Toon items op tag: Nederlandse Privacy Awards

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar heeft opnieuw een groot aantal inzenders (waaronder meerdere overheidsorganisaties) zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse gesprekken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

NLdigital

NLdigital (voorheen Nederland ICT) is een branchevereniging in de digitale sector. Ze vertegenwoordigt 600 leden van start-up tot multinational. Veel van deze leden behoren tot het MKB en zijn verwerker. NLdigital heeft gezocht naar een manier om hun leden te ondersteunen bij het implementeren van de AVG op een wijze die verder gaat dan alleen het aanbieden van een 10-stappenplan.

Door het beschikbaar stellen van een model verwerkersovereenkomst afgestemd op de branche, de Data Pro Code en het Data Pro Statement, heeft NLdigital een concrete invulling gegeven van de AVG voor verwerkers in de digitale sector. De Data Pro Code is bovendien transparant met een openbare certificering, staat open voor niet-leden en zal toetsbaar zijn door een nog in te stellen onafhankelijk toezichthoudend orgaan. De Data Pro Code is bovendien goedgekeurd door de Autoriteit Persoonsgegevens. Daarmee heeft NLdigital als brancheorganisatie een innovatieve werkwijze gevonden voor het ondersteunen van leden bij de implementatie van de AVG.

Simple Analytics

Simple Analytics heeft een eenvoudige analysetool ontwikkeld om het bezoek aan websites te meten. Met deze betalende dienstverlening respecteren zij de “do-not-track” instelling van gebruikers door niets van hen op te slaan. Er worden geen cookies en advertenties geplaatst tijdens het bezoek aan een website.

Met de dienstverlening voor bedrijven en organisaties doorbreekt Simple Analytics de trend van mondiale aanbieders die gratis een analysetool aanbieden waarbij o.a. trackgegevens worden doorverkocht in de vorm van advertenties. Binnen 2 jaar maken al ruim 500 organisaties gebruik van deze dienstverlening die bewust kiezen om geen persoonsgegevens te verzamelen van bezoekers, maar uitsluitend geaggregeerde data gebruiken om analyses te maken.

Door op deze wijze bezoeksdata te analyseren wordt maximaal de privacy van burgers gerespecteerd die gebruik maken van het internet als informatiebron. Dit verdienmodel heeft bewezen levensvatbaar te zijn.

FCInet & Ministerie van Justitie en Veiligheid

FCInet Secretariat is onderdeel van een internationale samenwerking gericht op het bestrijden van economische misdrijven zoals belastingfraude, corruptie en witwassen. Als uitgangspunt daarbij geldt Connect, don't collect. Daartoe is Ma³tch ontwikkeld.

Via een wiskundig formalisme (hashing) versleutelt organisatie A (bundels van) persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. Pas als blijkt dat er een match is vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd.

FCInet is er in geslaagd om samen met het Ministerie van Justitie en Veiligheid een Privacy by Design toepassing concreet toepasbaar te maken in een internationale samenwerking. Alleen noodzakelijke gegevens worden uitgewisseld. Het toepasbaar maken van de techniek in een bestaand proces van gegevensuitwisseling heeft veel overredingskracht gevraagd binnen traditioneel ingerichte (internationale) overheidsorganisaties. De volharding en de potentie van de gebruikte techniek rechtvaardigen een nominatie voor dit initiatief.

Schluss

Schluss biedt een datakluis aan voor het beheer van persoonlijke gegevens. De datakluis die Schluss in ontwikkeling heeft geeft individuen verregaande mogelijkheden om hun gegevens te beheren en beschikbaar te stellen op basis van hun eigen voorwaarden.

Naast de technische voorziening van een veilige datakluis wil Schluss betrokkenen ook ondersteunen in de wijze waarop ze met hun gegevens om kunnen gaan. Daartoe onderzoekt Schluss de voordelen van een coöperatie bij het beheer van gegevens, en welke spelregels over het beschikbaar stellen van gegevens gebruikt zouden moeten worden.

Op deze wijze zet Schluss niet alleen in op technische innovatie maar ook op een organisatorisch innovatieve manier om de privacy van individuen beter te beschermen.

Nkey

Nkey is een inspirerende Privacy by Design oplossing, die als plug-in voor website en app bouwers gemakkelijk een deel van de privacy voldoende veilig kan inrichten.

De bouwer van je website, bijvoorbeeld een online shop, neemt een abonnement en ‘plugt je site erop in’, je betaalt per maand en je klanten kunnen zelf de beschikbaarheid van hun gegevens zien en bijhouden.

Nkey laat zien dat er goede mogelijkheden zijn om maximaal controle te houden over je persoonsgegevens en deze alleen te laten gebruiken met jouw toestemming.

Ministerie van Volksgezondheid, Welzijn en Sport

De CoronaMelder app is inmiddels al door meer dan 4,3 miljoen mensen in Nederland gedownload. De app waarschuwt je op het moment dat je in de buurt bent geweest van iemand met corona. De app maakt gebruik van de technologie Bluetooth Low Energy. Via dit signaal kan gemeten worden of je in de buurt bent geweest van iemand die later positief is getest. Door de samenwerking met corona apps uit andere EU-landen krijg je ook een melding als je in contact bent geweest met een persoon die een corona-app gebruikt van een ander EU-land.

Gebruikers van de app ontvangen een melding nadat ze:
1. minimaal 15 minuten dicht bij iemand zijn geweest die later corona blijkt te hebben;
2. deze persoon de app ook gebruikt; en
3. deze persoon via CoronaMelder samen met de GGD aangeeft het coronavirus te hebben.

De app is een aanvulling op het bron- en contactonderzoek dat door de GGD wordt uitgevoerd. De app zelf slaat alleen statische gegevens op, zogenaamde wiskundige codes die om de 14 dagen worden verwijderd en niet te herleiden zijn tot een persoon. Mocht blijken dat de app-gebruiker corona heeft dan kan die ervoor kiezen om de wiskundig gegenereerde code op een server op te slaan, zodat andere gebruikers die mogelijk in de buurt zijn geweest geïnformeerd kunnen worden. De melding bevat alleen informatie over het feit dat je in buurt bent geweest van een besmet persoon en niet wie het was of waar dit is geweest.

STER

STER verzorgt alle reclame-uitingen voor de publieke omroep. Voor de online reclames heeft STER radicaal gebroken met de gebruikelijke aanpak om via ´cookies´ advertenties zoveel mogelijk af te stemmen op de kenmerken die over een persoon verzameld worden.

In plaats daarvan is STER overgestapt op een systeem dat uitsluitend gebruik maakt van informatie over het product dat bekeken wordt. Deze contextuele benadering van het aanbieden van advertenties blijkt in de praktijk net zo effectief als de gebruikelijke manier van advertentieselecties en biedt daarnaast nog een aantal extra voordelen, ook voor de adverterende partijen.

STER heeft deze stap gezet omdat duidelijk was dat het gebruik van persoonskenmerken voor het aanbieden van advertenties bij veel mensen irritatie opwekt. De Algemene Verordening Gegevensbescherming gaf het laatste zetje om over te stappen.

Door de nieuwe aanpak verdwijnen er partijen uit de keten die vooral dienden om persoonskenmerken te verzamelen en te verwerken voor adverteerders. Er blijft meer geld over voor de adverteerders. STER beheert de gehele advertentiecampagne in huis. Een door de STER ontwikkelde aanpak voegt automatisch trefwoorden aan de digitale content toe. STER geeft door aan adverteerders wat de effectiviteit van hun campagnes is geweest. Met deze aanpak heeft STER een technisch en organisatorisch model ontwikkeld dat beter aansluit op de privacybehoeften van betrokkenen, ten minste net zo effectief is als het oude systeem en minder kosten met zich meebrengt. Het model is naar andere domeinen buiten de publieke omroep over te brengen.'

4MedBox

4LifeSupport van 4MedBox zet de verhouding tussen bron en betrokkene in een ander daglicht. Het individu, de persoon, wordt als bron en bepaler beschouwd, die bepaalt welke partijen of professionals toegang tot de gegevens verkrijgen. Door het zelfbeschikkingsprincipe dat in het platform is verwerkt stelt het individuen in staat om vervolgens die data naar eigen inzicht bijvoorbeeld te delen of te verkopen aan door hen geselecteerde partijen. Het kan wat van de mensen vragen qua handigheid, begrip en inzicht, maar kan dan ook veel bieden op het vlak van zelfregie. Die heeft zeker te maken met privacy, maar werkt dan ook breder.

4LifeSupport staat nog aan het begin van een langer proces en vraagt nog uitwerking op een aantal onderdelen, maar de jury beoordeelt de aanpak en vorderingen als voldoende om het te nomineren.

Roseman Labs

Roseman Labs is door drie academici opgericht met als doel om moderne privacy technologieën zoals secure multiparty computation (MPC) breed en gemakkelijk toepasbaar te maken.

Multiparty computation stelt meerdere partijen in staat om berekeningen uit te voeren op hun gezamenlijke dataset, zonder deze data onderling te hoeven delen; alleen het resultaat van de berekening wordt bekend.

MPC is met name relevant voor sectoren waarin zowel data-privacy als samenwerking tussen meerdere stakeholders cruciaal is, zoals de financiële sector, de gezondheidssector, geo-informatiediensten, energiebedrijven, e-commerce en cyber-weerbaarheid.

Roseman Labs heeft Cranmera ontwikkeld, een MPC software engine waarmee in korte tijd domeinspecifieke applicaties op basis van MPC kunnen worden gebouwd. Voorbeelden van dergelijke applicaties zijn een enquêtesysteem waarbij de antwoorden van respondenten op basis van MPC versleuteld worden verwerkt, en een pseudonimisatie-oplossing met sterke privacygaranties voor interbancaire transactiemonitoring.

Jury Nederlandse Privacy Awards

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
- Ancilla van de Leest, voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Alex Commandeur, senior adviseur BMC Advies
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
- Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP. Wilt u graag ook (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Begin 2021 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.
   
   

“De Coronacrisis laat zien, naast natuurlijk gezondheid en zorg, hoe actueel het belang van zorgvuldige omgang met persoonsgegevens is. Technische mogelijkheden, politieke ambities, commercieel streven en zorgwensen moeten voortdurend tegen het licht gehouden worden qua privacy. Niet omdat we tegen ontwikkeling zijn, maar omdat die respect voor de persoonlijke levenssfeer moet hebben. Deze positieve en constructieve benadering van privacy is de essentie van de Nederlandse Privacy Awards”, aldus Wilmar Hendriks, voorzitter van de jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

Ten aanzien van het product, proces of dienst:

Waardering van privacy

De Nederlandse Privacy Awards zijn gericht op een positieve(re) waardering van gegevensbescherming. Het product, proces of dienst levert hierop merkbare toegevoegde waarde.

Maatschappelijke impact

In hoeverre draagt het product, proces of dienst merkbaar bij aan de privacybescherming van de consument/gebruiker/burger? Staat de betrokkene hierin centraal? Welke maatschappelijke waarde wordt hiermee ondersteund? Is daarbij aandacht voor ethische aspecten en de maatschappelijke impact?

Innovatief vermogen

Is of biedt het product, proces of dienst een noviteit op privacygebied en heeft het zich in de markt nog niet uitgebreid technisch en/of commercieel bewezen? Is het voldoende innovatief en onderscheidend van bestaande commerciële producten of diensten of maatschappelijke dienstverlening?

Zelfredzaamheid

Is het product, proces of dienst binnen een reële termijn (ca 3 jaar) economisch realiseerbaar? Is er een businessmodel? Voor overheidsgerelateerde inzendingen: is er voldoende politiek, bestuurlijk en maatschappelijk draagvlak (te realiseren)?

Risicoanalyse

Is voor het product, proces of dienst een risico-analyse uitgevoerd (uitgaande van de (beoogde) verwerking)? Zijn daarbij waar nodig mitigerende maatregelen genomen? Welke?

Ten aanzien van de inzendende organisatie:

Privacyverantwoordelijke

Heeft de inzendende organisatie een FG (als dit verplicht is) of is er een privacyadviseur?

Privacy policy

Wordt een privacy policy gecommuniceerd en toegepast wanneer persoonsgegevens worden verwerkt?

Privacy awareness

Is privacy awareness herkenbaar in de beginselen van de organisatie? In hoeverre worden stakeholders betrokken bij ontwikkeling, ontwerp en uitvoering?

Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2020 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2020 hoort u of u tot de genomineerden behoort. De mogelijkheid bestaat dat de jury een aangekondigd (vertrouwelijk) bedrijfsbezoek aan de genomineerden zal brengen. Indien u genomineerd wordt ontvangt u van Privacy First tevens een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden. 

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Alex Commandeur, senior adviseur BMC Advies
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Piek Visser-Knijff, data-ethicus en eigenaar Filosofie in actie
> Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Privacy First heeft op 28 januari 2020 in samenwerking met ECP (Platform voor de Informatiesamenleving) voor de derde keer de Nationale Privacy Conferentie georganiseerd, om aandacht te vragen voor het onderwerp privacy. In 1981 werd op deze dag, 28 januari, het Europese Dataprotectieverdrag ondertekend, daarom is deze dag door de Raad van Europa erkend als de Europese Dag van de Privacy.

Adjunct-directeur van ECP Marjolijn Bonthuis opende de dag door alle aanwezigen in Nieuwspoort welkom te heten. Dagvoorzitter Tom Jessen (presentator RTL-Z en BNR) gaf een korte toelichting over het programma van de dag. Daarna ging hij in vogelvlucht met Monique Verdier van de Autoriteit Persoonsgegevens (AP) door de tegenwoordige ontwikkelingen bij de AP. Verdier gaf aan dat er een toename is in het bewustzijn over privacy en de media-aandacht voor het onderwerp. Maar ze stipte ook twee problemen aan: de overmatige vergaring van data zonder duidelijke doelmatigheid en de toename van interesse van bedrijven in het geld verdienen met persoonlijke data. Ook spraken zij samen over de focus voor de komende jaren, waaronder datahandel, digitale overheid, smart cities, Artificial Intelligence en algoritmes. De AP hoopt de komende jaren te kunnen groeien om een grotere toezichthoudende taak te kunnen vervullen.

Daarna kwam Richard van Hooijdonk, futurist en trendwatcher, aan het woord. ‘Hij leeft voor tech’, zijn de woorden waarmee hij ingeleid werd door Jessen. Van Hooijdonk sprak bevlogen over de verhouding tussen Artificial Intelligence en privacy, en dan met name over alle mogelijkheden die de toekomst ons kan brengen, van zelfrijdende auto's, robots en slimme apparaten die ons kunnen ondersteunen tot het upgraden van ons lichaam door middel van neurotechnologie. Hij pleit voor verbetering van het onderwijs als basis voor de toekomst. In zijn optiek is de wereld de afgelopen decennia enorm veranderd, maar het onderwijs heeft niet eenzelfde modernisering doorgemaakt. Juist wanneer we meegaan met de tijd met passie en nieuwsgierigheid zal dit ons volgens hem het meeste opleveren in deze snel veranderende, moderne wereld, mits we een kritische blik behouden. Bas Filippini, oprichter en voorzitter van Privacy First, ging daarna met hem in discussie over de mogelijke botsingen van technologische ontwikkelingen met ethische waarden en de bijbehorende privacy implicaties. Filippini geeft aan dat veel technologische ontwikkelingen naast gemak ook vragen opleveren of de technologie daadwerkelijk vanuit de menselijke voorkeuren ontwikkeld wordt of vanuit algoritmes die ontwikkeld zijn zonder oog voor ethiek. Uiteindelijk kwam Filippini tot 10 geboden voor het ontwikkelen en inzetten van technologie in een menselijke samenleving, waaronder bijvoorbeeld ‘ethiek en de menselijke maat moet centraal staan’ en ‘de mens heeft het recht op vergetelheid’.

De volgende spreker was Tom Vreeburg, voormalig IT-auditor bij een big four company en onafhankelijk IT-risk- en assurance-professional. Hij zet zijn vraagtekens bij de aanname dat de overheid de grote waakhond is over onze privacy met een schijnbaar realistisch hanteerbare AVG, door de complexiteit van de materie. Vreeburg legt uit dat privacy onoverzichtelijker is geworden door middel van Big Data-koppelingen waar conclusies aan verbonden worden door middel van algoritmes. Daarnaast geeft hij aan dat het belangrijk is om gewichtige informatie online goed te beschermen, in plaats van een schijn illusie van privacy hoog te houden.

Na een pauze kwam Peter Fleischer aan het woord over de rol van privacy binnen Google en de ontwikkeling en uitwerking van de AVG. Hij legde uit wat 'privacy by design' inhoudt en hoe dit vorm gegeven wordt binnen Google. Ook legde hij uit welke maatregelen Google heeft moeten doorvoeren, zoals bijvoorbeeld alle contracten van werknemers veranderen. Ook licht hij toe met welke maatregelen ze nog actief bezig zijn zodat voldaan wordt aan de AVG.

Daarna heeft Sander Klous, hoogleraar Big Data Ecosystemen aan de Universiteit van Amsterdam en tevens data-analyticus bij KPMG, uitgelegd welke risico's kleven aan mogelijke bias van algoritmes wanneer er ongebalanceerde input voor gebruikt wordt. Een algoritme kan en gaat heel waarschijnlijk fouten maken. Tevens stipt hij aan hoe persoonlijk de filters zijn aan de hand waarvan een selecte informatiestroom naar je toe komt, de zogenaamde filter bubble. Volgens hem zorgt dit voor escalatie van spanningen in de wereld, het begrip voor de andere partij neemt af omdat er nog maar een selecte stroom van informatie op mensen af komt.

Door de dag heen kregen vijf kanshebbers voor de Nederlandse Privacy Awards het podium om een korte pitch te geven over hun project, nadat zij eerder geselecteerd waren door de jury. De kanshebbers waren Publicroam, Candle en Skotty in de categorie Consumentoplossingen en NUTS en Rabobank/Deloitte binnen de categorie Bedrijfsoplossingen.

Publicroam is een initiatief dat veilige gast-WiFi-netwerken wil opzetten. Hierbij is er sprake van betere waarborging van privacy van gebruikers en van hun persoonsgegevens, aangezien zo min mogelijk bewaard wordt en data niet worden doorverkocht. Dit in tegenstelling tot veel openbare WiFi-netwerken, waarbij ook de veiligheid van het netwerk vaak betwistbaar is door makkelijk te verkrijgen wachtwoorden. Eenzelfde systeem als Publicroam wordt al gebruikt bij de overheid en onderwijsinstellingen: Govroam en Eduroam. “Wij hopen de Privacy Award te winnen, want daarmee kunnen we een beweging op gang brengen waarin veilige en privacyproof WiFi vanzelfsprekend wordt.”

De tweede kanshebber was Candle, zij presenteerden een privacyvriendelijke smart home oplossing waarbij verbinding met een cloud niet noodzakelijk is en dus geen verbinding met internet. Verschillende huishoudelijke apparaten kunnen eenvoudig met elkaar verbonden worden door middel van praktische hardware-oplossingen, gecombineerd met een open-source netwerk. “Ons doel was de industrie uit te dagen om beter over privacy na te denken door te laten zien dat het gewoon kan. Door te laten zien dat je niet hoeft te kiezen tussen privacy en gebruiksgemak. Als je het goed ontwerpt kan je allebei hebben.”

Het volgende initiatief dat een pitch mocht houden was Skotty. Skotty is een platform dat het voor ondernemers mogelijk maakt om informatie veilig van A naar B te brengen met volledige end-to-end encryptie. Volgens Skotty is enkel privacy niet genoeg, zij willen binnen hun platform ook extra functionaliteiten aanbieden zoals bijvoorbeeld contracten meteen online kunnen tekenen, aangezien privacy vaak niet een doel op zich is voor veel mensen. Alleen zo kunnen we privacy volgens hen echt de standaard maken.

De vierde kanshebber was stichting NUTS. Zij willen een privacyvriendelijke oplossing bieden voor identiteitsmanagment en het delen van persoonsgegevens in de zorg, waarbij gebruikers zeggenschap hebben over welke zorggegevens wel of niet gedeeld mogen worden tussen zorgverleners onderling. Dit willen ze doen via diensten die via een decentraal netwerk geleverd worden en gebaseerd zijn op de uitgangspunten van Privacy by Design. De identiteit van de betrokkene kan onomstotelijk bewezen worden door de identiteitsmanagementoplossingen en de decentrale benadering sluit goed aan op ontwikkelingen in de zorgarchitectuur.

De laatste kanshebbers waren Rabobank en Deloitte, die in samenwerking met woningcorporaties een concept hebben uitgewerkt dat de inkomenstoets zou kunnen vervangen voor sociale huurwoningen. De mogelijke kandidaat dient vaak inkomensgegevens via pdf-bestanden te versturen, welke de woningcorporatie dan weer dient te toetsen; een complex proces waarbij de gegevens tevens niet te valideren zijn. Binnen het ontwerp van Rabobank/Deloitte zullen deze data verstuurbaar zijn door de consument waarbij hij/zij zelf zeggenschap houdt over de data, maar de toetsing zal worden uitgevoerd door een wiskundig algoritme. De toetsing zal dan dus niet meer bij de woningcorporaties liggen en er is sprake van dataminimalisatie waarbij de data tevens niet meer gemanipuleerd kunnen worden.

Vervolgens was er een paneldiscussie met alle sprekers over datahandel en het geven van toestemming voor het delen van data.

Aan het einde van de middag werden door Tweede Kamerlid Kees Verhoeven (D66) de Nederlandse Privacy Awards uitgereikt: de winnaars waren Publicroam, NUTS en Candle. Meer informatie en het juryrapport vindt u HIER.

Het was een enerverende, interessante dag waar geïnteresseerden en professionals samenkwamen en waar privacybevorderende organisaties in het zonnetje werden gezet. Op naar de volgende editie in 2021!

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2020 zijn Publicroam, NUTS en Candle.

Winnaar: Publicroam

Als gast overal veilig en gemakkelijk op WiFi

In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Omdat de mobiele datanetwerken niet overal binnen goed werken en omdat je abonnement dan minder snel wordt verbruikt. Vaak werken die WiFi’s met één lokaal wachtwoord, wat op alle tafels of schermen staat. Dit maakt je digitale activiteiten op verschillende manieren kwetsbaar, met alle vervelende gevolgen die dit kan hebben. Bovendien weet je niet wat de aanbieders van die netwerken met jouw persoonlijke gegevens doen. Er wordt wel gezegd dat de handel in persoonsgegevens intussen meer geld oplevert dan de handel in olie.

Bij onderwijsinstellingen werden deze risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden eerder al Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal? Dat idee is opgepakt door Publicroam en valt op steeds meer plekken in goede aarde. En terecht, is de mening van de jury. Verschillende grote gemeenten en organisaties (zoals alle bibliotheken in ons land) zijn al aangesloten of sluiten binnenkort aan. Op zichzelf is deze voorziening dus niet een volstrekt nieuwe oplossing, maar de jury is vooral onder de indruk omdat de voorziening letterlijk voor iedereen in ons land – en mogelijk ook daarbuiten – grote voordelen kan bieden en daarmee grote impact kan hebben op wat we gewend zijn: één account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.

Het is dus mogelijk: goede zakelijke initiatieven en toch respect voor de privacy, zie hier het bewijs.

Winnaar: NUTS

Decentrale infrastructuur voor privacyvriendelijke zorgcommunicatie

Stichting NUTS is een initiatief dat een privacyvriendelijke oplossing wil bieden voor identiteitsmanagement en het delen van persoonsgegevens in de zorg. Het initiatief houdt in dat individuen zeggenschap houden over welke zorggegevens gedeeld mogen worden door zorgverleners met andere zorgverleners. Stichting NUTS heeft zijn uitgangspunten in een Manifest neergelegd die door deelnemers onderschreven moeten worden, en alle software die ontwikkeld wordt moet voldoen aan de eisen van open source. Het resultaat waar stichting NUTS naar streeft is een decentrale architectuur die controle en zeggenschap over persoonsgegevens in de zorg bij de betrokkenen houdt.

De diensten die via het decentrale netwerk worden geleverd zijn gebaseerd op de uitgangspunten van privacy by design. Identiteitsmanagementoplossingen dragen bij aan het onomstotelijk bewijzen van de identiteit van de betrokkene. De decentrale benadering sluit aan op de zorgarchitectuur die momenteel in de zorg in ontwikkeling is – en ook al deels wordt uitgerold. Zo kunnen de zorginformatiebouwstenen gebruik maken van de decentrale voorzieningen die via NUTS gerealiseerd worden.

Voor de jury is stichting NUTS een mooi voorbeeld van een initiatief dat op een omvattende manier naar privacyvraagstukken kijkt en daar ook concrete oplossingen voor realiseert. De open source community die de stichting NUTS aan het realiseren is, voorkomt vendor-lock-in op cruciale onderdelen van de zorginfrastructuur. De in opkomst zijnde Persoonlijke Gezondheidsomgevingen kunnen eveneens gebruik maken van de decentrale beheersvoorzieningen die NUTS nastreeft. De gedachte achter NUTS – het creëren van een nutsvoorziening voor een cruciaal onderdeel van de zorgarchitectuur – spreekt de jury bijzonder aan. Verbreding van de Stichting, die nu nog grotendeels door één bedrijf wordt gedragen, zal het draagvlak voor het initiatief verder vergroten.

Om de Stichting NUTS de mogelijkheid te geven zijn idealen verder te realiseren en breder uit te dragen, kent de jury daarom dit jaar de juryprijs voor bedrijfsoplossingen toe aan stichting NUTS.

Winnaar: Candle

Privacyvriendelijke smart home oplossing

Candle is een reactie op een risicoanalyse (privacy by design) van IoT-producten die een verbinding met een cloud server maken zonder dat dit noodzakelijk is. Het is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet noodzakelijk is. Het is gestart als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op het ontwikkelen van praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de CV, camera's, een CO2-sensor en andere toepassingen eenvoudig met elkaar verbonden worden. Voor het contact maken met een extern netwerk wordt een schakelaar toegepast. Als gebruiker maak je een bewuste keuze wanneer je de mail en andere data naar binnen haalt en naar buiten zendt.

Candle laat zien dat het eenvoudig mogelijk is om een Smart oplossing te creëren zonder de Big Tech bedrijven met hun data driven modellen. Inmiddels zijn er diverse conceptoplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.

“Net zoals de markt voor biologisch eten enorm gegroeid is, zo zal de markt voor ethische technologie ook groeien. Maar hoe zwengel je die markt aan? Dat is de uitdaging. De AVG heeft de grond geploegd. Nu is het tijd om te zaaien en het concept aan de consument toe te vertrouwen”, aldus Candle.

Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en Privacy First is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2020 waren achtereenvolgens:  

Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens)
Richard van Hooijdonk (trendwatcher/futurist) en Bas Filippini (oprichter en voorzitter van Privacy First)
Tom Vreeburg (IT-auditor) )
Coen Steenhuisen (privacy-adviseur Privacy Company)
Peter Fleischer (global privacy counsel Google) 
Sander Klous (hoogleraar Big Data Ecosystemen, Universiteit van Amsterdam)
Kees Verhoeven (Tweede Kamerlid D66).

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
• Melanie Rieback, CEO en co-founder Radically Open Security
• Nico Mookhoek, privacy jurist en eigenaar NMLA
• Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
• Alex Commandeur, senior adviseur BMC Advies.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u ook sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar heeft opnieuw een groot aantal hoogwaardige inzenders zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse bedrijfsbezoeken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

Publicroam
In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Vaak met één lokaal wachtwoord, wat op alle tafels staat. Bij onderwijsinstellingen werden de risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal als gast veilig en gemakkelijk op WiFi? Dat idee is opgepakt door Publicroam en valt op veel plekken in goede aarde. Verschillende grote gemeenten en organisaties, zoals alle bibliotheken zijn al aangesloten of sluiten aan. Eén account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.

Candle
Candle is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet en een cloud noodzakelijk is. Candle is als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de cv, camera's, sensoren etc eenvoudig hierop aangesloten worden. De smart oplossing zonder de Big Tech bedrijven en hun data driven modellen is dus mogelijk en eenvoudig te realiseren en Candle laat dat zien. Inmiddels zijn er diverse oplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.

Skotty
Het ambitieniveau van Skotty is hoog; de beste zijn in veilige digitale communicatie. Skotty biedt een veilig alternatief voor het regelmatig versturen van e-mails met bijlagen. Bij de ontwikkeling van Skotty stond privacy by design centraal. In de architectuur is het uitgangspunt geen toegang te willen tot gegevens over gebruikers. Via de browser worden databestanden versleuteld verzonden en opgeslagen. Skotty heeft geen toegang tot de data in de bestanden, alleen het gebruikersprofiel en is daarmee met recht een zero knowledge provider.

NUTS
NUTS wil als stichting bijdragen aan het creëren van een Open Source Community die privacyvriendelijke oplossingen voor het delen van persoonsgegevens in de zorg biedt. NUTS werkt aan een decentrale benadering van toestemmingsverlening. Patiënten krijgen regie over wie toegang krijgt tot hun gegevens. De stichting nodigt iedereen uit om – binnen de lijnen van het Manifest van de stichting – bij te dragen aan open source oplossingen. Privacy staat bovenaan in de benadering. NUTS beperkt zich tot processen rond authenticatie en identificatie, adressering en logging. Daarmee onderscheidt NUTS zich als een hoeder van privacy bij het delen van gegevens in de zorg.

Rabobank en Deloitte
Voor het in aanmerking komen voor (sociale) huurwoningen zijn veel persoonlijke gegevens noodzakelijk. Woningcorporaties hebben vanuit een ambitie om efficiënter te werken en daarbij recht te doen aan de vertrouwelijkheid van klantinformatie gezocht naar andere oplossingen. Uitgangspunten daarbij zijn dataminimalisatie en regie voor de potentiële huurder. Door de Rabobank is een Wallet (app) ontwikkeld die de gebruiker in staat stelt veilig via DigiD op het juiste moment in het proces een inkomenstoets te doen. Door Deloitte is een Zero Knowledge Proof algoritme ontwikkeld dat dataminimalisatie mogelijk maakt. Hiermee krijgt de potentiële huurder meer regie op zijn gegevens en wordt de hoeveelheid data geminimaliseerd. 

Jury Nederlandse Privacy Awards

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en eigenaar NMLA
- Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
- Alex Commandeur, senior adviseur BMC Advies.

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. in Nieuwspoort (Den Haag) worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens door Tweede Kamerlid Kees Verhoeven (D66) worden uitgereikt in drie categorieën: 1) Bedrijfsoplossingen, 2) Consumentenoplossingen en 3) Aanmoedigingsprijs.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Media zijn van harte welkom om verslag van het evenement te doen. Neem voor nadere informatie en verzoeken om interviews contact op met Privacy First.

Begin 2020 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury (vertrouwelijk) een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2019 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio november 2019 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects 
   (tevens bestuurslid Privacy First)
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
> Alex Commandeur, senior adviseur BMC Advies.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Of zou u graag (vrijwillig) jurylid willen worden? Neem dan contact op met Privacy First!

Op veel plaatsen in het publieke domein wordt WiFi aangeboden. Hoewel het vaak wordt gepresenteerd als service om gratis gebruik te kunnen maken van het internet, betaalt een consument alsnog: met zijn of haar data. Privacy First staat voor het recht op privacy in de zin van anonimiteit in de openbare ruimte. Daaronder valt ook het recht op anoniem winkelen. WiFi-tracking zonder de klant te informeren en zonder vooraf om diens toestemming te vragen vormt een flagrante schending van dit recht.

Sinds 2013 heeft Privacy First dit standpunt meerdere malen gecommuniceerd, bijvoorbeeld op Radio 1 en bij BNR Nieuwsradio.

In juni 2016 gaf de Autoriteit Persoonsgegevens in een brief aan gemeenten en detailhandel aan dat het gebruik van WiFi-tracking aan strenge eisen is onderworpen. Begin mei 2019 gaf de gemeente Tilburg aan te stoppen met openbare WiFi in de binnenstad en de spoorzone. "Omdat de gemeente niet voldoende controle en invloed heeft op hoe de leverancier van het WiFi-netwerk met een deel van deze gegevens (in de 'cloud') omgaat, is besloten om de openbare WiFi voor de binnenstad en spoorzone per direct te beëindigen", aldus de gemeente. Bron: https://www.tilburg.nl/actueel/nieuws/item/geen-openbare-wifi-meer-in-binnenstad-en-spoorzone/.

Privacy First juicht deze stap toe en roept andere gemeenten op dit voorbeeld te volgen. Daarnaast roept Privacy First bedrijven op het gebruik van WiFi-tracking te staken omdat het een inbreuk is op de privacy van mensen. Zeker als WiFi-tracking gebruikt wordt voor het volgen van mensen door een winkel met als doel om consumentengedrag te volgen. Vaak is een oplossing te bedenken waarbij privacy by design wordt toegepast. Privacy First verwijst naar de gemeente Nijmegen die met anonieme passantentellingen genomineerd werd voor de Nederlandse Privacy Awards 2019. Privacy First ziet vergelijkbare projecten van andere gemeenten ter bescherming van de privacy in het openbare domein graag tegemoet.

28 januari is de Europese Dag van de Privacy. In dit verband organiseerden ECP en Privacy First op 28 januari 2019 in Nieuwspoort gezamenlijk de Nationale Privacy Conferentie en reikte Privacy First de jaarlijkse Nederlandse Privacy Awards uit. Het was een succesvolle dag waar de belangrijkste spelers op het gebied van privacy in Nederland aanwezig waren. Vertegenwoordigers van de overheid, ondernemers met innovatieve ideeën, juristen, geïnteresseerden en voorvechters, ze waren er allemaal. 

De Nationale Privacy Conferentie werd geopend door dagvoorzitter Tom Jessen (presentator RTL-Z en BNR), die vervolgens het woord gaf aan Bas Filippini (voorzitter Privacy First) en Marjolijn Bonthuis (adjunct-directeur ECP|Platform voor de InformatieSamenleving). 

Bas Filippini – voorzitter Stichting Privacy First

Bas Filippini vertelt dat Stichting Privacy First nu tien jaar bestaat en dat er in die tien jaar veel veranderd is, zowel in positieve als in negatieve zin. De slogan van Privacy First is ‘eigen keuzes in een vrije omgeving’; dat is waar Privacy First voor staat. Dagelijks spreekt Privacy First met een breed privacyveld op basis van feiten en altijd met een positieve insteek. Daarom wil Privacy First door middel van de Nederlandse Privacy Awards graag een groene kaart geven aan organisaties die de privacy in Nederland versterken. Privacy First voert tevens rechtszaken in het algemeen belang, doet aan politieke lobby en organiseert evenementen, waaronder de Nederlandse Privacy Awards. Naast een nationale ambitie heeft Privacy First ook de ambitie om uit te groeien tot een internationale (Europese) organisatie. Privacy First is afhankelijk van donaties en vrijwilligers en doet graag een oproep aan het publiek om Privacy First in haar missie te steunen. 

Marjolijn Bonthuis - adjunct-directeur ECP|Platform voor de InformatieSamenleving

ECP werkt aan de knelpunten die de informatiesamenleving nog heeft. Dat doet ECP graag publiekelijk en met alle relevante partijen. ECP is er trots op dat een brede afspiegeling van de samenleving aanwezig is bij de Nationale Privacy Conferentie en is trots op de unieke samenwerking met Privacy First en de Nederlandse Privacy Awards. De winnaar van de Nederlandse Privacy Awards 2018, IRMA, heeft na de Privacy Awards afgelopen jaar nog diverse andere awards binnengesleept. Dit laat zien dat de Privacy Awards een belangrijke steun zijn voor goede initiatieven.  

ECP doet veel, ook op het gebied van privacy. Op privacygebied gebeurt dat op publiek-privaat vlak, samen met andere initiatieven en werkgroepen. Aan de publieke kant wordt er samengewerkt met het Ministerie van Economische Zaken en mede dankzij hen kan deze dag worden georganiseerd. 

Aleid Wolfsen – Autoriteit Persoonsgegevens (AP) 

De Autoriteit Persoonsgegevens heeft een actuele enquête gehouden die goed weergeeft waar de zorgen in de samenleving zitten als het gaat om de bescherming van privacyrechten. Uit de enquête blijken verrassende dingen: zo heeft 94% van de bevolking enige zorgen of zijn of haar privacyrechten wel worden gerespecteerd, waarvan een derde zelfs veel tot zeer veel zorgen heeft. Dat is één op de drie die serieuze zorgen heeft of de privacyrechten wel goed worden nageleefd. Dit percentage is hoger dan aanvankelijk werd gedacht; mogelijk komt dat door de huidige ontwikkelingen en omdat er veel datalekken in het nieuws zijn geweest. Hierdoor zijn privacyrechten heftig geschonden en zijn mensen teleurgesteld. Het schaden van het vertrouwen doet iets met mensen.

De top drie van zaken waarover mensen de meeste zorgen hebben zijn: ‘kopietje ID’, dit komt mogelijk doordat mensen vaak horen over identiteitsfraude en hoe makkelijk dat gaat. Het tweede waar mensen zich zorgen over maken is het tracken van online zoekgedrag. Hierover ontvangt de Autoriteit Persoonsgegevens veel klachten. Binnenkort komt de Autoriteit Persoonsgegevens met guidance over hoe om te gaan met cookies en tracking cookies. Daarin staat onder andere wat er mag en wat er niet mag. Mensen zijn serieus bezorgd over welke gegevens er allemaal worden verzameld als ze online zijn. Twee vragen die rijzen zijn: welke gegevens worden verzameld en wat gebeurt er met al die gegevens? Hier hebben mensen geen goed zicht op en er wordt geen duidelijke uitleg over gegeven. Het derde waar mensen zich zorgen over maken zijn locatiegegevens. Er is steeds meer berichtgeving over camera’s die overal hangen. En over bijvoorbeeld WiFi-tracking, dat veel wordt toegepast in Nederland. Hierover heeft de Autoriteit Persoonsgegevens onlangs ook een guide uitgegeven. Het tracken van mensen, dat je als vrij burger in een vrij land, vrij in een stad moet kunnen winkelen, vrij moet kunnen reizen, als dat wordt aangetast, daar zijn mensen serieus bezorgd over. Want we willen niet gevolgd worden. Dat is de top drie van de zorgen die mensen hebben. 

De Autoriteit Persoonsgegevens geeft ook altijd tips. Eén ervan is: check de instellingen van de apps op je telefoon. Veel van die apps zijn razend nieuwsgierig. We zijn ons onbewust van het feit dat je veel over jezelf blootgeeft aan die apps en veel informatie prijsgeeft als je de instellingen niet aanpast. Wees je bijvoorbeeld bewust van het dataspoor dat je achterlaat op het internet. En daarnaast: maak gebruik van je privacyrechten. Veel mensen zijn zich nog onbewust van het feit dat je aan organisaties kan vragen welke gegevens ze over je hebben, dat je die gegevens kunt laten verwijderen als ze niet meer nodig zijn of ze kunt laten corrigeren. Of je gaat naar een nieuwe provider en je wilt je data meenemen: dit heet dataportabiliteit en dit recht kennen mensen nog nauwelijks. 

Als kijktip geeft Aleid Wolfsen aan om de documentaire Democracy te kijken, over de totstandkoming van de Algemene Verordening Gegevensbescherming. Bekijk de trailer HIER (Youtube). 

Hoe staat de Autoriteit Persoonsgegevens er, qua werk, nu voor sinds de inwerkingtreding van de AVG op 25 mei tot eind december 2018? Een aantal cijfers: er zijn zo’n 10.000 klachten binnengekomen, oftewel 10.000 potentiële schendingen van de AVG. De AP vond dit opvallend veel; dit hadden zij aanvankelijk lager ingeschat. In 2018 heeft de AP ook heel veel telefoontjes gekregen: het totale aantal lag op zo’n 35.000, dit waren vijf keer meer telefoontjes dan in 2017. Momenteel loopt er een groot aantal onderzoeken. De eerste handhavingsactiviteiten hebben plaatsgevonden en de eerste serieuze boete onder de AVG is opgelegd aan een bedrijf. Het eerste verwerkingsverbod is opgelegd, aan de Belastingdienst in dit geval, wegens de verwerking van het BSN-nummer in het BTW-nummer van zelfstandigen. Ook zijn er voor het eerst dwangsommen opgelegd, aan de Nationale Politie, het UWV en private bedrijven. In de beginfase van de AVG had de AP nog een voorlichtende rol, maar gaandeweg zal de AP steeds strenger worden. Er is ook een toename in het aantal gemelde datalekken en het is schokkend om te zien hoe slecht data soms beveiligd zijn bij zorginstellingen en overheden. De Autoriteit Persoonsgegevens heeft ook veel onderzoek gedaan naar overheden en bedrijven om daar basaal de boel op orde te krijgen, zoals “heeft u een functionaris gegevensbescherming nodig, ja of nee? Heeft u de boekhouding op orde, ja of nee? Heeft u een verwerkingsovereenkomst?” Dat soort basale dingen. Als dit op orde is, dan ondervind je daar veel plezier van. 

Als afsluiting: mensen realiseren zich steeds meer over alles wat met privacy en dataprotectie te maken heeft. En eigenlijk zijn het ook geen synoniemen, want dataprotectie is nog groter en veel meer dan het klassieke privacy. Onder privacy valt onder andere lichamelijke integriteit, je vrijheid van geweten, je huisrecht, je communicatievrijheden en dat je je vrij kunt bewegen. Dat zijn allemaal afzonderlijke grondrechten. Dataprotectie is door de digitalisering inmiddels ontwikkeld tot een soort moeder of hoeder van alle andere grondrechten. Zoals over je geloof, je vrijheid van geweten, je lichamelijke integriteit, je politieke activiteiten, al dat soort informatie vertaalt zich in data. Als je de datarechten van mensen schendt, dan raak je de fundamenten van de westerse rechtsorde. Deze hebben te maken met de democratische rechtsstaat, gelijkheid van mensen, solidariteitssystemen zoals verzekeringen en gelijkwaardigheid van mensen. En al die vier fundamenten zijn at stake als je de privacyrechten van mensen schendt. Als je de privacyrechten niet beschermt, dan eroderen die fundamenten. Om het nog iets groter te maken: de vrijheid van de vrije wil, kan dan ook eroderen. Daarom is privacybescherming zo belangrijk en neemt het belang daarvan iedere dag toe. 

Aleid Wolfsen beantwoordde ook nog een aantal vragen van de dagvoorzitter, zoals over de 10.000 klachten die zijn binnengekomen in 2018. Dit was meer dan aanvankelijk gedacht en de Autoriteit Persoonsgegevens denkt dat dit ook wel zal aanhouden, doordat er steeds meer data wordt verzameld. Met de komst van PSD2 is het toezichtsveld van de Autoriteit Persoonsgevens uitgebreid naar fintechs, waarmee bankgegevens, na toestemming, kunnen worden gedeeld. Deze bankgegevens zijn zeer persoonlijk; daaraan kan je immers zien waar je bent, waar je aan geeft, wat je hobby’s zijn en wat je politieke voorkeur is. 

Er is ook wel kritiek op de AP, aangezien de AP zo’n cruciale rol vervult. De vraag is of ze de werklast wel aankunnen, ook al is de AP inmiddels verdubbeld. Hierop zegt Aleid Wolfsen dat de Autoriteit de komende periode wel moet blijven groeien en misschien zelfs nog wel een keer moet verdubbelen om de toenemende werklast aan te kunnen. 

Vragen uit het publiek

Hoe ziet Aleid Wolfsen de schendingen van privacy die plaatsvinden met toestemming van mensen zelf? Die toestemming is een belangrijk onderdeel van de AVG en mensen drukken online al snel op “OK”, niet omdat mensen lui zijn, maar omdat de teksten te uitgebreid zijn om door te nemen. Of dat je op “OK” moet drukken, omdat je anders niet krijgt wat je wilt en dat hierin eigenlijk geen vrije toestemming mogelijk is. 

Aleid geeft aan dat hij die zorgen grotendeels deelt. Toestemming is een fundament. Maar wat je ziet is dat er allemaal verleidingstechnieken zijn, zodra je op een site zit, door onder andere de kleur en grootte van een knop om toestemming te geven, anders dan je misschien van plan was. Dit is geen privacy by design; het is geen eerlijke, gelijkwaardige keuze. Wat we moeten doen met zijn allen, is strenger worden. Zorgen dat je dat soort systemen goed gaat bekijken. Is het echt zuivere, eerlijke en integere privacy by design? En ten tweede: mensen proberen te emanciperen in ‘weet waar je ja tegen zegt’. Daar zijn mensen zich helaas nog niet goed van bewust. Door een enkele klik kan jouw data heel makkelijk worden verspreid. De Franse toezichthoudercollega’s hebben bijvoorbeeld een boete opgelegd aan Google van 50 miljoen, omdat het niet goed duidelijk was waarvoor je toestemming verleende. Eén van de dingen die moet veranderen is dat je je toestemming even gemakkelijk moet kunnen intrekken, als dat je hem hebt gegeven. 

Een andere vraag uit het publiek ging over de kracht van de boete als signaal. De vraagsteller zou het eigenlijk fijn vinden om eens te zien van de AP dat er een boete zou worden opgelegd over privacy by design. Bedrijven zitten namelijk nog heel erg in compliance modus en willen slechts het minimale doen om aan de wetgeving te voldoen. Terwijl privacy by design gaat over proactief die problemen aanpakken. Dat er bijvoorbeeld een rechtszaak wordt gestart waaruit een boete volgt, omdat er niet het hoogst haalbare werd gedaan. 

Aleid Wolfsen reageert hierop dat je dat dan mooi als voorbeeld zou kunnen gebruiken voor de rest van de wereld. Hij verklapt hierbij een geheim: de AP heeft bij allerlei overheidsinstellingen gekeken of er een Functionaris Gegevensbescherming (FG) aanwezig was, daarbij ook zoekende naar eentje die geen FG had. Die zou de AP dan als voorbeeld kunnen gebruiken voor heel Nederland. Maar uiteindelijk bleek (gelukkig) dat iedereen op tijd een FG had. 

Bekijk de presentatie van Aleid Wolfsen (pdf).

Sophie in ’t Veld – D66 Europarlementariër en privacyvoorvechtster 

We hebben natuurlijk de AVG, of de GDPR zoals we die soms liefkozend noemen. Van de vijftien jaar dat Sophie zich met privacy bezighoudt zijn er vijf jaar opgegaan aan de GDPR. Het was een lang en ingewikkeld proces, met onder andere 4000 amendementen. Vorig jaar waren we natuurlijk heel erg blij dat de GDPR van kracht werd. We waren ook heel trots, van kijk ons Europa nou toch eens even. Wij hebben gewoon de beste privacywet ter wereld! Maar daar mag het natuurlijk niet ophouden. Het begint er natuurlijk al mee, dat de GDPR goed moet worden toegepast en gehandhaafd. En dan valt Sophie in ’t Veld het op, dat de toezichthouders eigenlijk belachelijk weinig middelen hebben gekregen om dat goed te doen. Want het is natuurlijk hartstikke fijn dat de Autoriteit Persoonsgegevens is verdubbeld, naar 150 man. Maar met 150 man tegen Facebook alleen al, begin je natuurlijk bijna niks. Om over alle andere bedrijven maar te zwijgen. En dan hebben we het nog niet eens over de NSA of de Chinese geheime diensten of de Europese geheime diensten. 

We hebben het allemaal over de GDPR en iedereen is vergeten dat er eigenlijk een dataprotection package was. Er was nog een tweede poot, maar die is volstrekt uit het beeld verdwenen. We noemen die onderling de Police Directive, maar eigenlijk heeft hij een hele lange naam (red: Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens). Het is een richtlijn die regels stelt voor het gebruik van persoonsgegevens door politie, justitie en soms geheime diensten. En de omzetting daarvan is werkelijk belabberd. Er zijn momenteel ongeveer acht EU-lidstaten die hem hebben omgezet, ruimschoots te laat. En dat betekent dat 20 andere lidstaten dat niet hebben gedaan. Maar dit is wel de richtlijn die ons beschermt als de politie bijvoorbeeld gegevens uitwisselt met andere landen. In de tussentijd worden er door de Europese Commissie en de Europese lidstaten nieuwe maatregelen aangekondigd voor het gebruik van persoonsgegevens door politie en justitie, ook over de grenzen heen. Terwijl de bescherming gewoon dramatisch achterblijft en dat is een van de grootste punten van zorg. Wij zijn ons natuurlijk allemaal heel bewust van privacy, risico’s en gegevensbeschermingsrisico’s. Inmiddels weet iedereen wel, dat als je je gegevens aan Facebook geeft, dat er van alles en nog wat mee gedaan kan worden. We zijn eigenlijk ongelooflijk naïef als het gaat over wat de overheid allemaal met onze gegevens mag doen. En dan voornamelijk de overheden die onder de Police Directive zouden vallen. Wij hebben blijkbaar een blind vertrouwen in de overheid, en dat is op zich eigenlijk goed nieuws. Maar Sophie leeft onder het motto van: “trust is good, control is better”. We zien ook gewoon in de praktijk dat er niet alleen maar fouten worden gemaakt met onze gegevens door politie, justitie en veiligheidsdiensten, maar dat er ook sprake is van misbruik. De groei van behoorlijk autoritaire partijen binnen Europa, partijen die inmiddels ook wel aan de macht zijn en die er niet voor terugschrikken om Europese databestanden te gebruiken voor politieke doeleinden, tegen politieke tegenstanders. Dan moeten we ons wel écht zorgen over gaan maken. We zijn hier te naïef over. 

We zijn terecht bezorgd over wat bedrijven met onze persoonsgegevens kunnen doen en of dat goed beschermd is. Maar we zijn ons nog steeds te weinig bewust van het feit dat die bedrijven in overgrote meerderheid, in toenemende mate, niet-Europese bedrijven zijn. Sophie las onlangs een alarmerend rapport van KPMG, waarin is berekend dat van alle grote platformen wereldwijd, er slechts 18% in Europese handen zijn. En als je dat omrekent naar waarde, dan is dat slechts 2%. Wij zijn er zo aan gewend, al voor het internet, dat onze halve economie uit Amerika komt. Dat is even een ander verhaal: driekwart is zo ongeveer in handen van de Amerikanen, dan heb je nog een deel in handen van de Chinezen en een heel minimaal deel in handen van de Europeanen zelf. Wij gebruiken die diensten, dag in dag uit. Dat betekent dan ook, dat zij niet alleen onze gegevens hebben en daarmee ook heel veel geld verdienen. Maar ze vormen ook onze kijk op de wereld. Zij filteren in hoge mate de informatie die tot ons komt. Het wordt nog bitter ironisch als je bedenkt dat onze eigen overheden die bedrijven vragen om de informatie te filteren, uit allemaal zogenaamde veiligheidsoverwegingen. Dit is buitengewoon zorgelijk. We stonden terecht op onze achterste benen na de onthullingen van Facebook en Cambridge Analytica, die de verkiezingen hadden gemanipuleerd. We maken ons grote zorgen over fake news dat wordt gepropageerd door Rusland. Maar het feit dat wij allemaal, elke dag, dit soort diensten gebruiken, zonder erbij stil te staan dat zij ons venster op de wereld zijn, dat is heel zorgelijk. 

Binnen Europa hebben we dan de GDPR en Sophie heeft de hoop dat de Police Directive binnenkort ook goed uitgevoerd gaat worden. Maar ze ziet dat er voortdurend spanningen zijn binnen Europa, waarbij het Europees Parlement in meerderheid staat voor hele stevige privacybescherming en vaak ook standpunten inneemt die dan later door het Europees Hof van Justitie bevestigd worden. Maar ze ziet dat de meer conservatieve krachten en ook de regeringen van de Europese lidstaten, onafhankelijk van de politieke kleur, voortdurend maar ontzettende druk zetten tegen goede privacybescherming. Dit uit een aantal overwegingen, maar vooral de nationale veiligheid. Er is trouwens geen definitie van nationale veiligheid, maar het wordt wel te pas en te onpas gebruikt om de privacy te beperken. Er wordt dan geroepen "privacy zit de nationale veiligheid in de weg". En dat is dan genoeg om de meest kritische stemmen te doen verstommen. Er is ook nog een ander aspect, in de trans-Atlantische verhoudingen met name, dat Europa een ongelooflijk onderdanige houding tentoonspreidt. Dat is in het licht van het voorgaande, dat de meeste bedrijven in handen zijn van de Amerikanen, zorgelijk. 

In Europa is een wet in voorbereiding genaamd e-evidence. In principe een goed idee, want die wet zegt "we hebben een grote open ruimte in Europa zonder binnengrenzen". Boeven kunnen naadloos over de grens samenwerken. Internationale criminele organisaties gebruiken ook internet, apps, mobieltjes en dergelijke. Dus moeten we daar snel op kunnen reageren: als bijvoorbeeld de politie in Nederland digitaal bewijsmateriaal nodig heeft uit Roemenië, dan moet de Nederlandse politie dat rechtstreeks kunnen opvragen. Dat is op zich een logische gedachte, alleen is het jammer dat de Europese Commissie, altijd onder druk van de Europese lidstaten, een voorstel heeft gedaan dat totaal disproportioneel is. Waar nauwelijks nog safeguards voor burgers ingebouwd zitten. Maar wat nog meer zorgen baart is dat de Europese Commissie dit voorstel eigenlijk op tafel heeft gelegd om daarna te kunnen zeggen: wij hebben dit in Europa en nu gaan we hetzelfde doen met Amerika. Dan hebben we toch echt een probleem. In Europa maken we zelf de wetten en kunnen we stemmen voor onze eigen volksvertegenwoordigers. Maar wij hebben geen enkele invloed op de Verenigde Staten. Punt is dat de Verenigde Staten een wet hebben aangenomen genaamd de US Cloud Act. Daarmee hebben ze zichzelf de macht gegeven om bedrijven die een aanwezigheid hebben in de VS, te dwingen om persoonsgegevens te overhandigen ook als ze niet in de VS zijn opgeslagen. Misschien dat wij dat ook wel handig zouden vinden als we dat zouden kunnen doen. Maar in een democratische rechtsstaat vinden wij het toch wel logisch als daar een rechter tussen zit, om zoiets te toetsen. Sophie ziet een houding bij de Europese Commissie en de lidstaten die verregaand onderdanig is aan de VS, in plaats van aan de rechten van de eigen Europese burgers. Ze vindt dat we daarin een omslag moeten maken. 

Dus, jazeker we moeten alert zijn wat bedrijven met onze gegevens doen, maar we moeten ons nog veel meer zorgen maken over wat overheden met onze gegevens kunnen doen. En de vrijwel onbeperkte bevoegdheden die wij de afgelopen jaren hebben geschapen voor politie, justitie en veiligheidsdiensten. Want zeker veiligheidsdiensten, daarop is toch minder controle dan op andere activiteiten. Zelfs al is het in Nederland goed geregeld, dat betekent nog niet dat het in andere landen ook goed geregeld is. Als ze ziet hoe Europese lidstaten de afgelopen jaren de Amerikaanse en de Britse geheime diensten volledig hun gang hebben laten gaan, bijvoorbeeld de hack van Proximus, de Belgische telecomprovider, door de Britse geheime dienst. Dat kan niet onderzocht worden en de waarheid hierover zal nooit volledig boven tafel komen. Maar die diensten breken wel in binnen onze systemen, ook die van Europese instellingen, misschien wel van de NAVO. Dit is overigens ook relevant als je bedenkt wat Brexit allemaal gaat betekenen voor gegevensbescherming. 

Als conclusie moet dit volgens Sophie in ’t Veld echt het volgende hoofdstuk zijn. We moeten nu ten eerste die AVG zeer stevig handhaven en uitleg geven aan hoe die moet worden geïnterpreteerd. Als architecten van de AVG hebben ze zeer expliciet bedoeld dat toestemming of instemming gegeven moet worden in een context, waarmee mensen op een hele simpele en toegankelijke manier informatie krijgen. Dat staat er ook expliciet in, dus als bedrijven dat omzeilen door het ingewikkeld te maken, dan is dat gewoon een overtreding en moeten ze daarvoor bestraft worden. Daarnaast moet de Police Directive geïmplementeerd worden. En wat Sophie in ’t Veld betreft, en daar zal ze de komende jaren druk op uitoefenen, komt er een nieuw voorstel waarbij die Police Directive niet meer een richtlijn is, maar meteen een verordening wordt. Want we hebben steviger bescherming nodig. Misschien wordt het ook tijd om te spreken over Eurocommissarissen en Ministers die gegevens, gebruik van gegevens en bescherming van gegevens als portefeuille hebben. Niet als een nevenactiviteit, maar een Minister voor Data en een Eurocommissaris voor Data. Die gewoon horizontaal kijkt hoe het zit met de gegevensbescherming, maar natuurlijk ook gewoon met het positieve gebruik en de ontwikkeling van persoonsgegevens. 

Ook moeten we kijken naar andere instrumenten, zoals mededingingsregels, belastingen en het vertalen van de economische waarde van persoonsgegevens in een prijskaartje. Laat gebruikers van persoonsgegevens betalen voor het gebruik van die gegevens. Net zoals ze moeten betalen voor het gebruik van energie. Als het wat kost, dan zult u zien dat het gebruik van gegevens omlaag gaat. Dat geldt zowel voor bedrijven als voor overheden, dus misschien moeten we ook eens kijken naar het belasten van de grote internetgiganten, niet op basis van hun winst maar op basis van hun gebruik van persoonsgegevens. 

Uiteindelijk ligt dit ook bij onszelf, we hebben absoluut wetgeving nodig om het individu te beschermen tegen giganten als Facebook of de NSA en de grote jongens, maar uiteindelijk moeten we ook kritische burgers zijn. Natuurlijk is dat een ontwikkelingsproces. Net zoals dat je vanzelfsprekend je deur op slot doet, en dat je bij jezelf nadenkt over hoe je je door deze wereld beweegt. 

Dagvoorzitter Tom Jessen geeft een andere invalshoek. Wanneer je op internet zoekt hoe tech-bedrijven gemaakt zijn, dan kom je ook het woord dopamine tegen. Iedere keer als er een berichtje in je sociale media verschijnt, wanneer je een melding hebt, dan komt er dopamine vrij. Dit heeft een verslavend effect. Nu zijn er campagnes vanuit de overheid over drank, drugs en roken en hij vraagt aan Sophie in ’t Veld of het niet tijd is voor een campagne vanuit de overheid die waarschuwt voor het verslavende effect van sociale media. 

Sophie in ’t Veld reageert hierop: stel, er zijn mensen die niet op Facebook en Instagram zitten, maar dat is niet voldoende. Zelfs al heb je geen mobiele telefoon, zelfs dan word je overal waar je rondloopt gefilmd, is er facial recognition, je ontkomt er niet aan. Daarom is het belangrijk dat we goed reguleren en dat we alle instrumenten gebruiken om ons zo goed mogelijk te beschermen. Ze is het met Aleid Wolfsen eens: het gaat niet om privacy, misschien moeten we daar ook eens een andere term voor verzinnen. Want privacy klinkt toch een beetje als witte wijn en grachtengordel. En dat is natuurlijk niet zo, het heeft zo langzamerhand alles te maken met onze vrijheid, met de kwaliteit van onze democratie, onze burgerrechten, onze verhouding met de overheid en met gelijke behandeling. Dus een campagne vanuit de overheid om te waarschuwen voor het verslavende effect van sociale media is een aardig idee, maar bij lange na niet genoeg. 

Vragen uit het publiek

Vraag uit de zaal: als we het hebben over een andere term voor privacy dan kan er worden gewezen op het boek Surveillance Capitalism van Shoshana Zuboff, daarin gaat het over een sanctuary. Een thuis waarin mensen zichzelf kunnen zijn, zonder zich bespied te voelen et cetera. Deze vraag heeft hier ook mee te maken: veel instanties zoals de Autoriteit Persoonsgegevens zeggen dat digitalisering een feit is. Maar, gezien de huidige stand van de techniek, maar ook van de politiek, hoe denk je over de bescherming van de analoge omgeving? De vrije leefomgeving van mensen waarin ze zich beschermd willen voelen op het gebied van hun persoonsgegevens en de mate waarin ze bespied kunnen worden?

Sophie in ’t Veld reageert dat er natuurlijk nog zoiets is als een analoge wereld, maar we hadden al regels. Er zijn weleens mensen die denken dat er voor de GDPR helemaal niks was en dat de GDPR een soort van oerknal is, maar dat is helemaal niet waar. We hebben al 25 jaar privacywetgeving en diezelfde principes blijven gewoon van toepassing. Punt is dat het niet alleen gaat om de bescherming van privacy, het gaat er ook om wat er bijvoorbeeld met Big Data kan gebeuren. De vraagstelling is dus veel breder dan dat, want laten we er ook bij stilstaan dat het ongelooflijk veel goeds brengt. Maar we moeten wel het individu, de mens, blijven beschermen. Misschien moeten we het niet hebben over bescherming van persoonsgegevens, maar over bescherming van personen. 

Tweede vraag uit het publiek: Neelie Kroes heeft in 2013 naar aanleiding van de Snowden-onthullingen gezegd, toen ze Eurocommissaris was, dat Europa behoefte heeft aan een huge privacy focused company. Voor zover de vraagsteller weet is deze er in de afgelopen zes jaar niet gekomen. En als Europa iets uitvindt, dan wordt dat overgenomen door Amerikanen. De realiteit is dat wij consument zijn van Amerikaanse en Chinese producten. Wat is volgens Sophie in ’t Veld echt nodig in Europa om de concurrentie met de Amerikanen en Chinezen aan te gaan?

Sophie reageert dat er in Europa ongelooflijk veel leuke nieuwe bedrijven en start-ups zijn, maar dat wanneer ze een beetje gaan groeien, ze vaak worden weggekocht. En als je aan die bedrijven vraagt: waarom dan? Dan zeggen ze dat ze in Europa niet meer kunnen groeien, omdat er geen echte Europese markt is. Er zijn gewoon 28 nationale markten en het punt is dat die nationale markten barrières zijn. Want die hebben nationale wetgeving en nationale belastingen. Die fiscale grenzen zijn een drama, die voorkomen dat we onze eigen Europese internetgiganten krijgen. En het punt is dat de nationale lidstaten zich beroepen op hun nationale soevereiniteit. Maar het is een fictieve nationale soevereiniteit, want we geven de macht gewoon weg. In de digitale wereld is praten over nationale soevereiniteit kletskoek. We moeten veel meer concurrentie hebben. We moeten zorgen dat onze Europese kampioenen hier blijven, dat ze niet worden weggekocht en de ruimte krijgen om te groeien en dat moet ook snel gaan gebeuren, want onze afhankelijkheid van Amerikaanse bedrijven en in toenemende mate van Chinese bedrijven is echt heel erg zorgwekkend. 

Laatste vraag uit het publiek gaat over de geldelijke waarde van persoonsgegevens. Sophie in ’t Veld stelde voor als maatregel het betalen voor het gebruik van data en dan is de vraagsteller benieuwd aan wie die betaling gaat plaatsvinden en wat Sophie zich daarbij voorstelt. Want als de gebruiker betaald wordt voor het delen van zijn data, kan dat een extra druk geven om die data te delen. 

Sophie in ’t Veld reageert dat ze niet een groot plan hiervoor in een la heeft liggen. Maar de vraag is: waarom worden al die data door bedrijven opgeslagen? Omdat ze er geld mee verdienen. Dat is dus een prikkel en iets waarmee je ze kan pakken. Je zou dus kunnen beginnen met te zeggen, we gaan bedrijven belasten voor het gebruik van persoonsgegevens. Dus dan zullen ze gedwongen worden om veel meer na te denken of ze al die data nodig hebben. Verdienen ze er wel echt zoveel geld mee? Want dat hele verhaal dat ze dat allemaal nodig hebben vanwege de adverteerders, daar wil ze toch wel haar vraagtekens bij zetten. En of dat verdienmodel wel klopt, of ze allemaal ten gronde zullen gaan als ze dat verdienmodel niet meer kunnen hanteren. 

Er zitten grote ethische aspecten aan, als je bijvoorbeeld zou voorstellen dat mensen de keuze zouden krijgen tussen betalen met hun gegevens of betalen met cash. Mensen die minder vermogend zijn, die zullen dan toch geneigd zijn om te betalen met hun gegevens. Dat vindt ze een ethische kwestie. Maar er zijn ook andere invalshoeken. Zo is er een app ontwikkeld waarmee je kan zien wat jouw waarde op dat moment voor een bedrijf is, en wat jouw handelingen voor invloed hebben op die waarde. Dat maakt mensen al veel bewuster. Er zullen ongetwijfeld nog veel meer goede ideeën komen in die richting.  

Maar hoe dan ook, als bedrijven geld verdienen met gegevens, dat die economische waarde dan ook gebruikt moet worden, dat geldt ook voor de overheid. Want hoe makkelijk is het om voor een nationale wetgever te besluiten “wij moeten alles weten van iedereen, want dat is goed voor de veiligheid.” Dat is heel makkelijk te besluiten als je dat niet in begrotingshandelingen hoeft te verdedigen. Want als het niks kost, omdat al die gegevens toch al voor het grijpen liggen bij al die bedrijven, dan is het makkelijk. Maar als ze er echt voor moeten gaan betalen en als ze moeten zeggen “we gaan minder geld uitgeven aan zorg, want we moeten meer uitgeven aan het opvragen van gegevens”, dan wordt het een ander verhaal en een politieke afweging. De economische waarde van persoonsgegevens meewegen zal dan zeker leiden tot ander gedrag.

Tijmen Schep – Privacy Label

Tijmen Schep start met een vraag aan het publiek: wat is langer, het toneelstuk van Shakespeare Much Ado About Nothing of de iTunes Terms of Service? Het toneelstuk is met 1000 woorden iets langer, maar het scheelt niet veel. Niemand gaat dat dus lezen en iedereen klikt gewoon op I agree. Maar kunnen we dat dan niet beter ontwerpen? Zodat we begrijpen welke data er wordt verzameld en wat daarmee gebeurt. En dat we niet zo’n lap tekst hoeven te lezen die, laten we eerlijk zijn, is gemaakt voor lawyers. Gewoon leesbaar en begrijpelijk. De EU begrijpt al dat dit een issue is. In de AVG staat al dat er in de toekomst iconen kunnen komen, want die maken het allemaal makkelijker. Maar die iconen van de AVG, dat waren nou niet de meest sexy iconen. Dus kreeg Tijmen de vraag van ECP: kunnen jullie hier niet iets mee en kunnen jullie niet iets beters ontwerpen? 

Het eerste wat we beseften is dat we niet een icoontje moesten maken, dat is te simpel en niet genoeg. We moeten een soort template maken, waarbij we als eerste werden geïnspireerd door de Amerikanen, die hebben bijvoorbeeld een systeem waarbij banken tegenwoordig bepaalde vragen moeten beantwoorden op hun website. Gewoon menselijke, begrijpelijke Jip-en-Janneke vragen. Zoals: wat doe je nou precies en hoe?  En dat mogen ze in hun eigen huisstijl doen, zolang ze die vragen maar beantwoorden. Een ander ding wat we interessant vonden was bijvoorbeeld de verpakking van een pak hagelslag. Naast alle informatie die erop staat en keurmerken heb je ook de ingrediëntenlijst en die is eigenlijk heel interessant, want die vertelt je een boel en is tegelijkertijd een beetje vaag. Zo weet je dat er het meeste van het eerste ingrediënt in zit, maar je weet niet precies hoeveel.   

Tijmen geeft vervolgens een demo van het Privacy Label. De demoversie is HIER te bekijken. 

Pitches Privacy Awards

Na deze drie inspirerende presentaties werd het publiek getrakteerd op 7 pitches van organisaties die genomineerd waren voor een Nederlandse Privacy Award.  Hieronder staan alle genomineerden voor de Nederlandse Privacy Awards 2019. Klik op een genomineerde voor de betreffende pitch:  

Brenno de Winter – ICT-onderzoeker

We gaan met elkaar de jungle in. Waarom de jungle? Omdat dieren dingen doorhebben die wij niet doorhebben. Sommige mensen die Brenno de Winter kennen, weten dat hij Aleid Wolfsen (Autoriteit Persoonsgegevens) altijd een soort giraffe vindt. Want wat doet een toezichthouder? Zo’n giraffe eet in Kenia de bomen leeg en draait zich om en gaat naar Tanzania en na exact een half jaar komt hij bij precies dezelfde bomen terug. Vraag maar aan de Belastingdienst, vraag maar aan het UWV, vraag maar aan Google, Facebook et cetera. Dat is wat een toezichthouder doet en ook al ziet hij er oh zo lief uit, maar ondertussen... Maar even verder die jungle in, je ziet hier een paar zebra’s relaxt water drinken. Simpele vraag: is er geen gevaar? Er is een leeuw en toch staan ze relaxt te drinken. Dit komt omdat er andere dieren op de uitkijk staan. En zodra er één klaar is met drinken, wisselt hij een beveiliger af en zo gaan ze verder. Dat doen eigenlijk alle dieren in de jungle, behalve één soort, namelijk de homo sapiens. Wij doen dat niet, wij gaan niet elkaar waarschuwen als er gevaar is, wij gaan niet elkaar vertellen hoe je iets moet doen om gevaar af te wentelen. En dus overvalt, een beetje zoals een narwal, die hele jungle ons met regelgeving die zo eng is.

En waarom de narwal? De narwal is een dier dat heel goed is in verstijven. De hartslag en de stofwisseling gaan omlaag. Dit dier zit bij gevaar dodelijk stil en gaat langzaamaan zo de diepte in. Maar ja, als je gevaar ziet, dan wil je misschien ook wel vluchten of vechten. Dat kan dat dier niet, want hij kan geen piekinspanning meer leveren. Volledig verstijfd gaat hij vervolgens zijn dood tegemoet. 

Brenno laat zijn kat Hiero zien. Hiero ziet iets en verstijft en even later verstijft Hiero een tweede keer en is het duidelijk wat hij gaat doen: díe mug gaat het niet overleven. Ook zo kun je verstijven. Maar in de ICT doen we dat niet. De waanzin voor de invoering van de AVG was bijvoorbeeld, in een Italiaanse slagerij: "Pas op, in onze slagerij zouden wij uw naam kunnen vragen en uw vleesvoorkeur kunnen herinneren. Indien u hiermee niet akkoord gaat, gelieve heel hard IK GA NIET AKKOORD te roepen en vanaf vandaag doen we alsof we u niet kennen."  

Dit was de waanzin vlak voor het ingaan van de AVG en hoe er met dit soort problematiek werd omgegaan. We vonden het doodeng. Zelfs de website Music for Cats is tot groot verdriet van Hiero niet te bereiken en hij zal dan ook die muziek moeten missen, dat dan weer tot vreugde van Brenno. 

En nog steeds gaat het door. Vorige week was er bijvoorbeeld dit artikel: de AVG is schadelijk en beperkend, een litanie over hoeveel gedoe het allemaal is om bijvoorbeeld te weten welke data je allemaal hebt. Je krijgt continu te horen: het is allemaal te complex en te lastig. Brenno heeft lang nagedacht waarom dat zo is. Dat komt onder andere doordat we alles hele enge woorden geven, zoals het woordje cyber erbij. Cyberveilig, cyberplatform et cetera. Ironisch zegt Brenno: begin met het voor jezelf simpeler te maken, zoals de woordjes eerst in het klein te schrijven, dan wordt het weer leesbaar. En laten we daarna nog een stapje doen en het woordje cyber gaan schrappen. Oftewel we hebben het dan weer over woorden en grootheden die eenvoudig zijn en al die zeepsop eromheen een beetje vergeten. 

Brenno heeft een aantal prominente datalekken in Nederland naast elkaar gezet. Ze hebben één ding allemaal met elkaar gemeen en dat is: niet updaten. Het simpelweg niet doen. In november 2018 stond het aantal datalekken dat sinds de invoering van de AVG is gemeld nog op 18.000. Het gaat dus structureel verkeerd, we maken dezelfde fouten opnieuw en opnieuw. 

Hij wordt moedeloos als hij hoort: "het mag niet van de AVG". Lees de AVG voor de grap eens. In de AVG staat 70 keer het woordje ‘risico’ (en niet één keer het woord ‘privacy’). Het woordje ‘risico’ is best wel ingewikkeld, maar Brenno is daarin de laatste tijd een stuk pragmatischer geworden en denkt niet meer in risico’s, maar in hoe dingen fout kunnen gaan. Dat blijkt namelijk al ver voordat de ICT een beetje goed en wel op gang was al de methodiek te zijn. Waarbij je je afvraagt: hoe kan het fout gaan en hoe erg is dat? Dat kun je genormeerd een waarde geven. Hoe vaak komt het voor en hoe detecteerbaar is het als het misgaat? Hij vertelt een anekdote over dat hij laatst bij een klant was die zei dat ze datalekken heel goed detecteerden: “Wij hebben Twitter openstaan en dan zien we het vanzelf langskomen als wij een datalek hebben.”

Hij geeft een voorbeeld van een datalek bij een zorgadministratiekantoor in Singapore. Op 23 augustus 2017 raakt het systeem geïnfecteerd. En reeds op 11 juni kregen de systeembeheerders alarm dat er mensen probeerden in te loggen in het zorgsysteem, waar dat niet zou moeten. Die alarmen herhaalden zich de dagen daarna. En op een gegeven moment bleef het alarm rinkelen en elke keer was het heel veel gedoe om dat uit te schakelen. Met op een gegeven moment de melding dat er mensen medische records aan het benaderen waren. Pas op 9 juli werd het management geïnformeerd. Dit is dus precies wat Brenno eerder bedoelde met het narwalgedrag. We raken zo overweldigd en vinden het zo raar dat iemand probeert ten onrechte in te loggen. Dan gaan we een beetje om ons heen lopen kijken in plaats van iets te doen. Het bizarre is dat dit een hele grote casus blijkt te zijn, waarbij ook van ministers van Singapore medische gegevens zijn gestolen. Hierover is een dik rapport geschreven, waarbij de conclusie is dat een beetje basale hygiëne de aanval zou hebben gestopt. Zullen we afspreken met elkaar om de basale hygiëne te doen, om de simpele dingen te doen?  Niets hoogdravends, niets ingewikkelds, want dit is elke keer de bron van ellende.

De digitale hygiëne, de simpele dingen maken het verschil. En dan is dus het AVG-verhaal een niet ingewikkeld AVG-verhaal. Dan weet je wat je in huis hebt en dan weet je welke risico’s je eventueel loopt. En vervolgens eet de toezichthouder uit je hand, want je hebt alles gedocumenteerd. 

Vragen uit het publiek

Vanuit het publiek komt de opmerking dat het soms moeilijk is om duidelijk te maken wat nou precies de schade is van een datalek, voor bijvoorbeeld een bedrijf bij dit soort risico’s.

Brenno de Winter reageert dat het niet makkelijk is om dit in geld uit te drukken. Als het medisch dossier van de premier van Singapore op straat ligt: pijnlijker dan dat wordt het niet. Als je een centraal medisch systeem hebt, waarbij je bij alle data kunt komen. En dit is niet de eerste keer, daarvoor hebben we ook al met het Wannacry virus zoiets gezien in het Verenigd Koninkrijk waar ze ook alle systemen al gecentraliseerd hadden. Eigenlijk betekent dat, dat je dan afscheid hebt genomen van het medisch beroepsgeheim. Als een organisatie niet wil inzien dat de data die zij hebben enige waarde heeft, dan kunnen we elk project of Big Data project gelijk gaan stoppen. En als dat niet wordt geapprecieerd, dan is de enige stok achter de deur nog wettelijke handhaving. 

Jeroen Terstegge – Privacy Management Partners

Aan Jeroen Terstegge is gevraagd om een overzicht te geven van reacties uit het bedrijfsleven. Hij heeft gekeken in zijn eigen klantenkring en sociale media, en geprobeerd om mensen te categoriseren. En die narwal van Brenno de Winter zit er niet tussen, maar dat is eigenlijk categorie nummer elf.

1. Hel-en-verdoemenis prediker
Met stip op nummer 1 staat de ‘hel-en-verdoemenis prediker’. U kent ze wel, ze beginnen elke training, elk verkooppraatje, elke cursus en elke presentatie en nu dus ook met ‘er komen hoge boetes aan’. Twintig miljoen of 4% van je wereldwijde jaaromzet. Het voelt als veel, en veel klanten die om hulp vragen bij de AVG beginnen dus ook met ‘want er komen hoge boetes aan en hoe hoog zijn ze dan voor mij?’ En Jeroen zegt daarop dat voor het zinnetje over de boetes een ander zinnetje staat waarin wordt aangegeven dat de boetes proportioneel moeten zijn. En proportioneel betekent onder andere dat je er niet aan failliet gaat. Die boetes zijn niet bedoeld voor de gemiddelde MKB’er of de gemiddelde voetbalvereniging. Maar toch blijft het een goed verkooppraatje voor de zelfbenoemde AVG-experts, want daar zijn er heel veel van tegenwoordig. Aan de AVG hangt ook de persoonlijke aansprakelijkheid voor bestuurders, waar veelvuldig voor wordt gewaarschuwd. Die AVG-experts hebben waarschijnlijk Jeroen Terstegge horen spreken op het congres van het Nationaal Cyber Security Centrum over datalekken. Waarin hij het uit 1954 stammende ‘IJzerdraadarrest’ van de Hoge Raad heeft genoemd, waaruit volgt dat het mogelijk is dat een boete persoonlijk wordt opgelegd wanneer de leidinggevende persoonlijk heeft leidinggegeven aan de overtreding. Dat is vaststaand recht en dat volgt niet uit de AVG. Maar het is een goed verkooppraatje, waarvoor veel mensen gevoelig lijken te zijn. 

2. De flauwekul verspreiders
Op nummer 2 staan de flauwekul verspreiders. Hij heeft afgelopen 2 jaar het woord ‘flauwekul’ het meest gebruikt op sociale media. Allerlei Twitter-berichten, LinkedIn-berichten die hij leest en waarbij hij zich niet kan inhouden om te zeggen dat wat daarin staat flauwekul is. Zoals dat het gros van de regels in de AVG helemaal niet nieuw is: de eerste dataprotectiewet in Nederland is van 1988, namelijk de Wet Persoonsregistraties en daar stond al bijna hetzelfde in als in de AVG. Dus elke keer als er wordt gezegd dat er een nieuwe wet is en dat je vanaf nu inzage kan vragen, is het flauwekul. Dat inzagerecht is al 30 jaar oud. 

Vanmorgen zette Jeroen het NOS-journaal aan. Van de nieuwslezer van het journaal was bijna iedere zin die zij vanmorgen heeft uitgesproken juridisch onjuist. Inclusief de soundbite die ze hadden gemaakt van Aleid Wolfsen. Hij zal vast een heel goed verhaal hebben gehad daaromheen, maar de soundbite die de redactie van de NOS eruit pikte en liet zien is juridisch onjuist. Zijn broek zakt er van af hoeveel onzin er wordt verspreid over de AVG. Je hoeft helemaal niet overal toestemming voor te vragen, dat staat helemaal niet in de AVG. Sommige dingen zijn wettelijk verplicht, moeten ter uitvoering van een overeenkomst of voor een publieke taak. Zoals Brenno de Winter al zei: de mensen die zeggen “het mag niet van de AVG”, dat zijn de zogenoemde nee-zeggers. En naarmate ze vaker nee zeggen en tegen steeds belangrijkere dingen nee zeggen, gaan andere mensen in de organisatie met een grotere boog om hen heen lopen. Dus je moet ervoor zorgen dat je ‘ja, mits…’ zegt. En dan vervolgens het gesprek aangaat over hoe we dat vervolgens gaan doen. 

3. De ontkenners
De volgenden in het rijtje zijn de directeuren. De gemiddelde directeur die we hebben bij de start van zo’n AVG-workshop bij een AVG-traject. Dan wil Jeroen dat de directeur aan tafel zit en binnen vijf minuten krijgt hij de volgende zin te horen: ‘ik ben de hele dag bezig met risico’s te managen, hoezo is die AVG iets anders’. En dan zijn we vier uur verder en dan is het kwartje hopelijk wel gevallen dat je daar iets mee moet. 

4. De oogklepdragers 
Op de vierde plek staan, met alle respect voor IT’ers, de oogklepdragers. Laten we ophouden met alles een datalek te noemen. Het niet hebben van een verwerkersovereenkomst met de verwerker is geen datalek. Het nadeel van de invoering van het meldpunt datalekken in 2016 is dat de opvatting is ontstaan dat zolang je maar geen datalekken hebt, dat het dan goed is. Wat vervolgens betekende: zolang je maar geen datalek hebt van gegevens die je illegaal verwerkt of die je überhaupt al lang het moeten weggooien. ‘Dat is allemaal niet erg, want we hebben geen datalek’. Dat gedrag zijn we veel tegengekomen in de IT-hoek. 

5. De windowdressers
De ‘windowdressers’. Dat hebben wij met zijn allen 30 jaar lang gedaan, sinds de Wet Persoonsregistraties. Zo hebben we al netjes 30 jaar een privacy statement. Het doorsnee MKB-bedrijf, stichting of vereniging die vraagt om geholpen te worden met de aanpassing van de privacyverklaring en de verwerkersovereenkomsten. Op de opmerking dat ze nog meer verplichtingen hebben vanuit de AVG, zeggen ze dat dat later wel komt. 

6. De visielozen
Heel veel grote organisaties die vragen ‘kun je ons helpen met compliant te worden onder de AVG’. Zodra je daar dan zit, verwachten ze dat je daar je trucje komt doen in zo’n vier maanden en dan weer doorgaat. Op die basis werd Jeroen in 2001 ingehuurd door Philips, om binnen een jaar compliant te worden met de toen net in werking getreden Wet bescherming persoonsgegevens. Hij heeft er 10 jaar gezeten en was toen waarschijnlijk nog niet klaar met het implementeren van de Wbp bij Philips. Je bent namelijk nooit klaar. Het eist dat je als organisatie een visie hebt waar je naartoe gaat. Het eerste wat hij dus deed bij Philips was te kijken naar de visie: ‘hoe willen wij met gegevens omgaan?’ En als je dat aan een gemiddelde directeur vroeg, dan kreeg je 100 verschillende antwoorden, want elke directeur wilde iets anders met zijn eigen departement binnen Philips. Dus je moet intelligent meebewegen met zo’n organisatie, maar je moet ze wel bij de les houden. Waar wil jij naartoe en hoe wil jij daar komen? 

7. De bewust-onbekwamen
Jeroen geeft veel privacy-trainingen en dan vooral de CIPP/E training. En dit is waarschijnlijk wel de nummer 1 vraag: ‘wat is het verschil tussen een verwerker en een verwerkersverantwoordelijke?’ en ‘wanneer moet ik nou een verwerkersovereenkomst met een dienstverlener afsluiten?’ En wanneer hij dat heeft uitgelegd dan gaat er altijd een soort van zucht door de zaal met ‘goh, dan hebben we veel te veel verwerkersovereenkomsten afgesloten’. Er is een enorme kennisachterstand als het gaat om kennis over de AVG. En dan gaan we elkaar met zijn allen in de weg zitten. 

8. De activisten
De mensen die zeggen ‘het moet allemaal anders’, en dat is prima, en de activisten hebben ook hun rol. Maar je moet dan niet opeens allemaal dingen in de AVG gaan lezen die er niet in staan. Persoonsgegevens zijn niet uw eigendom, het staat ook nergens in de AVG dat dat zo is. En u hebt helemaal niet altijd het recht om vergeten te worden. Sterker nog: als een organisatie 100% compliant is met de AVG dan kan een verzoek om verwijderd te worden, altijd worden afgewezen. We zitten alleen nog op 30 jaar achterstallig huiswerk en dus op bergen data die er allang niet meer horen te zijn. Dus dan gaan we ook veel geslaagde verwijderingsverzoeken zien. 

9. De geloofwaardigen
Iedereen die dit vak al een tijdje doet is gegaan van privacy compliance naar data ethics. Je kan dit vak niet doen als je het niet vanuit een morele overtuiging doet. Als je het alleen vanuit compliance doet, dan gaat het hopeloos mis.

10. De evangelisten
Dat zijn de mensen die schreeuwen van de daken hoe het nou eigenlijk moet. De beste evangelist die hij kent op dit gebied is Michelle Dennedy die Chief Privacy Officer is van Cisco. Die weet als geen ander uit te leggen waar dit vak nou eigenlijk over gaat. “Data Privacy is telling a story about a person with integrity and respect.” Het is niet dat je de gegevens niet verwerkt. Als je persoonsgegevens mag hebben, dan moet je ze alleen fatsoenlijk verwerken. Dat staat ook gewoon in de eerste zin van artikel 5 van de AVG. Het allerbelangrijkste artikel van de AVG is artikel 5, niet artikel 6 waar juristen altijd naar gluren. Je kan geen toestemming vragen voor iets wat unfair is. Je kan geen toestemming vragen voor iets wat disproportioneel is. Je kan geen toestemming vragen voor iets dat onrechtmatig is. Artikel 5 is het belangrijkste en dat gaat precies over wat Michelle zegt. “Telling a story about a person with integrity and respect”. Jeroen hoopt dat u dat ook gaat doen, want als u alleen compliance doet dan bent u over tien jaar nog niet klaar met het implementeren van de AVG.

Bekijk de hele presentatie van Jeroen Terstegge (pdf).

Nederlandse Privacy Awards

De middag werd vervolgens afgesloten met de uitreiking van de Nederlandse Privacy Awards. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn... Startpage.com en Privacy Company i.s.m. SURF ! Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.

Winnaar: Startpage.com

Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever ‘by default’ afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

Winnaar: Privacy Designer (Privacy Company en SURF)

Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.

De jury van de Awards was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.

Winnaar: PublicSpaces

Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden. 

PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

De jury van de Nederlandse Privacy Awards 2019 bestond uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Na afloop van het congres kreeg iedere aanwezige een exemplaar van het nieuwe Blauwe Boekje van Jaap-Henk Hoepman over privacy by design mee. Klik HIER voor de digitale versie.

Deze editie van de Nationale Privacy Conferentie & Awards was een groot succes. Dit vraagt om een vervolg en de plannen voor 2020 zijn in de maak!

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2019 zijn Startpage.com en Privacy Company i.s.m. SURF. Daarnaast ontving PublicSpaces de Aanmoedigingsprijs.

Winnaar: Startpage.com

Met Private Search 2.0 biedt Startpage.com een plaats waar iedereen die profilering en targeting op basis van online zoekopdrachten als verstikkend ervaart, weer wat vrijer kan ademhalen. De belofte van Startpage.com is dat hun gebruikers Google Search kunnen laten bevragen zonder te hoeven vrezen dat elke zoekopdracht wordt toegevoegd aan een permanente dataschaduw bij Google. Bovendien kunnen de zoekresultaten bij Startpage.com via een anonimiserende proxy worden bezocht. Daarmee vervult Startpage.com een behoefte bij iedereen die weleens wil zoeken naar informatie zonder vervolgens geconfronteerd te worden met gerichte advertenties daarover. Denk aan wie zoekt naar informatie over hulp bij een financieel probleem, een relatieprobleem of een gezondheidsprobleem. En natuurlijk aan wie zich überhaupt liever 'by default' afschermt van buitenlandse data-handelaren (Silicon Valley cum suis). De nieuwe Startpage.com website biedt mensen daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

Winnaar: Privacy Designer (Privacy Company en SURF) 

Privacy Designer is een webapp van Privacy Company en SURF voor het MKB, verenigingen en NGO’s, dat hen helpt privacy risico’s te inventariseren. De app is medegefinancierd door het SIDN Fonds en kan vrij van kosten worden gebruikt.

De jury was zeer onder de indruk van deze oplossing. Het is handig in gebruik, vernieuwend, en de maatschappelijke impact is groot omdat we uit onderzoek weten dat de doelgroep vaak niet of matig op de hoogte is van de privacy risico’s die zij lopen en hoe daar goed mee om te gaan. Dat alle gegevens bovendien op het eigen toestel worden opgeslagen en er minimaal gebruik wordt gemaakt van persoonsgegevens is een pré. Kortom, deze inzending heeft de potentie om op een zeer laagdrempelige maar effectieve manier de privacy voor een grote groep mensen te verbeteren.

Winnaar: PublicSpaces

Op het internet gebeurt van alles wat we niet zien of merken (vooral reclame op basis van zoekgedrag levert ons veel irritatie op). Ondertussen worden we steeds afhankelijker van navigatie, de cloud-opslag van onze documenten en het zoeken naar informatie. Het lijkt erop dat hiermee vooral een paar dominante commerciële bedrijven er steeds beter van worden.

PublicSpaces is een coalitie van publieke omroepen en culturele instellingen, die van het internet weer een community van gebruikers willen maken. Zij willen met een aantal belanghebbende partijen het internet gaan repareren door het heel concreet aanbieden van een paar alternatieven. Vooral het overerven van data over verschillende platforms is hen een doorn in het oog. Met open source initiatieven, maar ook de inzet van onze vorige winnaar IRMA willen zij een bijdrage leveren aan de publieke waarde van privacy op het internet. De jury moedigt de missie van PublicSpaces van harte aan!

Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en Privacy First is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2019 waren achtereenvolgens:  

Aleid Wolfsen (voorzitter Autoriteit Persoonsgegevens)
Sophie in 't Veld (Europarlementariër)
Tijmen Schep (PrivacyLabel)
Brenno de Winter (ICT-onderzoeker)
Jeroen Terstegge (Privacy Management Partners).

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Nederlandse Privacy Awards

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar hebben bijna 20 deelnemers zich aangemeld, met een groot aantal hoogwaardige inzendingen. Uit deze inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen

Private Search 2.0: eind 2018 heeft het Nederlandse bedrijf Startpage.com een nieuwe versie geïntroduceerd van haar privacyvriendelijke zoekmachine, met daarin een Anonymous View-functie. Hiermee kan de gebruiker een website bekijken zonder de privacyvriendelijke Startpage.com-omgeving te verlaten. De nieuwe Startpage.com website biedt privacybewuste internetters daarmee een belangrijke, en bovendien zeer gebruiksvriendelijke mogelijkheid om websites te bekijken zonder zich voortdurend zorgen te hoeven maken over ongewenste profilering en toekomstige confrontatie met hun zoekgedrag.

VraagApp is een app die kwetsbare burgers de mogelijkheid biedt om vragen te stellen aan vrijwilligers over praktische problemen die ze in het dagelijks leven tegenkomen. Deze app is genomineerd omdat het een excellent voorbeeld is hoe gebruikers “echt” te informeren. Niet louter een afvink-mentaliteit, maar privacy doordenken in alle lagen van de organisatie én de technologie. Privacy wordt hier niet gezien als een hindernis maar als een noodzakelijke voorwaarde om de dienst te laten functioneren. Door privacy in zowel het ontwerp als gebruik centraal te zetten, wordt het mogelijk een kwetsbare doelgroep op een veilige en vertrouwensvolle manier toegang te bieden tot de informatiemaatschappij en zo bij te dragen aan hun zelfstandigheid.

Schluss is met recht dé doorzetter, want nu voor de tweede keer genomineerd. Schluss heeft als missie dat iedereen de baas wordt over zijn of haar gegevens op internet en zo zelf kan bepalen wie wat van hen mag weten. Meer zeggenschap van gebruikers over hun eigen gegevens is een belangrijk goed en Schluss draagt bij aan maatschappelijke bewustwording omtrent privacyrechten van burgers. Schluss heeft daarbij inmiddels een duidelijke nuance in de omvang van het gebruik van haar toepassing aangebracht en faciliteert nu per ‘use case’ privacyvriendelijke gegevensuitwisseling.

Bedrijfsoplossingen

Privacy op Schooltas is een privacy-bewustwordingstool voor leerkrachten. Aan de hand van ‘escaperoom-achtige’ opdrachten maken leraren op een speelse en spannende manier kennis met zaken die mis kunnen gaan op het gebied van informatiebeveiliging en privacy van leerlingdata, zoals fouten in leerlingdossiers, datalekken en agenda’s met inloggegevens. Deze tool is genomineerd omdat het op een innovatieve wijze werkt aan bewustwording op de werkvloer. Het speelse element versterkt de kennisoverdracht en zet aan tot gesprek met collega’s over hoe in de dagelijkse praktijk privacybescherming vorm te geven.

Privacy Designer: MKB-bedrijven zijn de motor van de Nederlandse economie en dienen ook te voldoen aan de AVG. De gratis app/website Privacy Designer van Privacy Company en SURF helpt hen om snel en eenvoudig inzichtelijk te krijgen welke maatregelen genomen moeten worden.

Overheidsdiensten

Passantentellingen is een nieuw privacyvriendelijk concept dat de gemeente Nijmegen als eerste in Nederland in haar binnenstad gaat toepassen. Met camera’s worden ‘on the flight’ personen en looppatronen anoniem geregistreerd. Puntjes en streepjes zijn het resultaat.

Project privacy by design: de Belastingdienst werkt datagedreven en wil dat goed doen. Bij de afdeling Datafundamenten & Analytics van de Belastingdienst is nu een project gaande om privacy by design binnen de organisatiestructuur in te bedden. Onderdeel daarvan is het pseudonimiseren van alle data. Bepaald geen sinecure.

Tevens zal de vakjury op eigen initiatief een speciale Aanmoedigingsprijs uitreiken.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bart van der Sloot, senior researcher, Universiteit Tilburg (jury-voorzitter)
• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, data protection & security professional, Comfort Information Architects (tevens bestuurslid Privacy First)
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Esther Keymolen, techniekfilosoof, TILT, Universiteit Tilburg
• Matthijs Koot, senior security specialist, Secura BV
• Marc van Lieshout, senior onderzoeker TNO en zakelijk directeur PI.lab
• Wendeline Sjouwerman, privacy specialist lokale overheden en zorg.

 
Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op maandag 28 januari 2019 in Nieuwspoort (Den Haag) worden de zeven genomineerde projecten door de inzenders aan het publiek gepresenteerd. De vakjury reikt vervolgens de Nederlandse Privacy Awards 2019 uit.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2018. Wilt u graag partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!