl/algemeen/20151211/geen-id-op-zak-laat-hem-dan-thuis-zien-aan-oom-agent/.

Naschrift Privacy First: naast het onderscheid tussen toonplicht en draagplicht had Privacy First de NOS ook gewezen op het feit dat de politie mensen niet zonder reden om hun identiteitsbewijs mag vragen. Hier dient altijd een objectief gerechtvaardigde aanleiding voor te zijn, bijvoorbeeld een redelijke verdenking van een concreet strafbaar feit. In principe heeft iedereen in Nederland immers het recht op anonimiteit in de openbare ruimte. De overheid mag hier niet zomaar inbreuk op maken. Daarnaast blijkt in de praktijk vaak sprake van discriminatie ('etnisch profileren') en willekeur bij de toepassing van de identificatieplicht door (met name) de politie. Dit vormt een schending van het discriminatieverbod en werkt gevoelens van onveiligheid en stigmatisering van bevolkingsgroepen in de hand. Dit nog afgezien van de risico's die iedereen loopt door de op-afstand-uitleesbare RFID-chips in paspoorten en ID-kaarten, identiteitsfraude met verloren of gestolen identiteitsbewijzen, etc. Het advies van Privacy First blijft dan ook: paspoort of ID-kaart thuis laten en een eventuele boete aanvechten bij de rechter!

Naar aanleiding van de recente aanslagen in Parijs werd Stichting Privacy First vandaag geïnterviewd door BNR Nieuwsradio. Hoe kan Nederland het beste op dit soort aanslagen reageren? Hoe kan terrorisme worden bestreden zonder dat de privacy van onschuldige burgers wordt opgeofferd? Beluister hieronder het hele interview met Vincent Böhre van Privacy First:

Wie in Eindhoven een avondje gaat stappen wordt continu in de gaten gehouden door "slim" cameratoezicht met microfoons en monitoring van social media. De gemeente, de politie en ICT-bedrijf Atos denken Eindhoven op deze manier veiliger te kunnen maken. Privacy First zet hier grote vraagtekens bij en overweegt juridische stappen. Hieronder een eerste reactie van Privacy First voorzitter Bas Filippini bij RTL Nieuws en een radio-interview met Filippini bij Omroep Brabant:

© RTL Nieuws

Interview Omroep Brabant, 12 november 2015:

"Cash betalen is een grondrecht." 

Door de Telegraaf werd Privacy First voorzitter Bas Filippini deze week geïnterviewd over het recht op anoniem betalen en de gevaren van een cashloze samenleving. Hieronder het volledige krantenartikel:

"Vroeger was betalen een anonieme handeling. Dankzij het gemak van pinnen, 'pin only'-initiatieven en de opkomst van winkelen op internet laten burgers bij het afrekenen steeds meer sporen na. Maar wat gebeurt er eigenlijk met die gegevens?

In de jacht op zwartspaarders lukte het de Belastingdienst om alle transactiegegevens te bemachtigen van Nederlanders die betaalden met een betaalkaart van een buitenlandse bank. De betalingsgegevens werden drie jaar lang opgeslagen en konden naderhand gekoppeld worden aan klantgegevens van webwinkels of postorderbedrijven die adressen en andere informatie bewaren van hun klanten.

Het gemak waarmee de fiscus bij al die gegevens kon, verontrust Bas Filippini van Privacy First. Hij heeft geen goed woord over voor de methode die de Belastingdienst hanteert om zwartspaarders op te sporen.

„Moet iedereen dadelijk achterom kijken bij elke betaling die je doet?” Filippini vreest dat overheden in hun ijver om belastingontduikers en criminelen op te sporen „de hele maatschappij in een elektronische gevangenis zetten”. Daarom ijvert zijn stichting onder meer voor de bescherming van het fundamentele recht op anoniem betalen. Een recht dat aan alle kanten in het geding is, zo ziet Filippini met lede ogen aan.

Neem de parkeermeters die in steeds meer gemeenten opduiken en die geen muntgeld meer accepteren. Terwijl dat „toch een wettelijk betaalmiddel is”. Filippini bereidt een proces voor tegen gemeenten die muntgeld weigeren. Maar zijn acties tegen de verdringing van cash uit het reguliere betalingsverkeer krijgen nog niet massaal bijval in Nederland. Van de potentiële gevaren, die Filippini schetst, liggen de meeste landgenoten niet wakker.

Hoe anders is het sentiment in Duitsland waar veel burgers nog hangen aan betalen met papiergeld. In de pijnlijke historische wetenschap dat persoonsgegevens in verkeerde handen kunnen komen, is privacy bij de Oosterburen een groot goed. Daar is het niet ongebruikelijk om met een koffertje bankbiljetten een auto aan te schaffen. Maar als het op betalen aankomt is de internationale trend een andere. Steeds meer vooraanstaande economen pleiten voor een cashloze samenleving. En in Zweden denkt de politiek serieus na over een verbod op papiergeld.

Het is de criminalisering van cashgeld die Filippini dwars zit. „Bij de Belastingdienst en de FIOD leeft het hardnekkige misverstand dat zij criminaliteit voor 100 procent moeten oplossen. Maar dat betekent 100 procent controle en dan leef je niet meer in een rechtsstaat.”

Bovendien zijn data te manipuleren en kunnen er fouten sluipen in de databases. „Wie zet de vinkjes achter je naam? Zo creëren we een bureaucratisch monster.”"

Bron: De Financiële Telegraaf, 28 oktober 2015, p. 23; klik HIER voor het artikel bij de Telegraaf online. Een kortere versie verscheen dezelfde dag in het Noordhollands Dagblad, Leidsch Dagblad, IJmuider Courant, Haarlems Dagblad en De Gooi- en Eemlander.