Toon items op tag: Politiek

Aanstaande maandag en dinsdag debatteert en stemt de Eerste Kamer over één van de meest verregaande wetten die Nederland ooit gekend heeft. Gisteren stuurde Privacy First in dat verband onderstaande brief (pdf) aan de Eerste Kamer:

Geachte Kamerleden,

Begin deze week vindt in de Eerste Kamer het debat en de stemming plaats over een wetsvoorstel dat de afgelopen maanden terecht veel kritiek en onrust in de Nederlandse samenleving heeft veroorzaakt. Dit wetsvoorstel heet eufemistisch de Tijdelijke wet maatregelen Covid-19 en is beter bekend als de “Spoedwet”, “Noodwet” of “Coronawet”. Sinds de allereerste concept-versie van deze wet (mei 2020) heeft Privacy First diverse malen kritisch commentaar op het wetsvoorstel geleverd. Ons voornaamste punt van kritiek betrof het totalitaire karakter van deze wet: de minister zou per decreet talloze grondrechten kunnen gaan inperken en het parlement zou daarbij grotendeels buitenspel komen te staan. Dit aspect van de wet lijkt inmiddels slechts te zijn “gerepareerd” voorzover het de betrokkenheid van de Tweede Kamer betreft. Ook in de huidige versie van het wetsvoorstel krijgt de minister nog steeds een breed arsenaal aan beperkende middelen tot zijn beschikking. Daarbij staat de Eerste Kamer nog steeds grotendeels buitenspel. De Tweede Kamer zou inmiddels een “bekrachtigingsrecht” bij maatregelen onder de wet hebben, maar bij nader inzien blijkt dit slechts een verwerpingsrecht onder hoge tijdsdruk. Hieronder lichten wij dit kort toe.

Corona-noodwet als menukaart voor talloze inperkingen van grondrechten

Evenals eerdere versies biedt het huidige wetsvoorstel nog steeds alle mogelijkheden om talloze vrijheden, grondrechten en mensenrechten verregaand te kunnen inperken. Geen enkel segment van de samenleving blijft daarbij gespaard, denk bijvoorbeeld aan de vrijheid van beweging in de openbare ruimte, het openbaar vervoer, onderwijs en kinderopvang, openbare gelegenheden, horeca, evenementen, sport en recreatie, zorginstellingen etc, alles op straffe van hoge boetes. Getuige alle ontwikkelingen in de afgelopen maanden rijst daarbij inmiddels de vraag of de negatieve maatschappelijke, economische en sociale gevolgen van dergelijke maatregelen de veronderstelde positieve effecten niet verregaand en langdurig zullen (gaan) overtreffen. Naar analogie met vroegere uitspraken van het Europees Hof voor de Rechten van de Mens: in hoeverre is hier sprake van “destroying society on the ground of defending it?”

Eerste Kamer voortaan buitenspel

Privacy First zal er geen doekjes om winden: zodra u dit wetsvoorstel accordeert, zet u zichzelf als Eerste Kamer gedurende de rest van dit tijdsgewricht grotendeels buitenspel. De Corona-noodwet zal na inwerkingtreding immers voor onbeperkte duur kunnen blijven gelden; periodieke verlenging zal geschieden bij koninklijk besluit en zonder parlementaire goedkeuring. Onder deze wet zullen door de minister (en diens onbekende opvolger(s)) talloze draconische maatregelen genomen kunnen worden, waarbij u als Kamerlid het nakijken zult hebben. Bij iedere nieuwe ministeriële regeling onder de Corona-noodwet zal immers louter de Tweede Kamer het recht hebben om deze binnen een week te verwerpen, waardoor de betreffende regeling niet in werking zal treden (of, bij spoedregelingen, buiten werking zal worden gesteld). Een dergelijk recht krijgt de Eerste Kamer echter niet. Een amendement van die strekking werd in de Tweede Kamer immers recentelijk verworpen.[1] Daarmee heeft de Tweede Kamer de Eerste Kamer in de Corona-crisis buitenspel gezet, in strijd met de systematiek die bijvoorbeeld bij noodsituaties geldt onder art. 103 Grondwet. Los van de vraag of er reeds sprake is van een noodsituatie (quod non), zou dit voor uw Kamer voldoende reden moeten zijn om dit wetsvoorstel geheel te verwerpen.

Tweede Kamer heeft slechts recht van verwerping i.p.v. bekrachtiging van maatregelen

Ten onrechte is de afgelopen tijd (door Kamerleden en zelfs door de Raad van State) gesuggereerd dat maatregelen onder de Corona-noodwet pas in werking kunnen treden nadat de Tweede Kamer hiermee heeft ingestemd.[2] De betreffende passage in het huidige wetsvoorstel (art. 58c lid 2-3) leest echter als volgt: “Indien binnen [een week] de Tweede Kamer besluit niet in te stemmen met de regeling, vervalt deze van rechtswege.” (onderstreping toegevoegd) Dit is dus geen recht van bekrachtiging, maar een recht van verwerping dat actieve besluitvorming vergt, dit alles onder hoge tijdsdruk. Hoe zal dit uitpakken tijdens het Kerstreces? Zie ter vergelijking het bekrachtigingsrecht zoals dat bij noodmaatregelen geldt onder art. 176 Gemeentewet. Het is aan uw Kamer om de interpretatie en toepassing van art. 58c lid 2-3 onder het huidige wetsvoorstel te laten verduidelijken. Tevens adviseert Privacy First u om alsnog een sterker bekrachtigingsrecht voor zowel de Tweede als Eerste Kamer af te dwingen en daartoe het huidige wetsvoorstel te verwerpen. Het behoud van onze vrije democratische rechtsstaat is daarmee het meest gediend.

Hoogachtend,

Stichting Privacy First

[1] Zie Kamerstukken II, 2020-2021, 35526, nr. 49.
[2] Zie de plenaire vergadering over het wetsvoorstel in de Tweede Kamer, 7-8 oktober 2020. Zie tevens de brief van de vice-president van de Raad van State met voorlichting over het wetsvoorstel d.d. 22 oktober 2020, Kamerstukken I, 2020-2021, 35526, nr. F, p. 10 (1e alinea) en p. 12 (1e alinea).

Het nieuwe 'Landelijk EPD': overbodig, onwenselijk en onaanvaardbaar

Het Ministerie van VWS is, buiten het zicht van de Tweede Kamer om, actief betrokken bij een nieuwe variant van het 'Landelijk EPD’: de Online Toestemmingsvoorziening (OTV/Mitz) van het Informatieberaad Zorg. Naast kritische inbreng in een open consultatie stuurde Privacy First hierover begin deze week een alarmerende brief aan de Tweede Kamer.

Privacy First acht het voorstel voor de Online Toestemmingsvoorziening (OTV/Mitz) overbodig, onwenselijk, onaanvaardbaar en een ernstige schending van de privacy van patiënten.

De OTV is een doorontwikkeling van het Landelijk Schakelpunt (LSP), de implementatie van het in 2011 door de Eerste Kamer verworpen ‘Landelijk EPD’. Ondanks dat de Minister van Medische Zorg en Sport bij herhaling stelt te koersen op een gegevensuitwisseling binnen het zorgproces, blijft het Informatieberaad Zorg volharden in het gebruik van een gecentraliseerde infrastructuur.

Voor patiënten heeft dit draconische gevolgen: zeg je ’nee’ tegen deelname aan de OTV, dan kunnen er geen medische gegevens meer worden uitgewisseld. Zelfs het versturen van een recept, of een papieren dossier, is dan niet meer mogelijk. Op deze wijze worden patiënten gedwongen het medisch beroepsgeheim te doorbreken en een brede, ongerichte ontsluiting van hun medische gegevens te accepteren.

In 2014 werd het recht op een ‘opt-in’ in de wet verankerd. Dat wordt via de OTV nu effectief ongedaan gemaakt. Het Informatieberaad Zorg neemt samen met Zorgverzekeraars Nederland plaats op de stoel van de wetgever. Privacy First acht dat vanuit democratisch oogpunt pertinent onaanvaardbaar.

Vervolgens bleek de ‘open consultatie' hierover alles behalve ‘open'. Inzenden mocht naar een emailadres. Over de andere inbreng wordt niet gecorrespondeerd. Andere inbreng die we kennen is van Stichting NUTS, Whitebox en ZorgICTzorgen.

Wordt vervolgd...

Klik HIER voor de inbreng van Privacy First bij de consultatie (pdf).
Klik HIER voor de brief van Privacy First aan de Tweede Kamer (pdf).

Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen. Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.

Waar gaat het om? Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners. Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is. Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt. De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven. In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier. Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen. Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen). Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk. Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers. De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Schijnzeggenschap

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten. De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit. Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd. Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost. Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd. Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.

Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP

Dit gezamenlijke standpunt is eerder tevens gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Deze week vond in de Tweede Kamer (Vaste commissie voor Infrastructuur en Waterstaat) een interessant 'rondetafelgesprek' plaats over de toegang tot data in het openbaar vervoer. Naarmate de hoeveelheid data (waaronder persoonsgegevens) in het openbaar vervoer toeneemt, is er sprake van een toenemende druk om deze data met diverse partijen te delen en voor allerlei doelen te gaan gebruiken. Dit staat op gespannen voet met het recht op privacy van de individuele reiziger. Privacy First maakt zich al jaren sterk voor het recht op privacy en anonimiteit in het openbare domein, waaronder het openbaar vervoer. Wij reageerden daarom direct positief op de uitnodiging van de Tweede Kamer om aan dit rondetafelgesprek deel te nemen. Aan alle deelnemers werd verzocht om vooraf hun voornaamste standpunten kenbaar te maken middels korte position papers (maximaal twee A4). Klik HIER voor de position paper van Privacy First (pdf) en HIER voor de position papers van de overige genodigden, waaronder CBS, Translink en reizigersvereniging Rover. De belangrijkste standpunten van Privacy First luiden als volgt:

1. Iedere reiziger heeft recht op anonimiteit in het openbaar vervoer.
2. Alleen geanonimiseerde, geaggregeerde data mogen - onder strikte waarborgen - gedeeld worden.
3. Geen massa-surveillance in het openbaar vervoer.
4. Transparantie bij privacy-inbreuken.
5. Privacy-waarborgen bij reizigersonderzoek.
6. Aantoonbaar gebruik van privacy by design.

Privacy First maakte van de gelegenheid gebruik door voor het rondetafelgesprek een OV-ervaringsdeskundige bij uitstek af te vaardigen: privacy-activist Michiel Jonker voerde namens ons het woord. Enig gevoel van urgentie ten aanzien van privacy bleek bij de aanwezige Kamerleden en overige genodigden echter grotendeels afwezig, aldus Jonker in zijn eerste reactie na afloop. Zijn algehele kritische impressie van het rondetafelgesprek zal Privacy First spoedig op deze pagina publiceren. Hieronder kunt u alvast de video van de volledige sessie terugkijken en uw eigen conclusies trekken.

Update 8 oktober 2019: lees HIER de gehele impressie en analyse die Michiel Jonker (op persoonlijke titel) schreef naar aanleiding van het rondetafelgesprek op 10 september jl. (pdf, 67 pp).

Update 8 juli 2021: de Afdeling bestuursrechtspraak van de Raad van State heeft op 5 juli jl. de drie hoger beroepen van Jonker over privacy in het OV behandeld in drie opeenvolgende zittingen. In elke zitting ging het over de weigering van de AP om (voldoende) onderzoek te doen en de weigering van de AP om handhavend op te treden:

Zitting 1: de weigering van contante betaling in de bus door Connexxion.

Zitting 2: drie inbreuken op de privacy door NS:
a) verwerking persoonsgegevens bij teruggave van restsaldo op "anonieme" OV-chipkaarten aan de eigenaar;
b) NS eist persoonsgegevens van reizigers die aan de balie een internationaal treinkaartje binnen de EU willen aanschaffen;
c) NS brengt extra service-kosten in rekening aan reizigers die aan de balie privacy-vriendelijk (en dus contant) willen betalen voor het opladen van hun "anonieme" OV-chipkaart.

Zitting 3: drie inbreuken op de privacy door NS:
a) ontbrekende anonimiteit van de tot voor kort als "privacy-vriendelijk" verkochte "anonieme" OV-chipkaart, en het bedrog van NS daarover totdat het uitkwam;
b) privacy-discriminatie van houders van een voordeelurenabonnement (VDU): zij krijgen geen voordeelurenkorting als zij reizen met een "anonieme" OV-chipkaart;
c) privacy-discriminatie bij de uitvoering van de regeling Geld Terug Bij Vertraging (GTBV): houders van "anonieme" OV-chipkaarten krijgen alleen hun geld terug als zij hun OV-chipkaart feitelijk de-anonimiseren, waardoor niet alleen de vertraagde reis, maar ook alle andere reizen door NS en/of TLS geregistreerd kunnen worden.

Jonker: "De zeven inbreuken op de privacy die in deze drie zittingen werden behandeld, geven een beeld hoe Nederlandse vervoerbedrijven gezamenlijk aan alle kanten proberen om de reisgegevens (plaatsen en tijden van de privé-reizen van mensen) buit te maken, en om het reizigers die hun privacy proberen te behouden, zo moeilijk mogelijk te maken. Dit wordt gestimuleerd door verschillende ministeries, andere overheidsinstanties (bijvoorbeeld het CBS) en allerlei en gremia uit het zogenoemde "maatschappelijke middenveld" (de polder). De Autoriteit Persoonsgegevens weigert ertegen op te treden. De data-roof is in volle gang. Het lijkt of ook rechters die niet willen stoppen. Mijn analyse van oktober 2019 dat er in Nederland sprake is van een conglomeraat van overheden en bedrijven dat reële privacy in het openbaar vervoer wil afschaffen, wordt op deze manier opnieuw bevestigd.

Als de Raad van State gaat oordelen dat deze willekeur van vervoerbedrijven bij het verwerken van persoonsgegevens is toegestaan, en die willekeur daarmee gaat legaliseren, dan is het duidelijk dat privacy in Nederland in rechte niet meer wordt beschermd en daarmee in de praktijk wordt afgeschaft. Het grondrecht op privacy is er dan niet meer. In plaats daarvan is privacy dan alleen nog een gunst die in sommige gevallen aan sommige mensen wordt verleend, met willekeur en op instrumentele gronden, bijvoorbeeld politieke of relationele gronden - maar aan andere mensen niet. De overheid en grote bedrijven mogen dan, zonder onze toestemming, ongehinderd tot diep in ons privé-leven doordringen en ons via die weg aansturen, belonen en straffen."

Een interview met Jonker, video-samenvattingen van de drie zittingen en de integrale video-opnamen van de zittingen zijn te vinden op de site van Potkaars: https://potkaars.nl/blog/2021/7/7/de-veronderstelling-dat-je-het-recht-hebt-anoniem-door-het-leven-te-gaan-ter-discussie-gesteld-door-de-ns

Media:
Volkskrant verslaggeverscolumn 6 juli 2021: Privacy bestaat niet meer, en dat lieten we zelf gebeuren 

Update 2 maart 2022: op 25 februari jl. heeft Jonker een verzoekschrift verzonden naar het Europees Hof voor de Rechten van de Mens (EHRM, ECtHR), waarin hij naar voren brengt dat de drie uitspraken van de Afdeling bestuursrechtspraak van de Raad van State d.d. 10 november 2021 niet in overeenstemming zijn met artikel 8 en 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM, ECHR).

Het Engelstalige verzoekschrift (een zogeheten "application") heeft als titel: "Public Transport - a Railroad to Surveillance?". In het verzoekschrift stelt Jonker het belang van materieel recht ("substantive justice") centraal. Als het Europese mensenrechtenverdrag alleen formeel en procedureel wordt geïnterpreteerd, wordt het recht op privacy niet adequaat beschermd. Jonker: "Het was een hele klus om het volgens de regels van het Europese Hof te doen. Uiteindelijk ging het om een pakket van 993 pagina's: het aanvraagformulier van 13 pagina's, een annex van 19 pagina's en de overige bijlagen: 961 pagina's - allemaal enkelzijdig afgedrukt en handmatig doorgenummerd. Ik hoop dat ik aan alle regels heb voldaan. Als het Europese Hof mijn verzoekschrift desondanks niet-ontvankelijk zou verklaren, dan zou dat duidelijk maken dat individuele Europese burgers in de praktijk geen toegang hebben tot het hof dat hun mensenrechten dient te beschermen. Ik hoop natuurlijk dat het hof ziet dat dit om een serieuze zaak gaat: de mogelijkheid voor Nederlandse en Europese burgers om met het openbaar vervoer te reizen zonder continu gemonitord te worden. Als wij geen China 2.0 willen worden, dan is openbaar vervoer met behoud van privacy van cruciaal belang."

Voor de tekst van Jonkers verzoekschrift, klik HIER (pdf). 

Media: 
TechnologIE, privacy en recht, 10 mei 2022: Dutch public transport - a railroad to surveillance?

Update 6 oktober 2022: op 8 september jl. heeft het Europese Hof voor de Rechten van de Mens (EHRM) het verzoekschrift van Jonker niet-ontvankelijk verklaard en daarmee geweigerd de zaak in behandeling te nemen. Het hof motiveert deze beslissing summier: "Op grond van zijn jurisprudentie (...), in het licht van het materiaal waarover hij beschikt en voor zover de zaken waarover geklaagd wordt binnen zijn competentie vallen, is het Hof van oordeel dat deze niet aannemelijk maken dat er sprake zou zijn van een aantasting van de rechten en vrijheden zoals bedoeld in het Verdrag of de daarbij behorende Protocollen en dat er niet voldaan is aan de ontvankelijkheidsvereisten in artikelen 34 en 35 van de Conventie." (vertaling door Jonker)

Na het raadplegen van de jurisprudentie waarnaar het EHRM verwijst (twee eerdere uitspraken van het EHRM), spreekt Jonker van een "bizarre beslissing die de geloofwaardigheid van de rechtbescherming die artikel 8 EVRM heet te bieden, fundamenteel aantast". Uit de weigering van het Hof om deze zaak zelfs maar te in behandeling te nemen, blijkt volgens Jonker dat "de privacy van reizigers in het openbaar vervoer in het geheel niet wordt beschermd door de rechterlijke instantie die, als alle andere bescherming faalt, als enige nog een waarborg kan bieden, en ook moet bieden, dat artikel 8 van het EVRM daadwerkelijk wordt toegepast."

Het EHRM verwijst naar twee eerdere uitspraken in zaken die volgens het EHRM kennelijk "in wezen gelijk" zijn aan de door Jonker naar voren gebrachte zaak. Het lijkt of het EHRM de behandeling van Jonkers zaak om die reden niet nodig vindt en hem daarom niet-ontvankelijk heeft verklaard. De twee zaken waarnaar het EHRM verwijst, hebben beide betrekking op bedrijven die enkele werknemers hadden ontslagen na hen te hebben gemonitord en misdragingen te hebben geconstateerd. In die zaken kwam het EHRM tot de conclusie dat het ontslag, ondanks de heimelijke verwerking van persoonsgegevens, niet onrechtmatig was. Het EHRM lijkt het heimelijk monitoren van werknemers door hun eigen werkgever, op grond van concrete verdenkingen, gelijk te stellen aan het monitoren van de privé-reizen van miljoenen OV-gebruikers door vervoerbedrijven.

Jonker: "Het EHRM stelt het recht van een werkgever om zijn eigen medewerkers tijdens werktijd voldoende te controleren na een specifieke verdenking, ten onrechte gelijk aan een recht van een vervoerbedrijf om privégegevens van willekeurige reizigers te verzamelen, zonder dat die klanten van enige overtreding worden verdacht. Eigenlijk zegt het EHRM hiermee twee dingen: 1. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof ze geen klanten van het vervoerbedrijf zijn, maar werknemers van dat bedrijf. En 2. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof er op hen een concrete verdenking rust. Op deze manier blijft er van het recht op privacy natuurlijk niets over. Als iedere privépersoon mag worden behandeld als een verdachte werknemer, dan leven we in een surveillance-maatschappij. Artikel 8, tweede lid van het EVRM staat surveillance alleen toe voor zover die noodzakelijk is in een democratische samenleving. Dat wordt door het EHRM op deze wijze genegeerd."

Gevraagd wat de verklaring zou kunnen zijn voor deze beslissing van het EHRM, antwoordt Jonker: "Ik kan natuurlijk niet in het hoofd van de betreffende rechter kijken. Het enige waar ik op af kan gaan, is de summiere motivering en de jurisprudentie waarnaar verwezen wordt. Door de zaak niet eens in behandeling te nemen, maakt het EHRM het onmogelijk om hierover duidelijkheid te krijgen, want tegen deze beslissing staat geen rechtsmiddel open. Op deze manier maakt het EHRM natuurlijk een lachertje van het idee dat er sprake zou zijn van kenbaar recht. Maar als ik mag raden naar mogelijke redenen, dan zie ik er twee. Ten eerste denk ik dat het EHRM, met zijn enorme werklast en structureel gebrek aan personeelscapaciteit, heel pragmatisch zoveel mogelijk zaken niet-ontvankelijk wil verklaren, en dus naar redenen zoekt - desnoods voorwendselen - om dat te kunnen doen. Dus dan denkt zo´n rechter: waar vind ik jurisprudentie waarmee ik deze zaak terzijde kan schuiven? Wie zoekt zal vinden, en als zo'n rechter dan iets ziet wat op het eerste gezicht bruikbaar lijkt, dan denkt-ie: waarom niet? Dat het dan om een heel ander soort zaak gaat, maakt voor zo'n rechter dan niet uit, want de indiener van het verzoekschrift kan toch niets meer doen als de zaak niet-ontvankelijk wordt verklaard. Ik denk dat de directe reden voor de niet-ontvankelijkheidsverklaring heel oppervlakkig en pragmatisch kan zijn."

Een tweede mogelijke reden ziet Jonker in het feit dat een vervoersbewijs, bijvoorbeeld een treinticket, door de rechter wordt opgevat als een "contract" en om die reden wordt gelijkgesteld aan het arbeidscontract dat een werknemer heeft met zijn werkgever. Jonker: "Hier zie je de politieke doorwerking van het neoliberalisme in de opvattingen van rechters die onafhankelijk de wet zouden moeten uitleggen. Ze wensen niet meer te zien dat er een verschil is tussen een contract waarvoor een werknemer willens en wetens heeft getekend toen hij vrijwillig werk aanvaardde, en de algemene voorwaarden die een vervoerbedrijf eenzijdig heeft opgesteld en oplegt aan miljoenen OV-reizigers die afhankelijk zijn van het openbaar vervoer. Dit is tekenend voor de manier waarop de EU en kennelijk ook het EHRM een neoliberale logica hebben geïnternaliseerd die in strijd is met internationale verdragen zoals het EVRM. Ik heb in mijn verzoekschrift aan het EHRM op het misbruik van het contractbegrip gewezen en aangegeven dat er geen democratische noodzaak bestaat voor de betreffende aantastingen van de privacy. Ik heb aangegeven dat de Raad van State heeft geweigerd om de zaak rechtstreeks aan het EVRM te toetsen. Maar nu weigert het EHRM zelf óók om de zaak inhoudelijk aan het EVRM te toetsen. Tja, als het EHRM weigert mijn verzoekschrift te behandelen, dan kunnen er over het cruciale punt van de verhouding tussen een democratische noodzaak en de bepalingen in een door een bedrijf opgesteld contract ook geen argumenten worden gewisseld. Er ontstaat dan een juridisch stilzwijgen dat de weg vrijmaakt voor een voortzetting van het machtsmisbruik. Er is dan geen rechtsbescherming." Voor Jonkers nadere analyse van de door het EHRM genoemde jurisprudentie, zie HIER (pdf).

Gevraagd welke conclusies hij trekt uit de zaak, antwoordt Jonker: "Juridisch gezien is dit het einde van het verhaal. Ik constateer dat zowel Nederlandse rechters als het Europese mensenrechtenhof weigeren het grondrecht op privacy in het openbaar vervoer te beschermen. Als die rechters met steekpenningen omgekocht waren, had de uitkomst niet slechter kunnen zijn. Dit is slechts één voorbeeld van de manier waarop privacy in naam wordt gerespecteerd, maar in feite wordt geëlimineerd. Eén van de gevolgen daarvan is dat er van mijn vertrouwen dat we in een zogeheten 'rechtsstaat' zouden leven, weinig meer over is. Het recht - 'de rule of law' - is gereduceerd tot een retorisch middel om bepaalde politieke doelen te dienen."

Jonker vergelijkt wat er in de EU op dit moment met de privacy van inwoners gebeurt, met de drie Poolse delingen aan het eind van de achttiende eeuw. "Europese machthebbers wilden Polen niet alleen als reëel bestaande staat van de kaart vegen, maar probeerden na de laatste deling ook de herinnering aan wat Polen ooit geweest was, uit te wissen. Het duurde meer dan honderdtwintig jaar voordat Polen weer boven water kwam, in een nieuwe, andere vorm. Tegenwoordig vinden we het gedrag dat de grote Europese mogendheden destijds vertoonden, misdadig - kijk maar hoe we denken over Poetin en zijn huidige poging om Oekraïne op te delen. Misschien zullen we ooit op dezelfde manier kijken naar de manier waarop Europese machthebbers tegenwoordig onze privacy om zeep helpen, met collaboratie van rechters op alle niveaus. Die machthebbers en rechters zullen niet worden gestraft, net zo min als Catharina de Grote, de Habsburgers, de Pruisische vorsten en hun dienaren destijds werden gestraft om wat ze met Polen deden. Door het falen en de hypocrisie van zogenaamde vertegenwoordigers van de Europese rechtsorde, begin ik de laatste tijd meer begrip te krijgen voor mensen die de EU als een onderdrukker zien. Ik hoop bijvoorbeeld dat de Oekraïners, wanneer ze de Russische aanvallers eenmaal hebben verdreven, zich vervolgens niet van de weeromstuit met huid en haar aan een steeds imperialistischer EU zullen zullen overleveren, maar hun vrijheid, inclusief hun privacy, ook dan zullen verdedigen. Maar ik vrees het ergste."

Hij trekt een zuur gezicht. "Ik heb sinds het begin van deze zaak in 2014 consequent mijn zogenaamd anonieme OV-chipkaart gebruikt, terwijl ik jaarlijks ook 60 euro betaalde voor mijn dalurenkaart die 40% korting had moeten bieden, maar die door NS ongeldig werd verklaard in combinatie met de anonieme OV-chipkaart. Ik heb dus acht jaar lang 66% te veel betaald voor mijn treinreizen in de daluren, plus een abonnement dat NS mij niet toestond te gebruiken met behoud van privacy. Jaarlijks gaat het dan toch om enkele honderden euro's. Dat geld zal ik nooit meer terugkrijgen, dat is door NS gestolen. Dit is Nederland, een land van dieven met witte boorden."

Is dat dan het einde van het verhaal voor wat betreft privacy in het openbaar vervoer? Jonker: "Misschien nog niet helemaal. Naar aanleiding van één onderdeel van de zaak, namelijk het eisen van persoonsgegevens bij internationale treintickets, heb ik om juridisch-technische redenen in 2020 een tweede handhavingsverzoek ingediend. Inmiddels heeft de AP naar aanleiding daarvan een onderzoek gestart. Ook heeft de SP daarover recentelijk schriftelijke kamervragen gesteld aan de minister. Dat loopt dus nog. Maar gezien het ontbreken van Europese of internationaalrechtelijke rechtsbescherming, vraag ik me af of er voldoende politieke druk kan ontstaan om de privacy van internationale treinreizigers serieus te gaan nemen. En zelfs als dat gebeurt, zou dat niet meer zijn dan een druppel op een gloeiende plaat. Want de systematische, grootschalige privacy-schending met het Nederlandse OV-chipkaart-systeem, die wordt gewoon toegestaan - dat wil zeggen door de AP gedoogd en door de rechters gelegaliseerd of niet behandeld."

Gevraagd welke conclusies hij voor zichzelf trekt, antwoordt Jonker: "Ik heb in deze zaak de juridische weg tot het einde toe gevolgd, mede om te testen of er uiteindelijk nu wel of geen sprake is van rechtsbescherming op het gebied van privacy. Als je het als een experiment ziet, dan is de uitkomst na acht jaar procederen duidelijk: er is geen serieuze rechtsbescherming, de AVG en artikel 8 EVRM worden in de praktijk misbruikt als wassen neuzen. Er lopen nog een paar andere privacy-procedures, die wil ik netjes afmaken, maar ik verwacht er niet veel meer van. Als het recht faalt, blijft de politiek over. Maar ik ben geen politiek dier. En bovendien is het ontwikkelen van politieke kracht afhankelijk van het bewustzijn van mensen. Misschien dat ik op een bescheiden manier iets kan bijdragen aan privacy-bewustzijn."

Jonker zegt dat hij in één van zijn motiveringen aan de raad van State, op 29 april 2020, schreef over wat hij "de banaliteit van het derde kwaad" noemt. "Dat hoofdstuk eindigde als volgt: 'Dit derde kwaad, de sluipende eliminatie van humaan bewustzijn, kan niet op spectaculaire wijze bedwongen worden met tanks of raketten, maar alleen door middel van aanwending van individueel en collectief bewustzijn, de daaruit voortvloeiende collectieve wil, en de daar weer uit voortvloeiende wetgeving, rechtspraak en wetshandhaving.' Dus ik denk dat het zaak is om te werken aan nieuw bewustzijn als basis om uit te groeien boven de huidige, technocratische tunnelvisie. Het echte probleem is humanitair, niet technisch. Alleen door humaniteit centraal te stellen, kunnen we komen tot een herstel van een humane rechtsstaat. De afgelopen tweeënhalf jaar, sinds de coronacrisis, zijn er al enorm veel mensen wakker geworden over hoe we onze vrijheid en humaniteit steeds verder dreigen te verliezen. Dus ik denk dat er zeker een basis gelegd is die verder kan groeien. Of dat genoeg is om op dit punt een ramp te voorkomen, daar durf ik geen voorspelling over te doen. Het gaat erom nieuwe bronnen te vinden en tegelijk oude bronnen van humaniteit en recht te blijven kennen en respecteren."

Vindt hij dat niet een beetje zweverig en passief? Jonker: "Nee hoor. Het is een misverstand om te denken dat bewustzijn zou betekenen dat je niet meer bereid bent om ergens voor te knokken. Kijk naar Oekraïne. Daar is razendsnel een collectief bewustzijn gegroeid over humane en nationale waarden die men wil beschermen en verdedigen. Desnoods ook met geweld van wapenen. Ik hoop natuurlijk dat het hier in Nederland nooit nodig zal zijn. Maar dat kan ik ook niet uitsluiten. Je ziet dat onze huidige regering niet bijster geïnteresseerd is in redelijke argumenten. Maar als boeren met tractoren snelwegen blokkeren, dan neemt de interesse van onze regering in een dialoog opeens toe. Iets vergelijkbaars hebben we gezien met de Gele Vestjes in Frankrijk. Waarom is de Franse overheid wel bereid om alle Franse burgers effectief te beschermen tegen extreem hoge energieprijzen, terwijl de Nederlandse regering er tot voor kort indirect blijk van gaf hele bevolkingsgroepen voor de bus te willen gooien? Dat heeft alles te maken met die Gele Vestjes. Wie weet zullen er ooit gele, groene of paarse vestjes nodig zijn om onze privacy te verdedigen of terug te winnen."

Website is live!

Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.

Duidelijke informatie over risico's

De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?

Informatie in dossiers

Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!

Neem direct een kijkje op de site!

Opvallend logo

Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.

We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!

Op 1 en 2 juli as. wordt Nederland in Genève kritisch onder de loep genomen door het Mensenrechtencomité van de Verenigde Naties. Dit comité is het VN-orgaan dat toezicht houdt op de naleving van één van de oudste en belangrijkste mensenrechtenverdragen ter wereld: het Internationale Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO-verdrag). Periodiek wordt ieder land dat partij is bij dit verdrag door het VN Mensenrechtencomité beoordeeld. Begin volgende week zal de Nederlandse regering zich bij het Comité moeten verantwoorden over diverse actuele privacykwesties die mede door Privacy First zijn geagendeerd.

De laatste Nederlandse sessie bij het VN Mensenrechtencomité dateert uit juli 2009, toen minister van Justitie Ernst Hirsch Ballin zich in Genève moest verantwoorden voor de destijds geplande centrale opslag van ieders vingerafdrukken onder de nieuwe Paspoortwet. Dit kwam de Nederlandse regering destijds op de nodige kritiek van het Comité te staan. Nu, 10 jaar later, is Nederland opnieuw 'aan de beurt'. In dit verband had Privacy First reeds eind 2016 een kritische rapportage (pdf) over Nederland bij het Comité ingediend en dit onlangs met een nieuwe rapportage (pdf) aangevuld. Kort samengevat heeft Privacy First bij het Comité onder meer de volgende actuele kwesties aangekaart:

- beperkte ontvankelijkheid van belangenorganisaties bij collectieve rechtszaken

- grondwettelijk toetsingsverbod

- profiling

- Automatische Nummerplaat Herkenning (ANPR)

- grenscontrole-camerasysteem @MIGO-BORAS

- OV-chipkaart

- digitale zorgcommunicatie (EPD)

- mogelijke herinvoering van telecom-bewaarplicht

- nieuwe wet op de inlichtingen- en veiligheidsdiensten ('Sleepwet')

- PSD2

- Passenger Name Records (PNR)

- afschaffing raadgevend referendum

- verbod op oorlogspropaganda.

De Nederlandse sessie bij het Comité zal op maandagmiddag 1 juli en dinsdagochtend 2 juli as. live te volgen zijn via UN Web TV. Naast diverse privacykwesties hebben meerdere Nederlandse organisaties ook talloze andere mensenrechtenkwesties bij het Comité geagendeerd; klik HIER voor een overzicht, inclusief de door het Comité reeds eerder vastgestelde List of Issues (waaronder de nieuwe wet op de inlichtingen- en veiligheidsdiensten, mogelijke herinvoering van een telecom-bewaarplicht, camerasysteem @MIGO-BORAS en medische privacy bij zorgverzekeraars). De uiteindelijke conclusies ('Concluding Observations') van het Comité volgen waarschijnlijk over enkele weken. Privacy First ziet een kritisch oordeel met vertrouwen tegemoet.

Update 26 juli 2019: gistermiddag heeft het Comité haar oordeel (“Concluding Observations”) over de Nederlandse mensenrechtensituatie gepubliceerd, waaronder de volgende kritische adviezen met betrekking tot twee Nederlandse privacy-kwesties die mede door Privacy First bij het Comité waren aangekaart:

The Intelligence and Security Services Act

The Committee is concerned about the Intelligence and Security Act 2017, which provides intelligence and security services with broad surveillance and interception powers, including bulk data collection. It is particularly concerned that the Act does not seem to provide for a clear definition of bulk data collection for investigation related purpose; clear grounds for extending retention periods for information collected; and effective independent safeguards against bulk data hacking. It is also concerned by the limited practical possibilities for complaining, in the absence of a comprehensive notification regime to the Dutch Oversight Board for the Intelligence and Security Services (CTIVD) (art. 17).
The State party should review the Act with a view to bringing its definitions and the powers and limits on their exercise in line with the Covenant and strengthen the independence and effectiveness of CTIVD and Toetsingscommissie Inzet Bevoegdheden (TIB) that has been established by the Act.

The Market Healthcare Act

The Committee is concerned that the Act to amend the Market Regulation (Healthcare) Act allows health insurance company medical consultants access to individual records in the electronic patient registration without obtaining a prior, informed and specific consent of the insured and that such practice has been carried out by health insurance companies for many years (art. 17).
The State party should require insurance companies to refrain from consulting individual medical records without a consent of the insured and ensure that the Bill requires health insurance companies to obtain a prior and informed consent of the insured to consult their records in the electronic patient registration and provide for an opt-out option for patients that oppose access to their records.

Het Comité uit haar zorgen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of 'Sleepwet') en stelt dat deze wet dient te worden herzien. Het Comité is met name bezorgd over de nieuwe mogelijkheden voor grootschalige interceptie en hacking, de verlenging van bewaartermijnen en de gebrekkige mogelijkheden om klachten in te dienen. Tevens dienen de onafhankelijkheid en effectiviteit van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) te worden versterkt.

Met betrekking tot het (formeel reeds ingetrokken, maar in praktijk gecontinueerde) Wetsvoorstel inzage medische dossiers door zorgverzekeraars oordeelt het Comité dat dergelijke inzage slechts toegestaan is na toestemming van de patiënt. Tevens dient de wetgeving te voorzien in een opt-out voor patiënten die dergelijke inzage niet wensen. De huidige praktijk van inzage van medische dossiers door verzekeraars dient dan ook per direct te worden beëindigd.

Tijdens de sessie in Genève kwamen tevens de Nederlandse afschaffing van het referendum en het camerasysteem @MIGO-BORAS kritisch ter sprake. Privacy First betreurt het dat het Comité deze (evenals diverse andere actuele) onderwerpen in haar eindoordeel onbenoemd laat. Niettemin toont de rapportage van het Comité vandaag aan dat het thema privacy ook bij de Verenigde Naties steeds hoger en kritischer op de agenda staat. Privacy First juicht deze ontwikkeling toe en zal dit de komende jaren blijven aansporen. Tevens zal Privacy First erop toezien dat Nederland de diverse aanbevelingen van het Comité zal implementeren.

De volledige Nederlandse sessie bij het VN-Comité staat online bij UN Web TV (1 juli en 2 juli). Zie ook de uitgebreide VN-verslagen, deel 1 en deel 2 (pdf).

Op veel plaatsen in het publieke domein wordt WiFi aangeboden. Hoewel het vaak wordt gepresenteerd als service om gratis gebruik te kunnen maken van het internet, betaalt een consument alsnog: met zijn of haar data. Privacy First staat voor het recht op privacy in de zin van anonimiteit in de openbare ruimte. Daaronder valt ook het recht op anoniem winkelen. WiFi-tracking zonder de klant te informeren en zonder vooraf om diens toestemming te vragen vormt een flagrante schending van dit recht.

Sinds 2013 heeft Privacy First dit standpunt meerdere malen gecommuniceerd, bijvoorbeeld op Radio 1 en bij BNR Nieuwsradio.

In juni 2016 gaf de Autoriteit Persoonsgegevens in een brief aan gemeenten en detailhandel aan dat het gebruik van WiFi-tracking aan strenge eisen is onderworpen. Begin mei 2019 gaf de gemeente Tilburg aan te stoppen met openbare WiFi in de binnenstad en de spoorzone. "Omdat de gemeente niet voldoende controle en invloed heeft op hoe de leverancier van het WiFi-netwerk met een deel van deze gegevens (in de 'cloud') omgaat, is besloten om de openbare WiFi voor de binnenstad en spoorzone per direct te beëindigen", aldus de gemeente. Bron: https://www.tilburg.nl/actueel/nieuws/item/geen-openbare-wifi-meer-in-binnenstad-en-spoorzone/.

Privacy First juicht deze stap toe en roept andere gemeenten op dit voorbeeld te volgen. Daarnaast roept Privacy First bedrijven op het gebruik van WiFi-tracking te staken omdat het een inbreuk is op de privacy van mensen. Zeker als WiFi-tracking gebruikt wordt voor het volgen van mensen door een winkel met als doel om consumentengedrag te volgen. Vaak is een oplossing te bedenken waarbij privacy by design wordt toegepast. Privacy First verwijst naar de gemeente Nijmegen die met anonieme passantentellingen genomineerd werd voor de Nederlandse Privacy Awards 2019. Privacy First ziet vergelijkbare projecten van andere gemeenten ter bescherming van de privacy in het openbare domein graag tegemoet.

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën, maar heeft grote gevolgen. De maatregel verplicht bedrijven om bij 'virtual assets' (digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes), klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens. Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom stuurden wij vandaag een brandbrief aan de Minister van Financiën. Wij vragen hem het vraagstuk beter te bestuderen, met alle relevante Ministeries en vooral ook: om het parlement beter te informeren. Daarbij wijzen we op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.

Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken.

Privacy First en VBNL hopen dat door de brandbrief het parlement beseft dat sprake is van een maatregel die zelfs verder gaat dan PSD2. Bij PSD2 kan de consument namelijk zélf besluiten om data te delen. Bij dit voorstel zou dat recht tot in lengte van dagen voor allerlei economische handelingen worden ontnomen. Wij roepen daarom de parlementariërs op om de consument en het bedrijfsleven te beschermen tegen deze onnodige voorgenomen maatregel.

Onze gehele brief is HIER te lezen (pdf).

Dit bericht is tevens gepubliceerd op https://bitcoin.nl/nieuws/minister-hoekstra-voorkom-ongebreidelde-export-van-eu-persoonsgegevens-379.

Vanmiddag vindt in de Tweede Kamer een belangrijk debat plaats over de invoering van Passenger Name Records (PNR): massale, jarenlange opslag van allerlei gegevens van vliegtuigpassagiers ter veronderstelde bestrijding van misdaad en terrorisme. Privacy First heeft hier grote bezwaren tegen en stuurde eind vorige week onderstaande brief naar de Tweede Kamer. Het Kamerdebat vanmiddag stond eerder geagendeerd op 14 mei 2018, maar werd toen (na een vergelijkbare brief van Privacy First) tot nader order geannuleerd. Na een nieuwe schriftelijke vragenronde vindt het debat nu alsnog plaats. Hieronder volgt de volledige tekst van onze actuele brief:

Geachte Kamerleden,

Maandagmiddag 11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. Hieronder zetten wij dit kort voor u uiteen.

Vakantieregister

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme. Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling. In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Vorig jaar heeft Privacy First dit reeds betoogd in de Volkskrant en bij BNR Nieuwsradio. Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europees Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

Europees Hof

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.” (Zie Advies 1/15 (26 juli 2017), par. 207.) Door deze uitspraak staat sindsdien de Europese PNR-richtlijn juridisch op losse schroeven. De Nederlandse regering heeft daarom terechte “zorgen over de toekomstbestendigheid van de PNR-richtlijn” (zie Nota naar aanleiding van verslag, p. 23). Privacy First verwacht dat de huidige PNR-richtlijn binnenkort ter toetsing aan het Europees Hof van Justitie zal worden voorgelegd en onrechtmatig zal worden verklaard. Daarna zal dezelfde situatie ontstaan als enkele jaren geleden bij de Europese telecom-bewaarplicht: zodra deze Europese richtlijn ongeldig is verklaard, zal de Nederlandse implementatiewetgeving in kort geding buiten werking worden gesteld.

Massa surveillance

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele2-zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij de VN Mensenrechtenraad deed Nederland vervolgens de algemene toezegging “to ensure that the collection and maintenance of data for criminal [investigation] purposes does not entail massive surveillance of innocent persons.” Nederland lijkt die belofte nu te verbreken. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen. Verder wordt in het wetsvoorstel met geen woord gerept over de rol en mogelijkheden van geheime diensten, terwijl die onder de nieuwe Wet op de inlichtingen- en veiligheidsdiensten directe, afgeschermde toegang tot de centrale PNR-databank zullen krijgen. Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.

Advies Privacy First

Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Van EU-lidstaten mag immers niet worden verwacht dat zij privacyschendende EU-regels implementeren. Dit geldt eveneens voor de nationale implementatie van relevante resoluties van de VN Veiligheidsraad (in casu UNSC Res. 2396 (2017)) die op gespannen voet staan met internationale mensenrechten. Privacy First heeft in dit verband reeds gewaarschuwd voor misbruik van het Nederlandse (ook voor PNR gebruikte) TRIP-systeem door andere VN-lidstaten. Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

Update 19 maart 2019: vandaag heeft de Tweede Kamer het wetsvoorstel helaas vrijwel ongewijzigd aangenomen; slechts GroenLinks, SP, PvdD en Denk stemden tegen. Een principiële motie van GroenLinks en SP om een rechtszaak van de Europese Commissie tegen de Nederlandse regering over de Europese PNR-richtlijn uit te lokken werd helaas verworpen. Enig lichtpuntje is de breed aangenomen motie ter juridische herbeoordeling en mogelijke herziening van de PNR-richtlijn op Europees politiek niveau. (Slechts PVV en FvD stemden tegen deze motie.) Volgende halte: Eerste Kamer.

Update 4 juni 2019: ondanks recente herhaling van bovenstaande brief en overige kritische input van Privacy First heeft de Eerste Kamer het wetsvoorstel vandaag helaas aangenomen. Slechts GroenLinks, Partij voor de Dieren en SP stemden tegen. Dit ook ondanks de onlangs in Duitsland (bij het vergelijkbare Duitse PNR-systeem) gebleken enorme foutenpercentages (“false positives”) van maar liefst 99,7%, zie https://www.sueddeutsche.de/digital/fluggastdaten-bka-falschtreffer-1.4419760. In Duitsland en Oostenrijk zijn inmiddels grootschalige rechtszaken gestart om de Europese PNR-richtlijn door het Europees Hof van Justitie onrechtmatig te laten verklaren wegens strijd met het recht op privacy, zie de Duits-Engelse campagnewebsite https://nopnr.eu en https://www.nrc.nl/nieuws/2019/05/15/burgers-in-verzet-tegen-opslaan-passagiersgegevens-a3960431. Zodra het Europees Hof de PNR-richtlijn in deze zaken onrechtmatig verklaart, zal Privacy First de Nederlandse PNR-wet in kort geding buiten werking laten stellen. Tevens heeft Privacy First gisteren Nederlandse PNR-wet geagendeerd bij het VN Mensenrechtencomité in Genève. Op 1-2 juli as. zal de algehele Nederlandse mensenrechtensituatie (inclusief Nederlandse schendingen van het recht op privacy) door dit Comité kritisch onder de loep genomen worden.