Toon items op tag: Mass surveillance

Op 1 en 2 juli as. wordt Nederland in Genève kritisch onder de loep genomen door het Mensenrechtencomité van de Verenigde Naties. Dit comité is het VN-orgaan dat toezicht houdt op de naleving van één van de oudste en belangrijkste mensenrechtenverdragen ter wereld: het Internationale Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO-verdrag). Periodiek wordt ieder land dat partij is bij dit verdrag door het VN Mensenrechtencomité beoordeeld. Begin volgende week zal de Nederlandse regering zich bij het Comité moeten verantwoorden over diverse actuele privacykwesties die mede door Privacy First zijn geagendeerd.

De laatste Nederlandse sessie bij het VN Mensenrechtencomité dateert uit juli 2009, toen minister van Justitie Ernst Hirsch Ballin zich in Genève moest verantwoorden voor de destijds geplande centrale opslag van ieders vingerafdrukken onder de nieuwe Paspoortwet. Dit kwam de Nederlandse regering destijds op de nodige kritiek van het Comité te staan. Nu, 10 jaar later, is Nederland opnieuw 'aan de beurt'. In dit verband had Privacy First reeds eind 2016 een kritische rapportage (pdf) over Nederland bij het Comité ingediend en dit onlangs met een nieuwe rapportage (pdf) aangevuld. Kort samengevat heeft Privacy First bij het Comité onder meer de volgende actuele kwesties aangekaart:

- beperkte ontvankelijkheid van belangenorganisaties bij collectieve rechtszaken

- grondwettelijk toetsingsverbod

- profiling

- Automatische Nummerplaat Herkenning (ANPR)

- grenscontrole-camerasysteem @MIGO-BORAS

- OV-chipkaart

- digitale zorgcommunicatie (EPD)

- mogelijke herinvoering van telecom-bewaarplicht

- nieuwe wet op de inlichtingen- en veiligheidsdiensten ('Sleepwet')

- PSD2

- Passenger Name Records (PNR)

- afschaffing raadgevend referendum

- verbod op oorlogspropaganda.

De Nederlandse sessie bij het Comité zal op maandagmiddag 1 juli en dinsdagochtend 2 juli as. live te volgen zijn via UN Web TV. Naast diverse privacykwesties hebben meerdere Nederlandse organisaties ook talloze andere mensenrechtenkwesties bij het Comité geagendeerd; klik HIER voor een overzicht, inclusief de door het Comité reeds eerder vastgestelde List of Issues (waaronder de nieuwe wet op de inlichtingen- en veiligheidsdiensten, mogelijke herinvoering van een telecom-bewaarplicht, camerasysteem @MIGO-BORAS en medische privacy bij zorgverzekeraars). De uiteindelijke conclusies ('Concluding Observations') van het Comité volgen waarschijnlijk over enkele weken. Privacy First ziet een kritisch oordeel met vertrouwen tegemoet.

Update 26 juli 2019: gistermiddag heeft het Comité haar oordeel (“Concluding Observations”) over de Nederlandse mensenrechtensituatie gepubliceerd, waaronder de volgende kritische adviezen met betrekking tot twee Nederlandse privacy-kwesties die mede door Privacy First bij het Comité waren aangekaart:

The Intelligence and Security Services Act

The Committee is concerned about the Intelligence and Security Act 2017, which provides intelligence and security services with broad surveillance and interception powers, including bulk data collection. It is particularly concerned that the Act does not seem to provide for a clear definition of bulk data collection for investigation related purpose; clear grounds for extending retention periods for information collected; and effective independent safeguards against bulk data hacking. It is also concerned by the limited practical possibilities for complaining, in the absence of a comprehensive notification regime to the Dutch Oversight Board for the Intelligence and Security Services (CTIVD) (art. 17).
The State party should review the Act with a view to bringing its definitions and the powers and limits on their exercise in line with the Covenant and strengthen the independence and effectiveness of CTIVD and Toetsingscommissie Inzet Bevoegdheden (TIB) that has been established by the Act.

The Market Healthcare Act

The Committee is concerned that the Act to amend the Market Regulation (Healthcare) Act allows health insurance company medical consultants access to individual records in the electronic patient registration without obtaining a prior, informed and specific consent of the insured and that such practice has been carried out by health insurance companies for many years (art. 17).
The State party should require insurance companies to refrain from consulting individual medical records without a consent of the insured and ensure that the Bill requires health insurance companies to obtain a prior and informed consent of the insured to consult their records in the electronic patient registration and provide for an opt-out option for patients that oppose access to their records.

Het Comité uit haar zorgen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of 'Sleepwet') en stelt dat deze wet dient te worden herzien. Het Comité is met name bezorgd over de nieuwe mogelijkheden voor grootschalige interceptie en hacking, de verlenging van bewaartermijnen en de gebrekkige mogelijkheden om klachten in te dienen. Tevens dienen de onafhankelijkheid en effectiviteit van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) te worden versterkt.

Met betrekking tot het (formeel reeds ingetrokken, maar in praktijk gecontinueerde) Wetsvoorstel inzage medische dossiers door zorgverzekeraars oordeelt het Comité dat dergelijke inzage slechts toegestaan is na toestemming van de patiënt. Tevens dient de wetgeving te voorzien in een opt-out voor patiënten die dergelijke inzage niet wensen. De huidige praktijk van inzage van medische dossiers door verzekeraars dient dan ook per direct te worden beëindigd.

Tijdens de sessie in Genève kwamen tevens de Nederlandse afschaffing van het referendum en het camerasysteem @MIGO-BORAS kritisch ter sprake. Privacy First betreurt het dat het Comité deze (evenals diverse andere actuele) onderwerpen in haar eindoordeel onbenoemd laat. Niettemin toont de rapportage van het Comité vandaag aan dat het thema privacy ook bij de Verenigde Naties steeds hoger en kritischer op de agenda staat. Privacy First juicht deze ontwikkeling toe en zal dit de komende jaren blijven aansporen. Tevens zal Privacy First erop toezien dat Nederland de diverse aanbevelingen van het Comité zal implementeren.

De volledige Nederlandse sessie bij het VN-Comité staat online bij UN Web TV (1 juli en 2 juli). Zie ook de uitgebreide VN-verslagen, deel 1 en deel 2 (pdf).

Morgen zal Nederland in Genève onder de loep worden genomen door het hoogste mensenrechtenorgaan ter wereld: de Mensenrechtenraad van de Verenigde Naties (VN). Sinds 2008 wordt de mensenrechtensituatie in elk land periodiek door de VN Mensenrechtenraad beoordeeld. Deze procedure vindt voor iedere VN-lidstaat elke vijf jaar plaats en heet "Universal Periodic Review" (UPR).

Schaduwrapportage Privacy First

Bij de vorige UPR-sessies in 2008 en 2012 kreeg Nederland relatief veel kritiek. Momenteel zijn de Nederlandse privacy-vooruitzichten slechter dan ooit. Reden voor Privacy First om een aantal zaken actief bij de VN aan te kaarten. Dit deed Privacy First in september 2016 (een week voor de VN-deadline) middels een zogeheten schaduwrapportage: een rapportage waarin een maatschappelijke organisatie haar zorgen over een bepaald thema kenbaar maakt. (Voor dergelijke rapportages gelden bij de Mensenrechtenraad overigens strikte eisen, waaronder een strikte woordenlimiet.) Zonder schaduwrapportages kunnen VN-diplomaten hun werk immers niet goed doen. Men zou dan namelijk afhankelijk blijven van eenzijdige, veelal rooskleurige staatsrapportages. Dus diende Privacy First een eigen rapportage over Nederland in met daarin onder meer de volgende aanbevelingen:

• Verbetering van Nederlandse mogelijkheden voor maatschappelijke organisaties om collectieve rechtszaken te kunnen voeren.

• Invoering van Grondwettelijke toetsing door de Nederlandse rechterlijke macht.

• Betere wetgeving rondom profiling en datamining.

• Géén invoering van automatische nummerplaatregistratie (ANPR) zoals momenteel beoogd.

• Opschorting van het ongereguleerde grenscontrolesysteem @MIGO-BORAS.

• Geen herinvoering van brede dataretentie (algemene telecom-bewaarplicht).

• Geen mass surveillance onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) en scherper rechterlijk toezicht op geheime diensten.

• Intrekking van de ‘politie-hackwet’ (wetsvoorstel Computercriminaliteit III).

• Een vrijwillig, regionaal i.p.v. landelijk EPD met 'privacy by design'.

• Invoering van een anonieme OV-chipkaart die écht anoniem is.

Onze hele rapportage treft u HIER aan (pdf). De rapportages van andere organisaties vindt u HIER.

Ambassades

Naast de Mensenrechtenraad verzond Privacy First haar rapportage begin dit jaar tevens aan alle buitenlandse ambassades in Den Haag. Naar aanleiding daarvan vonden de laatste maanden uitgebreide (vertrouwelijke) meetings plaats tussen Privacy First en de ambassades van Bulgarije, Argentinië, Australië, Griekenland, Duitsland, Chili en Tanzania, waarbij de rang van onze gesprekspartners varieerde van senior diplomaten tot ambassadeurs. Tevens ontving Privacy First positieve reacties op onze rapportage vanuit de ambassades van Zweden, Mexico en het Verenigd Koninkrijk. Bovendien werden enkele passages uit onze rapportage overgenomen in de VN-samenvatting over de algehele mensenrechtensituatie in Nederland; klik HIER ('Summary of stakeholders' information', par. 47-50).

Hopelijk zal e.e.a. morgen effectief blijken. Dit is echter niet te garanderen, aangezien het hier een interstatelijk, diplomatiek proces betreft en veel onderwerpen in onze rapportage (en recente gesprekken) evengoed gevoelige kwesties zijn in talloze andere VN-lidstaten.

VN Mensenrechtencomité

Een vergelijkbare rapportage werd door Privacy First in december 2016 ingediend bij het VN Mensenrechtencomité in Genève. Dit Comité houdt periodiek toezicht op de Nederlandse naleving van het VN Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Mede naar aanleiding van deze rapportage heeft het Mensenrechtencomité vorige week o.a. de Wiv, camerasysteem @MIGO-BORAS en de bewaarplicht telecomgegevens (dataretentie) geagendeerd voor de komende Nederlandse sessie in 2018 (zie par. 11, 27).

Wij hopen dat onze input door zowel de VN Mensenrechtenraad als het VN Mensenrechtencomité benut zal worden en tot opbouwende kritiek en internationale uitwisseling van 'best practices' zal leiden. Privacy First zal u hier graag van op de hoogte houden.

De Nederlandse UPR-sessie vindt morgen plaats van 9.00-12.30u en zal live te volgen zijn op internet.

Update 10 mei 2017: de Nederlandse regeringsdelegatie (geleid door minister Plasterk) ontving tijdens de UPR-sessie in Genève vandaag kritische aanbevelingen over mensenrechten en privacy in relatie tot contraterrorisme door Canada, Duitsland, Hongarije, Mexico en Rusland. Klik HIER voor de video van de hele UPR-sessie. Publicatie van alle aanbevelingen door de VN Mensenrechtenraad volgt op 12 mei as.

Update 12 mei 2017: vandaag om 18u zijn alle aanbevelingen aan Nederland door de VN Mensenrechtenraad gepubliceerd, klik HIER (pdf). Nuttige adviezen aan Nederland inzake het recht op privacy zijn afkomstig van Duitsland, Canada, Spanje, Hongarije, Mexico en Rusland, zie par. 5.29, 5.30, 5.113, 5.121, 5.128 & 5.129. Hieronder de betreffende aanbevelingen. Nader commentaar door Privacy First volgt.

Extend the National Action Plan on Human Rights to cover all relevant human rights issues, including counter-terrorism, government surveillance, migration and human rights education (Germany);  

Extend the National Action Plan on Human Rights, published in 2013 to cover all relevant human rights issues, including respect for human rights while countering terrorism, and ensure independent monitoring and evaluation of the Action Plan (Hungary);

Review any adopted or proposed counter-terrorism legislation, policies, or programs to provide adequate safeguards against human rights violations and minimize any possible stigmatizing effect such measures might have on certain segments of the population (Canada);

Take necessary measures to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons (Spain);

Adopt and implement specific legislation on collection, use and accumulation of meta-data and individual profiles, including in security and anti-terrorist activities, guaranteeing the right to privacy, transparency, accountability, and the right to decide on the use, correction and deletion of personal data (Mexico);

Ensure the protection of private life and prevent cases of unwarranted access of special agencies in personal information of citizens in the Internet that have no connection with any illegal actions (Russian Federation). [sic]

Update 26 mei 2017: inmiddels is een vollediger VN-verslag van de UPR-sessie (inclusief weergave van de 'interactive dialogue' tussen VN-lidstaten en Nederland) gepubliceerd; klik HIER (pdf). In september wordt bekend welke aanbevelingen de Nederlandse regering zal accepteren en implementeren.

Update 22 september 2017: de Nederlandse regering heeft inmiddels bekendgemaakt (pdf) dat het van bovenstaande aanbevelingen slechts de Spaanse uitdrukkelijk accepteert:

Take necessary measures to ensure that the collection and maintenance of data for criminal purposes does not entail massive surveillance of innocent persons.

Privacy First beschouwt dit als een bindende internationale toezegging en zal de Nederlandse regering daar aan houden, bijvoorbeeld bij actuele wetsvoorstellen die hiermee in strijd zijn.

De overige VN-aanbevelingen (door Duitsland, Canada, Mexico, Hongarije en Rusland) neemt Nederland vooralsnog slechts voor kennisgeving aan (deze zijn "noted", in diplomatenjargon). Nederland doet daarbij slechts de volgende toezegging:

"The current Action Plan will not be amended, but the recommendations [made by Germany and Hungary] will be considered during the development of a new one."

Dit biedt enig perspectief. Te zijner tijd zal Privacy First hierover met de verantwoordelijke ministeries in overleg treden.

"Vier Nederlandse burgerrechtenorganisaties dreigen Facebook voor de rechter te slepen, als het sociale netwerk niet stopt met het verzenden van privégegevens naar de Verenigde Staten.

In een brief aan Facebook-directeur Mark Zuckerberg beklagen onder meer Bits of Freedom en Privacy First zich erover dat het bedrijf zich niet heeft gemengd in de discussie over het afgeschafte Safe Harbor-verdrag tussen de VS en de EU.

In dat dataverdrag maakten de regio's afspraken over de opslag van persoonsgegevens op elkaars grondgebied. Door het Safe Harbor-verdrag konden bedrijven als Facebook, Google en Twitter onder bepaalde voorwaarden gegevens van Europeanen opslaan in de VS.

Het Europees Hof van Justitie besloot onlangs echter dat het verdrag ongeldig is, onder meer omdat de VS onvoldoende bescherming biedt voor Europese persoonsgegevens. De EU en VS zitten momenteel om tafel om een nieuw verdrag op te stellen.

Ondertussen gaat Facebook echter verder met het opslaan van Europese persoonsgegevens op servers in de VS. Het bedrijf beroept zich daarvoor op standaardcontracten, die volgens de schrijvers van de brief ook niet meer geldig zijn.

Dialoog

"Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht", zegt voorzitter Bas Filippini van Privacy First.

"Wij nodigen Facebook uit om in het openbaar deel te nemen aan een betekenisvolle en transparante dialoog met als doel om een oplossing te vinden", staat in de brief, die Facebook een deadline van 15 januari 2016 stelt voor het vinden van een goede oplossing.

Als dat niet lukt, zeggen de organisaties een kort geding te starten om ervoor te zorgen dat Facebook de doorgifte van gegevens naar de VS helemaal stopt. De eis geldt ook voor de dochterdiensten Instagram en Whatsapp.

Mechanismen

Facebook laat in een reactie weten dat het bedrijf "dezelfde mechanismen als duizenden andere bedrijven in de EU" gebruikt om gegevens "rechtmatig te verstrekken".

"Wij geloven dat een nieuwe Safe Harbor-overeenkomst met adequate en passende waarborgen voor Europese burgers de beste oplossing is voor de ontstane situatie", aldus een woordvoerder van Facebook.

De socialenetwerksite zegt vertrouwen te hebben dat onderhandelingen over een nieuw verdrag door de autoriteiten van de EU en de VS zullen leiden tot een oplossing.

Schrems

Ook de Oostenrijkse rechtenstudent Max Schrems eist in meerdere procedures tegen Facebook dat het bedrijf de privacy van gebruikers beter beschermt, en dat de datadoorgifte aan de VS wordt gestopt. Door een van de klachten van Schrems kwam het Europees Hof tot zijn oordeel over het Safe Harbor-akkoord."

Bron: http://www.nu.nl/internet/4183232/nederlandse-privacy-organisaties-dreigen-facebook-met-rechtszaak.html

Zie ook de volgende nieuwsbronnen:
http://nos.nl/artikel/2075316-facebook-stop-met-opslaan-data-europeanen-in-vs.html
http://www.nrc.nl/nieuws/2015/12/15/nederlandse-organisaties-dreigen-met-rechtzaak-tegen-facebook
http://www.volkskrant.nl/tech/privacyorganisaties-facebook-moet-stoppen-met-datadoorgifte-naar-vs~a4208407/ 
http://www.telegraaf.nl/digitaal/24880159/__Privacyvechters_dreigen_Facebook_met_rechtszaak__.html
http://www.telecompaper.com/nieuws/privacy-organisaties-dreigen-met-proces-tegen-facebook--1119055 
https://www.security.nl/posting/454590/Nederlandse+privacyorganisaties+dreigen+Facebook+met+rechter
http://nieuws.tpo.nl/kort-nieuws/2015/12/15/organisaties-dreigen-facebook-met-rechter/ 
http://tweakers.net/nieuws/106862/privacyorganisaties-sommeren-facebook-te-stoppen-met-datadoorgifte-naar-vs.html
http://www.ravage-webzine.nl/2015/12/15/privacyclubs-stellen-facebook-een-ultimatum/

Vandaag verzoekt Privacy First samen met drie andere Nederlandse mensenrechtenorganisaties en een aantal individuele gebruikers van Facebook, WhatsApp en Instagram aan Mark Zuckerberg om stelling te nemen in het publieke debat over de gevolgen van de uitspraak van het Europese Hof van Justitie in de zaak Schrems.

Het Europese Hof van Justitie vernietigde op 6 oktober 2015 het Safe Harbour-besluit dat de grondslag was voor de doorgifte van persoonsgegevens vanuit de EU naar de VS door Facebook. Het Hof van Justitie oordeelde dat de wetgeving in de VS tekortschiet omdat het geen beschermingsniveau biedt dat vergelijkbaar is met dat in de EU. Zo heeft de NSA toegang tot de Facebook-content van gebruikers in de EU, zonder dat die enige rechtsbescherming hebben. Volgens het Hof van Justitie is dit een inbreuk op de essentie van het fundamentele recht op privacy. Deze problemen zijn nog steeds niet opgelost.

Na de uitspraak is Facebook doorgegaan met de doorgifte van persoonsgegevens vanuit de EU naar de VS. Bas Filippini van Privacy First: "Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht. Dat is een schending van de privacy van miljoenen gebruikers. Als dit niet binnenkort wordt opgelost, zullen wij juridische stappen ondernemen."

Tot op heden heeft Facebook zich opvallend afzijdig gehouden van het publieke debat na het vonnis van het Hof van Justitie. Ton Siedsma van Bits of Freedom: "Wij verzoeken Facebook om zich publiekelijk te mengen in het debat over de oplossing van dit probleem, en om druk te zetten op de autoriteiten om zo’n oplossing te bereiken. Het zou goed zijn als Facebook haar huidige en toekomstige beleid over de doorgifte van persoonsgegevens publiekelijk bekend zou maken."

Facebook ontving vandaag een sommatiebrief, met als deadline 15 januari 2016 om een oplossing te vinden. Als die niet bereikt wordt, zal een kort geding tegen Facebook aanhangig worden gemaakt bij de Rechtbank Den Haag, met als eis dat Facebook per direct stopt met de doorgifte van persoonsgegevens naar de VS. Dit betreft alle diensten van Facebook, inclusief WhatsApp en Instagram.

"Zo lang de VS geen passende bescherming biedt tegen mass surveillance, mogen persoonsgegevens niet worden doorgegeven naar de VS. Een rechtszaak tegen Facebook onderstreept de urgentie om dit op te lossen", zegt Jelle Klaas van het Public Interest Litigation Project (PILP, NJCM). "Ons doel is niet om de computerschermen van miljoenen gebruikers op zwart te zetten, maar om het niveau van privacybescherming te verhogen. Hopelijk vinden de wetgevers snel een oplossing."

Klik HIER(pdf) voor de volledige sommatiebrief van Privacy First c.s. aan Facebook.

Update 21 januari 2016: vlak voor het verstrijken van de deadline reageerde Facebook per fax op onze sommatiebrief, klik HIER (pdf). Ondanks de ongeldigheid van Safe Harbour bestaat volgens Facebook nog steeds een bruikbare rechtsbasis voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Privacy First c.s. betwisten dit en hebben vandaag een reactie naar Facebook gestuurd, klik HIER (pdf).

Na onze sommatiebrief nam Facebook publiekelijk stelling in de discussie over een nieuw voorgestelde surveillance-wet in Engeland:

“Governments should not be able to compel the production of private communications content absent authorization from an independent and impartial judicial official. (...) Surveillance laws should not permit bulk collection of information. The principles require that the Government specifically identify the individuals or accounts to be targeted and should expressly prohibit bulk surveillance.” Aldus Facebook.

Precies op deze aspecten schiet de rechtsbescherming in de VS volgens het Europese Hof van Justitie echter tekort. In onze brief van hedenmiddag hebben Privacy First c.s. Facebook daarom verzocht haar standpunt ook uit te dragen in het debat over mass surveillance in de VS. Over dit onderwerp vinden momenteel onderhandelingen plaats tussen de EU en de VS. Het zou goed zijn als Facebook zich daar inhoudelijk in mengt, in lijn met het standpunt dat Facebook heeft over het Engelse wetsvoorstel.

Als er niet op korte termijn een oplossing wordt gevonden voor de fundamentele privacyproblemen waar het Europese Hof van Justitie op heeft gewezen, overwegen Privacy First c.s. om een kort geding aanhangig te maken bij de rechtbank Den Haag.