Toon items op tag: Overheid

Vandaag heeft het Nederlandse kabinet zijn langverwachte voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) bij de Tweede Kamer ingediend. Dit wetsvoorstel vormt een acute bedreiging voor de privacy van iedere Nederlander.

De voornaamste dreiging voor het recht op privacy in het wetsvoorstel bestaat uit de invoering van een massale internettap (sleepnet-bevoegdheid). De door het kabinet veronderstelde noodzaak hiervan is tot op heden echter niet aangetoond. Reeds hierom acht Privacy First het wetsvoorstel onrechtmatig. 

Daarnaast voorziet het wetsvoorstel onder meer in brede hack-bevoegdheden en bijbehorende decryptieverplichtingen (dit laatste zelfs op straffe van hechtenis), directe toegang tot databanken van overheid en bedrijfsleven, internationale uitwisseling van ongeëvalueerde bulk-data en eindeloze koppeling, datamining en profiling in massale hoeveelheden gegevens van voornamelijk onschuldige burgers. Deze excessieve uitbreiding van bevoegdheden gaat bovendien niet gepaard met bijbehorende waarborgen, zoals privacy by design. Ondanks het (eerder door Privacy First geadviseerde) versterkte toezicht op de diensten kan Privacy First dan ook niet anders concluderen dan dat het huidige wetsvoorstel in de kern ronduit totalitair is. In een wereld die in toenemende mate gekenmerkt zal worden door Big Data en het Internet of Things zal dit wetsvoorstel zich dan ook met name goed lenen voor toekomstig machtsmisbruik.

Privacy First herhaalt hierbij haar eerdere waarschuwing dat dit wetsvoorstel alsnog grondig ingeperkt danwel verworpen dient te worden. Bij gebreke hiervan behoudt Privacy First zich het recht voor om het wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Beluister tevens de reactie van Privacy First vanochtend bij BNR Nieuwsradio. Nader commentaar van Privacy First op het wetsvoorstel volgt binnenkort bij de parlementaire behandeling.

Op woensdagavond 2 november as. behandelt de Tweede Kamer een controversieel wetsvoorstel waardoor de reisbewegingen van iedere automobilist 4 weken in een politiedatabank zullen belanden. Indien beide Kamers dit wetsvoorstel aannemen zal Privacy First dit door de rechter ongedaan laten maken.

Massale privacyschending

Vast beleid van Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren reeds met succes bij de centrale opslag van ieders vingerafdrukken onder de Paspoortwet en de opslag van ieders communicatiegegevens onder de Wet Bewaarplicht Telecommunicatie. Een actueel, vergelijkbaar wetsvoorstel dat zich bij uitstek voor een dergelijke megazaak leent is het huidige wetsvoorstel 33542 van minister Van der Steur inzake Automatic Number Plate Recognition (automatische nummerplaatherkenning, ANPR). Onder dit wetsvoorstel zullen de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen) door middel van cameratoezicht vier weken in politiedatabanken worden opgeslagen voor opsporing en vervolging. Iedere automobilist wordt hierdoor een potentiële verdachte. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief. Het wetsvoorstel is daarom in strijd met het recht op privacy en daarmee onrechtmatig.

Oud wetsvoorstel

Het huidige ANPR-wetsvoorstel werd reeds in februari 2013 bij de Tweede Kamer ingediend door voormalig minister Opstelten. Voorheen was ook minister van Justitie Hirsch Ballin al in 2010 van plan om een vergelijkbaar voorstel in te dienen met een bewaartermijn van 10 dagen. Vervolgens verklaarde de Tweede Kamer dit voorstel echter controversieel. De ministers Opstelten en Van der Steur deden er daarna met hun huidige wetsvoorstel echter alsnog drie scheppen bovenop. Wegens privacyzorgen lag de parlementaire behandeling van dit wetsvoorstel vervolgens enkele jaren stil, maar lijkt nu alsnog te worden gereactiveerd en zelfs te worden versterkt door een verzesvoudiging van de voorgestelde bewaartermijn door VVD en PvdA.

Data hooiberg

Volgens de huidige regels dienen de ANPR-gegevens van onschuldige burgers binnen 24 uur te worden gewist; in de optiek van de Autoriteit Persoonsgegevens dienen alle kentekens die niet verdacht zijn (zogenaamde “no-hits”) zelfs direct uit de databases te worden verwijderd. Minister Van der Steur gaat hier dus lijnrecht tegenin door ook de kentekens van niet-verdachte burgers vier weken te willen opslaan. VVD en PvdA willen deze bewaartermijn zelfs verhogen naar 6 maanden. Een dergelijke data-hooiberg vormt bij voorbaat een flagrante schending van het recht op privacy van iedere automobilist. Eventueel rechterlijk toezicht op het gebruik hiervan doet hier niets aan af.

VN Mensenrechtenraad

De afgelopen jaren heeft Privacy First dit standpunt reeds diverse malen duidelijk kenbaar gemaakt aan zowel de Tweede Kamer (vaste commissie voor Veiligheid en Justitie) als geheel als aan relevante Kamerleden persoonlijk. Privacy First heeft dit eveneens gedaan in persoonlijke meetings met minister Opstelten (juli 2013) en minister Van der Steur (juli 2014, destijds nog VVD-Kamerlid). Tevens heeft Privacy First e.e.a. onlangs aangekaart bij de Mensenrechtenraad van de Verenigde Naties. In mei 2017 zal de Nederlandse regering zich hierover in Genève dienen te verantwoorden.

Rechtszaak

Indien de Tweede en Eerste Kamer het huidige ANPR-wetsvoorstel zullen aannemen zal Privacy First (in brede coalitie met andere maatschappelijke organisaties) de Nederlandse Staat direct dagvaarden en de wet buiten werking laten stellen wegens strijd met het recht op privacy. Indien nodig zullen Privacy First en mede-eisers hiertoe doorprocederen tot aan het Europees Hof voor de Rechten van de Mens in Straatsburg. Gezien de Europese en Nederlandse jurisprudentie terzake acht Privacy First de kans op een succesvolle rechtsgang buitengewoon hoog.

Update 1 november 2016: de PvdA lijkt haar eerdere steun voor verlenging van de bewaartermijn naar 6 maanden inmiddels te hebben ingetrokken, getuige het feit dat het huidige amendement alleen nog door VVD wordt ingediend.

Update 2 november 2016: vanochtend was Privacy First live in de uitzending op Radio 1; klik HIER voor het hele interview.

Update 3 november 2016: gisteravond vond in de Tweede Kamer het debat over het wetsvoorstel plaats, klik HIER om het hele debat te bekijken en HIER voor het verslag. VVD, PvdA, CDA en PVV lijken voor het wetsvoorstel te gaan stemmen. GroenLinks, D66 en SP zijn tegen. "Met D66 vreest GroenLinks dat artikel 8 van het Europees Verdrag voor de Rechten van de Mens in het gedrang komt. Het heeft er alle schijn van dat Privacy First nog weleens een heel stevige zaak in handen kan hebben bij de rechter, die te vergelijken valt met de nietigverklaring van de richtlijn dataretentie en de Wet bewaarplicht telecommunicatiegegevens", aldus Kamerlid Liesbeth van Tongeren (GroenLinks) tijdens het debat met minister Van der Steur. De stemming over het wetsvoorstel zal plaatsvinden op dinsdag 8 november as. Vervolgens is de Eerste Kamer aan zet.

Update 8 november 2016: vandaag heeft de Tweede Kamer het wetsvoorstel met een bewaartermijn van 4 weken aangenomen. VVD, PvdA, CDA, PVV, 50Plus en SGP stemden voor. D66, SP, GroenLinks, Partij voor de Dieren en ChristenUnie stemden tegen. Het voorstel van de VVD voor verlenging van de bewaartermijn naar 6 maanden werd verworpen. Lees ook de analyse door PrivacyBarometer. Volgende halte: Eerste Kamer, hopelijk tevens het eindstation. Zo niet, dan volgt een prachtige rechtszaak.

"De gemeente Amsterdam mag doorgaan met kentekenparkeren. Er is geen sprake van een inbreuk op de privacy, oordeelt de rechter.

Dat heeft de rechter bepaald in een kort geding tussen Privacy First en de gemeente Amsterdam. Volgens de rechter is het invoeren van het kenteken nodig voor de handhaving. Er zijn volgens de rechter voldoende waarborgen om de privacy van burgers te beschermen. Ook het elektronische betalen vindt de rechter geen probleem.

Anoniem parkeren

Privacy-advocaat Christiaan Alberdingk Thijm, partner bij bureau Brandeis heeft zijn twijfels over het oordeel van de rechter. 'Je moet je afvragen: is het nodig om het op deze manier te doen en kan je niet een manier invoeren om anoniem te parkeren, gewoon door muntjes in de automaat te doen of door het op een andere manier te doen zonder je kenteken in te voeren. De techniek laat dat natuurlijk wel toe, dat zien we ook in andere gemeenten. Dus wat dat betreft volg ik de uitspraak niet helemaal.'

'De gemeente Amsterdam schendt de wet en maakt zich schuldig aan machtsmisbruik door parkeerders met onnodige kosten en procedures op te zadelen', stelt Privacy First. Het moeten opgeven van het kenteken strookt volgens de stichting bovendien niet met de mogelijkheid om anoniem te kunnen parkeren. 'Dagelijks loopt iedereen die anoniem wil kunnen parkeren het risico om ten onrechte beboet te worden. Deze situatie kan niet langer voortduren.'

Naheffing

Wanneer je in Amsterdam parkeert waar betaald parkeren geldt, moet je het kenteken van de auto opgeven. Doe je dit niet, dan krijg je een naheffing. Zodra je kunt aantonen dat je wel hebt betaald, vervalt die naheffing weer.

Onterecht

Aanleiding voor het kort geding was een eerdere uitspraak van de Hoge Raad. Een vrouw sleepte de gemeente Amsterdam eerder dit jaar voor de rechter nadat zij een bekeuring had gekregen voor het niet opgeven van het juiste kenteken. De Hoge Raad oordeelde uiteindelijk dat die boete onterecht was, omdat in de wet staat dat er alleen een boete mag worden opgelegd als er niet is betaald. Dat was in dit geval wel gebeurd.

Controle

Het opgeven van het kenteken zorgt ervoor dat parkeerwachters gemakkelijk kunnen controleren door het kenteken te scannen. Ook de auto’s die in Amsterdam de kentekens automatisch scannen maken hier gebruik van."

Bron: https://www.bnr.nl/nieuws/juridisch/10311169/rechter-veegt-bezwaren-kentekenparkeren-van-tafel, 21 september 2016.

Tijdens het Nationaal Congres Dataprotectie & Privacy zijn vandaag de IIR Nationale Privacy Innovatie Awards uitgereikt.

Nationale Privacy Innovatie Awards

De jaarlijkse IIR Nationale Privacy Innovatie Awards zijn vandaag voor de 2e keer uitgereikt en laten een duidelijke groei zien in het aantal aanmeldingen. De Awards zijn een mooie samenwerking tussen de populaire congresorganisatie IIR en Stichting Privacy First, gericht op bedrijven en organisaties die zich positief onderscheiden in duurzaam privacybeleid en privacyvriendelijke producten en diensten. Dit in lijn met de missie van Privacy First: Nederland Privacy Gidsland.

Winnaars Nationale Privacy Innovatie Awards 2016

Uit alle aanmeldingen zijn per categorie 2 genomineerden gekozen waarvan 1 winnaar is geselecteerd:

Categorie Bedrijfsoplossingen:

1. TomTom Fleet Management OptiDrive 360, de privacyvriendelijke oplossing voor wagenparken: https://business.tomtom.com/nl_nl/webfleet/products/webfleet/features/optidrive360/

2. Pseudonimiseer, voor pseudonimisering en anonimisering van persoonsgegevens: https://www.pseudonimiseer.nl  


Categorie Consumentenoplossingen:  

1. Qiy met de ID-cover voor identiteitsdocumenten: https://www.respectprivacy.org

2. Ydenti (CDDN), een privacy platform voor de consument en zijn persoonlijke gegevens (in ontwikkeling).


Categorie Overheidsdiensten:

- Geen inzendingen.

Categorie Start-ups (aanmoedigingsprijs):

1. Zivver met anonieme communicatiediensten voor consumenten en bedrijven: https://www.zivver.com/nl

2. Soverin met anonieme internetdiensten: https://soverin.net

Zivver heeft daarnaast ook de Publieksprijs in de wacht gesleept!

Van links naar rechts: Paul Korremans (jury), John Borking (jury), de winnaars Maarten Louman van Qiy, Simon Hania van TomTom, Rick Goud van Zivver en Bas Filippini (jury). Foto: IIR

Privacymarkt ontwikkelt zich sterk

Opvallend is dat er de laatste jaren een nieuwe markt aan het ontstaan is op het gebied van privacy binnen organisaties en privacygerichte oplossingen. Enerzijds wordt dit ingegeven door de nieuwe Europese privacywetgeving en anderzijds door de enorme concentratie van gegevens bij enkele grote commerciële partijen en overheden. De vele datalekken, hacks en bewust misbruik van gegevens door geheime diensten die door Snowden naar buiten zijn gebracht, versterken langzaam maar zeker het privacybewustzijn bij de burger. Waar de industriële revolutie milieuvervuiling veroorzaakte is dat bij de informatierevolutie privacy- en vrijheidsvervuiling.

Enkele gebieden waar de inzenders zich op richten zijn:

- Technische en procedurele veiligheidsoplossingen ingegeven door wetgeving en technische encryptiemogelijkheden;
- Dienstverlening gericht op het pseudonimiseren en anonimiseren van persoonsgegevens en data;
- Diensten gericht op anonieme communicatie (document sharing, chat, mail en surfen) en anonieme mobiliteit (anonieme kaarten etc);
- Diensten waarbij de gebruiker eigen verantwoordelijkheid kan nemen in het omgaan, beheer en eventueel vercommercialiseren van zijn/haar persoonsgegevens vanuit een eigen of third party datakluis;
- Praktische oplossingen gericht op het voorkomen van identiteitsfraude.

Onafhankelijke jury

De Awards worden toegekend door een onafhankelijke jury van privacy professionals die op basis van een aantal scherpe criteria inzenders nomineren. Vervolgens worden middels bedrijfsbezoeken en onderzoeksvragen de winnaars geselecteerd.

De jury bestaat uit de volgende personen:

• Drs. L.T.C. Filippini, voorzitter Stichting Privacy First (juryvoorzitter)
• Dr. John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
• Paul Korremans, MBA, Data Protection & Security Professional, Comfort Information Architects
• Dr. Jaap Henk Hoepman, Scientific Director, Privacy & Identity Lab.

Lees HIER meer over de IIR Nationale Privacy Innovatie Awards.

Gemeente Amsterdam negeert oordeel Hoge Raad. Privacy First grijpt in.

Begin dit jaar oordeelde de Hoge Raad dat parkeerders niet verplicht zijn om bij het parkeren hun kenteken in te voeren. Desondanks staat op parkeerautomaten in Amsterdam (en veel andere gemeenten) nog steeds dat invoering van het kenteken verplicht is. Wie geen kenteken invoert maar wel betaalt, krijgt nog steeds een parkeerboete. Weliswaar kan die parkeerboete vervolgens vernietigd worden, maar dat vergt een omslachtige procedure.

De gemeente Amsterdam schendt dus niet alleen de wet, maar maakt zich ook schuldig aan machtsmisbruik door parkeerders met onnodige kosten en procedures op te zadelen.

Privacy First acht kentekenparkeren al jaren juridisch onhoudbaar. En met succes: in 2015 won Privacy First voorzitter Bas Filippini een rechtszaak tegen kentekenparkeren. Dit oordeel werd vervolgens bevestigd door de Hoge Raad. Desondanks ontving onze voorzitter dit jaar opnieuw een parkeerboete nadat hij om privacyredenen had geweigerd zijn kenteken in te voeren. Daarmee was voor hem de maat vol en resteerde geen andere optie dan een kort geding om kentekenparkeren definitief te laten afschaffen.

Vandaag diende dit kort geding bij de rechtbank Amsterdam. Onze advocaat Benito Boer bepleitte uitvoerig dat de gemeente Amsterdam met kentekenparkeren het recht op privacy aan haar laars lapt. Dagelijks loopt iedereen die anoniem wil kunnen parkeren het risico om ten onrechte beboet te worden. Deze situatie kan niet langer voortduren.

Klik HIER voor onze dagvaarding en HIER voor onze pleitnota. Voorafgaand aan de zitting had de gemeente Amsterdam geen verweerschrift ingediend. Ook tijdens de zitting bood de advocaat van de gemeente geen enkel steekhoudend weerwoord.

Over 2 weken (21 september) doet de rechter schriftelijk uitspraak. Privacy First ziet het vonnis met vertrouwen tegemoet.

Update 21 september 2016: tegen alle verwachtingen in heeft de rechter de zaak vandaag helaas afgewezen. Privacy First acht dit vonnis volstrekt onjuist en beraadt zich op nadere juridische stappen.

Update 4 oktober 2016: op 21 september jl. bepaalde de Amsterdamse kort-gedingrechter dat kentekenparkeren niet in strijd zou zijn met het recht op privacy en de rechtspraak van de Hoge Raad. Privacy First acht dit uiterst teleurstellend en onbegrijpelijk. Deze week heeft onze voorzitter daarom een dagvaarding tot versneld hoger beroep (spoedappèl) laten betekenen bij de gemeente Amsterdam; klik HIER voor het hele document (pdf). Het vonnis van de kort-gedingrechter wordt door Amsterdam (en andere gemeenten) immers ten onrechte als ‘groen licht’ voor kentekenparkeren beschouwd. Door verplicht kentekenparkeren wordt het recht op anonimiteit in de openbare ruimte echter nog altijd met voeten getreden. Privacy First beschouwt deze situatie als een vorm van machtsmisbruik (zie ook onze motivatie in de dagvaarding van het spoedappèl, p. 3). Het is aan de rechter om deze situatie alsnog te corrigeren. Privacy First hoopt dan ook dat het Hof Amsterdam de zaak op korte termijn zal behandelen.

Update 17 januari 2017: de rechtszitting in ons spoedappèl bij het Hof Amsterdam staat inmiddels gepland op donderdag 16 maart as. om 9.30u. Iedereen is welkom om de rechtszitting bij te wonen.

Tijdens het Nationaal Congres Dataprotectie & Privacy 2016 worden de jaarlijkse Nationale Privacy Innovatie Awards uitgereikt. Deze Awards belonen de meest originele, innovatieve en kansrijke privacyprojecten van Nederland.

IIR en Privacy First belichten met deze Awards organisaties die privacy-innovatie zien als kans om zich positief te onderscheiden en privacyvriendelijk te ondernemen. Dit in lijn met de missie van Privacy First: Nederland Privacy Gidsland.

Uit de vele inzendingen heeft de vakjury de volgende genomineerden per categorie bepaald:

Jury IIR Nationale Privacy Innovatie Awards
De jury bestaat uit privacy experts uit verscheidene branches en sectoren:
• Bas Filippini, oprichter en voorzitter, Privacy First (juryvoorzitter)
• John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
• Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
• Jaap Henk Hoepman, Scientific Director, Privacy & Identity Lab.

De verkiezing
Tijdens het congres worden de zes genomineerde projecten aan het publiek gepresenteerd. De vakjury bepaalt wie de winnaars worden van de IIR Nationale Privacy Innovatie Awards 2016. Daarnaast stemt het publiek live mee voor de publieksprijs, die naast de Awards wordt uitgereikt.

Op woensdag 14 september 2016 tijdens het Nationaal Congres Dataprotectie & Privacy wordt bekendgemaakt wie deze prestigieuze prijzen in de wacht sleept.

Lees HIER meer over de IIR Nationale Privacy Innovatie Awards.

Opslag vingerafdrukken in strijd met recht op privacy

In navolging van het Hof Den Haag heeft de Raad van State vandaag geoordeeld dat de gemeentelijke ("decentrale") opslag van vingerafdrukken onder de Paspoortwet onrechtmatig is wegens strijd met het recht op privacy. De Raad van State kwam tot dit oordeel in een zevental bestuursrechtelijke zaken van individuele burgers (gesteund door Burgerrechtenvereniging Vrijbit). Begin 2014 kwam het Hof Den Haag reeds tot een vergelijkbaar oordeel in het civielrechtelijke Paspoortproces van Stichting Privacy First en 19 (andere) burgers. Vervolgens werd ons Paspoortproces door de Hoge Raad echter alsnog niet-ontvankelijk verklaard en naar de bestuursrechter verwezen. Privacy First heeft vervolgens het complete civielrechtelijke procesdossier bij de Raad van State ingediend ter versterking van de daar lopende paspoortzaken. Als hoogste bestuursrechter oordeelt de Raad van State nu op soortgelijke wijze als eerder het Hof Den Haag. Ondanks de latere niet-ontvankelijkheid bij de Hoge Raad staat het verbod op de opslag van ieders vingerafdrukken in databanken daarmee opnieuw als een paal boven water.

Gebrekkig oordeel en procesgang

Evenals bij de eerdere uitspraak van het Hof Den Haag betreurt Privacy First het echter dat de Raad van State de opslag niet onrechtmatig heeft willen verklaren op zuiver principiële gronden (namelijk wegens gebrek aan maatschappelijke noodzaak, proportionaliteit en subsidiariteit), maar 'slechts' op basis van technische ondeugdelijkheid. Privacy First zal de betreffende burgers dan ook adviseren om door te procederen richting het Europees Hof voor de Rechten van de Mens (EHRM) in Straatsburg. Op basis van bestaande Straatsburgse jurisprudentie is de kans immers groot dat Nederland vervolgens alsnog principieel zal worden veroordeeld wegens schending van het recht op privacy (art. 8 EVRM). Daarnaast verwacht Privacy First een Straatsburgse veroordeling wegens schending van het recht op toegang tot de rechter en een effectief rechtsmiddel (art. 6 en 13 EVRM). Civielrechtelijk procederen tegen de Paspoortwet bleek immers onmogelijk, en bestuursrechtelijk was dit slechts indirect mogelijk na afwijzing van een individuele aanvraag voor een nieuw paspoort of identiteitskaart (wegens weigering om vingerafdrukken te laten afnemen). Om de huidige "overwinning" bij de Raad van State te kunnen behalen hebben de betreffende burgers daardoor jarenlang zonder paspoort of identiteitskaart door het leven moeten gaan, met alle problemen en risico's van dien.

Uitzondering voor gewetensbezwaarden

De Raad van State heeft vandaag tevens bepaald dat de verplichte afname van twee vingerafdrukken voor een nieuw paspoort voor iedereen gelijkelijk geldt en dat hierop geen uitzonderingen kunnen worden gemaakt voor mensen die wegens gewetensbezwaren geen vingerafdrukken willen afstaan. Privacy First betwijfelt of dit oordeel van de Raad van State stand zal houden in Straatsburg. Naast schending van het recht op privacy lijkt hier immers ook sprake van strijd met de vrijheid van geweten (art. 9 EVRM). Dat de Europese Paspoortverordening een dergelijke uitzondering niet bevat is in dit kader irrelevant, aangezien deze verordening ondergeschikt is aan het EVRM.

RFID-chips en gezichtsscans

Privacy First betreurt het dat de Raad van State niet kritisch heeft willen oordelen over de risico's van de op-afstand-uitleesbare RFID-chips (met gevoelige persoonsgegevens) in paspoorten en identiteitskaarten. Hetzelfde geldt voor de verplichte opslag van gezichtsscans in gemeentelijke databanken. Ook deze aspecten zullen in Straatsburg alsnog kunnen worden aangevochten.

Eigen verantwoordelijkheid van gemeenten

Lichtpuntje in het oordeel van de Raad van de State over identiteitskaarten is vooral dat gemeenten en burgemeesters een eigen verantwoordelijkheid hebben om zelfstandig de mensenrechten (inclusief het recht op privacy) na te leven, ook als dit betekent dat zij daartoe zelfstandig nationale wetgeving buiten toepassing dienen te laten wegens strijd met hoger internationaal of Europees recht: 

"Voor zover de burgemeester betoogt dat voor hem geen mogelijkheid openstaat af te wijken van het in [nationale wetgeving] bepaalde, overweegt de [Raad van State] dat ingevolge artikel 94 van de Grondwet binnen het Koninkrijk geldende wettelijke voorschriften geen toepassing vinden, indien deze toepassing niet verenigbaar is met een ieder verbindende bepalingen van verdragen en van besluiten van volkenrechtelijke organisaties." (Bron, rechtsoverweging 6.)

Dit oordeel van de Raad van State geldt op alle domeinen en kan in de toekomst verstrekkende gevolgen hebben.

Gratis nieuwe identiteitskaart

Uit het oordeel van de Raad van State volgt dat bij de aanvraag van identiteitskaarten sinds 2009 massaal vingerafdrukken zijn afgenomen (en opgeslagen) zonder geldige rechtsbasis. Privacy First adviseert eenieder die over een identiteitskaart met vingerafdrukken beschikt dan ook om deze (desgewenst) bij zijn/haar gemeente in te ruilen voor een gratis nieuw exemplaar zónder vingerafdrukken. Mochten gemeenten deze service niet willen bieden, dan behoudt Privacy First zich het recht voor om daartoe nieuwe juridische stappen te zetten.

Klik HIER voor het persbericht van de Raad van State, tevens gepubliceerd op Rechtspraak.nl (met verwijzing naar de volledige uitspraken). Klik HIER voor een eerste reactie van Privacy First bij RTL Nieuws. Zie tevens het nieuwsbericht van NRC Handelsblad.

Tijdens de conferentie Dataprotectie & Privacy op 14 september 2016 in Amsterdam (Westcord Fashion Hotel) worden de IIR Nationale Privacy Innovatie Awards 2016 uitgereikt. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury. Evenals in 2015 steunt Privacy First de IIR Nationale Privacy Innovatie Awards 2016 van harte en verwacht dat de uitreiking ook dit jaar een groot succes zal worden.  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

1. categorie Bedrijfsoplossingen

2. categorie Consumentenoplossingen

3. categorie Overheidsdiensten

4. categorie Start-ups

De Awards geven een podium aan bedrijven en overheden die Privacy Innovatie zien als kans om zich positief te onderscheiden. Maximaal 8 bedrijven/overheden die werken met privacy-innoverende projecten mogen gratis naar het congres komen en maken kans op één van de titels!

Maak kans op gratis congreskaarten

IIR zoekt originele, innovatieve en kansrijke Privacy Innovatie Projecten (een product, proces, procedé of dienst). Het is een voorwaarde dat u met uw innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere bedrijven waardoor Privacy niet alleen wordt gezien als belemmering, maar vooral als kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces, procedé of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces, procedé of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces, procedé of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de winnaar

Organisaties kunnen zich t/m 31 juli 2016 aanmelden voor de Privacy Innovatie Awards door een email met korte toelichting over het Privacy Innovatie Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Jasper Savenije (IIR) via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Na 1 augustus 2016 hoort u of u een plaats heeft bemachtigd voor de Awardsuitreiking. Vervolgens ontvangt u van IIR een uitnodiging om een korte pitch tijdens het congres voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Bedrijfsnaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> John Borking, Of Counsel, CMS, lid van Advisory Board van EuroPriSe GmbH
> Paul Korremans, Data Protection & Security Professional, Comfort Information Architects
> Jaap-Henk Hoepman, Scientific Director, Privacy & Identity Lab.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Lees HIER over de winnaars van de IIR Nationale Privacy Innovatie Awards 2015 en bekijk ook onderstaande video-impressie! 

De nieuwe EPD-wet van minister Schippers schept al een jaar verwarring in de Eerste Kamer. Voor patiënt noch arts is het duidelijk wie straks na het geven van toestemming medische gegevens kan raadplegen. Na twee jaar troebele discussie, wil de minister de patiënt het allemaal zelf laten regelen. Daarmee gaat ze ten onrechte de fundamentele privacydiscussie uit de weg.

Het wetsvoorstel dat de juridische basis moet gaan vormen voor het privaat doorgestarte Elektronisch Patiëntendossier (wetsvoorstel 33509) wordt inmiddels al een jaar aangehouden door de Eerste Kamer. De Senaat heeft gegronde twijfels bij het wetsvoorstel, dat onder meer moet gaan regelen hoe een vertrouwelijke behandelrelatie moet worden gewaarborgd bij het digitaal toegankelijk maken van medische gegevens. Begin april jl. nodigden Eerste Kamerleden voor de tweede maal een panel met deskundigen uit die hun commentaar op het wetsvoorstel mochten leveren. SpecifiekeToestemming.nl was één van de genodigden bij deze recente expert-meeting en leverde voorafgaand aan de bijeenkomst schriftelijke input (PDF).

SpecifiekeToestemming.nl

SpecifiekeToestemming.nl is een onafhankelijke campagne die na de indiening van het wetsvoorstel in 2014 werd gelanceerd op initiatief van Stichting Privacy First en het Platform Bescherming Burgerrechten. Kern van deze campagne is dat specifieke toestemming (weer) het leidende beginsel moet worden bij de uitwisseling van medische gegevens. De campagne wordt gesteund door talrijke maatschappelijke organisaties, zorgverleners en andere professionals. 

EPD alsnog van wettelijke basis voorzien

Het huidige wetsvoorstel van minister Schippers is in de eerste plaats bedoeld om het LSP-systeem (Landelijk Schakelpunt) waarvoor de Eerste Kamer de wetgeving in 2011 unaniem verwierp, alsnog van een wettelijke basis te voorzien. SpecifiekeToestemming.nl woordvoerder Vincent Böhre stelde tijdens de expert-meeting: “De infrastructuur van het EPD werd door private partijen doorgestart in de vorm van het Landelijk Schakelpunt. Zo zagen wij het destijds en zo zien wij het nog steeds grotendeels, met alle manco’s die destijds in de infrastructuur zaten en nog steeds zitten. In onze optiek is de infrastructuur te grootschalig en inherent onveilig, met generieke, ongerichte en onbepaalde toestemming.”

SpecifiekeToestemming.nl wijst sinds de indiening van het wetsvoorstel op de onoverzichtelijke toestemming die patiënten volgens de nieuwe EPD-wet kunnen geven. Mede onder druk van deze campagne werd het geven van generieke (brede, ongerichte) toestemming in 2014 door de Tweede Kamer uit de wet gehaald. Een stap in de goede richting.

Gegoochel met termen

Sinds de Tweede Kamer generieke toestemming schrapte, werd de wet echter alleen maar ingewikkelder. Minister Schippers introduceerde een nieuwe vorm van toestemming genaamd “gespecificeerde toestemming”, die veel vragen opriep tijdens de behandeling in de Senaat en de aldaar gehouden expert-meetings. Wie het wetsartikel (15a) over "gespecificeerde toestemming" nauwkeurig bekijkt, moet concluderen dat dit nog steeds een zeer brede, onoverzichtelijke toestemming kan betekenen die de oorspronkelijke bezwaren tegen generieke toestemming niet wegneemt.

Bovendien, zo moest minister Schippers later zelf ook vaststellen, zijn huidige systemen (lees: het LSP) in hun ontwerp niet uitgerust om iets anders dan generieke toestemming mogelijk te maken – zo ook haar eigen “gespecificeerde toestemming”. Totdat dat zover is, wil de minister dat “gedurende een driejarige overgangsperiode een generiek ‘ja’ of ‘nee’ volstaat”, zo schreef ze in december 2015 aan de Eerste Kamer. Met andere woorden: als het aan de minister ligt, wordt generieke toestemming alsnog de standaard wijze van toestemming geven.

Gevoelig punt geraakt

SpecifiekeToestemming.nl schreef hierover een brief aan de Eerste Kamer, waarin ze erop wees dat generieke toestemming, ook voor drie jaar, onacceptabel was, daarbij verwijzend naar het amendement van de Tweede Kamer dat generieke toestemming uit het wetsvoorstel schrapte. In reactie daarop stelde de minister juist weer dat het helemaal niet de bedoeling was dat er generieke toestemming werd gevraagd: “Het is niet zo dat de toestemmingsvraag generiek is. [...] Wel kan het antwoord op de toestemmingsvraag generiek zijn,” aldus de minister. Volgens SpecifiekeToestemming.nl is dit een onbegrijpelijke redenering, die illustreert in welke bochten de uitleg van dit wetsvoorstel moet worden gewrongen om de onoverzichtelijke toestemming die minister Schippers wil invoeren, alsnog te legitimeren. Een generiek antwoord op een specifieke vraag is immers een contradictio in terminis. SpecifiekeToestemming.nl woordvoerder Vincent Böhre zei hierover tijdens de expert-meeting: “Met alle respect, haar brief komt op mij over als gegoochel met termen, waardoor het alleen maar onduidelijker wordt. Wij vinden het standpunt van de minister hierover onbegrijpelijk. We hadden met onze brief aan de Eerste Kamer blijkbaar een gevoelig punt geraakt.”

Volgens minister Schippers is de vraag “mag ik uw medische gegevens toegankelijk maken voor alle op het systeem aangesloten zorgverleners?” overigens een specifieke vraag, zo blijkt uit haar brief. SpecifiekeToestemming.nl is het hier volstrekt mee oneens. Als een patiënt een dergelijke vraag met “ja” beantwoordt, geeft deze immers een brede, ongerichte toestemming waarbij op voorhand niet duidelijk is wie voor welke reden toegang kan krijgen tot welke gegevens – kortom, weinig specifiek.

Overhaast patiëntportaal ingevoerd

De hele discussie over generiek, gespecificeerd en specifiek toestemming vragen of geven wordt door minister Schippers echter gelaten voor wat ze is. In haar laatste uitgebreide brief slaat ze een nieuwe richting in als het gaat om het uiteindelijke doel van deze wet: in de toekomst moet de patiënt de volledige regie krijgen over wie toegang heeft tot welke medische gegevens. Dit moet gaan gebeuren via een online patiëntportaal, zo blijkt uit het voorstel van de minister.

“Wij vinden dat een onverantwoorde verschuiving van de verantwoordelijkheid en ook van de aansprakelijkheid in sommige gevallen”, stelde Böhre hierover tijdens de expertmeeting. De regie over de inhoud en de toegang van het zorgdossier dient volgens SpecifiekeToestemming.nl in de eerste plaats bij arts en patiënt gezamenlijk te blijven, zoals het medisch beroepsgeheim en de wetgeving rondom patiëntprivacy voorschrijven. Als de patiënt dit allemaal zelf moet gaan regelen, krijgt deze een (te) grote verantwoordelijkheid die in de praktijk snel fout kan uitpakken – zowel wat betreft de toegankelijkheid van gegevens, maar ook het niet toegankelijk zijn van gegevens terwijl dat wel nodig is.

De huidige wetgeving regelt dat de arts de patiënt gericht toestemming vraagt, en dat zou het uitgangspunt moeten blijven volgens SpecifiekeToestemming.nl. De zorgverlener is vrijwel altijd beter op de hoogte van welke gegevens relevant zijn voor een zorgvraag, en is bovendien wettelijk en tuchtrechtelijk aansprakelijk voor de kwaliteit en vertrouwelijkheid van deze informatie. Dit is een verantwoordelijkheid die je niet zomaar kunt overdragen aan een patiënt – zeker niet iedere patiënt. Door een portaal met eigen beheer niet als extra mogelijkheid maar als norm te stellen, worden de voordelen van patiënten die hier baat bij hebben ondergesneeuwd door de risico’s van een onverantwoord beheer.

Bovendien ontwijkt Schippers, door volledig in te zetten op eigen regie, de fundamentele discussie over de reikwijdte en overzichtelijkheid van de toestemming, die overigens ook bij de invoering van een patiëntenportaal noodzakelijk is. Voor zo’n toepassing, die plaatsvindt buiten de directe zorg, zou alleen al een apart wetsvoorstel moeten worden geschreven. Het wetsvoorstel zoals minister Schippers dat nu heeft voorgelegd bevat immers geen beschermend kader voor het ontwikkelen van een “patiëntgeheim” en alle kwesties omtrent verantwoordelijkheid en aansprakelijkheid die voor een dergelijk systeem noodzakelijk zijn.

Documenten:

Schriftelijke input SpecifiekeToestemming.nl t.b.v. expert-meeting Eerste Kamer 5 april 2016

Woordelijk verslag expert-meeting Eerste Kamer 5 april 2016

Brief en begeleidend schrijven van minister Schippers d.d. 8 maart 2016 aan Tweede Kamer ter reactie op brief SpecifiekeToestemming.nl aan Eerste Kamer d.d. 18 januari 2016.

Vandaag is een historische dag in positieve én in negatieve zin: enerzijds zette het Europees Parlement vandaag een belangrijke privacystap vooruit met de aanname van de Algemene Verordening Gegevensbescherming. Anderzijds stemde het Europees Parlement vandaag in met massale opslag van Europese passagiersdata. Iedere vliegtuigpassagier wordt hierdoor een potentiële verdachte.  

De Algemene Verordening Gegevensbescherming zal de nationale privacywetgeving in alle EU-lidstaten (waaronder de Nederlandse Wet bescherming persoonsgegevens) gaan vervangen en grosso modo voor betere privacybescherming in de hele Europese Unie gaan zorgen. Zo worden Privacy Impact Assessments en Privacy by Design verplicht; twee belangrijke zaken waar Privacy First al jaren voor pleit. Fundamentele privacybeginselen als noodzakelijkheid, proportionaliteit en subsidiariteit (verplichte inzet van privacyvriendelijke alternatieven) worden sterker verankerd en beter uitgewerkt. Het is dan ook verbazingwekkend dat het Europees Parlement vandaag tegelijkertijd ook een andere maatregel heeft aangenomen waardoor deze beginselen juist met voeten getreden worden: de Europese Richtlijn Passagiersgegevens ('Passenger Name Records', PNR) inzake alle vliegtuigpassagiers binnen en buiten de Europese Unie. Onder deze PNR-richtlijn zullen de gegevens van alle Europese vliegtuigpassagiers 5 jaar lang in centrale overheidsdatabanken worden bewaard voor opsporing en vervolging van zware misdrijven, terrorismebestrijding, inlichtingenwerk, etc. Talloze reisgegevens (waaronder naam- en adresgegevens, telefoonnummers, bestemmingen, creditcardgegevens en zelfs maaltijdgegevens) van vele miljoenen mensen zullen daardoor jarenlang beschikbaar blijven voor politie, justitie en inlichtingendiensten t.b.v. datamining en profiling. In 99,99% van de gevallen betreft dit echter volstrekt onschuldige burgers, waaronder vooral vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Om deze reden bestond er de laatste jaren veel politieke weerstand tegen dit plan en werd het sinds 2010 reeds diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. Vorig jaar bleken ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europese Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel lijken veel politieke bezwaren echter als sneeuw voor de zon verdwenen. Dit terwijl de juridisch vereiste "maatschappelijke noodzaak" en proportionaliteit van massale PNR-opslag nog steeds niet zijn aangetoond. In de optiek van Privacy First is de huidige PNR-richtlijn daarmee bij voorbaat onrechtmatig. Privacy First oriënteert zich momenteel dan ook op juridische stappen om deze richtlijn alsnog van tafel te krijgen, hetzij via de nationale rechter, hetzij middels een rechtstreeks beroep bij het Europese Hof van Justitie in Luxemburg. Tevens zal Privacy First blijven pleiten voor een privacyvriendelijker PNR-systeem, waarbij alleen verdachte personen worden geregistreerd en gemonitord en het gros van de reizigers met rust zal worden gelaten.

Klik HIER voor een eerder interview met Privacy First over dit onderwerp bij BNR Nieuwsradio en HIER voor eerder commentaar van Privacy First op Radio 1 (vanaf 3m50s).

Update: klik HIER voor een korte reactie van Privacy First gisteravond in het RTL Journaal (vanaf 6m50s), later die avond herhaald door Radio 1 (vanaf 2m15s).

© RTL Nieuws